查看托管权限 - AWS Resource Access Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看托管权限

您可以查看有关可分配给资源共享中资源类型的托管权限的详细信息。您可以识别分配给资源共享的托管权限。要查看这些详细信息,请使用 AWS RAM 控制台中的托管权限库

Console
要查看有关 AWS RAM 中可用的托管权限的详细信息,请执行以下操作:

  1. 在 AWS RAM 控制台中导航到托管权限库页面。

  2. 由于 AWS RAM 资源共享存在于特定 AWS 区域,因此,请从控制台右上角的下拉列表中选择相应的 AWS 区域。要查看包含全球资源的资源共享,您必须将 AWS 区域设置为美国东部(弗吉尼亚州北部)(us-east-1)。有关共享全球资源的更多信息,请参阅共享区域资源(相较于全球资源)。尽管所有区域共享相同的可用 AWS 托管权限,但这会影响步骤 5 中为每个托管权限显示的关联资源共享数量。客户托管权限仅在创建这些权限的区域中可用。

  3. 托管权限列表中,选择要查看其详细信息的托管权限。您可以使用搜索框筛选托管权限列表,方法是:输入部分名称或资源类型,或从下拉列表中选择托管权限类型。

  4. (可选)要更改显示首选项,请选择托管权限面板右上角的齿轮图标。您可以更改以下首选项:

    • 页面大小 - 每页上显示的资源数量。

    • 换行 - 是否在表格行中换行。

    • - 是显示还是隐藏有关资源类型和关联共享的信息。

    设置完显示首选项后,选择确认

  5. 对于每个托管权限,列表将显示以下信息:

    • 托管权限名称 - 托管权限的名称。

    • 资源类型 - 与托管权限关联的资源类型。

    • 托管权限类型 - 托管权限是 AWS 托管权限还是客户托管权限。

    • 关联共享 - 与托管权限关联的资源共享数量。如果显示数字,则您可以选择该数字以显示包含以下信息的资源共享表:

      • 资源共享名称 - 与托管权限关联的资源共享名称。

      • 托管权限版本 - 附加到此资源共享的托管权限的版本。

      • 所有者 - 资源共享所有者的 AWS 账户号。

      • 允许外部主体 - 该资源共享是否允许与 AWS Organizations 中组织外部的主体共享。

      • 状态 - 资源共享和托管权限之间关联的当前状态。

    • 状态 - 描述托管权限是否为:

      • 可附加 - 您可以将托管权限附加到您的资源共享。

      • 不可附加 - 您无法将托管权限附加到您的资源共享。

      • 正在删除 - 托管权限已失效,很快就会被删除。

      • 已删除 - 托管权限已被删除。它会在两个小时内保持可见状态,然后才会从托管权限库中消失。

    您可以选择托管权限的名称以显示有关该托管权限的更多信息。托管权限的详细信息页面将显示以下信息:

    • 资源类型 - 此托管权限适用的 AWS 资源类型。

    • 版本数量 - 一个客户托管权限最多可以有五个版本。

    • 默认版本 - 指定哪个版本是默认版本,因此会将其自动分配给使用此托管权限的所有新资源共享。任何使用不同版本的现有资源共享都会显示一条提示,要求您将资源共享更新为默认版本。

    • ARN - 托管权限的 Amazon 资源名称 (ARN)。AWS 托管权限的 ARN 使用以下格式:

      arn:aws:ram::aws:permission/AWSRAM[DefaultPermission]ShareableResourceType

      子字符串 [DefaultPermission](实际的 ARN 中不带方括号)只存在于指定为默认值的资源类型的一个托管权限的名称中。

    • 托管权限版本 - 您可以选择要在此下拉列表下方的选项卡中显示哪个版本的信息。

      • 详细信息选项卡:

        • 创建时间 - 创建此版托管权限的日期和时间。

        • 上次更新时间 - 上次更新此版托管权限的日期和时间。

      • 策略模板选项卡 - 此版托管权限允许主体对关联的资源类型执行的服务操作和条件列表(如果适用)。

      • 关联的资源共享 - 使用此版托管权限的资源共享列表。

AWS CLI
要查看有关 AWS RAM 中可用的托管权限的详细信息,请执行以下操作:

您可以使用 list-permissions 命令,获取可用于当前 AWS 区域中调用账户的资源共享的托管权限列表。

$ aws ram list-permissions
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority",
            "resourceType": "acm-pca:CertificateAuthority",
            "status": "ATTACHABLE",
            "creationTime": "2022-06-30T13:03:31.732000-07:00",
            "lastUpdatedTime": "2022-06-30T13:03:31.732000-07:00",
            "isResourceTypeDefault": false,
            "permissionType": "AWS_MANAGED"
        },
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPIPassthroughIssuanceCertificateAuthority",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMBlankEndEntityCertificateAPIPassthroughIssuanceCertificateAuthority",
            "resourceType": "acm-pca:CertificateAuthority",
            "status": "ATTACHABLE",
            "creationTime": "2022-11-18T07:05:46.976000-08:00",
            "lastUpdatedTime": "2022-11-18T07:05:46.976000-08:00",
            "isResourceTypeDefault": false,
            "permissionType": "AWS_MANAGED"
        },

        ... TRUNCATED FOR BREVITY ... RUN COMMAND TO SEE COMPLETE LIST OF PERMISSIONS ...

        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMVPCPermissionsNetworkManagerCoreNetwork",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMVPCPermissionsNetworkManagerCoreNetwork",
            "resourceType": "networkmanager:CoreNetwork",
            "status": "ATTACHABLE",
            "creationTime": "2022-06-30T13:03:46.557000-07:00",
            "lastUpdatedTime": "2022-06-30T13:03:46.557000-07:00",
            "isResourceTypeDefault": false,
            "permissionType": "AWS_MANAGED"
        },        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP",
            "version": "1",
            "defaultVersion": true,
            "name": "My-Test-CMP",
            "resourceType": "ec2:IpamPool",
            "status": "ATTACHABLE",
            "creationTime": "2023-03-08T06:54:10.038000-08:00",
            "lastUpdatedTime": "2023-03-08T06:54:10.038000-08:00",
            "isResourceTypeDefault": false,
            "permissionType": "CUSTOMER_MANAGED"
        }
    ]
}

您还可以在 list-permissions AWS CLI 命令的 --query 参数中按名称查找特定托管权限的 ARN。以下示例筛选输出,以便仅包含与指定名称匹配的 permissions 数组结果中的元素。我们还指定只希望在结果中看到 ARN 字段,并且以纯文本格式而不是默认 JSON 格式显示。

$ aws ram list-permissions \
    --query "permissions[?name == 'My-Test-CMP'].arn \
    --output text
arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP

找到您感兴趣的特定托管权限的 ARN 后,您可以运行命令 get-permission,检索其详细信息,包括其 JSON 策略文本。

$ aws ram get-permission \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP
{
    "permission": {
        "arn": "arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP",
        "version": "1",
        "defaultVersion": true,
        "name": "My-Test-CMP",
        "resourceType": "ec2:IpamPool",
        "permission": "{\n\t\"Effect\": \"Allow\",\n\t\"Action\": [\n\t\t\"ec2:GetIpamPoolAllocations\",\n\t\t\"ec2:GetIpamPoolCidrs\",\n\t\t\"ec2:AllocateIpamPoolCidr\",\n\t\t\"ec2:AssociateVpcCidrBlock\",\n\t\t\"ec2:CreateVpc\",\n\t\t\"ec2:ProvisionPublicIpv4PoolCidr\",\n\t\t\"ec2:ReleaseIpamPoolAllocation\"\n\t]\n}",
        "creationTime": "2023-03-08T06:54:10.038000-08:00",
        "lastUpdatedTime": "2023-03-08T06:54:10.038000-08:00",
        "isResourceTypeDefault": false,
        "permissionType": "CUSTOMER_MANAGED",
        "featureSet": "STANDARD",
        "status": "ATTACHABLE"
    }
}