本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS RAM 搭配 IAM 的運作方式
根據預設,IAM 委托人不具備建立或修改AWS RAM資源的許可。若要允許 IAM 委托人建立或修改資源並執行任務,請執行以下步驟之一。這些動作會授予使用特定資源和 API 動作的許可。
若要提供存取權,請新增許可到您的使用者、群組或角色:
-
AWS IAM Identity Center 中的使用者和群組:
建立許可集合。請遵循《AWS IAM Identity Center 使用者指南》的建立許可集合中的指示。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請遵循《IAM 使用者指南》的為第三方身分提供者 (聯合) 建立角色中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請遵循《IAM 使用者指南》的為 IAM 使用者建立角色中的指示。
-
(不建議) 將政策直接連接至使用者,或將使用者新增至使用者群組。請遵循《IAM 使用者指南》的新增許可到使用者 (主控台)中的指示。
-
AWS RAM提供數個AWS受管理的策略,您可以使用這些策略來滿足許多使用者的需求。如需這些項目的詳細資訊,請參閱AWS RAM 的 AWS 受管政策。
如果您需要更精確地控制授予使用者的許可,可以在 IAM 主控台中建構自己的政策。有關建立政策並將其附加到 IAM 角色和使用者的詳細資訊,請參閱使用AWS Identity and Access Management者指南中的 IAM 中的政策和許可。
以下各節提供建立 IAM 許可政策的AWS RAM特定詳細資料。
政策結構
IAM 權限政策是包含下列陳述式的 JSON 文件:效果、動作、資源和條件。IAM 政策通常採用下列格式。
{ "Statement":[{ "Effect":"<effect>", "Action":"<action>", "Resource":"<arn>", "Condition":{ "<comparison-operator>":{ "<key>":"<value>" } } }] }
Effect
Eff ect 陳述式會指出原則是否允許或拒絕執行動作的主體權限。可能的值包括:Allow
和Deny
。
動作
A ction 陳述AWS RAM式會指定原則允許或拒絕其權限的 API 動作。如需允許動作的完整清單,請參閱 IAM 使用者指南AWS Resource Access Manager中定義的動作。
資源
Res ource 陳述式會指定受策略影響的AWS RAM資源。若要在陳述式中指定資源,您需要使用它唯一的 Amazon Resource Name (ARN)。如需允許資源的完整清單,請參閱 IAM 使用者指南AWS Resource Access Manager中所定義的資源。
Condition
條件陳述式是可選的。它們可用來縮小套用政策的條件條件。 AWS RAM支援下列條件金鑰:
-
aws:RequestTag/${TagKey}
— 測試服務請求是否包含具有指定標籤鍵的標籤存在且具有指定值。 -
aws:ResourceTag/${TagKey}
— 測試服務請求處理的資源是否具有附加標籤,其中包含您在策略中指定的標籤鍵。下列範例條件會檢查服務要求中參照的資源是否具有附加標籤,其索引鍵名稱為「Owner」且值為「開發團隊」。
"Condition" : { "StringEquals" : { "aws:ResourceTag/Owner" : "Dev Team" } }
-
aws:TagKeys
— 指定必須使用來建立或標記資源共享的標籤金鑰。 -
ram:AllowsExternalPrincipals
— 測試服務請求中的資源共用是否允許與外部主參與者共用。外部主參與者是中組織的AWS 帳戶外部AWS Organizations。如果評估為False
,則您只能與相同組織中的帳號共用此資源共用。 -
ram:PermissionArn
— 測試服務要求中指定的權限 ARN 是否與您在原則中指定的 ARN 字串相符。 -
ram:PermissionResourceType
— 測試在服務請求中所指定的許可對您在政策中所指定的資源類型是否有效。使用可共用資源類型清單中顯示的格式指定資源類型。 -
ram:Principal
— 測試服務要求中指定之主體的 ARN 是否符合您在原則中指定的 ARN 字串。 -
ram:RequestedAllowsExternalPrincipals
— 測試服務要求是否包含allowExternalPrincipals
參數,以及其引數是否符合您在原則中指定的值。 -
ram:RequestedResourceType
— 測試所處理之資源的資源類型是否符合您在策略中指定的資源類型字串。使用可共用資源類型清單中顯示的格式指定資源類型。 -
ram:ResourceArn
— 測試服務要求所處理之資源的 ARN 是否與您在策略中指定的 ARN 相符。 -
ram:ResourceShareName
— 測試服務要求所處理的資源共用名稱是否與您在策略中指定的字串相符。 -
ram:ShareOwnerAccountId
— 測試服務要求所執行之資源共用的帳號 ID 號碼與您在策略中指定的字串相符。