# 使用 API Gateway 资源策略控制对 API 的访问
<a name="apigateway-resource-policies"></a>

Amazon API Gateway *资源策略*是您附加到 API 的 JSON 策略文档，用于控制指定的主体（通常是 IAM 角色或组）能否调用 API。您可以使用 API Gateway 资源策略来允许 API 安全地被以下对象调用：
+ 指定的 AWS 账户中的用户
+ 指定源 IP 地址范围或 CIDR 块
+ 指定的 Virtual Private Cloud (VPC) 或 VPC 端点（在任何账户中）。

您可以使用 AWS 管理控制台、AWS CLI 或 AWS SDK，为 API Gateway 中的任何 API 端点类型附加资源策略。对于 [私有 API](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html)，您可以将资源策略与 VPC 端点策略一起使用，控制委托人有权访问哪些资源和操作。有关更多信息，请参阅 [在 API Gateway 中为私有 API 使用 VPC 端点策略](apigateway-vpc-endpoint-policies.md)。

 API Gateway 资源策略与基于 IAM 身份的策略不同。基于 IAM 身份的策略附加到 IAM 用户、组或角色并定义这些身份能够对哪些资源执行哪些操作。API Gateway 资源策略是附加到资源的。您可以同时使用 API Gateway 资源策略和 IAM 策略。有关更多信息，请参阅[基于身份的策略和基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。

**Topics**
+ [Amazon API Gateway 的访问策略语言概述](apigateway-control-access-policy-language-overview.md)
+ [API Gateway 资源策略如何影响授权工作流程](apigateway-authorization-flow.md)
+ [API Gateway 资源策略示例](apigateway-resource-policies-examples.md)
+ [创建 API Gateway 资源策略并将其附加到 API](apigateway-resource-policies-create-attach.md)
+ [AWS可在 API Gateway 资源策略中使用的 条件键](apigateway-resource-policies-aws-condition-keys.md)