本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon VPC Lattice 是如何与之合作的 IAM

在使用VPC莱迪思管理IAM访问权限之前，请先了解莱迪VPC思有哪些IAM功能可供使用。

要全面了解VPC莱迪思和其他 AWS 服务如何使用大多数IAM功能，请参阅《IAM用户指南》IAM中与之配合使用的AWS 服务。

莱迪思基于身份的策略 VPC

支持基于身份的策略：是

基于身份的策略是可以附加到身份（例如IAM用户、用户组或角色）的JSON权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略，请参阅IAM用户指南中的使用客户托管策略定义自定义IAM权限。

使用IAM基于身份的策略，您可以指定允许或拒绝的操作和资源，以及允许或拒绝操作的条件。您无法在基于身份的策略中指定主体，因为它适用于其附加的用户或角色。要了解可以在JSON策略中使用的所有元素，请参阅IAM用户指南中的IAMJSON策略元素参考。

莱迪思内部VPC基于资源的政策

支持基于资源的策略：是

基于资源的JSON策略是您附加到资源的策略文档。在支持基于资源的策略的服务中，服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源，策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中指定主体。

VPC莱迪思支持身份验证策略，这是一种基于资源的策略，可让您控制对服务网络中服务的访问。有关更多信息，请参阅 使用身份验证策略控制对VPC莱迪思服务的访问。

VPC莱迪思还支持基于资源的权限策略，以便与之集成。 AWS Resource Access Manager您可以使用这些基于资源的策略向其他 AWS 账户或组织授予使用权限，以实现资源共享。有关更多信息，请参阅 分享您的VPC莱迪思资源。

莱迪VPC思的政策行动

支持策略操作：是

在IAM策略声明中，您可以指定任何支持的服务中的任何API操作IAM。对于 VPC Lattice，请使用以下前缀作为API操作名称：vpc-lattice:。例如：vpc-lattice:CreateService、vpc-lattice:CreateTargetGroup 和 vpc-lattice:PutAuthPolicy。

要在单个语句中指定多个操作，请使用逗号分隔，如下所示：

"Action": [ "vpc-lattice:action1", "vpc-lattice:action2" ]

您也可以使用通配符指定多项操作。例如，您可以指定名称以单词 Get 开头的所有操作，如下所示：

"Action": "vpc-lattice:Get*"

有关VPC莱迪思API操作的完整列表，请参阅《服务授权参考》中的 Amazon VPC Lattice 定义的操作。

莱迪VPC思的政策资源

支持策略资源：是

在IAM策略声明中，Resource元素指定该声明所涵盖的一个或多个对象。对于VPC莱迪思而言，每项IAM政策声明都适用于您使用其ARNs指定的资源。

具体的 Amazon 资源名称 (ARN) 格式取决于资源。当您提供时ARN，请更换 italicized 包含您的资源特定信息的文本。

VPC莱迪思的策略条件密钥

支持特定于服务的策略条件键：是

管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说，哪个主体可以对什么资源执行操作，以及在什么条件下执行。

在 Condition 元素（或 Condition 块）中，可以指定语句生效的条件。Condition 元素是可选的。您可以创建使用条件运算符（例如，等于或小于）的条件表达式，以使策略中的条件与请求中的值相匹配。

如果您在一个语句中指定多个 Condition 元素，或在单个 Condition 元素中指定多个键，则 AWS 使用逻辑 AND 运算评估它们。如果您为单个条件键指定多个值，则使用逻辑OR运算来 AWS 评估条件。在授予语句的权限之前必须满足所有的条件。

在指定条件时，您也可以使用占位符变量。例如，只有在资源上标有IAM用户的用户名时，您才能向IAM用户授予访问该资源的权限。有关更多信息，请参阅《IAM用户指南》中的IAM策略元素：变量和标签。

AWS 支持全局条件密钥和特定于服务的条件密钥。要查看所有 AWS 全局条件键，请参阅《IAM用户指南》中的AWS 全局条件上下文密钥。

要查看VPC莱迪思条件密钥列表，请参阅《服务授权参考》中的 Amazon VPC Lattice 条件密钥。

AWS 支持全局条件密钥和特定于服务的条件密钥。有关 AWS 全局条件键的信息，请参阅《IAM用户指南》中的AWS 全局条件上下文密钥。

莱迪VPC思中的访问控制列表 (ACLs)

支持ACLs：否

访问控制列表 (ACLs) 控制哪些委托人（账户成员、用户或角色）有权访问资源。ACLs与基于资源的策略类似，尽管它们不使用JSON策略文档格式。

使用莱迪思实现基于属性的访问控制 (ABAC) VPC

支持ABAC（策略中的标签）：是

基于属性的访问控制 (ABAC) 是一种基于属性定义权限的授权策略。在中 AWS，这些属性称为标签。您可以将标签附加到IAM实体（用户或角色）和许多 AWS 资源。为实体和资源添加标签是的第一步。ABAC然后，您可以设计ABAC策略，允许在委托人的标签与他们尝试访问的资源上的标签匹配时进行操作。

ABAC在快速增长的环境中很有用，也有助于解决策略管理变得繁琐的情况。

要基于标签控制访问，您需要使用 aws:ResourceTag/key-name、aws:RequestTag/key-name 或 aws:TagKeys 条件键在策略的条件元素中提供标签信息。

如果某个服务对于每种资源类型都支持所有这三个条件键，则对于该服务，该值为是。如果某个服务仅对于部分资源类型支持所有这三个条件键，则该值为部分。

有关更多信息ABAC，请参阅《IAM用户指南》中的使用ABAC授权定义权限。要查看包含设置步骤的教程ABAC，请参阅IAM用户指南中的使用基于属性的访问控制 (ABAC)。

在VPC莱迪思使用临时证书

支持临时凭证：是

当你使用临时凭证登录时，有些 AWS 服务 不起作用。有关其他信息，包括哪些 AWS 服务 适用于临时证书 AWS 服务 ，请参阅《IAM用户指南》IAM中的 “适用于临时证书”。

如果您使用除用户名和密码之外的任何方法登录，则 AWS Management Console 使用的是临时证书。例如，当您 AWS 使用公司的单点登录 (SSO) 链接进行访问时，该过程会自动创建临时证书。当您以用户身份登录控制台，然后切换角色时，您还会自动创建临时凭证。有关切换角色的更多信息，请参阅《用户指南》中的从IAM用户切换到IAM角色（控制台）。

您可以使用 AWS CLI 或手动创建临时证书 AWS API。然后，您可以使用这些临时证书进行访问 AWS。 AWS 建议您动态生成临时证书，而不是使用长期访问密钥。有关更多信息，请参阅中的临时安全证书IAM。

莱迪VPC思的服务职位

支持服务角色：否

服务IAM角色是服务代替您执行操作的角色。IAM管理员可以在内部创建、修改和删除服务角色IAM。有关更多信息，请参阅《IAM用户指南》 AWS 服务中的创建角色以向委派权限。

莱迪思的VPC服务相关角色

支持服务相关角色：是

服务相关角色是一种与服务相关联的 AWS 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ，并且归服务所有。IAM管理员可以查看但不能编辑服务相关角色的权限。

有关创建或管理VPC莱迪思服务相关角色的信息，请参阅。为 Amazon VPC Lattice 使用服务相关角色