本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 AWS Control Tower 資源存取許可概觀
每個 AWS 資源都由 擁有 AWS 帳戶,而建立或存取資源的許可受許可政策約束。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組和角色)。有些服務 (例如 AWS Lambda) 也支援將許可政策連接至 資源。
注意
「帳戶管理員」 (或管理員) 是具有管理員權限的使用者。如需詳細資訊,請參《IAM 使用者指南》中的 IAM 最佳實務。
當您負責授予許可給使用者或角色時,您必須知道並追蹤需要許可的使用者和角色、每個使用者和角色需要許可的資源,以及操作這些資源時必須允許的特定動作。
AWS Control Tower 資源和操作
在 AWS Control Tower 中,主要資源是登陸區域。AWS Control Tower 也支援其他資源類型、控制項,有時稱為護欄。不過,對於 AWS Control Tower,您只能在現有登陸區域的內容中管理控制項。控制項可以稱為子資源。
中的資源和子資源 AWS 具有與其相關聯的唯一 Amazon Resource Name (ARNs),如下列範例所示。
| 資源類型 | ARN 格式 |
|---|---|
| 檔案系統 | arn:aws:elasticfilesystem: |
AWS Control Tower 提供一組 API 操作,以使用 AWS Control Tower 資源。如需可用操作的清單,請參閱 AWS Control Tower the AWS Control Tower API Reference。
如需 AWS Control Tower AWS CloudFormation 資源的詳細資訊,請參閱 AWS CloudFormation 使用者指南。
關於資源擁有權
AWS 帳戶擁有在帳戶中建立的資源,無論誰建立資源。具體而言,資源擁有者是驗證資源建立請求之主體實體 (即 AWS 帳戶 根使用者、IAM Identity Center 使用者、IAM 使用者或 IAM 角色) AWS 的帳戶。下列範例說明其如何運作:
-
如果您使用 AWS 帳戶的 AWS 帳戶根使用者登入資料來設定登陸區域, AWS 您的帳戶即為資源的擁有者。
-
如果您在 AWS 帳戶中建立 IAM 使用者,並將設定登陸區域的許可授予該使用者,只要其帳戶符合先決條件,使用者就可以設定登陸區域。不過,使用者所屬 AWS 的帳戶擁有登陸區域資源。
-
如果您在 AWS 帳戶中建立具有設定登陸區域許可的 IAM 角色,則任何可以擔任該角色的人都可以設定登陸區域。您的 AWS 帳戶屬於該角色,擁有登陸區域資源。
指定政策元素:動作、效果和主體
您可以透過 AWS Control Tower 主控台或登陸區域 APIs來設定和管理登陸區域。若要設定登陸區域,您必須是具有 IAM 政策中定義的管理許可的 IAM 使用者。
以下是您可以在政策中識別的最基本元素:
-
資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需詳細資訊,請參閱AWS Control Tower 資源和操作。
-
動作:使用動作關鍵字識別您要允許或拒絕的資源操作。如需可執行之動作類型的相關資訊,請參閱 AWS Control Tower 定義的動作。
-
效果 - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
-
主體 – 在身分型政策 (IAM 政策) 中,附加政策的使用者是隱含主體。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。AWS Control Tower 不支援以資源為基礎的政策。
如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱《IAM 使用者指南》 中的 AWS IAM 政策參考。
在政策中指定條件
當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱IAM 使用者指南中的條件。
若要表達條件,您可以使用預先定義的條件索引鍵。AWS Control Tower 沒有特定的條件索引鍵。不過,您可以視需要使用 AWS全局條件索引鍵。如需 AWS全局金鑰的完整清單,請參閱《IAM 使用者指南》中的適用於 條件的金鑰。
