什麼是政策？

您可以透過 AWS 建立政策並將其連接到 IAM 身分或 AWS 資源來控制 中的存取。

注意

若要快速開始使用，請檢閱 上的簡介資訊，AWS RoboMaker的身分驗證與存取控制然後參閱 IAM 入門。

政策是 中的物件， AWS 當與實體或資源建立關聯時， 會定義其許可。當使用者等委託人發出請求時， 會 AWS 評估這些政策。政策中的許可決定是否允許或拒絕請求。大多數政策會以 JSON 文件 AWS 的形式存放在 中。

IAM 政策定義該動作的許可，無論您使用何種方法來執行操作。例如，如果政策允許 GetUser 動作，則具有該政策的使用者可以從 AWS Management Console、 AWS CLI或 AWS API 取得使用者資訊。建立 IAM 使用者時，您可以將使用者設定為允許主控台或程式設計存取。IAM 使用者可以使用使用者名稱和密碼登入主控台。或者，使用存取金鑰以使用 CLI 或 API。

若要提供存取權，請新增權限至您的使用者、群組或角色：

• 中的使用者和群組 AWS IAM Identity Center：

  建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

• 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。遵循「IAM 使用者指南」的為第三方身分提供者 (聯合) 建立角色中的指示。

• IAM 使用者：

  • 建立您的使用者可擔任的角色。請按照「IAM 使用者指南」的為 IAM 使用者建立角色中的指示。

  • (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循 IAM 使用者指南的新增許可到使用者 (主控台) 中的指示。

使用 的不支援政策 AWS RoboMaker

不支援資源型政策和存取控制清單 ACLs) AWS RoboMaker。如需詳細資訊，請參閱《IAM 使用者指南》中的政策類型。

身分型政策

您可以將政策連接到 IAM 身分。例如，您可以執行下列動作：

• 將許可政策連接至您帳戶中的使用者或群組 – 若要授予使用者建立 AWS RoboMaker 資源的許可，例如機器人應用程式，您可以將許可政策連接至使用者或使用者所屬的群組。

• 將許可政策連接至角色 (授予跨帳戶許可)：您可以將身分識別型許可政策連接至 IAM 角色，藉此授予跨帳戶許可。例如，帳戶 A 中的管理員可以建立角色，將跨帳戶許可授予另一個 AWS 帳戶 （例如帳戶 B) 或 AWS 服務，如下所示：

  1. 帳戶 A 管理員建立 IAM 角色，並將許可政策連接到可授與帳戶 A 中資源許可的角色。

  2. 帳戶 A 管理員會將信任政策連接至將帳戶 B 識別為可擔任角色之主體的角色。

  3. 帳戶 B 管理員接著可以將擔任該角色的許可委派給帳戶 B 中的任何使用者。這樣做可讓帳戶 B 中的使用者建立或存取帳戶 A 中的資源。如果您想要授予擔任該角色 AWS 的服務許可，則信任政策中的委託人也可以是 AWS 服務委託人。

  如需使用 IAM 來委派許可的詳細資訊，請參閱 IAM 使用者指南中的存取管理。

如需使用者、群組、角色和許可的詳細資訊，請參閱《IAM 使用者指南》中的身分 (使用者、群組和角色)。

政策存取層級分類

在 IAM 主控台中，動作會使用下列存取層級分類進行分組：

• 清單 – 提供列出服務內資源的許可，以判斷物件是否存在。具有此層級存取權的動作，可以列出物件，但無法查看資源的內容。具有 List (清單) 存取層級的多數動作無法在特定資源上執行。當您使用這些動作建立政策陳述式，您必須指定 All resources (所有資源) ("*")。

• 讀取 – 提供讀取許可，但不編輯服務中資源的內容和屬性。例如，Amazon S3 動作 GetObject 和 GetBucketLocation 具有 Read (讀取) 存取層級。

• 寫入 – 提供在 服務中建立、刪除或修改資源的許可。例如，Amazon S3 動作 CreateBucketDeleteBucket和 PutObject具有寫入存取層級。

• 許可管理 – 提供在 服務中授予或修改資源許可的許可。例如，大多數 IAM 和 AWS Organizations 政策動作都有許可管理存取層級。

  秘訣

  為了提高 AWS 帳戶的安全性，請限制或定期監控包含許可管理存取層級分類的政策。

• 標記 – 提供建立、刪除或修改附加至服務中資源之標籤的許可。例如，Amazon EC2 CreateTags和 DeleteTags動作具有標記存取層級。