翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM でごみ箱へのアクセスを制御
デフォルトでは、ユーザーには、ごみ箱、保持ルール、またはごみ箱にあるリソースを操作する許可はありません。ユーザーがこれらのリソースを利用するには、特定のリソースと API アクションを使用する許可を付与する IAM ポリシーを作成する必要があります。ポリシーを作成したら、ユーザー、グループ、ロールにアクセス許可を追加する必要があります。
**Topics**
+ [ごみ箱および保持ルールを操作するための許可](#rule-perms)
+ [ごみ箱内のリソースを操作するための許可](#resource-perms)
+ [[Condition keys for Recycle Bin] (ごみ箱の条件キー)](#rbin-condition-keys)
## ごみ箱および保持ルールを操作するための許可
ごみ箱と保持ルールを使用するには、次の許可をユーザーに付与する必要があります。
+ `rbin:CreateRule`
+ `rbin:UpdateRule`
+ `rbin:GetRule`
+ `rbin:ListRules`
+ `rbin:DeleteRule`
+ `rbin:TagResource`
+ `rbin:UntagResource`
+ `rbin:ListTagsForResource`
+ `rbin:LockRule`
+ `rbin:UnlockRule`
ごみ箱コンソールを使用するには、ユーザーに `tag:GetResources` 許可が必要です。
以下は、コンソールユーザーの `tag:GetResources` 許可を含む IAM ポリシーの例です。一部の許可が不要な場合は、ポリシーから削除できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rbin:CreateRule",
"rbin:UpdateRule",
"rbin:GetRule",
"rbin:ListRules",
"rbin:DeleteRule",
"rbin:TagResource",
"rbin:UntagResource",
"rbin:ListTagsForResource",
"rbin:LockRule",
"rbin:UnlockRule",
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
------
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
## ごみ箱内のリソースを操作するための許可
ごみ箱内のリソースを操作するために必要な IAM 許可の詳細については、次を参照してください。
+ [ごみ箱内のボリュームを操作するためのアクセス許可](recycle-bin-working-with-volumes.md#volume-perms)
+ [ごみ箱のスナップショットを操作するための権限](recycle-bin-working-with-snaps.md#snap-perms)
+ [ごみ箱内の AMI を操作するための許可](recycle-bin-working-with-amis.md#ami-perms)
## [Condition keys for Recycle Bin] (ごみ箱の条件キー)
ごみ箱は、IAM ポリシーの`Condition`要素に使用できる次の条件キーを定義し、ポリシーステートメントが適用される条件を制御します。詳細については、[IAM User Guide] (IAM ユーザーガイド) の [[IAM JSON policy elements: Condition]](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (IAM JSON ポリシー要素:条件) を参照してください。
**Topics**
+ [`rbin:Request/ResourceType` 条件キー](#resource-type-parameter)
+ [`rbin:Attribute/ResourceType` 条件キー](#resource-type-attribute)
### `rbin:Request/ResourceType` 条件キー
この`rbin:Request/ResourceType`条件キーを使用して、`ResourceType`リクエストパラメータで指定された値に基づいて[[CreateRule]](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_CreateRule.html)と[[ListRules]](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_ListRules.html)リクエストのアクセスをフィルタリングするために使用することができます。
**例 1 - CreateRule**
次のサンプルの IAM ポリシーは、`ResourceType`リクエストパラメーターに指定された値が`EBS_SNAPSHOT`または`EC2_IMAGE`である場合のみ IAM プリンシパルに **[CreateRule]** リクエストを行うことを許可します。これにより、プリンシパルはスナップショットと AMI に対してのみ新しい保存ルールを作成できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:CreateRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
}
}
}
]
}
```
------
**例 2 - ListRules**
次のサンプル IAM ポリシーは、`ResourceType`リクエストパラメーターに指定した値が`EBS_SNAPSHOT`の場合にのみ、IAM プリンシパルが **ListRules** に要求を行うことを許可します。これにより、プリンシパルはスナップショットの保存ルールのみを一覧表示でき、他のリソースタイプの保存ルールを一覧表示できなくなります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:ListRules"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Request/ResourceType" : "EBS_SNAPSHOT"
}
}
}
]
}
```
------
### `rbin:Attribute/ResourceType` 条件キー
`rbin:Attribute/ResourceType` 条件キーを使用し、保持ルールの `ResourceType` 属性の値に基づいて [DeleteRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_DeleteRule.html)、[GetRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_GetRule.html)、[UpdateRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_UpdateRule.html)、[LockRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_LockRule.html)、[UnlockRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_UnlockRule.html)、[TagResource](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_TagResource.html)、[UntagResource](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_UntagResource.html)、[ ListTagsForResource](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_ListTagsForResource.html) リクエストへのアクセスをフィルタリングできます。
**例 1 - UpdateRule**
次のサンプル IAM ポリシーは、`ResourceType`要求されたリテンションルールの属性が`EBS_SNAPSHOT`または`EC2_IMAGE`の場合にのみ、IAM プリンシパルが **UpdateRule** に要求を行うことを許可します。これにより、プリンシパルはスナップショットと AMI の保持ルールのみを更新できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:UpdateRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
}
}
}
]
}
```
------
**例 2 - DeleteRule**
次のサンプル IAM ポリシーは、`ResourceType`要求されたリテンションルールの属性が`EBS_SNAPSHOT`の場合にのみ、IAM プリンシパルが **DeleteRule** に要求を行うことを許可します。これにより、プリンシパルはスナップショットの保存ルールのみを削除できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:DeleteRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Attribute/ResourceType" : "EBS_SNAPSHOT"
}
}
}
]
}
```
------