管理 Amazon Comprehend Medical 资源的访问权限的概述 - Amazon Comprehend Medical
管理对操作的访问权限指定策略元素:操作、效果和主体在策略中指定条件

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 Amazon Comprehend Medical 资源的访问权限的概述

权限策略可以管理对某项操作的访问权限。账户管理员将权限策略附加到IAM身份,以管理对操作的访问权限。IAM身份包括用户、群组和角色。

注意

帐户管理员(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅《IAM用户指南》中的IAM最佳实践

在授予权限时,您可以决定谁和哪项操作可以获得权限。

管理对操作的访问权限

权限策略规定谁可以访问哪些内容。以下部分介绍了适用于权限策略的选项。

注意

本节IAM在亚马逊 Comprehend Medical 的背景下进行了解释。它不提供有关IAM服务的详细信息。有关更多信息IAM,请参阅什么是IAM? 在《IAM用户指南》中。有关IAM策略语法和描述的信息,请参阅IAM用户指南中的AWSIAM策略参考

附加到IAM身份的策略是基于身份的策略。附加到资源的策略是基于资源的策略。Amazon Comprehend Medical 只支持基于身份的策略。

基于身份的策略(策略)IAM

您可以将策略附加到IAM身份。以下是两个示例。

  • 将权限策略附加到账户中的用户或组。要允许某个用户或一组用户调用 Amazon Comprehend Medical 操作,请将权限策略附加到用户。请将策略附加到包含该用户的组。

  • 将权限策略附加到角色以便授予跨账户权限。要授予跨账户权限,请为角色附加基于身份的策略。IAM例如,账户 A 中的管理员可以创建一个角色,以便向另一账户授予跨账户权限。在此示例中,将其命名为账户 B,它也可能是一项AWS服务。

    1. 账户 A 管理员创建一个IAM角色并向该角色附加一个策略,该策略向该角色授予对账户 A 中资源的权限。

    2. 账户 A 管理员将信任策略附加到角色。该策略将账户 B 标识为可担任该角色的主体。

    3. 然后,账户 B 管理员可以将代入该角色的权限委托给账户 B 中的任何用户。这允许账户 B 中的用户创建或访问账户 A 中的资源。如果您想向某项AWS服务授予担任该角色的权限,则信任策略中的委托人也可以是AWS服务委托人。

    有关使用委派权限IAM的更多信息,请参阅《IAM用户指南》中的访问管理

有关将基于身份的策略与 Amazon Comprehend Medical 结合使用的更多信息,请参阅为亚马逊 Comprehend Medical 使用基于身份的IAM政策(政策)。有关用户、群组、角色和权限的更多信息,请参阅《用户指南》中的身份(用户、群组和角色)。IAM

基于资源的策略

其他服务(例如) AWS Lambda支持基于资源的权限策略。例如,您可以将策略附加到 S3 存储桶以管理对该存储桶的访问权限。Amazon Comprehend Medical 不支持基于资源的策略。

指定策略元素:操作、效果和主体

亚马逊 Comprehend Medical 定义了一组操作。API为了授予这些API操作的权限,Amazon Comprehend Medical 定义了一组您可以在策略中指定的操作。

以下四个项目是最基本的策略元素。

  • 资源-在策略中,使用 Amazon 资源名称 (ARN) 来标识该政策适用的资源。对于 Amazon Comprehend Medical,资源永远是 "*"

  • 操作 – 使用操作关键字来标识要允许或拒绝的操作。例如,根据指定的效果,comprehendmedical:DetectEntities 可以允许或拒绝执行 Amazon Comprehend Medical DetectEntities 操作的用户权限。

  • 效果 – 指定当用户请求特定操作时出现的效果(允许或拒绝)。如果没有显式授予(允许)对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问。您可以执行此操作,以确保用户无法访问资源,即使有其他策略授予了访问权限也是如此。

  • 主体 – 在基于身份的策略中,附加了策略的用户是隐式主体。

要了解有关IAM策略语法和描述的更多信息,请参阅IAM用户指南中的AWSIAM策略参考

有关显示所有 Amazon Compreh API end Medical 操作的表格,请参阅。亚马逊 Comprehend Medic API al 权限:操作、资源和条件参考

在策略中指定条件

授予权限时,您可以使用IAM策略语言来指定策略应在哪些条件下生效。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅IAM用户指南中的条件

AWS为所有支持访问控制的AWS服务提供了一组预定义IAM的条件密钥。例如,在请求操作时,您可以使用aws:userid条件键要求提供特定 AWS ID。有关更多信息和AWS密钥的完整列表,请参阅《IAM用户指南》中的条件可用密钥

Amazon Comprehend Medical 不提供任何额外的条件键。