WKLD.02 — 使用基於資源的策略權限限制憑據使用範圍 - AWS規範指導

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

WKLD.02 — 使用基於資源的策略權限限制憑據使用範圍

策略是可以定義權限或指定訪問條件的對象。主要有兩種類型的政策:

  • 以身分為基礎的政策附加到委託人,並定義委託人在AWS環境。

  • 以資源為基礎的政策連接到資源,例如 Simple Storage Service (Amazon S3) 桶或虛擬私有雲 (VPC) 端點。這些策略指定允許哪些承擔者訪問、受支持的操作以及必須滿足的任何其他條件。

要允許委託人訪問對資源執行操作,必須在其基於身份的策略中授予權限,並滿足基於資源的策略的條件。如需詳細資訊,請參閱「」以身分為基礎和以資源為基礎的政策(IAM 文檔)。

以資源為基礎的政策的推薦條件包括:

  • 僅限於指定組織中的委託人的訪問權限(在AWS Organizations)通過使用aws:PrincipalOrgID條件。

  • 限制訪問源自特定 VPC 或 VPC 端點的流量,方法是使用aws:SourceVpc或者aws:SourceVpce條件。

  • 允許或拒絕根據來源 IP 地址使用aws:SourceIp條件。

以下是使用aws:PrincipalOrgID條件來僅允許<o-xxxxxxxxxxx>組織訪問<bucket-name>S3 儲存貯體:

{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowFromOrganization", "Effect":"Allow", "Principal":"*", "Action":"s3:*", "Resource":"arn:aws:s3:::<bucket-name>/*", "Condition": { "StringEquals": {"aws:PrincipalOrgID":"<o-xxxxxxxxxxx>"} } } ] }