Amazon RAM托管权限 - Amazon Resource Access Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon RAM托管权限

Amazon RAM托管权限定义了资源共享中每个可共享资源类型允许的操作。对于每种可共享资源类型,托管权限定义了允许拥有共享资源访问权限的委托人对这些资源执行的操作。

操作方法Amazon RAM托管权限工作

创建资源共享时,可以将托管权限与要共享的每个资源类型相关联。创建资源共享后,Amazon RAM提供了您与每个资源类型关联到相应资源拥有服务的权限,例如Amazon Certificate Manager Private Certificate Authority。然后,权限将附加到资源共享中的每个资源。

Amazon RAM托管权限指定以下内容:

效果

指示是允许还是拒绝委托人对共享资源执行操作或操作的权限。对于Amazon RAM托管权限,则效果始终为Allow

委托人

中的组织或组织部门 (OU)Amazon Organizations,一个Amazon Web Services 账户、IAM 角色或可以访问共享资源的 IAM 用户。

注意

并非所有资源类型都可以与 IAM 角色和 IAM 用户共享。有关可以与这些委托人共享的资源的信息,请参阅下一节。

操作

授予委托人执行权限的操作或操作。这可以是Amazon Web Services Management Console中的操作或Amazon CLI或者AmazonAPI。这些操作在Amazon RAM权限。

与 IAM 角色和 IAM 用户共享

Amazon RAM允许您与Amazon Organizations, 和Amazon Web Services 账户。对于受支持的资源类型,您还可以与 IAM 角色和 IAM 用户共享资源。对于每种可共享资源类型,下表指出您是否可以与 IAM 角色和 IAM 用户共享该类型的资源。

服务 资源类型 可与 IAM 角色和 IAM 用户共享

Amazon App Mesh

应用程序:网状

Amazon Aurora

RDS: 群集

Amazon Certificate Manager Private Certificate Authority

ACM-PCA: 证书颁发机构

Amazon CodeBuild

代码构建:项目

代码构建:报表组

Amazon EC2

EC: 容量预留

EC: 专用主机

Amazon EC2 Image Builder

图像构建器:组件

图像构建器:容器配方

图像构建器:图像

形象构建器:图像配方

Amazon连接词

胶水:目录

胶水:数据库

胶水:表

Amazon License Manager

授权管理员:授权辅助

Amazon Network Firewall

网络防火墙:防火墙策略

网络-防火墙:状态

网络-防火墙:斯特勒格鲁普

Amazon Outposts

前哨:前哨

Amazon Resource Groups

资源组:组

Amazon Route 53

路由 53 解决器:防火墙防火墙

路由 53 解析器:解析查询日志配置

Amazon Route 53

路由 53 解析器:解析规则

AmazonSystems Manager 事件管理器

SSM-联系方式:联系方式

SSM 事件:响应计划

Amazon VPC

EC: 前缀列表

ec2:Subnet

EC: 流量镜像目标

EC: CreateTateTraneTraneT

EC2: 本地网关路由

类型Amazon RAM托管权限

创建资源共享时,您可以选择与要共享的每个资源类型相关联的权限。托管权限由资源拥有服务定义,但由Amazon RAM。

  • 默认托管权限— 这些权限适用于Amazon RAM支持。对于每种资源类型,默认Amazon RAM托管权限允许承担者执行由服务为资源类型定义的特定操作。例如,对于亚马逊 VPCec2:Subnet资源类型时,默认托管权限允许委托人执行以下操作:

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    默认托管权限的名称采用以下格式:AWSRAMDefaultPermissionShareableResource。 例如,对于ec2:Subnet资源类型,默认Amazon RAM托管权限为AWSRAMDefaultPermissionSubnet

  • 其他托管权限— 示例包括只读访问权限或完全访问权限 (ReadWrite访问)。这些权限为您提供了更大的灵活性,可以选择将哪些权限授予受支持的资源类型的特定承担者。例如,当您共享支持完全访问权限的资源类型 (ReadWrite权限)和只读托管权限,则可以使用完全访问托管权限与管理员共享资源。然后,您可以与具有只读托管权限的其他团队成员共享资源,以遵循授予最小权限的安全最佳做法。最小权限是指访问共享资源所需的最低权限。

    注意

    目前只有一些Amazon使用 的 服务Amazon RAM支持这些权限。对于不支持其他托管权限的服务,当您创建资源共享时,Amazon RAM会自动应用为您选择的资源类型定义的默认权限。

Amazon RAM托管权限参考

对于使用Amazon RAM中,以下部分列出了可共享资源的默认托管权限。

Amazon App Mesh

以下是默认值Amazon RAM托管权限可共享Amazon App Mesh资源的费用。

资源类型 权限名称和 ARN 允许的操作
应用程序:网状

名称: AWSA 错误权限应用程序网格

ARN:arn: aw:ram። AWS: 许可/AWSRAME 权限应用程序网

  • appmesh:CreateVirtualNode

  • appmesh:CreateVirtualRouter

  • appmesh:CreateRoute

  • appmesh:CreateVirtualService

  • appmesh:UpdateVirtualNode

  • appmesh:UpdateVirtualRouter

  • appmesh:UpdateRoute

  • appmesh:UpdateVirtualService

  • appmesh:ListVirtualNodes

  • appmesh:ListVirtualRouters

  • appmesh:ListRoutes

  • appmesh:ListVirtualServices

  • appmesh:DescribeVirtualNode

  • appmesh:DescribeVirtualRouter

  • appmesh:DescribeRoute

  • appmesh:DescribeVirtualService

  • appmesh:DeleteVirtualNode

  • appmesh:DeleteVirtualRouter

  • appmesh:DeleteRoute

  • appmesh:DeleteVirtualService

Amazon Aurora

以下是默认值Amazon RAM可共享 Amazon Aurora 资源的托管权限。

资源类型 权限名称和 ARN 允许的操作
RDS: 群集

名称: AWSA 默认故障权限 RDS 群集

ARN:arn: aws: ram። AWS: 权限/AWSA 错误权限 RDS集群

  • rds:RestoreDbClusterToPointInTime

  • rds:DescribeDbClusters

Amazon Certificate Manager Private Certificate Authority

以下是默认值Amazon RAM可共享 ACM 专用 CA 资源的托管权限。

资源类型 权限名称和 ARN 允许的操作
ACM-PCA: 证书颁发机构

名称: AWSA 错误权限证书颁发机构

ARN:arn: aw:ram። AWS: 许可/AWSRADE 权限证书颁发机构

  • acm-pca:IssueCertificate

  • acm-pca:DescribeCertificateAuthority

  • acm-pca:GetCertificate

  • acm-pca:GetCertificateAuthorityCertificate

  • acm-pca:ListPermissions

  • acm-pca:ListTags

Amazon CodeBuild

以下是默认值Amazon RAM托管权限可共享Amazon CodeBuild资源的费用。

资源类型 权限名称和 ARN 允许的操作
代码构建:项目

名称: AWSA 错误权限代码构建项目

ARN:arn: aw:ram። AWS: 许可/AWSRAME 权限代码构建项目

  • codebuild:BatchGetBuilds

  • codebuild:BatchGetProjects

  • codebuild:ListBuildsForProject

代码构建:报表组

名称: AWSS 默认权限代码构建组

ARN:arn: aw:ram። AWS: 权限/AWSDE 权限代码构建组

  • codebuild:BatchGetReports

  • codebuild:BatchGetReportGroups

  • codebuild:ListReportsForReportGroup

  • codebuild:DescribeTestCases

Amazon EC2

以下是默认值Amazon RAM托管权限可共享 Amazon EC2 资源。

资源类型 权限名称和 ARN 允许的操作
EC: 容量预留

名称: AWSA 故障许可容量预留

ARN:arn: aw:ram። AWS: 许可/AWSRADE 许可容量预留

  • ec2:RunInstance

  • ec2:DescribeCapacityReservations

EC: 专用主机

名称: AWSA 故障权限专用主机

ARN:arn: aws: ram። AWS: 权限/AWSA 错误权限专用主机

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:DescribeHosts

  • ec2:ModifyInstancePlacement

Amazon EC2 Image Builder

以下是默认值Amazon RAM托管权限可共享 Amazon EC2 Image Builder 资源。

资源类型 权限名称和 ARN 允许的操作
图像构建器:组件

名称: AWSA 默认故障权限图像构建器组件

ARN:arn: aw:ram። AWS: 权限/AWSDE 权限图像构建器组件

  • imagebuilder:GetComponent

  • imagebuilder:ListComponents

图像构建器:图像

名称: AWSA 默认故障权限图像构建器映像

ARN:arn: aw:ram። AWS: 权限/AWSRAME 权限图像构建器映像

  • imagebuilder:GetImage

  • imagebuilder:ListImages

形象构建器:图像配方

名称: AWSS 默认错误权限图像构建器图像配方

ARN:arn: aw:ram። AWS: 权限/图像构建器:AWSRAMD 权限图像构建器图像配方

  • imagebuilder:GetImageRecipe

  • imagebuilder:ListImageRecipes

图像构建器:容器配方

名称: AWSS 默认错误权限图像构建器容器配方

ARN:arn: aw:ram። AWS: 权限/图像构建器:AWSRAM 错误权限图像构建器容器配方

  • imagebuilder:GetContainerRecipe

  • imagebuilder:ListContainerRecipes

Amazon连接词

以下是默认值Amazon RAM托管权限可共享AmazonGlue 资源。

资源类型 权限名称和 ARN 允许的操作
胶水:目录

名称: AWSA 默认导入对话框

ARN:ARN: aws: ram። AWS: 许可/AWSRAMD

  • glue:GetTable

  • glue:GetTableVersion

  • glue:GetTableVersions

  • glue:GetPartition

  • glue:GetPartitions

  • glue:BatchGetPartition

  • glue:GetDatabase

  • glue:GetTables

  • glue:GetDatabases

  • glue:SearchTables

胶水:数据库

名称: AWSA 默认数据库

ARN:arn: aw:ram። AWS: 许可/AWSRAME 数据库

  • glue:GetTable

  • glue:GetTableVersion

  • glue:GetTableVersions

  • glue:GetPartition

  • glue:GetPartitions

  • glue:BatchGetPartition

  • glue:GetDatabase

  • glue:GetDatabases

  • glue:GetTables

  • glue:SearchTables

胶水:表

名称: AWSA 默认允许随时可用

ARN:ARN: aws: ram። AWS: 许可/AWSRAMDER 允许

  • glue:GetTable

  • glue:GetTableVersion

  • glue:GetTableVersions

  • glue:GetPartition

  • glue:GetPartitions

  • glue:BatchGetPartition

  • glue:SearchTables

Amazon License Manager

以下是默认值Amazon RAM托管权限可共享Amazon License Manager资源的费用。

资源类型 权限名称和 ARN 允许的操作
授权管理员:授权辅助

名称: AWSA 故障许可证二次配置

ARN:arn: aw:ram። AWS: 许可/AWSDE 许可证二次配置

  • license-manager:GetLicenseConfiguration

  • license-manager:ListLicenseConfigurations

  • license-manager:ListAssociationsForLicenseConfiguration

  • license-manager:ListUsageForLicenseConfiguration

Amazon Network Firewall

以下是默认值Amazon RAM托管权限可共享Amazon Network Firewall资源的费用。

资源类型 权限名称和 ARN 允许的操作
网络防火墙:防火墙策略

名称: AWSA 故障权限网络防火墙策略

ARN:arn: aws: ram። AWS: 权限/AWSRAMD 故障权限网络防火墙策略

  • network-firewall:CreateFirewall

  • network-firewall:UpdateFirewall

  • network-firewall:AssociateFirewallPolicy

  • network-firewall:ListFirewallPolicies

网络-防火墙:状态

名称: AWSS 默认故障权限网络防火墙状态完成

ARN:arn: aw:ram። AWS: 权限/AWSRAMD 错误权限网络防火墙状态完整

  • network-firewall:CreateFirewallPolicy

  • network-firewall:UpdateFirewallPolicy

  • network-firewall:ListRuleGroups

网络-防火墙:斯特勒格鲁普

名称: AWSS 默认故障权限网络防火墙防火墙防护程序

ARN:arn: aw:ram። AWS: 权限/AWSRAME 权限网络防火墙防火墙防火墙网络

  • network-firewall:CreateFirewallPolicy

  • network-firewall:UpdateFirewallPolicy

  • network-firewall:ListRuleGroups

Amazon Outposts

以下是默认值Amazon RAM托管权限可共享Amazon Outposts资源的费用。

注意

对于默认值Amazon RAM共享子网和 Outposts 上的本地网关路由表的托管权限,请参阅Subnets本地网关路由表

资源类型 权限名称和 ARN 允许的操作
前哨:前哨

名称: AWSS 默认故障权限发出站

ARN:arn: aws: ram። AWS: 许可/AWSRADE 许可前哨

  • outposts:GetOutpost

  • outposts:GetOutpostInstanceTypes

  • outposts:ListOutposts

Amazon Resource Groups

以下是默认值Amazon RAM托管权限可共享Amazon Resource Groups资源的费用。

资源类型 权限名称和 ARN 允许的操作
资源组:组

名称: AWSA 默认故障权限资源组

ARN:arn: aw:ram። AWS: 权限/AWSRAME 权限资源组

  • resource-groups:GetGroup

  • resource-groups:GetGroupConfiguration

  • resource-groups:ListGroupResources

Amazon Route 53

以下是默认值Amazon RAM托管权限可共享 Amazon Route 53 资源。

资源类型 权限名称和 ARN 允许的操作
路由 53 解决器:防火墙防火墙

名称: AWSA 默认故障权限解决防火墙规则集

ARN:arn: aw:ram። AWS: 权限/AWSRAME 权限解决防火墙规则

  • route53resolver:GetFirewallRuleGroup

  • route53resolver:ListFirewallRuleGroups

路由 53 解析器:解析规则

名称: AWSA 错误权限解析规则

ARN:arn: aw:ram። AWS: 权限/AWSRAMD 错误权限解析规则

  • route53resolver:GetResolverRule

  • route53resolver:AssociateResolverRule

  • route53resolver:DisassociateResolverRule

  • route53resolver:ListResolverRules

  • route53resolver:ListResolverRuleAssociations

路由 53 解析器:解析查询日志配置

名称: AWSS 默认错误权限解析查询日志配置

ARN:arn: aw:ram። AWS: 权限/AWSRAMD 错误权限解析查询日志配置

  • route53resolver:AssociateResolverQueryLogConfig

  • route53resolver:DisassociateResolverQueryLogConfig

  • route53resolver:ListResolverQueryLogConfigs

AmazonSystems Manager 事件管理器

以下是默认值Amazon RAM托管权限可共享AmazonSystems Manager 事件管理器资源。

资源类型 权限名称和 ARN 允许的操作
SSM-联系方式:联系方式

名称: AWSA 默认故障权限联系人联系

ARN:arn: aw:ram። AWS: 权限/AWSDE 权限联系方式

  • ssm-contacts:GetContact

  • ssm-contacts:StartEngagement

  • ssm-contacts:DescribeEngagement

  • ssm-contacts:ListPagesByEngagement

  • ssm-contacts:StopEngagement

SSM 事件:响应计划

名称: AWSA 默认故障权限响应计划

ARN:arn: aw:ram። AWS: 许可/AWSRADE 权限允许响应计划

  • ssm-incidents:GetResponsePlan

  • ssm-incidents:StartIncident

  • ssm-incidents:UpdateIncidentRecord

  • ssm-incidents:GetIncidentRecord

  • ssm-incidents:CreateTimelineEvent

  • ssm-incidents:UpdateTimelineEvent

  • ssm-incidents:GetTimelineEvent

  • ssm-incidents:ListTimelineEvents

  • ssm-incidents:UpdateRelatedItems

  • ssm-incidents:ListRelatedItems

Amazon VPC

以下是默认Amazon RAM可共享 Amazon VPC 资源的托管权限。

资源类型 权限名称和 ARN 允许的操作
EC: 前缀列表

名称: AWSA 错误权限前缀列表

ARN:arn: aw:ram። AWS: 权限/AWSRAME 权限前缀列表

  • ec2:DescribeManagedPrefixLists

  • ec2:GetManagedPrefixListEntries

ec2:Subnet

名称: AWSA 默认故障权限子网

ARN:arn: aws: ram። AWS: 权限/AW 错误权限子网

  • ec2:RunInstances

  • ec2:CreateNetworkInterface

  • ec2:DescribeSubnets

EC: 流量镜像目标

名称: AWSA 故障权限流量镜像

ARN:arn: aws: ram። AWS: 权限/AWSA 错误权限流量镜像

  • ec2:DescribeTrafficMirrorTargets

  • ec2:CreateTrafficMirrorSession

  • ec2:DeleteTrafficMirrorSession

  • ec2:DescribeTrafficMirrorSessions

EC: CreateTateTraneTraneT

名称: AWSA 默认故障权限通过网关

ARN:arn: aws: ram። AWS: 权限/AWSA 错误许可通过网关

  • ec2:DescribeTransitGateways

  • ec2:CreateTransitGatewayVpcAttachment

  • ec2:ModifyTransitGatewayVpcAttachment

  • ec2:DeleteTransitGatewayVpcAttachment

EC2: 本地网关路由

名称: AWSA 默认故障权限本地网关

ARN:arn: aw:ram። AWS: 权限/AWSA 错误权限本地网关

  • ec2:CreateLocalGatewayRouteTableVpcAssociation

  • ec2:DeleteLocalGatewayRouteTableVpcAssociation

  • ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations

  • ec2:DescribeLocalGatewayRouteTableVpcAssociations

  • ec2:DescribeLocalGatewayRouteTables

  • ec2:DescribeLocalGatewayVirtualInterfaceGroups

  • ec2:DescribeLocalGatewayVirtualInterfaces

  • ec2:DescribeLocalGateways

  • ec2:SearchTransitGatewayRoutes