本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 的 受管政策 AWS Resource Access Manager
<a name="security-iam-awsmanpol"></a>

AWS Resource Access Manager 目前提供數個 AWS RAM 受管政策，如本主題所述。

**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [政策更新](#security-iam-awsmanpol-updates)

在上述清單中，您可以將前三個政策連接到您的 IAM 角色、群組和使用者，以授予許可。清單中的最後一個政策會保留給 AWS RAM 服務的服務連結角色。

 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有委託人身分 （使用者、群組和角色）。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 受管政策：AWSResourceAccessManagerReadOnlyAccess
<a name="security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess"></a>

您可將 `AWSResourceAccessManagerReadOnlyAccess` 政策連接到 IAM 身分。

此政策為 擁有的資源共用提供唯讀許可 AWS 帳戶。

它透過授予執行任何 `Get*`或 `List*`操作的許可來執行此操作。它不提供修改任何資源共用的任何功能。

**許可詳細資訊**  
此政策包含以下許可。
+ `ram` – 允許主體檢視帳戶所擁有資源共享的詳細資訊。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:Get*",
                "ram:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

## AWS 受管政策：AWSResourceAccessManagerFullAccess
<a name="security-iam-managed-policies-AWSResourceAccessManagerFullAccess"></a>

您可將 `AWSResourceAccessManagerFullAccess` 政策連接到 IAM 身分。

此政策提供完整的管理存取權，以檢視或修改您擁有的資源共用 AWS 帳戶。

它透過授予執行任何`ram`操作的許可來執行此操作。

**許可詳細資訊**  
此政策包含以下許可。
+ `ram` – 允許主體檢視或修改有關 所擁有資源共用的任何資訊 AWS 帳戶。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

## AWS 受管政策：AWSResourceAccessManagerResourceShareParticipantAccess
<a name="security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess"></a>

您可將 `AWSResourceAccessManagerResourceShareParticipantAccess` 政策連接到 IAM 身分。

此政策可讓主體接受或拒絕與此共用的資源共用 AWS 帳戶，以及檢視這些資源共用的詳細資訊。它不提供修改這些資源共用的任何功能。

它透過授予執行某些`ram`操作的許可來執行此操作。

**許可詳細資訊**  
此政策包含以下許可。
+ `ram` – 允許主體接受或拒絕資源共用邀請，並檢視與帳戶共用之資源共用的詳細資訊。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareInvitations",
                "ram:GetResourceShares",
                "ram:ListPendingInvitationResources",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:RejectResourceShareInvitation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

## AWS 受管政策：AWSResourceAccessManagerServiceRolePolicy
<a name="security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy"></a>

 AWS 受管政策只能與 的服務連結角色`AWSResourceAccessManagerServiceRolePolicy`搭配使用 AWS RAM。您無法連接、分離、修改或刪除此政策。

此政策 AWS RAM 可讓您唯讀存取組織的結構。當您啟用 AWS RAM 和 之間的整合時 AWS Organizations， AWS RAM 會自動建立名為 [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager) 的服務連結角色，當服務需要查詢組織及其帳戶的相關資訊時，例如當您在 AWS RAM 主控台中檢視組織的結構時。

它透過授予唯讀許可來執行 `organizations:Describe`和 `organizations:List`操作，以提供組織結構和帳戶的詳細資訊來執行此操作。

**許可詳細資訊**  
此政策包含以下許可。
+ `organizations` – 允許主體檢視組織結構的相關資訊，包括組織單位及其 AWS 帳戶 所包含的 。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
            ]
        }
    ]
}
```

------

## AWS RAM AWS 受管政策的更新
<a name="security-iam-awsmanpol-updates"></a>

檢視自此服務開始追蹤這些變更 AWS RAM 以來， AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒，請訂閱 AWS RAM 文件歷史記錄頁面上的 RSS 摘要。


| 變更 | 描述 | Date | 
| --- | --- | --- | 
|  AWS Resource Access Manager 開始追蹤變更  |  AWS RAM 已記錄其現有的 受管政策並開始追蹤變更。  | 2021 年 9 月 16 日 |