本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立政策並連接到使用者
若要讓使用者呼叫API管理服務或API執行服務,您必須建立控制API閘道實體存取的IAM原則。
使用JSON策略編輯器建立策略
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
在左側的導覽窗格中,選擇 Policies (政策)。
如果這是您第一次選擇 Policies (政策),將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)。
-
在頁面頂端,選擇 Create policy (建立政策)。
-
在 [原則編輯器] 區段中,選擇JSON選項。
-
輸入以下JSON政策文件:
{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "action-statement" ], "Resource" : [ "resource-statement" ] }, { "Effect" : "Allow", "Action" : [ "action-statement" ], "Resource" : [ "resource-statement" ] } ] } -
選擇 Next (下一步)。
注意
您可以隨時在視覺和JSON編輯器選項之間切換。不過,如果您在視覺化編輯器中進行變更或選擇 [下一步],IAM可能會重新架構您的原則,以針對視覺化編輯器最佳化它。如需詳細資訊,請參閱《IAM使用指南》中的「策略重新架構」。
-
在檢視與建立頁面上,為您在建立的政策輸入政策名稱與描述 (選用)。檢視此政策中定義的許可,來查看您的政策所授予的許可。
-
選擇 Create policy (建立政策) 儲存您的新政策。
在本聲明中,替代 action-statement 以及 resource-statement 視需要新增其他陳述式,以指定您要允許使用者管理的 API Gateway 實體、使用者可呼叫的API方法,或兩者皆有。根據預設,除非有明確對應的 陳述式,否則 Allow 使用者沒有許可。
您剛建立IAM策略。在您將其連接之前,它不會有任何效果。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
使用者和群組位於 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
IAM透過身分識別提供者管理的使用者:
建立聯合身分的角色。請遵循《使用指南》中的〈為第三方身分識別提供IAM者 (同盟) 建立角色〉中的指示進行。
-
IAM使用者:
-
建立您的使用者可擔任的角色。請按照《用戶指南》中的「為IAM用戶創建角色」中的IAM說明進行操作。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《使用指南》中的「向使用者 (主控台) 新增權限」IAM 中的指示進行。
-
將IAM原則文件附加至IAM群組
-
從主要導覽窗格中,選擇 Groups (群組)。
-
在所選擇的群組下,選擇 Permissions (許可) 標籤。
-
選擇 Attach policy (連接政策)。
-
選擇您之前建立的政策文件,然後選擇 Attach policy (連接政策)。
若要讓API閘道代表您呼叫其他 AWS 服務,請建立 Amazon API 閘道類型的IAM角色。
若要建立角色的 Amazon API 閘道類型
-
從主要導覽窗格中,選擇 Roles (角色)。
-
選擇 Create New Role (建立新角色)。
-
針對 Role name (角色名稱) 輸入名稱,然後選擇 Next Step (下一步)。
-
在 「選取角色類型」下的「AWS 服務角色」中,選擇 Amazon API 閘道旁邊的選取。
-
選擇可用的受管理IAM權限策略,例如,mazonAPIGatewayPushToCloudWatchLog如果您希望 API Gateway 登入指標 CloudWatch,請在 [附加策略] 下選擇 [下一步]。
-
在 Trusted Entities (信任的實體) 下,確認 apigateway.amazonaws.com 列為項目,然後選擇 Create Role (建立角色)。
-
在新建立的角色中,選擇 Permissions (許可) 標籤,然後選擇 Attach Policy (連接政策)。
-
選擇先前建立的自訂IAM原則文件,然後選擇 [附加原則]。
