AWS の 管理ポリシー AWS RAM - AWS Resource Access Manager
AWSResourceAccessManagerReadOnlyAccessAWSResourceAccessManagerFullAccessAWSResourceAccessManagerResourceShareParticipantAccessAWSResourceAccessManagerServiceRolePolicyポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS の 管理ポリシー AWS RAM

AWS Resource Access Manager は現在、このトピックで説明されているいくつかの AWS RAM 管理ポリシーを提供しています。

前のリストでは、最初の 3 つのポリシーを IAM ロール、グループ、およびユーザーにアタッチして、アクセス許可を付与できます。リスト内の最後のポリシーは、 AWS RAM サービスのサービスリンクロールです。

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が高くなります。

詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AWSResourceAccessManagerReadOnlyAccess

AWSResourceAccessManagerReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 AWS アカウントが所有するリソース共有について読み取り専用アクセス許可を提供します。

これは、Get* または List* オペレーションのいずれかを実行するアクセス許可を付与することによって実現されます。リソース共有を変更する機能は用意されていません。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ram - プリンシパルは、アカウントが所有するリソース共有に関する詳細を表示できるようになります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:Get*",
                "ram:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AWSResourceAccessManagerFullAccess

AWSResourceAccessManagerFullAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーでは、 AWS アカウントが所有するリソース共有を表示または変更できるフル管理アクセス権を提供します。

これは、あらゆる ram オペレーションを実行するアクセス許可を付与することで実現されます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ram - プリンシパルは、 AWS アカウントが所有するリソース共有に関する情報を表示または変更できるようになります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AWSResourceAccessManagerResourceShareParticipantAccess

AWSResourceAccessManagerResourceShareParticipantAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーにより、プリンシパルは、このポリシーと共有されているリソース共有を承諾または拒否したり AWS アカウント、これらのリソース共有の詳細を表示したりできます。これらのリソース共有を変更する機能は用意されていません。

これは、一部の ram オペレーションを実行するアクセス許可を付与することで実現されます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ram - プリンシパルは、リソース共有の招待を受け入れるか拒否でき、アカウントと共有されているリソース共有の詳細を表示できるようになります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareInvitations",
                "ram:GetResourceShares",
                "ram:ListPendingInvitationResources",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:RejectResourceShareInvitation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AWSResourceAccessManagerServiceRolePolicy

AWS 管理ポリシーAWSResourceAccessManagerServiceRolePolicyは、サービスにリンクされたロールでのみ使用できます AWS RAM。このポリシーをアタッチ、デタッチ、変更、または削除することはできません。

このポリシーは AWS RAM 、組織の構造への読み取り専用アクセスを に付与します。 AWS RAM と の統合を有効にすると AWS Organizations、 は AWSServiceRoleForResourceAccessManager という名前のサービスにリンクされたロール AWS RAM を自動的に作成します。このロールは、 AWS RAM コンソールで組織の構造を表示する場合など、組織とそのアカウントに関する情報を検索する必要があるときにサービスが引き受けます。

これは、組織の構造とアカウントの詳細を提供する organizations:Describeorganizations:List のオペレーションを実行するための読み取り専用アクセス許可を付与することによって実現されます。

アクセス許可の詳細

このポリシーには以下のアクセス許可が含まれています。

  • organizations - プリンシパルは、組織単位を含む組織構造に関する情報、およびそれらに含まれる AWS アカウント を表示できるようになります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
            ]
        }
    ]
}

AWS RAMAWS 管理ポリシーの更新

このサービスがこれらの変更の追跡を開始 AWS RAM してからの の AWS 管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、 AWS RAM ドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付

AWS Resource Access Manager が変更の追跡を開始しました

AWS RAM は既存の 管理ポリシーを文書化し、変更の追跡を開始しました。

 2021 年 9 月 16 日