AWS RAM 的 AWS 受管政策

AWS Resource Access Manager目前提供了幾個AWS RAM受管理的策略，如本主題所述。

在上述清單中，您可以將前三個政策附加到 IAM 角色、群組和使用者，以授予權限。清單中的最後一個策略會保留給AWS RAM服務的服務連結角色。

AWS 受管政策是由 AWS 建立和管理的獨立政策。AWS 受管政策的設計在於為許多常見使用案例提供許可，如此您就可以開始將許可指派給使用者、群組和角色。

請記住，AWS 受管政策可能不會授與您特定使用案例的最低權限許可，因為它們可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策，以便進一步減少許可。

您無法更改 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可，更新會影響政策連接的所有主體身分 (使用者、群組和角色)。在推出新的 AWS 服務 或有新的 API 操作可供現有服務使用時，AWS 很可能會更新 AWS 受管政策。

如需詳細資訊，請參閱《IAM 使用者指南》https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies中的 AWS 受管政策。

AWS 受管政策：AWSResourceAccessManagerReadOnlyAccess

您可將 AWSResourceAccessManagerReadOnlyAccess 政策連接到 IAM 身分。

此原則為您所擁有的資源共用提供唯讀權限AWS 帳戶。

它通過授予運行任何的權限來執行此操作Get*或者List*操作。它不提供任何修改資源共享的能力。

許可詳細資訊

此政策包含以下許可。

• ram— 可讓主參與者檢視帳號所擁有之資源共用的詳細資訊。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:Get*",
                "ram:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 受管政策：AWSResourceAccessManagerFullAccess

您可將 AWSResourceAccessManagerFullAccess 政策連接到 IAM 身分。

此原則提供完整的管理存取權，以檢視或修改您所擁有的資源共用AWS 帳戶。

它通過授予運行任何權限來做到這一點ram操作。

許可詳細資訊

此政策包含以下許可。

• ram— 允許主參與者檢視或修改有關資源共用的任何資訊，這些資訊由AWS 帳戶。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 受管政策：AWSResourceAccessManagerResourceShareParticipantAccess

您可將 AWSResourceAccessManagerResourceShareParticipantAccess 政策連接到 IAM 身分。

此原則可讓主參與者接受或拒絕與此共用的資源共用AWS 帳戶，並檢視有關這些資源共用率的詳細資訊。它不提供任何修改這些資源共享的能力。

它通過授予運行一些權限來做到這一點ram操作。

許可詳細資訊

此政策包含以下許可。

• ram— 允許主參與者接受或拒絕資源共用邀請，以及檢視與帳號共用之資源共用的詳細資訊。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareInvitations",
                "ram:GetResourceShares",
                "ram:ListPendingInvitationResources",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:RejectResourceShareInvitation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 受管政策：AWSResourceAccessManagerServiceRolePolicy

該AWS受管理政策AWSResourceAccessManagerServiceRolePolicy只能與下列項目的服務連結角色搭配使用AWS RAM。您無法附加、卸離、修改或刪除此原則。

本政策提供AWS RAM具有組織結構的唯讀存取權。當您啟用之間的整合AWS RAM和AWS Organizations,AWS RAM自動建立名為的服務連結角色AWSServiceRoleForResourceAccessManager該服務假設何時需要查詢有關您組織及其帳戶的資訊，例如，當您在AWS RAM控制台。

它通過授予只讀權限來運行organizations:Describe和organizations:List提供組織結構和帳戶詳細資訊的作業。

許可詳細資訊

此政策包含以下許可。

• organizations— 允許主參與者檢視有關組織結構的資訊，包括組織單位，以及AWS 帳戶它們包含.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
            ]
        }
    ]
}

AWS 受管政策的 AWS RAM 更新項目

檢視自 AWS RAM 開始追蹤 AWS 受管政策變更以來的更新詳細資訊。如需有關此頁面變更的自動提醒，請訂閱 AWS RAM文件歷史記錄頁面上的 RSS 摘要。

變更	描述	日期
AWS Resource Access Manager 已開始追蹤變更	AWS RAM記錄其現有的受管理策略，並開始追蹤變更。	2021 年 9 月 16 日