Control de acceso a la papelera de reciclaje con IAM

De forma predeterminada, los usuarios no tienen permiso para trabajar con la papelera de reciclaje, las reglas de retención ni los recursos que se encuentran en la papelera de reciclaje. Para permitir a los usuarios trabajar con estos recursos, debe crear políticas de IAM que concedan permisos para utilizar recursos específicos y acciones de la API. Una vez creadas las políticas, tendrá que agregar permisos a los usuarios, grupos o roles.

Permisos para trabajar con la papelera de reciclaje y las reglas de retención

Para trabajar con la papelera de reciclaje y las reglas de retención, los usuarios necesitan los siguientes permisos.

Para utilizar la consola de la papelera de reciclaje, los usuarios necesitan el permiso tag:GetResources.

A continuación, se muestra una política de IAM de ejemplo que incluye el permiso tag:GetResources para los usuarios de la consola. Si algunos permisos no se necesitan, puede eliminarlos de la política.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rbin:CreateRule",
                "rbin:UpdateRule",
                "rbin:GetRule",
                "rbin:ListRules",
                "rbin:DeleteRule",
                "rbin:TagResource",
                "rbin:UntagResource",
                "rbin:ListTagsForResource",
                "rbin:LockRule",
                "rbin:UnlockRule",
                "tag:GetResources"
            ],
            "Resource": "*"
        }
    ]
}

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Permisos para trabajar con los recursos de la papelera de reciclaje

Para obtener más información sobre los permisos de IAM necesarios para trabajar con los recursos de la papelera de reciclaje, consulte lo siguiente:

Claves de condición de la papelera

La papelera de reciclaje define las siguientes claves de condición, que se pueden utilizar en el elemento Condition de una política de IAM para controlar las condiciones en las que se aplica la declaración de la política. Para obtener más información, consulte Elementos de la política JSON de IAM: condición en la Guía del usuario de IAM.

rbin:Request/ResourceTypeClave de condición de

La clave de condición rbin:Request/ResourceType se puede utilizar para filtrar el acceso en las solicitudes CreateRule y ListRules basadas en el valor especificado para el parámetro de solicitud ResourceType.

Ejemplo 1: CreateRule

El siguiente ejemplo de política de IAM permite a las entidades principales de IAM presentar solicitudes CreateRule solo si el valor especificado para el parámetro de solicitud ResourceType es EBS_SNAPSHOT o EC2_IMAGE. Esto permite a la entidad principal crear nuevas reglas de retención para instantáneas y AMI únicamente.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:CreateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}

Ejemplo 2: ListRules

El siguiente ejemplo de política de IAM permite a las entidades principales de IAM presentar solicitudes ListRules solo si el valor especificado para el parámetro de solicitud ResourceType es EBS_SNAPSHOT. Esto permite que la entidad principal muestre las reglas de retención solo para instantáneas e impide que muestre las reglas de retención para cualquier otro tipo de recurso.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:ListRules"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}

rbin:Attribute/ResourceTypeClave de condición de

La clave de condición rbin:Attribute/ResourceType se puede utilizar para filtrar el acceso a las solicitudes DeleteRule, GetRule, UpdateRule, LockRule, UnlockRule, TagResource, UntagResource y ListTagsForResource basadas en el valor del atributo ResourceType de la regla de retención.

Ejemplo 1: UpdateRule

El siguiente ejemplo de política de IAM permite que las entidades principales de IAM realicen solicitudes UpdateRule solo si el atributo ResourceType de la regla de retención solicitada es EBS_SNAPSHOT o EC2_IMAGE. Esto permite a la entidad principal actualizar las reglas de retención para instantáneas y AMI únicamente.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:UpdateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}

Ejemplo 2: DeleteRule

El siguiente ejemplo de política de IAM permite que las entidades principales de IAM realicen solicitudes DeleteRule solo si el atributo ResourceType de la regla de retención solicitada es EBS_SNAPSHOT. Esto permite a la entidad principal eliminar las reglas de retención para instantáneas únicamente.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:DeleteRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}