AWS 支付密碼學如何使用 IAM

在您用IAM來管理 AWS 付款密碼編譯的存取權限之前，您應該瞭解哪些IAM功能可用於 AWS 付款密碼編譯。若要取得 AWS 付款密碼學和其他 AWS 服務如何使用的高階檢視IAM，請參閱IAM使用者指南IAM中的適用AWS 服務。

AWS 付款密碼編譯基於身份的政策

使用以IAM身分識別為基礎的策略，您可以指定允許或拒絕的動作和資源，以及允許或拒絕動作的條件。 AWS 付款密碼學支援特定動作、資源和條件金鑰。若要瞭解您在JSON策略中使用的所有元素，請參閱《使用IAM者指南》中的《IAMJSON策略元素參考》。

動作

管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說，哪個主體在什麼條件下可以對什麼資源執行哪些動作。

JSON策略Action元素描述了您可以用來允許或拒絕策略中存取的動作。策略動作通常與關聯 AWS API操作具有相同的名稱。有一些例外情況，例如沒有匹配API操作的僅限權限的操作。也有一些作業需要政策中的多個動作。這些額外的動作稱為相依動作。

政策會使用動作來授予執行相關聯動作的許可。

AWS 付款密碼編譯中的原則動作會在動作之前使用下列前置詞：payment-cryptography:例如，若要授與某人執行 AWS 付款密碼編譯作業的權限，您可以將該payment-cryptography:VerifyCardData動VerifyCardDataAPI作納入他們的政策中。政策陳述式必須包含 Action 或 NotAction 元素。 AWS 付款密碼學定義了它自己的一組動作，描述您可以使用此服務執行的任務。

若要在單一陳述式中指定多個動作，請用逗號分隔，如下所示：

"Action": [
      "payment-cryptography:action1",
      "payment-cryptography:action2"

您也可以使用萬用字元 (*) 來指定多個動作。例如，若要指定以該字開頭的所有動作 List (例如ListKeys和ListAliases)，請包含下列動作：

"Action": "payment-cryptography:List*"

若要查看 AWS 付款密碼編譯動作清單，請參閱IAM使用指南中的 AWS 付款密碼編譯定義的動作。

資源

管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說，哪個主體在什麼條件下可以對什麼資源執行哪些動作。

ResourceJSON原則元素會指定要套用動作的一或多個物件。陳述式必須包含 Resource 或 NotResource 元素。最佳做法是使用其 Amazon 資源名稱 (ARN) 指定資源。您可以針對支援特定資源類型的動作 (稱為資源層級許可) 來這麼做。

對於不支援資源層級許可的動作 (例如列出操作)，請使用萬用字元 (*) 來表示陳述式適用於所有資源。

"Resource": "*"

支付加密密鑰資源具有以下內容：ARN

arn:${Partition}:payment-cryptography:${Region}:${Account}:key/${keyARN}

如需的格式的詳細資訊ARNs，請參閱 Amazon 資源名稱 (ARNs) 和 AWS 服務命名空間。

例如，若要在陳述式中指定arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h執行個體，請使用下列指令ARN：

"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"

若要指定屬於特定帳戶的所有金鑰，請使用萬用字元 (*)：

"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/*"

某些 AWS 付款密碼編譯動作 (例如建立金鑰的動作) 無法在特定資源上執行。在這些情況下，您必須使用萬用字元 (*)。

"Resource": "*"

要在單個語句中指定多個資源，請使用逗號，如下所示：

"Resource": [
      "resource1",
      "resource2"

範例

若要檢視 AWS 付款密碼編譯以身分識別為基礎的政策範例，請參閱。AWS 付款密碼編譯基於身份的政策範例

基於 AWS 付款密碼學標籤的授權