本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理对资源的访问权限
权限策略规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。
注意
本节讨论IAM在 Cont AWS rol Tower 环境中使用。它不提供有关IAM服务的详细信息。有关完整IAM文档,请参阅什么是IAM? 在《IAM用户指南》中。有关IAM策略语法和描述的信息,请参见 AWS IAM《IAM用户指南》中的政策参考。
附加到IAM身份的策略称为基于身份的策略(IAM策略)。附加到资源的策略称为基于资源的策略。
注意
AWSControl Tower 仅支持基于身份的策略(IAM策略)。
关于基于身份的策略(策略)IAM
您可以将策略附加到IAM身份。例如,您可以执行以下操作:
-
将@@ 权限策略附加到您账户中的用户或群组-要授予用户创建 Contro AWS l Tower 资源(例如设置着陆区)的权限,您可以将权限策略附加到该用户所属的用户或群组。
-
将@@ 权限策略附加到角色(授予跨账户权限)-您可以将基于身份的权限策略附加到IAM角色以授予跨账户权限。例如,管理员负责一个 AWS 账户(账户 A)可以创建向另一个角色授予跨账户权限的角色 AWS 账户(账户 B),或者管理员可以创建一个向其他人授予权限的角色 AWS 服务。
-
账户 A 管理员创建一个IAM角色并向该角色附加权限策略,该策略授予管理账户 A 中资源的权限。
-
账户 A 管理员为该角色附加信任策略。该策略将账户 B 标识为可担任该角色的主体。
-
作为委托人,账户 B 管理员可以向账户 B 中的任何用户授予担任该角色的权限。通过担任该角色,账户 B 中的用户可以创建账户 A 中的资源或获得对这些资源的访问权限。
授予 AWS service 担任角色的能力(权限),您在信任策略中指定的委托人可以是 AWS 服务。
-
基于资源的策略
其他服务(如 Amazon S3)还支持基于资源的权限策略。例如,您可以将策略附加到 S3 存储桶以管理对该存储桶的访问权限。AWSControl Tower 不支持基于资源的策略。
