Funktionsweise von AWS RAM mit IAM - AWS Resource Access Manager
Richtlinienstruktur

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionsweise von AWS RAM mit IAM

IAM-Personen besitzen keine Berechtigungen zum Erstellen oder Ändern vonAWS RAM -Ressourcen. Um IAM-Mitarbeitern zu erlauben, Ressourcen zu erstellen oder zu ändern und Aufgaben durchzuführen, führen Sie einen folgenden Format. Diese Aktionen gewähren die Berechtigung zur Nutzung bestimmter Ressourcen und API-Aktionen gewähren.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

AWS RAMbietet mehrereAWS verwaltete Richtlinien, die Sie verwenden können, um den Bedürfnissen vieler Benutzer gerecht zu werden. Weitere Informationen dazu finden Sie unter AWS Von verwaltete Richtlinien für AWS RAM.

Wenn Sie eine genauere Kontrolle über die Berechtigungen benötigen, die Sie Ihren Benutzern gewähren, können Sie Ihre eigenen Richtlinien in der IAM-Konsole erstellen. Informationen zum Erstellen von Richtlinien und zum Anhängen dieser Richtlinien an Ihre IAM-Rollen und -Benutzer finden Sie im AWS Identity and Access ManagementBenutzerhandbuch unter Richtlinien und Berechtigungen in IAM.

Die folgenden Abschnitte enthalten dieAWS RAM spezifischen Details für die Erstellung einer IAM-Berechtigungsrichtlinie.

Richtlinienstruktur

Eine IAM-Berechtigungsrichtlinie ist ein JSON-Dokument, das die folgenden Anweisungen enthält: Effect, Action, Resource und Condition. Eine IAM-Richtlinie hat in folgenden Format.

{
    "Statement":[{
        "Effect":"<effect>",
        "Action":"<action>",
        "Resource":"<arn>",
        "Condition":{
            "<comparison-operator>":{
                "<key>":"<value>"
            }
        }
    }]
}

Auswirkung

Die Erklärung „Wirkung“ gibt an, ob die Richtlinie einem Principal die Erlaubnis zur Ausführung einer Aktion erlaubt oder verweigert. Zu den möglichen Werten gehören:Allow undDeny.

Action

Die Action-Anweisung gibt dieAWS RAM API-Aktionen an, für die die Richtlinie die Erlaubnis zulässt oder verweigert. Eine vollständige Liste der zulässigen Aktionen finden Sie unter Actions defined byAWS Resource Access Manager im IAM-Benutzerhandbuch.

Ressource

Die Ressourcenerklärung gibt dieAWS RAM Ressourcen an, die von der Richtlinie betroffen sind. Um eine Ressource in der Anweisung anzugeben, müssen Sie deren eindeutigen Amazon Resource Name (ARN) verwenden. Eine vollständige Liste der zulässigen Ressourcen finden Sie unter Resources defined byAWS Resource Access Manager im IAM-Benutzerhandbuch.

Bedingung

Zustandsangaben sind optional. Sie können verwendet werden, um die Bedingungen zu verfeinern, unter denen die Richtlinie angewendet wird. AWS RAMunterstützt folgende:::

  • aws:RequestTag/${TagKey}— Testet, ob die Serviceanfrage ein Tag enthält, wobei der angegebene Tag-Schlüssel existiert und den angegebenen Wert hat.

  • aws:ResourceTag/${TagKey}— Testet, ob der Ressource, auf die die Serviceanfrage reagiert hat, ein Tag mit einem Tag-Schlüssel angehängt ist, den Sie in der Richtlinie angeben.

    Die folgende Beispielbedingung überprüft, ob der Ressource, auf die in der Serviceanfrage verwiesen wird, ein Tag mit dem Schlüsselnamen „Owner“ und dem Wert „Dev Team“ angehängt ist.

    "Condition" : { 
    "StringEquals" : {
        "aws:ResourceTag/Owner" : "Dev Team" 
    } 
}

  • aws:TagKeys— Gibt die Tag-Format an, die zum Erstellen oder Markieren einer Ressourcenfreigabe verwendet werden müssen.

  • ram:AllowsExternalPrincipals— Testet, ob der Ressourcenanteil in der Serviceanfrage die gemeinsame Nutzung mit externen Prinzipalen ermöglicht. Ein externer Schulleiter ist einAWS-Konto Außenstehender Ihrer Organisation inAWS Organizations. Wenn dies zutrifftFalse, können Sie diesen Ressourcenanteil nur mit Konten in derselben Organisation teilen.

  • ram:PermissionArn— Testet, ob der in der Serviceanfrage angegebene Berechtigungs-ARN mit einer ARN-Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.

  • ram:PermissionResourceType— Testet, ob die in der Serviceanfrage angegebene Berechtigung für den Ressourcentyp gültig ist, den Sie in der Richtlinie angeben. Geben Sie Ressourcentypen in dem Format an, das in der Liste der gemeinsam nutzbaren Ressourcentypen angezeigt wird.

  • ram:Principal— Testet, ob der ARN des in der Serviceanfrage angegebenen Principals mit einer ARN-Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.

  • ram:RequestedAllowsExternalPrincipals— Testet, ob die Serviceanfrage denallowExternalPrincipals Parameter enthält und ob sein Argument mit dem Wert übereinstimmt, den Sie in der Richtlinie angeben.

  • ram:RequestedResourceType— Testet, ob der Ressourcentyp der Ressource, auf die reagiert wird, mit einer Ressourcentypzeichenfolge übereinstimmt, die Sie in der Richtlinie angeben. Geben Sie Ressourcentypen in dem Format an, das in der Liste der gemeinsam nutzbaren Ressourcentypen angezeigt wird.

  • ram:ResourceArn— Testet, ob der ARN der Ressource, auf die die Serviceanfrage reagiert, mit einem ARN übereinstimmt, den Sie in der Richtlinie angeben.

  • ram:ResourceShareName— Testet, ob der Name der Ressourcenfreigabe, auf die sich die Serviceanfrage bezieht, mit einer Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.

  • ram:ShareOwnerAccountId— Testet, ob die Konto-ID-Nummer der Ressourcenfreigabe, auf die die Serviceanfrage reagiert, mit einer Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.