本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在 中管理許可AWS RAM 在 中AWS RAM,[有兩種類型的受管許可](getting-started-terms-and-concepts.md#term-managed-permission-version)、AWS受管許可和客戶受管許可。 受管許可定義取用者如何對資源共享中的資源採取行動。建立資源共享時,您必須指定要針對資源共享中包含的每個資源類型使用哪個受管許可。受管許可中的政策範本包含資源型政策所需的一切,但委託人和資源除外。資源的 Amazon Resource Name (ARN) 和與資源共享相關聯的委託人 ARN 會完成以資源為基礎的政策的元素。AWS RAM然後, 會編寫以資源為基礎的政策,將其連接到該資源共享中的所有資源。 每個受管許可可以有一或多個版本。一個版本指定為該受管許可*的預設*版本。有時, 會透過建立新版本並將該新版本指定為預設值,來AWS更新資源類型的AWS受管許可。您也可以建立新版本來更新客戶受管許可。已連接至資源共享的受管許可***不會***自動更新。AWS RAM主控台會指出新預設版本何時可用,而且您可以檢閱新預設版本相較於前一個版本的變更。 **注意** 我們建議您盡快更新至AWS受管許可的新版本。這些更新通常會新增對可使用AWS 服務共用其他資源類型的新增或更新的支援AWS RAM。新的預設版本也可以解決和修正安全漏洞。 **重要** 您只能將受管許可的預設版本連接到新的資源共享。 您可以隨時擷取可用的受管許可清單。如需詳細資訊,請參閱[檢視受管許可](working-with-sharing-view-permissions.md)。 **Topics** + [檢視受管許可](working-with-sharing-view-permissions.md) + [在 中建立和使用客戶受管許可 AWS RAM](create-customer-managed-permissions.md) + [將 AWS 受管許可更新至較新版本](working-with-sharing-update-permissions.md) + [在 中使用客戶受管許可的考量 AWS RAM](managed-permission-considerations.md) + [受管許可的運作方式](#permissions-work) + [受管許可的類型](#permissions-types) # 檢視受管許可 您可以檢視可指派給資源共用中資源類型的受管許可詳細資訊。您可以識別指派給資源共用的受管許可。若要查看這些詳細資訊,請使用 主控台中的 AWS RAM **受管許可程式庫**。 ------ #### [ Console ] **檢視 中可用受管許可的詳細資訊 AWS RAM** 1. 導覽至 AWS RAM 主控台中的****[受管許可程式庫](https://console.aws.amazon.com/ram/home#Permissions:)****頁面。 1. 由於 AWS RAM 資源共用存在於特定 中 AWS 區域, AWS 區域 請從主控台右上角的下拉式清單中選擇適當的 。若要查看包含全域資源的資源共用,您必須將 AWS 區域 設定為美國東部 (維吉尼亞北部)、 (`us-east-1`)。如需共用全域資源的詳細資訊,請參閱 [與全域資源相比,共用區域資源](working-with-regional-vs-global.md)。雖然所有區域共用相同的可用 AWS 受管許可,但這會影響針對 中每個受管許可顯示的相關資源共用數量[Step 5](#step-5)。客戶受管許可只能在其建立所在的區域中使用。 1. 在**受管許可**清單中,選擇您要檢視其詳細資訊的受管許可。您可以使用搜尋方塊來篩選受管許可清單,方法是輸入部分名稱或資源類型,或從下拉式清單中選擇受管許可類型。 1. (選用) 若要變更顯示偏好設定,請選擇**受管許可**面板右上角的齒輪圖示。您可以變更下列偏好設定: + **頁面大小** – 每個頁面上顯示的資源數量。 + **換行** – 是否要在資料表列中換行。 + **資料欄** – 是否顯示或隱藏資源類型和相關聯共享的相關資訊。 完成設定顯示偏好設定後,請選擇**確認**。 1. 對於每個受管許可,清單會顯示下列資訊: + **受管許可名稱** – 受管許可的名稱。 + **資源類型** – 與受管許可相關聯的資源類型。 + **受管許可類型** – 受管許可是 AWS 受管許可還是客戶受管許可。 + **關聯的共用** – 與受管許可相關聯的資源共用數目。如果出現數字,您可以選擇數字來顯示具有以下資訊的資源共享資料表: + **資源共用名稱** – 與受管許可相關聯的資源共用名稱。 + **受管許可版本** – 連接到此資源共享的受管許可版本。 + **擁有者** – AWS 帳戶 資源共用擁有者的數目。 + **允許外部主體** – 資源共用是否允許與組織外部的主體共用 AWS Organizations。 + **狀態** – 資源共用與受管許可之間的關聯目前狀態。 + **狀態** – 描述受管許可是否為: + **可連接** – 您可以將受管許可連接到資源共用。 + **無法連接** – 您無法將受管許可連接到資源共用。 + **刪除** – 受管許可不再有效,即將刪除。 + **已刪除** – 已刪除受管許可。在從**受管許可程式庫**中消失之前,它會保持可見狀態兩小時。 您可以選擇受管許可的名稱,以顯示該受管許可的詳細資訊。受管許可的詳細資訊頁面會顯示下列資訊: + **資源類型** – 此受管許可適用的資源類型 AWS 。 + **版本數量** – 您最多可以有五個版本的客戶受管許可。 + **預設版本** – 指定哪個版本是預設版本,因此會自動指派給使用此受管許可的所有新資源共用。任何使用不同版本的現有資源共用都會顯示提示,讓您將資源共用更新為預設版本。 + **ARN **– 受管許可的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。 AWS 受管許可ARNs 使用以下格式: `arn:aws:ram::aws:permission/AWSRAM[DefaultPermission]ShareableResourceType` 子字串 `[DefaultPermission]`(實際 ARN 中沒有括號) 僅存在於指定預設值之資源類型的一個受管許可的名稱中。 + **受管許可版本** – 您可以選擇要在此下拉式清單下的索引標籤中顯示哪個版本的資訊。 + **詳細資訊**索引標籤: + **建立時間** – 建立此受管許可版本的日期和時間。 + **上次更新時間** — 上次更新此版本的受管許可的日期和時間。 + **政策範本**索引標籤 – 服務動作和條件的清單,如果適用的話,此版本的受管許可允許主體對相關聯的資源類型執行 。 + **關聯的資源共用** – 使用此版本的受管許可的資源共用清單。 ------ #### [ AWS CLI ] **檢視 中可用受管許可的詳細資訊 AWS RAM** 您可以使用 [https://docs.aws.amazon.com/cli/latest/reference/ram/list-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permissions.html)命令來取得可用於呼叫帳戶目前 中資源共用 AWS 區域 的受管許可清單。 ``` $ aws ram list-permissions { "permissions": [ { "arn": "arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority", "version": "1", "defaultVersion": true, "name": "AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority", "resourceType": "acm-pca:CertificateAuthority", "status": "ATTACHABLE", "creationTime": "2022-06-30T13:03:31.732000-07:00", "lastUpdatedTime": "2022-06-30T13:03:31.732000-07:00", "isResourceTypeDefault": false, "permissionType": "AWS_MANAGED" }, { "arn": "arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPIPassthroughIssuanceCertificateAuthority", "version": "1", "defaultVersion": true, "name": "AWSRAMBlankEndEntityCertificateAPIPassthroughIssuanceCertificateAuthority", "resourceType": "acm-pca:CertificateAuthority", "status": "ATTACHABLE", "creationTime": "2022-11-18T07:05:46.976000-08:00", "lastUpdatedTime": "2022-11-18T07:05:46.976000-08:00", "isResourceTypeDefault": false, "permissionType": "AWS_MANAGED" }, ... TRUNCATED FOR BREVITY ... RUN COMMAND TO SEE COMPLETE LIST OF PERMISSIONS ... { "arn": "arn:aws:ram::aws:permission/AWSRAMVPCPermissionsNetworkManagerCoreNetwork", "version": "1", "defaultVersion": true, "name": "AWSRAMVPCPermissionsNetworkManagerCoreNetwork", "resourceType": "networkmanager:CoreNetwork", "status": "ATTACHABLE", "creationTime": "2022-06-30T13:03:46.557000-07:00", "lastUpdatedTime": "2022-06-30T13:03:46.557000-07:00", "isResourceTypeDefault": false, "permissionType": "AWS_MANAGED" }, { "arn": "arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP", "version": "1", "defaultVersion": true, "name": "My-Test-CMP", "resourceType": "ec2:IpamPool", "status": "ATTACHABLE", "creationTime": "2023-03-08T06:54:10.038000-08:00", "lastUpdatedTime": "2023-03-08T06:54:10.038000-08:00", "isResourceTypeDefault": false, "permissionType": "CUSTOMER_MANAGED" } ] } ``` 您也可以在 `list-permissions` AWS CLI 命令的 `--query` 參數中,依其名稱尋找特定受管許可的 ARN。下列範例會篩選輸出,在符合指定名稱的`permissions`陣列結果中只包含元素。我們也指定只查看結果中的 ARN 欄位,並以純文字格式顯示,而不是預設的 JSON。 ``` $ aws ram list-permissions \ --query "permissions[?name == 'My-Test-CMP'].arn \ --output text arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP ``` 找到您感興趣的特定受管許可的 ARN 之後,您可以執行命令 來擷取其詳細資訊,包括其 JSON 政策文字[https://docs.aws.amazon.com/cli/latest/reference/ram/get-permission.html](https://docs.aws.amazon.com/cli/latest/reference/ram/get-permission.html)。 ``` $ aws ram get-permission \ --permission-arn arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP { "permission": { "arn": "arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP", "version": "1", "defaultVersion": true, "name": "My-Test-CMP", "resourceType": "ec2:IpamPool", "permission": "{\n\t\"Effect\": \"Allow\",\n\t\"Action\": [\n\t\t\"ec2:GetIpamPoolAllocations\",\n\t\t\"ec2:GetIpamPoolCidrs\",\n\t\t\"ec2:AllocateIpamPoolCidr\",\n\t\t\"ec2:AssociateVpcCidrBlock\",\n\t\t\"ec2:CreateVpc\",\n\t\t\"ec2:ProvisionPublicIpv4PoolCidr\",\n\t\t\"ec2:ReleaseIpamPoolAllocation\"\n\t]\n}", "creationTime": "2023-03-08T06:54:10.038000-08:00", "lastUpdatedTime": "2023-03-08T06:54:10.038000-08:00", "isResourceTypeDefault": false, "permissionType": "CUSTOMER_MANAGED", "featureSet": "STANDARD", "status": "ATTACHABLE" } } ``` ------ # 在 中建立和使用客戶受管許可 AWS RAM AWS Resource Access Manager (AWS RAM) 為您可以共用的每個資源類型提供至少一個 AWS 受管許可。不過,這些受管許可可能不會為您的共用使用案例提供[最低權限存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。當其中一個提供的 AWS 受管許可無法運作時,您可以建立自己的*客戶受管許可*。 客戶受管許可是您編寫和維護的受管許可,透過精確指定哪些動作可在使用 共用資源的條件下執行 AWS RAM。例如,您想要限制 Amazon VPC IP Address Manager (IPAM) 集區的讀取存取權,這可協助您大規模管理 IP 地址。您可以建立客戶受管許可,讓開發人員指派 IP 地址,但無法檢視其他開發人員帳戶指派的 IP 地址範圍。您可以遵循最低權限的最佳實務,只授予對共用資源執行任務所需的許可。 此外,您可以視需要更新或刪除客戶受管許可。 **Topics** + [建立客戶受管許可](#create_cmp) + [建立新的客戶受管許可版本](#update_mp) + [選擇要作為客戶受管許可預設值的不同版本](#set_new_mp_default_version) + [刪除客戶受管許可版本](#delete_mp_version) + [刪除客戶受管許可](#delete_mp) ## 建立客戶受管許可 客戶受管許可專屬於 AWS 區域。請務必在適當的區域中建立此客戶受管許可。 ------ #### [ Console ] **建立客戶受管許可** 1. 執行以下任意一項: + 導覽至**[受管許可程式庫](https://console.aws.amazon.com/ram/home#Permissions:)**,然後選擇**建立客戶受管許可**。 + 直接導覽至 主控台中的**[建立客戶受管許可](https://console.aws.amazon.com/ram/home#CreatePermission:)**頁面。 1. 針對**客戶受管許可詳細資訊**,輸入客戶受管許可名稱。 1. 選擇套用此受管許可的資源類型。 1. 對於**政策範本**,您可以定義允許在此資源類型上執行的操作。 + 您可以選擇**匯入受管許可**,以使用現有受管許可中的動作。 + 在視覺化編輯器中選取或取消選取存取層級資訊,以符合您的需求。 + 使用 **JSON 編輯器**新增或修改條件。 1. (選用) 若要將標籤連接至受管許可,請在**標籤**中輸入標籤索引鍵和值。選擇新增標籤來**新增其他標籤**。視需要重複此步驟。 1. 完成後,請選擇**建立客戶受管許可**。 ------ #### [ AWS CLI ] **建立客戶受管許可** + 執行命令 [create-permission](https://docs.aws.amazon.com/cli/latest/reference/ram/create-permission.html),並指定名稱、客戶受管許可適用的資源類型,以及政策範本內文文字。 下列範例命令會為 `imagebuilder:Component` 資源類型建立受管許可。 ``` $ aws ram create-permission \ --name TestCMP \ --resource-type imagebuilder:Component \ --policy-template "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}" { "permission": { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "1", "defaultVersion": true, "isResourceTypeDefault": false, "name": "TestCMP", "resourceType": "imagebuilder:Component", "status": "ATTACHABLE", "creationTime": 1680033769.401, "lastUpdatedTime": 1680033769.401 } } ``` ------ ## 建立新的客戶受管許可版本 如果您的客戶受管許可的使用案例變更,您可以建立新的受管許可版本。這不會影響您現有的資源共享,只有未來使用此客戶受管許可的新資源共享。 每個受管許可最多可以有五個版本,但您只能關聯預設版本。 ------ #### [ Console ] **建立新的客戶受管許可版本** 1. 導覽至**[受管許可程式庫](https://console.aws.amazon.com/ram/home#Permissions:)**。 1. 依**客戶受管**篩選受管許可清單,或搜尋您要變更的客戶受管許可名稱。 1. 在受管許可詳細資訊頁面的**受管許可版本**區段下,選擇**建立版本**。 1. 對於**政策範本**,您可以使用視覺化編輯器或 JSON 編輯器新增或移除動作和條件。 您也可以選擇**匯入受管許可**,以使用現有的政策範本。 1. 完成後,請選擇頁面底部的**建立版本**。 ------ #### [ AWS CLI ] **建立新的客戶受管許可版本** 1. 尋找您要為其建立新版本的受管許可的 Amazon Resource Name (ARN)。使用 `--permission-type CUSTOMER_MANAGED` 參數呼叫 [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permissions.html) 以僅包含客戶受管許可。 ``` $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED { "permissions": [ { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "2", "defaultVersion": true, "isResourceTypeDefault": false, "name": "TestCMP", "permissionType": "CUSTOMER_MANAGED", "resourceType": "imagebuilder:Component", "status": "ATTACHABLE", "creationTime": 1680035597.346, "lastUpdatedTime": 1680035597.346 } ] } ``` 1. 取得 ARN 之後,您可以呼叫 [create-permission-version](https://docs.aws.amazon.com/cli/latest/reference/ram/create-permission-version.html) 操作,並提供更新的政策範本。 ``` $ aws ram create-permission-version \ --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \ --policy-template {"Effect":"Allow","Action":["imagebuilder:ListComponents"]} { "permission": { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "2", "defaultVersion": true, "isResourceTypeDefault": false, "name": "TestCMP", "status": "ATTACHABLE", "resourceType": "imagebuilder:Component", "permission": "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}", "creationTime": 1680038973.79, "lastUpdatedTime": 1680038973.79 } } ``` 輸出包含新版本的版本編號。 ------ ## 選擇要作為客戶受管許可預設值的不同版本 您可以將另一個客戶受管許可版本設定為新的預設版本。 ------ #### [ Console ] **為客戶受管許可設定新的預設版本** 1. 導覽至**[受管許可程式庫](https://console.aws.amazon.com/ram/home#Permissions:)**。 1. 依**客戶受管**許可篩選受管許可清單,或搜尋您要變更的客戶受管許可名稱。 1. 在客戶受管許可詳細資訊頁面的**受管許可版本**區段下,使用下拉式清單選擇您要設定為新預設值的版本。 1. 選擇**設為預設版本**。 1. 出現對話方塊時,請確認您希望使用此客戶受管許可的所有新資源共用的預設值為此版本。若您同意,請選擇**設為預設版本**。 ------ #### [ AWS CLI ] **為客戶受管許可設定新的預設版本** 1. 呼叫 [list-permission-versions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permission-versions.html),尋找您要設定為預設版本的版本編號。 下列範例命令會擷取指定受管許可的目前版本。 ``` $ aws ram list-permission-versions \ --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP { "permissions": [ { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "1", "defaultVersion": false, "isResourceTypeDefault": false, "name": "TestCMP", "permissionType": "CUSTOMER_MANAGED", "featureSet": "STANDARD", "resourceType": "imagebuilder:Component", "status": "UNATTACHABLE", "creationTime": 1680033769.401, "lastUpdatedTime": 1680035597.345 }, { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "2", "defaultVersion": true, "isResourceTypeDefault": false, "name": "TestCMP", "permissionType": "CUSTOMER_MANAGED", "featureSet": "STANDARD", "resourceType": "imagebuilder:Component", "status": "ATTACHABLE", "creationTime": 1680035597.346, "lastUpdatedTime": 1680035597.346 } ] } ``` 1. 將版本號碼設定為預設之後,您可以呼叫 [set-default-permission-version](https://docs.aws.amazon.com/cli/latest/reference/ram/set-default-permission-version.html) 操作。 ``` $ aws ram-cmp set-default-permission-version \ --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \ --version 2 ``` 如果成功,此命令不會傳回任何輸出。您可以再次執行 [list-permission-versions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permission-versions.html),並確認所選版本的 `defaultVersion` 欄位現在已設定為 `true`。 ------ ## 刪除客戶受管許可版本 每個客戶受管許可最多可以有五個版本。當不再需要且不在使用版本時,您可以將其刪除。您無法刪除客戶受管許可的預設版本。刪除的版本在主控台中保持可見長達兩個小時,狀態為刪除後才會完全移除。 ------ #### [ Console ] **刪除客戶受管許可版本** 1. 導覽至**[受管許可程式庫](https://console.aws.amazon.com/ram/home#Permissions:)**。 1. 依**客戶受管**篩選受管許可清單,或使用您要刪除的版本搜尋客戶受管許可的名稱。 1. 請確定您要刪除的版本目前不是預設值。 1. 針對頁面的**版本**區段,選擇**關聯的資源共用**索引標籤,以查看是否有任何共用使用此版本。 如果有任何關聯的共用,您必須先變更客戶受管許可版本,才能刪除此版本。 1. 選擇**版本區段右側的刪除****版本**。 1. 在確認對話方塊中,選取**刪除**以確認您想要刪除此版本的客戶受管許可。 如果您不想刪除此版本的客戶受管許可,請選擇**取消**。 ------ #### [ AWS CLI ] **刪除客戶受管許可的一個版本** 1. 呼叫 [list-permission-versions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permission-versions.html) 操作以擷取可用的版本編號。 1. 取得版本編號後,請提供它做為 [delete-permission-version](https://docs.aws.amazon.com/cli/latest/reference/ram/delete-permission-version.html) 的參數。 ``` $ aws ram-cmp delete-permission-version \ --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \ --version 1 ``` 如果成功,此命令不會傳回任何輸出。您可以再次執行 [list-permission-versions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permission-versions.html),並確認版本不再包含在輸出中。 ------ ## 刪除客戶受管許可 如果不再需要客戶受管許可,且未使用,您可以將其刪除。您無法刪除與資源共享相關聯的客戶受管許可。刪除的客戶受管許可會在兩小時後消失。在此之前,它會在已刪除狀態的**受管許可程式庫**中保持可見。 ------ #### [ Console ] **刪除客戶受管許可** 1. 導覽至**[受管許可程式庫](https://console.aws.amazon.com/ram/home#Permissions:)**。 1. 依**客戶受管**許可篩選受管許可清單,或搜尋您要刪除的客戶受管許可名稱。 1. 在選取客戶受管許可之前,請確認受管許可清單中有 0 個相關聯的共用。 如果仍有資源共用與受管許可相關聯,您必須先將所有受管許可指派給所有資源共用,才能繼續。 1. 在客戶受管許可詳細資訊頁面的右上角,選擇**刪除受管許可**。 1. 當確認對話方塊出現時,選擇**刪除**以刪除受管許可。 ------ #### [ AWS CLI ] **刪除客戶受管許可** 1. 透過使用 `--permission-type CUSTOMER_MANAGED` 參數呼叫 [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permissions.html) 來尋找您要刪除之受管許可的 ARN,以僅包含客戶受管許可。 ``` $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED { "permissions": [ { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "2", "defaultVersion": true, "isResourceTypeDefault": false, "name": "TestCMP", "permissionType": "CUSTOMER_MANAGED", "resourceType": "imagebuilder:Component", "status": "ATTACHABLE", "creationTime": 1680035597.346, "lastUpdatedTime": 1680035597.346 } ] } ``` 1. 在您擁有要刪除之受管許可的 ARN 之後,請提供它做為[刪除許可](https://docs.aws.amazon.com/cli/latest/reference/ram/delete-permission.html)的參數。 ``` $ aws ram delete-permission \ --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP { "returnValue": true, "permissionStatus": "DELETING" } ``` ------ # 將 AWS 受管許可更新至較新版本 偶爾會 AWS 更新可用於連接至特定資源類型之資源共享的 AWS 受管許可。當 AWS 執行此操作時,它會建立新的 AWS 受管許可版本。包含指定資源類型的資源共用不會自動更新為使用最新版本的 受管許可。您必須明確更新每個資源共享的受管許可。此額外步驟為必要步驟,讓您可以先評估變更,再將其套用至資源共享。 ------ #### [ Console ] 每當主控台顯示列出與資源共用相關聯許可的頁面,且其中一或多個許可使用許可預設值以外的版本時,主控台會在主控台頁面頂端顯示橫幅。橫幅表示您的資源共享正在使用預設值以外的版本。 此外,當該**版本不是預設版本時,個別許可可以在目前版本編號旁顯示更新至**預設版本按鈕。 選擇該按鈕會啟動[**更新資源共享**](working-with-sharing-update.md)精靈。在精靈的步驟 2 中,您可以更新任何非預設許可的版本,以使用其預設版本。 在您完成精靈之前,不會儲存變更,方法是在精靈的最後一頁選擇**提交**。 **注意** 您只能連接預設版本,而且無法還原至其他版本。 對於客戶受管許可,在您將許可更新為預設版本之後,除非您先將該其他版本設定為預設版本,否則無法將另一個版本套用至資源共用。例如,如果您將許可更新為預設版本,然後發現要復原的錯誤,您可以將先前的版本指定為預設版本。或者,您可以建立不同的新版本,然後將該版本指定為預設值。執行其中一個選項之後,您會更新資源共用,以使用現在的預設版本。 ------ #### [ AWS CLI ] **更新 AWS 受管許可的版本** 1. [https://docs.aws.amazon.com/cli/latest/reference/ram/get-resource-shares.html](https://docs.aws.amazon.com/cli/latest/reference/ram/get-resource-shares.html) 使用 `--permission-arn` 參數執行 命令,以指定您要更新的受管許可的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。這會導致命令僅傳回使用該受管許可的資源共用。 例如,下列範例命令會傳回使用 Amazon EC2 容量保留預設 AWS 受管許可的每個資源共用的詳細資訊。 ``` $ aws ram get-resource-shares \ --resource-owner SELF \ --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionCapacityReservation ``` 輸出包含每個資源共用的 ARN,其中至少有一個資源的存取是由該受管許可所控制。 1. 針對上一個命令中指定的每個資源共用,執行命令 [https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share-permission.html](https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share-permission.html)。包含 `--resource-share-arn` 以指定要更新的資源共用、 `--permission-arn`以指定您要更新的 AWS 受管許可,以及 `--replace` 參數以指定您要更新共用以使用該受管許可的最新版本。您不需要指定版本編號;會自動使用預設版本。 ``` $ aws ram associate-resource-share-permission \ --resource-share-arn < ARN of one of the shares from the output of the previous command > \ --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionCapacityReservation \ --replace ``` 1. 針對`ResourceShareArn`您在步驟 1 中從命令收到結果的每個 ,重複上一個步驟中的 命令。 ------ # 在 中使用客戶受管許可的考量 AWS RAM 客戶受管許可僅適用於您在其中建立許可 AWS 區域 的 。並非所有資源類型都支援客戶受管許可。如需 中支援的資源類型清單 AWS Resource Access Manager,請參閱 [可共用 AWS 的資源](shareable.md)。 不支援具有多個陳述式的客戶受管許可。您只能在客戶受管許可中使用單一非否定運算子。 客戶受管許可不支援下列條件: + 用於比對委託人屬性的條件索引鍵: + `aws:PrincipalOrgId` + `aws:PrincipalOrgPaths` + `aws:PrincipalAccount` + 用於限制服務主體存取的條件索引鍵: + `aws:SourceArn` + `aws:SourceAccount` + `aws:SourceOrgPaths` + `aws:SourceOrgID` + 系統標籤: + `aws:PrincipalTag/aws:` + `aws:ResourceTag/aws:` + `aws:RequestTag/aws:` **注意** 與 服務主體共用時,會自動填入 `aws:SourceAccount`值。 ## 受管許可的運作方式 如需快速概觀,請觀看以下影片,示範 受管許可如何讓您將AWS最低權限存取的最佳實務套用至 資源。 此影片示範如何依照最低權限的最佳實務來撰寫和關聯客戶受管許可。如需詳細資訊,請參閱 [在 中建立和使用客戶受管許可 AWS RAM](create-customer-managed-permissions.md)。 [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/SQoJOuIDLKM/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/SQoJOuIDLKM) 當您建立資源共用時,您可以將AWS受管許可與您要共用的每個資源類型建立關聯。如果受管許可具有多個版本,則新資源共享一律會使用指定為預設值的版本。 在您建立資源共用之後,AWS RAM會使用 受管許可來產生連接至每個共用資源的資源型政策。 受管許可中的政策範本會指定下列項目: **Effect** 指出是否要 `Deny` `Allow`或委託人在共用資源上執行 操作的許可。對於受管許可,效果一律為 `Allow`。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[效果](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html)。 **Action** 授予委託人執行許可的操作清單。這可以是 中的動作AWS 管理主控台,也可以是AWS Command Line Interface(AWS CLI) 或AWS API 中的 操作。動作由AWS許可定義。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[動作](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html)。 **條件** 委託人何時以及如何與資源共享中的資源互動。條件會將多一層安全性新增至共用資源。使用它們來限制對共用資源之敏感動作的存取。例如,您可以包含要求動作源自特定公司 IP 地址範圍的條件,或者必須由通過多重要素驗證的使用者執行動作。如需條件的詳細資訊,請參閱《*IAM 使用者指南*》中的[AWS全域條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。如需服務特定條件的詳細資訊,請參閱《*服務授權參考*》中的 [AWS服務的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。 條件適用於客戶受管許可和受AWS管許可支援的資源類型。 如需排除與客戶受管許可搭配使用的條件資訊,請參閱 [在 中使用客戶受管許可的考量 AWS RAM](managed-permission-considerations.md)。 ## 受管許可的類型 當您建立資源共用時,您可以選擇受管許可,以與資源共用中包含的每個資源類型建立關聯。受AWS管許可是由資源擁有服務定義並由AWS管理AWS RAM。您撰寫和維護自己的客戶受管許可。 + **AWS受管許可** – 每個 支援的資源類型都有一個預設的AWS RAM受管許可。預設受管許可是用於資源類型的許可,除非您明確選擇其他受管許可之一。預設受管許可旨在支援共用指定類型資源的最常見客戶案例。預設受管許可允許主體執行由 服務為 資源類型定義的特定動作。例如,對於 Amazon VPC `ec2:Subnet` 資源類型,預設受管許可允許主體執行下列動作: + `ec2:RunInstances` + `ec2:CreateNetworkInterface` + `ec2:DescribeSubnets` 預設AWS受管許可的名稱使用以下格式:`AWSRAMDefaultPermissionShareableResourceType`。例如,對於 `ec2:Subnet` 資源類型,預設AWS受管許可的名稱為 `AWSRAMDefaultPermissionSubnet`。 **注意** 預設受管許可與預設[*版本的*](getting-started-terms-and-concepts.md#term-managed-permission-version)受管許可不同。所有受管許可,無論是預設許可還是某些資源類型支援的其他受管許可之一,都是獨立的完整許可,具有不同的效果和支援不同共用案例的動作,例如讀寫和唯讀存取。任何受管許可,無論是AWS還是客戶受管,都可以有多個版本,其中一個版本是該許可的預設版本。 例如,當您共用同時支援完整存取 (`Read` 和 `Write`) 受管許可和唯讀受管許可的資源類型時,您可以為具有完整存取受管許可的管理員建立一個資源共用。然後,您可以使用唯讀受管許可為其他開發人員建立單獨的資源共享,以遵循[授予最低權限的做法](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。 **注意** 使用 的所有AWS服務都AWS RAM支援至少一個預設受管許可。您可以在AWS 服務**[受管許可程式庫頁面上檢視每個 的可用許可](https://console.aws.amazon.com/ram/home#Permissions:)**。此頁面提供有關每個可用受管許可的詳細資訊,包括目前與該許可相關聯的任何資源共用,以及是否允許與外部主體共用,如果適用的話。如需詳細資訊,請參閱[檢視受管許可](working-with-sharing-view-permissions.md)。 對於不支援其他受管許可的服務,當您建立資源共享時,AWS RAM會自動套用針對您選擇的資源類型定義的預設許可。如果支援,您也可以選擇在關聯**受管許可頁面上建立客戶**受管許可。 **** + **客戶受管許可** – 客戶受管許可是您編寫和維護的受管許可,透過精確指定可在哪些條件下使用 共用資源來執行哪些動作AWS RAM。例如,您想要限制 Amazon VPC IP Address Manager (IPAM) 集區的讀取存取權,這可協助您大規模管理 IP 地址。您可以建立客戶受管許可,讓開發人員指派 IP 地址,但無法檢視其他開發人員帳戶指派的 IP 地址範圍。您可以遵循最低權限的最佳實務,只授予對共用資源執行任務所需的許可。