Amazon适用于 的托管策略Amazon RAM - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon适用于 的托管策略Amazon RAM

Amazon Resource Access Manager目前提供了几个Amazon RAM托管策略,本主题中介绍了这些策略。

在前面的列表中,您可以将前三个策略附加到 IAM 用户和角色以授予权限。列表中的最后一个策略保留给Amazon RAM服务的服务相关角色。

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管式策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管式策略

Amazon Web Services 负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ViewOnlyAccess Amazon托管策略提供对许多只读访问权Amazon Web Services和资源。当服务启动新功能时,Amazon会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略

Amazon 托管策略:AWSResourceAccessManagerReadOnlyAccess

您可以将 AWSResourceAccessManagerReadOnlyAccess 策略附加得到 IAM 身份。

此策略提供对您拥有的资源共享的只读权限。Amazon Web Services 账户.

它通过授予运行任何Get*要么List*运算。它不提供任何修改任何资源共享的能力。

权限详细信息

此策略包含以下权限。

  • ram— 允许委托人查看有关账户拥有的资源共享的详细信息。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ram:Get*", "ram:List*" ], "Effect": "Allow", "Resource": "*" } ] }

Amazon托管策略:AWSResourceAccessManagerFullAccess

您可以将 AWSResourceAccessManagerFullAccess 策略附加得到 IAM 身份。

此策略提供完整的管理访问权限,以查看或修改属于您的资源共享。Amazon Web Services 账户.

它通过授予运行任何权限来实现此目的ram运算。

权限详细信息

此策略包含以下权限。

  • ram— 允许委托人查看或修改有关由Amazon Web Services 账户.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ram:*" ], "Effect": "Allow", "Resource": "*" } ] }

Amazon托管策略:AWSResourceAccessManagerResourceShareParticipantAccess

您可以将 AWSResourceAccessManagerResourceShareParticipantAccess 策略附加得到 IAM 身份。

此策略使委托人能够接受或拒绝与此共享的资源共享Amazon Web Services 账户,并查看有关这些资源共享的详细信息。它不提供任何修改这些资源共享的能力。

它通过授予运行某些权限来实现这一点ram运算。

权限详细信息

此策略包含以下权限。

  • ram— 允许委托人接受或拒绝资源共享邀请,并查看与账户共享的资源共享的详细信息。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ram:AcceptResourceShareInvitation", "ram:GetResourcePolicies", "ram:GetResourceShareInvitations", "ram:GetResourceShares", "ram:ListPendingInvitationResources", "ram:ListPrincipals", "ram:ListResources", "ram:RejectResourceShareInvitation" ], "Effect": "Allow", "Resource": "*" } ] }

Amazon托管策略:AWSResourceAccessManagerServiceRolePolicy

这些区域有:Amazon管理的策略AWSResourceAccessManagerServiceRolePolicy只能与服务相关角色一起使用Amazon RAM. 您不能附加、分离、修改或删除此策略。

此策略提供:Amazon RAM具有对组织结构的只读访问权限。启用之间的集成时Amazon RAM和Amazon Organizations、Amazon RAM自动创建名为的服务相关角色AWSServiceRoleForResourceAccessManager该服务假定何时需要查找有关您的组织及其帐户的信息,例如,当您在Amazon RAM控制台。

要实现此目的,它授予只读权限,以运行organizations:Describeorganizations:List提供组织结构和账户详细信息的操作。

权限详细信息

此策略包含以下权限。

  • organizations— 允许承担者查看有关组织结构的信息,包括组织单位和Amazon Web Services 账户它们包含。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots" ], "Resource": "*" }, { "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager", "Effect": "Allow", "Action": [ "iam:DeleteRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*" ] } ] }

对 Amazon 托管式策略的 Amazon RAM 更新

查看有关 Amazon RAM 的 Amazon 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。要获得有关此页面更改的自动提示,请订阅Amazon RAM文档历史记录页面。

更改 描述 日期

Amazon Resource Access Manager 已开启跟踪更改

Amazon RAM记录了其现有的托管策略并开始跟踪更改。

2021 年 9 月 16 日