使用IAM權限控制對回收站的訪問 - Amazon EBS
使用資源回收筒和保留規則的許可使用資源回收筒中資源的許可資源回收筒的條件索引鍵

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用IAM權限控制對回收站的訪問

依預設,使用者無權使用資源回收筒、保留規則或位於資源回收筒中的資源。若要允許使用者使用這些資源,您必須建立IAM政策,以授與使用特定資源和API動作的權限。建立原則之後,您必須將權限新增至使用者、群組或角色。

使用資源回收筒和保留規則的許可

如要使用資源回收筒和保留規則,使用者需要下列許可。

  • rbin:CreateRule

  • rbin:UpdateRule

  • rbin:GetRule

  • rbin:ListRules

  • rbin:DeleteRule

  • rbin:TagResource

  • rbin:UntagResource

  • rbin:ListTagsForResource

  • rbin:LockRule

  • rbin:UnlockRule

如要使用資源回收筒主控台,使用者需要 tag:GetResources 許可。

以下是包含主控台使用者tag:GetResources權限的範例IAM原則。若無需某些許可,則您可從政策中將其移除。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "rbin:CreateRule",
            "rbin:UpdateRule",
            "rbin:GetRule",
            "rbin:ListRules",
            "rbin:DeleteRule",
            "rbin:TagResource",
            "rbin:UntagResource",
            "rbin:ListTagsForResource",
            "rbin:LockRule",
            "rbin:UnlockRule",
            "tag:GetResources"
        ],
        "Resource": "*"
    }]
}

若要提供存取權,請新增權限至您的使用者、群組或角色:

  • 使用者和群組位於 AWS IAM Identity Center:

    建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

  • IAM透過身分識別提供者管理的使用者:

    建立聯合身分的角色。請遵循《使用指南》中的〈為第三方身分識別提供IAM者 (同盟) 建立角色〉中的指示進行。

  • IAM使用者:

    • 建立您的使用者可擔任的角色。請按照《用戶南》中的「為IAM用戶創建角色」中的IAM說明進行操作。

    • (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。遵循《使用者指南》中的「向使用者 (主控台) 新增權限」IAM 中的示進行。

使用資源回收筒中資源的許可

如需使用資源回收筒中資源所需IAM權限的詳細資訊,請參閱下列內容:

資源回收筒的條件索引鍵

資源回收筒定義下列條件機碼,您可以在IAM原則的項Condition目中使用這些條件機碼來控制套用原則陳述式的條件。如需詳細資訊,請參閱《IAM使用指南》中的IAMJSON策略元素:條件

rbin:Request/ResourceType 條件金鑰

rbin:Request/ResourceType條件索引鍵可用來根據 ResourceType request 參數指定的值來篩選存取CreateRule和要ListRules求。

例子一- CreateRule

只有當 ResourceType request 參數指定的值為EBS_SNAPSHOTEC2_IMAGE時,下列範例IAM原則才允許IAM主體發出要CreateRule求。這可讓主體只為快照建立新的保留規AMIs則。

{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:CreateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}
例子二- ListRules

只有當 ResourceType request 參數指定的值為時,下列範例IAM原則才允許IAM主體發出要ListRules求。EBS_SNAPSHOT這允許主體僅列出快照的保留規則,並防止其列出任何其他資源類型的保留規則。

{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:ListRules"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}

rbin:Attribute/ResourceType 條件金鑰

rbin:Attribute/ResourceType條件索引鍵可用來根據保留規則的ResourceType屬性值篩選LockRuleUnlockRuleTagResourceUntagResource、、、、、和ListTagsForResource要求的存取。DeleteRuleGetRuleUpdateRule

例子一- UpdateRule

只有在要UpdateRule求的保留規則ResourceType屬IAM性為EBS_SNAPSHOTEC2_IMAGE時,下列範例IAM原則才允許主體發出要求。這可讓主體AMIs只更新快照的保留規則。

{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:UpdateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}
例子二- DeleteRule

只有在要DeleteRule求的保留規則ResourceType屬IAM性為時,下列範例IAM原則才允許主體發出要求。EBS_SNAPSHOT這允許主體僅為快照刪除保留規則。

{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:DeleteRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}