本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理資源存取
許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。
注意
本節討論IAM在「Con AWS trol Tower」中的使用方式。它不提供有關IAM服務的詳細信息。如需完整的IAM文件,請參閱什麼是IAM? 在《IAM使用者指南》中。如需有關IAM策略語法和說明的資訊,請參閱 AWS IAM《IAM使用者指南》中的政策參考。
附加至身分識別的原則稱為以IAM身分識別為基礎的原則 (原IAM則)。連接到資源的政策稱為資源型政策。
注意
AWSControl Tower 僅支援以身分識別為基礎的原則 (原IAM則)。
關於以身分為基礎的原則 (原則) IAM
您可以將原則附加至IAM身分識別。例如,您可以執行下列動作:
-
將權限原則附加至帳戶中的使用者或群組 — 若要授與使用者建立 AWS Control Tower 資源的權限 (例如設定 landing zone),您可以將權限原則附加至使用者所屬的使用者或群組。
-
將權限原則附加至角色 (授與跨帳戶權限) — 您可以將以身分為基礎的權限原則附加至IAM角色,以授與跨帳戶權限。例如,一個管理員 AWS 帳戶(帳戶 A)可以創建一個角色,將跨帳戶權限授予另一個帳戶 AWS 帳號 (帳戶 B),或管理員可以建立授與其他人權限的角色 AWS 服務。
-
帳號 A 系統管理員會建立IAM角色,並將權限原則附加至授與管理帳戶 A 中資源之權限的角色。
-
帳戶 A 系統管理員會將信任原則附加至角色。策略會將帳戶 B 識別為可擔任該角色的主參與者。
-
身為主體,帳戶 B 管理員可以授與帳戶 B 中的任何使用者擔任該角色的權限。透過假設該角色,帳戶 B 中的使用者可以建立或取得帳戶 A 中的資源存取權。
若要授予 AWS 服務承擔角色的能力(權限),您在信任策略中指定的主體可以是 AWS 服務。
-
資源型政策
其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。AWSControl Tower 不支援以資源為基礎的政策。
