本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用IAM權限控制對回收站的訪問
依預設,使用者無權使用資源回收筒、保留規則或位於資源回收筒中的資源。若要允許使用者使用這些資源,您必須建立IAM政策,以授與使用特定資源和API動作的權限。建立原則之後,您必須將權限新增至使用者、群組或角色。
使用資源回收筒和保留規則的許可
如要使用資源回收筒和保留規則,使用者需要下列許可。
-
rbin:CreateRule
-
rbin:UpdateRule
-
rbin:GetRule
-
rbin:ListRules
-
rbin:DeleteRule
-
rbin:TagResource
-
rbin:UntagResource
-
rbin:ListTagsForResource
-
rbin:LockRule
-
rbin:UnlockRule
如要使用資源回收筒主控台,使用者需要 tag:GetResources
許可。
以下是包含主控台使用者tag:GetResources
權限的範例IAM原則。若無需某些許可,則您可從政策中將其移除。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rbin:CreateRule", "rbin:UpdateRule", "rbin:GetRule", "rbin:ListRules", "rbin:DeleteRule", "rbin:TagResource", "rbin:UntagResource", "rbin:ListTagsForResource", "rbin:LockRule", "rbin:UnlockRule", "tag:GetResources" ], "Resource": "*" }] }
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
使用者和群組位於 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
IAM透過身分識別提供者管理的使用者:
建立聯合身分的角色。請遵循《使用指南》中的〈為第三方身分識別提供IAM者 (同盟) 建立角色〉中的指示進行。
-
IAM使用者:
-
建立您的使用者可擔任的角色。請按照《用戶指南》中的「為IAM用戶創建角色」中的IAM說明進行操作。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。遵循《使用者指南》中的「向使用者 (主控台) 新增權限」IAM 中的指示進行。
-
使用資源回收筒中資源的許可
如需使用資源回收筒中資源所需IAM權限的詳細資訊,請參閱下列內容:
資源回收筒的條件索引鍵
資源回收筒定義下列條件機碼,您可以在IAM原則的項Condition
目中使用這些條件機碼來控制套用原則陳述式的條件。如需詳細資訊,請參閱《IAM使用指南》中的IAMJSON策略元素:條件。
rbin:Request/ResourceType
條件金鑰
rbin:Request/ResourceType
條件索引鍵可用來根據 ResourceType
request 參數指定的值來篩選存取CreateRule和要ListRules求。
例子一- CreateRule
只有當 ResourceType
request 參數指定的值為EBS_SNAPSHOT
或EC2_IMAGE
時,下列範例IAM原則才允許IAM主體發出要CreateRule求。這可讓主體只為快照建立新的保留規AMIs則。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:CreateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
例子二- ListRules
只有當 ResourceType
request 參數指定的值為時,下列範例IAM原則才允許IAM主體發出要ListRules求。EBS_SNAPSHOT
這允許主體僅列出快照的保留規則,並防止其列出任何其他資源類型的保留規則。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:ListRules" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : "EBS_SNAPSHOT" } } } ] }
rbin:Attribute/ResourceType
條件金鑰
rbin:Attribute/ResourceType
條件索引鍵可用來根據保留規則的ResourceType
屬性值篩選LockRuleUnlockRuleTagResourceUntagResource、、、、、和ListTagsForResource要求的存取。DeleteRuleGetRuleUpdateRule
例子一- UpdateRule
只有在要UpdateRule求的保留規則ResourceType
屬IAM性為EBS_SNAPSHOT
或EC2_IMAGE
時,下列範例IAM原則才允許主體發出要求。這可讓主體AMIs只更新快照的保留規則。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:UpdateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
例子二- DeleteRule
只有在要DeleteRule求的保留規則ResourceType
屬IAM性為時,下列範例IAM原則才允許主體發出要求。EBS_SNAPSHOT
這允許主體僅為快照刪除保留規則。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:DeleteRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT" } } } ] }