Politiques AWS gérées pour AWS RAM - AWS Resource Access Manager
AWSResourceAccessManagerReadOnlyAccessAWSResourceAccessManagerFullAccessAWSResourceAccessManagerResourceShareParticipantAccessAWSResourceAccessManagerServiceRolePolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques AWS gérées pour AWS RAM

AWS Resource Access Managerfournit actuellement plusieursAWS RAMles politiques gérées, qui sont décrites dans cette rubrique.

Dans la liste précédente, vous pouvez associer les trois premières politiques à vos rôles, groupes et utilisateurs IAM pour accorder des autorisations. La dernière politique de la liste est réservée auAWS RAMle rôle lié au service du service.

Une politique gérée par AWS est une politique autonome créée et administrée par AWS. Les politiques gérées par AWS sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

Gardez à l'esprit que les politiques gérées par AWS peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont disponibles pour tous les clients AWS. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d'utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les stratégies gérées par AWS. Si AWS met à jour les autorisations définies dans une politique gérée par AWS, la mise à jour affecte toutes les identités de principal (utilisateurs, groupes et rôles) auxquelles la politique est associée. AWS est plus susceptible de mettre à jour une politique gérée par AWS lorsqu'un nouveau Service AWS est lancé ou que de nouvelles opérations API deviennent accessibles pour les services existants.

Pour plus d'informations, consultez la rubrique Politiques gérées par AWS dans le Guide de l'utilisateur IAM.

AWS Politique gérée par: AWSResourceAccessManagerReadOnlyAccess

Vous pouvez attacher la politique AWSResourceAccessManagerReadOnlyAccess à vos identités IAM.

Cette politique fournit des autorisations en lecture seule pour les partages de ressources détenus par votreCompte AWS.

Pour ce faire, il autorise l'exécution de l'un desGet*ouList*opérations. Il ne permet pas de modifier un partage de ressources.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes.

  • ram— Permet aux administrateurs de consulter les détails des partages de ressources détenus par le compte.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:Get*",
                "ram:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS Politique gérée par: AWSResourceAccessManagerFullAccess

Vous pouvez attacher la politique AWSResourceAccessManagerFullAccess à vos identités IAM.

Cette politique fournit un accès administratif complet pour afficher ou modifier les partages de ressources détenus par votreCompte AWS.

Pour ce faire, il autorise l'exécution de n'importe quelramopérations.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes.

  • ram— Permet aux directeurs d'afficher ou de modifier toute information concernant les partages de ressources détenus parCompte AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS Politique gérée par: AWSResourceAccessManagerResourceShareParticipantAccess

Vous pouvez attacher la politique AWSResourceAccessManagerResourceShareParticipantAccess à vos identités IAM.

Cette politique permet aux directeurs d'accepter ou de rejeter les partages de ressources qui sont partagés avec ceCompte AWS, et pour consulter les détails de ces partages de ressources. Il ne permet pas de modifier ces partages de ressources.

Il le fait en accordant l'autorisation d'exécuter certainsramopérations.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes.

  • ram— Permet aux administrateurs d'accepter ou de rejeter les invitations au partage de ressources et de consulter les détails des partages de ressources partagés avec le compte.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareInvitations",
                "ram:GetResourceShares",
                "ram:ListPendingInvitationResources",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:RejectResourceShareInvitation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS Politique gérée par: AWSResourceAccessManagerServiceRolePolicy

LeAWSpolitique géréeAWSResourceAccessManagerServiceRolePolicyne peut être utilisé qu'avec le rôle lié au service pourAWS RAM. Vous ne pouvez pas joindre, détacher, modifier ou supprimer cette politique.

Cette politique fournitAWS RAMavec un accès en lecture seule à la structure de votre organisation. Lorsque vous activez l'intégration entreAWS RAMetAWS Organizations,AWS RAMcrée automatiquement un rôle lié à un service nomméAWSServiceRoleForResourceAccessManagerque le service suppose lorsqu'il a besoin de rechercher des informations concernant votre organisation et ses comptes, par exemple lorsque vous consultez la structure de l'organisation dansAWS RAMconsole.

Pour ce faire, il accorde l'autorisation en lecture seule d'exécuterorganizations:Describeetorganizations:Listopérations qui fournissent des détails sur la structure et les comptes de l'organisation.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes.

  • organizations— Permet aux directeurs de consulter des informations sur la structure de l'organisation, y compris les unités organisationnelles etComptes AWSils contiennent.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
            ]
        }
    ]
}

Mises à jour AWS RAM vers des politiques gérées par AWS

Consultez le détail des mises à jour des politiques gérées par AWS pour AWS RAM depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du document AWS RAM.

Modification Description Date

AWS Resource Access Manager a démarré le suivi des modifications

AWS RAMa documenté ses politiques gérées existantes et a commencé à suivre les modifications.

 16 septembre 2021