本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon RAM 如何与 IAM 协同工作
默认情况下,IAM 用户没有创建或修改的权限。Amazon RAM资源的费用。要允许 IAM 用户创建或修改资源和执行任务,您必须附加Amazon要么创建和附加授予使用特定资源和 API 操作的权限的新 IAM 策略。然后,将这些策略附加到需要这些权限的 IAM 用户或组。
Amazon RAM提供了几个Amazon您可以使用的托管策略,以满足许多用户的需求。有关这些规则组的更多信息,请参阅 Amazon适用于 的托管策略Amazon RAM。
如果您需要更好地控制授予用户的权限,则可以在 IAM 控制台中构建自己的策略。有关创建策略并将其附加到 IAM 用户和角色的信息,请参阅。IAM 中的策略和权限。中的Amazon Identity and Access Management用户指南.
以下部分提供了Amazon RAM有关构建 IAM 权限策略的具体详细信息。
策略结构
IAM 策略是包含以下语句的 JSON 文档:效果、操作、资源和条件。IAM 策略通常采用以下形式。
{ "Statement":[{ "Effect":"effect", "Action":"action", "Resource":"arn", "Condition":{ "condition":{ "key":"value" } } }] }
效果
这些区域有:Effect语句指示策略是允许还是拒绝用户执行操作的权限。可能值包括:Allow
和Deny
.
操作
这些区域有:操作语句指定Amazon RAM策略允许或拒绝授权的 API 操作。有关允许操作的完整列表,请参阅由 定义的操作Amazon Resource Access Manager中的IAM 用户指南.
资源
这些区域有:资源语句指定Amazon RAM受策略影响的资源。要在语句中指定资源,您需要使用其唯一的 Amazon 资源名称 (ARN)。有关允许的资源的完整列表,请参阅由 定义的资源Amazon Resource Access Manager中的IAM 用户指南.
Condition
Condition语句是可选的。它们可以用于进一步细化应用策略的条件。Amazon RAM支持以下条件键:
-
aws:RequestTag/${TagKey}
— 指定在创建或标记资源共享时必须使用的标签键值对。 -
aws:ResourceTag/${TagKey}
— 表示只能对具有指定标签键值对的资源执行该操作。 -
aws:TagKeys
— 指定在创建或标记资源共享时可以使用的标签键。 -
ram:AllowsExternalPrincipals
— 表示只能对允许或拒绝与外部委托人共享的资源共享执行该操作。外部委托人是Amazon Web Services 账户在您组织外部Amazon Organizations. -
ram:Principal
— 表示只能对指定的委托人执行该操作。 -
ram:RequestedResourceType
— 表示只能对指定的资源类型执行该操作。必须使用列表中显示的格式指定资源类型可共享的资源类型. -
ram:ResourceArn
— 表示只能对具有指定 ARN 的资源执行该操作。 -
ram:ResourceShareName
— 表示只能对具有指定名称的资源共享执行该操作。 -
ram:ShareOwnerAccountId
— 表示只能对特定账户拥有的资源共享执行该操作。