View a markdown version of this page

共享资源管理器视图 - AWS 资源探索器
与 AWS 账户共享视图的权限策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

共享资源管理器视图

中的视图 AWS 资源探索器 主要使用基于资源的策略来授予访问权限。这些策略与 Amazon S3 存储桶策略类似,将附加到视图并指定谁可以使用该视图。这与 AWS Identity and Access Management (IAM) 基于身份的策略形成鲜明对比。IAM基于身份的策略被分配给角色、组或用户,它指定角色、组或用户可以访问哪些操作和资源。您可以将任一类型的策略用于资源管理器视图,如下所示:

  • 在拥有资源的管理账户或委派管理员账户中,使用任一策略类型来授予访问权限,但前提是没有其他策略明确拒绝该主体访问视图。

  • 在不同账户中,您必须同时使用这两种策略类型。附加到共享账户中的视图的基于资源的策略开启了与其他使用账户的共享。但是,该策略不向使用账户中的个人用户或角色授予访问权限。使用账户中的管理员还必须为使用账户中的所需角色和用户分配基于身份的策略。该策略授予访问视图的 Amazon 资源名称 (ARN) 的权限。

要与其他账户共享视图,必须使用 AWS Resource Access Manager (AWS RAM)。 AWS RAM 为您处理基于资源的策略的复杂性。在共享之前,必须执行以下任务:

  • 开启多账户搜索

  • 确保您的基于资源的策略或用于共享和取消共享视图的IAM基于身份的策略包括、和权限。resource-explorer-2:GetResourcePolicy resource-explorer-2:PutResourcePolicy resource-explorer-2:DeleteResourcePolicy

要共享视图,您必须为组织的管理账户或委派管理员。您可以指定要与之共享资源的账户或身份。 AWS RAM 完全支持资源管理器视图。 AWS RAM 根据您选择与之共享的委托人的类型,使用与以下各节中描述的策略相似的策略。有关如何共享资源的说明,请参阅《AWS Resource Access Manager 用户指南》中的共享 AWS 资源

管理员和委派管理员可以创建和共享 3 种类型的视图:组织范围视图、组织单位(OU)范围视图和账户级范围视图。他们可以与组织OUs、或账户共享。当账户加入或离开组织时, AWS RAM 会自动授予或撤消共享视图。

与 AWS 账户共享视图的权限策略

以下示例策略显示了如何通过两种不同的 AWS 账户方式向委托人提供视图:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [ "111122223333", "444455556666" ]
            },
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            ], 
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
            "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
                "StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
            }
        }
    ]
    }"
}

每个指定账户中的管理员现在必须通过将基于身份的权限策略附加到角色、组和用户来指定哪些角色和用户可以访问视图。账户 111122223333 或 444455556666 的管理员可以创建下面的示例策略。然后,他们可以将策略分配给这些账户中的角色、组和用户,允许他们使用从原始账户共享的视图进行搜索。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
        }
    ]
}

您可以将这些IAM基于身份的策略用作基于属性的访问控制 () ABAC 安全策略的一部分。在这种模式中,您要确保您的所有资源和所有身份都被标记。然后,您可以在策略中指定哪些标签键和值必须匹配哪些标签键和值才能允许访问。有关在您的账户中标记视图的信息,请参阅 向视图添加标签。有关基于属性的访问控制的更多信息,请参阅有什么用ABAC? AWS 以及使用标签控制对 AWS 资源的访问权限,两者都在《IAM用户指南》中。