本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对 Amazon RAM使用服务相关角色
Amazon Resource Access Manager 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接链接到 Amazon RAM 服务。服务相关角色由您预定义 Amazon ,包括代表您调用其他 Amazon 服务 Amazon RAM 所需的所有权限。
服务相关角色使配置变得 Amazon RAM 更加容易,因为您不必手动添加必要的权限。 Amazon RAM 定义其服务相关角色的权限,除非另有定义,否则 Amazon RAM 只能担任其服务相关角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
有关支持服务相关角色的其他服务的信息,请参阅使用 IAM 的Amazon 服务并查找服务相关角色列中显示为是的服务。选择是和链接,查看该服务的服务相关角色文档。
的服务相关角色权限 Amazon RAM
Amazon RAM 使用启用与 Amazon Organizations共享AWSServiceRoleForResourceAccessManager时命名的服务相关角色。此角色向 Amazon RAM 服务授予查看组织详细信息的权限,例如成员账户列表以及每个账户所在的组织单位。
此服务相关角色仅信任以下服务来担任该角色:
-
ram.amazonaws.com
名 AWSResourceAccessManagerServiceRolePolicy 为的角色权限策略已附加到该服务相关角色, Amazon RAM 允许对指定资源完成以下操作:
-
操作:只读操作,用于检索有关组织结构的详细信息。有关操作的完整列表,您可以在 IAM 控制台中查看策略:AWSResourceAccessManagerServiceRolePolicy
。
要使委托人开启组织内部 Amazon RAM 共享,则该委托人(IAM 实体,例如用户、群组或角色)必须具有创建服务相关角色的权限。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
为创建服务相关角色 Amazon RAM
您无需手动创建服务相关角色。当你在开启组织内部 Amazon RAM 共享 Amazon Web Services Management Console,或者使用 Amazon CLI 或 Amazon API EnableSharingWithAwsOrganization在你的账户中运行时, Amazon RAM 会为你创建服务相关角色。
enable-sharing-with-aws-organizations致电在您的账户中创建服务关联角色。
如果您删除此服务相关角色,则 Amazon RAM 不再有权查看组织结构的详细信息。
编辑的服务相关角色 Amazon RAM
Amazon RAM 不允许您编辑 AWSResourceAccessManagerServiceRolePolicy 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除的服务相关角色 Amazon RAM
您可以使用 IAM 控制台、 Amazon CLI 或 Amazon API 手动删除服务相关角色。
使用 IAM 手动删除服务相关角色
使用 IAM 控制台 Amazon CLI、或 Amazon API 删除AWSResourceAccessManagerServiceRolePolicy服务相关角色。有关更多信息,请参见《IAM 用户指南》中的删除服务相关角色。
Amazon RAM 服务相关角色支持的区域
Amazon RAM 支持在提供服务的所有区域中使用服务相关角色。有关更多信息,请参阅 Amazon 中的 Amazon Web Services 一般参考区域和终端节点。