本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS RAM 如何使用 IAM
<a name="security-iam-policies"></a>

根據預設，IAM 主體沒有建立或修改 AWS RAM 資源的許可。若要允許 IAM 主體建立或修改資源並執行任務，請執行下列其中一個步驟。這些動作會授予使用特定資源和 API 動作的許可。

若要提供存取權，請新增權限至您的使用者、群組或角色：
+ 中的使用者和群組 AWS IAM Identity Center：

  建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者：
  + 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
  + (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。

AWS RAM 提供數個您可以使用的 AWS 受管政策，可解決許多使用者的需求。如需這些項目的詳細資訊，請參閱[AWS 的 受管政策 AWS Resource Access Manager](security-iam-awsmanpol.md)。

如果您需要更精確地控制您授予使用者的許可，您可以在 IAM 主控台中建構自己的政策。如需有關建立政策並將其連接至 IAM 角色和使用者的資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。

下列各節提供建置 IAM 許可政策 AWS RAM 的特定詳細資訊。

**Contents**
+ [政策結構](#structure)
  + [Effect](#iam-policies-effect)
  + [Action](#iam-policies-action)
  + [資源](#iam-policies-resource)
  + [條件](#iam-policies-condition)

## 政策結構
<a name="structure"></a>

IAM 許可政策是包含下列陳述式的 JSON 文件：效果、動作、資源和條件。IAM 政策通常採用下列形式。

```
{
    "Statement":[{
        "Effect":"<effect>",
        "Action":"<action>",
        "Resource":"<arn>",
        "Condition":{
            "<comparison-operator>":{
                "<key>":"<value>"
            }
        }
    }]
}
```

### Effect
<a name="iam-policies-effect"></a>

*效果*陳述式指出政策是否允許或拒絕委託人執行動作的許可。可能的值包括： `Allow`和 `Deny`。

### Action
<a name="iam-policies-action"></a>

*動作*陳述式指定政策允許或拒絕許可的 AWS RAM API 動作。如需允許動作的完整清單，請參閱《*IAM 使用者指南*》中的 [ 定義的動作 AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions)。

### 資源
<a name="iam-policies-resource"></a>

*資源*陳述式會指定受政策影響 AWS RAM 的資源。若要在 陳述式中指定資源，您需要使用其唯一的 Amazon Resource Name (ARN)。如需允許資源的完整清單，請參閱《*IAM 使用者指南*》中的 [ 定義的資源 AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies)。

### 條件
<a name="iam-policies-condition"></a>

*條件*陳述式是選用的。它們可用來進一步精簡政策套用的條件。 AWS RAM 支援下列條件索引鍵：
+ `aws:RequestTag/${TagKey}` – 測試服務請求是否包含具有指定標籤索引鍵的標籤，並具有指定的值。
+ `aws:ResourceTag/${TagKey}` – 測試由服務請求執行的資源是否具有附加標籤，其中包含您在政策中指定的標籤索引鍵。

  下列範例條件會檢查服務請求中參考的資源是否具有附加標籤，其金鑰名稱為 "Owner" 且值為 "Dev Team"。

  ```
  "Condition" : { 
      "StringEquals" : {
          "aws:ResourceTag/Owner" : "Dev Team" 
      } 
  }
  ```
+ `aws:TagKeys` – 指定必須用來建立或標記資源共享的標籤金鑰。
+ `ram:AllowsExternalPrincipals` – 測試服務請求中的資源共用是否允許與外部委託人共用。外部委託人是您組織的 AWS 帳戶 外部 AWS Organizations。如果這評估為 `False`，則您只能與同一組織中的帳戶共用此資源共用。
+ `ram:PermissionArn` – 測試服務請求中指定的許可 ARN 是否符合您在政策中指定的 ARN 字串。
+ `ram:PermissionResourceType` – 測試服務請求中指定的許可是否適用於您在政策中指定的資源類型。使用[可共用資源類型清單中顯示的格式指定資源類型](shareable.md)。
+ `ram:Principal` – 測試服務請求中指定的委託人的 ARN 是否符合您在政策中指定的 ARN 字串。
+ `ram:RequestedAllowsExternalPrincipals` – 測試服務請求是否包含 `allowExternalPrincipals` 參數，以及其引數是否符合您在政策中指定的值。
+ `ram:RequestedResourceType` – 測試正在處理之資源的資源類型是否符合您在政策中指定的資源類型字串。使用[可共用資源類型清單中顯示的格式指定資源類型](shareable.md)。
+ `ram:ResourceArn` – 測試服務請求所處理之資源的 ARN 是否符合您在政策中指定的 ARN。
+ `ram:ResourceShareName` – 測試服務請求所處理的資源共享名稱是否符合您在政策中指定的字串。
+ `ram:ShareOwnerAccountId` – 測試服務請求所處理之資源共享的帳戶 ID 號碼，符合您在政策中指定的字串。