本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 的托管策略 AWS Resource Access Manager
<a name="security-iam-awsmanpol"></a>

AWS Resource Access Manager 目前提供了几个 AWS RAM 托管策略，本主题将对此进行介绍。

**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [策略更新](#security-iam-awsmanpol-updates)

在上面的列表中，您可以将前三个策略附加到您的 IAM 角色、组和用户以授予权限。列表中的最后一个策略是为 AWS RAM 服务的服务相关角色保留的。

 AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 托管策略： AWSResourceAccessManagerReadOnlyAccess
<a name="security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess"></a>

您可以将 `AWSResourceAccessManagerReadOnlyAccess` 策略附加到 IAM 身份。

此策略为您的 AWS 账户所拥有的资源共享提供只读权限。

方法为：授予运行任何 `Get*` 或 `List*` 操作的权限。它不提供修改任何资源共享的任何功能。

**权限详细信息**  
该策略包含以下权限。
+ `ram` - 允许主体查看有关账户拥有的资源共享的详细信息。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:Get*",
                "ram:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

## AWS 托管策略： AWSResourceAccessManagerFullAccess
<a name="security-iam-managed-policies-AWSResourceAccessManagerFullAccess"></a>

您可以将 `AWSResourceAccessManagerFullAccess` 策略附加到 IAM 身份。

此策略提供查看或修改您拥有的资源共享的完全管理权限 AWS 账户。

方法为：授予运行任何 `ram` 操作的权限。

**权限详细信息**  
该策略包含以下权限。
+ `ram` - 允许主体查看或修改有关 AWS 账户所拥有的资源共享的任何信息。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

## AWS 托管策略： AWSResourceAccessManagerResourceShareParticipantAccess
<a name="security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess"></a>

您可以将 `AWSResourceAccessManagerResourceShareParticipantAccess` 策略附加到 IAM 身份。

该政策使委托人能够接受或拒绝与此共享的资源共享 AWS 账户，以及查看有关这些资源共享的详细信息。它不提供修改这些资源共享的任何功能。

方法为：授予运行一些 `ram` 操作的权限。

**权限详细信息**  
该策略包含以下权限。
+ `ram` - 允许主体接受或拒绝资源共享邀请，以及查看有关与账户共享的资源共享的详细信息。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareInvitations",
                "ram:GetResourceShares",
                "ram:ListPendingInvitationResources",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:RejectResourceShareInvitation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

## AWS 托管策略： AWSResourceAccessManagerServiceRolePolicy
<a name="security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy"></a>

 AWS 托管策略`AWSResourceAccessManagerServiceRolePolicy`只能与的服务相关角色一起使用。 AWS RAM您不能附加、分离、修改或删除此策略。

此政策 AWS RAM 提供对组织结构的只读访问权限。启用 AWS RAM 和之间的集成后 AWS Organizations， AWS RAM 会自动创建一个名为的服务相关角色 [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager)，当服务需要查找有关您的组织及其帐户的信息时（例如，当您在 AWS RAM 控制台中查看组织结构时），该角色将代入该角色。

方法为：授予只读权限来运行 `organizations:Describe` 和 `organizations:List` 操作，以提供组织结构和账户的详细信息。

**权限详细信息**  
该策略包含以下权限。
+ `organizations` - 允许主体查看有关组织结构的信息，包括组织单位及其包含的 AWS 账户 。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
            ]
        }
    ]
}
```

------

## AWS RAM AWS 托管策略的更新
<a name="security-iam-awsmanpol-updates"></a>

查看 AWS RAM 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒，请订阅 “ AWS RAM 文档历史记录” 页面上的 RSS feed。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
| AWS Resource Access Manager 开始跟踪更改 | AWS RAM 记录了其现有的托管策略并开始跟踪更改。 | 2021 年 9 月 16 日 |