本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理对资源的访问权限
<a name="access-control-manage-access-intro"></a>

*权限策略*规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。

**注意**  
本部分讨论如何在 AWS Control Tower 范围内使用 IAM。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档，请参阅《IAM 用户指南》中的[什么是 IAM？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM 策略语法和说明的信息，请参阅《IAM 用户指南》中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

附加到 IAM 身份的策略称为*基于身份*的策略（IAM 策略）。附加到资源的策略称为*基于资源的策略*。

**注意**  
 AWS Control Tower 只支持基于身份的策略（IAM 策略）。

**Topics**
+ [关于基于身份的策略（IAM 策略）](#access-control-manage-access-intro-iam-policies)
+ [创建角色并分配权限](assign-permissions.md)
+ [基于资源的策略](#access-control-manage-access-intro-resource-policies)

## 关于基于身份的策略（IAM 策略）
<a name="access-control-manage-access-intro-iam-policies"></a>

您可以向 IAM 身份附加策略。例如，您可以执行以下操作：
+ **将权限策略附加到您账户中的用户或组** - 要向用户授予创建 AWS Control Tower 资源（例如设置登录区）的权限，您可以将权限策略附加到用户或用户所属的组。
+  **向角色附加权限策略（授予跨账户权限）** – 您可以向 IAM 角色附加基于身份的权限策略，以授予跨账户的权限。例如，一个 AWS 账户（*账户 A*）的管理员可以创建一个向另一个账户（账户 *B*）授予跨 AWS 账户权限的角色，或者管理员可以创建一个向其他 AWS 服务授予权限的角色。

  1. 账户 A 管理员可以创建一个 IAM 角色，并向该角色附加一项权限策略，授予其管理账户 A 中的资源的权限。

  1. 账户 A 管理员将信任策略附加到该角色。该策略将账户 B 标识为可担任该角色的主体。

  1. 作为主体，账户 B 管理员可以向账户 B 中的任何用户授予代入该角色的权限。通过代入该角色，账户 B 中的用户可以创建账户 A 中的资源或获得对这些资源的访问权限。

  1. 要向 AWS 服务授予担任该角色的能力（权限），您在信任策略中指定的委托人可以是 AWS 服务。

## 基于资源的策略
<a name="access-control-manage-access-intro-resource-policies"></a>

其他服务（如 Amazon S3）还支持基于资源的权限策略。例如，您可以将策略附加到 S3 存储桶以管理对该存储桶的访问权限。AWS Control Tower 不支持基于资源的策略。