Compartilhar visualizações do Explorador de Recursos

Política de permissões para compartilhar a visualização com as Contas da AWS

As visualizações usam Explorador de recursos da AWS principalmente políticas baseadas em recursos para conceder acesso. Como acontece com as políticas de bucket do Amazon S3, essas políticas são anexadas à visualização e especificam quem pode usá-la. Isso contrasta com as políticas baseadas em identidade AWS Identity and Access Management (IAM). Uma política IAM baseada em identidade é atribuída a uma função, grupo ou usuário e especifica quais ações e recursos essa função, grupo ou usuário pode acessar. Você pode usar qualquer tipo de política com as visualizações do Explorador de Recursos, da seguinte maneira:

Na conta de gerenciamento ou na conta de administrador delegado que é a proprietária do recurso, use um dos dois tipos de política para conceder acesso, desde que nenhuma outra política negue explicitamente o acesso à visualização dessa entidade principal.
Entre contas, você deve usar ambos os tipos de política. A política baseada em recurso anexada à visualização na conta compartilhadora ativa o compartilhamento com outra conta consumidora. Porém, essa política não concede acesso a usuários ou perfis individuais na conta consumidora. O administrador da conta consumidora também deve atribuir uma política baseada em identidade aos perfis e usuários desejados na conta consumidora. Essa política concede acesso ao nome do recurso Amazon (ARN) da visualização.

Para compartilhar visualizações com outras contas, você deve usar AWS Resource Access Manager (AWS RAM). AWS RAM lida com a complexidade das políticas baseadas em recursos para você. Antes de poder compartilhar, você deve realizar as seguintes tarefas:

Ative a pesquisa em várias contas.
Certifique-se de que sua política baseada em recursos ou a política IAM baseada em identidade que você usa para compartilhar e não compartilhar visualizações inclua as permissões e. resource-explorer-2:GetResourcePolicy resource-explorer-2:PutResourcePolicy resource-explorer-2:DeleteResourcePolicy

Para compartilhar uma visualização, você deve ser o administrador da conta de gerenciamento da organização ou um administrador delegado. Você especifica as contas ou identidades com as quais deseja compartilhar o recurso. AWS RAM suporta totalmente as visualizações do Resource Explorer. AWS RAM usa políticas semelhantes às descritas nas seções a seguir, com base nos tipos de diretores com os quais você escolhe compartilhar. Para obter instruções sobre como compartilhar recursos, consulte Sharing your AWS resources no AWS Resource Access Manager User Guide.

Administradores e administradores delegados podem criar e compartilhar três tipos de visualizações: visualização com escopo do nível de organização, visualizações com escopo do nível de unidade organizacional (UO) e visualizações com escopo do nível de conta. Eles podem compartilhar com organizações ou contas. OUs Quando as contas entram ou saem da organização, concede ou revoga AWS RAM automaticamente a visualização compartilhada.

O exemplo de política a seguir mostra como você pode disponibilizar uma visualização para os diretores de duas maneiras diferentes Contas da AWS:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [ "111122223333", "444455556666" ]
            },
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            ], 
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
            "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
                "StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
            }
        }
    ]
    }"
}

O administrador de cada uma das contas especificadas deve especificar agora quais funções e usuários podem acessar a visualização anexando políticas de permissões baseadas em identidade aos perfis, grupos e usuários. Os administradores das contas 111122223333 ou 444455556666 podem criar o exemplo de política a seguir. Depois, eles podem atribuir a política aos perfis, grupos e usuários dessas contas que tem permissão para pesquisar usando a visualização compartilhada da conta de origem.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
        }
    ]
}

Você pode usar essas políticas IAM baseadas em identidade como parte de uma estratégia de segurança de controle de acesso () ABAC baseada em atributos. Nesse paradigma, você garante que todos os seus recursos e identidades estejam marcados. Depois, você especifica nas políticas quais chaves e valores de tag devem corresponder entre a identidade e o recurso para que o acesso seja permitido. Para obter informações sobre como marcar as visualizações da sua conta, consulte Adicionar tags a visualizações. Para obter mais informações sobre controle de acesso baseado em atributos, consulte Para que serveABAC? AWS e Controle do acesso aos AWS recursos usando tags, ambos no Guia IAM do usuário.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Marcar visualizações

Excluir visualizações