Wie AWS RAM funktioniert mit IAM - AWS Resource Access Manager
Richtlinienstruktur

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie AWS RAM funktioniert mit IAM

Standardmäßig sind IAM Prinzipale nicht berechtigt, AWS RAM Ressourcen zu erstellen oder zu ändern. Um IAM Prinzipalen das Erstellen oder Ändern von Ressourcen und das Ausführen von Aufgaben zu ermöglichen, führen Sie einen der folgenden Schritte aus. Diese Aktionen gewähren die Erlaubnis, bestimmte Ressourcen und API Aktionen zu verwenden.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

AWS RAM bietet mehrere AWS verwaltete Richtlinien, die Sie verwenden können, um den Bedürfnissen vieler Benutzer gerecht zu werden. Weitere Informationen dazu finden Sie unter AWS Von verwaltete Richtlinien für AWS RAM.

Wenn Sie eine genauere Kontrolle über die Berechtigungen benötigen, die Sie Ihren Benutzern gewähren, können Sie in der IAM Konsole Ihre eigenen Richtlinien erstellen. Informationen zum Erstellen von Richtlinien und zum Anhängen dieser Richtlinien an Ihre IAM Rollen und Benutzer finden Sie IAMim AWS Identity and Access Management Benutzerhandbuch unter Richtlinien und Berechtigungen.

Die folgenden Abschnitte enthalten AWS RAM spezifische Informationen zum Erstellen einer IAM Berechtigungsrichtlinie.

Richtlinienstruktur

Eine IAM Berechtigungsrichtlinie ist ein JSON Dokument, das die folgenden Aussagen enthält: Wirkung, Aktion, Ressource und Bedingung. Eine IAM Richtlinie hat in der Regel die folgende Form.

{
    "Statement":[{
        "Effect":"<effect>",
        "Action":"<action>",
        "Resource":"<arn>",
        "Condition":{
            "<comparison-operator>":{
                "<key>":"<value>"
            }
        }
    }]
}

Auswirkung

Die Effect-Anweisung gibt an, ob die Richtlinie einem Hauptbenutzer die Erlaubnis zur Durchführung einer Aktion gewährt oder verweigert. Zu den möglichen Werten gehören: Allow undDeny.

Aktion

Die Aktionserklärung gibt die AWS RAM API Aktionen an, für die die Richtlinie die Genehmigung zulässt oder verweigert. Eine vollständige Liste der zulässigen Aktionen finden Sie AWS Resource Access Manager im IAMBenutzerhandbuch unter Definierte Aktionen von.

Ressource

In der Ressourcenanweisung werden die AWS RAM Ressourcen angegeben, die von der Richtlinie betroffen sind. Um eine Ressource in der Anweisung anzugeben, müssen Sie ihren eindeutigen Amazon-Ressourcennamen (ARN) verwenden. Eine vollständige Liste der zulässigen Ressourcen finden Sie unter Resources defined by AWS Resource Access Manager im IAMBenutzerhandbuch.

Bedingung

Zustandsanweisungen sind optional. Sie können verwendet werden, um die Bedingungen, unter denen die Richtlinie gilt, weiter zu verfeinern. AWS RAM unterstützt die folgenden Bedingungsschlüssel:

  • aws:RequestTag/${TagKey}— Testet, ob die Serviceanfrage ein Tag mit dem angegebenen Tag-Schlüssel enthält, existiert und den angegebenen Wert hat.

  • aws:ResourceTag/${TagKey}— Testet, ob der Ressource, auf die die Serviceanfrage reagiert hat, ein Tag mit einem Tag-Schlüssel angehängt ist, den Sie in der Richtlinie angeben.

    Die folgende Beispielbedingung überprüft, ob der Ressource, auf die in der Serviceanfrage verwiesen wird, ein Tag mit dem Schlüsselnamen „Owner“ und dem Wert „Dev Team“ angehängt ist.

    "Condition" : { 
    "StringEquals" : {
        "aws:ResourceTag/Owner" : "Dev Team" 
    } 
}

  • aws:TagKeys— Gibt die Tag-Schlüssel an, die verwendet werden müssen, um eine Ressourcenfreigabe zu erstellen oder zu kennzeichnen.

  • ram:AllowsExternalPrincipals— Testet, ob die Ressourcenfreigabe in der Serviceanfrage die gemeinsame Nutzung mit externen Prinzipalen ermöglicht. Bei AWS Organizations einem externen Principal handelt es sich um einen AWS-Konto externen Principal innerhalb Ihrer Organisation. Wenn das Ergebnis ergibtFalse, können Sie diese Ressourcenfreigabe nur mit Konten in derselben Organisation teilen.

  • ram:PermissionArn— Testet, ob die in der Serviceanfrage ARN angegebene Berechtigung mit einer ARN Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.

  • ram:PermissionResourceType— Testet, ob die in der Serviceanfrage angegebene Berechtigung für den Ressourcentyp gültig ist, den Sie in der Richtlinie angeben. Geben Sie Ressourcentypen in dem Format an, das in der Liste der gemeinsam nutzbaren Ressourcentypen angezeigt wird.

  • ram:Principal— Testet, ob ARN der in der Serviceanfrage angegebene Principal mit einer ARN Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.

  • ram:RequestedAllowsExternalPrincipals— Testet, ob die Serviceanfrage den allowExternalPrincipals Parameter enthält und ob sein Argument mit dem Wert übereinstimmt, den Sie in der Richtlinie angeben.

  • ram:RequestedResourceType— Testet, ob der Ressourcentyp der Ressource, auf die reagiert wird, mit einer Ressourcentyp-Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben. Geben Sie Ressourcentypen in dem Format an, das in der Liste der gemeinsam nutzbaren Ressourcentypen angezeigt wird.

  • ram:ResourceArn— Testet, ob ARN die Ressource, auf die die Serviceanfrage reagiertARN, einer Ressource entspricht, die Sie in der Richtlinie angeben.

  • ram:ResourceShareName— Testet, ob der Name der Ressourcenfreigabe, auf die die Serviceanfrage reagiert, mit einer Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.

  • ram:ShareOwnerAccountId— Prüft, ob die Konto-ID-Nummer der Ressourcenfreigabe, auf die die Serviceanfrage reagiert, mit einer Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.