本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
WKLD.02 — 使用以資源為基礎的原則權限限制認證使用範圍
策略是可以定義權限或指定存取條件的物件。原則有兩種主要類型:
-
以身分為基礎的原則會附加至主參與者,並定義主參與者的權限AWS環境。
-
資源型政策連接到資源,例如亞馬遜簡單儲存服務 (Amazon S3) 儲存貯體或虛擬私有雲端 (VPC) 端點。這些原則會指定允許存取哪些主參與者、支援的動作,以及必須符合的任何其他條件。
若要允許主參與者對資源執行動作的存取權,主參與者必須在其身分型原則中授與權限,並符合以資源為基礎的政策條件。如需詳細資訊,請參閱以身分識別為基礎的原則和資源型原則(IAM 文檔)。
資源型政策的建議條件包括:
-
限制只存取指定組織中的主參與者 (定義於AWS Organizations) 使用
aws:PrincipalOrgID
條件。 -
限制存取源自特定 VPC 或 VPC 端點的流量,方法是使用
aws:SourceVpc
或者aws:SourceVpce
條件,分別。 -
根據來源 IP 位址允許或拒絕流量
aws:SourceIp
條件。
以下是使用以資源為基礎的策略範例aws:PrincipalOrgID
條件,以僅允許主參與者<o-xxxxxxxxxxx>
要存取的組織<bucket-name>
S3 儲存貯體:
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowFromOrganization", "Effect":"Allow", "Principal":"*", "Action":"s3:*", "Resource":"arn:aws:s3:::
<bucket-name>
/*", "Condition": { "StringEquals": {"aws:PrincipalOrgID":"<o-xxxxxxxxxxx>
"} } } ] }