使用以身分為基礎的政策 (IAM 政策) AWS Cloud Map - AWS Cloud Map
使用 AWS Cloud Map 主控台所需的許可建立 AWS Cloud Map 服務所需的權限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用以身分為基礎的政策 (IAM 政策) AWS Cloud Map

本主題提供以身分為基礎的政策範例,說明帳戶管理員如何將許可政策附加至 IAM 身分 (使用者、群組和角色),進而授與對資源執行 AWS Cloud Map 動作的權限。

重要

我們建議您先檢閱介紹性主題,其中說明管理 AWS Cloud Map 資源存取權的基本概念和選項。如需詳細資訊,請參閱 管理資 AWS Cloud Map 源的存取權限

以下範例說明了一個許可政策,該政策會授與使用者註冊和取消註冊服務執行個體的許可。Sid (陳述式 ID) 為選用:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid" : "AllowInstancePermissions",
         "Effect": "Allow",
         "Action": [
            "servicediscovery:RegisterInstance",
            "servicediscovery:DeregisterInstance",
            "servicediscovery:DiscoverInstances",
            "servicediscovery:Get*",
            "servicediscovery:List*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances"
         ],
         "Resource": "*"
      }
   ]
}

該政策會授予註冊和管理服務執行個體所需動作的許可。如果您使用公有或私有 DNS 命名空間,則需要 Route 53 權限,因為在註冊和取消註冊執行個體時 AWS Cloud Map 建立、更新和刪除 Route 53 記錄和健康狀態檢查。中的萬用字元 (*) 會Resource授予所有 AWS Cloud Map 執行個體的存取權,以及目前 AWS 帳戶所擁有的 Route 53 記錄和健康狀態檢查。

如需為了授與或拒絕使用每個動作的許可而指定的動作和 ARN 清單,請參閱 AWS Cloud Map API 權限參考資料

使用 AWS Cloud Map 主控台所需的許可

若要授與 AWS Cloud Map 主控台的完整存取權,請在下列權限原則中授與權限:

{
   "Version": "2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:CreateHostedZone",
            "route53:DeleteHostedZone",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances",
            "ec2:DescribeVpcs",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      }
   ]
}

需要許可的原因如下:

servicediscovery:*

可讓您執行所有 AWS Cloud Map 動作。

route53:CreateHostedZone, route53:GetHostedZone, route53:ListHostedZonesByName, route53:DeleteHostedZone

讓您在建立和刪除公用和私有 DNS 命名空間時 AWS Cloud Map 管理託管區域。

route53:CreateHealthCheck, route53:GetHealthCheck, route53:DeleteHealthCheck, route53:UpdateHealthCheck

當您在建立服務時包含 Amazon Route 53 運作狀態檢查,可讓您 AWS Cloud Map 管理運作狀態檢查。

ec2:DescribeVpcsec2:DescribeRegions

讓我們 AWS Cloud Map 管理私有託管區域。

建立 AWS Cloud Map 服務所需的權限

新增許可政策以允許 IAM 身分建立 AWS Cloud Map 服務時,您必須在資源欄位中指定命名 AWS Cloud Map 空間和服務的 Amazon 資源名稱 (ARN)。ARN 包括區域、帳戶 ID 和命名空間識別碼。由於您還不知道服務的服務 ID 是什麼,因此我們建議您使用萬用字元。以下是政策程式碼片段的範例。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:CreateService"
         ],
         "Resource":[
            "arn:aws:servicediscovery:region:111122223333:namespace/ns-p32123EXAMPLE",
            "arn:aws:servicediscovery:region:111122223333:service/*"
         ]
      }
   ]
}