Como o AWS RAM funciona com o IAM

Por padrão, as entidades principais do IAM não têm permissão para criar ou modificar AWS RAM recursos. Para permitir que as entidades principais do IAM criem ou alterem recursos e realizem tarefas, você deve realizar uma das etapas a seguir. Essas ações concedem permissão para usar recursos e ações de API específicos.

Para fornecer o acesso, adicione as permissões aos seus usuários, grupos ou perfis:

• Usuários e grupos no AWS IAM Identity Center:

  Crie um conjunto de permissões. Siga as instruções em Create a permission set (Criação de um conjunto de permissões) no Guia do usuário do AWS IAM Identity Center.

• Usuários gerenciados no IAM usando um provedor de identidades:

  Crie um perfil para a federação de identidades. Siga as instruções em Criar um perfil para um provedor de identidades de terceiros (federação) no Guia do usuário do IAM.

• Usuários do IAM:

  • Crie um perfil que seu usuário possa assumir. Siga as instruções em Creating a role for an IAM user (Criação de um perfil para um usuário do IAM) no Guia do usuário do IAM.

  • (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

AWS RAM fornece várias políticas AWS gerenciadas que você pode usar para atender às necessidades de muitos usuários. Para obter mais informações sobre essas ferramentas, consulte Políticas gerenciadas pela AWS para o AWS RAM.

Se precisar de um controle mais preciso sobre as permissões concedidas aos seus usuários, você pode criar suas próprias políticas no console do IAM. Para obter informações sobre como criar políticas e anexá-las às suas funções e usuários do IAM, consulte Políticas e permissões no IAM no AWS Identity and Access ManagementGuia do usuário.

As seções a seguir fornecem os detalhes AWS RAM específicos para criar uma política de permissão do IAM.

Sumário

• Estrutura da política
  • Efeito
  • Ação
  • Recurso
  • Condição

Estrutura da política

Uma política de permissão do IAM é um documento JSON que inclui as seguintes declarações: Efeito, Ação, Recurso e Condição. Uma política do IAM geralmente tem o seguinte formato.

{
    "Statement":[{
        "Effect":"<effect>",
        "Action":"<action>",
        "Resource":"<arn>",
        "Condition":{
            "<comparison-operator>":{
                "<key>":"<value>"
            }
        }
    }]
}

Efeito

A declaração Efeito indica se a política permite ou nega uma permissão de entidade principal para realizar uma ação. Os valores possíveis incluem Allow e Deny.

Ação

A declaração Ação especifica as ações da AWS RAM API para as quais a política está permitindo ou negando permissão. Para ver uma lista completa da ações permitidas, veja Ações definidas pela no Guia do usuário do IAM.

Recurso

A declaração de Recursos especifica os AWS RAM recursos que são afetados pela política. Para especificar um recurso na declaração, você precisa usar o Nome do Recurso da Amazon (ARN)). Para obter uma lista completa dos recursos permitidos, consulte Recursos definidos por AWS Resource Access Manager no Guia do usuário do IAM.

Condição

As declarações de Condição são opcionais. Eles podem ser usados para refinar ainda mais as condições sob as quais a política se aplica. AWS RAM oferece suporte às seguintes chaves de condição:

• aws:RequestTag/${TagKey} Testa se a solicitação de serviço inclui uma tag com a chave de tag especificada, existe e tem o valor especificado.

• aws:ResourceTag/${TagKey} Testa se o recurso acionado pela solicitação de serviço tem uma tag anexada com uma chave de tag especificada na política.

  O exemplo de condição a seguir verifica se o recurso referenciado na solicitação de serviço tem uma tag anexada com o nome da chave “Proprietário” e um valor de “Equipe de desenvolvimento”.

  "Condition" : { 
      "StringEquals" : {
          "aws:ResourceTag/Owner" : "Dev Team" 
      } 
  }

• aws:TagKeys - Especifica as chaves de tags que podem ser usadas ao criar ou marcar um compartilhamento de recursos.

• ram:AllowsExternalPrincipals Testa se o compartilhamento de recursos na solicitação de serviço permite o compartilhamento com entidades principais externas. Uma entidade principal externo é uma Conta da AWS pessoa externa à sua organização em AWS Organizations. Se for o caso False, você poderá compartilhar esse compartilhamento de recursos com contas somente na mesma organização.

• ram:PermissionArn Testa se o ARN da permissão especificado na solicitação de serviço corresponde a uma string de ARN especificada na política.

• ram:PermissionResourceType Ele testa se a permissão especificada na solicitação de serviço é válida para o tipo de recurso especificado na política. Especifique os tipos de recursos usando o formato mostrado na lista de tipos de recursos compartilháveis.

• ram:Principal Testa se o ARN da entidade principal especificado na solicitação de serviço corresponde a uma string de ARN especificada na política.

• ram:RequestedAllowsExternalPrincipals Testa se a solicitação de serviço inclui o allowExternalPrincipals parâmetro e se seu argumento corresponde ao valor especificado na política.

• ram:RequestedResourceType Testa se o tipo de recurso do recurso que está sendo usado corresponde a uma string de tipo de recurso que você especifica na política. Especifica os tipos de recursos usando o formato mostrado na lista de tipos de recursos compartilháveis.

• ram:ResourceArn Testa se o ARN do recurso que está sendo processado pela solicitação de serviço corresponde a um ARN especificado na política.

• ram:ResourceShareName Testa se o nome do compartilhamento de recursos que está sendo processado pela solicitação de serviço corresponde a uma string especificada na política.

• ram:ShareOwnerAccountId Testa se o número de ID da conta do compartilhamento de recursos que está sendo processado pela solicitação de serviço corresponde a uma string especificada na política.