Amazon Location Service 的身分型政策範例 - Amazon Location Service
政策最佳實務使用主控台允許使用者檢視他們自己的許可在政策中使用 Amazon Location Service 資源更新裝置位置追蹤器的唯讀政策建立地理位置地理的唯讀政策呈現地圖資源使用位置索引搜尋路由計算器的唯讀政策根據條件索引鍵控制資源存取根據標籤控制資源存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Location Service 的身分型政策範例

根據預設,使用者和角色沒有建立或修改 Amazon Location 資源的許可。他們也無法使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 來執行任務 AWS API。若要授予使用者對所需資源執行動作的許可,IAM管理員可以建立IAM政策。然後,管理員可以將IAM政策新增至角色,使用者可以擔任角色。

若要了解如何使用這些範例政策文件來建立IAM身分型JSON政策,請參閱 IAM 使用者指南 中的建立IAM政策

如需 Amazon Location 定義的動作和資源類型的詳細資訊,包括ARNs每種資源類型的 的格式,請參閱服務授權參考 中的 Amazon Location Service 的動作、資源和條件金鑰

政策最佳實務

身分型政策會決定某人是否可以在帳戶中建立、存取或刪除 Amazon Location 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:

  • 開始使用 AWS 受管政策並邁向最低權限許可 – 若要開始將許可授予您的使用者和工作負載,請使用針對許多常見使用案例授予許可的 AWS 受管政策。它們可在您的 中使用 AWS 帳戶。建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需詳細資訊,請參閱 IAM 使用者指南 中的 AWS 受管政策AWS 受管政策。

  • 套用最低權限許可 – 當您使用IAM政策設定許可時, 只會授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。如需使用 IAM 套用許可的詳細資訊,請參閱 IAM 使用者指南 中的政策和許可IAM

  • 使用IAM政策中的條件來進一步限制存取:您可以將條件新增至政策,以限制對動作和資源的存取。例如,您可以撰寫政策條件來指定所有請求都必須使用 傳送SSL。如果透過特定 使用服務動作,例如 AWS 服務,您也可以使用 條件來授予其存取權 AWS CloudFormation。如需詳細資訊,請參閱 IAM 使用者指南 中的IAMJSON政策元素:條件

  • 使用 IAM Access Analyzer 驗證您的IAM政策以確保安全且功能許可 – IAM Access Analyzer 會驗證新的和現有的政策,讓政策遵循IAM政策語言 (JSON) 和IAM最佳實務。IAM Access Analyzer 提供超過 100 個政策檢查和可操作的建議,協助您撰寫安全且實用的政策。如需詳細資訊,請參閱 IAM 使用者指南 中的IAM存取分析器政策驗證

  • 需要多重要素身分驗證 (MFA) – 如果您有需要IAM使用者或 根使用者的案例 AWS 帳戶,請開啟 MFA 以獲得額外的安全性。若要在呼叫API操作MFA時要求 ,請將MFA條件新增至您的政策。如需詳細資訊,請參閱 IAM 使用者指南 中的設定 MFA受保護的API存取

如需 中最佳實務的詳細資訊IAM,請參閱 IAM 使用者指南 中的安全最佳實務IAM

使用 Amazon Location 主控台

若要存取 Amazon Location Service 主控台,您必須具有一組最低許可。這些許可必須允許您列出和檢視 中 Amazon Location 資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。

對於僅對 AWS CLI 或 進行呼叫的使用者,您不需要允許最低主控台許可 AWS API。相反地,僅允許存取與其API嘗試執行的操作相符的動作。

為了確保使用者和角色可以使用 Amazon Location 主控台,請將下列政策連接至實體。如需詳細資訊,請參閱 IAM 使用者指南 中的新增許可給使用者

下列政策可讓您存取 Amazon Location Service 主控台,以建立、刪除、列出和檢視帳戶中 AWS Amazon Location 資源的詳細資訊。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GeoPowerUser",
      "Effect": "Allow",
      "Action": [
        "geo:*"
      ],
      "Resource": "*"
    }
  ]
}

或者,您可以授予唯讀許可,以方便唯讀存取。使用唯讀許可時,如果使用者嘗試寫入例如建立或刪除資源的動作,則會顯示錯誤訊息。例如,請參閱 追蹤器資源的唯讀政策

允許使用者檢視他們自己的許可

此範例示範如何建立政策,允許使用者檢視連接至其IAM使用者身分的內嵌和受管政策。此政策包含在主控台上完成此動作或使用 AWS CLI 或 以程式設計方式完成此動作的許可 AWS API。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

在政策中使用 Amazon Location Service 資源

Amazon Location Service 會針對 資源使用下列字首:

Amazon Location 資源字首
資源 資源字首
映射資源 map
放置資源 place-index
路由資源 route-calculator
追蹤資源 tracker
Geofence 集合資源 geofence-collection

使用下列ARN語法:

arn:Partition:geo:Region:Account:ResourcePrefix/ResourceName

如需有關 格式的詳細資訊ARNs,請參閱 Amazon Resource Names (ARNs) AWS 和服務命名空間

範例

  • 使用下列項目ARN允許存取指定的映射資源。

    "Resource": "arn:aws:geo:us-west-2:account-id:map/map-resource-name"

  • 若要指定對屬於特定帳戶的所有map資源的存取,請使用萬用字元 (*):

    "Resource": "arn:aws:geo:us-west-2:account-id:map/*"

  • 某些 Amazon Location 動作,例如用於建立資源的動作,無法對特定資源執行。在這些情況下,您必須使用萬用字元 (*)。

    "Resource": "*"

若要查看 Amazon Location 資源類型及其 的清單ARNs,請參閱服務授權參考 中的 Amazon Location Service 定義的資源。若要了解您可以使用哪些動作指定每個資源ARN的 ,請參閱 Amazon Location Service 定義的動作。

更新裝置位置的許可

若要更新多個追蹤器的裝置位置,您需要授予使用者對一或多個追蹤器資源的存取權。您也想要允許使用者更新一批裝置位置。

在此範例中,除了授予對 的存取權之外 Tracker1 以及 Tracker2 資源,下列政策授予許可,以針對 使用 geo:BatchUpdateDevicePosition 動作 Tracker1 以及 Tracker2 的費用。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateDevicePositions",
      "Effect": "Allow",
      "Action": [
        "geo:BatchUpdateDevicePosition"
      ],
      "Resource": [
        "arn:aws:geo:us-west-2:account-id:tracker/Tracker1",
        "arn:aws:geo:us-west-2:account-id:tracker/Tracker2"
      ]
    }
  ]
}

如果您想要將使用者限制為只能更新特定裝置的裝置位置,您可以為該裝置 ID 新增條件金鑰。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateDevicePositions",
      "Effect": "Allow",
      "Action": [
        "geo:BatchUpdateDevicePosition"
      ],
      "Resource": [
        "arn:aws:geo:us-west-2:account-id:tracker/Tracker1",
        "arn:aws:geo:us-west-2:account-id:tracker/Tracker2"
      ],
      "Condition":{
        "ForAllValues:StringLike":{
          "geo:DeviceIds":[
            "deviceId"
          ]
        }
      }
    }
  ]
}

追蹤器資源的唯讀政策

若要為 AWS 帳戶中所有追蹤器資源建立唯讀政策,您需要授予所有追蹤器資源的存取權。您還需要授予使用者存取動作的存取權,以允許使用者取得多個裝置的裝置位置、從單一裝置取得裝置位置,以及取得位置歷史記錄。

在此範例中,下列政策會授予下列動作的許可:

  • geo:BatchGetDevicePosition 擷取多個裝置的位置。

  • geo:GetDevicePosition 擷取單一裝置的位置。

  • geo:GetDevicePositionHistory 擷取裝置的位置歷史記錄。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GetDevicePositions",
      "Effect": "Allow",
      "Action": [
        "geo:BatchGetDevicePosition",
        "geo:GetDevicePosition",
        "geo:GetDevicePositionHistory"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:tracker/*"
    }
  ]
}

建立地理的政策

若要建立政策以允許使用者建立地理,您需要授予特定動作的存取權,以允許使用者在地理集合上建立一或多個地理。

下列政策授予 的下列動作許可 Collection:

  • geo:BatchPutGeofence 以建立多個地理位置。

  • geo:PutGeofence 以建立單一地理。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateGeofences",
      "Effect": "Allow",
      "Action": [
        "geo:BatchPutGeofence",
        "geo:PutGeofence"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection"
    }
  ]
}

地理的唯讀政策

若要為儲存在 AWS 帳戶中地理集合中的地理集建立唯讀政策,您需要授予存取權,以存取從儲存地理集的地理集合讀取的動作。

下列政策授予 的下列動作許可 Collection:

  • geo:ListGeofences 列出指定地理位置集合中的地理位置。

  • geo:GetGeofence 從地理集擷取地理圍欄。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GetGeofences",
      "Effect": "Allow",
      "Action": [
        "geo:ListGeofences",
        "geo:GetGeofence"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection"
    }
  ]
}

轉譯映射資源的許可

若要授予足夠的許可來呈現地圖,您需要授予對地圖動態磚、稜鏡、字形和樣式描述符的存取權:

  • geo:GetMapTile 會擷取用於選擇性地轉譯地圖上特徵的地圖動態磚。

  • geo:GetMapSprites 會擷取虛PNG構工作表和描述其中偏移的對應JSON文件。

  • geo:GetMapGlyphs 會擷取用於顯示文字的 Glyph。

  • geo:GetMapStyleDescriptor 會擷取地圖的樣式描述符,其中包含轉譯規則。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GetTiles",
      "Effect": "Allow",
      "Action": [
        "geo:GetMapTile",
        "geo:GetMapSprites",
        "geo:GetMapGlyphs",
        "geo:GetMapStyleDescriptor"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:map/Map"
    }
  ]
}

允許搜尋操作的許可

若要建立政策以允許搜尋操作,您必須先授予 AWS 帳戶中位置索引資源的存取權。您還需要授予對 動作的存取權,讓使用者使用文字進行地理編碼搜尋,並使用位置進行反向地理編碼搜尋。

在此範例中,除了授予 的存取權之外 PlaceIndex,下列政策也會授予下列動作的許可:

  • geo:SearchPlaceIndexForPosition 可讓您搜尋指定位置附近的位置或興趣點。

  • geo:SearchPlaceIndexForText 可讓您使用自由格式文字搜尋地址、名稱、城市或區域。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Search",
      "Effect": "Allow",
      "Action": [
        "geo:SearchPlaceIndexForPosition",
        "geo:SearchPlaceIndexForText"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:place-index/PlaceIndex"
    }
  ]
}

路由計算器的唯讀政策

您可以建立唯讀政策,以允許使用者存取路由計算器資源來計算路由。

在此範例中,除了授予 的存取權之外 ExampleCalculator,下列政策會授予下列操作的許可:

  • geo:CalculateRoute 計算指定出發位置、目的地位置和航點位置清單的路由。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RoutesReadOnly",
      "Effect": "Allow",
      "Action": [
        "geo:CalculateRoute"
      ],
      "Resource": "arn:aws:geo:us-west-2:accountID:route-calculator/ExampleCalculator"
    }
  ]
}

根據條件索引鍵控制資源存取

當您建立IAM政策以授予使用地理或裝置位置的存取權時,您可以使用條件運算子來更精確地控制使用者可以存取的地理或裝置。您可以在政策的 Condition元素中包含地理 ID 或裝置 ID,以執行此操作。

下列範例政策示範如何建立政策,允許使用者更新特定裝置的裝置位置。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateDevicePositions",
      "Effect": "Allow",
      "Action": [
        "geo:BatchUpdateDevicePosition"
      ],
      "Resource": [
        "arn:aws:geo:us-west-2:account-id:tracker/Tracker"
      ],
      "Condition":{
        "ForAllValues:StringLike":{
          "geo:DeviceIds":[
            "deviceId"
          ]
        }
      }
    }
  ]
}

根據標籤控制資源存取

當您建立IAM政策以授予存取以使用您的 Amazon Location 資源時,您可以使用屬性型存取控制,以更好地控制使用者可以修改、使用或刪除哪些資源。您可以在政策的 Condition元素中包含標籤資訊,以根據資源標籤 控制存取權。

下列範例政策示範如何建立允許使用者建立地理權的政策。這將授予下列動作的許可,以在名為 的地理集合上建立一或多個地理 Collection:

  • geo:BatchPutGeofence 以建立多個地理位置。

  • geo:PutGeofence 以建立單一地理。

不過,此政策只會在 Condition Collection 標籤 Owner具有該使用者使用者名稱的值。

  • 例如,如果名為 的使用者richard-roe嘗試檢視 Amazon Location CollectionCollection 必須標記 Owner=richard-roeowner=richard-roe。否則使用者會被拒絕存取。

    注意

    條件標籤鍵 Owner 符合 Ownerowner,因為條件索引鍵名稱不區分大小寫。如需詳細資訊,請參閱 IAM 使用者指南 中的IAMJSON政策元素:條件

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateGeofencesIfOwner",
      "Effect": "Allow",
      "Action": [
        "geo:BatchPutGeofence",
        "geo:PutGeofence"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection",
      "Condition": {
                "StringEquals": {"geo:ResourceTag/Owner": "${aws:username}"}
      }
    }
  ]
}

如需如何定義根據標籤存取AWS資源許可的教學課程,請參閱 AWS Identity and Access Management 使用者指南