建立角色並指派權限

角色和許可可讓您存取 AWS Control Tower 和其他 AWS 服務中的資源，包括以程式設計方式存取資源。

若要提供存取權，請新增權限至您的使用者、群組或角色：

• 使用者和群組位於 AWS IAM Identity Center：

  建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

• 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。請按照 IAM 使用者指南 的 為第三方身分提供者 (聯合) 建立角色 中的指示進行操作。

• IAM 使用者：

  • 建立您的使用者可擔任的角色。請按照 IAM 使用者指南 的 為 IAM 使用者建立角色 中的指示進行操作。

  • (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循 IAM 使用者指南的新增許可到使用者 (主控台)中的指示。

如需使用 IAM 來委派許可的相關資訊，請參閱《IAM 使用者指南》中的存取管理。

注意

設定 AWS Control Tower landing zone 時，您需要使用AdministratorAccess受管政策的使用者或角色。 （ARN：AW：IAM：：aws：策略/）AdministratorAccess

若要建立 AWS 服務 (IAM 主控台) 的角色

1. 登入 AWS Management Console 並開啟身分與存取權管理主控台，網址為 https://console.aws.amazon.com/iam/。

2. 在 IAM 主控台的導覽窗格中，選擇角色，然後選擇建立角色。

3. 對於 Trusted entity type (信任的實體類型)，請選擇 AWS 服務。

4. 對於服務或使用案例，請選擇服務，然後選擇使用案例。服務會定義使用案例，以包含服務所需的信任政策。

5. 選擇下一步。

6. 對於權限原則，選項取決於您選取的使用案例：

   • 如果服務定義了角色的權限，您就無法選取權限原則。

   • 從一組有限的權限原則中進行選取。

   • 從所有權限原則中選取。

   • 選取 [無權限原則]，建立角色後建立原則，然後將原則附加至角色。

7. (選用) 設定許可界限。這是進階功能，可用於服務角色，而不是服務連結的角色。

   1. 開啟 [設定權限界限] 區段，然後選擇 [使用權限界限] 控制最大角色權限。

      IAM 在您的帳戶中包含受 AWS 管政策和客戶管理政策的清單。

   2. 選取用於許可界限的政策。

8. 選擇下一步。

9. 對於角色名稱，選項取決於服務：

   • 如果服務定義了角色名稱，您就無法編輯角色名稱。

   • 如果服務定義了角色名稱的前置詞，您可以輸入選擇性的尾碼。

   • 如果服務未定義角色名稱，您可以命名角色。

     重要

     命名角色時，請注意下列事項：

     • 角色名稱在您的內部必須是唯一的 AWS 帳戶，並且不能根據大小寫將其唯一。

       例如，請勿建立同時命名為PRODROLE和的角色prodrole。當角色名稱用於策略中或作為 ARN 的一部分時，角色名稱會區分大小寫，但是當主控台中的客戶 (例如在登入程序期間) 顯示角色名稱時，角色名稱不區分大小寫。

     • 您無法在建立角色之後編輯該角色的名稱，因為其他實體可能會參照該角色。

10. (選擇性) 在說明中，輸入角色的說明。

11. (選擇性) 若要編輯角色的使用案例和權限，請在步驟 1：選取信任的實體或步驟 2：新增權限區段中，選擇編輯。

12. (選擇性) 若要協助識別、組織或搜尋角色，請將標籤新增為鍵值配對。如需有關在 IAM 中使用標籤的詳細資訊，請參閱《IAM 使用者指南》中的標記 IAM 資源。

13. 檢閱角色，然後選擇 Create role (建立角色)。

若要使用 JSON 政策編輯器來建立政策

1. 登入 AWS Management Console 並開啟身分與存取權管理主控台，網址為 https://console.aws.amazon.com/iam/。

2. 在左側的導覽窗格中，選擇 Policies (政策)。

   如果這是您第一次選擇 Policies (政策)，將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)。

3. 在頁面頂端，選擇 Create policy (建立政策)。

4. 在政策編輯器中，選擇 JSON 選項。

5. 輸入或貼上 JSON 政策文件。如需有關 IAM 政策語言的詳細資訊，請參閱 IAM JSON 政策參考。

6. 解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告，然後選擇 Next (下一步)。

   注意

   您可以隨時切換視覺化與 JSON 編輯器選項。不過，如果您進行變更或在視覺化編輯器中選擇下一步，IAM 就可能會調整您的政策結構，以便針對視覺化編輯器進行最佳化。如需詳細資訊，請參閱 IAM 使用者指南中的調整政策結構。

7. (選擇性) 在中建立或編輯原則時 AWS Management Console，您可以產生可在 AWS CloudFormation 範本中使用的 JSON 或 YAML 原則範本。

   若要這麼做，請在 [原則編輯器] 中選擇 [動作]，然後選擇 [產生 CloudFormation範本]。若要進一步了解 AWS CloudFormation，請參閱《AWS CloudFormation 使用指南》中的AWS Identity and Access Management 資源類型參考。

8. 將許可新增至政策後，請選擇下一步。

9. 在檢視與建立頁面上，為您在建立的政策輸入政策名稱與描述 (選用)。檢視此政策中定義的許可，來查看您的政策所授予的許可。

10. (選用) 藉由連接標籤作為鍵值組，將中繼資料新增至政策。如需有關在 IAM 中使用標籤的詳細資訊，請參閱《IAM 使用者指南》中的標記 IAM 資源。

11. 選擇 Create policy (建立政策) 儲存您的新政策。

若要使用視覺化編輯器來建立政策

1. 登入 AWS Management Console 並開啟身分與存取權管理主控台，網址為 https://console.aws.amazon.com/iam/。

2. 在左側的導覽窗格中，選擇 Policies (政策)。

   如果這是您第一次選擇 Policies (政策)，將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)。

3. 選擇 Create policy (建立政策)。

4. 在 [原則編輯器] 區段中，找到 [選取服務] 區段，然後選擇 AWS 服務。您可用上方的搜尋框來限制服務清單中的結果。您僅可以選擇一項視覺化編輯器許可區塊中的服務。若要授予存取一個以上服務的許可，請選擇新增更多許可，來新增多個許可區塊。

5. 在動作中，選擇要新增至政策的動作。您可採用以下方式來選擇動作：

   • 選取所有動作的核取方塊。

   • 選擇「新增動作」 以輸入特定動作的名稱。您可以使用萬用字元 (*) 來指定多個動作。

   • 選取其中一個 Access level (存取層級) 群組，以選擇存取層級的所有動作 (例如，Read (讀取)、Write (寫入) 或 List (列出))。

   • 展開各個 Access level (存取級別) 群組來選擇個別動作。

   預設情況下，您建立的政策允許執行選擇的操作。若要拒絕選擇的動作，請選擇 Switch to deny permissions (切換為拒絕許可)。由於 IAM 會根據預設拒絕，作為安全最佳實務，我們建議您僅允許使用者所需的操作和資源的許可。建立 JSON 陳述式，只有在您想要覆寫另一個陳述式或原則所允許的權限時，才拒絕權限。我們建議您將拒絕許可數限制為最低，因為它們可能會增加解決許可問題的難度。

6. 對於 Resources (資源)，如果您在先前步驟中選取的服務和動作不支援選擇特定資源，則會允許所有資源，而且您無法編輯此區段。

   如果選擇一或多個支援資源等級許可的動作，視覺化編輯器將列出這些資源。然後，您可以展開 Resources (資源) 來為您的政策指定資源。

   您可採用以下方式來指定資源：

   • 選擇新增 ARN，可根據它們的 Amazon Resource Name (ARN) 來指定資源。您可以使用視覺化 ARN 編輯器或手動列出 ARN。如需 ARN 語法的詳細資訊，請參閱 IAM 使用者指南中的 Amazon 資源名稱 (ARN)。如需在政策Resource元素中使用 ARN 的詳細資訊，請參閱 IAM JSON 政策元素：IAM 使用者指南中的資源。

   • 選擇資源旁的此帳戶中的任何，將許可授予該類型的任何資源。

   • 選擇所有，可為服務選擇所有資源。

7. (選用) 選擇請求條件 - (選用)，為您正在建立的政策新增條件。條件可限制 JSON 政策陳述式的效果。例如，您可以指定只有在使用者的請求於特定時間範圍內發生時，使用者才能對資源執行動作。您也可以使用常用的條件來限制是否必須使用多重要素驗證 (MFA) 裝置來驗證使用者。或者，您可以要求請求必須源自於特定 IP 地址範圍。如需可在原則條件中使用之所有內容索引鍵的清單，請參閱服務授權參考中服AWS 務的動作、資源和條件金鑰。

   您可採用以下方式來選擇條件：

   • 使用核取方塊來選擇常用條件。

   • 選擇新增另一個條件，可指定其他條件。選擇條件的「條件索引鍵」、「限定元」 及「運算子」，然後輸入「值」。若要新增超過一個值，請選擇新增。您可以將這些值視為由邏輯OR運算符連接。完成時，請選擇新增條件。

   若要新增超過一個條件，請再次選擇新增另一個條件。視需要重複執行。每項條件僅適用於這一個視覺化編輯器許可區塊。所有條件的許可區塊皆須為 true 才會被視為符合。換句話說，考慮要由邏輯AND運算符連接的條件。

   如需有關「條件」元素的詳細資訊，請參閱 IAM JSON 政策元素：IAM 使用者指南中的條件。

8. 若要新增更多許可區塊，請選擇新增更多許可。針對每個區塊皆重複步驟 2 到 5。

   注意

   您可以隨時切換視覺化與 JSON 編輯器選項。不過，如果您進行變更或在視覺化編輯器中選擇下一步，IAM 就可能會調整您的政策結構，以便針對視覺化編輯器進行最佳化。如需詳細資訊，請參閱 IAM 使用者指南中的調整政策結構。

9. (選擇性) 在中建立或編輯原則時 AWS Management Console，您可以產生可在 AWS CloudFormation 範本中使用的 JSON 或 YAML 原則範本。

   若要這麼做，請在 [原則編輯器] 中選擇 [動作]，然後選擇 [產生 CloudFormation範本]。若要進一步了解 AWS CloudFormation，請參閱《AWS CloudFormation 使用指南》中的AWS Identity and Access Management 資源類型參考。

10. 將許可新增至政策後，請選擇下一步。

11. 在檢視與建立頁面上，為您在建立的政策輸入政策名稱與描述 (選用)。檢視此政策中定義的許可，可確認您已授予想要的許可。

12. (選用) 藉由連接標籤作為鍵值組，將中繼資料新增至政策。如需有關在 IAM 中使用標籤的詳細資訊，請參閱《IAM 使用者指南》中的標記 IAM 資源。

13. 選擇 Create policy (建立政策) 儲存您的新政策。

若要授與程式設計存取

如果使用者想要與 AWS 之外的 AWS Management Console. 授與程式設計存 AWS取權的方式取決於正在存取的使用者類型。

若要授與使用者程式設計存取權，請選擇下列其中一個選項。

哪個使用者需要程式設計存取權？	到	By
人力身分 (IAM Identity Center 中管理的使用者)	使用臨時登入資料來簽署對 AWS CLI、 AWS SDK 或 AWS API 的程式設計要求。	請依照您要使用的介面所提供的指示操作。 如需詳細資訊 AWS CLI，請參閱《使 AWS CLI 用AWS Command Line Interface者指南》 AWS IAM Identity Center中的〈配置使用〉。 如需 AWS SDK、工具和 AWS API，請參閱 AWS SDK 和工具參考指南中的 IAM 身分中心身分驗證。
IAM	使用臨時登入資料來簽署對 AWS CLI、 AWS SDK 或 AWS API 的程式設計要求。	遵循《IAM 使用者指南》中的〈將臨時登入資料搭配 AWS 資源使用〉中的指示
IAM	(不建議使用) 使用長期認證簽署對 AWS CLI、 AWS SDK 或 AWS API 的程式設計要求。	請依照您要使用的介面所提供的指示操作。 如需相關資訊 AWS CLI，請參閱使用指南中的使用 IAM 使用者登入資料進行驗證。AWS Command Line Interface 對於 AWS SDK 和工具，請參閱 AWS SDK 和工具參考指南中的使用長期憑據進行身份驗證。 如需 AWS API，請參閱 IAM 使用者指南中的管理 IAM 使用者的存取金鑰。

防止攻擊者

如需在授與其他 AWS 服務主體權限時如何協助防範攻擊者的詳細資訊，請參閱角色信任關係的選用條件。透過將某些條件新增至您的原則，您可以協助防止特定類型的攻擊 (稱為混淆的副攻擊)，如果實體強制授權較多的實體執行動作 (例如跨服務模擬)，就會發生這種攻擊。如需有關策略條件的一般資訊，另請參閱在政策中指定條件。

如需將身分型政策與 AWS Control Tower 搭配使用的詳細資訊，請參閱。針對 AWS Control Tower 使用身分型政策 (IAM 政策)如需使用者、群組、角色和許可的詳細資訊，請參閱《IAM 使用者指南》中的身分 (使用者、群組和角色)。