Berbagi tampilan Resource Explorer - Penjelajah Sumber Daya AWS
Kebijakan izin untuk berbagi tampilan dengan Akun AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berbagi tampilan Resource Explorer

Tampilan Penjelajah Sumber Daya AWS terutama menggunakan kebijakan berbasis sumber daya untuk memberikan akses. Mirip dengan kebijakan bucket Amazon S3, kebijakan ini dilampirkan ke tampilan dan menentukan siapa yang dapat menggunakan tampilan tersebut. Hal ini berbeda dengan AWS Identity and Access Management (IAM) kebijakan berbasis identitas. Kebijakan IAM berbasis identitas ditetapkan ke peran, grup, atau pengguna, dan menentukan tindakan dan sumber daya yang dapat diakses oleh peran, grup, atau pengguna. Anda dapat menggunakan salah satu jenis kebijakan dengan tampilan Resource Explorer, sebagai berikut:

  • Dalam akun manajemen atau akun administrator yang didelegasikan yang memiliki sumber daya, gunakan salah satu jenis kebijakan untuk memberikan akses, asalkan tidak ada kebijakan lain yang secara eksplisit menolak akses ke tampilan untuk prinsipal tersebut.

  • Di seluruh akun, Anda harus menggunakan kedua jenis kebijakan. Kebijakan berbasis sumber daya yang dilampirkan pada tampilan di akun berbagi mengaktifkan berbagi dengan akun konsumsi lain. Namun, kebijakan tersebut tidak memberikan akses ke pengguna individu atau peran dalam akun konsumen. Administrator di akun konsumsi juga harus menetapkan kebijakan berbasis identitas ke peran dan pengguna yang diinginkan dalam akun konsumsi. Kebijakan tersebut memberikan akses ke nama sumber daya Amazon (ARN) tampilan.

Untuk berbagi tampilan dengan akun lain, Anda harus menggunakan AWS Resource Access Manager (AWS RAM). AWS RAM menangani kompleksitas kebijakan berbasis sumber daya untuk Anda. Sebelum Anda dapat berbagi, Anda harus melakukan tugas-tugas berikut:

  • Aktifkan pencarian multi-akun.

  • Pastikan kebijakan berbasis sumber daya atau kebijakan IAM berbasis identitas yang Anda gunakan untuk berbagi dan membatalkan pembagian tampilan mencakup, dan izin. resource-explorer-2:GetResourcePolicy resource-explorer-2:PutResourcePolicy resource-explorer-2:DeleteResourcePolicy

Untuk berbagi tampilan, Anda harus menjadi akun manajemen organisasi atau administrator yang didelegasikan. Anda menentukan akun atau identitas yang ingin Anda bagikan sumber daya. AWS RAM sepenuhnya mendukung tampilan Resource Explorer. AWS RAM menggunakan kebijakan yang serupa dengan yang dijelaskan di bagian berikut, berdasarkan jenis prinsipal yang Anda pilih untuk dibagikan. Untuk petunjuk tentang cara berbagi sumber daya, lihat Berbagi AWS sumber daya Anda di Panduan AWS Resource Access Manager Pengguna.

Administrator dan administrator yang didelegasikan dapat membuat dan berbagi 3 jenis tampilan: tampilan lingkup organisasi, tampilan lingkup unit organisasi (OU), dan tampilan cakupan tingkat akun. Mereka dapat berbagi dengan organisasi,OUs, atau akun. Saat akun bergabung atau keluar dari organisasi, AWS RAM secara otomatis memberikan atau mencabut tampilan bersama.

Kebijakan izin untuk berbagi tampilan dengan Akun AWS

Contoh kebijakan berikut menunjukkan bagaimana Anda dapat membuat tampilan tersedia untuk prinsipal dalam dua hal yang berbeda: Akun AWS

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [ "111122223333", "444455556666" ]
            },
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            ], 
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
            "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
                "StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
            }
        }
    ]
    }"
}

Administrator di setiap akun yang ditentukan sekarang harus menentukan peran dan pengguna mana yang dapat mengakses tampilan dengan melampirkan kebijakan izin berbasis identitas ke peran, grup, dan pengguna. Administrator akun 111122223333 atau 444455556666 dapat membuat contoh kebijakan berikut. Kemudian, mereka dapat menetapkan kebijakan ke peran, grup, dan pengguna di akun tersebut yang diizinkan untuk mencari menggunakan tampilan yang dibagikan dari akun asal.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
        }
    ]
}

Anda dapat menggunakan kebijakan IAM berbasis identitas ini sebagai bagian dari strategi keamanan kontrol akses () berbasis atribut. ABAC Dalam paradigma itu, Anda memastikan bahwa semua sumber daya Anda dan semua identitas Anda ditandai. Kemudian, Anda menentukan dalam kebijakan Anda kunci dan nilai tag mana yang harus cocok antara identitas dan sumber daya agar akses diizinkan. Untuk informasi tentang menandai tampilan di akun Anda, lihatMenambahkan tag ke tampilan yang sudah ditonton. Untuk informasi selengkapnya tentang kontrol akses berbasis atribut, lihat Untuk apa? ABAC AWS dan Mengontrol akses ke AWS sumber daya menggunakan tag, baik di Panduan IAM Pengguna.