在 中管理許可AWS RAM - AWS Resource Access Manager
受管許可的運作方式受管許可的類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 中管理許可AWS RAM

在 中AWS RAM,有兩種類型的受管許可、AWS受管許可和客戶受管許可。

受管許可定義取用者如何對資源共享中的資源採取行動。建立資源共享時,您必須指定要針對資源共享中包含的每個資源類型使用哪個受管許可。受管許可中的政策範本包含資源型政策所需的一切,但委託人和資源除外。資源的 Amazon Resource Name (ARN) 和與資源共享相關聯的委託人 ARN 會完成以資源為基礎的政策的元素。AWS RAM然後, 會編寫以資源為基礎的政策,將其連接到該資源共享中的所有資源。

每個受管許可可以有一或多個版本。一個版本指定為該受管許可的預設版本。有時, 會透過建立新版本並將該新版本指定為預設值,來AWS更新資源類型的AWS受管許可。您也可以建立新版本來更新客戶受管許可。已連接至資源共享的受管許可不會自動更新。AWS RAM主控台會指出新預設版本何時可用,而且您可以檢閱新預設版本相較於前一個版本的變更。

注意

我們建議您盡快更新至AWS受管許可的新版本。這些更新通常會新增對可使用AWS 服務共用其他資源類型的新增或更新的支援AWS RAM。新的預設版本也可以解決和修正安全漏洞。

重要

您只能將受管許可的預設版本連接到新的資源共享。

您可以隨時擷取可用的受管許可清單。如需詳細資訊,請參閱檢視受管許可

主題

受管許可的運作方式

如需快速概觀,請觀看以下影片,示範 受管許可如何讓您將AWS最低權限存取的最佳實務套用至 資源。

此影片示範如何依照最低權限的最佳實務來撰寫和關聯客戶受管許可。如需詳細資訊,請參閱 在 中建立和使用客戶受管許可 AWS RAM

當您建立資源共用時,您可以將AWS受管許可與您要共用的每個資源類型建立關聯。如果受管許可具有多個版本,則新資源共享一律會使用指定為預設值的版本。

在您建立資源共用之後,AWS RAM會使用 受管許可來產生連接至每個共用資源的資源型政策。

受管許可中的政策範本會指定下列項目:

Effect

指出是否要 Deny Allow或委託人在共用資源上執行 操作的許可。對於受管許可,效果一律為 Allow。如需詳細資訊,請參閱《IAM 使用者指南》中的效果

Action

授予委託人執行許可的操作清單。這可以是 中的動作AWS 管理主控台,也可以是AWS Command Line Interface(AWS CLI) 或AWS API 中的 操作。動作由AWS許可定義。如需詳細資訊,請參閱《IAM 使用者指南》中的動作

條件

委託人何時以及如何與資源共享中的資源互動。條件會將多一層安全性新增至共用資源。使用它們來限制對共用資源之敏感動作的存取。例如,您可以包含要求動作源自特定公司 IP 地址範圍的條件,或者必須由通過多重要素驗證的使用者執行動作。如需條件的詳細資訊,請參閱《IAM 使用者指南》中的AWS全域條件內容金鑰。如需服務特定條件的詳細資訊,請參閱《服務授權參考》中的 AWS服務的動作、資源和條件索引鍵

注意

條件適用於客戶受管許可和受AWS管許可支援的資源類型。

如需排除與客戶受管許可搭配使用的條件資訊,請參閱 在 中使用客戶受管許可的考量 AWS RAM

受管許可的類型

當您建立資源共用時,您可以選擇受管許可,以與資源共用中包含的每個資源類型建立關聯。受AWS管許可是由資源擁有服務定義並由AWS管理AWS RAM。您撰寫和維護自己的客戶受管許可。

  • AWS受管許可 – 每個 支援的資源類型都有一個預設的AWS RAM受管許可。預設受管許可是用於資源類型的許可,除非您明確選擇其他受管許可之一。預設受管許可旨在支援共用指定類型資源的最常見客戶案例。預設受管許可允許主體執行由 服務為 資源類型定義的特定動作。例如,對於 Amazon VPC ec2:Subnet 資源類型,預設受管許可允許主體執行下列動作:

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    預設AWS受管許可的名稱使用以下格式:AWSRAMDefaultPermissionShareableResourceType。例如,對於 ec2:Subnet 資源類型,預設AWS受管許可的名稱為 AWSRAMDefaultPermissionSubnet

    注意

    預設受管許可與預設版本的受管許可不同。所有受管許可,無論是預設許可還是某些資源類型支援的其他受管許可之一,都是獨立的完整許可,具有不同的效果和支援不同共用案例的動作,例如讀寫和唯讀存取。任何受管許可,無論是AWS還是客戶受管,都可以有多個版本,其中一個版本是該許可的預設版本。

    例如,當您共用同時支援完整存取 (ReadWrite) 受管許可和唯讀受管許可的資源類型時,您可以為具有完整存取受管許可的管理員建立一個資源共用。然後,您可以使用唯讀受管許可為其他開發人員建立單獨的資源共享,以遵循授予最低權限的做法

    注意

    使用 的所有AWS服務都AWS RAM支援至少一個預設受管許可。您可以在AWS 服務受管許可程式庫頁面上檢視每個 的可用許可。此頁面提供有關每個可用受管許可的詳細資訊,包括目前與該許可相關聯的任何資源共用,以及是否允許與外部主體共用,如果適用的話。如需詳細資訊,請參閱檢視受管許可

    對於不支援其他受管許可的服務,當您建立資源共享時,AWS RAM會自動套用針對您選擇的資源類型定義的預設許可。如果支援,您也可以選擇在關聯受管許可頁面上建立客戶受管許可。

  • 客戶受管許可 – 客戶受管許可是您編寫和維護的受管許可,透過精確指定可在哪些條件下使用 共用資源來執行哪些動作AWS RAM。例如,您想要限制 Amazon VPC IP Address Manager (IPAM) 集區的讀取存取權,這可協助您大規模管理 IP 地址。您可以建立客戶受管許可,讓開發人員指派 IP 地址,但無法檢視其他開發人員帳戶指派的 IP 地址範圍。您可以遵循最低權限的最佳實務,只授予對共用資源執行任務所需的許可。