Amazon的托管策略Amazon RAM - Amazon Resource Access Manager
AWSResourceAccessManagerReadOnlyAccessAWSResourceAccessManagerFullAccessAWSResourceAccessManagerResourceShareParticipantAccessAWSResourceAccessManagerServiceRolePolicy策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon的托管策略Amazon RAM

Amazon Resource Access Manager目前提供了几个Amazon RAM托管策略,本主题将对此进行介绍。

在上面的列表中,您可以将前三个策略附加到您的 IAM 角色、组和用户以授予权限。列表中的最后一个策略是为Amazon RAM服务的服务相关角色保留的。

Amazon托管策略是由创建和管理的独立策略Amazon。Amazon托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有Amazon客户使用。我们建议通过定义特定于使用案例的客户管理型策略来进一步减少权限。

您无法更改Amazon托管策略中定义的权限。如果Amazon更新Amazon托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。Amazon最有可能在启动新的 API 或现有服务可以使用新Amazon Web Services 服务的 API 操作时更新Amazon托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon托管式策略

Amazon托管策略: AWSResourceAccessManagerReadOnlyAccess

您可以将 AWSResourceAccessManagerReadOnlyAccess 策略附加到 IAM 身份。

此策略为您的Amazon Web Services 账户所拥有的资源共享提供只读权限。

方法为:授予运行任何 Get*List* 操作的权限。它不提供修改任何资源共享的任何功能。

权限详细信息

该策略包含以下权限。

  • ram - 允许主体查看有关账户拥有的资源共享的详细信息。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:Get*",
                "ram:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Amazon托管策略: AWSResourceAccessManagerFullAccess

您可以将 AWSResourceAccessManagerFullAccess 策略附加到 IAM 身份。

此策略提供查看或修改您拥有的资源共享的完全管理权限Amazon Web Services 账户。

方法为:授予运行任何 ram 操作的权限。

权限详细信息

该策略包含以下权限。

  • ram - 允许主体查看或修改有关Amazon Web Services 账户所拥有的资源共享的任何信息。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Amazon托管策略: AWSResourceAccessManagerResourceShareParticipantAccess

您可以将 AWSResourceAccessManagerResourceShareParticipantAccess 策略附加到 IAM 身份。

该政策使委托人能够接受或拒绝与此共享的资源共享Amazon Web Services 账户,以及查看有关这些资源共享的详细信息。它不提供修改这些资源共享的任何功能。

方法为:授予运行一些 ram 操作的权限。

权限详细信息

该策略包含以下权限。

  • ram - 允许主体接受或拒绝资源共享邀请,以及查看有关与账户共享的资源共享的详细信息。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareInvitations",
                "ram:GetResourceShares",
                "ram:ListPendingInvitationResources",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:RejectResourceShareInvitation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Amazon托管策略: AWSResourceAccessManagerServiceRolePolicy

Amazon托管策略AWSResourceAccessManagerServiceRolePolicy只能与的服务相关角色一起使用。Amazon RAM您不能附加、分离、修改或删除此策略。

此政策Amazon RAM提供对组织结构的只读访问权限。启用Amazon RAM和之间的集成后Amazon Organizations,Amazon RAM会自动创建一个名为的服务相关角色 AWSServiceRoleForResourceAccessManager,当服务需要查找有关您的组织及其帐户的信息时(例如,当您在Amazon RAM控制台中查看组织结构时),该角色将代入该角色。

方法为:授予只读权限来运行 organizations:Describeorganizations:List 操作,以提供组织结构和账户的详细信息。

权限详细信息

该策略包含以下权限。

  • organizations - 允许主体查看有关组织结构的信息,包括组织单位及其包含的Amazon Web Services 账户。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
            ]
        }
    ]
}

Amazon RAMAmazon托管策略的更新

查看Amazon RAM自该服务开始跟踪这些更改以来Amazon托管策略更新的详细信息。要获得有关此页面更改的自动提醒,请订阅 “Amazon RAM文档历史记录” 页面上的 RSS feed。

更改 描述 日期

Amazon Resource Access Manager开始跟踪更改

Amazon RAM记录了其现有的托管策略并开始跟踪更改。

 2021 年 9 月 16 日