Cómo compartir vistas de Resource Explorer - Explorador de recursos de AWS

Política de permisos para compartir la vista con Cuentas de AWS

Las vistas utilizan Explorador de recursos de AWS principalmente políticas basadas en recursos para conceder el acceso. Al igual que las políticas de bucket de Amazon S3, estas políticas se adjuntan a la vista y especifican quién puede utilizarla. Esto contrasta con AWS Identity and Access Management (IAM) las políticas basadas en la identidad. Una política IAM basada en la identidad se asigna a un rol, grupo o usuario y especifica a qué acciones y recursos puede acceder ese rol, grupo o usuario. Puede usar cualquier tipo de política con las vistas de Resource Explorer, de la siguiente manera:

En la cuenta de administración o la cuenta de administrador delegado propietaria del recurso, utilice cualquiera de los dos tipos de política para conceder el acceso, siempre que ninguna otra política deniegue explícitamente el acceso a la vista a esa entidad principal.
En todas las cuentas, debe usar ambos tipos de políticas. La política basada en recursos adjunta a la vista de la cuenta de uso compartido activa el uso compartido con otra cuenta consumidora. Sin embargo, esa política no concede acceso a los usuarios o roles individuales de la cuenta consumidora. El administrador de la cuenta consumidora también debe asignar una política basada en la identidad a los roles y usuarios deseados en la cuenta consumidora. Esa política otorga acceso al nombre de recurso de Amazon (ARN) de la vista.

Para compartir vistas con otras cuentas, debes usar AWS Resource Access Manager (AWS RAM). AWS RAM gestiona por usted la complejidad de las políticas basadas en recursos. Antes de poder compartir, debe realizar las siguientes tareas:

Activa la búsqueda en varias cuentas.
Asegúrese de que su política basada en recursos o la política basada en la IAM identidad que utilice para compartir y dejar de compartir vistas incluya los permisos y los permisos. resource-explorer-2:GetResourcePolicy resource-explorer-2:PutResourcePolicy resource-explorer-2:DeleteResourcePolicy

Para compartir una vista, debe ser administrador de la cuenta de la organización o un administrador delegado. Usted especifica las cuentas o identidades con las que quiere compartir el recurso. AWS RAM es totalmente compatible con las vistas del Explorador de recursos. AWS RAM utiliza políticas similares a las descritas en las siguientes secciones, en función de los tipos de directores con los que decida compartir. Para obtener instrucciones sobre cómo compartir recursos, consulte Compartir sus recursos de AWS en la Guía del usuario de AWS Resource Access Manager .

Los administradores y los administradores delegados pueden crear y compartir tres tipos diferentes de vistas: vista de alcance de la organización, vistas de alcance de la unidad organizativa (OU) y vistas de alcance a nivel de cuenta. Pueden compartir con organizaciones o cuentas. OUs Cuando las cuentas se unen a la organización o la AWS RAM abandonan, conceden o revocan automáticamente la vista compartida.

El siguiente ejemplo de política muestra cómo hacer que una vista esté disponible para los directores de dos formas diferentes: Cuentas de AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [ "111122223333", "444455556666" ]
            },
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            ], 
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
            "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
                "StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
            }
        }
    ]
    }"
}

El administrador de cada una de las cuentas especificadas ahora debe especificar qué roles y usuarios pueden acceder a la vista adjuntando políticas de permisos basadas en la identidad a los roles, grupos y usuarios. Los administradores de las cuentas 111122223333 o 444455556666 pueden crear la siguiente política de ejemplo. Después, pueden asignar la política a los roles, grupos y usuarios de esas cuentas a los que se les permitirá realizar búsquedas utilizando la vista compartida desde la cuenta de origen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
        }
    ]
}

Puede utilizar estas políticas IAM basadas en la identidad como parte de una estrategia de seguridad de control de acceso () basada en atributos. ABAC En ese paradigma, se asegura que todos sus recursos y todas sus identidades estén etiquetados. A continuación, especifique en sus políticas qué claves y valores de etiquetas deben coincidir entre la identidad y el recurso para que se permita el acceso. Para obtener información acerca de cómo etiquetar las vistas de su cuenta, consulte Agregar etiquetas a vistas. Para obtener más información sobre el control de acceso basado en atributos, consulte ¿Para qué sirve? ABAC AWS y Controlar el acceso a AWS los recursos mediante etiquetas, ambas en la Guía del IAMusuario.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Etiquetar vistas

Eliminar vistas