本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 CloudFormation 機制管理 AWS SAM 許可
<a name="sam-permissions-cloudformation"></a>

若要控制對 AWS 資源的存取， AWS Serverless Application Model (AWS SAM) 可以使用與 相同的機制 CloudFormation。如需詳細資訊，請參閱《*AWS CloudFormation 使用者指南*》中的[使用 AWS Identity and Access Management控制存取權限](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html)。

授予使用者管理無伺服器應用程式的許可有三個主要選項。每個選項都會為使用者提供不同層級的存取控制。
+ 授予管理員許可。
+ 連接必要的 AWS 受管政策。
+ 授予特定 AWS Identity and Access Management (IAM) 許可。

根據您選擇的選項，使用者只能管理包含他們有權存取之 AWS 資源的無伺服器應用程式。

以下各節會更詳細地描述每個選項。

## 授予管理員許可
<a name="sam-permissions-cloudformation-admin"></a>

如果您將管理員許可授予使用者，他們可以管理包含任意 AWS 資源組合的無伺服器應用程式。這是最簡單的選項，但也會授予使用者最廣泛的許可集，因此可讓使用者執行具有最高影響的動作。

如需將管理員許可授予使用者的詳細資訊，請參閱《[IAM 使用者指南》中的建立您的第一個 IAM 管理員使用者和群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)。 **

## 連接必要的 AWS 受管政策
<a name="sam-permissions-cloudformation-managed-policies"></a>

您可以使用 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)授予使用者一部分的許可，而不是授予完整的管理員許可。如果您使用此選項，請確定一組 AWS 受管政策涵蓋使用者管理的無伺服器應用程式所需的所有動作和資源。

例如，下列 AWS 受管政策足以[部署範例 Hello World 應用程式](serverless-getting-started-hello-world.md)：
+ AWSCloudFormationFullAccess
+ IAMFullAccess
+ AWSLambda\$1FullAccess
+ AmazonAPIGatewayAdministrator
+ AmazonS3FullAccess
+ AmazonEC2ContainerRegistryFullAccess

 如需將政策連接至 IAM 使用者的資訊，請參閱《[IAM 使用者指南》中的變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。 **

## 授予特定 IAM 許可
<a name="sam-permissions-cloudformation-policy-statement"></a>

對於最精細的存取控制層級，您可以使用[政策陳述](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html)式將特定 IAM 許可授予使用者。如果您使用此選項，請確定政策陳述式包含使用者管理的無伺服器應用程式所需的所有動作和資源。

使用此選項的最佳實務是拒絕使用者建立角色的許可，包括 Lambda 執行角色，以便他們無法授予自己提升的許可。因此，身為管理員的您必須先建立 [Lambda 執行角色](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)，該角色將在使用者將管理的無伺服器應用程式中指定。如需建立 Lambda 執行角色的資訊，請參閱 [IAM 主控台中的建立執行角色](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html#permissions-executionrole-console)。

對於[範例 Hello World 應用程式](serverless-getting-started-hello-world.md)，**AWSLambdaBasicExecutionRole** 足以執行應用程式。建立 Lambda 執行角色之後，請修改範例 Hello World 應用程式的 AWS SAM 範本檔案，將下列屬性新增至`AWS::Serverless::Function`資源：

```
  Role: lambda-execution-role-arn
```

使用修改過的 Hello World 應用程式時，下列政策陳述式會授予足夠許可，讓使用者部署、更新和刪除應用程式：

**注意**  
本節中的範例政策陳述式會授予足夠的許可，讓您部署、更新和刪除[範例 Hello World 應用程式](serverless-getting-started-hello-world.md)。如果您將其他資源類型新增至應用程式，則需要更新政策陳述式以包含下列項目：  
您的應用程式呼叫服務動作的許可。
服務主體，如果服務動作需要的話。
例如，如果您新增 Step Functions 工作流程，您可能需要新增[此處](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstepfunctions.html#awsstepfunctions-actions-as-permissions)所列動作的許可和服務`states.amazonaws.com`主體。

如需 IAM 政策的詳細資訊，請參閱《[IAM 使用者指南》中的管理 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。 **