本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon适用于 的托管策略Amazon RAM
Amazon Resource Access Manager目前提供了几个Amazon RAM托管策略,本主题中介绍了这些策略。
Amazon托管策略
在前面的列表中,您可以将前三个策略附加到 IAM 用户和角色以授予权限。列表中的最后一个策略保留给Amazon RAM服务的服务相关角色。
要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管式策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管式策略。
Amazon Web Services 负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ViewOnlyAccess
Amazon托管策略提供对许多只读访问权Amazon Web Services和资源。当服务启动新功能时,Amazon会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略。
Amazon 托管策略:AWSResourceAccessManagerReadOnlyAccess
您可以将 AWSResourceAccessManagerReadOnlyAccess
策略附加得到 IAM 身份。
此策略提供对您拥有的资源共享的只读权限。Amazon Web Services 账户.
它通过授予运行任何Get*
要么List*
运算。它不提供任何修改任何资源共享的能力。
权限详细信息
此策略包含以下权限。
-
ram
— 允许委托人查看有关账户拥有的资源共享的详细信息。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ram:Get*", "ram:List*" ], "Effect": "Allow", "Resource": "*" } ] }
Amazon托管策略:AWSResourceAccessManagerFullAccess
您可以将 AWSResourceAccessManagerFullAccess
策略附加得到 IAM 身份。
此策略提供完整的管理访问权限,以查看或修改属于您的资源共享。Amazon Web Services 账户.
它通过授予运行任何权限来实现此目的ram
运算。
权限详细信息
此策略包含以下权限。
-
ram
— 允许委托人查看或修改有关由Amazon Web Services 账户.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ram:*" ], "Effect": "Allow", "Resource": "*" } ] }
Amazon托管策略:AWSResourceAccessManagerResourceShareParticipantAccess
您可以将 AWSResourceAccessManagerResourceShareParticipantAccess
策略附加得到 IAM 身份。
此策略使委托人能够接受或拒绝与此共享的资源共享Amazon Web Services 账户,并查看有关这些资源共享的详细信息。它不提供任何修改这些资源共享的能力。
它通过授予运行某些权限来实现这一点ram
运算。
权限详细信息
此策略包含以下权限。
-
ram
— 允许委托人接受或拒绝资源共享邀请,并查看与账户共享的资源共享的详细信息。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ram:AcceptResourceShareInvitation", "ram:GetResourcePolicies", "ram:GetResourceShareInvitations", "ram:GetResourceShares", "ram:ListPendingInvitationResources", "ram:ListPrincipals", "ram:ListResources", "ram:RejectResourceShareInvitation" ], "Effect": "Allow", "Resource": "*" } ] }
Amazon托管策略:AWSResourceAccessManagerServiceRolePolicy
这些区域有:Amazon管理的策略AWSResourceAccessManagerServiceRolePolicy
只能与服务相关角色一起使用Amazon RAM. 您不能附加、分离、修改或删除此策略。
此策略提供:Amazon RAM具有对组织结构的只读访问权限。启用之间的集成时Amazon RAM和Amazon Organizations、Amazon RAM自动创建名为的服务相关角色AWSServiceRoleForResourceAccessManager
要实现此目的,它授予只读权限,以运行organizations:Describe
和organizations:List
提供组织结构和账户详细信息的操作。
权限详细信息
此策略包含以下权限。
-
organizations
— 允许承担者查看有关组织结构的信息,包括组织单位和Amazon Web Services 账户它们包含。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots" ], "Resource": "*" }, { "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager", "Effect": "Allow", "Action": [ "iam:DeleteRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*" ] } ] }
对 Amazon 托管式策略的 Amazon RAM 更新
查看有关 Amazon RAM 的 Amazon 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。要获得有关此页面更改的自动提示,请订阅Amazon RAM文档历史记录页面。
更改 | 描述 | 日期 |
---|---|---|
Amazon Resource Access Manager 已开启跟踪更改 |
Amazon RAM记录了其现有的托管策略并开始跟踪更改。 |
2021 年 9 月 16 日 |