Amazon RAM 如何与 IAM 协同工作 - Amazon Resource Access Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon RAM 如何与 IAM 协同工作

默认情况下,IAM 用户没有创建或修改的权限。Amazon RAM资源的费用。要允许 IAM 用户创建或修改资源和执行任务,您必须创建授予使用特定资源和 API 操作的权限的 IAM 策略。然后,将这些策略附加到需要这些权限的 IAM 用户或组。

策略结构

IAM 策略是包含以下语句的 JSON 文档:效果、操作、资源和条件。IAM 策略通常采用以下形式:

{ "Statement":[{ "Effect":"effect", "Action":"action", "Resource":"arn", "Condition":{ "condition":{ "key":"value" } } }] }

Effect

这些区域有:Effect语句表示允许还是拒绝操作。可能值包括:AllowDeny

Action

这些区域有:操作语句指定Amazon RAM允许或拒绝权限的 API 操作。有关允许操作的完整列表,请参阅由 定义的操作Amazon Resource Access Manager中的IAM 用户指南

Resource

这些区域有:资源语句指定Amazon RAM受策略影响的资源。要在语句中指定资源,您需要使用其唯一的 Amazon 资源名称 (ARN)。有关允许资源的完整列表,请参阅由 定义的资源Amazon Resource Access Manager中的IAM 用户指南

Condition

Condition语句是可选的。这些条件可用于进一步细化适用的条件。Amazon RAM支持以下条件键:

  • aws:RequestTag/${TagKey}— 指定在创建或标记资源共享时必须使用的标签键值对。

  • aws:ResourceTag/${TagKey}— 表示只能对具有指定标签键值对的资源执行该操作。

  • aws:TagKeys— 指定在创建或标记资源共享时可以使用的标签键。

  • ram:AllowsExternalPrincipals— 表示只能对允许或拒绝与外部委托人共享的资源共享执行该操作。外部承担者是Amazon Web Services 账户中您组织外部的Amazon Organizations。

  • ram:Principal— 表示只能对指定的委托人执行该操作。

  • ram:RequestedResourceType— 表示只能对指定的资源类型执行该操作。必须按以下格式指定资源类型:

    • Amazon App Mesh — appmesh:Mesh

    • Amazon Aurora —rds:Cluster

    • Amazon Certificate Manager Private Certificate Authority — acm-pca:CertificateAuthority

    • Amazon CodeBuild — codebuild:Project | codebuild:ReportGroup

    • Amazon EC2 —ec2:CapacityReservation|ec2:DedicatedHost

    • Amazon EC2 Image Builder —imagebuilder:Component|imagebuilder:Image|imagebuilder:ImageRecipe|imagebuilder:ContainerRecipe

    • AmazonGlue —glue:Catalog|glue:Database|glue:Table

    • Amazon License Manager — license-manager:LicenseConfiguration

    • Amazon Network Firewall — network-firewall:FirewallPolicy | network-firewall:StatefulRuleGroup | network-firewall:StatelessRuleGroup

    • Amazon Outposts — outposts:Outpost

    • Amazon Resource Groups — resource-groups:Group

    • Amazon Route 53 —route53resolver:FirewallRuleGroup|route53resolver:ResolverRule|route53resolver:ResolverQueryLogConfig

    • AmazonSystems Manager 事件管理器 —ssm-contacts:Contact|ssm-incidents:ResponsePlan

    • Amazon VPC —ec2:PrefixList|ec2:Subnet|ec2:TrafficMirrorTarget|ec2:TransitGateway|ec2:LocalGatewayRouteTable

  • ram:ResourceArn— 表示只能对具有指定 ARN 的资源执行该操作。

  • ram:ResourceShareName— 表示只能对具有指定名称的资源共享执行该操作。

  • ram:ShareOwnerAccountId— 表示只能对特定账户拥有的资源共享执行该操作。