本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS RAM 如何使用 IAM
根據預設,IAM主體沒有建立或修改 AWS RAM 資源的許可。若要允許IAM主體建立或修改資源並執行任務,請執行下列其中一個步驟。這些動作授予使用特定資源和API動作的許可。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
IAM 透過身分提供者在 中管理的使用者:
建立聯合身分的角色。請遵循 IAM 使用者指南 中為第三方身分提供者 (聯合) 建立角色的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請遵循 IAM 使用者指南 中為IAM使用者建立角色的指示。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南 中的將許可新增至使用者 (主控台) 中的指示。
-
AWS RAM 提供數個 AWS 受管政策,您可以使用這些政策來解決許多使用者的需求。如需這些項目的詳細資訊,請參閱AWS RAM 的 AWS 受管政策。
如果您需要更精細地控制授予使用者的許可,您可以在IAM主控台中建構自己的政策。如需建立政策並將其連接至IAM角色和使用者的相關資訊,請參閱 AWS Identity and Access Management 使用者指南 中的政策和許可IAM。
下列各節提供建置IAM許可政策 AWS RAM 的特定詳細資訊。
政策結構
IAM 許可政策是包含下列陳述式JSON的文件:效果、動作、資源和條件。IAM 政策通常採用下列形式。
{ "Statement":[{ "Effect":"<effect>", "Action":"<action>", "Resource":"<arn>", "Condition":{ "<comparison-operator>":{ "<key>":"<value>" } } }] }
Effect
效果陳述式指出政策是否允許或拒絕主體執行動作的許可。可能的值包括: Allow
和 Deny
。
動作
動作陳述式指定 AWS RAM API政策允許或拒絕許可的動作。如需允許動作的完整清單,請參閱 IAM 使用者指南 中的 定義的動作 AWS Resource Access Manager。
資源
資源陳述式會指定受政策影響 AWS RAM 的資源。若要在陳述式中指定資源,您需要使用其唯一的 Amazon Resource Name (ARN)。如需允許資源的完整清單,請參閱 IAM 使用者指南 中的 定義的資源 AWS Resource Access Manager。
條件
條件陳述式為選用。它們可用於進一步完善政策適用的條件。 AWS RAM 支援下列條件索引鍵:
-
aws:RequestTag/${TagKey}
– 測試服務請求是否包含具有指定標籤金鑰的標籤,並具有指定的值。 -
aws:ResourceTag/${TagKey}
– 測試由服務請求執行的資源是否具有附加標籤,其中包含您在政策中指定的標籤金鑰。下列範例條件會檢查服務請求中參考的資源是否具有附加標籤,其金鑰名稱為「擁有者」且值為「開發團隊」。
"Condition" : { "StringEquals" : { "aws:ResourceTag/Owner" : "Dev Team" } }
-
aws:TagKeys
– 指定必須用來建立或標記資源共用的標籤金鑰。 -
ram:AllowsExternalPrincipals
– 測試服務請求中的資源共用是否允許與外部主體共用。外部主體是 中您組織的 AWS 帳戶 外部 AWS Organizations。如果這評估為False
,則您只能與相同組織中的帳戶共用此資源共用。 -
ram:PermissionArn
– 測試服務請求中ARN指定的許可是否與您在政策中指定的ARN字串相符。 -
ram:PermissionResourceType
– 測試服務請求中指定的許可是否適用於您在政策中指定的資源類型。使用可共用資源類型清單中顯示的格式指定資源類型。 -
ram:Principal
– 測試在服務請求中指定的主體ARN的 是否符合您在政策中指定的ARN字串。 -
ram:RequestedAllowsExternalPrincipals
– 測試服務請求是否包含allowExternalPrincipals
參數,以及其引數是否符合您在政策中指定的值。 -
ram:RequestedResourceType
– 測試正在執行的資源類型是否符合您在政策中指定的資源類型字串。使用可共用資源類型清單中顯示的格式指定資源類型。 -
ram:ResourceArn
– 測試由服務請求執行ARN的資源的 是否符合ARN您在政策中指定的 。 -
ram:ResourceShareName
– 測試服務請求所執行的資源共用名稱是否符合您在政策中指定的字串。 -
ram:ShareOwnerAccountId
– 測試由服務請求執行之資源共用的帳戶 ID 號碼,符合您在政策中指定的字串。