本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 基本原則 Amazon SWF 存取控制主要基於兩種類型的許可: + 資源許可:使用者可以存取哪些 Amazon SWF 資源。 您只可以表達網域的資源許可。 + API 許可:使用者可以呼叫哪些 Amazon SWF 動作。 最簡單的方法是授予完整帳戶存取權,或呼叫任何網域中的任何 Amazon SWF 動作,或完全拒絕存取權。不過,IAM 支援更精細的存取控制方法,通常更實用。例如,您可以: + 允許使用者在沒有限制的情況下呼叫任何 Amazon SWF 動作,但僅限於指定的網域。您可以使用這類政策允許正在開發的工作流程應用程式使用任何動作,但僅限「沙盒」網域。 + 允許使用者存取任何網域,但限制使用者使用 API 的方式。您可以使用這類政策允許「稽核員」應用程式呼叫任何網域中的 API,但僅允許讀取存取。 + 允許使用者在特定網域中只呼叫一組有限的動作。您可以使用這類政策允許工作流程啟動者在指定的網域中僅呼叫 `StartWorkflowExecution` 動作。 Amazon SWF 存取控制是以下列原則為基礎: + 存取控制決策僅根據 IAM 政策;所有政策稽核和操作都是透過 IAM 完成。 + 存取控制模型會使用預設拒絕政策;任何未明確允許的存取權皆予以拒絕。 + 您可以將適當的 IAM 政策連接至工作流程的演員,以控制對 Amazon SWF 資源的存取。 + 僅能表達網域的資源許可。 + 您可以將條件套用至一或多個參數,從而進一步限制部分動作的使用。 + 如果您授予 [RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html) 的使用許可,則可以表達該動作中所含決策清單的許可。 每個決策都會有一或多個參數,有如一般的 API 呼叫。若要允許政策更易讀取,您可以表達決策的許可,有如實際 API 呼叫一樣,包含將條件套用至一些參數。這些類型的許可稱為「虛擬 API」**許可。 如需可使用條件限制之一般和虛擬 API 參數的摘要,請參閱「[API 摘要](swf-dev-iam.api.md)」。