对 Amazon RAM 使用服务相关角色 - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 Amazon RAM 使用服务相关角色

Amazon Resource Access Manager 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与Amazon RAM服务。服务相关角色由预先定义Amazon并包括以下所有权限Amazon RAM需要打电话给其他人Amazon代表您提供的服务。

服务相关角色进行配置Amazon RAM更容易,因为您不必手动添加必要的权限。Amazon RAM定义其服务相关角色的权限,除非另外定义,否则仅限Amazon RAM可以扮演与服务相关的角色。定义的权限包括信任策略和权限策略,并且权限策略不能附加到任何其他 IAM 实体。

有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的 Amazon 服务并查找 Service-Linked Role(服务相关角色)列中显示为 Yes(是)的服务。请选择 Yes 与查看该服务的服务相关角色文档的链接。

适用于 Amazon RAM 的服务相关角色权限

Amazon RAM使用名为的服务相关角色AWSServiceRoleForResourceAccessManager当你启用与共享时Amazon Organizations. 此角色向以下用户授予权限Amazon RAM用于查看组织详细信息的服务,例如成员账户列表以及每个账户所在的组织单位。

此服务相关角色信任以下服务代入该角色:

  • ram.amazonaws.com

角色权限策略名为 AWSResourceAccessManagerServiceRolePolicy 附属于这个与服务相关的角色,并允许Amazon RAM对指定资源完成以下操作:

让校长开启Amazon RAM在组织内共享时,该委托人(用户、组或角色等 IAM 实体)必须具有创建服务相关角色的权限。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

为 Amazon RAM 创建服务相关角色

无需手动创建服务相关角色。当你开启时Amazon RAM在您的组织内共享Amazon Web Services Management Console,或者运行EnableSharingWithAwsOrganization在您的账户中使用Amazon CLI或者一个AmazonAPI,Amazon RAM为您创建服务相关角色。

如果您删除此服务相关角色,则Amazon RAM不再具有查看组织结构详细信息的权限。

为 Amazon RAM 编辑服务相关角色

Amazon RAM不允许您编辑 AWSResourceAccessManagerServiceRolePolicy 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参见 IAM 用户指南中的编辑服务相关角色

删除 Amazon RAM 的服务相关角色

您可以使用 IAM 控制台Amazon CLI或者Amazon用于手动删除服务相关角色的 API。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台,即 Amazon CLI 或 Amazon API 来删除 AWSResourceAccessManagerServiceRolePolicy 服务相关角色。有关更多信息,请参见 IAM 用户指南中的删除服务相关角色

Amazon RAM 服务相关角色支持的区域

Amazon RAM 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 。Amazon区域和终端节点Amazon Web Services 一般参考.