发布于: Apr 25, 2023
AWS Resource Access Manager (AWS RAM) 现在支持客户托管权限,您可以为支持的资源类型编写和维护精细的资源访问控制。AWS RAM 可帮助您在 AWS 账户之间或者企业或企业部门 (OU) 内安全地共享资源,并与 AWS Identity and Access Management (IAM) 角色和用户共享。使用客户管理权限,您可以应用最低权限原则或执行任务所需的最低权限。
现在,您可以精确指定谁可以在哪些条件下对您的资源共享中包含的资源类型执行哪些操作,从而定义客户托管权限的精细程度。例如,作为云安全管理员,您可以为 Amazon Virtual Private Cloud IP 地址管理器 (IPAM) 池编写定制的客户管理权限,这有助于大规模管理您的 IP 地址。然后,网络管理员可以使用定制的权限共享 IPAM 池,以便开发人员可以分配 IP 地址,但他们不能查看其他开发人员账户分配的 IP 地址范围。在授予对敏感操作(如查看 IPAM 池中的 IP 地址范围)的访问权限时,您可以添加条件,例如要求这些操作由使用多重身份验证进行了验证的用户来执行。
目前支持 AWS RAM 的所有 AWS 区域均支持客户托管权限功能,包括 AWS GovCloud(美国)区域。
要了解有关客户托管权限的更多信息,请参阅 AWS RAM 用户指南。要开始使用 AWS RAM 共享资源,请访问 AWS RAM 控制台。