本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
適用於 Amazon EC2 的 IAM 政策
依預設,使用者無權建立或修改 Amazon EC2 資源,或使用 Amazon EC2 API、Amazon EC2 主控台或 CLI 執行任務。若要允許使用者建立或修改資源並執行任務,您必須建立授予使用者許可的 IAM 政策,以使用他們需要的特定資源和 API 動作,然後將這些政策連接到需要這些許可的使用者、群組或 IAM 角色。
將政策連接到使用者、使用者群組或角色時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。如需 IAM 政策的一般詳細資訊,請參閱《IAM 使用者指南》中 IAM 中的政策和許可。如需管理和建立自訂 IAM 政策的詳細資訊,請參閱管理 IAM 政策。
入門
IAM 政策必須授予或拒絕使用一或多個 Amazon EC2 動作的許可。政策中還必須指定可用於動作的資源,可為所有資源,或在某些案例中為特定的資源。政策也可以包含您套用到資源的條件。
Amazon EC2 部分支援資源層級的許可。這表示針對某些 EC2 API 動作,您無法指定使用者允許使用該動作的資源。相反的,您必須允許使用者使用該動作的所有資源。
| 任務 | 主題 |
|---|---|
| 了解政策的基本結構 | 政策語法 |
| 在政策內定義動作 | Amazon EC2 動作 |
| 在政策內定義特定資源 | 適用於 Amazon EC2 的 Amazon Resource Name (ARN) |
| 套用資源的使用條件 | Amazon EC2 的條件金鑰 |
| 使用 Amazon EC2 適用的資源層級可用許可 | 適用於 Amazon EC2 的動作、資源及條件金鑰 |
| 測試您的政策 | |
| 產生 IAM 政策 | |
| CLI 或軟體開發套件的範例政策 | 使用 AWS CLI 或 AWS SDK 的範例原則 |
| Amazon EC2 主控台的範例政策 | 在 Amazon EC2 主控台中進行操作的範例政策。 |
向使用者、群組和角色授予許可
以下是一些 AWS 受管理政策的範例,在符合您的需求時可供使用:
-
PowerUserAccess -
ReadOnlyAccess -
AmazonEC2FullAccess -
AmazonEC2ReadOnlyAccess
如需詳細資訊,請參閱 AWS Amazon EC2 的受管政策。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
使用者和群組位於 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請按照 IAM 使用者指南 的 為第三方身分提供者 (聯合) 建立角色 中的指示進行操作。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請按照 IAM 使用者指南 的 為 IAM 使用者建立角色 中的指示進行操作。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南的新增許可到使用者 (主控台)中的指示。
-
