re: Post Private 是如何使用的 IAM - AWS re:Post Private

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

re: Post Private 是如何使用的 IAM

在使用IAM管理 reAWS: Post Private 的访问权限之前,你必须了解哪些IAM功能可用于 re: Post Private。要全面了解 re: Post Private 和其他 AWS 服务的使用方式IAM,请参阅《IAM用户指南》IAM中与之配合使用的AWS 服务

re: post 基于私有身份的策略

使用IAM基于身份的策略,您可以指定允许或拒绝的操作。re: Post Private 支持特定的操作。要了解您在JSON策略中使用的元素,请参阅IAM用户指南中的IAMJSON策略元素参考

操作

管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体 可以对什么资源执行操作,以及在什么条件下执行。

JSON策略Action元素描述了可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API操作同名。也有一些例外,例如没有匹配API操作的仅限权限的操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行关联操作的权限。

re: Post Private 中的策略操作在操作前使用以下前缀:。repostspace:例如,要授予某人运行 re: Post Private CreateSpace API 操作的权限,您需要将该repostspace:CreateSpace操作包含在他们的策略中。策略声明必须包含ActionNotAction元素。re: Post Private 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": [ "repostspace:CreateSpace", "repostspace:DeleteSpace"

您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Describe 开头的所有操作,包括以下操作:

"Action": "repostspace:Describe*"

要查看 re: Post Private 操作列表,请参阅《用户指南》中的 re: Post Private 定义的操作。IAM

资源

管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体 可以对什么资源执行操作,以及在什么条件下执行。

ResourceJSON策略元素指定要应用操作的一个或多个对象。语句必须包含 ResourceNotResource 元素。最佳做法是,使用资源的 Amazon 资源名称 (ARN) 指定资源。对于支持特定资源类型(称为资源级权限)的操作,您可以执行此操作。

对于不支持资源级权限的操作(如列出操作),请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

条件键

re: post Private 不提供任何特定于服务的条件密钥,但它支持使用全局条件密钥。要查看所有 AWS 全局条件键,请参阅《IAM用户指南》中的AWS 全局条件上下文密钥

示例

要查看基于 re: Post 私有身份的策略示例,请参阅。AWSre: post 基于私有身份的策略示例

re: post 基于私有资源的政策

基于资源的JSON策略是您附加到资源的策略文档。基于资源的策略的示例包括IAM角色信任策略和 Amazon S3 存储桶策略。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中指定主体。委托人可以包括账户、用户、角色、联合用户或 AWS 服务。基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略IAM中使用 AWS 托管策略。

re: post Private 不支持基于资源的策略。

基于标签的授权

re: post Private 支持标记资源或根据标签控制访问权限。有关更多信息,请参阅使用标签控制对AWS资源的访问权限

re: post 私人角色 IAM

IAM角色是您的 AWS 账户中具有特定权限的实体。

在 re: Post Private 中使用临时证书

我们强烈建议使用临时证书通过联合身份登录、代入IAM角色或担任跨账户角色。您可以通过调用AssumeRole或之类的 AWS STS API操作来获取临时安全证书GetFederationToken

re: post Private 支持使用临时证书。

服务相关角色

服务相关角色允许 AWS 服务访问其他服务中的资源,从而为您完成操作。服务相关角色显示在您的IAM账户中,并归服务所有。IAM管理员可以查看但不能编辑服务相关角色的权限。

服务角色

此功能允许服务为您扮演服务角色。此角色允许服务访问其他服务中的资源以为您完成操作。有关更多信息,请参阅创建角色以向AWS服务委派权限。服务角色显示在您的IAM账户中,并归该账户所有。这意味着IAM管理员可以更改此角色的权限。但是,这样做可能会中断服务的功能。