WKLD.02 – 使用資源型政策許可限制憑證使用範圍 - AWS 規定指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

WKLD.02 – 使用資源型政策許可限制憑證使用範圍

政策是可以定義許可或指定存取條件的物件。政策主要有以下兩種類型:

  • 身分型政策附接至主體並定義主體在 AWS 環境中的許可。

  • 資源型政策附接至資源,例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體,或虛擬私有雲端 (VPC) 端點。這些政策會指定允許存取哪些主體、支援的動作以及必須滿足的任何其他條件。

為了允許主體存取以對資源執行操作,它必須在身分型政策中授予許可並滿足資源型政策的條件。如需詳細資訊,請參閱身分型政策和資源型政策 (IAM 文件)。

資源型政策的建議條件包括:

  • 使用 aws:PrincipalOrgID 條件將存取限制為僅限指定組織 (在 AWS Organizations 中定義) 中的主體。

  • 分別使用 aws:SourceVpcaws:SourceVpce 條件限制對源自特定 VPC 或 VPC 端點的流量的存取。

  • 使用 aws:SourceIp 條件根據來源 IP 地址允許或拒絕流量。

以下是資源型政策範例,此政策使用 aws:PrincipalOrgID 條件僅允許 <o-xxxxxxxxxxx> 組織中的主體存取 <bucket-name> S3 儲存貯體:

{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowFromOrganization", "Effect":"Allow", "Principal":"*", "Action":"s3:*", "Resource":"arn:aws:s3:::<bucket-name>/*", "Condition": { "StringEquals": {"aws:PrincipalOrgID":"<o-xxxxxxxxxxx>"} } } ] }