管理中的权限Amazon RAM - Amazon Resource Access Manager
托管权限的工作原理托管权限的类型
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理中的权限Amazon RAM

在中Amazon RAM,有两种类型的托管权限,即Amazon托管权限和客户管理权限。

托管权限定义了使用者如何对资源共享中的资源采取行动。创建资源共享时,必须为资源共享中包含的每种资源类型指定要使用的管理权限。托管权限中的策略模板包含基于资源的策略所需的所有内容,但委托人和资源除外。资源的 Amazon Resource Name (ARN),完善了基于资源的策略的元素。 Amazon RAM然后制定基于资源的策略,将其附加到该资源共享中的所有资源。

每个托管权限可以有一个或多个版本。一个版本被指定为该托管权限的默认版本。有时,通过创建新版本并将该新版本指定为默认版本来Amazon更新资源类型的Amazon托管权限。您也可以通过创建新版本来更新您的客户管理权限。已附加到资源共享的托管权限不会自动更新。Amazon RAM控制台会显示新的默认版本何时可用,您可以查看新默认版本与先前版本相比的变化。

注意

我们建议您尽快更新到Amazon托管权限的新版本。这些更新通常会增加对可使用共享其他资源类型的新资源或更Amazon Web Services新的支持Amazon RAM。新的默认版本还可以解决和更正安全漏洞。

重要

您只能将托管权限的默认版本附加到新的资源共享。

您可以随时检索可用托管权限的列表。有关更多信息,请参阅查看托管权限

主题

托管权限的工作原理

创建资源共享时,将Amazon托管权限与要共享的每种资源类型相关联。如果托管权限有多个版本,则新的资源共享始终使用指定为默认版本的版本。

创建资源共享后,Amazon RAM使用托管权限生成附加到每个共享资源的基于资源的策略。

托管权限中的策略模板指定了以下内容:

效果

表示是否具有对共享资源执行操作的权限AllowDeny委托人权限。对于托管权限,效果始终是Allow。有关更多信息,请参阅 IAM 用户指南中的效果

操作

委托人被授予执行权限的操作列表。这可以是Amazon Command Line Interface (Amazon CLI)Amazon Web Services Management Console 或Amazon API 中的操作。操作由Amazon权限定义。有关更多信息,请参阅 IAM 用户指南中的操作

条件

委托人何时以及如何与资源共享中的资源进行交互。条件为您的共享资源增加了一层额外的安全保护。使用它们来限制对共享资源的敏感操作的访问权限。例如,您可以添加一些条件,要求操作来自特定的公司 IP 地址范围,或者操作必须由经过多因素身份验证的用户执行。有关条件的更多信息,请参阅 IAM 用户指南中的Amazon全局条件键。有关服务特定条件的更多信息,请参阅服务授权参考中的操作、资源和条件键。Amazon

注意

客户托管权限有条件,托管权限支持的Amazon资源类型也可用。

有关禁止使用客户管理权限的条件的信息,请参阅在中使用客户管理权限的注意事项Amazon RAM

托管权限的类型

创建资源共享时,您可以选择管理权限与您在资源共享中包含的每种资源类型相关联。 Amazon托管权限由Amazon资源所有权服务定义并由管理Amazon RAM。您可以创建和维护自己的客户管理权限。

  • Amazon托管权限 — 每种Amazon RAM支持的资源类型都有一个默认的托管权限可用。除非您明确选择其他托管权限之一,否则默认的托管权限是用于资源类型的权限。默认托管权限旨在支持共享指定类型资源的最常见客户场景。默认的托管权限允许委托人执行服务为资源类型定义的特定操作。例如,对于 Amazon VPCec2:Subnet 资源类型,默认托管权限允许委托人执行以下操作:

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    默认Amazon托管权限的名称使用以下格式:AWSRAMDefaultPermissionShareableResourceType。例如,对于ec2:Subnet资源类型,默认Amazon托管权限的名称为AWSRAMDefaultPermissionSubnet

    注意

    默认托管权限与托管权限的默认版本是分开的。所有托管权限,无论是默认权限还是某些资源类型支持的额外托管权限之一,都是独立、完整的权限,具有不同的效果和操作,支持不同的共享方案,例如读写访问和只读访问权限。任何托管权限,Amazon无论是客户管理的权限,都可以有多个版本,其中一个是该权限的默认版本。

    例如,当您共享同时支持完全访问(ReadWrite)托管权限和只读托管权限的资源类型时,您可以为具有完全访问管理权限的管理员创建一个资源共享。然后,您可以使用只读托管权限为其他开发人员创建单独的资源共享,以遵循授予最低权限的做法

    注意

    使用的所有Amazon服务都Amazon RAM支持至少一个默认的托管权限。您可以在 “托管权限库” 页面Amazon Web Service上查看每个人的可用权限。此页面提供有关每个可用托管权限的详细信息,包括当前与该权限关联的任何资源共享以及是否允许与外部主体共享(如果适用)。有关更多信息,请参阅查看托管权限

    对于不支持其他托管权限的服务,在创建资源共享时,Amazon RAM会自动应用为所选资源类型定义的默认权限。如果支持,您还可以选择在关联管理权限页面上选择创建客户管理权限

  • 客户管理权限 — 客户管理权限是您创建和维护的托管权限,具体方法是精确指定在哪些条件下可以使用共享资源执行哪些操作Amazon RAM。例如,您想要限制您的 Amazon VPC IP 地址管理器 (IPAM) 池的读取访问权限,这可以帮助您大规模管理 IP 地址。您可以为开发人员创建客户管理权限以分配 IP 地址,但不能查看其他开发者账户分配的 IP 地址范围。您可以遵循最小权限的最佳实践,仅授予在共享资源上执行任务所需的许可。