本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理 Amazon Comprehend Medical 资源的访问权限的概述
权限策略可以管理对某项操作的访问权限。账户管理员可以将权限策略附加到 IAM 身份,从而管理对操作的访问权限。IAM 身份包括用户、组和角色。
**注意**
*账户管理员*(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
在授予权限时,您可以决定谁和哪项操作可以获得权限。
**Topics**
+ [管理对操作的访问权限](#access-control-manage-access-intro-med)
+ [指定策略元素:操作、效果和主体](#access-control-specify-comprehend-actions-med)
+ [在策略中指定条件](#specifying-conditions-med)
## 管理对操作的访问权限
*权限*策略规定谁可以访问哪些内容。以下部分介绍了适用于权限策略的选项。
**注意**
本节介绍 Amazon Comprehend Medical 中的 IAM。这里不提供有关 IAM 服务的详细信息。有关 IAM 的更多信息,请参阅《IAM 用户指南》**中的[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM 策略语法和说明的信息,请参阅《IAM 用户指南》**中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
附加到 IAM 身份的策略是*基于身份*的策略。附加到资源的策略是*基于资源*的策略。Amazon Comprehend Medical 只支持基于身份的策略。
### 基于身份的策略(IAM 策略)
您可以向 IAM 身份附加策略。以下是两个示例。
+ **将权限策略附加到账户中的用户或组**。要允许某个用户或一组用户调用 Amazon Comprehend Medical 操作,请将权限策略附加到用户。请将策略附加到包含该用户的组。
+ **将权限策略附加到角色以便授予跨账户权限**。要授予跨账户权限,请将基于身份的权限策略附加到 IAM 角色。例如,账户 A 中的管理员可以创建一个角色,以便向另一账户授予跨账户权限。在本示例中,我们将其称为账户 B,它也可以是一项 AWS 服务。
1. 账户 A 管理员创建一个 IAM 角色,并向该角色附加一项策略,授权其访问账户 A 中的资源的权限。
1. 账户 A 管理员将信任策略附加到角色。该策略将账户 B 标识为可担任该角色的主体。
1. 之后,账户 B 管理员可以委派权限,指派账户 B 中的任何用户担任该角色。这样,账户 B 中的用户就可以在账户 A 中创建或访问资源。如果您需要向某项 AWS 服务授予权限以便担任该角色,则信任策略中的主体也可以是 AWS 服务主体。
有关使用 IAM 委托权限的更多信息,请参阅《IAM 用户指南》**中的[访问权限管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
有关将基于身份的策略与 Amazon Comprehend Medical 结合使用的更多信息,请参阅[将基于身份的策略(IAM 策略)用于 Amazon Comprehend Medical](security-iam-permissions.md)。有关用户、组、角色和权限的更多信息,请参阅《IAM 用户指南》[https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)中的*身份(用户、组和角色)*。
### 基于资源的策略
其他服务(例如) AWS Lambda支持基于资源的权限策略。例如,您可以将策略附加到 S3 存储桶以管理对该存储桶的访问权限。Amazon Comprehend Medical 不支持基于资源的策略。
## 指定策略元素:操作、效果和主体
Amazon Comprehend Medical 定义了一组 API 操作。为授予对这些 API 操作的权限,Amazon Comprehend Medical 定义了一组您可以在策略中指定的操作。
以下四个项目是最基本的策略元素。
+ **资源** – 在策略中,您可以使用 Amazon Resource Name (ARN) 来标识策略应用到的资源。对于 Amazon Comprehend Medical,资源永远是 `"*"`。
+ **操作** – 使用操作关键字来标识要允许或拒绝的操作。例如,根据指定的效果,`comprehendmedical:DetectEntities` 可以允许或拒绝执行 Amazon Comprehend Medical `DetectEntities` 操作的用户权限。
+ **效果** – 指定当用户请求特定操作时出现的效果(允许或拒绝)。如果没有显式授予(允许)对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问。您可以执行此操作,以确保用户无法访问资源,即使有其他策略授予了访问权限也是如此。
+ **主体** – 在基于身份的策略中,附加了策略的用户是隐式主体。
有关 IAM 策略语法和介绍的更多信息,请参阅 *IAM 用户指南*中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
有关显示所有 Amazon Comprehend Medical API 操作的表,请参阅 [Amazon Comprehend Medical API 权限:操作、资源和条件参考](security-iam-resources.md)。
## 在策略中指定条件
授予权限时,您可以使用 IAM 策略语言指定策略生效的条件。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅《IAM 用户指南》**中的[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。
AWS 为支持通过 IAM 进行访问控制的所有 AWS 服务提供了一组预定义条件键。例如,您可以使用 `aws:userid` 条件键要求用户在请求某项操作时提供特定的 AWS ID。有关更多信息和 AWS 键的完整列表,请参阅 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)中的*可用条件键*。
Amazon Comprehend Medical 不提供任何额外的条件键。