WKLD.02 使用基于资源的策略权限限制凭证使用范围

策略是可以定义权限或指定访问条件的对象。主要有两种托管策略：

• 基于身份的策略附加到委托人，用于定义委托人在环境中的权限。 AWS

• 基于资源的策略附加到资源，例如亚马逊简单存储服务 (Amazon S3) 存储桶或虚拟私有云 VPC () 终端节点。这些策略指定了允许哪些主体访问、支持的操作以及必须满足的任何其他条件。

要允许主体访问以对资源执行操作，必须在其基于身份的策略中授予权限，并满足基于资源的策略的条件。有关更多信息，请参阅基于身份的策略和基于资源的策略（IAM文档）。

基于资源的策略的建议条件包括：

• 使用aws:PrincipalOrgID条件将访问权限限制为仅限指定组织（在中定义 AWS Organizations）中的委托人。

• 分别使用或aws:SourceVpce条件限制对来自特定VPC或VPC端点的aws:SourceVpc流量的访问。

• 使用 aws:SourceIp 条件根据源 IP 地址允许或拒绝流量。

以下是基于资源的策略示例，该策略使用 aws:PrincipalOrgID 条件仅允许 <o-xxxxxxxxxxx> 组织中的主体访问 <bucket-name> S3 存储桶：

{
   "Version":"2012-10-17",
   "Statement":[
     {
       "Sid":"AllowFromOrganization",
       "Effect":"Allow",
       "Principal":"*",
       "Action":"s3:*",
       "Resource":"arn:aws:s3:::<bucket-name>/*",
       "Condition": {
         "StringEquals": {"aws:PrincipalOrgID":"<o-xxxxxxxxxxx>"}
       }
     }
   ]
}