Resource Explorer-Ansichten teilen - AWS Ressourcen Explorer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Resource Explorer-Ansichten teilen

Ansichten in verwenden AWS Ressourcen Explorer hauptsächlich ressourcenbasierte Richtlinien, um Zugriff zu gewähren. Ähnlich wie die Amazon S3 S3-Bucket-Richtlinien sind diese Richtlinien an die Ansicht angehängt und geben an, wer die Ansicht verwenden kann. Dies steht im Gegensatz zu AWS Identity and Access Management identitätsbasierten (IAM-) Richtlinien. Eine identitätsbasierte IAM-Richtlinie wird einer Rolle, Gruppe oder einem Benutzer zugewiesen und legt fest, auf welche Aktionen und Ressourcen diese Rolle, Gruppe oder dieser Benutzer zugreifen kann. Sie können beide Richtlinientypen mit Resource Explorer-Ansichten wie folgt verwenden:

  • Verwenden Sie innerhalb des Verwaltungskontos oder des delegierten Administratorkontos, dem die Ressource gehört, einen der beiden Richtlinientypen, um Zugriff zu gewähren, vorausgesetzt, dass keine andere Richtlinie diesem Prinzipal ausdrücklich den Zugriff auf die Ansicht verweigert.

  • Für alle Konten müssen Sie beide Richtlinientypen verwenden. Die ressourcenbasierte Richtlinie, die der Ansicht im Sharing-Konto beigefügt ist, aktiviert das Teilen mit einem anderen Nutzerkonto. Diese Richtlinie gewährt jedoch keinen Zugriff auf einzelne Benutzer oder Rollen im Nutzerkonto. Der Administrator des Benutzerkontos muss den gewünschten Rollen und Benutzern des Benutzerkontos außerdem eine identitätsbasierte Richtlinie zuweisen. Diese Richtlinie gewährt Zugriff auf den Amazon-Ressourcennamen (ARN) der Ansicht.

Um Ansichten mit anderen Konten zu teilen, müssen Sie AWS Resource Access Manager (AWS RAM) verwenden. AWS RAMkümmert sich für Sie um die Komplexität ressourcenbasierter Richtlinien. Bevor Sie Inhalte teilen können, müssen Sie die folgenden Schritte ausführen, um die Suche mit mehreren Konten zu aktivieren.

Um eine Ansicht teilen zu können, müssen Sie das Verwaltungskonto der Organisation oder ein delegierter Administrator sein. Sie geben die Konten oder Identitäten an, mit denen Sie die Ressource gemeinsam nutzen möchten. AWS RAMunterstützt Resource Explorer-Ansichten vollständig. AWS RAMverwendet Richtlinien, die den in den folgenden Abschnitten beschriebenen ähneln und auf den Typen der Prinzipale basieren, für die Sie die gemeinsame Nutzung auswählen. Anweisungen zur gemeinsamen Nutzung von Ressourcen finden Sie im AWS Resource Access ManagerBenutzerhandbuch unter AWSRessourcen teilen.

Administratoren und delegierte Administratoren können drei Arten von Ansichten erstellen und gemeinsam nutzen: Ansicht des Organisationsumfangs, Bereichsansichten der Organisationseinheit (OU) und Bereichsansichten auf Kontoebene. Sie können Daten mit Organisationen, Organisationseinheiten oder Konten teilen. Wenn Konten der Organisation beitreten oder sie verlassen, AWS RAM wird die geteilte Ansicht automatisch gewährt oder widerrufen.

Richtlinie für Berechtigungen, mit denen die Ansicht geteilt werden soll AWS-Konten

Die folgende Beispielrichtlinie zeigt, wie Sie den Prinzipalen eine Ansicht auf zwei verschiedene AWS-Konten Arten zur Verfügung stellen können:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "111122223333", "444455556666" ] }, "Action": [ "resource-explorer-2:Search", "resource-explorer-2:GetView", ], "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111", "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"}, "StringNotEquals": {"aws:PrincipalAccount": "123456789012"} } } ] }" }

Der Administrator für jedes der angegebenen Konten muss nun angeben, welche Rollen und Benutzer auf die Ansicht zugreifen können, indem er identitätsbasierte Berechtigungsrichtlinien an die Rollen, Gruppen und Benutzer anhängt. Die Administratoren der Konten 111122223333 oder 444455556666 können die folgende Beispielrichtlinie erstellen. Anschließend können sie die Richtlinie Rollen, Gruppen und Benutzern in diesen Konten zuweisen, denen erlaubt werden soll, mithilfe der Ansicht zu suchen, die vom ursprünglichen Konto aus geteilt wurde.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-explorer-2:Search", "resource-explorer-2:GetView", "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111" } ] }

Sie können diese identitätsbasierten IAM-Richtlinien als Teil einer ABAC-Sicherheitsstrategie (attribute-Based Access Control) verwenden. In diesem Paradigma stellen Sie sicher, dass alle Ihre Ressourcen und Identitäten markiert sind. Anschließend geben Sie in Ihren Richtlinien an, welche Tag-Schlüssel und Werte zwischen der Identität und der Ressource übereinstimmen müssen, damit der Zugriff zulässig ist. Informationen zum Taggen der Aufrufe in Ihrem Konto finden Sie unterHinzufügen von Markern zu Ansichten zu Ansichten hinzu. Weitere Informationen zur attributbasierten Zugriffskontrolle finden Sie unter Wozu dient ABAC? AWS und Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags, beide im IAM-Benutzerhandbuch.