Vom Kunden verwaltete Berechtigungen erstellen und verwenden inAWS RAM - AWS Resource Access Manager
Eine vom Kunden verwaltete Berechtigung erstellenErstellen Erstellen Sie eine vom Kunden verwalteten Richtlinie, d. h. es werden keine Kunden verwalteten RichtlinieWählen Sie eine andere Version als Standard für eine vom Kunden verwaltete BerechtigungEine vom Kunden verwaltete Berechtigungsversion löschenEine vom Kunden verwaltete Berechtigung löschen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vom Kunden verwaltete Berechtigungen erstellen und verwenden inAWS RAM

AWS Resource Access Manager(AWS RAM) stellt mindestens eineAWS verwaltete Berechtigung für jeden Ressourcentyp bereit, den Sie teilen können. Diese verwalteten Berechtigungen bieten jedoch möglicherweise nicht die geringsten Zugriffsrechte für Ihren Anwendungsfall zum Teilen. Wenn eine der bereitgestelltenAWS verwalteten Berechtigungen nicht funktioniert, können Sie Ihre eigene vom Kunden verwaltete Berechtigung erstellen.

Kundenverwaltete Berechtigungen sind verwaltete Berechtigungen, die Sie erstellen und verwalten, indem Sie genau angeben, welche Aktionen unter welchen Bedingungen mit gemeinsam genutzten Ressourcen ausgeführt werden könnenAWS RAM. Sie möchten beispielsweise den Lesezugriff für Ihre Amazon VPC IP Address Manager (IPAM) -Pools einschränken, die Ihnen helfen, Ihre IP-Adressen in großem Umfang zu verwalten. Sie können vom Kunden verwaltete Berechtigungen für Ihre Entwickler erstellen, um IP-Adressen zuzuweisen, aber nicht den IP-Adressbereich einsehen, den andere Entwicklerkonten zugewiesen haben. Sie können das bewährte Verfahren anwenden, d. h. es werden nur die Berechtigungen erteilt, die zum Durchführen von Aufgaben auf gemeinsam genutzten Ressourcen erforderlich sind.

Darüber hinaus können Sie die vom Kunden verwalteten Berechtigungen nach Bedarf aktualisieren oder löschen.

Eine vom Kunden verwaltete Berechtigung erstellen

Vom Kunden verwaltete Berechtigungen sind spezifisch für einAWS-Region. Stellen Sie sicher, dass Sie diese vom Kunden verwaltete Berechtigung in der entsprechenden Region erstellen.

Console
So erstellen Sie eine vom verwalteten Richtlinie für Kunden verwalteten Richtlinie

  1. Führen Sie eine der folgenden Aktionen aus:

  2. Geben Sie für Details zur vom Kunden verwalteten Berechtigung einen Namen für die vom Kunden verwaltete Berechtigung ein.

  3. Wählen Sie den Ressourcentyp aus, für den diese verwaltete Berechtigung gilt.

  4. Für die Richtlinienvorlage definieren Sie, welche Operationen für diesen Ressourcentyp ausgeführt werden dürfen.

    • Sie können Verwaltete Berechtigung importieren wählen, um Aktionen aus einer vorhandenen verwalteten Berechtigung zu verwenden.

    • Aktivieren oder deaktivieren Sie Informationen zur Zugriffsebene, um Ihre Anforderungen im visuellen Editor zu erfüllen.

    • Fügen Sie Bedingungen mit dem JSON-Editor hinzu oder ändern Sie sie.

  5. (Optional) Um der verwalteten Berechtigung Stichwörter zuzuordnen, geben Sie für Tags einen Tag-Schlüssel und einen Wert ein. Füge weitere Tags hinzu, indem du Neues Tag hinzufügen wählst. Wiederholen Sie diesen Schritt nach Bedarf.

  6. Wählen Sie danach Create Kundenverwalteten Richtlinie aus.

AWS CLI
So erstellen Sie eine vom verwalteten Richtlinie für Kunden verwalteten Richtlinie

  • Führen Sie den Befehl create-permission aus und geben Sie einen Namen, den Ressourcentyp, für den die vom Kunden verwaltete Berechtigung gilt, und den Text der Richtlinienvorlage an.

    Der folgende Beispielbefehl erstellt eine verwaltete Berechtigung für denimagebuilder:Component Ressourcentyp. 

    $ aws ram create-permission \
    --name TestCMP \
    --resource-type imagebuilder:Component \
    --policy-template "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}"
{
    "permission": {
        "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
        "version": "1",
        "defaultVersion": true,
        "isResourceTypeDefault": false,
        "name": "TestCMP",
        "resourceType": "imagebuilder:Component",
        "status": "ATTACHABLE",
        "creationTime": 1680033769.401,
        "lastUpdatedTime": 1680033769.401
    }
}

Erstellen Erstellen Sie eine vom Kunden verwalteten Richtlinie, d. h. es werden keine Kunden verwalteten Richtlinie

Wenn sich der Anwendungsfall für Ihre vom Kunden verwaltete Berechtigung ändert, können Sie eine neue Version der verwalteten Berechtigung erstellen. Dies wirkt sich nicht auf Ihre vorhandenen Ressourcenanteile aus, sondern nur auf die zukünftigen Ressourcenfreigaben, für die diese vom Kunden verwaltete Berechtigung verwendet wird.

Jede verwaltete Berechtigung kann bis zu fünf Versionen haben, aber Sie können nur die Standardversion zuordnen.

Console
So erstellen Sie eine vom verwalteten Richtlinie, sodass Sie eine vom Kunden verwalteten Richtlinie für das Erteilen

  1. Navigieren Sie zur Bibliothek für verwaltete Berechtigungen.

  2. Filtern Sie die Liste der verwalteten Berechtigungen nach Vom Kunden verwaltet, oder suchen Sie nach dem Namen der vom Kunden verwalteten Berechtigung, die Sie ändern möchten.

  3. Wählen Sie auf der Seite mit den Details zu verwalteten Berechtigungen im Abschnitt Versionen verwalteter Berechtigungen die Option Version erstellen aus.

  4. Für die Richtlinienvorlage können Sie Aktionen und Bedingungen mit dem visuellen Editor oder JSON-Editor hinzufügen oder entfernen.

    Sie haben auch die Möglichkeit, verwaltete Berechtigung importieren zu wählen, um eine vorhandene Richtlinienvorlage zu verwenden.

  5. Wählen Sie danach Create Version unten auf der Seite aus.

AWS CLI
So erstellen Sie eine vom verwalteten Richtlinie, sodass Sie eine vom Kunden verwalteten Richtlinie für das Erteilen

  1. Suchen Sie den Amazon-Ressourcenname (ARN) der verwalteten Richtlinie, für die Sie eine neue Version erstellen möchten. Rufen Sie dazu list-permissions mit dem--permission-type CUSTOMER_MANAGED Parameter auf, um nur vom Kunden verwaltete Berechtigungen einzubeziehen.

    $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. Nachdem Sie den ARN haben, können Sie den create-permission-versionVorgang aufrufen und die aktualisierte Richtlinienvorlage bereitstellen.

    $ aws ram create-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --policy-template {"Effect":"Allow","Action":["imagebuilder:ListComponents"]}
{
    "permission": {
        "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
        "version": "2",
        "defaultVersion": true,
        "isResourceTypeDefault": false,
        "name": "TestCMP",
        "status": "ATTACHABLE",
        "resourceType": "imagebuilder:Component",
        "permission": "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}",
        "creationTime": 1680038973.79,
        "lastUpdatedTime": 1680038973.79
    }
}

    Die Ausgabe enthält die Versionsnummer der neuen Version.

Wählen Sie eine andere Version als Standard für eine vom Kunden verwaltete Berechtigung

Sie können eine andere vom Kunden verwaltete Berechtigungsversion als neue Standardversion festlegen.

Console
Um eine neue Standardversion für eine vom Kunden verwaltete Berechtigung festzulegen

  1. Navigieren Sie zur Bibliothek für verwaltete Berechtigungen.

  2. Filtern Sie die Liste der verwalteten Berechtigungen nach Vom Kunden verwaltet, oder suchen Sie nach dem Namen der vom Kunden verwalteten Berechtigung, die Sie ändern möchten.

  3. Verwenden Sie auf der Seite mit den Details der vom Kunden verwalteten Berechtigungen im Abschnitt Versionen verwalteter Berechtigungen die Dropdownliste, um die Version auszuwählen, die Sie als neue Standardversion festlegen möchten.

  4. Wählen Sie Als Standardversion festlegen.

  5. Wenn das Dialogfeld angezeigt wird, bestätigen Sie, dass diese Version die Standardversion für alle neuen Ressourcenfreigaben sein soll, die diese vom Kunden verwaltete Berechtigung verwenden. Wenn Sie damit einverstanden sind, wählen Sie Als Standardversion festlegen.

AWS CLI
Um eine neue Standardversion für eine vom Kunden verwaltete Berechtigung festzulegen

  1. Suchen Sie die Versionsnummer, die Sie als Standardversion festlegen möchten, indem Sie anrufen list-permission-versions.

    Der folgende Beispielbefehl ruft die aktuellen Versionen für die angegebene verwalteten Berechtigung ab.

    $ aws ram list-permission-versions \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "1",
            "defaultVersion": false,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "featureSet": "STANDARD",
            "resourceType": "imagebuilder:Component",
            "status": "UNATTACHABLE",
            "creationTime": 1680033769.401,
            "lastUpdatedTime": 1680035597.345
        },
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "featureSet": "STANDARD",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. Nachdem Sie die Versionsnummer als Standard festgelegt haben, können Sie den set-default-permission-versionVorgang aufrufen.

    $ aws ram-cmp set-default-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --version 2

    Wenn dieser Befehl erfolgreich ausgeführt wird, wird keine Ausgabe zurückgegeben. Sie können den list-permission-versionsVorgang erneut ausführen und überprüfen, ob dasdefaultVersion Feld der ausgewählten Version jetzt auf gesetzt isttrue.

Eine vom Kunden verwaltete Berechtigungsversion löschen

Sie können bis zu fünf Versionen jeder Kunden verwalteten Richtlinie für das Erteilen von Kunden verwalteten Richtlinie. Wenn eine Version nicht mehr benötigt wird, können Sie sie löschen. Die Standardversion einer vom Kunden verwalteten Richtlinie, d. h. es kann nicht gelöscht werden. Gelöschte Versionen bleiben bis zu zwei Stunden mit dem Status „Gelöscht“ in der Konsole sichtbar, bevor sie vollständig entfernt werden.

Console

So löschen Sie eine vom Kunden verwaltete Berechtigungsversion

  1. Navigieren Sie zur Bibliothek für verwaltete Berechtigungen.

  2. Filtern Sie die Liste der verwalteten Berechtigungen nach Vom Kunden verwaltet, oder suchen Sie nach dem Namen der vom Kunden verwalteten Berechtigung mit der Version, die Sie löschen möchten.

  3. Vergewissern Sie sich, dass Sie löschen möchten, dass Sie löschen möchten, indem Sie die Standardversion, die Sie löschen möchten, indem Sie OK auswählen.

  4. Wählen Sie im Abschnitt Versionen der Seite die Registerkarte Verknüpfte Ressourcenfreigaben aus, um zu sehen, ob Shares diese Version verwenden.

    Wenn Freigaben zugeordnet sind, müssen Sie die Version der vom Kunden verwalteten Berechtigungen ändern, bevor Sie diese Version löschen können.

  5. Wählen Sie auf der rechten Seite des Abschnitts Version die Option Version löschen.

  6. Bestätigen Sie im Bestätigungsdialogfeld, dass Sie diese Version Ihrer Kunden verwalteten Richtlinie (Kunden verwalteten Richtlinie, d. h. es werden keine Kunden verwalteten Richtlinie, d. h. es werden Kunden verwalteten Richtlinie für Kunden verwalteten Richtlinie

    Wählen Sie Stornieren, wenn Sie diese Version Ihrer vom Kunden verwalteten Berechtigung nicht löschen möchten.

AWS CLI
So löschen Sie eine vom verwalteten Richtlinie, d. h. es werden keine vom Kunden verwalteten Richtlinie

  1. Rufen Sie den list-permission-versionsVorgang auf, um die verfügbaren Versionsnummern abzurufen.

  2. Nachdem Sie die Versionsnummer erhalten haben, geben Sie sie als Parameter für an delete-permission-version.

    $ aws ram-cmp delete-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --version 1

    Wenn dieser Befehl erfolgreich ausgeführt wird, wird keine Ausgabe zurückgegeben. Sie können list-permission-versionses erneut ausführen und überprüfen, ob die Version nicht mehr in der Ausgabe enthalten ist.

Eine vom Kunden verwaltete Berechtigung löschen

Wenn eine vom Kunden verwaltete Berechtigung nicht mehr benötigt wird und nicht verwendet wird, können Sie sie löschen. Sie können keine vom verwalteten Richtlinie, die mit einer vom Kunden verwalteten Richtlinie, die mit einer vom Kunden verwalteten Richtlinie für das Erteilen von Ressourcen verwalteten Die gelöschte, vom Kunden verwaltete Berechtigung verschwindet nach zwei Stunden. Bis dahin bleibt es in der Bibliothek für verwaltete Berechtigungen mit dem Status „Gelöscht“ sichtbar.

Console

Um eine vom Kunden verwaltete Berechtigung zu löschen

  1. Navigieren Sie zur Bibliothek für verwaltete Berechtigungen.

  2. Filtern Sie die Liste der verwalteten Berechtigungen nach Vom Kunden verwaltet, oder suchen Sie nach dem Namen der vom Kunden verwalteten Berechtigung, die Sie löschen möchten.

  3. Vergewissern Sie sich, dass 0 verknüpfte Freigaben aus der Liste der verwalteten Berechtigungen vorhanden sind, bevor Sie die vom Kunden verwaltete Berechtigung auswählen.

    Wenn der verwalteten Berechtigung noch Ressourcenfreigaben zugeordnet sind, müssen Sie allen Ressourcenfreigaben eine weitere verwaltete Berechtigung zuweisen, bevor Sie fortfahren können.

  4. Wählen Sie oben rechts auf der Seite „Vom Kunden verwalteten Richtlinie“ verwalteten Richtlinie aus.

  5. Wenn das Bestätigungsdialogfeld angezeigt wird, wählen Sie Löschen, um die verwaltete Berechtigung zu löschen.

AWS CLI
Um eine vom Kunden verwaltete Berechtigung zu löschen

  1. Finden Sie den ARN der verwalteten Berechtigung, die Sie löschen möchten, indem Sie list-permissions mit dem--permission-type CUSTOMER_MANAGED Parameter aufrufen, um nur vom Kunden verwaltete Berechtigungen einzubeziehen.

    $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. Nachdem Sie den ARN der verwalteten Berechtigung zum Löschen erhalten haben, geben Sie ihn als Parameter für die Löschberechtigung an.

    $ aws ram delete-permission \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
    "returnValue": true,
    "permissionStatus": "DELETING"
}