在中管理权限Amazon RAM - Amazon Resource Access Manager
托管权限的工作原理托管权限的类型
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在中管理权限Amazon RAM

在中Amazon RAM,有两种类型的托管权限,即Amazon托管权限和客户管理权限。

托管权限定义了使用者如何对资源共享中的资源进行操作。创建资源共享时,您必须指定要对资源共享中包含的每种资源类型使用哪种托管权限。托管权限中的策略模板包含基于资源的策略所需的所有内容,但主体和资源除外。资源的 Amazon 资源名称 (ARN) 和与资源共享关联的委托人的 ARN 构成了基于资源的策略的要素。Amazon RAM然后编写基于资源的策略,并将其附加到该资源共享中的所有资源。

每个托管权限可以有一个或多个版本。该托管权限的一个版本被指定为默认 版本。有时,会通过创建新版本并将该新版本指定为默认版本来Amazon更新资源类型的Amazon托管权限。您还可以通过创建新版本,更新您的客户托管权限。已附加到资源共享的托管权限不会 自动更新。Amazon RAM控制台会显示新的默认版本何时可用,您可以查看新默认版本与前一个版本相比后的变化。

注意

我们建议您尽快更新到新版本的Amazon托管权限。这些更新通常会增加对新的或更新的支持Amazon Web Services 服务,这些更新可以使用共享其他资源类型Amazon RAM。新的默认版本还可以解决和更正安全漏洞。

重要

您只能将默认版托管权限附加到新资源共享。

您可以随时检索可用托管权限的列表。有关更多信息,请参阅 查看托管权限

主题

托管权限的工作原理

创建资源共享时,您可以将Amazon托管权限与要共享的每种资源类型相关联。如果托管权限有多个版本,则新的资源共享将始终使用指定为默认版本的版本。

创建资源共享后,Amazon RAM使用托管权限生成附加到每个共享资源的基于资源的策略。

托管权限中的策略模板指定了以下内容:

效果

表示是 Allow 还是 Deny 主体对共享资源执行操作的权限。对于托管权限,效果始终是 Allow。有关更多信息,请参阅《IAM 用户指南》中的效果

Action

主体有权执行的操作列表。这可以是中的操作,Amazon Web Services 管理控制台也可以是Amazon Command Line Interface(Amazon CLI) 或Amazon API 中的操作。操作由Amazon权限定义。有关更多信息,请参阅《IAM 用户指南》中的操作

条件

主体何时以及如何与资源共享中的资源进行交互。条件为您的共享资源增加了一层额外安全保障。使用它们来限制对共享资源的敏感操作的访问权限。例如,您可以包括一些条件,要求操作必须来自特定的公司 IP 地址范围,或者这些操作必须由经过多因素身份验证的用户执行。有关条件的更多信息,请参阅《IAM 用户指南》中的 Amazon全局条件上下文键。有关服务特定条件的更多信息,请参阅《服务授权参考》中的Amazon服务操作、资源和条件密钥

注意

客户托管权限和Amazon托管权限支持的资源类型都有条件。

有关不适用于客户托管权限的条件的信息,请参阅在 Amazon RAM 中使用客户托管权限的注意事项

托管权限的类型

创建资源共享时,您可以选择一个托管权限来与您在资源共享中包含的每种资源类型相关联。Amazon托管权限由Amazon拥有资源的服务定义并由管理。Amazon RAM您可以创建和维护自己的客户托管权限。

  • Amazon托管权限-每种Amazon RAM支持的资源类型都有一个默认的托管权限可用。除非您明确选择其他托管权限之一,否则默认托管权限是用于资源类型的权限。默认托管权限旨在支持共享指定类型资源的最常见客户场景。默认托管权限允许主体执行由服务为资源类型定义的特定操作。例如,对于 Amazon VPC ec2:Subnet 资源类型,默认托管权限允许主体执行以下操作:

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    默认Amazon托管权限的名称使用以下格式:AWSRAMDefaultPermissionShareableResourceType。例如,对于ec2:Subnet资源类型,默认Amazon托管权限的名称为AWSRAMDefaultPermissionSubnet

    注意

    默认托管权限与托管权限的默认版本 是分开的。所有托管权限,无论是默认权限还是某些资源类型支持的其他托管权限之一,都是独立的、完整的权限,具有不同的效果和操作,支持不同的共享场景,例如读写权限和只读权限。任何托管权限,无论是Amazon托管权限还是客户托管权限,都可以有多个版本,其中一个版本是该权限的默认版本。

    例如,当您共享同时支持完全访问(ReadWrite)托管权限和只读托管权限的资源类型时,您可以为具有完全访问托管权限的管理员创建一个资源共享。然后,您可以使用只读托管权限为其他开发人员创建单独的资源共享,以遵循授予最低权限的实践

    注意

    所有与之配合使用的Amazon服务都至少Amazon RAM支持一种默认托管权限。您可以在托管权限库页面上,查看每个Amazon Web Services 服务可用的权限。此页面提供有关每个可用托管权限的详细信息,包括当前与该权限关联的所有资源共享,以及是否允许与外部主体共享(如果适用)。有关更多信息,请参阅 查看托管权限

    对于不支持其他托管权限的服务,在创建资源共享时,Amazon RAM会自动应用为所选资源类型定义的默认权限。如果支持,您还可以选择在关联托管权限页面上,选择创建客户托管权限

  • 客户托管权限 - 客户托管权限是您通过精确指定可以在哪些条件下对使用Amazon RAM共享的资源执行哪些操作来创建和维护的托管权限。例如,您想限制 Amazon VPC IP 地址管理器(IPAM)池的读取权限,这有助于您大规模管理 IP 地址。您可以为开发人员创建客户托管权限来分配 IP 地址,但不能查看其他开发人员账户分配的 IP 地址范围。您可以遵循最低权限相关的最佳实践,仅授予在共享资源上执行任务所需的权限。