本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的安全性 AWS Resource Access Manager
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/) 將此描述為雲端*的*安全和雲端*內*的安全:
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在 [AWS 合規計畫](https://aws.amazon.com/compliance/programs/)中,第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 AWS Resource Access Manager (AWS RAM) 的合規計劃,請參閱[合規計劃範圍內的AWS 服務](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件可協助您了解如何在使用 時套用共同責任模型 AWS RAM。下列主題說明如何設定 AWS RAM 以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 AWS RAM 資源。
**Topics**
+ [中的資料保護 AWS Resource Access Manager](data-protection.md)
+ [的身分和存取管理 AWS Resource Access Manager](security-iam.md)
+ [在 中記錄和監控 AWS RAM](security-monitoring.md)
+ [的合規驗證 AWS Resource Access Manager](compliance-validation.md)
+ [中的彈性 AWS Resource Access Manager](disaster-recovery-resiliency.md)
+ [中的基礎設施安全 AWS Resource Access Manager](infrastructure-security.md)
+ [AWS Resource Access Manager 使用界面端點存取 (AWS PrivateLink)](vpc-interface-endpoints.md)
# 中的資料保護 AWS Resource Access Manager
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 中的資料保護 AWS Resource Access Manager。如此模型所述, AWS 負責保護執行所有 的 全球基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 AWS RAM 或使用主控台、API AWS CLI或其他 AWS 服務 AWS SDKs 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
# 的身分和存取管理 AWS Resource Access Manager
AWS Identity and Access Management (IAM) 是一種 AWS 服務,可協助管理員安全地控制對 AWS 資源的存取。IAM 控制中的管理員可以*驗證 *(登入) 和*授權* (具有許可) 來使用 AWS 資源。透過使用 IAM,您可以在 中建立主體,例如角色、使用者和群組 AWS 帳戶。您可以控制這些委託人必須使用 AWS 資源執行任務的許可。您可以免費使用 IAM。如需管理和建立自訂 IAM 政策的詳細資訊,請參閱《[IAM 使用者指南》中的管理 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。 **
**Topics**
+ [AWS RAM 如何使用 IAM](security-iam-policies.md)
+ [AWS 的 受管政策 AWS Resource Access Manager](security-iam-awsmanpol.md)
+ [使用 的服務連結角色 AWS RAM](using-service-linked-roles.md)
+ [的範例 IAM 政策 AWS RAM](security-iam-policies-examples.md)
+ [AWS Organizations 和 的服務控制政策範例 AWS RAM](security-scp.md)
+ [使用 停用資源共用 AWS Organizations](security-disable-sharing-with-orgs.md)
# AWS RAM 如何使用 IAM
根據預設,IAM 主體沒有建立或修改 AWS RAM 資源的許可。若要允許 IAM 主體建立或修改資源並執行任務,請執行下列其中一個步驟。這些動作會授予使用特定資源和 API 動作的許可。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
AWS RAM 提供數個您可以使用的 AWS 受管政策,可解決許多使用者的需求。如需這些項目的詳細資訊,請參閱[AWS 的 受管政策 AWS Resource Access Manager](security-iam-awsmanpol.md)。
如果您需要更精確地控制您授予使用者的許可,您可以在 IAM 主控台中建構自己的政策。如需有關建立政策並將其連接至 IAM 角色和使用者的資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
下列各節提供建置 IAM 許可政策 AWS RAM 的特定詳細資訊。
**Contents**
+ [政策結構](#structure)
+ [Effect](#iam-policies-effect)
+ [Action](#iam-policies-action)
+ [資源](#iam-policies-resource)
+ [條件](#iam-policies-condition)
## 政策結構
IAM 許可政策是包含下列陳述式的 JSON 文件:效果、動作、資源和條件。IAM 政策通常採用下列形式。
```
{
"Statement":[{
"Effect":"",
"Action":"",
"Resource":"",
"Condition":{
"":{
"":""
}
}
}]
}
```
### Effect
*效果*陳述式指出政策是否允許或拒絕委託人執行動作的許可。可能的值包括: `Allow`和 `Deny`。
### Action
*動作*陳述式指定政策允許或拒絕許可的 AWS RAM API 動作。如需允許動作的完整清單,請參閱《*IAM 使用者指南*》中的 [ 定義的動作 AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions)。
### 資源
*資源*陳述式會指定受政策影響 AWS RAM 的資源。若要在 陳述式中指定資源,您需要使用其唯一的 Amazon Resource Name (ARN)。如需允許資源的完整清單,請參閱《*IAM 使用者指南*》中的 [ 定義的資源 AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies)。
### 條件
*條件*陳述式是選用的。它們可用來進一步精簡政策套用的條件。 AWS RAM 支援下列條件索引鍵:
+ `aws:RequestTag/${TagKey}` – 測試服務請求是否包含具有指定標籤索引鍵的標籤,並具有指定的值。
+ `aws:ResourceTag/${TagKey}` – 測試由服務請求執行的資源是否具有附加標籤,其中包含您在政策中指定的標籤索引鍵。
下列範例條件會檢查服務請求中參考的資源是否具有附加標籤,其金鑰名稱為 "Owner" 且值為 "Dev Team"。
```
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/Owner" : "Dev Team"
}
}
```
+ `aws:TagKeys` – 指定必須用來建立或標記資源共享的標籤金鑰。
+ `ram:AllowsExternalPrincipals` – 測試服務請求中的資源共用是否允許與外部委託人共用。外部委託人是您組織的 AWS 帳戶 外部 AWS Organizations。如果這評估為 `False`,則您只能與同一組織中的帳戶共用此資源共用。
+ `ram:PermissionArn` – 測試服務請求中指定的許可 ARN 是否符合您在政策中指定的 ARN 字串。
+ `ram:PermissionResourceType` – 測試服務請求中指定的許可是否適用於您在政策中指定的資源類型。使用[可共用資源類型清單中顯示的格式指定資源類型](shareable.md)。
+ `ram:Principal` – 測試服務請求中指定的委託人的 ARN 是否符合您在政策中指定的 ARN 字串。
+ `ram:RequestedAllowsExternalPrincipals` – 測試服務請求是否包含 `allowExternalPrincipals` 參數,以及其引數是否符合您在政策中指定的值。
+ `ram:RequestedResourceType` – 測試正在處理之資源的資源類型是否符合您在政策中指定的資源類型字串。使用[可共用資源類型清單中顯示的格式指定資源類型](shareable.md)。
+ `ram:ResourceArn` – 測試服務請求所處理之資源的 ARN 是否符合您在政策中指定的 ARN。
+ `ram:ResourceShareName` – 測試服務請求所處理的資源共享名稱是否符合您在政策中指定的字串。
+ `ram:ShareOwnerAccountId` – 測試服務請求所處理之資源共享的帳戶 ID 號碼,符合您在政策中指定的字串。
# AWS 的 受管政策 AWS Resource Access Manager
AWS Resource Access Manager 目前提供數個 AWS RAM 受管政策,如本主題所述。
**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [政策更新](#security-iam-awsmanpol-updates)
在上述清單中,您可以將前三個政策連接到您的 IAM 角色、群組和使用者,以授予許可。清單中的最後一個政策會保留給 AWS RAM 服務的服務連結角色。
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AWSResourceAccessManagerReadOnlyAccess
您可將 `AWSResourceAccessManagerReadOnlyAccess` 政策連接到 IAM 身分。
此政策為 擁有的資源共用提供唯讀許可 AWS 帳戶。
它透過授予執行任何 `Get*`或 `List*`操作的許可來執行此操作。它不提供修改任何資源共用的任何功能。
**許可詳細資訊**
此政策包含以下許可。
+ `ram` – 允許主體檢視帳戶所擁有資源共享的詳細資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:Get*",
"ram:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSResourceAccessManagerFullAccess
您可將 `AWSResourceAccessManagerFullAccess` 政策連接到 IAM 身分。
此政策提供完整的管理存取權,以檢視或修改您擁有的資源共用 AWS 帳戶。
它透過授予執行任何`ram`操作的許可來執行此操作。
**許可詳細資訊**
此政策包含以下許可。
+ `ram` – 允許主體檢視或修改有關 所擁有資源共用的任何資訊 AWS 帳戶。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSResourceAccessManagerResourceShareParticipantAccess
您可將 `AWSResourceAccessManagerResourceShareParticipantAccess` 政策連接到 IAM 身分。
此政策可讓主體接受或拒絕與此共用的資源共用 AWS 帳戶,以及檢視這些資源共用的詳細資訊。它不提供修改這些資源共用的任何功能。
它透過授予執行某些`ram`操作的許可來執行此操作。
**許可詳細資訊**
此政策包含以下許可。
+ `ram` – 允許主體接受或拒絕資源共用邀請,並檢視與帳戶共用之資源共用的詳細資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourcePolicies",
"ram:GetResourceShareInvitations",
"ram:GetResourceShares",
"ram:ListPendingInvitationResources",
"ram:ListPrincipals",
"ram:ListResources",
"ram:RejectResourceShareInvitation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSResourceAccessManagerServiceRolePolicy
AWS 受管政策只能與 的服務連結角色`AWSResourceAccessManagerServiceRolePolicy`搭配使用 AWS RAM。您無法連接、分離、修改或刪除此政策。
此政策 AWS RAM 可讓您唯讀存取組織的結構。當您啟用 AWS RAM 和 之間的整合時 AWS Organizations, AWS RAM 會自動建立名為 [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager) 的服務連結角色,當服務需要查詢組織及其帳戶的相關資訊時,例如當您在 AWS RAM 主控台中檢視組織的結構時。
它透過授予唯讀許可來執行 `organizations:Describe`和 `organizations:List`操作,以提供組織結構和帳戶的詳細資訊來執行此操作。
**許可詳細資訊**
此政策包含以下許可。
+ `organizations` – 允許主體檢視組織結構的相關資訊,包括組織單位及其 AWS 帳戶 所包含的 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
},
{
"Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
"Effect": "Allow",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
]
}
]
}
```
------
## AWS RAM AWS 受管政策的更新
檢視自此服務開始追蹤這些變更 AWS RAM 以來, AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS RAM 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| AWS Resource Access Manager 開始追蹤變更 | AWS RAM 已記錄其現有的 受管政策並開始追蹤變更。 | 2021 年 9 月 16 日 |
# 使用 的服務連結角色 AWS RAM
AWS Resource Access Manager use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 AWS RAM 服務的唯一 IAM 角色類型。服務連結角色由 預先定義, AWS 並包含代您呼叫其他 AWS 服務 AWS RAM 所需的所有許可。
服務連結角色可讓您更 AWS RAM 輕鬆地進行設定,因為您不必手動新增必要的許可。 AWS RAM 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS RAM 擔任其服務連結角色。定義的許可包括信任政策和許可政策,該許可政策無法連接到任何其他 IAM 實體。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 的服務連結角色許可 AWS RAM
AWS RAM 當您啟用與 共用`AWSServiceRoleForResourceAccessManager`時, 會使用名為 的服務連結角色 AWS Organizations。此角色授予 AWS RAM 服務檢視組織詳細資訊的許可,例如成員帳戶清單,以及每個帳戶所在的組織單位。
此服務連結角色信任下列服務擔任該角色:
+ `ram.amazonaws.com`
名為 AWSResourceAccessManagerServiceRolePolicy 的角色許可政策會連接到此服務連結角色,並允許 對指定的資源 AWS RAM 完成下列動作:
+ 動作:擷取組織結構詳細資訊的唯讀動作。如需動作的完整清單,您可以在 IAM 主控台中檢視政策:[AWSResourceAccessManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceAccessManagerServiceRolePolicy$jsonEditor)。
若要讓委託人開啟組織內的 AWS RAM 共用,該委託人 (使用者、群組或角色等 IAM 實體) 必須具有建立服務連結角色的許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 為 建立服務連結角色 AWS RAM
您不需要手動建立服務連結角色,當您在 中開啟 AWS RAM 組織內的共用 AWS 管理主控台,或使用 AWS CLI 或 AWS API 在帳戶中執行 [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html) 時, 會為您 AWS RAM 建立服務連結角色。
呼叫 `enable-sharing-with-aws-organizations` 以在您的帳戶中建立服務連結角色。
如果您刪除此服務連結角色,則 AWS RAM 不再具有檢視組織結構詳細資訊的許可。
## 編輯 的服務連結角色 AWS RAM
AWS RAM 不允許您編輯 AWSResourceAccessManagerServiceRolePolicy 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 的服務連結角色 AWS RAM
您可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSResourceAccessManagerServiceRolePolicy`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AWS RAM 服務連結角色支援的區域
AWS RAM 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) 中的 *Amazon Web Services 一般參考區域與端點*。
# 的範例 IAM 政策 AWS RAM
本主題包含 的 IAM 政策範例 AWS RAM ,示範共用特定資源和資源類型和限制共用。
**Topics**
+ [允許共用特定資源](#owner-share-specific-resources)
+ [允許共用特定資源類型](#owner-share-resource-types)
+ [限制與外部 共用 AWS 帳戶](#control-access-owner-external)
## 範例 1:允許共用特定資源
您可以使用 IAM 許可政策來限制主體僅將特定資源與資源共用建立關聯。
例如,下列政策限制主體只能與指定的 Amazon Resource Name (ARN) 共用解析程式規則。如果請求不包含`ResourceArn`參數,或者如果該請求包含該參數,則運算子`StringEqualsIfExists`允許請求,該值完全符合指定的 ARN。
如需何時和為何使用`...IfExists`運算子的詳細資訊,請參閱 [...《IAM 使用者指南》中的 IfExists 條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)。 **
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
}
}
}]
}
```
------
## 範例 2:允許共用特定資源類型
您可以使用 IAM 政策來限制主體僅將特定資源類型與資源共用建立關聯。
動作 `AssociateResourceShare`和 `CreateResourceShare`可接受主體 和 `resourceArns`做為獨立輸入參數。因此, 會獨立 AWS RAM 授權每個委託人和資源,因此可能會有多個[請求內容](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html)。這表示當委託人與 AWS RAM 資源共享相關聯時,`ram:RequestedResourceType`條件索引鍵不存在於請求內容中。同樣地,當資源與 AWS RAM 資源共享相關聯時,`ram:Principal`條件索引鍵不存在於請求內容中。因此,若要允許 `AssociateResourceShare`和 將主體與 AWS RAM 資源共用建立`CreateResourceShare`關聯,您可以使用 [`Null`條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null)。
例如,下列政策會將主體限制為僅共用 Amazon Route 53 解析程式規則,並允許他們將任何主體與該共用建立關聯。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowOnlySpecificResourceType",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:RequestedResourceType": "route53resolver:ResolverRule"
}
}
},
{
"Sid": "AllowAssociatingPrincipals",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
## 範例 3:限制與外部 共用 AWS 帳戶
您可以使用 IAM 政策來防止主體與其 AWS 組織外部 AWS 帳戶 的 共用資源。
例如,下列 IAM 政策可防止主體 AWS 帳戶 在資源共用之外新增 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "false"
}
}
}]
}
```
------
# AWS Organizations 和 的服務控制政策範例 AWS RAM
AWS RAM 支援服務控制政策 SCPs)。SCP 是您附加至組織中元素的政策,藉此管理該組織內的許可。SCP 適用於 AWS 帳戶 [您連接 SCP 的 元素下](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)的所有 。SCP 可集中控制組織中所有帳戶可用的許可上限。他們可協助您確保 AWS 帳戶 遵守組織的存取控制準則。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html)。
## 先決條件
若要使用 SCP,您必須執行下列動作:
+ 啟用您組織的所有功能。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》[中的啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)
+ 啟用 SCP 以便於您的組織內使用。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[啟用和停用政策類型](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
+ 建立您需要的 SCP。如需建立 SCPs的詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[建立和更新 SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html)。
## 服務控制政策的範例
**Contents**
+ [範例 1:防止外部共用](#example-one)
+ [範例 2:防止使用者接受來自組織外部帳戶的資源共用邀請](#example-two)
+ [範例 3:允許特定帳戶共用特定資源類型](#example-three)
+ [範例 4:防止與整個組織或組織單位共用](#example-four)
+ [範例 5:僅允許與特定委託人共用](#example-five)
+ [範例 6:防止已啟用 RetainSharingOnAccountLeaveOrganization 的資源共用](#example-six)
下列範例展示您可以如何控制組織中資源共享的各個層面。
### 範例 1:防止外部共用
下列 SCP 可防止使用者建立允許與共用使用者組織外部主體共用的資源共用。
AWS RAM 會針對呼叫中列出的每個委託人和資源分別授權 APIs。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### 範例 2:防止使用者接受來自組織外部帳戶的資源共用邀請
下列 SCP 會阻止受影響帳戶中的任何主體接受使用資源共享的邀請。與共用帳戶相同組織中的其他帳戶共用的資源共用不會產生邀請,因此不受此 SCP 影響。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### 範例 3:允許特定帳戶共用特定資源類型
下列 SCP *僅允許*帳戶 `111111111111`和 `222222222222` 建立新的資源共用,以共用 Amazon EC2 字首清單或將字首清單與現有資源共用建立關聯。
AWS RAM 會針對呼叫中列出的每個委託人和資源分別授權 APIs。
如果請求不包含資源類型參數,或者如果它包含該參數,則運算子`StringEqualsIfExists`允許請求,其值完全符合指定的資源類型。如果您要包含委託人,您必須擁有 `...IfExists`。
如需何時和為何使用`...IfExists`運算子的詳細資訊,請參閱 [...《IAM 使用者指南》中的 IfExists 條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)。 **
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### 範例 4:防止與整個組織或組織單位共用
下列 SCP 可防止使用者建立與整個組織或任何組織單位共用資源的資源共用。使用者可以與 AWS 帳戶 組織中的個人共用,或與 IAM 角色或使用者**共用。
AWS RAM 會針對呼叫中列出的每個委託人和資源分別授權 APIs。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### 範例 5:僅允許與特定委託人共用
下列範例 SCP 允許使用者*僅*與`o-12345abcdef,`組織單位 `ou-98765fedcba`、 和 AWS 帳戶 共用資源`111111111111`。
如果您使用具有 等否定條件運算子的 `"Effect": "Deny"`元素`StringNotEqualsIfExists`,即使條件索引鍵不存在,請求仍會遭到拒絕。使用 `Null` 條件運算子檢查授權時是否沒有條件索引鍵。
AWS RAM 會針對呼叫中列出的每個委託人和資源分別授權 APIs。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### 範例 6:防止已啟用 RetainSharingOnAccountLeaveOrganization 的資源共用
下列 SCP 可防止使用者在`ram:RetainSharingOnAccountLeaveOrganization`條件金鑰設定為 時建立或修改資源共用`true`。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```
# 使用 停用資源共用 AWS Organizations
如果您之前已啟用與 共用, AWS Organizations 而且不再需要與整個組織或組織單位 (OUs) 共用資源,則可以停用共用。當您停用與 共用時 AWS Organizations,所有組織或 OUs 都會從您建立的資源共用中移除,而且會失去共用資源的存取權。外部帳戶 (透過邀請新增至資源共享的帳戶) 不會受到影響,且將繼續與資源共享建立關聯。
**停用與 共用 AWS Organizations**
1. AWS Organizations 使用 AWS Organizations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) AWS CLI 命令停用對 的信任存取。
```
$ aws organizations disable-aws-service-access --service-principal ram.amazonaws.com
```
**重要**
當您停用對 的信任存取時 AWS Organizations,組織內的主體會從所有資源共用中移除,並失去對這些共用資源的存取。
1. 使用 IAM 主控台 AWS CLI、 或 IAM API 操作來刪除 **AWSServiceRoleForResourceAccessManager** 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
# 在 中記錄和監控 AWS RAM
監控是維護 和 AWS 解決方案的可靠性、可用性 AWS RAM 和效能的重要部分。您應該從 AWS 解決方案的所有部分收集監控資料,以便在發生多點失敗時更輕鬆地偵錯。 AWS 提供數種工具來監控您的 AWS RAM 資源並回應潛在事件:
**Amazon EventBridge**
提供near-real-time的系統事件串流,描述 AWS 資源的變更。EventBridge 啟用自動的事件驅動運算,因為您可以在這些事件發生時,編寫監看特定事件與在其他 AWS 服務內觸發自動化動作的規則。如需詳細資訊,請參閱[AWS RAM 使用 EventBridge 進行監控](using-eventbridge.md)。
**AWS CloudTrail**
擷取由 發出或代表發出的 API 呼叫和相關事件, AWS 帳戶 並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 地址,以及呼叫的時間。如需詳細資訊,請參閱[使用 記錄 AWS RAM API 呼叫 AWS CloudTrail](cloudtrail-logging.md)。
# AWS RAM 使用 EventBridge 進行監控
使用 Amazon EventBridge,您可以在其中設定特定事件的自動通知 AWS RAM。來自 的事件 AWS RAM 會以近乎即時的方式交付至 EventBridge。您可以設定 EventBridge 來監控事件並叫用目標,以回應指出資源共享變更的事件。變更資源共用會觸發資源共用擁有者的事件,以及授予資源共用存取權的委託人。
當您建立事件模式時,來源是 `aws.ram`。
**注意**
請小心撰寫程式碼,這些程式碼取決於這些事件。這些事件無法保證,但會盡最大努力發出。如果 AWS RAM 嘗試發出事件時發生錯誤,服務會再嘗試數次。不過,它可能會逾時,並導致該特定事件遺失。
如需詳細資訊,請參閱「Amazon EventBridge 使用者指南」。
## 範例:資源共用失敗的提醒
考慮您希望與組織中的其他帳戶共用 Amazon EC2 容量保留的情況。這樣做是降低成本的好方法。
不過,如果您不符合[共用容量保留的所有先決條件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#sharing-cr-prereq),則可能會無提示地無法執行與共用資源相關的非同步任務。如果共用操作失敗,而其他帳戶中的使用者嘗試啟動具有其中一個容量保留的執行個體,則 Amazon EC2 就像容量保留已滿一樣,並改為以隨需執行個體的形式啟動執行個體。這可能會導致高於預期的成本。
若要監控資源共用失敗,請設定 Amazon EventBridge 規則,以便在 AWS RAM 資源共用失敗時提醒您。下列教學程序使用 Amazon Simple Notification Service (SNS) 主題,在 EventBridge 發現資源共用失敗時通知所有主題訂閱者。如需 Amazon SNS 的詳細資訊,請參閱 [Amazon Simple Notification Service 開發人員指南](https://docs.aws.amazon.com/sns/latest/dg/)。
**建立規則,在資源共用失敗時通知您**
1. 開啟 [Amazon EventBridge 主控台](https://console.aws.amazon.com/events)。
1. 在導覽窗格中,選擇**規則**,然後在**規則**清單中,選擇**建立規則**。
1. 輸入規則的名稱和選用描述,然後選擇**下一步**。
1. 向下捲動至**事件模式**方塊,然後選擇**自訂模式 (JSON 編輯器)**。
1. 複製並貼上下列事件模式:
```
{
"source": ["aws.ram"],
"detail-type": ["Resource Sharing State Change"],
"detail": {
"event": ["Resource Share Association"],
"status": ["failed"]
}
}
```
1. 選擇**下一步**。
1. 針對**目標 1**,在**目標類型**下,選擇 **AWS 服務**。
1. 在**選取目標**下,選擇 **SNS 主題**。
1. 針對**主題**,選擇您要發佈通知的 SNS 主題。本主題必須已存在。
1. 選擇**下一步**,然後再次選擇**下一步**,查看 以檢閱您的組態。
1. 當您對選項感到滿意時,請選擇**建立規則**。
1. 返回**規則**頁面,確保您的新規則標記為**已啟用**。如有必要,請選擇規則名稱旁的選項按鈕,然後選擇**啟用**。
只要啟用該規則,任何失敗 AWS RAM 的資源共享都會對您發佈主題的收件人產生 SNS 提醒。
您也可以嘗試從這些帳戶在 [Amazon EC2 主控台中檢視](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#identifying-shared-cr)共用容量保留,以確認共用容量保留可供您共用的帳戶存取。
# 使用 記錄 AWS RAM API 呼叫 AWS CloudTrail
AWS RAM 已與 服務整合 AWS CloudTrail,此服務提供使用者、角色或 AWS 服務在其中採取之動作的記錄 AWS RAM。CloudTrail 會將 AWS RAM 的所有 API 呼叫擷取為事件。擷取的呼叫包括來自 AWS RAM 主控台的呼叫,以及對 AWS RAM API 操作的程式碼呼叫。如果您建立線索,您可以將 CloudTrail 事件持續交付到您指定的 Amazon S3 儲存貯體,包括 的事件 AWS RAM。即使您未設定追蹤,依然可以透過 CloudTrail 主控台中的**事件歷史記錄**檢視最新事件。使用 CloudTrail 所收集的資訊來判斷提出的請求 AWS RAM、請求 IP 地址、請求者、提出請求的時間,以及其他詳細資訊。
如需有關 CloudTrail 的相關資訊,請參閱 [AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
## AWS RAM CloudTrail 中的資訊
當您建立帳戶 AWS 帳戶 時,您的 上會啟用 CloudTrail。當活動在 中發生時 AWS RAM,該活動會與**事件歷史記錄**中的其他 AWS 服務事件一起記錄在 CloudTrail 事件中。您可以在 中檢視、搜尋和下載最近的事件 AWS 帳戶。如需詳細資訊,請參閱《使用 CloudTrail 事件歷史記錄檢視事件》[https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
如需您 AWS 帳戶帳戶中正在進行事件的記錄 (包含 AWS RAM的事件),請建立追蹤。*線索*能讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。根據預設,當您在主控台中建立線索時,線索會套用至所有 AWS 區域。該追蹤會記錄來自 AWS 分割區中所有區域的事件,並將日誌檔案交付到您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊,請參閱下列內容:
+ [為您的 建立線索 AWS 帳戶](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [AWS 服務 與 CloudTrail 日誌的整合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [設定 CloudTrail 的 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [接收多個區域的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)及[接收多個帳戶的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
CloudTrail 會記錄所有 AWS RAM 動作,並記錄在 [AWS RAM API 參考](https://docs.aws.amazon.com/ram/latest/APIReference/)中。例如,對 `CreateResourceShare`、`AssociateResourceShare` 以及 `EnableSharingWithAwsOrganization` 動作發出的呼叫會在 CloudTrail 日誌檔案中產生項目。
每個事件或日誌項目都會包含可幫助您確定請求發出者的資訊。
+ AWS 帳戶 根憑證
+ 來自 AWS Identity and Access Management (IAM) 角色或聯合身分使用者的臨時安全登入資料。
+ IAM 使用者提供的長期安全憑證。
+ 另一項 AWS 服務。
如需詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 了解 AWS RAM 日誌檔案項目
追蹤是一種組態,能讓事件以日誌檔案的形式交付到您指定的 Amazon S3 儲存貯體。CloudTrail 日誌檔案包含一或多個日誌專案。一個事件為任何來源提出的單一請求,並包含請求動作、請求的日期和時間、請求參數等資訊。CloudTrail 日誌檔並非依公有 API 呼叫的堆疊追蹤排序,因此不會以任何特定順序出現。
以下範例顯示 `CreateResourceShare` 動作的 CloudTrail 日誌項目。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "NOPIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/admin",
"accountId": "111122223333",
"accessKeyId": "BCDIOSFODNN7EXAMPLE",
"userName": "admin"
},
"eventTime": "2018-11-03T04:23:19Z",
"eventSource": "ram.amazonaws.com",
"eventName": "CreateResourceShare",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.1.0",
"userAgent": "aws-cli/1.16.2 Python/2.7.10 Darwin/16.7.0 botocore/1.11.2",
"requestParameters": {
"name": "foo"
},
"responseElements": {
"resourceShare": {
"allowExternalPrincipals": true,
"name": "foo",
"owningAccountId": "111122223333",
"resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/EXAMPLE0-1234-abcd-1212-987656789098",
"status": "ACTIVE"
}
},
"requestID": "EXAMPLE0-abcd-1234-mnop-987654567876",
"eventID": "EXAMPLE0-1234-abcd-hijk-543234565434",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# 的合規驗證 AWS Resource Access Manager
若要了解 是否 AWS 服務 在特定合規計劃的範圍內,請參閱[AWS 服務 合規計劃範圍內](https://aws.amazon.com/compliance/services-in-scope/)然後選擇您感興趣的合規計劃。如需一般資訊,請參閱[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。
您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱[下載報告 in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)
您使用 時的合規責任 AWS 服務 取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。如需使用 時合規責任的詳細資訊 AWS 服務,請參閱 [AWS 安全文件](https://docs.aws.amazon.com/security/)。
# 中的彈性 AWS Resource Access Manager
AWS 全球基礎設施是以 AWS 區域 和 可用區域為基礎建置。 AWS 區域 提供多個實體分隔和隔離的可用區域,這些可用區域與低延遲、高輸送量和高備援聯網連接。透過可用區域,您所設計與操作的應用程式和資料庫,就能夠在可用區域之間自動容錯移轉,而不會發生中斷。可用區域的可用性、容錯能力和擴充能力,均較單一或多個資料中心的傳統基礎設施還高。
如需 AWS 區域 和可用區域的詳細資訊,請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# 中的基礎設施安全 AWS Resource Access Manager
作為受管服務, AWS Resource Access Manager 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務來設計您的 AWS 環境,請參閱*安全支柱 AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 發佈的 API 呼叫, AWS RAM 透過網路存取 。使用者端必須支援下列專案:
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
# AWS Resource Access Manager 使用界面端點存取 (AWS PrivateLink)
您可以使用 在 VPC 和 之間 AWS PrivateLink 建立私有連線 AWS Resource Access Manager。您可以 AWS RAM 像在 VPC 中一樣存取 ,無需使用網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取 AWS RAM。
您可以建立由 AWS PrivateLink提供支援的*介面端點*來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 AWS RAM之流量的進入點。
如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[透過 AWS PrivateLink存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)」。
## 的考量事項 AWS RAM
在您設定介面端點之前 AWS RAM,請檢閱《 *AWS PrivateLink 指南*》中的[考量事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。
AWS RAM 支援透過界面端點呼叫其所有 API 動作。
支援 VPC 端點政策 AWS RAM。根據預設, AWS RAM 允許透過介面端點完整存取 。
## 建立 的介面端點 AWS RAM
您可以使用 Amazon VPC AWS RAM 主控台或 AWS Command Line Interface () 建立 的介面端點AWS CLI。如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」。
AWS RAM 使用下列服務名稱建立 的介面端點:
```
com.amazonaws.region.ram
```
如果您為介面端點啟用私有 DNS,您可以使用 AWS RAM 其預設的區域 DNS 名稱向 提出 API 請求。例如 `ram.us-east-1.amazonaws.com`。
## 為您的介面端點建立端點政策
端點政策為 IAM 資源,您可將其連接至介面端點。預設端點政策允許 AWS RAM 透過介面端點完整存取 。若要控制允許 AWS RAM 從您的 VPC 存取 ,請將自訂端點政策連接至介面端點。
端點政策會指定以下資訊:
+ 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。
+ 可執行的動作。
+ 可供執行動作的資源。
如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[使用端點政策控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」。
**範例: AWS RAM 動作的 VPC 端點政策**
以下是自訂端點政策的範例。當您將此政策連接到介面端點時,它會授予所有資源上所有主體的所列 AWS RAM 動作的存取權。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"ram:CreateResourceShare"
],
"Resource": "*"
}
]
}
```
------