本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理資源存取
許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。
注意
本節討論在 AWS Control Tower 的內容中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱IAM 使用者指南中的什麼是 IAM。如需有關 IAM 政策語法和說明的資訊,請參閱IAM 使用者指南中的 AWS IAM 政策參考。
附加至 IAM 身分的政策稱為以身分為基礎的政策 (IAM 政策)。連接到資源的政策稱為資源型政策。
注意
AWS Control Tower 僅支援以身分識別為基礎的政策 (IAM 政策)。
關於以身分識別為基礎的政策 (IAM 政策)
您可以將政策連接到 IAM 身分。例如,您可以執行下列動作:
-
將許可政策附加到帳戶中的使用者或群組 — 若要授與使用者建立 AWS Control Tower 資源 (例如設定 landing zone) 的許可,您可以將許可政策附加到該使用者所屬的使用者或群組。
-
將許可政策連接至角色 (授予跨帳戶許可):您可以將身分識別型許可政策連接至 IAM 角色,藉此授予跨帳戶許可。例如,一個 AWS 帳戶 (帳戶 A) 的系統管理員可以建立將跨帳戶權限授與另一個帳 AWS 戶 (帳戶 B) 的角色,或者管理員可以建立授與其他 AWS 服務權限的角色。
-
帳戶 A 管理員會建立 IAM 角色,並將許可政策附加至授與管理帳戶 A 中資源之權限的角色。
-
帳戶 A 系統管理員會將信任原則附加至角色。策略會將帳戶 B 識別為可擔任該角色的主參與者。
-
身為主體,帳戶 B 管理員可以授與帳戶 B 中的任何使用者擔任該角色的權限。透過假設該角色,帳戶 B 中的使用者可以建立或取得帳戶 A 中的資源存取權。
若要授與 AWS 服務擔任角色的能力 (權限),您在信任原則中指定的主體可以是 AWS 服務。
-
資源型政策
其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。AWS Control Tower 不支援以資源為基礎的政策。
