共用 Resource Explorer 檢視 - AWS 資源總管
要與 共用檢視的許可政策 AWS 帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共用 Resource Explorer 檢視

檢視 AWS 資源總管 主要使用資源型政策來授予存取權。與 Amazon S3 儲存貯體政策類似,這些政策會連接至檢視,並指定誰可以使用檢視。這與 AWS Identity and Access Management (IAM) 身分型政策相反。IAM 身分型政策會指派給角色、群組或使用者,並指定角色、群組或使用者可存取的動作和資源。您可以搭配 Resource Explorer 檢視使用任一類型的政策,如下所示:

  • 在擁有資源的管理帳戶或委派管理員帳戶中,使用任一政策類型來授予存取權,前提是沒有其他政策明確拒絕該主體的檢視存取權。

  • 跨帳戶,您必須使用兩種政策類型。連接到共用帳戶中檢視的資源型政策會開啟與其他耗用帳戶的共用。不過,該政策不會授予取用帳戶中個別使用者或角色的存取權。消費帳戶中的管理員也必須將身分型政策指派給消費帳戶中的所需角色和使用者。該政策會授予檢視的 Amazon 資源名稱 (ARN) 存取權。

若要與其他帳戶共用檢視,您必須使用 AWS Resource Access Manager (AWS RAM)。 會為您 AWS RAM 處理資源型政策的複雜性。您必須先執行下列任務,才能共用:

  • 開啟多帳戶搜尋

  • 確保您的資源型政策或您用於共用和取消共用檢視IAM的身分型政策包含 resource-explorer-2:GetResourcePolicyresource-explorer-2:PutResourcePolicyresource-explorer-2:DeleteResourcePolicy 許可。

若要共用檢視,您必須是組織的管理帳戶或委派的管理員。您可以指定要與之共用資源的帳戶或身分。 AWS RAM 完全支援 Resource Explorer 檢視。 會根據您選擇共用的委託人類型, AWS RAM 使用類似於以下各節所述的政策。如需如何共用資源的指示,請參閱 AWS Resource Access Manager 使用者指南 中的共用資源 AWS

管理員和委派管理員可以建立和共用 3 種類型的檢視:組織範圍檢視、組織單位 (OU) 範圍檢視和帳戶層級範圍檢視。他們可以與組織OUs、 或 帳戶共用。當帳戶加入或離開組織時, AWS RAM 會自動授予或撤銷共用檢視。

要與 共用檢視的許可政策 AWS 帳戶

下列範例政策說明如何讓兩個不同 中的主體檢視 AWS 帳戶:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [ "111122223333", "444455556666" ]
            },
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            ], 
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
            "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
                "StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
            }
        }
    ]
    }"
}

每個指定帳戶中的管理員現在必須指定哪些角色和使用者可以透過將身分型許可政策連接至角色、群組和使用者來存取檢視。帳戶 111122223333 或 444455556666 的管理員可以建立下列範例政策。然後,他們可以將政策指派給這些帳戶中的角色、群組和使用者,這些使用者可以使用原始帳戶共用的檢視進行搜尋。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
        }
    ]
}

您可以使用這些身分IAM型政策作為屬性型存取控制 (ABAC) 安全策略的一部分。在該範式中,您可以確保已標記您的所有資源和所有身分。然後,您可以在政策中指定哪些標籤索引鍵和值必須在身分與允許存取的資源之間相符。如需在帳戶中標記檢視的資訊,請參閱 對檢視新增標籤。如需屬性型存取控制的詳細資訊,請參閱 IAM 使用者指南 中的什麼ABAC適用於 AWS? 以及使用標籤 控制對 AWS 資源的存取