本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用以身分為基礎的政策 (IAM 政策) AWS Cloud Map
本主題提供以身分為基礎的政策範例,說明帳戶管理員如何將許可政策附加至 IAM 身分 (使用者、群組和角色),進而授與對資源執行 AWS Cloud Map 動作的權限。
重要
我們建議您先檢閱介紹性主題,其中說明管理 AWS Cloud Map 資源存取權的基本概念和選項。如需詳細資訊,請參閱 管理資 AWS Cloud Map 源的存取權限。
以下範例說明了一個許可政策,該政策會授與使用者註冊和取消註冊服務執行個體的許可。Sid
(陳述式 ID) 為選用:
{ "Version": "2012-10-17", "Statement": [ { "Sid" : "AllowInstancePermissions", "Effect": "Allow", "Action": [ "servicediscovery:RegisterInstance", "servicediscovery:DeregisterInstance", "servicediscovery:DiscoverInstances", "servicediscovery:Get*", "servicediscovery:List*", "route53:GetHostedZone", "route53:ListHostedZonesByName", "route53:ChangeResourceRecordSets", "route53:CreateHealthCheck", "route53:GetHealthCheck", "route53:DeleteHealthCheck", "route53:UpdateHealthCheck", "ec2:DescribeInstances" ], "Resource": "*" } ] }
該政策會授予註冊和管理服務執行個體所需動作的許可。如果您使用公有或私有 DNS 命名空間,則需要 Route 53 權限,因為在註冊和取消註冊執行個體時 AWS Cloud Map 建立、更新和刪除 Route 53 記錄和健康狀態檢查。中的萬用字元 (*) 會Resource
授予所有 AWS Cloud Map 執行個體的存取權,以及目前 AWS 帳戶所擁有的 Route 53 記錄和健康狀態檢查。
如需為了授與或拒絕使用每個動作的許可而指定的動作和 ARN 清單,請參閱 AWS Cloud Map API 權限參考資料。
使用 AWS Cloud Map 主控台所需的許可
若要授與 AWS Cloud Map 主控台的完整存取權,請在下列權限原則中授與權限:
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicediscovery:*", "route53:GetHostedZone", "route53:ListHostedZonesByName", "route53:CreateHostedZone", "route53:DeleteHostedZone", "route53:ChangeResourceRecordSets", "route53:CreateHealthCheck", "route53:GetHealthCheck", "route53:DeleteHealthCheck", "route53:UpdateHealthCheck", "ec2:DescribeInstances", "ec2:DescribeVpcs", "ec2:DescribeRegions" ], "Resource":"*" } ] }
需要許可的原因如下:
servicediscovery:*
-
可讓您執行所有 AWS Cloud Map 動作。
route53:CreateHostedZone
,route53:GetHostedZone
,route53:ListHostedZonesByName
,route53:DeleteHostedZone
-
讓您在建立和刪除公用和私有 DNS 命名空間時 AWS Cloud Map 管理託管區域。
route53:CreateHealthCheck
,route53:GetHealthCheck
,route53:DeleteHealthCheck
,route53:UpdateHealthCheck
-
當您在建立服務時包含 Amazon Route 53 運作狀態檢查,可讓您 AWS Cloud Map 管理運作狀態檢查。
ec2:DescribeVpcs
和ec2:DescribeRegions
-
讓我們 AWS Cloud Map 管理私有託管區域。
建立 AWS Cloud Map 服務所需的權限
新增許可政策以允許 IAM 身分建立 AWS Cloud Map 服務時,您必須在資源欄位中指定命名 AWS Cloud Map 空間和服務的 Amazon 資源名稱 (ARN)。ARN 包括區域、帳戶 ID 和命名空間識別碼。由於您還不知道服務的服務 ID 是什麼,因此我們建議您使用萬用字元。以下是政策程式碼片段的範例。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicediscovery:CreateService" ], "Resource":[ "arn:aws:servicediscovery:
region
:111122223333
:namespace/ns-p32123EXAMPLE
", "arn:aws:servicediscovery:region
:111122223333
:service/*" ] } ] }