本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon RAM托管式权限
对于每种可共享的资源类型,至少有一个Amazon Resource Access Manager(Amazon RAM) 托管权限,它定义了有权访问资源共享中资源的委托人可以对这些资源执行的操作。有些资源类型只有一个Amazon RAM托管权限,默认情况下自动使用,无需您执行任何操作。有些资源类型定义了多个托管权限,您可以选择在资源共享中使用哪一种权限。
您可以随时检索可用托管式权限的列表。有关更多信息,请参阅 查看Amazon RAM托管权限。
的工作原理Amazon RAM托管式权限的工作原理
要了解概述,请观看以下视频,了解的工作原理Amazon RAM托管式权限允许您将最低权限访问的最佳实践Amazon资源。
Amazon RAM托管权限类似于IAM 基于资源的策略。当您创建资源共享时,您可以关联一个Amazon RAM要共享的每种资源的托管权限。
创建资源共享后,Amazon RAM将您与每种资源类型关联的托管权限提供给相应的资源所有服务,例如Amazon Private Certificate Authority. 然后,权限将附加到资源共享中的每个资源。
Amazon RAM托管权限指定以下内容:
- 效果
-
表示是否
Allow
要么Deny
对共享资源执行操作的主体权限。对于Amazon RAM托管权限,效果始终是Allow
. 有关更多信息,请参阅 。效果在里面IAM 用户指南. - 主体
-
的身份证号码Amazon Web Services 账户,或者Amazon 资源名称 (ARN)组织或组织单位 (OU)Amazon Organizations,或者的 Amazon 资源名称 (ARN)Amazon Identity and Access Management(IAM) 角色或您要向其授予共享资源的访问权限。有关更多信息,请参阅 IAM 用户指南中的委托人。
注意 并非所有资源类型都可以与 IAM 角色和用户共享。有关您可以与这些负责人共享的资源的信息,请参阅可共享Amazon资源.
- 操作
-
委托人被授予执行权限的操作。这可以是中的操作Amazon Web Services Management Console或者是中的操作Amazon Command Line Interface(Amazon CLI) 或AmazonAPI。这些操作由下式定义Amazon RAM权限。有关更多信息,请参阅 。操作在里面IAM 用户指南.
的类型Amazon RAM托管式权限
创建资源共享时,可以选择Amazon RAM与您在资源共享中包含的每种资源类型关联的权限。托管权限由资源所有服务定义,由管理Amazon RAM.
-
默认托管式权限— 每种资源类型都有一个默认的托管权限可用Amazon RAM支持。默认托管权限允许委托人执行由服务为资源类型定义的特定操作。例如,对于亚马逊 VPC
ec2:Subnet
资源类型,默认托管权限允许委托人执行以下操作:-
ec2:RunInstances
-
ec2:CreateNetworkInterface
-
ec2:DescribeSubnets
默认托管权限的名称采用以下格式:
AWSRAMDefaultPermission
. 例如,对于ShareableResourceType
ec2:Subnet
资源的类型,默认名称Amazon RAM托管权限是AWSRAMDefaultPermissionSubnet
. -
-
其他托管式权限— 某些资源类型支持其他权限选择,您可以将权限附加到资源共享中的资源类型。示例包括只读访问权限或完全访问权限 (
Read
和Write
访问)。这些额外的托管权限使您可以更灵活地选择向特定委托人授予支持的资源类型的权限。例如,当您共享同时支持完全访问权限的资源类型时 (Read
和Write
) 托管权限和只读托管权限,您可以使用授予管理员的完全访问托管权限共享资源。然后,您可以使用只读托管权限与其他团队成员共享资源,以关注授予最低权限的安全最佳实践. 注意 目前,只有一些Amazon使用 的服务Amazon RAM支持除默认权限之外的其他托管权限。您可以查看每种方法的可用权限Amazon上的服务权限库
页面。此页面提供有关每个可用托管权限的详细信息,包括当前与该权限关联的所有资源共享以及是否允许与外部委托人共享(如果适用)。有关更多信息,请参阅 查看Amazon RAM托管权限。 对于不支持额外托管权限的服务,当您创建资源共享时,Amazon RAM自动应用为所选资源类型定义的默认权限。