本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Identity and Access Management (IAM) 是一種 Web 服務,讓您能夠安全地控制對 AWS 資源的存取。當主體在 AWS 中發出請求時,AWS 強制執行程式碼會檢查主體是否已經過身分驗證 (已登入) 和已授權 (具有許可)。您可以透過建立政策並將其連接到 IAM 身分或 AWS 資源,在 AWS 中管理存取。AWS 中的政策是 JSON 文件,當連接到身分或資源時,負責定義它們的許可。如需有關政策類型及其使用的詳細資訊,請參閱 AWS Identity and Access Management 中的政策和許可。
如需有關其他身分驗證和授權程序的詳細資訊,請參閱 IAM 的運作方式。
在授權期間,AWS 強制執行程式碼會使用來自請求內容的值來檢查相符的政策,並決定是否允許或拒絕請求。
AWS 檢查適用於請求內容的每個政策。如果單一政策拒絕請求,則 AWS 會拒絕整個請求,並停止評估政策。此稱為明確拒絕。由於請求是預設拒絕,因此只有在適用的政策允許請求的每個部分時,IAM 才會授權該請求。用於單一帳戶中請求的評估邏輯遵循以下規則:
-
根據預設,所有的請求將以隱含方式拒絕。(此外,在預設情況下,AWS 帳戶根使用者 具有完整存取權限。)
-
若是以身分為基礎或以資源為基礎的政策,當中的明確允許會覆寫此預設值。
-
如果有許可界限、Organizations SCP 或工作階段政策,則其可能會以隱含拒絕覆寫該允許。
-
任何政策中的明確拒絕會覆寫任何允許。
在您的請求經過身分驗證和獲授權,AWS 會核准該請求。如果您需要運用不同的帳戶來發出請求,則必須透過其他帳戶中的政策來允許您存取資源。此外,您用來發出請求的 IAM 實體必須具備可允許該請求的以身分為基礎政策。
存取管理資源
如需有關許可和建立政策的詳細資訊,請參閱以下資源:
在 AWS 安全部落格的以下項目涵蓋了編寫存取 Amazon S3 儲存貯體和物件政策的常見方式。
