共用資源瀏覽器檢視 - AWS 資源總管
與之共用檢視的權限原則 AWS 帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共用資源瀏覽器檢視

中的檢視 AWS 資源總管 主要使用以資源為基礎的政策來授與存取權 與 Amazon S3 儲存貯體政策類似,這些政策會附加到檢視,並指定誰可以使用該檢視。這與 AWS Identity and Access Management (IAM) 身分型政策形成鮮明對比。IAM 身分型政策會指派給角色、群組或使用者,並指定角色、群組或使用者可存取的動作和資源。您可以將任一類型的原則與資源總管檢視搭配使用,如下所示:

  • 在擁有資源的管理帳戶或委派管理員帳戶中,只要沒有其他原則明確拒絕存取該主體的檢視,就可以使用其中一種原則類型來授與存取權。

  • 跨帳戶,您必須同時使用這兩種策略類型。附加至用帳戶中檢視的以資源為基礎的政策會開啟與另一個消費帳戶共用。不過,該原則不會將存取權授與個別使用者或使用帳戶中的角色。消費帳戶中的系統管理員還必須將以身分識別為基礎的策略指派給消費帳戶中所需的角色和使用者。該政策授予對檢視之 Amazon 資源名稱 (ARN) 的存取權。

若要與其他帳戶共用檢視表,您必須使用 AWS Resource Access Manager (AWS RAM)。 AWS RAM 為您處理以資源為基礎的政策的複雜性。您必須先執行下列工作,才能共用:

  • 開啟多帳戶搜尋

  • 確保您用於共用和取消共用檢視的以資源為基礎的政策或 IAM 身分型政策包含和許可。resource-explorer-2:GetResourcePolicy resource-explorer-2:UpdateResourcePolicy resource-explorer-2:UpdateResourcePolicy

若要共用檢視,您必須是組織的管理帳戶或委派的管理員。您可以指定要與其共用資源的帳號或身分識別。 AWS RAM 完全支持資源瀏覽器視圖。 AWS RAM 根據您選擇與之共用的主參與者類型,使用與下列各節中所述相似的原則。如需有關如何共用資源的指示,請參閱AWS Resource Access Manager 使用指南中的「共用 AWS 資源」。

系統管理員和委派的系統管理員可以建立和共用 3 種檢視類型:組織範圍檢視、組織單位 (OU) 範圍檢視,以及帳戶層級範圍檢視。他們可以與組織、OU 或帳戶共用。當帳戶加入或離開組織時, AWS RAM 會自動授予或撤銷共用檢視。

與之共用檢視的權限原則 AWS 帳戶

下列範例原則顯示如何讓檢視可供兩種不同 AWS 帳戶的主參與者使用:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [ "111122223333", "444455556666" ]
            },
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            ], 
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
            "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
                "StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
            }
        }
    ]
    }"
}

現在,每個指定帳戶中的管理員都必須透過將以身分識別為基礎的權限原則附加到角色、群組和使用者,來指定哪些角色和使用者可以存取檢視。帳號 111122223333 或 444455556666 的管理員可以建立下列範例策略。然後,他們可以將策略指派給那些帳戶中的角色、群組和使用者,這些帳戶將允許使用從原始帳戶共用的檢視進行搜尋。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
        }
    ]
}

您可以將這些 IAM 身分型政策用作屬性型存取控制 (ABAC) 安全策略的一部分。在這種範例中,您可以確保您的所有資源和所有身份都被標記。然後,您可以在策略中指定哪些標籤鍵和值必須在身份和資源之間匹配才能允許訪問。如需有關在帳戶中標記檢視的資訊,請參閱對檢視新增標籤。如需有關以屬性為基礎的存取控制的詳細資訊,請參閱 ABAC 的用途為何? AWS以及在 IAM 使用者指南中使用標籤控制 AWS 資源的存取權限。