本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 資源存取管理
AWS Identity and Access Management (IAM) 是一項可協助您安全控制 AWS 資源存取的 Web 服務。當主體在中提出要求時 AWS, AWS 強制執行程式碼會檢查主體是否通過驗證 (已登入) 和授權 (具有權限)。您可以透 AWS 過建立原則並將其附加至IAM身分識別或 AWS 資源來管理中的存取。策略是其中 AWS 的JSON文件,當附加到身份或資源時,定義其權限。如需有關政策類型及其使用的詳細資訊,請參閱 中的策略和權限 AWS Identity and Access Management。
如需有關其他身分驗證和授權程序的詳細資訊,請參閱 如何IAM工作。
在授權期間, AWS 強制執行程式碼會使用要求內容中的值來檢查相符的原則,並決定是否允許或拒絕要求。
AWS 檢查適用於請求內容的每個策略。如果單一原則拒絕要求,則會 AWS 拒絕整個要求並停止評估原則。此稱為明確拒絕。由於要求預設為拒絕,因此只有在適用政策允許您要求的每個部分時,才會IAM授權您的要求。用於單一帳戶中請求的評估邏輯遵循以下規則:
-
根據預設,所有的請求將以隱含方式拒絕。(此外,在預設情況下, AWS 帳戶根使用者 具有完整存取權限。)
-
若是以身分為基礎或以資源為基礎的政策,當中的明確允許會覆寫此預設值。
-
如果存在權限界限SCP、Organizations 或工作階段原則,它可能會以隱含拒絕覆寫 allow。
-
任何政策中的明確拒絕會覆寫任何允許。
在您的請求經過驗證和授權後, AWS 核准該請求。如果您需要運用不同的帳戶來發出請求,則必須透過其他帳戶中的政策來允許您存取資源。此外,您用來發出要求的IAM實體必須具有允許要求的身分識別型原則。
存取管理資源
如需有關許可和建立政策的詳細資訊,請參閱以下資源:
AWS 安全部落格中的下列項目涵蓋撰寫 Amazon S3 儲存貯體和物件存取政策的常用方法。
