AWSの 管理ポリシーAWS RAM - AWS Resource Access Manager
AWSResourceAccessManagerReadOnlyAccessAWSResourceAccessManagerFullAccessAWSResourceAccessManagerResourceShareParticipantAccessAWSResourceAccessManagerServiceRolePolicyポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSの 管理ポリシーAWS RAM

AWS Resource Access Managerは現在、このトピックで説明されているいくつかのAWS RAM管理ポリシーを提供しています。

前のリストでは、最初の 3 つのポリシーを IAM ロール、グループ、およびユーザーにアタッチして、アクセス許可を付与できます。リスト内の最後のポリシーは、AWS RAMサービスのサービスリンクロールです。

AWS管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーですAWS。AWS管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

AWS管理ポリシーは、すべてのAWSお客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS管理ポリシーで定義されているアクセス許可は変更できません。がAWS管理ポリシーで定義されたアクセス許可AWSを更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。AWSは、新しい が起動されるか、新しい API オペレーションAWS のサービスが既存のサービスで使用できるようになったときに、AWS管理ポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWSマネージドポリシー」を参照してください。

AWSマネージドポリシー: AWSResourceAccessManagerReadOnlyAccess

AWSResourceAccessManagerReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、AWS アカウントが所有するリソース共有について読み取り専用アクセス許可を提供します。

これは、Get* または List* オペレーションのいずれかを実行するアクセス許可を付与することによって実現されます。リソース共有を変更する機能は用意されていません。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ram - プリンシパルは、アカウントが所有するリソース共有に関する詳細を表示できるようになります。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:Get*",
                "ram:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWSマネージドポリシー: AWSResourceAccessManagerFullAccess

AWSResourceAccessManagerFullAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーでは、AWS アカウントが所有するリソース共有を表示または変更できるフル管理アクセス権を提供します。

これは、あらゆる ram オペレーションを実行するアクセス許可を付与することで実現されます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ram - プリンシパルは、AWS アカウントが所有するリソース共有に関する情報を表示または変更できるようになります。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWSマネージドポリシー: AWSResourceAccessManagerResourceShareParticipantAccess

AWSResourceAccessManagerResourceShareParticipantAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーにより、プリンシパルは、このポリシーと共有されているリソース共有を承諾または拒否したりAWS アカウント、これらのリソース共有の詳細を表示したりできます。これらのリソース共有を変更する機能は用意されていません。

これは、一部の ram オペレーションを実行するアクセス許可を付与することで実現されます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ram - プリンシパルは、リソース共有の招待を受け入れるか拒否でき、アカウントと共有されているリソース共有の詳細を表示できるようになります。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareInvitations",
                "ram:GetResourceShares",
                "ram:ListPendingInvitationResources",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:RejectResourceShareInvitation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWSマネージドポリシー: AWSResourceAccessManagerServiceRolePolicy

AWS管理ポリシーAWSResourceAccessManagerServiceRolePolicyは、 のサービスにリンクされたロールでのみ使用できますAWS RAM。このポリシーをアタッチ、デタッチ、変更、または削除することはできません。

このポリシーはAWS RAM、組織の構造への読み取り専用アクセスを に付与します。AWS RAMと の統合を有効にするとAWS Organizations、 は AWSServiceRoleForResourceAccessManager という名前のサービスにリンクされたロールAWS RAMを自動的に作成します。このロールは、AWS RAMコンソールで組織の構造を表示する場合など、組織とそのアカウントに関する情報を検索する必要がある場合にサービスが引き受けます。

これは、組織の構造とアカウントの詳細を提供する organizations:Describeorganizations:List のオペレーションを実行するための読み取り専用アクセス許可を付与することによって実現されます。

アクセス許可の詳細

このポリシーには以下のアクセス許可が含まれています。

  • organizations - プリンシパルは、組織単位を含む組織構造に関する情報、およびそれらに含まれるAWS アカウントを表示できるようになります。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
            ]
        }
    ]
}

AWS RAMAWS管理ポリシーの更新

このサービスがこれらの変更の追跡を開始AWS RAMしてからの のAWS管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、AWS RAMドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付

AWS Resource Access Managerが変更の追跡を開始しました

AWS RAMは既存の 管理ポリシーを文書化し、変更の追跡を開始しました。

 2021 年 9 月 16 日