本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 資源的存取管理
AWS Identity and Access Management (IAM) 是一種 Web 服務,可協助您安全地控制對 資源的 AWS 存取。當委託人在 中提出請求時 AWS, AWS 強制執行程式碼會檢查委託人是否經過身分驗證 (登入) 和授權 (具有許可)。您可以透過建立政策並將其連接至IAM身分或 AWS 資源 AWS 來管理 中的存取。政策是 AWS 其中JSON的文件,當連接至身分或資源時,定義其許可。如需有關政策類型及其使用的詳細資訊,請參閱 中的政策和許可 AWS Identity and Access Management。
如需有關其他身分驗證和授權程序的詳細資訊,請參閱 IAM 運作方式。
在授權期間, AWS 強制執行程式碼會使用請求內容的值來檢查相符的政策,並決定是否允許或拒絕請求。
AWS 會檢查套用至請求內容的每個政策。如果單一政策拒絕請求, 會 AWS 拒絕整個請求,並停止評估政策。此稱為明確拒絕。由於預設 拒絕請求,因此只有在適用政策允許請求的每個部分時, 才會IAM授權您的請求。用於單一帳戶中請求的評估邏輯遵循以下規則:
-
根據預設,所有的請求將以隱含方式拒絕。(此外,在預設情況下, AWS 帳戶根使用者 具有完整存取權限。)
-
若是以身分為基礎或以資源為基礎的政策,當中的明確允許會覆寫此預設值。
-
如果存在許可界限、 Organizations SCP或工作階段政策,則可能會覆寫隱含拒絕的允許。
-
任何政策中的明確拒絕會覆寫任何允許。
您的請求經過身分驗證和授權之後, 會 AWS 核准請求。如果您需要運用不同的帳戶來發出請求,則必須透過其他帳戶中的政策來允許您存取資源。此外,您用來提出請求的IAM實體必須具有允許請求的身分型政策。
存取管理資源
如需有關許可和建立政策的詳細資訊,請參閱以下資源:
AWS 安全部落格中的下列項目涵蓋撰寫政策以存取 Amazon S3 儲存貯體和物件的常見方法。
