WKLD.02 使用資源型政策許可來限制登入資料使用範圍

政策是可以定義許可或指定存取條件的物件。政策主要有以下兩種類型：

• 身分型政策會連接至主體，並定義主體在 AWS 環境中的許可。

• 資源型政策附接至資源，例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體，或虛擬私有雲端 (VPC) 端點。這些政策會指定允許存取哪些主體、支援的動作以及必須滿足的任何其他條件。

為了允許主體存取以對資源執行操作，它必須在身分型政策中授予許可並滿足資源型政策的條件。如需詳細資訊，請參閱身分型政策和資源型政策 (IAM 文件)。

資源型政策的建議條件包括：

• 使用 aws:PrincipalOrgID條件，限制只能存取指定組織 （在 中定義 AWS Organizations) 中的主體。

• 分別使用 aws:SourceVpc 或 aws:SourceVpce 條件限制對源自特定 VPC 或 VPC 端點的流量的存取。

• 使用 aws:SourceIp 條件根據來源 IP 地址允許或拒絕流量。

以下是資源型政策範例，此政策使用 aws:PrincipalOrgID 條件僅允許 <o-xxxxxxxxxxx> 組織中的主體存取 <bucket-name> S3 儲存貯體：

{
   "Version":"2012-10-17",
   "Statement":[
     {
       "Sid":"AllowFromOrganization",
       "Effect":"Allow",
       "Principal":"*",
       "Action":"s3:*",
       "Resource":"arn:aws:s3:::<bucket-name>/*",
       "Condition": {
         "StringEquals": {"aws:PrincipalOrgID":"<o-xxxxxxxxxxx>"}
       }
     }
   ]
}