本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性 AWS Resource Access Manager
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的* 安全性和云*中* 的安全性:
+ **云安全** — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 AWS Resource Access Manager (AWS RAM)的合规性计划,请参阅[合规性计划范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
本文档可帮助您了解在使用时如何应用分担责任模型 AWS RAM。以下主题向您介绍如何进行配置 AWS RAM 以满足您的安全和合规性目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 AWS RAM 资源。
**Topics**
+ [中的数据保护 AWS Resource Access Manager](data-protection.md)
+ [的身份和访问管理 AWS Resource Access Manager](security-iam.md)
+ [AWS RAM 中的日志记录和监控](security-monitoring.md)
+ [合规性验证 AWS Resource Access Manager](compliance-validation.md)
+ [韧性在 AWS Resource Access Manager](disaster-recovery-resiliency.md)
+ [中的基础设施安全 AWS Resource Access Manager](infrastructure-security.md)
+ [AWS Resource Access Manager 使用接口端点进行访问 (AWS PrivateLink)](vpc-interface-endpoints.md)
# 中的数据保护 AWS Resource Access Manager
分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于中的数据保护 AWS Resource Access Manager。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括您使用控制台、API AWS RAM 或以其他 AWS 服务 方式使用控制台 AWS CLI、API 或时 AWS SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
# 的身份和访问管理 AWS Resource Access Manager
AWS Identity and Access Management (IAM) 是一项可帮助管理员安全地控制 AWS 资源访问权限的 AWS 服务。IAM 中的管理员控制谁可以*通过身份验证*(登录)和*授权*(拥有权限)使用 AWS 资源。通过使用 IAM,您可以在中创建委托人,例如角色、用户和群组。 AWS 账户您可以控制这些委托人使用 AWS 资源执行任务所拥有的权限。使用 IAM 不会产生额外的费用。有关管理和创建自定义 IAM 策略的更多信息,请参阅《IAM 用户指南》**中的[管理 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。
**Topics**
+ [如何 AWS RAM 与 IAM 配合使用](security-iam-policies.md)
+ [AWS 的托管策略 AWS Resource Access Manager](security-iam-awsmanpol.md)
+ [将服务相关角色用于 AWS RAM](using-service-linked-roles.md)
+ [的 IAM 策略示例 AWS RAM](security-iam-policies-examples.md)
+ [AWS Organizations 和的服务控制策略示例 AWS RAM](security-scp.md)
+ [禁用与的资源共享 AWS Organizations](security-disable-sharing-with-orgs.md)
# 如何 AWS RAM 与 IAM 配合使用
默认情况下,IAM 委托人无权创建或修改 AWS RAM 资源。要允许 IAM 主体创建或修改资源和执行任务,需执行以下一个步骤。这些操作授予使用特定资源和 API 操作的权限。
要提供访问权限,请为您的用户、组或角色添加权限:
+ 中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供商创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
AWS RAM 提供了多种 AWS 托管策略,您可以使用这些策略来满足许多用户的需求。有关这些规则组的更多信息,请参阅 [AWS 的托管策略 AWS Resource Access Manager](security-iam-awsmanpol.md)。
如果您需要对授予用户的权限进行更精细的控制,可以在 IAM 控制台中创建自己的策略。有关创建策略并将其附加到 IAM 角色和用户的信息,请参阅《AWS Identity and Access Management 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
以下各节提供了构建 IAM 权限策略的 AWS RAM 具体细节。
**Contents**
+ [策略结构](#structure)
+ [效果](#iam-policies-effect)
+ [Action](#iam-policies-action)
+ [资源](#iam-policies-resource)
+ [条件](#iam-policies-condition)
## 策略结构
IAM 权限策略是一个 JSON 文档,其中包含以下语句:Effect、Action、Resource 和 Condition。IAM 策略通常采用以下形式。
```
{
"Statement":[{
"Effect":"",
"Action":"",
"Resource":"",
"Condition":{
"":{
"":""
}
}
}]
}
```
### 效果
*Effect* 语句指定策略是允许还是拒绝主体执行操作的权限。可能的值包括:`Allow` 和 `Deny`。
### Action
Acti *on* 语句指定了策略允许或拒绝权限的 AWS RAM API 操作。有关所允许操作的完整列表,请参阅《IAM 用户指南》**中的 [AWS Resource Access Manager定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions)。
### 资源
R *esou* rce 语句指定了受策略影响的 AWS RAM 资源。要在语句中指定资源,您需要使用其唯一的 Amazon 资源名称(ARN)。有关所允许操作的完整列表,请参阅《IAM 用户指南》**中的 [AWS Resource Access Manager定义的资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies)。
### 条件
*Condition* 语句是可选语句。它们可以用来进一步完善政策的适用条件。 AWS RAM 支持以下条件键:
+ `aws:RequestTag/${TagKey}` - 测试服务请求是否包含具有指定标签键的标签并具有指定值。
+ `aws:ResourceTag/${TagKey}` - 测试服务请求处理的资源是否附加了标签(其中包含您在策略中指定的标签键)。
以下示例条件检查服务请求中引用的资源是否附加键名称为“Owner”、值为“Dev Team”的标签。
```
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/Owner" : "Dev Team"
}
}
```
+ `aws:TagKeys` - 指定在创建或标记资源共享时必须使用的标签键。
+ `ram:AllowsExternalPrincipals` - 测试服务请求中的资源共享是否允许与外部主体共享。外部委托人是指您的组织 AWS 账户 外部 AWS Organizations。如果其评估结果为 `False`,则您只能与同一组织中的账户共享此资源共享。
+ `ram:PermissionArn` - 测试在服务请求中指定的权限 ARN 是否与您在策略中指定的 ARN 字符串相匹配。
+ `ram:PermissionResourceType` - 测试在服务请求中指定的权限是否对您在策略中指定的资源类型有效。使用[可共享资源类型](shareable.md)列表中显示的格式指定资源类型。
+ `ram:Principal` - 测试在服务请求中指定的主体 ARN 是否与您在策略中指定的 ARN 字符串相匹配。
+ `ram:RequestedAllowsExternalPrincipals` - 测试服务请求是否包含 `allowExternalPrincipals` 参数以及其参数是否与您在策略中指定的值相匹配。
+ `ram:RequestedResourceType` - 测试正在处理的资源的资源类型是否与您在策略中指定的资源类型字符串相匹配。使用[可共享资源类型](shareable.md)列表中显示的格式指定资源类型。
+ `ram:ResourceArn` - 测试服务请求正在处理的资源的 ARN 是否与您在策略中指定的 ARN 相匹配。
+ `ram:ResourceShareName` - 测试服务请求正在处理的资源共享的名称是否与您在策略中指定的字符串相匹配。
+ `ram:ShareOwnerAccountId` - 测试服务请求正在处理的资源共享的账户 ID 编号是否与您在策略中指定的字符串相匹配。
# AWS 的托管策略 AWS Resource Access Manager
AWS Resource Access Manager 目前提供了几个 AWS RAM 托管策略,本主题将对此进行介绍。
**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [策略更新](#security-iam-awsmanpol-updates)
在上面的列表中,您可以将前三个策略附加到您的 IAM 角色、组和用户以授予权限。列表中的最后一个策略是为 AWS RAM 服务的服务相关角色保留的。
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AWSResourceAccessManagerReadOnlyAccess
您可以将 `AWSResourceAccessManagerReadOnlyAccess` 策略附加到 IAM 身份。
此策略为您的 AWS 账户所拥有的资源共享提供只读权限。
方法为:授予运行任何 `Get*` 或 `List*` 操作的权限。它不提供修改任何资源共享的任何功能。
**权限详细信息**
该策略包含以下权限。
+ `ram` - 允许主体查看有关账户拥有的资源共享的详细信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:Get*",
"ram:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSResourceAccessManagerFullAccess
您可以将 `AWSResourceAccessManagerFullAccess` 策略附加到 IAM 身份。
此策略提供查看或修改您拥有的资源共享的完全管理权限 AWS 账户。
方法为:授予运行任何 `ram` 操作的权限。
**权限详细信息**
该策略包含以下权限。
+ `ram` - 允许主体查看或修改有关 AWS 账户所拥有的资源共享的任何信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSResourceAccessManagerResourceShareParticipantAccess
您可以将 `AWSResourceAccessManagerResourceShareParticipantAccess` 策略附加到 IAM 身份。
该政策使委托人能够接受或拒绝与此共享的资源共享 AWS 账户,以及查看有关这些资源共享的详细信息。它不提供修改这些资源共享的任何功能。
方法为:授予运行一些 `ram` 操作的权限。
**权限详细信息**
该策略包含以下权限。
+ `ram` - 允许主体接受或拒绝资源共享邀请,以及查看有关与账户共享的资源共享的详细信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourcePolicies",
"ram:GetResourceShareInvitations",
"ram:GetResourceShares",
"ram:ListPendingInvitationResources",
"ram:ListPrincipals",
"ram:ListResources",
"ram:RejectResourceShareInvitation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSResourceAccessManagerServiceRolePolicy
AWS 托管策略`AWSResourceAccessManagerServiceRolePolicy`只能与的服务相关角色一起使用。 AWS RAM您不能附加、分离、修改或删除此策略。
此政策 AWS RAM 提供对组织结构的只读访问权限。启用 AWS RAM 和之间的集成后 AWS Organizations, AWS RAM 会自动创建一个名为的服务相关角色 [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager),当服务需要查找有关您的组织及其帐户的信息时(例如,当您在 AWS RAM 控制台中查看组织结构时),该角色将代入该角色。
方法为:授予只读权限来运行 `organizations:Describe` 和 `organizations:List` 操作,以提供组织结构和账户的详细信息。
**权限详细信息**
该策略包含以下权限。
+ `organizations` - 允许主体查看有关组织结构的信息,包括组织单位及其包含的 AWS 账户 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
},
{
"Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
"Effect": "Allow",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
]
}
]
}
```
------
## AWS RAM AWS 托管策略的更新
查看 AWS RAM 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS RAM 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| AWS Resource Access Manager 开始跟踪更改 | AWS RAM 记录了其现有的托管策略并开始跟踪更改。 | 2021 年 9 月 16 日 |
# 将服务相关角色用于 AWS RAM
AWS Resource Access Manager 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特的 IAM 角色,直接链接到 AWS RAM 服务。服务相关角色由您预定义 AWS ,包括代表您调用其他 AWS 服务 AWS RAM 所需的所有权限。
服务相关角色使配置变得 AWS RAM 更加容易,因为您不必手动添加必要的权限。 AWS RAM 定义其服务相关角色的权限,除非另有定义,否则 AWS RAM 只能担任其服务相关角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 的服务相关角色权限 AWS RAM
AWS RAM 使用启用与 AWS Organizations共享`AWSServiceRoleForResourceAccessManager`时命名的服务相关角色。此角色向 AWS RAM 服务授予查看组织详细信息的权限,例如成员账户列表以及每个账户所在的组织单位。
此服务相关角色仅信任以下服务来担任该角色:
+ `ram.amazonaws.com`
名 AWSResourceAccessManagerServiceRolePolicy 为的角色权限策略已附加到该服务相关角色, AWS RAM 允许对指定资源完成以下操作:
+ 操作:只读操作,用于检索有关组织结构的详细信息。有关操作的完整列表,您可以在 IAM 控制台中查看策略:[AWSResourceAccessManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceAccessManagerServiceRolePolicy$jsonEditor)。
要使委托人开启组织内部 AWS RAM 共享,则该委托人(IAM 实体,例如用户、群组或角色)必须具有创建服务相关角色的权限。有关更多信息,请参阅《IAM 用户指南》**中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为创建服务相关角色 AWS RAM
您无需手动创建服务关联角色。当你在开启组织内部 AWS RAM 共享 AWS 管理控制台,或者使用 AWS CLI 或 AWS API [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html)在你的账户中运行时, AWS RAM 会为你创建服务相关角色。
调用 `enable-sharing-with-aws-organizations` 以在您的账户中创建服务相关角色。
如果您删除此服务相关角色,则 AWS RAM 不再有权查看组织结构的详细信息。
## 编辑的服务相关角色 AWS RAM
AWS RAM 不允许您编辑 AWSResourceAccessManagerServiceRolePolicy 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除的服务相关角色 AWS RAM
您可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除`AWSResourceAccessManagerServiceRolePolicy`服务相关角色。有关更多信息,请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AWS RAM 服务相关角色支持的区域
AWS RAM 支持在提供服务的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) 中的 *Amazon Web Services 一般参考区域和终端节点*。
# 的 IAM 策略示例 AWS RAM
本主题包括用于 AWS RAM 演示共享特定资源和资源类型以及限制共享的 IAM 策略示例。
**Topics**
+ [允许共享特定资源](#owner-share-specific-resources)
+ [允许共享特定资源类型](#owner-share-resource-types)
+ [限制与外部共享 AWS 账户](#control-access-owner-external)
## 示例 1:允许共享特定资源
您可以使用 IAM 权限策略,将主体限制为只将特定资源与资源共享关联。
例如,以下策略将主体限制为只与指定的 Amazon 资源名称(ARN)共享解析程序规则。如果请求不包含 `ResourceArn` 参数,或者请求中包含该参数,且其值与指定的 ARN 完全匹配,则运算符 `StringEqualsIfExists` 允许该请求。
有关何时以及为何使用`...IfExists`运算符的更多信息,请参阅[... IfExists *IAM 用户指南*中的条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
}
}
}]
}
```
------
## 示例 2:允许共享特定资源类型
您可以使用 IAM 策略,将主体限制为只将特定资源类型与资源共享关联。
操作、`AssociateResourceShare` 和 `CreateResourceShare` 可以接受主体和 `resourceArns` 作为独立输入参数。因此,独立 AWS RAM 授权每个委托人和资源,因此可能会有多个[请求上下文](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html)。这意味着,当主体与 AWS RAM 资源共享关联时,请求上下文中不存在 `ram:RequestedResourceType` 条件键。同样,当资源与 AWS RAM 资源共享关联时,请求上下文中不存在 `ram:Principal` 条件键。因此,要允许`AssociateResourceShare`和`CreateResourceShare`在将委托人与 AWS RAM 资源共享关联时,可以使用[`Null`条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null)运算符。
例如,以下策略将主体限制为只共享 Amazon Route 53 Resolver 规则,并允许主体将任何主体与该共享关联。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowOnlySpecificResourceType",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:RequestedResourceType": "route53resolver:ResolverRule"
}
}
},
{
"Sid": "AllowAssociatingPrincipals",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
## 示例 3:限制与外部共享 AWS 账户
您可以使用 IAM 策略来防止委托人与 AWS 账户 其 AWS 组织之外的人员共享资源。
例如,以下 IAM 策略禁止委托人 AWS 账户 向资源共享添加外部资源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "false"
}
}
}]
}
```
------
# AWS Organizations 和的服务控制策略示例 AWS RAM
AWS RAM 支持服务控制策略 (SCPs)。 SCPs 是您附加到组织中元素的策略,用于管理该组织内的权限。SCP 适用于[您附加 SCP 的元素 AWS 账户 下](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)的所有内容。 SCPs 提供对组织中所有账户的最大可用权限的集中控制。它们可以帮助您确保 AWS 账户 遵守组织的访问控制准则。有关更多信息,请参阅 *AWS Organizations 用户指南*中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html)。
## 先决条件
要使用 SCPs,必须先执行以下操作:
+ 启用组织中的所有功能。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[启用组织中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 启用 SCPs 以便在您的组织内使用。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[启用和禁用策略类型](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)。
+ 创建你 SCPs 需要的。有关创建的更多信息 SCPs,请参阅《*AWS Organizations 用户指南》 SCPs*中的[创建和更新](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html)。
## 示例服务控制策略
**Contents**
+ [示例 1:阻止外部共享](#example-one)
+ [示例 2:阻止用户接受来自组织外部账户的资源共享邀请](#example-two)
+ [示例 3:允许特定账户共享特定资源类型](#example-three)
+ [示例 4:阻止与整个组织或组织单位共享](#example-four)
+ [示例 5:仅允许与特定主体共享](#example-five)
+ [示例 6: RetainSharingOnAccountLeaveOrganization 启用后禁止资源共享](#example-six)
以下示例展示如何能控制组织中资源共享的各个方面。
### 示例 1:阻止外部共享
以下 SCP 阻止用户创建允许与不属于共享用户所在组织的主体共享的资源共享。
AWS RAM APIs 分别对通话中列出的每位委托人和资源进行授权。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### 示例 2:阻止用户接受来自组织外部账户的资源共享邀请
以下 SCP 阻止受影响账户中的任何主体接受使用资源共享的邀请。共享给与共享账户所在组织中的其他账户的资源共享不会生成邀请,因此不受此 SCP 的影响。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### 示例 3:允许特定账户共享特定资源类型
以下 SCP *仅* 允许账户 `111111111111` 和 `222222222222` 创建共享 Amazon EC2 前缀列表的新资源共享,或将前缀列表与现有资源共享相关联。
AWS RAM APIs 分别对通话中列出的每位委托人和资源进行授权。
如果一个请求不包含资源类型参数或包含该参数,且其值与指定的资源类型完全匹配,则运算符 `StringEqualsIfExists` 允许该请求。如果要包含主体,您必须有 `...IfExists`。
有关何时以及为何使用`...IfExists`运算符的更多信息,请参阅[... IfExists *IAM 用户指南*中的条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### 示例 4:阻止与整个组织或组织单位共享
以下 SCP 阻止用户创建与整个组织或任何组织单位共享资源的资源共享。用户*可以*与组织 AWS 账户 中的个人共享,也可以与 IAM 角色或用户共享。
AWS RAM APIs 分别对通话中列出的每位委托人和资源进行授权。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### 示例 5:仅允许与特定主体共享
以下示例 SCP 允许用户*仅* 与组织 `o-12345abcdef,`、组织单位 `ou-98765fedcba` 和 AWS 账户 `111111111111` 共享资源。
如果您使用带有否定条件运算符(如 `StringNotEqualsIfExists`)的 `"Effect": "Deny"` 元素,则即使条件键不存在,请求仍会被拒绝。使用 `Null` 条件运算符检查授权时是否缺少条件键。
AWS RAM APIs 分别对通话中列出的每位委托人和资源进行授权。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### 示例 6: RetainSharingOnAccountLeaveOrganization 启用后禁止资源共享
当`ram:RetainSharingOnAccountLeaveOrganization`条件键设置为时,以下 SCP 禁止用户创建或修改资源共享。`true`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```
# 禁用与的资源共享 AWS Organizations
如果您之前启用了与共享功能, AWS Organizations 并且不再需要与整个组织或组织单位共享资源(OUs),则可以禁用共享。当您禁用与共享时 AWS Organizations,所有组织或 OUs 都将从您创建的资源共享中移除,并且他们将无法访问共享资源。外部账户(通过邀请添加到资源共享的账户)不会受到影响,并会继续与资源共享关联。
**禁用与共享 AWS Organizations**
1. AWS Organizations 使用 AWS Organizations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) AWS CLI 命令禁用可信访问权限。
```
$ aws organizations disable-aws-service-access --service-principal ram.amazonaws.com
```
**重要**
禁用对的可信访问权限后 AWS Organizations,组织内的委托人将从所有资源共享中移除,并失去对这些共享资源的访问权限。
1. 使用 IAM 控制台 AWS CLI、或 IAM API 操作删除**AWSServiceRoleForResourceAccessManager**服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
# AWS RAM 中的日志记录和监控
监控是保持 AWS RAM 和您的 AWS 解决方案的可靠性、可用性和性能的重要方面。您应该从 AWS 解决方案的各个部分收集监控数据,以便您可以更轻松地调试多点故障(如果发生)。AWS 提供了多种工具来监控您的 AWS RAM 资源并对潜在事件做出响应:
**Amazon EventBridge**
提供近乎实时的系统事件流,这些系统事件描述 AWS 资源的变化。EventBridge 支持自动事件驱动型计算,因为您可以编写规则,以监控某些事件,并在这些事件发生时在其他 AWS 服务中触发自动操作。有关更多信息,请参阅 [AWS RAM 使用监控 EventBridge](using-eventbridge.md)。
**AWS CloudTrail**
捕获由您的 AWS 账户或代表该账户发出的 API 调用和相关事件,并将日志文件传输到您指定的 Amazon S3 存储桶。您可以标识哪些用户和账户调用了 AWS、发出调用的源 IP 地址以及调用的发生时间。有关更多信息,请参阅 [使用记录 AWS RAM API 调用 AWS CloudTrail](cloudtrail-logging.md)。
# AWS RAM 使用监控 EventBridge
使用 Amazon EventBridge,您可以在中为特定事件设置自动通知 AWS RAM。来自 AWS RAM 的事件以近乎实时 EventBridge 的方式传送到。您可以配置 EventBridge 为监控事件并调用目标以响应表明您的资源共享发生变化的事件。对资源共享进行更改会针对资源共享的所有者以及获授权访问资源共享的主体触发事件。
当您创建事件模式时,源为 `aws.ram`。
**注意**
在编写依赖于这些事件的代码时要小心。这些事件不能得到保证,但会尽最大努力发出。如果 AWS RAM 尝试发出事件时出现错误,则服务会再尝试几次。但是,它可能会超时并导致该特定事件丢失。
有关更多信息,请参阅 Amazon EventBridge 用户指南。
## 示例:在资源共享失败时发出警报
想想这样一个场景:您希望与组织中的其他账户共享 Amazon EC2 容量预留。这样做是降低成本的好方法。
但是,如果您不满足[共享容量预留的所有先决条件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#sharing-cr-prereq),则共享资源所涉及的异步任务执行可能会静默失败。如果共享操作失败,并且其他账户中的用户试图启动具有其中一个容量预留的实例,则 Amazon EC2 就会像容量预留已满一样执行操作,并将该实例作为按需实例启动。这可能导致成本高于预期。
要监控资源共享故障,请设置 Amazon EventBridge 规则,在 AWS RAM 资源共享失败时提醒您。以下教程过程使用亚马逊简单通知服务 (SNS) Simple Notification Service 主题在 EventBridge 发现资源共享失败时通知所有主题订阅者。有关 Amazon SNS 的更多信息,请参阅 [Amazon Simple Notification Service 开发人员指南](https://docs.aws.amazon.com/sns/latest/dg/)。
**要创建在资源共享失败时通知您的规则,请执行以下操作:**
1. 打开 [Amazon EventBridge 控制台](https://console.aws.amazon.com/events)。
1. 在导航窗格中,选择**规则**,然后在**规则**列表中,选择**创建规则**。
1. 输入规则的名称和描述(可选),然后选择**下一步**。
1. 向下滚动到**事件模式**框,然后选择**自定义模式(JSON 编辑器)**。
1. 复制并粘贴以下事件模式:
```
{
"source": ["aws.ram"],
"detail-type": ["Resource Sharing State Change"],
"detail": {
"event": ["Resource Share Association"],
"status": ["failed"]
}
}
```
1. 选择**下一步**。
1. 对于**目标 1**,在**目标类型**下选择 **AWS 服务**。
1. 对于**选择一个目标**,选择 **SNS 主题**。
1. 对于**主题**,选择要发布通知的 SNS 主题。此主题必须已经存在。
1. 选择**下一步**,然后再次选择**下一步**,以查看您的配置。
1. 如果您对选项感到满意,请选择**创建规则**。
1. 返回到**规则**页面,确保将您的新规则标记为**已启用**。如有必要,选择规则名称旁边的单选按钮,然后选择**启用**。
只要启用该规则,任何失败的 AWS RAM 资源共享都会向您发布的主题的收件人发出 SNS 警报。
您还可以尝试[在 Amazon EC2 控制台中通过共享容量预留的账户查看共享容量预留](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#identifying-shared-cr),从而确认共享容量预留是否可供这些账户访问。
# 使用记录 AWS RAM API 调用 AWS CloudTrail
AWS RAM 与 AWS CloudTrail一项服务集成,该服务提供用户、角色或 AWS 服务在中执行的操作的记录 AWS RAM。 CloudTrail 将所有 API 调用捕获 AWS RAM 为事件。捕获的调用包括来自 AWS RAM 控制台的调用和对 AWS RAM API 操作的代码调用。如果您创建跟踪,则可以允许将 CloudTrail 事件持续传输到您指定的 Amazon S3 存储桶,包括的事件 AWS RAM。如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的 “事件**历史记录” 中查看最新的事件**。使用收集的信息来确定 CloudTrail 向何人发出了请求 AWS RAM、请求的 IP 地址、请求者、何时发出以及其他详细信息。
有关的更多信息 CloudTrail,请参阅《[AWS CloudTrail 用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
## AWS RAM 信息在 CloudTrail
CloudTrail 在您创建账户 AWS 账户 时已在您的账户上启用。当活动发生在中时 AWS RAM,该活动会与其他 AWS 服务 CloudTrail 事件一起记录在**事件历史**记录中。您可以在中查看、搜索和下载最近发生的事件 AWS 账户。有关更多信息,请参阅[使用事件历史记录查看 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
对于 AWS 账户中的事件的持续记录(包括 AWS RAM的事件),请创建跟踪记录。*跟踪*允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。默认情况下,当您在控制台中创建跟踪时,该跟踪将应用于所有 AWS 区域。此跟踪记录在 AWS 分区中记录所有区域中的事件,并将日志文件传送至您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅下列内容:
+ [为您创建路线 AWS 账户](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [AWS 服务 与 CloudTrail 日志集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [配置 Amazon SNS 通知 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [接收来自多个区域的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收来自多个账户的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
所有 AWS RAM 操作均由《API 参考》记录 CloudTrail 并记录在《[AWS RAM API 参考](https://docs.aws.amazon.com/ram/latest/APIReference/)》中。例如,对 `CreateResourceShare`、`AssociateResourceShare` 和 `EnableSharingWithAwsOrganization` 操作的调用会在 CloudTrail 日志文件中生成条目。
每个事件或日志条目都包含相应信息,可帮助您确定提出请求的人员。
+ AWS 账户 根证书
+ 来自 AWS Identity and Access Management (IAM) 角色或联合用户的临时安全证书。
+ 来自 IAM 用户的长期安全凭证。
+ 另一项 AWS 服务。
有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 了解 AWS RAM 日志文件条目
跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。事件代表来自任何来源的单个请求,包括有关请求的操作、操作的日期和时间、请求参数等的信息。 CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此它们不会按任何特定顺序出现。
以下示例显示了该`CreateResourceShare`操作的 CloudTrail 日志条目。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "NOPIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/admin",
"accountId": "111122223333",
"accessKeyId": "BCDIOSFODNN7EXAMPLE",
"userName": "admin"
},
"eventTime": "2018-11-03T04:23:19Z",
"eventSource": "ram.amazonaws.com",
"eventName": "CreateResourceShare",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.1.0",
"userAgent": "aws-cli/1.16.2 Python/2.7.10 Darwin/16.7.0 botocore/1.11.2",
"requestParameters": {
"name": "foo"
},
"responseElements": {
"resourceShare": {
"allowExternalPrincipals": true,
"name": "foo",
"owningAccountId": "111122223333",
"resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/EXAMPLE0-1234-abcd-1212-987656789098",
"status": "ACTIVE"
}
},
"requestID": "EXAMPLE0-abcd-1234-mnop-987654567876",
"eventID": "EXAMPLE0-1234-abcd-hijk-543234565434",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# 合规性验证 AWS Resource Access Manager
要了解是否属于特定合规计划的范围,请参阅AWS 服务 “[按合规计划划分的范围](https://aws.amazon.com/compliance/services-in-scope/)” ”,然后选择您感兴趣的合规计划。 AWS 服务 有关一般信息,请参阅[AWS 合规计划AWS](https://aws.amazon.com/compliance/programs/)。
您可以使用下载第三方审计报告 AWS Artifact。有关更多信息,请参阅中的 “[下载报告” 中的 “ AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您在使用 AWS 服务 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。有关您在使用时的合规责任的更多信息 AWS 服务,请参阅[AWS 安全文档](https://docs.aws.amazon.com/security/)。
# 韧性在 AWS Resource Access Manager
AWS 全球基础设施是围绕 AWS 区域 可用区构建的。 AWS 区域 提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络连接。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础架构相比,可用区具有更高的可用性、容错性和可扩展性。
有关 AWS 区域 和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# 中的基础设施安全 AWS Resource Access Manager
作为一项托管服务 AWS Resource Access Manager ,受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境,请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 已发布的 API 调用 AWS RAM 通过网络进行访问。客户端必须支持以下内容:
+ 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
# AWS Resource Access Manager 使用接口端点进行访问 (AWS PrivateLink)
您可以使用 AWS PrivateLink 在您的 VPC 和之间创建私有连接 AWS Resource Access Manager。您可以像在 VPC 中 AWS RAM 一样进行访问,无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 AWS RAM。
您可以通过创建由 AWS PrivateLink提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口,用作发往 AWS RAM的流量的入口点。
有关更多信息,请参阅《AWS PrivateLink 指南》**中的[通过 AWS PrivateLink访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。
## 的注意事项 AWS RAM
在为设置接口终端节点之前 AWS RAM,请查看*AWS PrivateLink 指南*中的[注意事项](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。
AWS RAM 支持通过接口端点调用其所有 API 操作。
支持 VPC 终端节点策略 AWS RAM。默认情况下,允许通过接口端点对 AWS RAM 进行完全访问。
## 为创建接口终端节点 AWS RAM
您可以创建用于 AWS RAM 使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 的接口终端节点。有关更多信息,请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。
AWS RAM 使用以下服务名称创建接口终端节点:
```
com.amazonaws.region.ram
```
如果为接口端点启用私有 DNS,则可使用其默认区域 DNS 名称向 AWS RAM 发出 API 请求。例如 `ram.us-east-1.amazonaws.com`。
## 为 VPC 端点创建端点策略
端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认终端节点策略允许 AWS RAM 通过接口终端节点进行完全访问。要控制允许 AWS RAM 从您的 VPC 访问权限,请将自定义终端节点策略附加到接口终端节点。
端点策略指定以下信息:
+ 可执行操作的主体(AWS 账户、IAM 用户和 IAM 角色)。
+ 可执行的操作。
+ 可对其执行操作的资源。
有关更多信息,请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
**示例:用于 AWS RAM 操作的 VPC 终端节点策略**
以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会授予所有委托人对所有资源 AWS RAM 执行所列操作的访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"ram:CreateResourceShare"
],
"Resource": "*"
}
]
}
```
------