Políticas administradas de AWS para AWS RAM - AWS Resource Access Manager
AWSResourceAccessManagerReadOnlyAccessAWSResourceAccessManagerFullAccessAWSResourceAccessManagerResourceShareParticipantAccessAWSResourceAccessManagerServiceRolePolicyActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas administradas de AWS para AWS RAM

En la actualidad, AWS Resource Access Manager proporciona varias políticas administradas de AWS RAM y que describiremos en este tema.

En la lista anterior, puede asociar las tres primeras políticas a sus roles, grupos y usuarios de IAM para conceder permisos. La última política de la lista está reservada para el rol vinculado al servicio de AWS RAM.

Una política administrada de AWS es una política independiente creada y administrada por AWS. Las políticas administradas de AWS se diseñan para proporcionar permisos para muchos casos de uso frecuentes, por lo que puede empezar a asignar permisos a usuarios, grupos y roles.

Tenga presente que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente para los casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en un política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Política administrada de AWS: AWSResourceAccessManagerReadOnlyAccess

Puede vincular la política AWSResourceAccessManagerReadOnlyAccess a sus identidades de IAM.

Esta política proporciona permisos de solo lectura a los recursos compartidos que son propiedad de su Cuenta de AWS.

Para hacerlo, concede permiso para ejecutar cualquiera de las operaciones Get* oList*. No permite modificar ningún recurso compartido.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • ram: permite a las entidades principales ver los detalles relativos a los recursos compartidos que son propiedad de la cuenta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:Get*",
                "ram:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Política administrada de AWS: AWSResourceAccessManagerFullAccess

Puede vincular la política AWSResourceAccessManagerFullAccess a sus identidades de IAM.

Esta política proporciona acceso administrativo completo para ver o modificar los recursos compartidos que son propiedad de su Cuenta de AWS.

Para ello, concede permiso para ejecutar cualquier operación de ram.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • ram: permite a las entidades principales ver o modificar cualquier información relativa a los recursos compartidos que son propiedad de la Cuenta de AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Política administrada de AWS: AWSResourceAccessManagerResourceShareParticipantAccess

Puede vincular la política AWSResourceAccessManagerResourceShareParticipantAccess a sus identidades de IAM.

Esta política proporciona a las entidades principales la capacidad de aceptar o rechazar los recursos compartidos con esta Cuenta de AWS, así como de ver los detalles relativos a estos recursos compartidos. No permite modificar esos recursos compartidos.

Para ello, concede permiso para ejecutar algunas operaciones de ram.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • ram: permite a las entidades principales aceptar o rechazar invitaciones a recursos compartidos y ver los detalles relativos a los recursos compartidos que se comparten con la cuenta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareInvitations",
                "ram:GetResourceShares",
                "ram:ListPendingInvitationResources",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:RejectResourceShareInvitation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Política administrada de AWS: AWSResourceAccessManagerServiceRolePolicy

La política administrada de AWS AWSResourceAccessManagerServiceRolePolicy solo se puede usar con el rol vinculado a servicio para AWS RAM. No puede vincular, desvincular, modificar ni eliminar esta política.

Esta política proporciona a AWS RAM acceso de solo lectura a la estructura de su organización. Al habilitar la integración entre AWS RAM y AWS Organizations, AWS RAM crea automáticamente un rol vinculado a servicio denominado AWSServiceRoleForResourceAccessManager que el servicio asume cuando necesita buscar información sobre su organización y sus cuentas; por ejemplo, al visualizar la estructura de la organización en la consola de AWS RAM.

Para ello, concede permisos de solo lectura para ejecutar las operaciones organizations:Describe y organizations:List que proporcionan los detalles de la estructura y las cuentas de la organización.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • organizations: permite a las entidades principales ver información sobre la estructura de la organización, incluidas las unidades organizativas, y las Cuentas de AWS que contienen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
            ]
        }
    ]
}

Actualizaciones de AWS RAM en las políticas administradas de AWS

Consulte los detalles relativos a las actualizaciones de las políticas administradas de AWS para AWS RAM desde que este servicio empezara a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos AWS RAM.

Cambio Descripción Fecha

AWS Resource Access Manager comenzó a hacer el seguimiento de los cambios

AWS RAM documentó sus políticas administradas existentes y comenzó a hacer un seguimiento de los cambios.

 16 de septiembre de 2021