適用於 Amazon EC2 的 IAM 政策
依預設,使用者無權建立或修改 Amazon EC2 資源,或使用 Amazon EC2 API、Amazon EC2 主控台或 CLI 執行任務。若要允許使用者建立或修改資源並執行任務,您必須建立授予使用者許可的 IAM 政策,以使用他們需要的特定資源和 API 動作,然後將這些政策連接到需要這些許可的使用者、群組或 IAM 角色。
將政策連接到使用者、使用者群組或角色時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。如需 IAM 政策的一般詳細資訊,請參閱《IAM 使用者指南》中 IAM 中的政策和許可。如需管理和建立自訂 IAM 政策的詳細資訊,請參閱管理 IAM 政策。
入門
IAM 政策必須授予或拒絕使用一或多個 Amazon EC2 動作的許可。政策中還必須指定可用於動作的資源,可為所有資源,或在某些案例中為特定的資源。政策也可以包含您套用到資源的條件。
Amazon EC2 部分支援資源層級的許可。這表示針對某些 EC2 API 動作,您無法指定使用者允許使用該動作的資源。相反的,您必須允許使用者使用該動作的所有資源。
| 任務 | 主題 |
|---|---|
| 了解政策的基本結構 | 政策語法 |
| 在政策內定義動作 | Amazon EC2 動作 |
| 在政策內定義特定資源 | 適用於 Amazon EC2 的 Amazon Resource Name (ARN) |
| 套用資源的使用條件 | Amazon EC2 的條件金鑰 |
| 使用 Amazon EC2 適用的資源層級可用許可 | 適用於 Amazon EC2 的動作、資源及條件金鑰 |
| 測試您的政策 | |
| 產生 IAM 政策 | |
| CLI 或軟體開發套件的範例政策 | 使用 AWS CLI 或 AWS 開發套件的政策範例 |
| Amazon EC2 主控台的範例政策 | 在 Amazon EC2 主控台中進行操作的範例政策。 |
向使用者、群組和角色授予許可
以下是一些 AWS 受管政策範例,如果其滿足您的需求,則可供使用:
-
PowerUserAccess -
ReadOnlyAccess -
AmazonEC2FullAccess -
AmazonEC2ReadOnlyAccess
如需可與 Amazon EC2 搭配使用之 AWS 受管政策的詳細資訊,請參閱 Amazon Elastic Compute Cloud 的 AWS 受管政策。
若要提供存取權,請新增許可到您的使用者、群組或角色:
-
AWS IAM Identity Center 中的使用者和群組:
建立許可集合。請遵循《AWS IAM Identity Center 使用者指南》的建立許可集合中的指示。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請遵循《IAM 使用者指南》的為第三方身分提供者 (聯合) 建立角色中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請遵循《IAM 使用者指南》的為 IAM 使用者建立角色中的指示。
-
(不建議) 將政策直接連接至使用者,或將使用者新增至使用者群組。請遵循《IAM 使用者指南》的新增許可到使用者 (主控台)中的指示。
-
