AWS RAM 权限 - AWS Resource Access Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS RAM 权限

AWS RAM 权限是 AWS RAM 使用的策略片段。它们控制允许委托人对与其共享的资源执行哪些操作。AWS RAM 权限用于生成附加到共享资源的基于资源的策略。

AWS RAM 包括每个受支持的可共享资源类型的默认 AWS 托管权限。这些托管权限由 AWS 创建和管理,它们为每个可共享资源类型定义允许的操作。有关默认 AWS 托管权限的更多信息,请参阅AWS 托管权限

权限的工作方式AWS RAM

当您创建资源共享时,AWS RAM 会自动将每个关联资源类型的默认权限附加到资源共享。例如,如果您创建资源共享并将子网和容量预留关联,AWS RAM 会自动将子网和容量预留权限附加到资源共享。

在创建资源共享后,将向相应的资源拥有服务提供权限。资源拥有服务使用提供的权限为资源共享中包含的每个资源创建基于资源的策略。资源拥有服务创建的生成的基于资源的策略包括以下元素:

  • Resource 资源共享中包含的资源。—

  • Effect— 权限的效果。AWS RAM始终为 allow

  • Principal— 与资源共享关联的委托人的 ARNs。

  • Action— 权限中定义的标准操作。AWS RAM

基于资源的策略将附加到共享资源。它们允许指定的委托人对资源执行允许的操作。

AWS 托管权限

AWS RAM 提供以下默认的 AWS 托管权限:

AWS App Mesh

AWS RAM 为可共享的 AWS 资源提供以下默认 AWS App Mesh 托管权限。

资源类型 权限名称和 ARN 效果 操作
appmesh:Mesh

名称:AWSRAMDefaultPermissionAppMesh

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionAppMesh

Allow
  • appmesh:CreateVirtualNode

  • appmesh:CreateVirtualRouter

  • appmesh:CreateRoute

  • appmesh:CreateVirtualService

  • appmesh:UpdateVirtualNode

  • appmesh:UpdateVirtualRouter

  • appmesh:UpdateRoute

  • appmesh:UpdateVirtualService

  • appmesh:ListVirtualNodes

  • appmesh:ListVirtualRouters

  • appmesh:ListRoutes

  • appmesh:ListVirtualServices

  • appmesh:DescribeVirtualNode

  • appmesh:DescribeVirtualRouter

  • appmesh:DescribeRoute

  • appmesh:DescribeVirtualService

  • appmesh:DeleteVirtualNode

  • appmesh:DeleteVirtualRouter

  • appmesh:DeleteRoute

  • appmesh:DeleteVirtualService

Amazon Aurora

AWS RAM 为可共享的 AWS 资源提供以下默认 Amazon Aurora 托管权限。

资源类型 权限名称和 ARN 效果 操作
rds:Cluster

名称:AWSRAMDefaultPermissionRDSCluster

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionRDSCluster

Allow
  • rds:RestoreDbClusterToPointInTime

  • rds:DescribeDbClusters

AWS Certificate Manager 私有证书颁发机构

AWS RAM 为可共享的 AWS 资源提供以下默认 ACM Private CA 托管权限。

资源类型 权限名称和 ARN 效果 操作
acm-pca:CertificateAuthority

名称:AWSRAMDefaultPermissionCertificateAuthority

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionCertificateAuthority

Allow
  • acm-pca:IssueCertificate

  • acm-pca:DescribeCertificateAuthority

  • acm-pca:GetCertificate

  • acm-pca:GetCertificateAuthorityCertificate

  • acm-pca:ListPermissions

  • acm-pca:ListTags

AWS CodeBuild

AWS RAM 为可共享的 AWS 资源提供以下默认 AWS CodeBuild 托管权限。

资源类型 权限名称和 ARN 效果 操作
Codebuild:项目

名称:AWSRAMDefaultPermissionCodeBuildProject

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionCodeBuildProject

Allow
  • codebuild:BatchGetBuilds

  • codebuild:BatchGetProjects

  • codebuild:ListBuildsForProject

codebuild:报告组

名称:AWSRAMDefaultPermissionCodeBuildReportGroup

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionCodeBuildReportGroup

Allow
  • codebuild:BatchGetReports

  • codebuild:BatchGetReportGroups

  • codebuild:ListReportsForReportGroup

  • codebuild:DescribeTestCases

Amazon EC2

AWS RAM 为可共享的 AWS 资源提供以下默认 Amazon EC2 托管权限。

资源类型 权限名称和 ARN 效果 操作
ec2:容量预留

名称:AWSRAMDefaultPermissionCapacityReservation

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionCapacityReservation

Allow
  • ec2:RunInstance

  • ec2:DescribeCapacityReservations

ec2:DedicatedHost

名称:AWSRAMDefaultPermissionDedicatedHost

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionDedicatedHost

Allow
  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:DescribeHosts

  • ec2:ModifyInstancePlacement

Amazon EC2 映像生成器

AWS RAM 为可共享的 AWS 映像生成器资源提供以下默认 Amazon EC2 托管权限。

资源类型 权限名称和 ARN 效果 操作
映像生成器:组件

名称:AWSRAMDefaultPermissionImageBuilderComponent

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionImageBuilderComponent

Allow
  • imagebuilder:GetComponent

  • imagebuilder:ListComponents

映像生成器:映像

名称:AWSRAMDefaultPermissionImageBuilderImage

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionImageBuilderImage

Allow
  • imagebuilder:GetImage

  • imagebuilder:ListImages

映像生成器:ImageRecipe

名称:AWSRAMDefaultPermissionImageBuilderImageRecipe

ARN: arn:aws:ram::aws:permission/imagebuilder:AWSRAMDefaultPermissionImageBuilderImageRecipe

Allow
  • imagebuilder:GetImageRecipe

  • imagebuilder:ListImageRecipes

AWS 粘合

AWS RAM 为可共享的 AWS Glue 资源提供以下默认 AWS 托管权限。

资源类型 权限名称和 ARN 效果 操作
glue:Catalog

名称:AWSRAMDefaultPermissionGlueCatalog

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionGlueCatalog

Allow
  • glue:GetTable

  • glue:GetTableVersion

  • glue:GetTableVersions

  • glue:GetPartition

  • glue:GetPartitions

  • glue:BatchGetPartition

  • glue:GetDatabase

  • glue:GetTables

  • glue:GetDatabases

  • glue:SearchTables

glue:Database

名称:AWSRAMDefaultPermissionGlueDatabase

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionGlueDatabase

Allow
  • glue:GetTable

  • glue:GetTableVersion

  • glue:GetTableVersions

  • glue:GetPartition

  • glue:GetPartitions

  • glue:BatchGetPartition

  • glue:GetDatabase

  • glue:GetDatabases

  • glue:GetTables

  • glue:SearchTables

glue:Table

名称:AWSRAMDefaultPermissionGlueTable

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionGlueTable

Allow
  • glue:GetTable

  • glue:GetTableVersion

  • glue:GetTableVersions

  • glue:GetPartition

  • glue:GetPartitions

  • glue:BatchGetPartition

  • glue:SearchTables

AWS License Manager

AWS RAM 为可共享的 AWS 资源提供以下默认 AWS License Manager 托管权限。

资源类型 权限名称和 ARN 效果 操作
license-manager:LicenseConfiguration

名称:AWSRAMDefaultPermissionLicenseConfiguration

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration

Allow
  • license-manager:GetLicenseConfiguration

  • license-manager:ListLicenseConfigurations

  • license-manager:ListAssociationsForLicenseConfiguration

  • license-manager:ListUsageForLicenseConfiguration

AWS Outposts

AWS RAM 为可共享的 AWS 资源提供以下默认 AWS Outposts 托管权限。

注意

有关 Outposts 上共享子网和本地网关路由表的默认 AWS 托管权限,请参阅子网本地网关路由表

资源类型 权限名称和 ARN 效果 操作
Outposts:Outpost

名称:AWSRAMDefaultPermissionOutpostsOutpost

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionOutpostsOutposts

Allow
  • outposts:GetOutpost

  • outposts:GetOutpostInstanceTypes

  • outposts:ListOutposts

AWS 资源组

AWS RAM 为可共享的 AWS 资源提供以下默认 AWS 资源组 托管权限。

资源类型 权限名称和 ARN 效果 操作
resource-groups:组

名称:AWSRAMDefaultPermissionResourceGroup

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionResourceGroup

Allow
  • resource-groups:GetGroup

  • resource-groups:GetGroupConfiguration

  • resource-groups:ListGroupResources

Amazon Route 53

AWS RAM 为可共享的 AWS 资源提供以下默认 Amazon Route 53 托管权限。

资源类型 权限名称和 ARN 效果 操作
route53resolver:ResolverRule

名称:AWSRAMDefaultPermissionResolverRule

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionResolverRule

Allow
  • route53resolver:GetResolverRule

  • route53resolver:AssociateResolverRule

  • route53resolver:DisassociateResolverRule

  • route53resolver:ListResolverRules

  • route53resolver:ListResolverRuleAssociations

route53resolver:ResolverQueryLogConfig

名称:AWSRAMDefaultPermissionResolverQueryLogConfig

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionResolverQueryLogConfig

Allow
  • route53resolver:AssociateResolverQueryLogConfig

  • route53resolver:DisassociateResolverQueryLogConfig

  • route53resolver:ListResolverQueryLogConfigs

Amazon VPC

AWS RAM 为可共享的 AWS 资源提供以下默认 Amazon VPC 托管权限。

资源类型 权限名称和 ARN 效果 操作
ec2:前缀列表

名称:AWSRAMDefaultPermissionPrefixList

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionPrefixList

Allow

  • ec2:DescribeManagedPrefixLists

  • ec2:GetManagedPrefixListEntries

ec2:Subnet

名称:AWSRAMDefaultPermissionSubnet

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet

Allow
  • ec2:RunInstances

  • ec2:CreateNetworkInterface

  • ec2:DescribeSubnets

ec2:TrafficMirrorTarget

名称:AWSRAMDefaultPermissionTrafficMirror

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionTrafficMirror

Allow
  • ec2:DescribeTrafficMirrorTargets

  • ec2:CreateTrafficMirrorSession

  • ec2:DeleteTrafficMirrorSession

  • ec2:DescribeTrafficMirrorSessions

ec2:中转网关

名称:AWSRAMDefaultPermissionTransitGateway

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionTransitGateway

Allow
  • ec2:DescribeTransitGateways

  • ec2:CreateTransitGatewayVpcAttachment

  • ec2:ModifyTransitGatewayVpcAttachment

  • ec2:DeleteTransitGatewayVpcAttachment

ec2:本地网关路由表

名称:AWSRAMDefaultPermissionLocalGateway

ARN: arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLocalGateway

Allow
  • ec2:CreateLocalGatewayRouteTableVpcAssociation

  • ec2:DeleteLocalGatewayRouteTableVpcAssociation

  • ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations

  • ec2:DescribeLocalGatewayRouteTableVpcAssociations

  • ec2:DescribeLocalGatewayRouteTables

  • ec2:DescribeLocalGatewayVirtualInterfaceGroups

  • ec2:DescribeLocalGatewayVirtualInterfaces

  • ec2:DescribeLocalGateways

  • ec2:SearchTransitGatewayRoutes