本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 IAM 角色政策陳述式限制許可 AMS 使用 IAM 角色,透過聯合服務設定使用者許可。 **單一帳戶登陸區域 AMS**:請參閱 [SALZ:預設 IAM 使用者角色](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role)。 **多帳戶登陸區域 AMS**:請參閱 [MALZ:預設 IAM 使用者角色](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz)。 IAM 角色是定義一組發出 AWS 服務請求許可的 IAM 實體。IAM 角色不會與特定使用者或群組相關聯。相反地,信任的實體會擔任 角色,例如 IAM 使用者、應用程式 AWS 或服務,例如 Amazon EC2。如需詳細資訊,請參閱 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。 您可以使用 AWS Security Token Service (STS) API 操作 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html),在`Policy`請求欄位下傳遞更嚴格的 IAM 政策,來縮小擔任 AMS IAM 使用者角色的使用者所需的政策範圍。 接下來會提供可用來限制 CT 存取的政策陳述式範例。 使用您設定的 Active Directory (AD) 群組和 AWS Security Token Service (STS) API 操作 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html),您可以為特定使用者或群組設定許可,包括限制對特定變更類型 (CTs存取。您可以使用下列政策陳述式,以各種方式限制 CT 存取。 預設 IAM 執行個體描述檔中的 AMS 變更類型陳述式,允許存取所有 AMS API 呼叫 (amscm 和 amsskms) 和所有變更類型: ``` { "Sid": "AWSManagedServicesFullAccess", "Effect": "Allow", "Action": [ "amscm:*", "amsskms:*" ], "Resource": [ "*" ] } ``` 1. 僅允許兩個指定 CTs的存取和所有動作的陳述式,其中「動作」是 AMS API 操作 ( `amscm`或 `amsskms`),而「資源」代表現有的變更類型 IDs和版本編號: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "amscm:*", "Resource": [ "arn:aws:amscm:*:*:changetype/ct-ID1:1.0", "arn:aws:amscm:*:*:changetype/ct-ID2:1.0" ] } ] } ``` ------ 1. 僅允許對兩個指定 CT 存取 CreateRfc、UpdateRfc 和 SubmitRfc 的陳述式: CTs 1. 允許在所有可用的 CT 上存取 CreateRfc、UpdateRfc 和 SubmitRfc 的陳述式: CTs 1. 拒絕限制 CT 上所有動作存取並允許其他 CTs的陳述式: