Controlar o acesso à Lixeira com o IAM - Amazon EBS
Permissões para trabalhar com a Lixeira e com regras de retençãoPermissões para trabalhar com recursos na LixeiraChaves de condição para a Lixeira

Controlar o acesso à Lixeira com o IAM

Por padrão, os usuários não têm permissão para trabalhar com a Lixeira, com as regras de retenção nem com os recursos que estão na Lixeira. Para permitir que os usuários trabalhem com esses recursos, você deve criar políticas do IAM que concedam permissão para o uso de recursos e ações de API específicos. Depois que as políticas forem criadas, você deverá adicionar permissões para os usuários, grupos ou perfis.

Permissões para trabalhar com a Lixeira e com regras de retenção

Para trabalhar com a Lixeira e com regras de retenção, os usuários precisam das permissões a seguir.

  • rbin:CreateRule

  • rbin:UpdateRule

  • rbin:GetRule

  • rbin:ListRules

  • rbin:DeleteRule

  • rbin:TagResource

  • rbin:UntagResource

  • rbin:ListTagsForResource

  • rbin:LockRule

  • rbin:UnlockRule

Para usar o console da Lixeira, os usuários precisam ter a permissão tag:GetResources.

A seguir está um exemplo de política do IAM que inclui a permissão tag:GetResources para usuários do console. Se algumas permissões não forem necessárias, você poderá removê-las da política.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rbin:CreateRule",
                "rbin:UpdateRule",
                "rbin:GetRule",
                "rbin:ListRules",
                "rbin:DeleteRule",
                "rbin:TagResource",
                "rbin:UntagResource",
                "rbin:ListTagsForResource",
                "rbin:LockRule",
                "rbin:UnlockRule",
                "tag:GetResources"
            ],
            "Resource": "*"
        }
    ]
}

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Permissões para trabalhar com recursos na Lixeira

Para obter mais informações sobre as permissões do IAM necessárias para trabalhar com recursos na Lixeira, veja as seguintes orientações:

Chaves de condição para a Lixeira

A Recycle Bin (Lixeira) define as seguintes chaves de condição que você pode usar no elemento Condition de uma política do IAM para controlar as condições segundo as quais a declaração de política se aplica. Para obter mais informações, consulte Elementos da política JSON do IAM: condição no Guia do usuário do IAM.

rbin:Request/ResourceTypeChave da condição

A chave de condição rbin:Request/ResourceType pode ser usada para filtrar o acesso das solicitações CreateRule e ListRules com base no valor especificado para o parâmetro de solicitação ResourceType.

Exemplo 1: CreateRule

O exemplo de política do IAM a seguir permite que as entidades principais do IAM façam solicitações CreateRule somente se o valor especificado para parâmetro de solicitação ResourceType for EBS_SNAPSHOT ou EC2_IMAGE. Isso permite que a entidade principal crie novas regras de retenção apenas para snapshots e AMIs.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:CreateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}
Exemplo 2: ListRules

O exemplo de política do IAM a seguir permite que as entidades principais do IAM façam solicitações ListRules somente se o valor especificado para o parâmetro de solicitação ResourceType for EBS_SNAPSHOT. Isso permite que a entidade principal liste regras de retenção somente para snapshots e impede que listem regras de retenção para qualquer outro tipo de recurso.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:ListRules"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}

rbin:Attribute/ResourceTypeChave da condição

A chave de condição rbin:Attribute/ResourceType pode ser usada para filtrar o acesso de solicitações DeleteRule, GetRule, UpdateRule, LockRule, UnlockRule, TagResource, UntagResource e ListTagsForResource com base no valor do atributo ResourceType da regra de retenção.

Exemplo 1: UpdateRule

O exemplo de política do IAM a seguir permite que as entidades principais do IAM façam solicitações UpdateRule somente se o atributo ResourceType da regra de retenção solicitada for EBS_SNAPSHOT ou EC2_IMAGE. Isso permite que a entidade principal atualize regras de retenção apenas para snapshots e AMIs.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:UpdateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}
Exemplo 2: DeleteRule

O exemplo de política do IAM a seguir permite que as entidades principais do IAM façam solicitações DeleteRule somente se o atributo ResourceType da regra de retenção solicitada for EBS_SNAPSHOT. Isso permite que a entidade principal exclua regras de retenção apenas para snapshots.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:DeleteRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}