本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立角色並指派權限
角色和許可可讓您存取 AWS Control Tower 和其他 AWS 服務中的資源,包括以程式設計方式存取資源。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
使用者和群組位於 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請按照 IAM 使用者指南 的 為第三方身分提供者 (聯合) 建立角色 中的指示進行操作。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請按照 IAM 使用者指南 的 為 IAM 使用者建立角色 中的指示進行操作。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南的新增許可到使用者 (主控台)中的指示。
-
如需使用 IAM 來委派許可的相關資訊,請參閱《IAM 使用者指南》中的存取管理。
注意
設定 AWS Control Tower landing zone 時,您需要使用AdministratorAccess受管政策的使用者或角色。 (ARN:AW:IAM::aws:策略/)AdministratorAccess
若要建立 AWS 服務 (IAM 主控台) 的角色
登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/
。 -
在 IAM 主控台的導覽窗格中,選擇角色,然後選擇建立角色。
-
對於 Trusted entity type (信任的實體類型),請選擇 AWS 服務。
-
對於服務或使用案例,請選擇服務,然後選擇使用案例。服務會定義使用案例,以包含服務所需的信任政策。
-
選擇下一步。
-
對於權限原則,選項取決於您選取的使用案例:
-
如果服務定義了角色的權限,您就無法選取權限原則。
-
從一組有限的權限原則中進行選取。
-
從所有權限原則中選取。
-
選取 [無權限原則],建立角色後建立原則,然後將原則附加至角色。
-
-
(選用) 設定許可界限。這是進階功能,可用於服務角色,而不是服務連結的角色。
-
開啟 [設定權限界限] 區段,然後選擇 [使用權限界限] 控制最大角色權限。
IAM 在您的帳戶中包含受 AWS 管政策和客戶管理政策的清單。
選取用於許可界限的政策。
-
-
選擇下一步。
-
對於角色名稱,選項取決於服務:
-
如果服務定義了角色名稱,您就無法編輯角色名稱。
-
如果服務定義了角色名稱的前置詞,您可以輸入選擇性的尾碼。
-
如果服務未定義角色名稱,您可以命名角色。
重要
命名角色時,請注意下列事項:
-
角色名稱在您的內部必須是唯一的 AWS 帳戶,並且不能根據大小寫將其唯一。
例如,請勿建立同時命名為
PRODROLE
和的角色prodrole
。當角色名稱用於策略中或作為 ARN 的一部分時,角色名稱會區分大小寫,但是當主控台中的客戶 (例如在登入程序期間) 顯示角色名稱時,角色名稱不區分大小寫。 -
您無法在建立角色之後編輯該角色的名稱,因為其他實體可能會參照該角色。
-
-
-
(選擇性) 在說明中,輸入角色的說明。
-
(選擇性) 若要編輯角色的使用案例和權限,請在步驟 1:選取信任的實體或步驟 2:新增權限區段中,選擇編輯。
-
(選擇性) 若要協助識別、組織或搜尋角色,請將標籤新增為鍵值配對。如需有關在 IAM 中使用標籤的詳細資訊,請參閱《IAM 使用者指南》中的標記 IAM 資源。
-
檢閱角色,然後選擇 Create role (建立角色)。
若要使用 JSON 政策編輯器來建立政策
登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/
。 -
在左側的導覽窗格中,選擇 Policies (政策)。
如果這是您第一次選擇 Policies (政策),將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)。
-
在頁面頂端,選擇 Create policy (建立政策)。
-
在政策編輯器中,選擇 JSON 選項。
-
輸入或貼上 JSON 政策文件。如需有關 IAM 政策語言的詳細資訊,請參閱 IAM JSON 政策參考。
-
解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 Next (下一步)。
注意
您可以隨時切換視覺化與 JSON 編輯器選項。不過,如果您進行變更或在視覺化編輯器中選擇下一步,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱 IAM 使用者指南中的調整政策結構。
-
(選擇性) 在中建立或編輯原則時 AWS Management Console,您可以產生可在 AWS CloudFormation 範本中使用的 JSON 或 YAML 原則範本。
若要這麼做,請在 [原則編輯器] 中選擇 [動作],然後選擇 [產生 CloudFormation範本]。若要進一步了解 AWS CloudFormation,請參閱《AWS CloudFormation 使用指南》中的AWS Identity and Access Management 資源類型參考。
-
將許可新增至政策後,請選擇下一步。
-
在檢視與建立頁面上,為您在建立的政策輸入政策名稱與描述 (選用)。檢視此政策中定義的許可,來查看您的政策所授予的許可。
-
(選用) 藉由連接標籤作為鍵值組,將中繼資料新增至政策。如需有關在 IAM 中使用標籤的詳細資訊,請參閱《IAM 使用者指南》中的標記 IAM 資源。
-
選擇 Create policy (建立政策) 儲存您的新政策。
若要使用視覺化編輯器來建立政策
登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/
。 -
在左側的導覽窗格中,選擇 Policies (政策)。
如果這是您第一次選擇 Policies (政策),將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)。
-
選擇 Create policy (建立政策)。
-
在 [原則編輯器] 區段中,找到 [選取服務] 區段,然後選擇 AWS 服務。您可用上方的搜尋框來限制服務清單中的結果。您僅可以選擇一項視覺化編輯器許可區塊中的服務。若要授予存取一個以上服務的許可,請選擇新增更多許可,來新增多個許可區塊。
-
在動作中,選擇要新增至政策的動作。您可採用以下方式來選擇動作:
-
選取所有動作的核取方塊。
-
選擇「新增動作」 以輸入特定動作的名稱。您可以使用萬用字元 (
*
) 來指定多個動作。 -
選取其中一個 Access level (存取層級) 群組,以選擇存取層級的所有動作 (例如,Read (讀取)、Write (寫入) 或 List (列出))。
-
展開各個 Access level (存取級別) 群組來選擇個別動作。
預設情況下,您建立的政策允許執行選擇的操作。若要拒絕選擇的動作,請選擇 Switch to deny permissions (切換為拒絕許可)。由於 IAM 會根據預設拒絕,作為安全最佳實務,我們建議您僅允許使用者所需的操作和資源的許可。建立 JSON 陳述式,只有在您想要覆寫另一個陳述式或原則所允許的權限時,才拒絕權限。我們建議您將拒絕許可數限制為最低,因為它們可能會增加解決許可問題的難度。
-
-
對於 Resources (資源),如果您在先前步驟中選取的服務和動作不支援選擇特定資源,則會允許所有資源,而且您無法編輯此區段。
如果選擇一或多個支援資源等級許可的動作,視覺化編輯器將列出這些資源。然後,您可以展開 Resources (資源) 來為您的政策指定資源。
您可採用以下方式來指定資源:
-
選擇新增 ARN,可根據它們的 Amazon Resource Name (ARN) 來指定資源。您可以使用視覺化 ARN 編輯器或手動列出 ARN。如需 ARN 語法的詳細資訊,請參閱 IAM 使用者指南中的 Amazon 資源名稱 (ARN)。如需在政策
Resource
元素中使用 ARN 的詳細資訊,請參閱 IAM JSON 政策元素:IAM 使用者指南中的資源。 -
選擇資源旁的此帳戶中的任何,將許可授予該類型的任何資源。
-
選擇所有,可為服務選擇所有資源。
-
-
(選用) 選擇請求條件 - (選用),為您正在建立的政策新增條件。條件可限制 JSON 政策陳述式的效果。例如,您可以指定只有在使用者的請求於特定時間範圍內發生時,使用者才能對資源執行動作。您也可以使用常用的條件來限制是否必須使用多重要素驗證 (MFA) 裝置來驗證使用者。或者,您可以要求請求必須源自於特定 IP 地址範圍。如需可在原則條件中使用之所有內容索引鍵的清單,請參閱服務授權參考中服AWS 務的動作、資源和條件金鑰。
您可採用以下方式來選擇條件:
-
使用核取方塊來選擇常用條件。
-
選擇新增另一個條件,可指定其他條件。選擇條件的「條件索引鍵」、「限定元」 及「運算子」,然後輸入「值」。若要新增超過一個值,請選擇新增。您可以將這些值視為由邏輯
OR
運算符連接。完成時,請選擇新增條件。
若要新增超過一個條件,請再次選擇新增另一個條件。視需要重複執行。每項條件僅適用於這一個視覺化編輯器許可區塊。所有條件的許可區塊皆須為 true 才會被視為符合。換句話說,考慮要由邏輯
AND
運算符連接的條件。如需有關「條件」元素的詳細資訊,請參閱 IAM JSON 政策元素:IAM 使用者指南中的條件。
-
-
若要新增更多許可區塊,請選擇新增更多許可。針對每個區塊皆重複步驟 2 到 5。
注意
您可以隨時切換視覺化與 JSON 編輯器選項。不過,如果您進行變更或在視覺化編輯器中選擇下一步,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱 IAM 使用者指南中的調整政策結構。
-
(選擇性) 在中建立或編輯原則時 AWS Management Console,您可以產生可在 AWS CloudFormation 範本中使用的 JSON 或 YAML 原則範本。
若要這麼做,請在 [原則編輯器] 中選擇 [動作],然後選擇 [產生 CloudFormation範本]。若要進一步了解 AWS CloudFormation,請參閱《AWS CloudFormation 使用指南》中的AWS Identity and Access Management 資源類型參考。
-
將許可新增至政策後,請選擇下一步。
-
在檢視與建立頁面上,為您在建立的政策輸入政策名稱與描述 (選用)。檢視此政策中定義的許可,可確認您已授予想要的許可。
-
(選用) 藉由連接標籤作為鍵值組,將中繼資料新增至政策。如需有關在 IAM 中使用標籤的詳細資訊,請參閱《IAM 使用者指南》中的標記 IAM 資源。
-
選擇 Create policy (建立政策) 儲存您的新政策。
若要授與程式設計存取
如果使用者想要與 AWS 之外的 AWS Management Console. 授與程式設計存 AWS取權的方式取決於正在存取的使用者類型。
若要授與使用者程式設計存取權,請選擇下列其中一個選項。
哪個使用者需要程式設計存取權? | 到 | By |
---|---|---|
人力身分 (IAM Identity Center 中管理的使用者) |
使用臨時登入資料來簽署對 AWS CLI、 AWS SDK 或 AWS API 的程式設計要求。 |
請依照您要使用的介面所提供的指示操作。
|
IAM | 使用臨時登入資料來簽署對 AWS CLI、 AWS SDK 或 AWS API 的程式設計要求。 | 遵循《IAM 使用者指南》中的〈將臨時登入資料搭配 AWS 資源使用〉中的指示 |
IAM | (不建議使用) 使用長期認證簽署對 AWS CLI、 AWS SDK 或 AWS API 的程式設計要求。 |
請依照您要使用的介面所提供的指示操作。
|
防止攻擊者
如需在授與其他 AWS 服務主體權限時如何協助防範攻擊者的詳細資訊,請參閱角色信任關係的選用條件。透過將某些條件新增至您的原則,您可以協助防止特定類型的攻擊 (稱為混淆的副攻擊),如果實體強制授權較多的實體執行動作 (例如跨服務模擬),就會發生這種攻擊。如需有關策略條件的一般資訊,另請參閱在政策中指定條件。
如需將身分型政策與 AWS Control Tower 搭配使用的詳細資訊,請參閱。針對 AWS Control Tower 使用身分型政策 (IAM 政策)如需使用者、群組、角色和許可的詳細資訊,請參閱《IAM 使用者指南》中的身分 (使用者、群組和角色)。