Amazon API 閘道的存取政策語言概觀 - Amazon API 网关
存取政策中的常用元素

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon API 閘道的存取政策語言概觀

本頁說明 Amazon API 閘道資源政策中使用的基本元素。

使用與策略相同的語法來指定資源IAM策略。如需完整的IAM策略語言資訊,請參閱《IAM使用指南》中的「AWS Identity and Access Management 策略和策略參考概觀」。

有關 AWS 服務如何決定應允許還是拒絕給定請求的詳細信息,請參閱確定請求是允許還是拒絕

存取政策中的常用元素

就其最基本意義而言,資源政策包含下列元素:

  • 資源 — APIs 是您可以允許或拒絕其許可的 Amazon API 閘道資源。在政策中,您可以使用 Amazon 資源名稱 (ARN) 來識別資源。您也可以使用縮寫語法,當您儲存資源策略ARN時,APIGateway 會自動展開為完整語法。如需進一步了解,請參閱API閘道資源策略範例

    如需完整 Resource 元素的格式,請參閱API在API閘道中執行的權限資源格式

  • 動作 — Amazon API 閘道針對每個資源支援一組操作。您可使用動作關鍵字,來識別允許 (或拒絕) 資源操作。

    例如,execute-api:Invoke權限將允許使用者權限API在用戶端要求時叫用。

    如需 Action 元素的格式,請參閱 API在API閘道中執行的權限動作格式

  • 效果 - 當使用者請求特定動作時會有什麼效果,它可以是 AllowDeny。您也可以明確拒絕存取資源,您可能會這樣做,以確保使用者無法存取資源,即使另有其他政策授予存取。

    注意

    「隱含拒絕」與「預設拒絕」是相同的。

    「隱含拒絕」與「明確拒絕」不同。如需詳細資訊,請參閱預設拒絕與明確拒絕間的差異

  • 委託人 - 允許存取陳述式中動作與資源的帳戶或使用者。在資源政策中,委託人是接收此許可的使用者或帳戶。

下列範例資源政策會顯示先前的常用政策元素。該策略授API予對指定的 account-id 在指定的 region 給來源 IP 位址位於位址區塊中的任何使用者 123.4.5.6/24。 API如果使用者的來源 IP 不在範圍內,則原則會拒絕對的所有存取。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}