AWS RoboMaker 的 AWS 托管策略 - AWS RoboMaker
AWSRoboMaker_FullAccessAWSRoboMakerReadOnlyAccess策略更新

终止支持通知:2025 年 9 月 10 日, AWS 将停止对的支持。 AWS RoboMaker2025 年 9 月 10 日之后,您将无法再访问 AWS RoboMaker 控制台或 AWS RoboMaker 资源。有关过渡 AWS Batch 到以帮助运行容器化仿真的更多信息,请访问此博客文章。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS RoboMaker 的 AWS 托管策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管式策略。这些策略涵盖常见使用案例,可在您的 AWS 账户 中使用。有关 AWS 托管策略的更多信息,请参阅 IAM 用户指南中的AWS 托管策略

AWS 服务负责维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,AWS 还支持跨多种服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 AWS 托管策略

AWS 托管策略:AWSRoboMaker_FullAccess

此策略向参与者授予权限,允许 AWS RoboMaker 读取可用于创建应用程序的映像或捆绑包。此外,该政策还允许您访问所有 AWS RoboMaker 资源和操作。它还会在您的账户中创建一个 IAM 角色来管理您账户中的 Amazon EC2 资源。

权限详细信息

此策略包含以下权限。

  • s3:GetObject — 如果您为机器人或模拟应用程序使用捆绑包,它允许 AWS RoboMaker 从您的 Amazon S3 存储桶中获取 zip 文件。

  • ecr:BatchGetImage — 如果您为机器人或模拟应用程序使用映像,它允许 AWS RoboMaker 从您的 Amazon ECR 存储库中获取映像。

  • ecr-public:DescribeImages — 如果您为机器人或模拟应用程序使用公开可用的映像,它允许 AWS RoboMaker 从 Amazon ECR 存储库中获取有关该映像的信息。

  • iam:CreateServiceLinkedRole — 提供让 AWS RoboMaker 能够访问其成功运行所需的Amazon EC2 资源。有关更多信息,请参阅将服务相关角色用于 AWS RoboMaker

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "robomaker:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "robomaker.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ecr:BatchGetImage",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "robomaker.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ecr-public:DescribeImages",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "robomaker.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "robomaker.amazonaws.com"
                }
            }
        }
    ]
}

AWS 托管策略:AWSRoboMakerReadOnlyAccess

此托管策略示例通过 AWS Management Console 和 SDK 提供对 AWS RoboMaker 的只读访问权限。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "robomaker:List*",
                "robomaker:BatchDescribe*",
                "robomaker:Describe*",
                "robomaker:Get*"
            ],
            "Resource": "*"
        }
    ]
}

AWS RoboMaker 对 AWS 托管策略的更新

查看有关 AWS RoboMaker 的 AWS 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 AWS RoboMaker 文档历史记录页面上的 RSS 源。

更改 说明 日期

AWSRoboMaker_FullAccess — 新策略

AWS RoboMaker 添加了一项新策略,允许访问成功运行所需的资源。

该政策允许 AWS RoboMaker 访问您存储在 Amazon S3 上的 Amazon ECR 映像或 zip 文件,以创建您的机器人和模拟应用程序。它还让 AWS RoboMaker 能够访问成功运行所需的 Amazon EC2。

 2021 年 7 月 27 日

AWSRoboMakerReadOnlyAccess — 新策略

AWS RoboMaker 添加了一项新策略,允许对 AWS RoboMaker 资源的只读访问。

 2022 年 1 月 11 日

AWS RoboMaker 开始跟踪更改

AWS RoboMaker 为其 AWS 托管式策略开启了跟踪更改。

 2021 年 7 月 27 日