AWS kebijakan terkelola untuk AWS RAM - AWS Resource Access Manager
AWSResourceAccessManagerReadOnlyAccessAWSResourceAccessManagerFullAccessAWSResourceAccessManagerResourceShareParticipantAccessAWSResourceAccessManagerServiceRolePolicyPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk AWS RAM

AWS Resource Access Manager saat ini menyediakan beberapa kebijakan AWS RAM terkelola, yang dijelaskan dalam topik ini.

Di daftar sebelumnya, Anda dapat melampirkan tiga kebijakan pertama ke peran, grup, dan pengguna IAM Anda untuk memberikan izin. Kebijakan terakhir dalam daftar dicadangkan untuk peran AWS RAM layanan terkait layanan.

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

AWS kebijakan terkelola: AWSResource AccessManagerReadOnlyAccess

Anda dapat melampirkan kebijakan AWSResourceAccessManagerReadOnlyAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca untuk pembagian sumber daya yang dimiliki oleh Anda. Akun AWS

Hal ini dilakukan dengan memberikan izin untuk menjalankan salah satu Get* atau List* operasi. Itu tidak memberikan kemampuan apa pun untuk memodifikasi pembagian sumber daya apa pun.

Detail izin

Kebijakan ini mencakup izin berikut.

  • ram— Memungkinkan kepala sekolah untuk melihat detail tentang pembagian sumber daya yang dimiliki oleh akun.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:Get*",
                "ram:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AWSResource AccessManagerFullAccess

Anda dapat melampirkan kebijakan AWSResourceAccessManagerFullAccess ke identitas IAM Anda.

Kebijakan ini menyediakan akses administratif penuh untuk melihat atau memodifikasi pembagian sumber daya yang dimiliki oleh Anda Akun AWS.

Ini dilakukan dengan memberikan izin untuk menjalankan ram operasi apa pun.

Detail izin

Kebijakan ini mencakup izin berikut.

  • ram— Memungkinkan kepala sekolah untuk melihat atau memodifikasi informasi apa pun tentang pembagian sumber daya yang dimiliki oleh. Akun AWS

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AWSResource AccessManagerResourceShareParticipantAccess

Anda dapat melampirkan kebijakan AWSResourceAccessManagerResourceShareParticipantAccess ke identitas IAM Anda.

Kebijakan ini memberi para prinsipal kemampuan untuk menerima atau menolak pembagian sumber daya yang dibagikan dengan ini Akun AWS, dan untuk melihat detail tentang pembagian sumber daya ini. Itu tidak memberikan kemampuan apa pun untuk memodifikasi pembagian sumber daya tersebut.

Ini dilakukan dengan memberikan izin untuk menjalankan beberapa ram operasi.

Detail izin

Kebijakan ini mencakup izin berikut.

  • ram— Memungkinkan prinsipal untuk menerima atau menolak undangan berbagi sumber daya dan untuk melihat detail tentang pembagian sumber daya yang dibagikan dengan akun.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareInvitations",
                "ram:GetResourceShares",
                "ram:ListPendingInvitationResources",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:RejectResourceShareInvitation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AWSResource AccessManagerServiceRolePolicy

Kebijakan AWS terkelola hanya AWSResourceAccessManagerServiceRolePolicy dapat digunakan dengan peran terkait layanan untuk. AWS RAM Anda tidak dapat melampirkan, melepaskan, memodifikasi, atau menghapus kebijakan ini.

Kebijakan ini AWS RAM menyediakan akses hanya-baca ke struktur organisasi Anda. Saat Anda mengaktifkan integrasi antara AWS RAM dan AWS Organizations, AWS RAM secara otomatis membuat peran terkait layanan bernama AWSServiceRoleForResourceAccessManageryang diasumsikan layanan saat perlu mencari informasi tentang organisasi Anda dan akunnya, misalnya, saat Anda melihat struktur organisasi di konsol. AWS RAM

Ini dilakukan dengan memberikan izin read-only untuk menjalankan organizations:Describe dan organizations:List operasi yang memberikan rincian struktur dan akun organisasi.

Detail izin

Kebijakan ini mencakup izin berikut.

  • organizationsMemungkinkan kepala sekolah untuk melihat informasi tentang struktur organisasi, termasuk unit organisasi, dan yang dikandungnya. Akun AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
            ]
        }
    ]
}

AWS RAM pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola AWS RAM sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS RAM dokumen.

Perubahan Deskripsi Tanggal

AWS Resource Access Manager mulai melacak perubahan

AWS RAM mendokumentasikan kebijakan terkelola yang ada dan mulai melacak perubahan.

 September 16, 2021