Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo AWS RAM funciona con IAM
De forma predeterminada, IAM los directores no tienen permiso para crear o modificar AWS RAM recursos. Para permitir que IAM los directores creen o modifiquen recursos y realicen tareas, lleve a cabo uno de los siguientes pasos. Estas acciones otorgan permiso para usar recursos y API acciones específicos.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
-
Usuarios gestionados IAM a través de un proveedor de identidad:
Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
-
IAMusuarios:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.
-
AWS RAM proporciona varias políticas AWS administradas que puede utilizar para satisfacer las necesidades de muchos usuarios. Para obtener más información al respecto, consulte Políticas administradas de AWS para AWS RAM.
Si necesita controlar mejor los permisos que concede a sus usuarios, puede crear sus propias políticas en la IAM consola. Para obtener información sobre cómo crear políticas y cómo asociarlas a sus IAM funciones y usuarios, consulte Políticas y permisos IAM en la Guía del AWS Identity and Access Management usuario.
En las siguientes secciones se proporcionan los detalles AWS RAM específicos para crear una política de IAM permisos.
Estructura de la política
Una política de IAM permisos es un JSON documento que incluye las siguientes declaraciones: efecto, acción, recurso y condición. Por lo general, una IAM política adopta la siguiente forma.
{ "Statement":[{ "Effect":"<effect>", "Action":"<action>", "Resource":"<arn>", "Condition":{ "<comparison-operator>":{ "<key>":"<value>" } } }] }
Efecto
La instrucción Effect indica si la política permite o deniega a una entidad principal el permiso para realizar una acción. Los valores posibles incluyen: Allow y Deny.
Acción
La declaración Action especifica las AWS RAM API acciones para las que la política permite o deniega el permiso. Para obtener una lista completa de las acciones permitidas, consulte las acciones definidas por AWS Resource Access Manager en la Guía del IAM usuario.
Recurso
La declaración de recursos especifica los AWS RAM recursos a los que afecta la política. Para especificar un recurso en la declaración, debe usar su nombre de recurso exclusivo de Amazon (ARN). Para obtener una lista completa de los recursos permitidos, consulte los recursos definidos por AWS Resource Access Manager en la Guía del IAM usuario.
Condición
Las instrucciones Condition son opcionales. Se pueden utilizar para refinar aún más las condiciones en las que se aplica la política. AWS RAM admite las siguientes claves de condición:
-
aws:RequestTag/${TagKey}: comprueba si la solicitud de servicio que incluye una etiqueta con la clave de etiqueta especificada existe y tiene el valor especificado. -
aws:ResourceTag/${TagKey}: comprueba si el recurso sobre el que ha actuado la solicitud de servicio tiene una etiqueta adjunta con una clave de etiqueta que se especifique en la política.La siguiente condición de ejemplo comprueba que el recurso al que se hace referencia en la solicitud de servicio tiene una etiqueta adjunta con el nombre de clave "Owner" y el valor "Dev Team".
"Condition" : { "StringEquals" : { "aws:ResourceTag/Owner" : "Dev Team" } } -
aws:TagKeys: especifica las claves de etiqueta que se deben utilizar para crear o etiquetar un recurso compartido. -
ram:AllowsExternalPrincipals: comprueba si el recurso compartido de la solicitud de servicio permite el uso compartirlo con entidades principales externas. Un director externo es una Cuenta de AWS persona externa a su organización en AWS Organizations. Si el valor que arroja esFalse, solo podrá compartir este recurso compartido con cuentas de la misma organización. -
ram:PermissionArn— Comprueba si el permiso ARN especificado en la solicitud de servicio coincide con una ARN cadena que se especifique en la política. -
ram:PermissionResourceType: comprueba si el permiso especificado en la solicitud de servicio es válido para el tipo de recurso que especifique en la política. Especifique los tipos de recursos utilizando el formato que se muestra en la lista de tipos de recursos que se pueden compartir. -
ram:Principal— Comprueba si ARN la cadena principal especificada en la solicitud de servicio coincide con una ARN cadena especificada en la política. -
ram:RequestedAllowsExternalPrincipals: comprueba si la solicitud de servicio incluye el parámetroallowExternalPrincipalsy si su argumento coincide con el valor que especifique en la política. -
ram:RequestedResourceType: comprueba si el tipo de recurso sobre el que se está actuando coincide con una cadena de tipo de recurso que especifique en la política. Especifique los tipos de recursos utilizando el formato que se muestra en la lista de tipos de recursos que se pueden compartir. -
ram:ResourceArn— Comprueba si el ARN recurso sobre el que actúa la solicitud de servicio coincide con uno especificado en la política. ARN -
ram:ResourceShareName: comprueba si el nombre del recurso compartido sobre el que actúa la solicitud de servicio coincide con una cadena que especifique en la política. -
ram:ShareOwnerAccountId: comprueba que el número de ID de cuenta del recurso compartido sobre el que actúa la solicitud de servicio coincide con una cadena que especifique en la política.
