管理權限AWS RAM - AWS Resource Access Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理權限AWS RAM

在中AWS RAM,受管理的權限有兩種類型:受AWS管理的權限和客戶管理的權限。

受管理的權限定義取用者如何對資源共用中的資源採取行動。建立資源共用時,必須針對資源共用中包含的每個資源類型指定要使用哪個 Managed 權限。受管理權限中的原則範本包含以資源為基礎的策略所需的一切 (主參與者和資源除外)。資源共享 (ARN) 和與資源共享相關聯的 Pource Name (ARN) 和與資源共享的 ARN 完成以資源共享為基礎的政策共享。 AWS RAM然後編寫以資源為基礎的策略,它附加到該資源共用中的所有資源。

每個受管理的許可可可可以有或多一或多一或多 系統會將一個版本指定為該受管理權限的預設版本。有時,建立新版本並將該新版本指定為預設版本,以AWS更新資源類型的AWS受管理權限。您也可以透過建立新版本來更新客戶管理的權限。已附加至資源共用的受管理權限會自動更新。AWS RAM控制台確實指示何時有新的默認版本可用,並且您可以查看與前一個版本相比的新默認版本中的更改。

注意

我們建議您盡快更新至新版的AWS受管理權限。這些更新通常增加了對可以使用共享其他資源類型的新的或更AWS 服務新的支持AWS RAM。新的預設版本也可以解決和修正安全性弱點。

重要

您只能將受管理權限的預設版本附加至新的資源共用。

您可以隨時擷取可用的受管理許可。如需詳細資訊,請參閱檢視受管理權限

管理權限的運作方式

如需快速概觀,請觀看下列影片,其中示範受管理的權限如何讓您將最低權限存取的最佳作法套用至資AWS源。

此影片示範如何依照最低權限的最佳實務,建立客戶受管理的許可,並建立與建立關聯。如需詳細資訊,請參閱 在中建立和使用客戶受管理的權限AWS RAM

建立資源共用時,您可以將AWS受管理的權限與您要共用的每個資源類型建立關聯。如果受管理的權限具有多個版本,則新資源共用一律會使用指定為預設的版本。

建立資源共用之後,AWS RAM會使用受管理的權限來產生附加至每個共用資源的資源型政策。

受管理權限中的原則範本會指定下列項目:

Effect

指出是Allow否要Deny對共用資源執行作業的主參與者權限。對於受管理的權限而言,效果永遠是Allow。如需詳細資訊,請參閱《IAM 使用者指南》中的 Eff ect

動作

主體被授與執行權限的作業清單。這可以是AWS Command Line Interface (AWS CLI)AWS Management Console 或AWS API 中的作業中的動作。動作由AWS權限定義。如需詳細資訊,請參閱 IAM 使用者指南中的動作

Condition

主參與者可以何時與資源共用中的資源互動。條件為您的共用資源增加了一層額外的安全性。使用它們來限制對共用資源進行敏感動作的存取。例如,您可以納入要求動作源自特定公司 IP 位址範圍的條件,或者動作必須由經過多重要素驗證驗證的使用者執行。如需有關條件的詳細資訊,請參閱《IAM 使用者指南》中的AWS全域條件內容金鑰。如需有關特定條件的詳細資訊,請參閱《服務授權參考》中的AWS服務的動作、資源與條件索引

注意

條件適用於客戶受管理的權限和受AWS管理權限的支援資源類型。

如需排除不與客戶管理權限搭配使用之條件的相關資訊,請參閱在 中使用客戶受管許可的考量 AWS RAM

受管理的權限類型

建立資源共用時,您可以選擇受管理的權限,以與您包含在資源共用中的每個資源類型相關聯。 AWS受管理的權限由AWS資源擁有的服務定義,並由管理AWS RAM。您可以編寫並維護自己的客戶管理權限。

  • AWS受管理權限 — 每種AWS RAM支援的資源類型都有一個預設受管理權限可用。除非您明確選擇其中一個其他 Managed 權限,否則預設 Managed 權限是用於資源類型的權限。預設 Managed 權限旨在支援最常見的客戶案例,以共用指定類型的資源。預設 Managed 權限可讓主參與者執行由服務針對資源類型定義的特定動作。例如,對於 Amazon VPCec2:Subnet 資源類型,預設受管權限允許主體執行下列動作:

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    預設AWS受管理權限的名稱使用下列格AWSRAMDefaultPermissionShareableResourceType式:例如,對於資ec2:Subnet源類型,預設AWS受管理權限的名稱為AWSRAMDefaultPermissionSubnet

    注意

    預設受管理權限與受管理權限的預設版本不同。所有受管理的權限 (不論是預設或某些資源類型支援的其他受管理權限之一) 都是獨立的完整權限,具有不同效果,以及支援不同共用案例 (例如讀寫與唯讀存取) 的動作。任何受管理的權限,無論客戶管理AWS或客戶管理都可以有多個版本,其中一個版本是該權限的預設版本。

    例如,當您共用同時支援完整存取 (ReadWrite) 受管理權限和唯讀受管理權限的資源類型時,您可以為具有完整存取受管理權限的管理員建立一個資源共用。然後,您可以使用唯讀 Managed 權限為其他開發人員建立個別的資源共用,以遵循授與最少權限的做法

    注意

    所有AWS RAM支援至少一個預設受管理權限的AWS服務。您可以在 [受管理的權限程式庫] 頁面AWS 服務上檢視每個項目的可用權限。此頁面提供每個可用 Managed 權限的詳細資訊,包括目前與權限相關聯的任何資源共用,以及是否允許與外部主參與者共用 (如果適用)。如需詳細資訊,請參閱檢視受管理權限

    對於不支援其他受管理權限的服務,當您建立資源共用時,AWS RAM會自動套用為您選擇的資源類型定義的預設權限。如果支援,您也可以在 [關聯受管理權限] 頁面上選擇 [建立客戶受管理的權限]。

  • 客戶受管權限 — 客戶管理的權限是您編寫和維護的受管理權限,方法是透過精確指定可在哪些情況下與使用共用資源執行的動作AWS RAM。例如,您想要限制 Amazon VPC IP 位址管理員 (IPAM) 集區的讀取存取權限,以協助您大規模管理 IP 地址。您可以為開發人員建立客戶管理權限以指派 IP 位址,但無法檢視其他開發人員帳戶指派的 IP 位址範圍。您可以遵循最低權限的最佳實務,只授予在共享資源上執行任務所需的許可。