Peran pengguna IAM di AMS - Panduan Orientasi Tingkat Lanjut AMS
MALZ: Peran Pengguna IAM DefaultSALZ: Peran Pengguna IAM Default

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran pengguna IAM di AMS

Peran IAM mirip dengan pengguna IAM, karena itu adalah AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya.

Saat ini ada satu peran pengguna default AMSCustomer_ReadOnly_Role, untuk akun AMS standar dan peran tambahan, customer_managed_ad_user_role untuk akun AMS dengan Direktori Aktif Terkelola.

Kebijakan peran menetapkan izin untuk CloudWatch dan tindakan log Amazon S3, akses konsol AMS, pembatasan hanya-baca pada Layanan AWS sebagian besar, akses terbatas ke konsol S3 akun, dan akses tipe perubahan AMS.

Selain itu, Customer_ReadOnly_Role memiliki izin instans cadangan mutatif yang memungkinkan Anda untuk memesan instance. Ini memiliki beberapa nilai penghematan biaya, jadi, jika Anda tahu bahwa Anda akan memerlukan sejumlah EC2 instans Amazon untuk jangka waktu yang lama, Anda dapat memanggilnya. APIs Untuk mempelajari lebih lanjut, lihat Instans EC2 Cadangan Amazon.

catatan

Tujuan tingkat layanan AMS (SLO) untuk membuat kebijakan IAM khusus untuk pengguna IAM adalah empat hari kerja, kecuali kebijakan yang ada akan digunakan kembali. Jika Anda ingin mengubah peran pengguna IAM yang ada, atau menambahkan yang baru, kirimkan IAM: Update Entity atau IAM: Create Entity RFC, masing-masing.

Jika Anda tidak terbiasa dengan peran Amazon IAM, lihat Peran IAM untuk informasi penting.

Zona Pendaratan Multi-Akun (MALZ): Untuk melihat kebijakan peran pengguna default, tanpa penyesuaian, zona pendaratan multi-akun AMS, lihat, selanjutnya. MALZ: Peran Pengguna IAM Default

MALZ: Peran Pengguna IAM Default

Pernyataan kebijakan JSON untuk peran pengguna landing zone multi-akun AMS multi-akun default.

catatan

Peran pengguna dapat disesuaikan dan mungkin berbeda berdasarkan per akun. Petunjuk untuk menemukan peran Anda disediakan.

Ini adalah contoh peran pengguna MALZ default. Untuk memastikan bahwa Anda memiliki kebijakan yang ditetapkan yang Anda butuhkan, jalankan perintah AWS get-roleatau masuk ke AWS Management -> konsol IAM dan pilih Peran di panel navigasi.

Peran akun inti OU

Akun inti adalah akun infrastruktur yang dikelola Malz. Akun inti zona pendaratan multi-akun AMS mencakup akun manajemen dan akun jaringan.

Akun Core OU: Peran dan kebijakan umum
Peran Kebijakan atau kebijakan

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Kebijakan Terkelola AWS Publik).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAkses (Kebijakan Terkelola AWS Publik).

AWSManagedServicesChangeManagementRole (Versi akun inti)

ReadOnlyAccess

AWSSupportAkses

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

Akun Core OU: Peran dan kebijakan akun manajemen
Peran Kebijakan atau kebijakan

AWSManagedServicesBillingRole

AMSBillingKebijakan (AMSBillingKebijakan).

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Kebijakan Terkelola AWS Publik).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAkses (Kebijakan Terkelola AWS Publik).

AWSManagedServicesChangeManagementRole (Versi akun manajemen)

ReadOnlyAccess

AWSSupportAkses

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

Akun Core OU: Peran dan kebijakan akun jaringan
Peran Kebijakan atau kebijakan

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Kebijakan Terkelola AWS Publik).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAkses (Kebijakan Terkelola AWS Publik).

AWSManagedServicesChangeManagementRole (Versi akun jaringan)

ReadOnlyAccess

AWSSupportAkses

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

Peran Akun Aplikasi

Peran akun aplikasi diterapkan ke akun khusus aplikasi Anda.

Akun aplikasi: Peran dan kebijakan
Peran Kebijakan atau kebijakan

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Kebijakan Terkelola AWS Publik).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAkses (Kebijakan Terkelola AWS Publik).

Kebijakan ini menyediakan akses ke semua operasi dan sumber daya pendukung. Untuk selengkapnya, lihat Memulai dengan AWS Support.

AWSManagedServicesSecurityOpsRole

ReadOnlyAccess

AWSSupportContoh Akses

Kebijakan ini menyediakan akses ke semua operasi dan sumber daya pendukung.

AWSCertificateManagerFullAccessinformasi, (Kebijakan Terkelola AWS Publik)

AWSWAFFullAccessinformasi, (Kebijakan AWS Terkelola Publik). Kebijakan ini memberikan akses penuh ke sumber daya AWS WAF.

AMSSecretsManagerSharedPolicy

AWSManagedServicesChangeManagementRole (Versi akun aplikasi)

ReadOnlyAccess

AWSSupportAkses (Kebijakan Terkelola AWS Publik).

Kebijakan ini menyediakan akses ke semua operasi dan sumber daya pendukung. Untuk selengkapnya, lihat Memulai dengan AWS Support.

AMSSecretsManagerSharedPolicy

AMSChangeManagementPolicy

AMSReservedInstancesPolicy

AMSS3Kebijakan

AWSManagedServicesAdminRole

ReadOnlyAccess

AWSSupportAkses

AMSChangeManagementInfrastructurePolicy

AWSMarketplaceManageSubscriptions

AMSSecretsManagerSharedPolicy

AMSChangeManagementPolicy

AWSCertificateManagerFullAccess

AWSWAFFullAkses

AMSS3Kebijakan

AMSReservedInstancesPolicy

Contoh Kebijakan

Contoh disediakan untuk sebagian besar kebijakan yang digunakan. Untuk melihat ReadOnlyAccess kebijakan (yang merupakan halaman selama menyediakan akses hanya-baca ke semua AWS layanan), Anda dapat menggunakan tautan ini, jika Anda memiliki akun AWS aktif:. ReadOnlyAccess Juga, versi kental disertakan di sini.

AMSBillingKebijakan

AMSBillingPolicy

Peran Penagihan baru dapat digunakan oleh departemen akuntansi Anda untuk melihat dan mengubah informasi penagihan atau pengaturan akun di akun Manajemen. Untuk mengakses informasi seperti Kontak Alternatif, melihat penggunaan sumber daya akun, atau menyimpan tab penagihan Anda atau bahkan mengubah metode pembayaran, Anda menggunakan peran ini. Peran baru ini terdiri dari semua izin yang tercantum di halaman web tindakan AWS Billing IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToBilling"
        },
        {
            "Action": [
                "aws-portal:ViewAccount",
                "aws-portal:ModifyAccount"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountSettings"
        },
        {
            "Action": [
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountBudget"
        },
        {
            "Action": [
                "aws-portal:ViewPaymentMethods",
                "aws-portal:ModifyPaymentMethods"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPaymentMethods"
        },
        {
            "Action": [
                "aws-portal:ViewUsage"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToUsage"
        },
        {
            "Action": [
                "cur:DescribeReportDefinitions",
                "cur:PutReportDefinition",
                "cur:DeleteReportDefinition",
                "cur:ModifyReportDefinition"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostAndUsageReport"
        },
        {
            "Action": [
                "pricing:DescribeServices",
                "pricing:GetAttributeValues",
                "pricing:GetProducts"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPricing"
        },
        {
            "Action": [
                "ce:*",
                "compute-optimizer:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostExplorerComputeOptimizer"
        },
        {
            "Action": [
                "purchase-orders:ViewPurchaseOrders",
                "purchase-orders:ModifyPurchaseOrders"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPurchaseOrders"
        },
        {
            "Action": [
                "redshift:AcceptReservedNodeExchange",
                "redshift:PurchaseReservedNodeOffering"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToRedshiftAction"
        },
        {
            "Action": "savingsplans:*",
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AWSSavingsPlansFullAccess"
        }
    ]
}

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementReadOnlyPolicy

Izin untuk melihat semua jenis perubahan AMS, dan riwayat jenis perubahan yang diminta.

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

Izin untuk meminta Deployment | Managed landing zone | Akun manajemen | Buat akun aplikasi (dengan VPC) mengubah jenis.

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

Izin untuk meminta Deployment | Managed landing zone | Akun jaringan | Buat jenis perubahan tabel rute aplikasi.

AMSChangeManagementInfrastructurePolicy

AMSChangeManagementInfrastructurePolicy(untuk Manajemen | Lainnya | Lainnya CTs)

Izin untuk meminta Manajemen | Lainnya | Lainnya | Buat, dan Manajemen | Lainnya | Lainnya | Perbarui jenis perubahan.

AMSSecretsManagerSharedPolicy

AMSSecretsManagerSharedPolicy

Izin untuk melihat rahasia yang passwords/hashes dibagikan oleh AMS melalui AWS Secrets Manager (misalnya kata sandi ke infrastruktur untuk audit).

Izin untuk membuat rahasia password/hashes untuk dibagikan dengan AMS. (misalnya, kunci lisensi untuk produk yang perlu digunakan).

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
			"Sid": "AllowAccessToSharedNameSpaces",
			"Effect": "Allow",
			"Action": "secretsmanager:*",
			"Resource": [
				"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
				"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
			]
		},
		{
			"Sid": "DenyGetSecretOnCustomerNamespace",
			"Effect": "Deny",
			"Action": "secretsmanager:GetSecretValue",
			"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
		},
		{
			"Sid": "AllowReadAccessToAMSNameSpace",
			"Effect": "Deny",
			"NotAction": [
				"secretsmanager:Describe*",
				"secretsmanager:Get*",
				"secretsmanager:List*"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
		}
	]
}

AMSChangeManagementPolicy

AMSChangeManagementPolicy

Izin untuk meminta dan melihat semua jenis perubahan AMS, dan riwayat jenis perubahan yang diminta.

AMSReservedInstancesPolicy

AMSReservedInstancesPolicy

Izin untuk mengelola instans EC2 cadangan Amazon; untuk informasi harga, lihat Instans EC2 Cadangan Amazon.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Sid": "AllowReservedInstancesManagement",
		"Effect": "Allow",
		"Action": [
			"ec2:ModifyReservedInstances",
			"ec2:PurchaseReservedInstancesOffering"
		],
		"Resource": [
			"*"
		]
	}]
}

AMSS3Kebijakan

AMSS3Policy

Izin untuk membuat dan menghapus file dari bucket Amazon S3 yang ada.

catatan

Izin ini tidak memberikan kemampuan untuk membuat bucket S3; yang harus dilakukan dengan Deployment | Komponen tumpukan lanjutan | Penyimpanan S3 | Buat jenis perubahan.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

AWSSupportAkses

AWSSupportAccess

Akses penuh ke Dukungan. Untuk selengkapnya, lihat Memulai dengan Dukungan. Untuk informasi Dukungan Premium, lihat Dukungan.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Effect": "Allow",
		"Action": [
			"support:*"
		],
		"Resource": "*"
	}]
}

AWSMarketplaceManageSubscriptions

AWSMarketplaceManageSubscriptions(Kebijakan yang AWS Dikelola Publik)

Izin untuk berlangganan, berhenti berlangganan, dan melihat AWS Marketplace langganan.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Action": [
			"aws-marketplace:ViewSubscriptions",
			"aws-marketplace:Subscribe",
			"aws-marketplace:Unsubscribe"
		],
		"Effect": "Allow",
		"Resource": "*"
	}]
}

AWSCertificateManagerFullAccess

AWSCertificateManagerFullAccess

Akses penuh ke AWS Certificate Manager. Untuk informasi selengkapnya, lihat AWS Certificate Manager.

AWSCertificateManagerFullAccessinformasi, (Kebijakan Terkelola AWS Publik).

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Effect": "Allow",
		"Action": [
			"acm:*"
		],
		"Resource": "*"
	}]
}

AWSWAFFullAkses

AWSWAFFullAccess

Akses penuh ke AWS WAF. Untuk informasi selengkapnya, lihat AWS WAF - Firewall Aplikasi Web.

AWSWAFFullAccessinformasi, (Kebijakan yang AWS Dikelola Publik). Kebijakan ini memberikan akses penuh ke AWS WAF sumber daya.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Action": [
			"waf:*",
			"waf-regional:*",
			"elasticloadbalancing:SetWebACL"
		],
		"Effect": "Allow",
		"Resource": "*"
	}]
}

ReadOnlyAccess

ReadOnlyAccess

Akses hanya-baca ke semua AWS layanan dan sumber daya di konsol. AWS Saat AWS meluncurkan layanan baru, AMS memperbarui ReadOnlyAccess kebijakan untuk menambahkan izin hanya-baca untuk layanan baru. Izin yang diperbarui diterapkan pada semua entitas prinsipal yang kebijakannya dilampirkan.

Ini tidak memberikan kemampuan untuk masuk ke EC2 host atau host database.

Jika Anda aktif Akun AWS, maka Anda dapat menggunakan tautan ini ReadOnlyAccessuntuk melihat seluruh ReadOnlyAccess kebijakan. Seluruh ReadOnlyAccess kebijakan sangat panjang karena menyediakan akses hanya-baca ke semua. Layanan AWS Berikut ini adalah kutipan sebagian dari kebijakan tersebut. ReadOnlyAccess

Zona Pendaratan Akun Tunggal (SALZ): Untuk melihat kebijakan peran pengguna default, tidak disesuaikan, zona pendaratan akun tunggal AMS, lihat, selanjutnya. SALZ: Peran Pengguna IAM Default

SALZ: Peran Pengguna IAM Default

Pernyataan kebijakan JSON untuk peran pengguna landing zone akun tunggal AMS default.

catatan

Peran pengguna default SALZ dapat disesuaikan dan mungkin berbeda berdasarkan per akun. Petunjuk untuk menemukan peran Anda disediakan.

Berikut ini adalah contoh peran pengguna SALZ default. Untuk memastikan bahwa Anda memiliki kebijakan yang ditetapkan untuk Anda, jalankan get-roleperintah. Atau, masuk ke AWS Identity and Access Management konsol di https://console.aws.amazon.com/iam/, lalu pilih Peran.

Peran read-only pelanggan adalah kombinasi dari beberapa kebijakan. Rincian peran (JSON) mengikuti.

Kebijakan Audit Managed Services:

Kebijakan IAM ReadOnly Managed Services

Kebijakan Pengguna Managed Services


	{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCustomerToListTheLogBucketLogs",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "aws/*",
            "app/*",
            "encrypted",
            "encrypted/",
            "encrypted/app/*"
          ]
        }
      }
    },
    {
      "Sid": "BasicAccessRequiredByS3Console",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    },
    {
      "Sid": "AllowCustomerToGetLogs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/aws/*",
        "arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
      ]
    },
    {
      "Sid": "AllowAccessToOtherObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject*",
        "s3:Get*",
        "s3:List*",
        "s3:PutObject*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCustomerToListTheLogBucketRoot",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:prefix": [
            "",
            "/"
          ]
        }
      }
    },
    {
      "Sid": "AllowCustomerCWLConsole",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogStreams",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "AllowCustomerCWLAccessLogs",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/*",
        "arn:aws:logs:*:*:log-group:/infra/*",
        "arn:aws:logs:*:*:log-group:/app/*",
        "arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
      ]
    },
    {
      "Sid": "AWSManagedServicesFullAccess",
      "Effect": "Allow",
      "Action": [
        "amscm:*",
        "amsskms:*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "ModifyAWSBillingPortal",
      "Effect": "Allow",
      "Action": [
        "aws-portal:Modify*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "DenyDeleteCWL",
      "Effect": "Deny",
      "Action": [
        "logs:DeleteLogGroup",
        "logs:DeleteLogStream"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "DenyMCCWL",
      "Effect": "Deny",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:FilterLogEvents",
        "logs:GetLogEvents",
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/mc/*"
      ]
    },
    {
      "Sid": "DenyS3MCNamespace",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
        "arn:aws:s3:::mc-a*-logs-*/mc/*",
        "arn:aws:s3:::mc-a*-logs-*-audit/*",
        "arn:aws:s3:::mc-a*-internal-*/*",
        "arn:aws:s3:::mc-a*-internal-*"
      ]
    },
    {
      "Sid": "ExplicitDenyS3CfnBucket",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::cf-templates-*"
      ]
    },
    {
      "Sid": "DenyListBucketS3LogsMC",
      "Action": [
        "s3:ListBucket"
      ],
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "auditlog/*",
            "encrypted/mc/*",
            "mc/*"
          ]
        }
      }
    },
    {
      "Sid": "DenyS3LogsDelete",
      "Effect": "Deny",
      "Action": [
        "s3:Delete*",
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/*"
      ]
    },
    {
      "Sid": "DenyAccessToKmsKeysStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "kms:*"
      ],
      "Resource": [
        "arn:aws:kms::*:key/mc-*",
        "arn:aws:kms::*:alias/mc-*"
      ]
    },
    {
      "Sid": "DenyListingOfStacksStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "cloudformation:*"
      ],
      "Resource": [
        "arn:aws:cloudformation:*:*:stack/mc-*"
      ]
    },
    {
      "Sid": "AllowCreateCWMetricsAndManageDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCreateandDeleteCWDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DeleteDashboards",
        "cloudwatch:PutDashboard"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Kebijakan Bersama Manajer Rahasia Pelanggan

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSecretsManagerListSecrets",
      "Effect": "Allow",
      "Action": "secretsmanager:listSecrets",
      "Resource": "*"
    },
    {
      "Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": [
        "arn:aws:secretsmanager:*:*:secret:ams-shared/*",
        "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
      ]
    },
   {
      "Sid": "DenyCustomerGetSecretCustomerNamespace",
      "Effect": "Deny",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
    },  
    {
      "Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
      "Effect": "Deny",
      "NotAction": [
        "secretsmanager:Describe*",
        "secretsmanager:Get*",
        "secretsmanager:List*"
      ],
      "Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
    }
  ]
}

Kebijakan Berlangganan Marketplace Pelanggan

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowMarketPlaceSubscriptions",
      "Effect": "Allow",
      "Action": [
        "aws-marketplace:ViewSubscriptions",
        "aws-marketplace:Subscribe"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}