本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 基于身份的策略 AWS AppSync
默认情况下,用户和角色没有创建或修改 AWS AppSync 资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关由 AWS AppSync定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权参考*》 AWS AppSync中的[操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html)。 ARNs
要了解创建和配置 IAM 基于身份的策略的最佳实践,请参阅[IAM 策略最佳实践](best-practices.md#security_iam_service-with-iam-policy-best-practices)。
有关的 IAM 基于身份的策略列表 AWS AppSync,请参阅。[AWS 的托管策略 AWS AppSync](security_iam_policy_list.md)
**Topics**
+ [使用控制 AWS AppSync 台](#security_iam_id-based-policy-examples-console)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
+ [访问一个 Amazon S3 存储桶](#security_iam_id-based-policy-examples-access-one-bucket)
+ [AWS AppSync *widgets*基于标签查看](#security_iam_id-based-policy-examples-view-widget-tags)
+ [AWS 的托管策略 AWS AppSync](security_iam_policy_list.md)
## 使用控制 AWS AppSync 台
要访问 AWS AppSync 控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您的 AWS AppSync 资源的详细信息 AWS 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
为确保 IAM 用户和角色仍然可以使用 AWS AppSync 控制台,还需要将 AWS AppSync `ConsoleAccess`或`ReadOnly` AWS 托管策略附加到实体。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 访问一个 Amazon S3 存储桶
在本示例中,您想向 AWS 账户中的 IAM 用户授予访问您的 Amazon S3 存储桶的权限。`examplebucket`您还想要允许该用户添加、更新和删除对象。
除了授予该用户 `s3:PutObject`、`s3:GetObject` 和 `s3:DeleteObject` 权限外,此策略还授予 `s3:ListAllMyBuckets`、`s3:GetBucketLocation` 和 `s3:ListBucket` 权限。这些是控制台所需的其他权限。此外,`s3:PutObjectAcl` 和 `s3:GetObjectAcl` 操作需要能够在控制台中复制、剪切和粘贴对象。有关为用户授予权限并使用控制台测试用户的示例演练,请参阅[示例演练:使用用户策略控制对桶的访问](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListBucketsInConsole",
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets"
],
"Resource":"arn:aws:s3:::*"
},
{
"Sid":"ViewSpecificBucketInfo",
"Effect":"Allow",
"Action":[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource":"arn:aws:s3:::examplebucket"
},
{
"Sid":"ManageBucketContents",
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:DeleteObject"
],
"Resource":"arn:aws:s3:::examplebucket/*"
}
]
}
```
------
## AWS AppSync *widgets*基于标签查看
您可以在基于身份的策略中使用条件,以便基于标签控制对 AWS AppSync 资源的访问。此示例显示如何创建策略以允许查看 *widget*。但是,仅当 *widget* 标签 `Owner` 具有该用户的用户名的值时,才授予此权限。此策略还授予在控制台上完成此操作的必要权限。
您可以将该策略附加到您账户中的 IAM 用户。如果一个名为 `richard-roe` 的用户尝试查看 AWS AppSync *widget*,则必须使用 *widget* 为 `Owner=richard-roe` 或 `owner=richard-roe` 加上标签。否则,将拒绝其访问。条件标签键 `Owner` 匹配 `Owner` 和 `owner`,因为条件键名称不区分大小写。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。