本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS App Studio 和 AWS Identity and Access Management (IAM)
<a name="security-iam"></a>

在 AWS App Studio 中，您可以透過將 IAM Identity Center 中的群組指派給 App Studio 中的適當角色，來管理服務的存取和許可。群組成員的許可取決於指派的角色，而不是直接在 AWS Identity and Access Management (IAM) 中設定使用者、角色或許可。如需在 App Studio 中管理存取和許可的詳細資訊，請參閱 [在 App Studio 中管理存取和角色](managing-access-and-roles.md)。

App Studio 在驗證執行個體進行計費時，以及連線到 AWS 帳戶以建立和使用該 AWS 帳戶中的資源時，會與 IAM 整合。如需將 App Studio 連線至其他 AWS 服務以在應用程式中使用的資訊，請參閱 [連線至 AWS 服務](add-connector-services.md)。

當您在 App Studio 中建立執行個體時，您必須連接 AWS 帳戶做為執行個體的帳單和管理帳戶。為了啟用關鍵功能，App Studio 也會建立 [IAM 服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)，為服務提供必要的許可，以代表您執行任務。

AWS Identity and Access Management (IAM) 是 AWS 服務 ，可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行身分驗證* （登入） 和*授權* （具有許可） 來使用 App Studio 資源。IAM 是您可以免費使用 AWS 服務 的 。

**Topics**
+ [App Studio 的身分型政策](#security_iam_service-with-iam-id-based-policies)
+ [App Studio 中的資源型政策](#security_iam_service-with-iam-resource-based-policies)
+ [App Studio 的政策動作](#security_iam_service-with-iam-id-based-policies-actions)
+ [App Studio 的政策資源](#security_iam_service-with-iam-id-based-policies-resources)
+ [App Studio 的政策條件索引鍵](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [App Studio ACLs](#security_iam_service-with-iam-acls)
+ [ABAC 搭配 App Studio](#security_iam_service-with-iam-tags)
+ [搭配 App Studio 使用臨時登入資料](#security_iam_service-with-iam-roles-tempcreds)
+ [App Studio 的跨服務主體許可](#security_iam_service-with-iam-principal-permissions)
+ [App Studio 的服務角色](#security_iam_service-with-iam-roles-service)
+ [App Studio 的服務連結角色](#security_iam_service-with-iam-roles-service-linked)
+ [AWS AWS App Studio 的 受管政策](security-iam-awsmanpol.md)
+ [App Studio 的服務連結角色](appstudio-service-linked-roles.md)
+ [AWS App Studio 的身分型政策範例](security_iam_id-based-policy-examples.md)

在您使用 IAM 管理 App Studio 的存取權之前，請先了解哪些 IAM 功能可與 App Studio 搭配使用。


**您可以搭配 AWS App Studio 使用的 IAM 功能**  

| IAM 功能 | App Studio 支援 | 
| --- | --- | 
|  [身分型政策](#security_iam_service-with-iam-id-based-policies)  |   是  | 
|  [資源型政策](#security_iam_service-with-iam-resource-based-policies)  |   否   | 
|  [政策動作](#security_iam_service-with-iam-id-based-policies-actions)  |   是  | 
|  [政策資源](#security_iam_service-with-iam-id-based-policies-resources)  |   是  | 
|  [政策條件索引鍵](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   否   | 
|  [ACL](#security_iam_service-with-iam-acls)  |   否   | 
|  [ABAC(政策中的標籤)](#security_iam_service-with-iam-tags)  |   否   | 
|  [臨時憑證](#security_iam_service-with-iam-roles-tempcreds)  |   是  | 
|  [主體許可](#security_iam_service-with-iam-principal-permissions)  |   是  | 
|  [服務角色](#security_iam_service-with-iam-roles-service)  |   是  | 
|  [服務連結角色](#security_iam_service-with-iam-roles-service-linked)  |   是  | 

若要全面了解 App Studio 和其他 AWS 服務如何與大多數 IAM 功能搭配使用，請參閱《[AWS IAM 使用者指南》中的與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **

## App Studio 的身分型政策
<a name="security_iam_service-with-iam-id-based-policies"></a>

**支援身分型政策：**是

身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策，請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。

使用 IAM 身分型政策，您可以指定允許或拒絕的動作和資源，以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素，請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

### App Studio 的身分型政策範例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

若要檢視 App Studio 身分型政策的範例，請參閱 [AWS App Studio 的身分型政策範例](security_iam_id-based-policy-examples.md)。

## App Studio 中的資源型政策
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**支援資源型政策：**否 

資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM *角色信任政策*和 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中，服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源，政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委託人可以包含帳戶、使用者、角色、聯合身分使用者或 AWS 服務。

如需啟用跨帳戶存取權，您可以在其他帳戶內指定所有帳戶或 IAM 實體作為資源型政策的主體。如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。

## App Studio 的政策動作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**支援政策動作：**是

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。

若要查看 App Studio 動作清單，請參閱*服務授權參考*中的 [AWS App Studio 定義的動作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html#awsappstudio-actions-as-permissions)。

App Studio 中的政策動作在動作之前使用以下字首：

```
appstudio
```

若要在單一陳述式中指定多個動作，請用逗號分隔。

```
"Action": [
      "appstudio:action1",
      "appstudio:action2"
         ]
```

下列陳述式列出 App Studio 中的所有動作：

## App Studio 的政策資源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**支援政策資源：**是

App Studio 許可僅支援政策 `Resource`元素中的萬用字元 (`*`)。

## App Studio 的政策條件索引鍵
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**支援服務特定政策條件金鑰：**否 

App Studio 不支援政策條件索引鍵。

## App Studio ACLs
<a name="security_iam_service-with-iam-acls"></a>

**支援 ACL：**否 

存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策，但它們不使用 JSON 政策文件格式。

## ABAC 搭配 App Studio
<a name="security_iam_service-with-iam-tags"></a>

**支援 ABAC (政策中的標籤)：**否 

App Studio 不支援屬性型存取控制 (ABAC)。

## 搭配 App Studio 使用臨時登入資料
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**支援臨時憑證：**是

臨時登入資料提供對 AWS 資源的短期存取，並在您使用聯合或切換角色時自動建立。 AWS 建議您動態產生臨時登入資料，而不是使用長期存取金鑰。如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

## App Studio 的跨服務主體許可
<a name="security_iam_service-with-iam-principal-permissions"></a>

**支援轉寄存取工作階段 (FAS)：**是

 轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務，並結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊，請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。

## App Studio 的服務角色
<a name="security_iam_service-with-iam-roles-service"></a>

**支援服務角色：**是

 服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)，可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。

AWS App Studio 對某些功能使用 [IAM 服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)，以授予 App Studio 代表您執行任務的許可。當您設定 App Studio 時，主控台會自動為支援的功能建立服務角色。

**警告**  
變更服務角色的許可可能會中斷 App Studio 功能。只有在 App Studio 提供指引時，才能編輯服務角色。

## App Studio 的服務連結角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**支援服務連結角色：**是

 服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ，並由服務擁有。IAM 管理員可以檢視，但不能編輯服務連結角色的許可。

如需建立或管理服務連結角色的詳細資訊，請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在資料表中尋找服務，其中包含**服務連結角色**欄中的 `Yes`。選擇**是**連結，以檢視該服務的服務連結角色文件。