本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 IAM 角色策略声明限制权限 AMS 使用 IAM 角色通过您的联合身份验证服务设置用户权限。 **单账户登录区 AMS**:请参阅 [SALZ:默认 IAM 用户角色](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role)。 **多账户登录区 AMS**:请参阅 [MALZ:默认 IAM 用户角色](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz)。 IAM 角色是一个 IAM 实体,它定义了一组用于提出 AWS 服务请求的权限。IAM 角色不与特定用户或组关联。相反,可信实体扮演角色,例如 IAM 用户、应用程序或 Amazon EC2 等 AWS 服务。有关更多信息,请参阅 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。 您可以通过使用 AWS 安全令牌服务 (STS) API 操作[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)在`Policy`请求字段下传递限制性更强的 IAM 策略,缩小担任 AMS IAM 用户角色的用户的所需策略范围。 接下来提供了可用于限制 CT 访问的策略声明示例。 使用您配置的 Active Directory (AD) 群组和 AWS Security Token Service (STS) API 操作 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html),您可以为某些用户或群组设置权限,包括限制对某些更改类型的访问权限 (CTs)。您可以使用下面显示的政策声明以各种方式限制 CT 的访问权限。 默认 IAM 实例配置文件中的 AMS 更改类型声明允许访问所有 AMS API 调用(amscm 和 amsskms)和所有更改类型: ``` { "Sid": "AWSManagedServicesFullAccess", "Effect": "Allow", "Action": [ "amscm:*", "amsskms:*" ], "Resource": [ "*" ] } ``` 1. 仅允许访问和指定两个操作的声明 CTs,其中 “操作” 是 AMS API 操作(要`amscm`么是`amsskms`),“资源” 代表现有的变更类型 IDs 和版本号: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "amscm:*", "Resource": [ "arn:aws:amscm:*:*:changetype/ct-ID1:1.0", "arn:aws:amscm:*:*:changetype/ct-ID2:1.0" ] } ] } ``` ------ 1. 仅允许访问 CreateRfc UpdateRfc、和的语句仅指定 SubmitRfc 了两个 CTs: 1. 允许访问 CreateRfc UpdateRfc、和所有可用内容 SubmitRfc 的声明 CTs: 1. 拒绝对受限 CT 的所有操作进行访问并允许对其他操作进行访问的声明 CTs: