Condivisione delle visualizzazioni di Resource Ex

Politica di autorizzazione con cui condividere la visualizzazione Account AWS

Le visualizzazioni utilizzano Esploratore di risorse AWS principalmente politiche basate sulle risorse per concedere l'accesso. Analogamente alle policy dei bucket di Amazon S3, queste policy sono allegate alla vista e specificano chi può utilizzarla. Ciò è in contrasto con AWS Identity and Access Management (IAM) le politiche basate sull'identità. Una politica IAM basata sull'identità viene assegnata a un ruolo, gruppo o utente e specifica a quali azioni e risorse può accedere quel ruolo, gruppo o utente. È possibile utilizzare entrambi i tipi di policy con le visualizzazioni di Resource Explorer, come segue:

All'interno dell'account di gestione o dell'account amministratore delegato proprietario della risorsa, utilizza uno dei due tipi di policy per concedere l'accesso, a condizione che nessun altro criterio neghi esplicitamente l'accesso alla vista per quel principale.
In tutti gli account, è necessario utilizzare entrambi i tipi di policy. La politica basata sulle risorse allegata alla visualizzazione nell'account di condivisione attiva la condivisione con un altro account utente. Tuttavia, tale politica non concede l'accesso ai singoli utenti o ruoli nell'account utente. L'amministratore dell'account utente deve inoltre assegnare una politica basata sull'identità ai ruoli e agli utenti desiderati nell'account utente. Questa politica consente l'accesso al nome della risorsa Amazon (ARN) della vista.

Per condividere le visualizzazioni con altri account, devi usare AWS Resource Access Manager (AWS RAM). AWS RAM gestisce per te la complessità delle politiche basate sulle risorse. Prima di poter condividere, è necessario eseguire le seguenti attività:

Attiva la ricerca su più account.
Assicurati che la politica basata sulle risorse o la politica basata sull'IAMidentità che utilizzi per condividere e annullare la condivisione delle visualizzazioni includa le e le autorizzazioni. resource-explorer-2:GetResourcePolicy resource-explorer-2:PutResourcePolicy resource-explorer-2:DeleteResourcePolicy

Per condividere una visualizzazione, devi essere l'account di gestione dell'organizzazione o un amministratore delegato. Specificate gli account o le identità con cui volete condividere la risorsa. AWS RAM supporta completamente le visualizzazioni di Resource Explorer. AWS RAM utilizza politiche simili a quelle descritte nelle sezioni seguenti, in base ai tipi di principali con cui scegli di condividere. Per istruzioni su come condividere le risorse, consulta Condivisione AWS delle risorse nella Guida per l'AWS Resource Access Manager utente.

Gli amministratori e gli amministratori delegati possono creare e condividere 3 tipi di visualizzazioni: visualizzazione dell'ambito dell'organizzazione, viste dell'ambito dell'unità organizzativa (OU) e viste dell'ambito a livello di account. Possono condividerle con organizzazioni o account. OUs Quando gli account entrano o escono dall'organizzazione, concede o revoca AWS RAM automaticamente la visualizzazione condivisa.

La seguente politica di esempio mostra come rendere disponibile una vista ai principali in due modi diversi: Account AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [ "111122223333", "444455556666" ]
            },
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            ], 
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
            "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
                "StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
            }
        }
    ]
    }"
}

L'amministratore di ciascuno degli account specificati deve ora specificare quali ruoli e utenti possono accedere alla vista allegando politiche di autorizzazione basate sull'identità a ruoli, gruppi e utenti. Gli amministratori degli account 111122223333 o 444455556666 possono creare la seguente politica di esempio. Quindi, possono assegnare la politica a ruoli, gruppi e utenti di quegli account che devono essere autorizzati a effettuare ricerche utilizzando la visualizzazione condivisa dall'account di origine.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
        }
    ]
}

È possibile utilizzare queste politiche IAM basate sull'identità come parte di una strategia di sicurezza di controllo degli accessi () basata sugli attributi. ABAC In questo paradigma, vi assicurate che tutte le vostre risorse e tutte le vostre identità siano etichettate. Quindi, specificate nelle vostre politiche quali chiavi e valori dei tag devono corrispondere tra l'identità e la risorsa affinché l'accesso sia consentito. Per informazioni su come aggiungere tag alle viste nel tuo account, consultaAggiunta di tag alle visualizzazioni. Per ulteriori informazioni sul controllo degli accessi basato sugli attributi, consulta A cosa serve? ABAC AWS e Controllo dell'accesso alle AWS risorse tramite tag, entrambi nella Guida per l'IAMutente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Etichettatura delle visualizzazioni

Eliminazione delle viste