Bagaimana AWS RAM bekerja dengan IAM - AWS Resource Access Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana AWS RAM bekerja dengan IAM

Secara default, IAM prinsipal tidak memiliki izin untuk membuat atau memodifikasi sumber daya. AWS RAM Untuk mengizinkan IAM kepala sekolah membuat atau memodifikasi sumber daya dan melakukan tugas, Anda melakukan salah satu langkah berikut. Tindakan ini memberikan izin untuk menggunakan sumber daya dan API tindakan tertentu.

Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:

AWS RAM menyediakan beberapa kebijakan AWS terkelola yang dapat Anda gunakan yang akan memenuhi kebutuhan banyak pengguna. Untuk informasi lebih lanjut tentang ini, lihatKebijakan terkelola AWS untuk AWS RAM.

Jika Anda memerlukan kontrol yang lebih baik atas izin yang diberikan kepada pengguna, Anda dapat membuat kebijakan sendiri di konsol. IAM Untuk informasi tentang membuat kebijakan dan melampirkannya ke IAM peran dan pengguna Anda, lihat Kebijakan dan izin IAM di AWS Identity and Access Management Panduan Pengguna.

Bagian berikut memberikan rincian AWS RAM spesifik untuk membangun kebijakan IAM izin.

Struktur kebijakan

Kebijakan IAM izin adalah JSON dokumen yang mencakup pernyataan berikut: Efek, Tindakan, Sumber Daya, dan Kondisi. IAMKebijakan biasanya mengambil bentuk berikut.

{ "Statement":[{ "Effect":"<effect>", "Action":"<action>", "Resource":"<arn>", "Condition":{ "<comparison-operator>":{ "<key>":"<value>" } } }] }

Efek

Pernyataan Efek menunjukkan apakah kebijakan mengizinkan atau menolak izin utama untuk melakukan suatu tindakan. Nilai yang mungkin meliputi: Allow danDeny.

Tindakan

Pernyataan Tindakan menentukan AWS RAM API tindakan yang diizinkan atau ditolak oleh kebijakan tersebut. Untuk daftar lengkap tindakan yang diizinkan, lihat Tindakan yang ditentukan oleh AWS Resource Access Manager dalam Panduan IAM Pengguna.

Sumber Daya

Pernyataan Sumber Daya menentukan AWS RAM sumber daya yang dipengaruhi oleh kebijakan. Untuk menentukan sumber daya dalam pernyataan, Anda perlu menggunakan Amazon Resource Name (ARN) yang unik. Untuk daftar lengkap sumber daya yang diizinkan, lihat Sumber daya yang ditentukan oleh AWS Resource Access Manager dalam Panduan IAM Pengguna.

Ketentuan

Pernyataan kondisi bersifat opsional. Mereka dapat digunakan untuk lebih menyempurnakan kondisi di mana kebijakan berlaku. AWS RAM mendukung kunci kondisi berikut:

  • aws:RequestTag/${TagKey}— Menguji apakah permintaan layanan menyertakan tag dengan kunci tag yang ditentukan ada dan memiliki nilai yang ditentukan.

  • aws:ResourceTag/${TagKey}— Menguji apakah sumber daya yang ditindaklanjuti oleh permintaan layanan memiliki tag terlampir dengan kunci tag yang Anda tentukan dalam kebijakan.

    Contoh kondisi berikut memeriksa bahwa sumber daya yang direferensikan dalam permintaan layanan memiliki tag terlampir dengan nama kunci “Pemilik” dan nilai “Tim Pengembang”.

    "Condition" : { "StringEquals" : { "aws:ResourceTag/Owner" : "Dev Team" } }
  • aws:TagKeys— Menentukan kunci tag yang harus digunakan untuk membuat atau menandai berbagi sumber daya.

  • ram:AllowsExternalPrincipals— Menguji apakah pembagian sumber daya dalam permintaan layanan memungkinkan berbagi dengan prinsipal eksternal. Kepala sekolah eksternal adalah Akun AWS bagian luar organisasi Anda di AWS Organizations. Jika ini dievaluasiFalse, maka Anda dapat berbagi sumber daya ini dengan akun hanya di organisasi yang sama.

  • ram:PermissionArn— Menguji apakah izin ARN yang ditentukan dalam permintaan layanan cocok dengan ARN string yang Anda tentukan dalam kebijakan.

  • ram:PermissionResourceType— Menguji apakah izin yang ditentukan dalam permintaan layanan valid untuk jenis sumber daya yang Anda tentukan dalam kebijakan. Tentukan jenis sumber daya menggunakan format yang ditampilkan dalam daftar jenis sumber daya yang dapat dibagikan.

  • ram:Principal— Menguji apakah prinsipal yang ditentukan dalam permintaan layanan cocok dengan ARN string yang Anda tentukan dalam kebijakan. ARN

  • ram:RequestedAllowsExternalPrincipals— Menguji apakah permintaan layanan menyertakan allowExternalPrincipals parameter dan apakah argumennya cocok dengan nilai yang Anda tentukan dalam kebijakan.

  • ram:RequestedResourceType— Menguji apakah jenis sumber daya sumber daya yang ditindaklanjuti cocok dengan string tipe sumber daya yang Anda tentukan dalam kebijakan. Tentukan jenis sumber daya menggunakan format yang ditampilkan dalam daftar jenis sumber daya yang dapat dibagikan.

  • ram:ResourceArn— Menguji apakah sumber daya yang ditindaklanjuti oleh permintaan layanan cocok dengan ARN yang Anda tentukan dalam kebijakan. ARN

  • ram:ResourceShareName— Menguji apakah nama pembagian sumber daya yang ditindaklanjuti oleh permintaan layanan cocok dengan string yang Anda tentukan dalam kebijakan.

  • ram:ShareOwnerAccountId— Menguji nomor ID akun dari pembagian sumber daya yang ditindaklanjuti oleh permintaan layanan cocok dengan string yang Anda tentukan dalam kebijakan.