WKLD.02 — 使用以資源為基礎的原則權限限制認證使用範圍

策略是可以定義權限或指定存取條件的物件。原則有兩種主要類型：

• 以身分為基礎的原則會附加至主參與者，並定義主參與者的權限AWS環境。

• 資源型政策連接到資源，例如亞馬遜簡單儲存服務 (Amazon S3) 儲存貯體或虛擬私有雲端 (VPC) 端點。這些原則會指定允許存取哪些主參與者、支援的動作，以及必須符合的任何其他條件。

若要允許主參與者對資源執行動作的存取權，主參與者必須在其身分型原則中授與權限，並符合以資源為基礎的政策條件。如需詳細資訊，請參閱以身分識別為基礎的原則和資源型原則（IAM 文檔）。

資源型政策的建議條件包括：

• 限制只存取指定組織中的主參與者 (定義於AWS Organizations) 使用aws:PrincipalOrgID條件。

• 限制存取源自特定 VPC 或 VPC 端點的流量，方法是使用aws:SourceVpc或者aws:SourceVpce條件，分別。

• 根據來源 IP 位址允許或拒絕流量aws:SourceIp條件。

以下是使用以資源為基礎的策略範例aws:PrincipalOrgID條件，以僅允許主參與者<o-xxxxxxxxxxx>要存取的組織<bucket-name>S3 儲存貯體：

{
   "Version":"2012-10-17",
   "Statement":[
     {
       "Sid":"AllowFromOrganization",
       "Effect":"Allow",
       "Principal":"*",
       "Action":"s3:*",
       "Resource":"arn:aws:s3:::<bucket-name>/*",
       "Condition": {
         "StringEquals": {"aws:PrincipalOrgID":"<o-xxxxxxxxxxx>"}
       }
     }
   ]
}