Erstellen und Verwenden von kundenverwalteten Berechtigungen in AWS RAM - AWS Resource Access Manager
Erstellen Sie eine vom Kunden verwaltete BerechtigungErstellen Sie eine neue Version einer vom Kunden verwalteten BerechtigungWählen Sie eine andere Version als Standard für eine vom Kunden verwaltete BerechtigungLöschen Sie eine vom Kunden verwaltete BerechtigungsversionLöschen Sie eine vom Kunden verwaltete Berechtigung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen und Verwenden von kundenverwalteten Berechtigungen in AWS RAM

AWS Resource Access Manager (AWS RAM) bietet mindestens eine AWS verwaltete Berechtigung für jeden Ressourcentyp, den Sie gemeinsam nutzen können. Diese verwalteten Berechtigungen bieten jedoch möglicherweise keinen Zugriff mit den geringsten Rechten für Ihren Anwendungsfall beim Teilen. Wenn eine der bereitgestellten AWS verwalteten Berechtigungen nicht funktioniert, können Sie Ihre eigene vom Kunden verwaltete Berechtigung erstellen.

Kundenverwaltete Berechtigungen sind verwaltete Berechtigungen, die Sie erstellen und verwalten, indem Sie genau angeben, welche Aktionen unter welchen Bedingungen mit gemeinsam genutzten Ressourcen ausgeführt werden können AWS RAM. Sie möchten beispielsweise den Lesezugriff für Ihre Amazon VPC IP Address Manager (IPAM) -Pools einschränken, die Ihnen helfen, Ihre IP-Adressen in großem Umfang zu verwalten. Sie können kundenverwaltete Berechtigungen für Ihre Entwickler einrichten, um IP-Adressen zuzuweisen, aber nicht den IP-Adressbereich einsehen, den andere Entwicklerkonten zuweisen. Sie können sich an die bewährte Methode der geringsten Rechte halten und nur die Berechtigungen gewähren, die für die Ausführung von Aufgaben auf gemeinsam genutzten Ressourcen erforderlich sind.

Darüber hinaus können Sie vom Kunden verwaltete Berechtigungen nach Bedarf aktualisieren oder löschen.

Erstellen Sie eine vom Kunden verwaltete Berechtigung

Vom Kunden verwaltete Berechtigungen sind spezifisch für eine AWS-Region. Stellen Sie sicher, dass Sie diese vom Kunden verwaltete Berechtigung in der entsprechenden Region erstellen.

Console
Um eine vom Kunden verwaltete Berechtigung zu erstellen

  1. Führen Sie eine der folgenden Aktionen aus:

  2. Geben Sie für Details zur vom Kunden verwalteten Berechtigung einen Namen für die vom Kunden verwaltete Berechtigung ein.

  3. Wählen Sie den Ressourcentyp aus, für den diese verwaltete Berechtigung gilt.

  4. Für die Richtlinienvorlage definieren Sie, welche Operationen mit diesem Ressourcentyp ausgeführt werden dürfen.

    • Sie können „Verwaltete Berechtigung importieren“ wählen, um Aktionen aus einer vorhandenen verwalteten Berechtigung zu verwenden.

    • Wählen oder deaktivieren Sie Informationen zur Zugriffsebene, um Ihren Anforderungen im Visual Editor zu entsprechen.

    • Fügen Sie Bedingungen mit dem JSON-Editor hinzu oder ändern Sie sie.

  5. (Optional) Um der verwalteten Berechtigung Tags anzuhängen, geben Sie unter Tags einen Tag-Schlüssel und einen Tag-Wert ein. Fügen Sie weitere Tags hinzu, indem Sie Neues Tag hinzufügen wählen. Wiederholen Sie diesen Schritt nach Bedarf.

  6. Wenn Sie fertig sind, wählen Sie Vom Kunden verwaltete Berechtigung erstellen aus.

AWS CLI
Um eine vom Kunden verwaltete Berechtigung zu erstellen

  • Führen Sie den Befehl create-permission aus und geben Sie einen Namen, den Ressourcentyp, für den die vom Kunden verwaltete Berechtigung gilt, und den Haupttext der Richtlinienvorlage an.

    Der folgende Beispielbefehl erstellt eine verwaltete Berechtigung für den imagebuilder:Component Ressourcentyp. 

    $ aws ram create-permission \
    --name TestCMP \
    --resource-type imagebuilder:Component \
    --policy-template "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}"
{
    "permission": {
        "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
        "version": "1",
        "defaultVersion": true,
        "isResourceTypeDefault": false,
        "name": "TestCMP",
        "resourceType": "imagebuilder:Component",
        "status": "ATTACHABLE",
        "creationTime": 1680033769.401,
        "lastUpdatedTime": 1680033769.401
    }
}

Erstellen Sie eine neue Version einer vom Kunden verwalteten Berechtigung

Wenn sich der Anwendungsfall für Ihre vom Kunden verwaltete Berechtigung ändert, können Sie eine neue Version der verwalteten Berechtigung erstellen. Dies wirkt sich nicht auf Ihre vorhandenen Ressourcenfreigaben aus, sondern nur auf die zukünftigen neuen Ressourcenfreigaben, die diese vom Kunden verwaltete Berechtigung verwenden.

Jede verwaltete Berechtigung kann bis zu fünf Versionen haben, aber Sie können nur die Standardversion zuordnen.

Console
Um eine neue Version einer vom Kunden verwalteten Berechtigung zu erstellen

  1. Navigieren Sie zur Bibliothek mit verwalteten Berechtigungen.

  2. Filtern Sie die Liste der verwalteten Berechtigungen nach Vom Kunden verwaltet, oder suchen Sie nach dem Namen der vom Kunden verwalteten Berechtigung, die Sie ändern möchten.

  3. Wählen Sie auf der Seite mit den Details zu verwalteten Berechtigungen im Abschnitt Versionen mit verwalteten Berechtigungen die Option Version erstellen aus.

  4. Für die Richtlinienvorlage können Sie Aktionen und Bedingungen mit dem visuellen Editor oder dem JSON-Editor hinzufügen oder entfernen.

    Sie haben auch die Möglichkeit, Verwaltete Berechtigungen importieren auszuwählen, um eine vorhandene Richtlinienvorlage zu verwenden.

  5. Wenn Sie fertig sind, wählen Sie unten auf der Seite Version erstellen aus.

AWS CLI
Um eine neue Version einer vom Kunden verwalteten Berechtigung zu erstellen

  1. Suchen Sie den Amazon-Ressourcennamen (ARN) der verwalteten Berechtigung, für die Sie eine neue Version erstellen möchten. Rufen Sie dazu list-permissions mit dem --permission-type CUSTOMER_MANAGED Parameter auf, um nur vom Kunden verwaltete Berechtigungen einzubeziehen.

    $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. Nachdem Sie den ARN haben, können Sie den create-permission-versionVorgang aufrufen und die aktualisierte Richtlinienvorlage bereitstellen.

    $ aws ram create-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --policy-template {"Effect":"Allow","Action":["imagebuilder:ListComponents"]}
{
    "permission": {
        "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
        "version": "2",
        "defaultVersion": true,
        "isResourceTypeDefault": false,
        "name": "TestCMP",
        "status": "ATTACHABLE",
        "resourceType": "imagebuilder:Component",
        "permission": "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}",
        "creationTime": 1680038973.79,
        "lastUpdatedTime": 1680038973.79
    }
}

    Die Ausgabe enthält die Versionsnummer der neuen Version.

Wählen Sie eine andere Version als Standard für eine vom Kunden verwaltete Berechtigung

Sie können eine andere vom Kunden verwaltete Berechtigungsversion als neue Standardversion festlegen.

Console
Um eine neue Standardversion für eine vom Kunden verwaltete Berechtigung festzulegen

  1. Navigieren Sie zur Bibliothek mit verwalteten Berechtigungen.

  2. Filtern Sie die Liste der verwalteten Berechtigungen nach Vom Kunden verwaltet, oder suchen Sie nach dem Namen der vom Kunden verwalteten Berechtigung, die Sie ändern möchten.

  3. Wählen Sie auf der Seite mit den vom Kunden verwalteten Berechtigungen im Abschnitt Versionen verwalteter Berechtigungen mithilfe der Dropdownliste die Version aus, die Sie als neue Standardversion festlegen möchten.

  4. Wählen Sie Als Standardversion festlegen aus.

  5. Wenn das Dialogfeld angezeigt wird, bestätigen Sie, dass diese Version die Standardversion für alle neuen Ressourcenfreigaben sein soll, die diese vom Kunden verwaltete Berechtigung verwenden. Wenn Sie damit einverstanden sind, wählen Sie Als Standardversion festlegen.

AWS CLI
Um eine neue Standardversion für eine vom Kunden verwaltete Berechtigung festzulegen

  1. Suchen Sie die Versionsnummer, die Sie als Standardversion festlegen möchten, indem Sie anrufen list-permission-versions.

    Mit dem folgenden Beispielbefehl werden die aktuellen Versionen für die angegebene verwaltete Berechtigung abgerufen.

    $ aws ram list-permission-versions \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "1",
            "defaultVersion": false,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "featureSet": "STANDARD",
            "resourceType": "imagebuilder:Component",
            "status": "UNATTACHABLE",
            "creationTime": 1680033769.401,
            "lastUpdatedTime": 1680035597.345
        },
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "featureSet": "STANDARD",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. Nachdem Sie die Versionsnummer als Standard festgelegt haben, können Sie den set-default-permission-versionVorgang aufrufen.

    $ aws ram-cmp set-default-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --version 2

    Dieser Befehl gibt bei Erfolg keine Ausgabe zurück. Sie können den list-permission-versionsVorgang erneut ausführen und überprüfen, ob das defaultVersion Feld der ausgewählten Version jetzt auf gesetzt isttrue.

Löschen Sie eine vom Kunden verwaltete Berechtigungsversion

Sie können bis zu fünf Versionen jeder vom Kunden verwalteten Berechtigung haben. Wenn eine Version nicht mehr benötigt wird und nicht verwendet wird, können Sie sie löschen. Sie können die Standardversion einer vom Kunden verwalteten Berechtigung nicht löschen. Gelöschte Versionen bleiben bis zu zwei Stunden in der Konsole sichtbar und haben den Status Gelöscht, bevor sie vollständig entfernt werden.

Console

Um eine vom Kunden verwaltete Berechtigungsversion zu löschen

  1. Navigieren Sie zur Bibliothek mit verwalteten Berechtigungen.

  2. Filtern Sie die Liste der verwalteten Berechtigungen nach Vom Kunden verwaltet, oder suchen Sie nach dem Namen der vom Kunden verwalteten Berechtigung mit der Version, die Sie löschen möchten.

  3. Stellen Sie sicher, dass die Version, die Sie löschen möchten, derzeit nicht die Standardversion ist.

  4. Wählen Sie für den Abschnitt Versionen der Seite den Tab Zugeordnete Ressourcenfreigaben aus, um zu sehen, ob Freigaben diese Version verwenden.

    Wenn Shares verknüpft sind, müssen Sie die Version mit vom Kunden verwalteten Berechtigungen ändern, bevor Sie diese Version löschen können.

  5. Wählen Sie auf der rechten Seite des Abschnitts Version die Option Version löschen aus.

  6. Wählen Sie im Bestätigungsdialogfeld die Option Löschen aus, um zu bestätigen, dass Sie diese Version Ihrer vom Kunden verwalteten Berechtigung löschen möchten.

    Wählen Sie Abbrechen, wenn Sie diese Version Ihrer vom Kunden verwalteten Berechtigung nicht löschen möchten.

AWS CLI
Um eine Version einer vom Kunden verwalteten Berechtigung zu löschen

  1. Rufen Sie den list-permission-versionsVorgang auf, um die verfügbaren Versionsnummern abzurufen.

  2. Nachdem Sie die Versionsnummer erhalten haben, geben Sie sie als Parameter für an delete-permission-version.

    $ aws ram-cmp delete-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --version 1

    Dieser Befehl gibt bei Erfolg keine Ausgabe zurück. Sie können den Vorgang list-permission-versionserneut ausführen und überprüfen, ob die Version nicht mehr in der Ausgabe enthalten ist.

Löschen Sie eine vom Kunden verwaltete Berechtigung

Wenn eine vom Kunden verwaltete Berechtigung nicht mehr benötigt wird und nicht verwendet wird, können Sie sie löschen. Eine vom Kunden verwaltete Berechtigung, die einer Ressourcenfreigabe zugeordnet ist, kann nicht gelöscht werden. Die gelöschte vom Kunden verwaltete Berechtigung verschwindet nach zwei Stunden. Bis dahin bleibt sie in der Bibliothek mit verwalteten Berechtigungen mit dem Status Gelöscht sichtbar.

Console

Um eine vom Kunden verwaltete Berechtigung zu löschen

  1. Navigieren Sie zur Bibliothek mit verwalteten Berechtigungen.

  2. Filtern Sie die Liste der verwalteten Berechtigungen nach Vom Kunden verwaltet, oder suchen Sie nach dem Namen der vom Kunden verwalteten Berechtigung, die Sie löschen möchten.

  3. Vergewissern Sie sich, dass in der Liste der verwalteten Berechtigungen 0 zugeordnete Shares vorhanden sind, bevor Sie die vom Kunden verwaltete Berechtigung auswählen.

    Wenn der verwalteten Berechtigung noch Ressourcenfreigaben zugeordnet sind, müssen Sie allen Ressourcenfreigaben eine weitere verwaltete Berechtigung zuweisen, bevor Sie fortfahren können.

  4. Wählen Sie in der oberen rechten Ecke der Seite mit den vom Kunden verwalteten Berechtigungen die Option Verwaltete Berechtigung löschen aus.

  5. Wenn das Bestätigungsdialogfeld angezeigt wird, wählen Sie Löschen, um die verwaltete Berechtigung zu löschen.

AWS CLI
Um eine vom Kunden verwaltete Berechtigung zu löschen

  1. Suchen Sie den ARN der verwalteten Berechtigung, die Sie löschen möchten, indem Sie list-permissions mit dem --permission-type CUSTOMER_MANAGED Parameter aufrufen, um nur vom Kunden verwaltete Berechtigungen einzubeziehen.

    $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. Nachdem Sie den ARN der verwalteten Löschberechtigung haben, geben Sie ihn als Parameter für delete-permission an.

    $ aws ram delete-permission \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
    "returnValue": true,
    "permissionStatus": "DELETING"
}