翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS の AWS RAM 管理ポリシー
現時点で AWS Resource Access Manager は、このトピックで説明する AWS RAM マネージドポリシーを提供しています。
AWS マネージドポリシー
前のリストでは、最初の 3 つのポリシーを IAM ロール、グループ、およびユーザーにアタッチして、アクセス許可を付与できます。リスト内の最後のポリシーは、AWS RAM サービスのサービスリンクロールです。
AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供できるように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。AWS のすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマー管理ポリシーを定義することで、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービスを起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。
AWS マネージドポリシー: AWSResourceAccessManagerReadOnlyAccess
AWSResourceAccessManagerReadOnlyAccess
ポリシーは IAM ID にアタッチできます。
このポリシーは、AWS アカウント が所有するリソース共有について読み取り専用アクセス許可を提供します。
これは、Get*
または List*
オペレーションのいずれかを実行するアクセス許可を付与することによって実現されます。リソース共有を変更する機能は用意されていません。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
ram
- プリンシパルは、アカウントが所有するリソース共有に関する詳細を表示できるようになります。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ram:Get*", "ram:List*" ], "Effect": "Allow", "Resource": "*" } ] }
AWS マネージドポリシー: AWSResourceAccessManagerFullAccess
AWSResourceAccessManagerFullAccess
ポリシーは IAM ID にアタッチできます。
このポリシーでは、AWS アカウント が所有するリソース共有を表示または変更できるフル管理アクセス権を提供します。
これは、あらゆる ram
オペレーションを実行するアクセス許可を付与することで実現されます。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
ram
- プリンシパルは、AWS アカウント が所有するリソース共有に関する情報を表示または変更できるようになります。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ram:*" ], "Effect": "Allow", "Resource": "*" } ] }
AWS マネージドポリシー: AWSResourceAccessManagerResourceShareParticipantAccess
AWSResourceAccessManagerResourceShareParticipantAccess
ポリシーは IAM ID にアタッチできます。
このポリシーは、プリンシパルに、この AWS アカウント と共有されるリソース共有の承諾または拒否、およびそれらのリソース共有に関する詳細を表示する能力を提供します。これらのリソース共有を変更する機能は用意されていません。
これは、一部の ram
オペレーションを実行するアクセス許可を付与することで実現されます。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
ram
- プリンシパルは、リソース共有の招待を受け入れるか拒否でき、アカウントと共有されているリソース共有の詳細を表示できるようになります。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ram:AcceptResourceShareInvitation", "ram:GetResourcePolicies", "ram:GetResourceShareInvitations", "ram:GetResourceShares", "ram:ListPendingInvitationResources", "ram:ListPrincipals", "ram:ListResources", "ram:RejectResourceShareInvitation" ], "Effect": "Allow", "Resource": "*" } ] }
AWS マネージドポリシー: AWSResourceAccessManagerServiceRolePolicy
AWS マネージドポリシー AWSResourceAccessManagerServiceRolePolicy
は、AWS RAM のサービスリンクロールでのみ使用できます。このポリシーをアタッチ、デタッチ、変更、または削除することはできません。
このポリシーは、組織構造への読み取り専用アクセス権を持つ AWS RAM を提供します。AWS RAM と AWS Organizations の統合を有効にすると、AWS RAM は AWSServiceRoleForResourceAccessManager
これは、組織の構造とアカウントの詳細を提供する organizations:Describe
と organizations:List
のオペレーションを実行するための読み取り専用アクセス許可を付与することによって実現されます。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
organizations
- プリンシパルは、組織単位を含む組織構造に関する情報、およびそれらに含まれる AWS アカウント を表示できるようになります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots" ], "Resource": "*" }, { "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager", "Effect": "Allow", "Action": [ "iam:DeleteRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*" ] } ] }
AWS マネージドポリシーの AWS RAM 更新
このサービスがこれらの変更の追跡を開始してからの、AWS の AWS RAM マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、AWS RAM [Document history] (ドキュメントの履歴) ページの RSS フィードをサブスクライブしてください。
変更 | 説明 | 日付 |
---|---|---|
AWS Resource Access Manager は変更の追跡を開始しました |
AWS RAM では、既存のマネージドポリシーに関するドキュメントを用意し、変更の追跡を開始しました。 |
2021 年 9 月 16 日 |