Amazon RAM托管式权限 - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon RAM托管式权限

对于每种可共享的资源类型,至少有一种Amazon Resource Access Manager(Amazon RAM) 托管权限,定义了对资源共享中资源具有访问权限的委托人可对这些资源执行的操作。有些资源类型只有一种Amazon RAM托管权限,默认情况下会自动使用,无需执行任何操作。某些资源类型定义了多个托管权限,您可以选择在资源共享中使用哪种权限。

您可以随时检索可用托管权限的列表。有关更多信息,请参阅 查看Amazon RAM托管权限

怎么样Amazon RAM管式权限工作

Amazon RAM托管权限类似于IAM 基于资源的策略。创建资源共享时,您将Amazon RAM对要共享的每种资源类型的托管权限。

创建资源共享之后,Amazon RAM提供与每种资源类型关联到相应资源拥有者的服务的托管权限,例如Amazon Certificate Manager Private Certificate Authority. 然后,权限将附加到资源共享中的每个资源。

Amazon RAM托管权限指定以下内容:

效果

指示是否Allow要么Deny对共享资源执行操作的委托人权限。对于Amazon RAM托管权限,效果始终是Allow. 有关更多信息,请参阅 。Effect中的IAM 用户指南.

主体

A 的 ID 号Amazon Web Services 账户,或者Amazon 资源名称 (ARN)中的组织或组织部门 (OU) 的Amazon Organizations或者您的 Amazon 资源名称 (ARN)Amazon Identity and Access Management(IAM) 角色或您要向其授予访问共享资源的用户。有关更多信息,请参阅 IAM 用户指南中的委托人

注意

并非所有资源类型都可以与 IAM 角色和用户共享。有关可以与这些承担者共享的资源的信息,请参阅可共享Amazon资源.

操作

授予委托人执行权限的操作。这可以是中的操作Amazon Web Services Management Console或者在Amazon Command Line Interface(Amazon CLI) 或AmazonAPI。这些操作由Amazon RAM权限。有关更多信息,请参阅 。操作中的IAM 用户指南.

的类型Amazon RAM托管式权限

创建资源共享时,您可以选择Amazon RAM与资源共享中包含的每种资源类型关联的权限。托管权限由资源拥有者的服务定义,由Amazon RAM.

  • 默认托管式权限— 每种资源类型都有一个默认托管权限可用Amazon RAM支持。默认托管权限允许委托人执行服务为资源类型定义的特定操作。例如,对于亚马逊 VPCec2:Subnet资源类型,默认托管式权限允许承担者执行以下操作:

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    默认托管式权限的名称采用以下格式:AWSRAMDefaultPermissionShareableResourceType. 例如,对于ec2:Subnet资源类型,默认值的名称Amazon RAM托管权限是AWSRAMDefaultPermissionSubnet.

  • 其他托管式权限— 某些资源类型支持附加到资源共享中资源类型的权限的其他选择。示例包括只读访问或完全访问权限 (ReadWrite访问)。这些额外的托管权限使您可以更灵活地选择授予受支持资源类型的特定委托人的权限。例如,当您共享同时支持完全访问权限的资源类型时(ReadWrite) 托管权限和只读托管权限,则可以使用授予管理员的完全访问托管权限共享资源。然后,您可以使用只读托管权限与其他团队成员共享资源以遵循授予最低权限的安全最佳实践.

    注意

    目前只有一些Amazon使用 的服务Amazon RAM支持超出默认权限的其他托管权限。您可以查看每个版本的可用权限Amazon上的服务权限库页. 本页提供有关每个可用的托管权限的详细信息,包括当前与该权限关联的任何资源共享,以及是否允许与外部委托人共享(如果适用)。有关更多信息,请参阅 查看Amazon RAM托管权限

    对于不支持其他托管权限的服务,当您创建资源共享时,Amazon RAM自动应用为您选择的资源类型定义的默认权限。