本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理對 資源的存取
許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。
注意
本節討論在 AWS Control Tower 的內容中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱IAM 使用者指南中的什麼是 IAM。如需有關 IAM 政策語法和說明的資訊,請參閱IAM 使用者指南中的 AWS IAM 政策參考。
連接至 IAM 身分的政策稱為身分型政策 (IAM 政策)。連接到資源的政策稱為資源型政策。
注意
AWS Control Tower 僅支援以身分為基礎的政策 (IAM 政策)。
關於身分型政策 (IAM 政策)
您可以將政策連接到 IAM 身分。例如,您可以執行下列動作:
-
將許可政策連接至您帳戶中的使用者或群組 – 若要授予使用者建立 AWS Control Tower 資源的許可,例如設定登陸區域,您可以將許可政策連接至使用者所屬的使用者或群組。
-
將許可政策連接至角色 (授予跨帳戶許可):您可以將身分識別型許可政策連接至 IAM 角色,藉此授予跨帳戶許可。例如,一個 AWS 帳戶的管理員 (帳戶 A) 可以建立將跨帳戶許可授予另一個 AWS 帳戶 (帳戶 B) 的角色,或者管理員可以建立將許可授予另一個 AWS 服務的角色。
-
帳戶 A 管理員會建立 IAM 角色,並將許可政策連接至授予許可的 角色,以管理帳戶 A 中的資源。
-
帳戶 A 管理員會將信任政策連接至角色。此政策會將帳戶 B 識別為可擔任該角色的委託人。
-
身為委託人,帳戶 B 管理員可以授予帳戶 B 中的任何使用者擔任角色的許可。透過擔任角色,帳戶 B 中的使用者可以建立或存取帳戶 A 中的資源。
-
若要授予 AWS 服務擔任角色的能力 (許可),您在信任政策中指定的委託人可以是 AWS 服務。
-
資源型政策
其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。AWS Control Tower 不支援以資源為基礎的政策。
