本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 AWS Control Tower 資源存取許可的概觀
每個 AWS 資源都擁有 AWS 帳戶,建立或取得資源存取權的權限由權限原則控制。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組和角色)。某些服務 (例如 AWS Lambda) 也支援將權限原則附加至資源。
注意
「帳戶管理員」 (或管理員) 是具有管理員權限的使用者。如需詳細資訊,請參《IAM 使用者指南》中的 IAM 最佳實務。
當您負責將權限授與使用者或角色時,您必須知道並追蹤需要權限的使用者和角色、每個使用者和角色需要權限的資源,以及操作這些資源所必須允許的特定動作。
AWS Control Tower 資源和操作
在 AWS Control Tower 中,主要資源是 landing zone。AWS Control Tower 也支援額外的資源類型、控制項,有時也稱為護欄。但是,對於 AWS Control Tower,您只能在現有 landing zone 的環境中管理控制。控制項可稱為子資源。
中的資源和子資源具 AWS 有與其關聯的唯一 Amazon 資源名稱 (ARN),如以下範例所示。
| 資源類型 | ARN 格式 |
|---|---|
| 檔案系統 | arn:aws:elasticfilesystem: |
AWS Control Tower 提供一組 API 操作,可與 AWS Control Tower 資源搭配使用。如需可用操作的清單,請參閱 AWS Control Tower API 參考中的 AWS Control Tower。
如需 AWS Control Tower 中 AWS CloudFormation 資源的詳細資訊,請參閱AWS CloudFormation 使用者指南。
關於資源擁有權
AWS 帳號擁有在帳號中建立的資源,無論是誰建立資源。具體而言,資源擁有者是驗證資源建立請求的主體實體 (即 AWS 帳戶 根使用者、IAM 身分中心使用者、IAM 使用者或 IAM 角色) 的 AWS 帳戶。下列範例說明其如何運作:
-
如果您使用 AWS 帳戶的 AWS 帳戶根使用者認證來設定 landing zone,則您的 AWS 帳戶就是資源的擁有者。
-
如果您在 AWS 帳戶中建立 IAM 使用者,並授與設定 landing zone 的權限給該使用者,只要使用者的帳戶符合先決條件,就可以設定 landing zone。不過,您的 AWS 帳號 (使用者所屬) 擁有 landing zone 域資源。
-
如果您在 AWS 帳戶中建立具有設定 landing zone 權限的 IAM 角色,則任何可以擔任該角色的人都可以設定 landing zone。您的 AWS 帳號 (角色所屬) 擁有 landing zone 域資源。
指定策略元素:動作、效果和主參與者
您可以透過 AWS Control 塔主控台或 landing zone API 來設定和管理您的 landing zone。若要設定 landing zone,您必須是 IAM 政策中所定義具有管理許可的 IAM 使用者。
以下是您可以在策略中識別的最基本元素:
-
資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需詳細資訊,請參閱 AWS Control Tower 資源和操作。
-
動作:使用動作關鍵字識別您要允許或拒絕的資源操作。如需可執行之動作類型的相關資訊,請參閱 AWS Control Tower 定義的動作。
-
效果 - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
-
主體 — 在以身分為基礎的政策 (IAM 政策) 中,附加該政策的使用者是隱含的主體。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。AWS Control Tower 不支援以資源為基礎的政策。
如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱《IAM 使用者指南》 中的 AWS IAM 政策參考。
在政策中指定條件
當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱IAM 使用者指南中的條件。
若要表示條件,您可以使用預先定義的條件索引鍵。AWS Control Tower 沒有特定條件金鑰。但是,您可以根據需要使用 AWS寬條件鍵。如需完整的 AWS全金鑰清單,請參閱《IAM 使用者指南》中的條件可用金鑰。
