本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Support 以識別為基礎的原則範例
依預設,IAM使用者和角色沒有建立或修改 AWS Support 資源的權限。他們也無法使用 AWS Management Console AWS CLI、或執行工作 AWS API。IAM管理員必須建立IAM政策,授與使用者和角色權限,才能對他們所需的指定資源執行特定API作業。然後,系統管理員必須將這些原則附加到需要這些權限的IAM使用者或群組。
若要瞭解如何使用這些範例原則文件建立以IAM身分識別為基礎的JSON策略,請參閱使用IAM者指南中的JSON索引標籤上的建立策略。
政策最佳實務
身分型政策相當強大。他們決定是否有人可以建立、存取或刪除您帳戶中的 AWS Support 資源。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
-
使用 AWS 受管政策開始使用 — 若要 AWS Support 快速開始使用,請使用 AWS 受管理的政策為您的員工提供所需的權限。這些政策已在您的帳戶中提供,並由 AWS維護和更新。如需詳細資訊,請參閱《使用指南》中的「IAM開始使用 AWS 受管理策略的權限」。
-
授予最低權限 – 當您建立自訂政策時,請只授予執行任務所需要的許可。以最小一組許可開始,然後依需要授予額外的許可。這比一開始使用太寬鬆的許可,稍後再嘗試將他們限縮更為安全。如需詳細資訊,請參閱《IAM使用指南》中的「授予最少權限」。
-
啟MFA用敏感作業 — 為了提高安全性,使用IAM者必須使用多重要素驗證 (MFA) 才能存取敏感資源或API作業。如需詳細資訊,請參閱《使用指南》中 AWS的〈使用多重要素驗證 (MFA)〉。IAM
-
使用政策條件以增加安全 – 在切實可行的範圍中,請定義您身分類型政策允許存取資源的條件。例如,您可以撰寫條件,指定請求必須來自一定的允許 IP 地址範圍。您也可以撰寫條件,僅允許指定日期或時間範圍內的要求,或要求使用SSL或MFA。如需詳細資訊,請參閱《IAM使用指南》中的IAMJSON策略元素:條件。
使用 AWS Support 主控台
若要存取 AWS Support 主控台,您必須擁有最少一組權限。這些權限必須允許您列出並檢視您 AWS 帳戶中 AWS Support 資源的詳細資料。如果您建立的以身分識別為基礎的原則比所需的最低權限更嚴格,則控制台將無法如預期用於具有該原則的實體 (IAM使用者或角色) 運作。
為了確保這些實體仍然可以使用 AWS Support 主控台,請同時將下列 AWS 受管理的原則附加至實體。如需詳細資訊,請參閱《使用指南》中的「向使用IAM者新增權限」:
您不需要為只對 AWS CLI 或撥打電話的使用者允許最低主控台權限 AWS API。相反地,只允許存取與您嘗試執行之API作業相符的動作。
允許使用者檢視他們自己的許可
此範例顯示如何建立原則,讓使IAM用者檢視附加至其使用者身分識別的內嵌和受管理原則。此原則包含在主控台上或以程式設計方式使用或完成此動作的 AWS CLI 權限 AWS API。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
