AWS 的 受管政策 AWS RAM

AWS Resource Access Manager 目前提供數個 AWS RAM 受管政策，如本主題所述。

在上述清單中，您可以將前三個政策連接至您的 IAM 角色、群組和使用者，以授予許可。清單中的最後一個政策會保留給 AWS RAM 服務的 服務連結角色。

AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有主體身分 （使用者、群組和角色）。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱《IAM 使用者指南》中的 AWS 受管政策。

AWS 受管政策：AWSResourceAccessManagerReadOnlyAccess

您可將 AWSResourceAccessManagerReadOnlyAccess 政策連接到 IAM 身分。

此政策為 擁有的資源共用提供唯讀許可 AWS 帳戶。

它透過授予執行任何 Get*或 List*操作的許可來執行此操作。它不提供修改任何資源共用的任何功能。

許可詳細資訊

此政策包含以下許可。

• ram – 允許主體檢視帳戶所擁有資源共享的詳細資訊。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:Get*",
                "ram:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 受管政策：AWSResourceAccessManagerFullAccess

您可將 AWSResourceAccessManagerFullAccess 政策連接到 IAM 身分。

此政策提供完整的管理存取權，以檢視或修改您擁有的資源共用 AWS 帳戶。

它透過授予執行任何ram操作的許可來執行此操作。

許可詳細資訊

此政策包含以下許可。

• ram – 允許主體檢視或修改有關 所擁有資源共用的任何資訊 AWS 帳戶。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 受管政策：AWSResourceAccessManagerResourceShareParticipantAccess

您可將 AWSResourceAccessManagerResourceShareParticipantAccess 政策連接到 IAM 身分。

此政策可讓主體接受或拒絕與此共用的資源共用 AWS 帳戶，以及檢視這些資源共用的詳細資訊。它不提供修改這些資源共用的任何能力。

它透過授予執行某些ram操作的許可來執行此操作。

許可詳細資訊

此政策包含以下許可。

• ram – 允許主體接受或拒絕資源共用邀請，並檢視與帳戶共用之資源共用的詳細資訊。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareInvitations",
                "ram:GetResourceShares",
                "ram:ListPendingInvitationResources",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:RejectResourceShareInvitation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 受管政策：AWSResourceAccessManagerServiceRolePolicy

AWS 受管政策只能與 的服務連結角色AWSResourceAccessManagerServiceRolePolicy搭配使用 AWS RAM。您無法連接、分離、修改或刪除此政策。

此政策 AWS RAM 提供對組織結構的唯讀存取權。當您啟用 AWS RAM 和 之間的整合時 AWS Organizations， AWS RAM 會自動建立名為 AWSServiceRoleForResourceAccessManager 的服務連結角色，當服務需要查詢組織及其帳戶的相關資訊時，例如當您在 AWS RAM 主控台中檢視組織的結構時。

它透過授予唯讀許可來執行 organizations:Describe和 organizations:List操作，以提供組織結構和帳戶的詳細資訊來執行此操作。

許可詳細資訊

此政策包含以下許可。

• organizations – 允許主體檢視組織結構的相關資訊，包括組織單位及其 AWS 帳戶 所包含的 。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
            ]
        }
    ]
}

AWS RAMAWS 受管政策的更新

檢視自此服務開始追蹤這些變更 AWS RAM 以來， AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒，請訂閱 AWS RAM 文件歷史記錄頁面上的 RSS 摘要。

變更	描述	日期
AWS Resource Access Manager 開始追蹤變更	AWS RAM 已記錄其現有的 受管政策並開始追蹤變更。	2021 年 9 月 16 日