本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Identity and Access Management (IAM) 是一種 Web 服務,可協助您安全地控制對 資源的 AWS 存取。當委託人在 中提出請求時 AWS, AWS 強制執行程式碼會檢查委託人是否經過身分驗證 (登入) 和授權 (具有許可)。您可以透過建立政策並將其連接至 IAM 身分或 AWS 資源 AWS 來管理 中的存取。政策是 中的 JSON 文件 AWS ,當連接到身分或資源時,定義其許可。如需有關政策類型及其使用的詳細資訊,請參閱 中的政策和許可 AWS Identity and Access Management。
如需有關其他身分驗證和授權程序的詳細資訊,請參閱 IAM 的運作方式。
在授權期間, AWS 強制執行程式碼會使用請求內容中的值來檢查相符政策,並決定是否允許或拒絕請求。
AWS 會檢查套用至請求內容的每個政策。如果單一政策拒絕請求, 會 AWS 拒絕整個請求並停止評估政策。此稱為明確拒絕。由於請求是預設拒絕,因此只有在適用的政策允許請求的每個部分時,IAM 才會授權該請求。用於單一帳戶中請求的評估邏輯遵循以下規則:
-
根據預設,所有的請求將以隱含方式拒絕。(此外,在預設情況下, AWS 帳戶根使用者 具有完整存取權限。)
-
若是以身分為基礎或以資源為基礎的政策,當中的明確允許會覆寫此預設值。
-
如果存在許可界限、 AWS Organizations SCP 或工作階段政策,它可能會以隱含拒絕覆寫允許。
-
任何政策中的明確拒絕會覆寫任何允許。
在您的請求經過驗證和授權之後, 會 AWS 核准請求。如果您需要運用不同的帳戶來發出請求,則必須透過其他帳戶中的政策來允許您存取資源。此外,您用來發出請求的 IAM 實體必須具備可允許該請求的以身分為基礎政策。
存取管理資源
如需有關許可和建立政策的詳細資訊,請參閱以下資源:
AWS 安全部落格中的下列項目涵蓋撰寫政策以存取 Amazon S3 儲存貯體和物件的常見方式。
