本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 的托管策略 AWS 资源探索器
<a name="security_iam_awsmanpol"></a>

 AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《*IAM 用户指南*》中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

**包含资源浏览器权限的常规 AWS 托管策略**
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)— 授予对 AWS 服务 和资源的完全访问权限。
+ [ReadOnly访问权限](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)-授予对 AWS 服务 和资源的只读访问权限。
+ [ViewOnly访问](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess)权限-授予查看其资源和基本元数据的权限 AWS 服务。
**注意**  
`ViewOnlyAccess` 策略中包含的资源管理器 `Get*` 权限的执行方式与 `List` 权限类似，尽管它们只返回一个值，原因是一个区域只能包含一个索引和一个默认视图。

**AWS 资源浏览器的托管策略**
+ [AWSResourceExplorerFullAccess](#security_iam_awsmanpol_AWSResourceExplorerFullAccess)
+ [AWSResourceExplorerReadOnlyAccess](#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)
+ [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)

## AWS 托管策略： AWSResourceExplorerFullAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerFullAccess"></a>

您可以将 `AWSResourceExplorerFullAccess` 策略分配到 IAM 身份。

此策略授予允许完全管理控制资源管理器服务的权限。您可以在账户中的 AWS 区域 中执行开启和管理资源管理器所涉及的所有任务。

**权限详细信息**

此策略包括允许对资源管理器执行所有操作的权限，包括在中打开和关闭资源管理器 AWS 区域、为帐户创建或删除聚合器索引、创建、更新和删除视图以及搜索。此策略还包括不属于资源管理器的权限：
+ `ec2:DescribeRegions` – 允许资源管理器访问有关您账户中的区域的详细信息。
+ `ram:ListResources` – 允许资源管理器列出资源所属的资源共享。
+ `ram:GetResourceShares` – 允许资源管理器识别有关您拥有或与您共享的资源共享的详细信息。
+ `iam:CreateServiceLinkedRole` – 允许资源管理器在您[通过创建第一个索引打开资源管理器](manage-service-turn-on-region.md#manage-service-turn-on-region-region)时创建所需的服务相关角色。
+ `organizations:DescribeOrganization` – 允许资源管理器访问有关您的组织的信息。

要查看此 AWS 托管策略的最新版本，请参阅`[AWSResourceExplorerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerFullAccess.html)`《*AWS 托管策略参考指南》*。

## AWS 托管策略： AWSResourceExplorerReadOnlyAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess"></a>

您可以将 `AWSResourceExplorerReadOnlyAccess` 策略分配到 IAM 身份。

此策略授予只读权限，从而授予用户基本搜索权限，以发现其资源。

**权限详细信息**

此策略包括允许用户执行资源管理器 `Get*`、`List*` 和 `Search` 操作的权限，以查看有关资源管理器组件和配置设置的信息，但不允许用户对其进行更改。用户也可以进行搜索。此策略还包括不属于资源管理器的两个权限：
+ `ec2:DescribeRegions` – 允许资源管理器访问有关您账户中的区域的详细信息。
+ `ram:ListResources` – 允许资源管理器列出资源所属的资源共享。
+ `ram:GetResourceShares` – 允许资源管理器识别有关您拥有或与您共享的资源共享的详细信息。
+ `organizations:DescribeOrganization` – 允许资源管理器访问有关您的组织的信息。

要查看此 AWS 托管策略的最新版本，请参阅`[AWSResourceExplorerReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerReadOnlyAccess.html)`《*AWS 托管策略参考指南》*。

## AWS 托管策略： AWSResourceExplorerServiceRolePolicy
<a name="security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy"></a>

您不能自行将 `AWSResourceExplorerServiceRolePolicy` 附加到任何 IAM 实体。此策略只能附加到服务相关角色，以允许资源管理器代表您执行操作。有关更多信息，请参阅 [为资源管理器使用服务相关角色](security_iam_service-linked-roles.md)。

此策略授予资源管理器检索有关您的资源的信息所需的权限。资源浏览器会在您注册的每个索引中填充它所维护 AWS 区域 的索引。

要查看此 AWS 托管策略的最新版本，请参阅 IAM 控制台`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`中的。

## AWS 托管策略： AWSResourceExplorerOrganizationsAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerOrganizationsAccess"></a>

您可以将 `AWSResourceExplorerOrganizationsAccess` 分配到 IAM 身份。

此策略向资源管理器授予管理权限，并向其他人授予只读权限 AWS 服务 以支持此访问权限。 AWS Organizations 管理员需要这些权限才能在控制台中设置和管理多账户搜索。

**权限详细信息**

此策略包括允许管理员为组织设置多账户搜索的权限：
+ `ec2:DescribeRegions` – 允许资源管理器访问有关您账户中的区域的详细信息。
+ `ram:ListResources` – 允许资源管理器列出资源所属的资源共享。
+ `ram:GetResourceShares` – 允许资源管理器识别有关您拥有或与您共享的资源共享的详细信息。
+ `organizations:ListAccounts` – 允许资源管理器识别组织内的账户。
+ `organizations:ListRoots` – 允许资源管理器识别组织内的根账户。
+ `organizations:ListOrganizationalUnitsForParent` – 允许资源管理器识别父级组织单位或根组织中的组织单位（OU）。
+ `organizations:ListAccountsForParent` – 允许资源管理器识别组织中包含于指定目标根或 OU 之中的账户。
+ `organizations:ListDelegatedAdministrators`— 允许资源浏览器识别此组织中指定为委派管理员的 AWS 帐户。
+ `organizations:ListAWSServiceAccessForOrganization`— 允许资源浏览器识别支持与您的组织集成的列表。 AWS 服务 
+ `organizations:DescribeOrganization` – 允许资源管理器检索有关用户账户所属组织的信息。
+ `organizations:EnableAWSServiceAccess`— 允许资源浏览器启用 AWS 服务 （由指定的服务`ServicePrincipal`）与的集成 AWS Organizations。
+ `organizations:DisableAWSServiceAccess`— 允许资源浏览器禁用 AWS 服务 （由指定的服务 ServicePrincipal）与的集成 AWS Organizations。
+ `organizations:RegisterDelegatedAdministrator`— 允许资源浏览器使指定的成员帐户能够管理指定 AWS 服务的组织功能。
+ `organizations:DeregisterDelegatedAdministrator`— 允许资源浏览器删除指定成员 AWS 账户 作为指定成员的委托管理员 AWS 服务。
+ `iam:GetRole` – 运行资源管理器检索有关指定角色的信息，包括角色的路径、GUID、ARN 以及授权代入角色的角色信任策略。
+ `iam:CreateServiceLinkedRole` – 允许资源管理器在您[通过创建第一个索引打开资源管理器](manage-service-turn-on-region.md#manage-service-turn-on-region-region)时创建所需的服务相关角色。

要查看此 AWS 托管策略的最新版本，请参阅 IAM 控制台`[AWSResourceExplorerOrganizationsAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerOrganizationsAccess)`中的。

## 资源浏览器对 AWS 托管策略的更新
<a name="security_iam_awsmanpol_updates"></a>

查看自该服务开始跟踪资源 AWS 管理器托管策略变更以来这些更新的详细信息。有关此页面更改的自动提醒，请在[资源管理器文档历史记录](doc-history.md)页面上订阅 RSS 源。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了策略权限以查看其他资源类型  |  资源管理器为服务相关角色策略添加了权限 [`AWSResourceExplorerServiceRolePolicy`](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)，该策略允许资源浏览器查看其他资源类型： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 12 月 12 日 | 
|  新 托管式策略  |  资源浏览器添加了以下 AWS 托管策略： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 11 月 14 日 | 
|  更新了 托管策略  |  资源管理器更新了以下 AWS 托管策略以支持多账户搜索： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 11 月 14 日 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— 更新了支持通过 Organizations 进行多账户搜索的政策  |  资源管理器为服务相关角色策略 `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` 添加了权限，该策略允许资源管理器支持使用 Organizations 进行多账户搜索： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 11 月 14 日 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— 更新了政策以支持其他资源类型  |  资源管理器为服务相关角色策略 `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` 添加了权限，该策略允许服务为以下资源类型编制索引： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 10 月 17 日 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— 更新了政策以支持其他资源类型  |  资源管理器为服务相关角色策略 `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` 添加了权限，该策略允许服务为以下资源类型编制索引： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 8 月 1 日 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— 更新了政策以支持其他资源类型  |  资源管理器为服务相关角色策略 `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` 添加了权限，该策略允许服务为以下资源类型编制索引： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 3 月 7 日 | 
| 新的托管式策略 |  资源浏览器添加了以下 AWS 托管策略： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2022 年 11 月 7 日 | 
|  资源管理器开启跟踪更改  |  资源浏览器开始跟踪其 AWS 托管策略的更改。  | 2022 年 11 月 7 日 |