許可管理
管理許可,以控制對需要存取 AWS 和工作負載的人員和機器身分的存取。許可控制誰可以在何種條件下存取哪些內容。將許可設定為特定的人類和機器身份,以授予對特定資源執行特定服務動作的存取權。此外,指定必須為 true 才能授予存取的條件。例如,您可以允許開發人員建立新的 Lambda 函數,但僅限於特定區域。大規模管理您的 AWS 環境時,請遵循下列最佳實務,以確保這些人員身分僅擁有各自所需的存取權。
有多種方法可以授予對不同類型資源的存取權。其中一種方法是使用不同的政策類型。
IAM 中以身分為基礎的政策是受管或內嵌的政策,並連接到 IAM 身分,包括使用者、群組或角色。這些政策可讓您指定該身分可以做什麼 (其許可)。可以進一步將身分型政策分類。
受管政策 – 您可以附加到 AWS 帳戶中多個使用者、群組和角色的獨立身分型政策。有兩種類型的受管政策:
-
AWS 受管政策 – 由 AWS 建立和管理的受管政策。
-
客戶受管政策 – 您在 AWS 帳戶中建立和管理的受管政策。客戶受管政策比 AWS 受管政策更能精確地控制您的政策。
受管政策是套用許可的慣用方法。不過,您也可以使用內嵌政策,直接將其新增到單一使用者、群組或角色。內嵌政策會在政策和身分之間維持嚴格的一對一關係。刪除身分時也會刪除內嵌政策。
在大多數情況下,您應該建立自己的客戶受管政策,並遵循最低權限原則。
以資源為基礎的政策會附加至資源。例如,S3 儲存貯體是資源型政策。這些政策會將許可授予與資源位於同一帳戶的主體,或位於另一個帳戶的主體。如需支援以資源為基礎的政策的服務清單,請參閱可搭配 IAM 運作的 AWS 服務。
許可界限
屬性型存取控制 (ABAC)
組織服務控制政策 (SCP) 為組織或組織單位 (OU) 的帳戶成員定義最大許可。SCP 會限制以身分為基礎的政策或以資源為基礎的政策授予帳戶內實體 (使用者或角色) 的許可,但不會授予許可。
工作階段政策會擔任角色或聯合身分使用者。在使用 AWS CLI 或 AWS API 工作階段政策時傳遞工作階段政策,以限制角色或使用者的身分型政策授予工作階段的許可。這些政策會限制已建立工作階段的許可,但不會授予許可。如需詳細資訊,請參閱工作階段政策。