使用 IAM 控制对回收站的访问 - Amazon EBS
使用回收站和保留规则的权限使用回收站中的资源的权限回收站的条件键
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 IAM 控制对回收站的访问

默认情况下,用户没有权限使用回收站、保留规则或回收站中的资源。要允许用户使用这些资源,您必须创建 IAM policy,以授予使用特定资源和 API 操作的权限。创建策略后,必须向您的用户、组或角色添加权限。

使用回收站和保留规则的权限

要使用回收站和保留规则,用户需要以下权限。

  • rbin:CreateRule

  • rbin:UpdateRule

  • rbin:GetRule

  • rbin:ListRules

  • rbin:DeleteRule

  • rbin:TagResource

  • rbin:UntagResource

  • rbin:ListTagsForResource

  • rbin:LockRule

  • rbin:UnlockRule

要使用回收站控制台,用户需要 tag:GetResources 权限。

以下是包含控制台用户 tag:GetResources 权限的示例 IAM policy。如果不需要某些上述权限,您可以从策略中将其删除。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rbin:CreateRule",
                "rbin:UpdateRule",
                "rbin:GetRule",
                "rbin:ListRules",
                "rbin:DeleteRule",
                "rbin:TagResource",
                "rbin:UntagResource",
                "rbin:ListTagsForResource",
                "rbin:LockRule",
                "rbin:UnlockRule",
                "tag:GetResources"
            ],
            "Resource": "*"
        }
    ]
}

要提供访问权限,请为您的用户、组或角色添加权限:

使用回收站中的资源的权限

有关使用回收站中的资源所需的 IAM 权限的更多信息,请参阅以下内容:

回收站的条件键

回收站定义以下条件键,您可在 IAM policy 的 Condition 元素中将其用于控制适用策略语句的条件。有关更多信息,请参阅《IAM 用户指南》中的 IAM JSON 策略元素:条件

rbin:Request/ResourceType 条件键

rbin:Request/ResourceType 条件键可以用于根据为 ResourceType 请求参数指定的值过滤对 CreateRuleListRules 请求的访问。

示例 1 - CreateRule

以下示例 IAM policy 允许 IAM 主体仅在为 ResourceType 请求参数指定的值为 EBS_SNAPSHOTEC2_IMAGE 时发出 CreateRule 请求。这使主体能够仅为快照和 AMI 创建新的保留规则。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:CreateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}
示例 2 - ListRules

以下示例 IAM policy 允许 IAM 主体仅在为 ResourceType 请求参数指定的值为 EBS_SNAPSHOT 时发出 ListRules 请求。这使主体仅列出快照的保留规则,并防止它们列出任何其他资源类型的保留规则。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:ListRules"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}

rbin:Attribute/ResourceType 条件键

rbin:Attribute/ResourceType 条件键可用于根据保留规则的 ResourceType 属性的值筛选对 DeleteRuleGetRuleUpdateRuleLockRuleUnlockRuleTagResourceUntagResource ListTagsForResource 的访问。

示例 1 - UpdateRule

以下示例 IAM policy 允许 IAM 主体仅在请求的保留规则的 ResourceType 属性为 EBS_SNAPSHOTEC2_IMAGE 时发出 UpdateRule 请求。这使主体能够仅为快照和 AMI 更新规则。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:UpdateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}
示例 2 - DeleteRule

以下示例 IAM policy 允许 IAM 主体仅在请求的保留规则的 ResourceType 属性为 EBS_SNAPSHOT 时发出 DeleteRule 请求。这使主体能够仅为快照删除保留规则。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:DeleteRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}