As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como AWS RAM funciona com IAM
Por padrão, IAM os diretores não têm permissão para criar ou modificar AWS RAM recursos. Para permitir que IAM os diretores criem ou modifiquem recursos e executem tarefas, execute uma das etapas a seguir. Essas ações concedem permissão para usar recursos e API ações específicos.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos em AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
-
Usuários gerenciados IAM por meio de um provedor de identidade:
Crie um perfil para a federação de identidades. Siga as instruções em Criar uma função para um provedor de identidade terceirizado (federação) no Guia IAM do usuário.
-
IAMusuários:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criar uma função para um IAM usuário no Guia do IAM usuário.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adicionar permissões a um usuário (console) no Guia do IAM usuário.
-
AWS RAM fornece várias políticas AWS gerenciadas que você pode usar para atender às necessidades de muitos usuários. Para obter mais informações sobre essas ferramentas, consulte Políticas gerenciadas pela AWS para o AWS RAM.
Se precisar de um controle mais preciso sobre as permissões concedidas aos seus usuários, você pode criar suas próprias políticas no IAM console. Para obter informações sobre como criar políticas e anexá-las às suas IAM funções e usuários, consulte Políticas e permissões IAM no Guia do AWS Identity and Access Management usuário.
As seções a seguir fornecem os detalhes AWS RAM específicos para criar uma política de IAM permissão.
Estrutura da política
Uma política de IAM permissão é um JSON documento que inclui as seguintes declarações: Efeito, Ação, Recurso e Condição. Uma IAM política geralmente assume o seguinte formato.
{ "Statement":[{ "Effect":"<effect>", "Action":"<action>", "Resource":"<arn>", "Condition":{ "<comparison-operator>":{ "<key>":"<value>" } } }] }
Efeito
A declaração Efeito indica se a política permite ou nega uma permissão de entidade principal para realizar uma ação. Os valores possíveis incluem Allow
e Deny
.
Ação
A declaração de ação especifica as AWS RAM API ações para as quais a política está permitindo ou negando permissão. Para obter uma lista completa das ações permitidas, consulte Ações definidas por AWS Resource Access Manager no Guia IAM do usuário.
Recurso
A declaração de recursos especifica os AWS RAM recursos que são afetados pela política. Para especificar um recurso na declaração, você precisa usar seu nome de recurso exclusivo da Amazon (ARN). Para obter uma lista completa dos recursos permitidos, consulte Recursos definidos por AWS Resource Access Manager no Guia do IAM usuário.
Condição
As declarações de Condição são opcionais. Eles podem ser usados para refinar ainda mais as condições sob as quais a política se aplica. AWS RAM suporta as seguintes chaves de condição:
-
aws:RequestTag/${TagKey}
: testa se a solicitação de serviço inclui uma tag com a chave de tag especificada, existe e tem o valor especificado. -
aws:ResourceTag/${TagKey}
: testa se o recurso acionado pela solicitação de serviço tem uma tag anexada com uma chave de tag especificada na política.O exemplo de condição a seguir verifica se o recurso referenciado na solicitação de serviço tem uma tag anexada com o nome da chave “Proprietário” e um valor de “Equipe de desenvolvimento”.
"Condition" : { "StringEquals" : { "aws:ResourceTag/Owner" : "Dev Team" } }
-
aws:TagKeys
: especifica as chaves de tags que devem ser usadas ao criar ou marcar um compartilhamento de recursos. -
ram:AllowsExternalPrincipals
: testa se o compartilhamento de recursos na solicitação de serviço permite o compartilhamento com entidades principais externas. Um diretor externo é uma Conta da AWS pessoa externa à sua organização em AWS Organizations. Se chegar aFalse
, você poderá compartilhar esse compartilhamento de recursos com contas somente na mesma organização. -
ram:PermissionArn
— Testa se a permissão ARN especificada na solicitação de serviço corresponde a uma ARN string especificada na política. -
ram:PermissionResourceType
: testa se a permissão especificada na solicitação de serviço é válida para o tipo de recurso especificado na política. Especifique os tipos de recursos usando o formato mostrado na lista de tipos de recursos compartilháveis. -
ram:Principal
— Testa se o ARN principal especificado na solicitação de serviço corresponde a uma ARN string especificada na política. -
ram:RequestedAllowsExternalPrincipals
: testa se a solicitação de serviço inclui o parâmetroallowExternalPrincipals
e se seu argumento corresponde ao valor especificado na política. -
ram:RequestedResourceType
: testa se o tipo de recurso do recurso que está sendo usado corresponde a uma string de tipo de recurso que você especifica na política. Especifique os tipos de recursos usando o formato mostrado na lista de tipos de recursos compartilháveis. -
ram:ResourceArn
— Testa se o ARN recurso que está sendo processado pela solicitação de serviço corresponde ao ARN que você especificou na política. -
ram:ResourceShareName
: testa se o nome do compartilhamento de recursos que está sendo processado pela solicitação de serviço corresponde a uma string especificada na política. -
ram:ShareOwnerAccountId
: testa se o número de ID da conta do compartilhamento de recursos que está sendo processado pela solicitação de serviço corresponde a uma string especificada na política.