如何回复:發布私人工作 IAM - AWS re:Post Private
RE: 張貼以私人身分識別為基礎的原則RE: 張貼以私有資源為基礎的政策以標籤為基礎的授權RE: 張貼私人角色 IAM服務連結角色服務角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

如何回复:發布私人工作 IAM

在您用IAM來管理「AWS重新:私人貼文」的存取權之前,您必須瞭解哪些IAM功能可用於「重新:私人貼文」。若要取得 Re: Private 和其他 AWS 服務如何使用的高階檢視IAM,請參閱IAM使用者指南IAM中的使用AWS 服務

RE: 張貼以私人身分識別為基礎的原則

使用以IAM身分為基礎的原則,您可以指定允許或拒絕的動作。Re: 私人貼文支援特定動作。若要瞭解您在JSON策略中使用的元素,請參閱《使用IAM者指南》中的IAMJSON策略元素參考資料。

動作

管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作

JSON策略Action元素描述了您可以用來允許或拒絕策略中存取的動作。策略動作通常與關聯 AWS API操作具有相同的名稱。有一些例外情況,例如沒有匹配API操作的僅限權限的操作。也有一些作業需要政策中的多個動作。這些額外的動作稱為相依動作

政策會使用動作來授予執行相關聯動作的許可。

Re: 私人貼文中的原則動作會在動作之前使用下列前置詞:。repostspace:例如,若要授與某人執行 Re: Private (私人貼文) 作業的權限,您可以將repostspace:CreateSpaceCreateSpaceAPI作包含在他們的原則中。原則陳述式必須包含ActionNotAction元素。Re: Post Private 會定義它自己的一組動作,用來描述您可以使用此服務執行的工作。

若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:

"Action": [
      "repostspace:CreateSpace",
      "repostspace:DeleteSpace"

您也可以使用萬用字元 (*) 來指定多個動作。例如,若要指定開頭是 Describe 文字的所有動作,請包含以下動作:

"Action": "repostspace:Describe*"

若要查看「重新:張貼私人」動作的清單,請參閱「使用者指南」中的「Re: 私人貼文」所定義的動作。IAM

資源

管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作

ResourceJSON原則元素會指定要套用動作的一或多個物件。陳述式必須包含 ResourceNotResource 元素。最佳做法是使用其 Amazon 資源名稱 (ARN) 指定資源。您可以針對支援特定資源類型的動作 (稱為資源層級許可) 來這麼做。

對於不支援資源層級許可的動作 (例如列出操作),請使用萬用字元 (*) 來表示陳述式適用於所有資源。

"Resource": "*"

條件索引鍵

RE:Post Private 不提供任何特定於服務的條件密鑰,但它支持使用全局條件密鑰。若要查看所有 AWS 全域條件索引鍵,請參閱《使用指南》中的AWS 全域條件內IAM容索引

範例

若要檢視 Re: 張貼以私人身分識別為基礎的原則的範例,請參閱。AWSRE: 張貼以私人身分識別為基礎的政策範例

RE: 張貼以私有資源為基礎的政策

以資源為基礎的JSON策略是您附加至資源的政策文件。以資源為基礎的政策範例包括IAM角色信任政策和 Amazon S3 儲存貯體政策。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中指定主體。主參與者可以包括帳戶、使用者、角色、同盟使用者或 AWS 服務。資源型政策是位於該服務中的內嵌政策。您無法在以資源為基礎的策略IAM中使用 AWS 受管政策。

RE: 私人貼文不支援以資源為基礎的政策。

以標籤為基礎的授權

RE:私人郵政支持標記資源或基於標籤控制訪問。如需詳細資訊,請參閱使用標籤控制AWS資源的存取。

RE: 張貼私人角色 IAM

IAM角色是您 AWS 帳戶中具有特定權限的實體。

使用臨時登入資料搭配 Re: 私人貼文

我們強烈建議您使用臨時登入資料來登入同盟、擔任IAM角色或擔任跨帳戶角色。您可以透過呼叫AssumeRole或之類的 AWS STS API作業來取得臨時安全登入資料GetFederationToken

RE:發布私有支持使用臨時憑據。

服務連結角色

服務連結角色可讓 AWS 服務存取其他服務中的資源,以便為您完成動作。服務連結角色會顯示在您的IAM帳戶中,且屬於服務所有。IAM管理員可以檢視但無法編輯服務連結角色的權限。

服務角色

此功能可讓服務為您擔任服務角色。此角色可讓服務存取其他服務中的資源,以便為您完成動作。如需詳細資訊,請參閱建立角色以將權限委派給AWS服務。服務角色會顯示在您的IAM帳戶中,且屬於帳戶所有。這表示IAM系統管理員可以變更此角色的權限。不過,這樣可能會破壞此服務的功能。