AWSResourceAccessManagerReadOnlyAccess AWSResourceAccessManagerFullAccess AWSResourceAccessManagerResourceShareParticipantAccess AWSResourceAccessManagerServiceRolePolicy Pembaruan kebijakan

Kebijakan terkelola AWS untuk AWS RAM

AWS Resource Access Managersaat ini menyediakan beberapaAWS RAMkebijakan terkelola, yang dijelaskan dalam topik ini.

Kebijakan yang dikelola AWS

AWSResourceAccessManagerReadOnlyAccess
AWSResourceAccessManagerFullAccess
AWSResourceAccessManagerResourceShareParticipantAccess
AWSResourceAccessManagerServiceRolePolicy
Pembaruan kebijakan

Dalam daftar sebelumnya, Anda dapat melampirkan tiga kebijakan pertama ke peran IAM, grup, dan pengguna untuk memberikan izin. Kebijakan terakhir dalam daftar dicadangkan untukAWS RAMperan layanan terkait.

SebuahAWSkebijakan terkelola adalah kebijakan mandiri yang dibuat dan dikelola olehAWS.AWSkebijakan terkelola dirancang untuk memberikan izin untuk banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwaAWSkebijakan terkelola mungkin tidak memberikan izin paling sedikit hak istimewa untuk kasus penggunaan spesifik Anda karena tersedia untuk semuaAWSpelanggan untuk digunakan. Kami menyarankan Anda mengurangi izin lebih lanjut dengan mendefinisikankebijakan yang dikelola pelangganyang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalamAWSkebijakan yang dikelola. JikaAWSmemperbarui izin yang didefinisikan dalamAWSkebijakan terkelola, pembaruan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan.AWSkemungkinan besar akan memperbaruiAWSkebijakan terkelola saat baruLayanan AWSdiluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

Kebijakan terkelola AWS: AWSResourceAccessManagerReadOnlyAccess

Anda dapat melampirkan kebijakan AWSResourceAccessManagerReadOnlyAccess ke identitas-identitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca untuk berbagi sumber daya yang dimiliki oleh AndaAkun AWS.

Hal ini dilakukan dengan memberikan izin untuk menjalankan salah satuGet*atauList*operasi. Ini tidak memberikan kemampuan apa pun untuk memodifikasi pangsa sumber daya apa pun.

Detail izin

Kebijakan ini mencakup izin berikut.

ram- Memungkinkan prinsipal untuk melihat rincian tentang saham sumber daya yang dimiliki oleh akun.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:Get*",
                "ram:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Kebijakan terkelola AWS: AWSResourceAccessManagerFullAccess

Anda dapat melampirkan kebijakan AWSResourceAccessManagerFullAccess ke identitas-identitas IAM Anda.

Kebijakan ini menyediakan akses administratif penuh untuk melihat atau memodifikasi saham sumber daya yang dimiliki oleh AndaAkun AWS.

Hal ini dilakukan dengan memberikan izin untuk menjalankanramoperasi.

Detail izin

Kebijakan ini mencakup izin berikut.

ram- Memungkinkan prinsipal untuk melihat atau memodifikasi informasi tentang saham sumber daya yang dimiliki olehAkun AWS.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Kebijakan terkelola AWS: AWSResourceAccessManagerResourceShareParticipantAccess

Anda dapat melampirkan kebijakan AWSResourceAccessManagerResourceShareParticipantAccess ke identitas-identitas IAM Anda.

Kebijakan ini memberikan prinsip-prinsip kemampuan untuk menerima atau menolak saham sumber daya yang dibagikan dengan iniAkun AWS, dan untuk melihat rincian tentang saham sumber daya ini. Itu tidak memberikan kemampuan apa pun untuk memodifikasi saham sumber daya tersebut.

Hal ini dilakukan dengan memberikan izin untuk menjalankan beberaparamoperasi.

Detail izin

Kebijakan ini mencakup izin berikut.

ram- Memungkinkan prinsipal untuk menerima atau menolak undangan berbagi sumber daya dan untuk melihat rincian tentang saham sumber daya yang dibagikan dengan akun.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareInvitations",
                "ram:GetResourceShares",
                "ram:ListPendingInvitationResources",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:RejectResourceShareInvitation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Kebijakan terkelola AWS: AWSResourceAccessManagerServiceRolePolicy

YangAWSkebijakan terkelolaAWSResourceAccessManagerServiceRolePolicyhanya dapat digunakan dengan peran terkait layanan untukAWS RAM. Anda tidak dapat melampirkan, melepaskan, memodifikasi, atau menghapus kebijakan ini.

Kebijakan ini menyediakanAWS RAMdengan akses hanya-baca ke struktur organisasi Anda. Ketika Anda mengaktifkan integrasi antaraAWS RAMdanAWS Organizations,AWS RAMsecara otomatis membuat peran terkait layanan bernamaAWSServiceRoleForResourceAccessManagerbahwa layanan mengasumsikan ketika perlu mencari informasi tentang organisasi Anda dan akunnya, misalnya, ketika Anda melihat struktur organisasi diAWS RAMkonsol.

Hal ini dilakukan dengan memberikan izin read-only untuk menjalankanorganizations:Describedanorganizations:Listoperasi yang memberikan rincian struktur dan akun organisasi.

Detail izin

Kebijakan ini mencakup izin berikut.

organizations- Memungkinkan prinsipal untuk melihat informasi tentang struktur organisasi, termasuk unit organisasi, danAkun AWSmereka mengandung.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
            ]
        }
    ]
}

AWS RAM memperbarui pada kebijakan terkelola AWS

Lihat detail tentang pembaruan terhadap kebijakan terkelola AWS untuk AWS RAM sejak layanan ini mulai melacak perubahan-perubahan tersebut. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat dokumen AWS RAM.

Perubahan	Deskripsi	Tanggal
AWS Resource Access Manager mulai melacak perubahan	AWS RAMmendokumentasikan kebijakan terkelola yang ada dan mulai melacak perubahan.	September 16, 2021

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Bagaimana AWS RAM bekerja dengan IAM

Menggunakan Peran Tertaut Layanan