WKLD.02 — 使用以資源為基礎的原則權限限制認證使用範圍 - AWS規定指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

WKLD.02 — 使用以資源為基礎的原則權限限制認證使用範圍

策略是可以定義權限或指定存取條件的物件。原則有兩種主要類型:

  • 以身分為基礎的原則會附加至主參與者,並定義主參與者的權限AWS環境。

  • 資源型政策連接到資源,例如亞馬遜簡單儲存服務 (Amazon S3) 儲存貯體或虛擬私有雲端 (VPC) 端點。這些原則會指定允許存取哪些主參與者、支援的動作,以及必須符合的任何其他條件。

若要允許主參與者對資源執行動作的存取權,主參與者必須在其身分型原則中授與權限,並符合以資源為基礎的政策條件。如需詳細資訊,請參閱以身分識別為基礎的原則和資源型原則(IAM 文檔)。

資源型政策的建議條件包括:

  • 限制只存取指定組織中的主參與者 (定義於AWS Organizations) 使用aws:PrincipalOrgID條件。

  • 限制存取源自特定 VPC 或 VPC 端點的流量,方法是使用aws:SourceVpc或者aws:SourceVpce條件,分別。

  • 根據來源 IP 位址允許或拒絕流量aws:SourceIp條件。

以下是使用以資源為基礎的策略範例aws:PrincipalOrgID條件,以僅允許主參與者<o-xxxxxxxxxxx>要存取的組織<bucket-name>S3 儲存貯體:

{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowFromOrganization", "Effect":"Allow", "Principal":"*", "Action":"s3:*", "Resource":"arn:aws:s3:::<bucket-name>/*", "Condition": { "StringEquals": {"aws:PrincipalOrgID":"<o-xxxxxxxxxxx>"} } } ] }