Amazon RAM 如何与 IAM 协同工作 - Amazon Resource Access Manager
策略结构
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon RAM 如何与 IAM 协同工作

默认情况下,IAM 用户没有创建或修改的权限。Amazon RAM资源的费用。要允许 IAM 用户创建或修改资源和执行任务,您必须附加Amazon要么创建和附加授予使用特定资源和 API 操作的权限的新 IAM 策略。然后,将这些策略附加到需要这些权限的 IAM 用户或组。

Amazon RAM提供了几个Amazon您可以使用的托管策略,以满足许多用户的需求。有关这些规则组的更多信息,请参阅 Amazon适用于 的托管策略Amazon RAM

如果您需要更好地控制授予用户的权限,则可以在 IAM 控制台中构建自己的策略。有关创建策略并将其附加到 IAM 用户和角色的信息,请参阅。IAM 中的策略和权限。中的Amazon Identity and Access Management用户指南.

以下部分提供了Amazon RAM有关构建 IAM 权限策略的具体详细信息。

策略结构

IAM 策略是包含以下语句的 JSON 文档:效果、操作、资源和条件。IAM 策略通常采用以下形式。

{
    "Statement":[{
        "Effect":"effect",
        "Action":"action",
        "Resource":"arn",
        "Condition":{
            "condition":{
                "key":"value"
            }
        }
    }]
}

效果

这些区域有:Effect语句指示策略是允许还是拒绝用户执行操作的权限。可能值包括:AllowDeny.

操作

这些区域有:操作语句指定Amazon RAM策略允许或拒绝授权的 API 操作。有关允许操作的完整列表,请参阅由 定义的操作Amazon Resource Access Manager中的IAM 用户指南.

资源

这些区域有:资源语句指定Amazon RAM受策略影响的资源。要在语句中指定资源,您需要使用其唯一的 Amazon 资源名称 (ARN)。有关允许的资源的完整列表,请参阅由 定义的资源Amazon Resource Access Manager中的IAM 用户指南.

Condition

Condition语句是可选的。它们可以用于进一步细化应用策略的条件。Amazon RAM支持以下条件键:

  • aws:RequestTag/${TagKey}— 指定在创建或标记资源共享时必须使用的标签键值对。

  • aws:ResourceTag/${TagKey}— 表示只能对具有指定标签键值对的资源执行该操作。

  • aws:TagKeys— 指定在创建或标记资源共享时可以使用的标签键。

  • ram:AllowsExternalPrincipals— 表示只能对允许或拒绝与外部委托人共享的资源共享执行该操作。外部委托人是Amazon Web Services 账户在您组织外部Amazon Organizations.

  • ram:Principal— 表示只能对指定的委托人执行该操作。

  • ram:RequestedResourceType— 表示只能对指定的资源类型执行该操作。必须使用列表中显示的格式指定资源类型可共享的资源类型.

  • ram:ResourceArn— 表示只能对具有指定 ARN 的资源执行该操作。

  • ram:ResourceShareName— 表示只能对具有指定名称的资源共享执行该操作。

  • ram:ShareOwnerAccountId— 表示只能对特定账户拥有的资源共享执行该操作。