本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 AWS Control Tower 資源存取權限的概觀
每 AWS 資源所擁有 AWS 帳戶,以及建立或取得資源存取權的權限由權限原則控制。帳戶管理員可以將權限原則附加至IAM身分識別 (也就是使用者、群組和角色)。一些服務(例如 AWS Lambda) 也支援將權限原則附加至資源。
注意
「帳戶管理員」 (或管理員) 是具有管理員權限的使用者。若要取得更多資訊,請參閱《IAM使用指南》中的IAM最佳作法。
當您負責將權限授與使用者或角色時,您必須知道並追蹤需要權限的使用者和角色、每個使用者和角色需要權限的資源,以及操作這些資源所必須允許的特定動作。
AWSControl Tower 資源與營運
在 AWS Control Tower 中,主要資源是一個 landing zone。AWSControl Tower 也支援額外的資源類型、控制項,有時也稱為護欄。但是,對於「Con AWS trol Tower」,您只能在現有 landing zone 的環境中管理控制項。控制項可稱為子資源。
中的資源和子資源 AWS 具有與之相關聯的唯一 Amazon 資源名稱 (ARNs),如下列範例所示。
| 資源類型 | ARN格式 |
|---|---|
| 檔案系統 | arn:aws:elasticfilesystem: |
AWSControl Tower 提供了一組API操作,可與 AWS Control Tower 資源搭配使用。如需可用作業的清單,請參閱 AWS Control Tower API參考資料的 AWS Control Tower。
如需有關的更多資訊 AWS CloudFormation AWSControl Tower 中的資源,請參閱 AWS CloudFormation 使用者指南。
關於資源擁有權
所以此 AWS 帳號擁有在帳號中建立的資源,無論是誰建立資源。具體而言,資源擁有者是 AWS 主要實體的帳戶 (即, AWS 帳戶 驗證資源建立請求的 root 使用IAM者、IAM身分識別中心使用者、使用者或IAM角色。下列範例說明其如何運作:
-
如果您使用 AWS 您的帳戶根用戶憑據 AWS 帳戶設置 landing zone,您的 AWS 帳號是資源的擁有者。
-
如果您在 IAM AWS 帳戶並授予該用戶設置 landing zone 域的權限,只要他們的帳戶符合先決條件,用戶就可以設置 landing zone 域。但是,您的 AWS 帳號 (使用者所屬) 擁有 landing zone 域資源。
-
如果您IAM在 AWS 具有設定 landing zone 域權限的帳戶,任何可以擔任該角色的人都可以設定 landing zone 域。您的 AWS 角色所屬的帳號擁有 landing zone 資源。
指定策略元素:動作、效果和主參與者
您可以透過 Con AWS trol Tower 主控台或 landing zone 來設定和管理您的 landing zone APIs。若要設定您的 landing zone,您必須是具有政IAM策中所定義之管理權限的IAM使用者。
以下是您可以在策略中識別的最基本元素:
-
資源 — 在政策中,您可以使用 Amazon 資源名稱 (ARN) 來識別適用政策的資源。如需詳細資訊,請參閱AWSControl Tower 資源與營運。
-
動作:使用動作關鍵字識別您要允許或拒絕的資源操作。如需有關可執行之動作類型的詳細資訊,請參閱 AWSControl Tower 定義的動作。
-
效果 - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
-
主體 — 在以識別為基礎的原IAM則 (原則) 中,附加原則的使用者是隱含的主體。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。AWSControl Tower 不支援以資源為基礎的政策。
若要深入了解IAM原則語法和說明,請參閱 AWS IAM《IAM使用者指南》中的政策參考。
在政策中指定條件
授與權限時,您可以使用IAM原則語言來指定原則生效的條件。例如,建議只在特定日期之後套用政策。如需有關以策略語言指定條件的詳細資訊,請參閱《IAM使用指南》中的「條件」。
若要表示條件,您可以使用預先定義的條件索引鍵。AWSControl Tower 沒有特定條件鍵。但是,有 AWS-寬條件鍵,您可以根據需要使用。有關的完整列表 AWS---請參閱《IAM使用指南》中的「條件的可用金鑰」。
