AWS RAM如何使用 IAM - AWS Resource Access Manager
政策結構

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS RAM如何使用 IAM

根據預設,IAM 主體沒有建立或修改AWS RAM資源的許可。若要允許 IAM 主體建立或修改資源並執行任務,請執行下列其中一個步驟。這些動作會授予使用特定資源和 API 動作的許可。

若要提供存取權,請新增權限至您的使用者、群組或角色:

  • 中的使用者和群組AWS IAM Identity Center:

    建立權限合集。請按照《AWS IAM Identity Center使用者指南》中的建立權限合集說明進行操作。

  • 透過身分提供者在 IAM 中管理的使用者:

    建立聯合身分的角色。遵循《IAM 使用者指南》的為第三方身分提供者 (聯合) 建立角色中的指示。

  • IAM 使用者:

AWS RAM提供數個您可以使用的AWS受管政策,可解決許多使用者的需求。如需這些項目的詳細資訊,請參閱AWS的 受管政策AWS RAM

如果您需要更精確地控制您授予使用者的許可,您可以在 IAM 主控台中建構自己的政策。如需有關建立政策並將其連接至 IAM 角色和使用者的資訊,請參閱AWS Identity and Access Management《 使用者指南》中的 IAM 中的政策和許可

下列各節提供建置 IAM 許可政策AWS RAM的特定詳細資訊。

政策結構

IAM 許可政策是包含下列陳述式的 JSON 文件:效果、動作、資源和條件。IAM 政策通常採用下列形式。

{
    "Statement":[{
        "Effect":"<effect>",
        "Action":"<action>",
        "Resource":"<arn>",
        "Condition":{
            "<comparison-operator>":{
                "<key>":"<value>"
            }
        }
    }]
}

Effect

效果陳述式指出政策是否允許或拒絕委託人執行動作的許可。可能的值包括: AllowDeny

Action

動作陳述式指定政策允許或拒絕許可的AWS RAM API 動作。如需允許動作的完整清單,請參閱《IAM 使用者指南》中的 定義的動作AWS Resource Access Manager

資源

資源陳述式會指定受政策影響AWS RAM的資源。若要在 陳述式中指定資源,您需要使用其唯一的 Amazon Resource Name (ARN)。如需允許資源的完整清單,請參閱《IAM 使用者指南》中的 定義的資源AWS Resource Access Manager

條件

條件陳述式是選用的。它們可用來進一步精簡政策適用的條件。AWS RAM支援下列條件索引鍵:

  • aws:RequestTag/${TagKey} – 測試服務請求是否包含具有指定標籤索引鍵的標籤,並具有指定的值。

  • aws:ResourceTag/${TagKey} – 測試由服務請求執行的資源是否具有附加標籤,其中包含您在政策中指定的標籤金鑰。

    下列範例條件會檢查服務請求中參考的資源是否具有附加標籤,其金鑰名稱為 "Owner" 且值為 "Dev Team"。

    "Condition" : { 
    "StringEquals" : {
        "aws:ResourceTag/Owner" : "Dev Team" 
    } 
}

  • aws:TagKeys – 指定必須用來建立或標記資源共享的標籤金鑰。

  • ram:AllowsExternalPrincipals – 測試服務請求中的資源共用是否允許與外部委託人共用。外部委託人是您組織的AWS 帳戶外部AWS Organizations。如果這評估為 False,則您只能與同一組織中的帳戶共用此資源共用。

  • ram:PermissionArn – 測試服務請求中指定的許可 ARN 是否符合您在政策中指定的 ARN 字串。

  • ram:PermissionResourceType – 測試服務請求中指定的許可是否適用於您在政策中指定的資源類型。使用可共用資源類型清單中顯示的格式指定資源類型

  • ram:Principal – 測試服務請求中指定的委託人的 ARN 是否符合您在政策中指定的 ARN 字串。

  • ram:RequestedAllowsExternalPrincipals – 測試服務請求是否包含 allowExternalPrincipals 參數,以及其引數是否符合您在政策中指定的值。

  • ram:RequestedResourceType – 測試正在處理之資源的資源類型是否符合您在政策中指定的資源類型字串。使用可共用資源類型清單中顯示的格式指定資源類型

  • ram:ResourceArn – 測試服務請求所處理之資源的 ARN 是否符合您在政策中指定的 ARN。

  • ram:ResourceShareName – 測試服務請求所處理的資源共用名稱是否符合您在政策中指定的字串。

  • ram:ShareOwnerAccountId – 測試服務請求所處理之資源共享的帳戶 ID 號碼,符合您在政策中指定的字串。