處理請求內容

動作：主體想要執行的動作。

資源 – 執行動作或操作 AWS 的資源物件。

主體：傳送請求的使用者、角色或聯合身分使用者。有關主體的資訊，包括與該主體相關聯的政策。

環境資料 – IP 地址、使用者代理程式、啟用 SSL 的狀態或一天中時間的相關資訊。

資源資料 – 與所請求資源相關的資料。這可以包括諸如 DynamoDB 資料表名稱或 Amazon EC2 執行個體上之標籤的資訊。

AWS Organizations 資源控制政策 RCPs) – Organizations RCPs會指定組織或組織單位 (OU) 中帳戶內資源的可用許可上限。RCP 適用於成員帳戶中的資源，並會影響主體的有效許可，包括 AWS 帳戶根使用者在內，無論主體是否屬於您的組織。RCP 不適用於組織管理帳戶中的資源，以及由服務連結角色進行的呼叫。

AWS Organizations 服務控制政策 SCPs) – Organizations SCPs指定組織或組織單位 (OU) 中帳戶內主體的可用許可上限。SCPs適用於成員帳戶中的主體，包括每個主體 AWS 帳戶根使用者。如果 SCP 存在，則只有在 SCP 允許該動作時，身分型和資源型政策授予給成員帳戶中主體的許可才有效。唯一的例外是組織管理帳戶中的主體和服務連結角色。

資源型政策：資源型政策會為政策中指定的主體授予許可。這些許可會定義主體可以對政策連接於其中的資源做哪些動作。

IAM 許可界限：許可界限是一種功能，可負責設定身分型政策可以授予 IAM 實體 (使用者或角色) 的最大許可。當您為實體設定許可界限時，實體只能執行由身分型政策和其許可界限同時允許的動作。在某些情況下，許可界限中的隱含拒絕會限制資源型政策所授予的許可。如需詳細資訊，請參閱AWS 強制執行程式碼邏輯如何評估請求以允許或拒絕存取。

以身分為基礎的政策 – 以身分為基礎的政策會連接到 IAM 身分 (使用者、使用者群組或角色)，並且授予許可給 IAM 實體 (使用者與角色)。如果只有身分型政策適用於請求，則 AWS 會檢查所有這些政策中至少有一個 Allow。

工作階段政策：工作階段政策是在以程式設計方式為角色或聯合身分使用者建立臨時工作階段時作為參數傳遞的政策。若要以程式設計方式建立角色工作階段，請使用其中一種 AssumeRole* API 操作。當您這麼做且傳遞工作階段政策時，所產生工作階段的許可會是 IAM 實體的身分類型政策和工作階段政策的交集。若要建立聯合身分使用者工作階段，您要使用 IAM 使用者存取金鑰，以程式設計的方式來呼叫 GetFederationToken API 操作。如需詳細資訊，請參閱工作階段政策。