对 Amazon RAM 使用服务相关角色 - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 Amazon RAM 使用服务相关角色

Amazon Resource Access Manager 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与Amazon RAM服务直接相关。服务相关角色由预定义,Amazon并包含该服务代表您调用其他服务服务服务服务服务Amazon服务服务服务服务服务服务服务服务服务服务服务服务服务服务服务服务服务服务服务服务服务服务Amazon RAM

服务相关角色可让您Amazon RAM更轻松地配置,因为您不必手动添加必要的权限。 Amazon RAM定义其服务相关角色的权限,除非另外定义,否则Amazon RAM只能代入服务相关角色。定义的权限包括信任策略和权限策略,并且权限策略不能附加到任何其他 IAM 实体的权限策略。

有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的 Amazon 服务并查找 Service-Linked Role(服务相关角色)列中显示为 Yes(是)的服务。请选择 Yes 与查看该服务的服务相关角色文档的链接。

适用于 Amazon RAM 的服务相关角色权限

Amazon RAM使用启用共享AWSServiceRoleForResourceAccessManager时命名的服务关联角色Amazon Organizations。此角色向Amazon RAM服务授予查看组织详细信息的权限,例如成员账户列表以及每个账户所在的组织单位。

此服务相关角色信任以下服务代入该角色:

  • ram.amazonaws.com

名 AWSResourceAccessManagerServiceRolePolicy 为的角色权限策略将附加到该服务相关角色,并允许Amazon RAM在指定的资源上完成以下操作:

要使委托人要在您的组织中开启Amazon RAM共享,该委托人(如用户、组或角色)创建服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

为 Amazon RAM 创建服务相关角色

无需手动创建服务相关角色。当您在中开启组织内部Amazon RAM共享Amazon Web Services Management Console,或者使用Amazon CLI或Amazon API EnableSharingWithAwsOrganization在您的账户中运行时,Amazon RAM会为您创建服务相关角色。

如果您删除此服务相关角色,则Amazon RAM不再具有查看组织结构详细信息的权限。

为 Amazon RAM 编辑服务相关角色

Amazon RAM不允许您编辑 AWSResourceAccessManagerServiceRolePolicy 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参见 IAM 用户指南中的编辑服务相关角色

删除 Amazon RAM 的服务相关角色

您可以使用 IAM 控制台、Amazon CLI或Amazon API 手动删除服务相关角色。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台,即 Amazon CLI 或 Amazon API 来删除 AWSResourceAccessManagerServiceRolePolicy 服务相关角色。有关更多信息,请参见 IAM 用户指南中的删除服务相关角色

Amazon RAM 服务相关角色支持的区域

Amazon RAM 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 Amazon Web Services 一般参考中的Amazon区域和终端节点