授與資源總管檢視的存取權以進行搜尋 - AWS 資源總管
使用基於標籤的授權來控制對視圖的存取權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授與資源總管檢視的存取權以進行搜尋

您必須須須須須須須須須須須須須須須須須須須須須須須須須須須須須須須AWS 資源總管 若要這麼做,請對需要使用檢視進行搜尋的AWS Identity and Access Management (IAM) 主體使用以身分識別為基礎的權限原則。

若要提供存取權,請新增許可到您的使用者、群組或角色:

  • AWS IAM Identity Center 中的使用者和群組:

    建立許可集合。請遵循《AWS IAM Identity Center 使用者指南》建立許可集合中的指示。

  • 透過身分提供者在 IAM 中管理的使用者:

    建立聯合身分的角色。請遵循《IAM 使用者指南》為第三方身分提供者 (聯合) 建立角色中的指示。

  • IAM 使用者:

您可以使用下列任一方法:

  • 使用現有的AWS受管理策略。資源總管提供數個預先定義的AWS受管理策略供您使用。如需所有可用AWS受管理策略的詳細資訊,請參閱AWS 受管理的政策 AWS 資源總管

    例如,您可以使用AWSResourceExplorerReadOnlyAccess策略將搜尋權限授與帳戶中的所有檢視。

  • 建立您自己的權限原則,並將其指派給主參與者。如果您建立自己的政策,可以透過在政策陳述式的Resource元素中指定每個檢視的 Amazon 資源名稱 (ARN),以限制對單一檢視或可用檢視子集的存取。例如,您可以使用下列範例原則,授與該主參與者僅使用該檢視進行搜尋的能力。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView"
            ],
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyTestView/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
        }
    ]
}

    使用 IAM 主控台建立權限政策,並將其與需要這些權限的主體搭配使用。如需有關 IAM 許可的詳細資訊,請參閱下列主題:

使用基於標籤的授權來控制對視圖的存取權

如果您選擇使用僅傳回特定資源結果的篩選器來建立多個檢視表,則您可能還想要將這些檢視的存取限制為只有需要查看這些資源的主參與者。您可以使用以屬性為基礎的存取控制 (ABAC) 策略,為帳戶中的檢視提供這種類型的安全性。ABAC 使用的屬性是附加到試圖在其中執行作業的主參與者AWS和他們嘗試存取的資源的標籤。

ABAC 使用附加到主體的標準 IAM 許可政策。只有當附加到請求主參與者的標籤和附加到受影響資源的標籤都符合策略中的需求時,策略才會使用策略陳述式中的Condition元素來允許存取。

例如,您可以在支援公司生產應用程式的所有AWS資源上附加標籤"Environment" = "Production"。若要確保只有獲得授權可存取生產環境的主參與者才能看到這些資源,請建立使用該標籤作為篩選器的 Resource Explorer 檢視。然後,若要將檢視的存取限制為只有適當的主參與者,您可以使用條件類似下列範例元素的原則來授與權限。

{
    "Effect": "Allow",
    "Action": [ "service:Action1", "service:Action2" ],
    "Resource": "arn:aws:arn-of-a-resource",
    "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}

Condition在前面的範例中,指定有當附加至發出請求之主參與者的Environment標籤符合附加至請求中指定之資源的Environment標籤時,才允許此請求。如果這兩個標籤不完全匹配,或者缺少任何一個標籤,則資源總管拒絕該請求。

重要

若要成功使用 ABAC 來保護對資源的存取,您必須先限制對新增或修改附加至主參與者和資源之標籤的能力的存取。如果使用者可以新增或修改附加AWS主參與者或資源的標籤,則該使用者可以影響這些標籤所控制的權限。在安全的 ABAC 環境中,只有核准的安全性管理員有權新增或修改附加至主體的標籤,而且只有安全性管理員和資源擁有者可以新增或修改附加至資源的標籤。

如需如需如需如需如需如需如需如需如需如需如需如需如需有關如需如需如需如需如需如需需如需如需如

在您有必要的 ABAC 基礎結構之後,您可以使用 [開始使用標記] 控制誰可以使用您帳戶中的 [資源總管] 檢視進行搜尋。如需說明此原則的政策,請參閱下列範例: