本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理对 AWS Control Tower 资源的访问权限概述
每个 AWS 资源都归人所有 AWS 账户,创建资源或获取资源访问权限的权限受权限策略的约束。账户管理员可以向 IAM 身份(即:用户、组和角色)附加权限策略。某些服务(例如 AWS Lambda)还支持为资源附加权限策略。
**注意**
*账户管理员*(或管理员)是具有管理员权限的用户。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
如果您负责向用户或角色授予权限,则必须了解并跟踪需要权限的*用户和角色*、每个用户和角色需要权限的*资源*,以及操作这些资源必须允许的*特定操作*。
**Topics**
+ [
## AWS Control Tower 资源和操作
](#access-control-resources)
+ [
## 关于资源所有权
](#access-control-owner)
+ [
# 管理对资源的访问权限
](access-control-manage-access-intro.md)
+ [
## 指定策略元素:Action、Effect 和 Principal
](#access-control-specify-controltower-actions)
+ [
## 在策略中指定条件
](#specifying-conditions)
## AWS Control Tower 资源和操作
在 AWS Control Tower 中,主要资源是*登录区*。AWS Control Tower 还支持另一种资源类型,即*控件*,有时也称为*护栏*。但是,对于 AWS Control Tower,您只能管理现有登录区中的控件。控件可以称为*子资源*。
中的资源和子资源 AWS 具有与之关联的唯一 Amazon 资源名称 (ARNs),如以下示例所示。
****
| 资源类型 | ARN 格式 |
| --- | --- |
| 文件系统 | arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id |
AWS Control Tower 提供了一组 API 操作,用于处理 AWS Control Tower 资源。有关可用操作的列表,请参阅 [AWS Control Tower API 参考](https://docs.aws.amazon.com/controltower/latest/APIReference/API_Operations.html) 中的 AWS Control Tower。
有关 AWS Control Tower 中 CloudFormation 资源的更多信息[,请参阅 AWS CloudFormation 用户指南](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/AWS_ControlTower.html)。
## 关于资源所有权
该 AWS 账户拥有在账户中创建的资源,无论谁创建了这些资源。具体而言,资源所有者是对资源创建请求进行身份验证的[委托人实体](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)(即 AWS 账户 根用户、IAM 身份中心用户、IAM 用户或 IAM 角色)的 AWS 账户。以下示例说明了它的工作原理:
+ 如果您使用 AWS 账户的账户根用户凭证来设置着陆区,则您的 AWS 账户就是该资源的所有者。 AWS
+ 如果您在自己的 AWS 账户中创建 IAM 用户并向该用户授予设置着陆区的权限,则只要其账户满足先决条件,该用户就可以设置着陆区。但是,该用户所属的您的 AWS 账户拥有着陆区资源。
+ 如果您在 AWS 账户中创建具有设置着陆区的权限的 IAM 角色,则任何能够担任该角色的人都可以设置着陆区。您的 AWS 账户(即该角色所属的账户)将拥有该登录区资源。
# 管理对资源的访问权限
*权限策略*规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。
**注意**
本部分讨论如何在 AWS Control Tower 范围内使用 IAM。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档,请参阅《IAM 用户指南》中的[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM 策略语法和说明的信息,请参阅《IAM 用户指南》中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
附加到 IAM 身份的策略称为*基于身份*的策略(IAM 策略)。附加到资源的策略称为*基于资源的策略*。
**注意**
AWS Control Tower 只支持基于身份的策略(IAM 策略)。
**Topics**
+ [
## 关于基于身份的策略(IAM 策略)
](#access-control-manage-access-intro-iam-policies)
+ [
# 创建角色并分配权限
](assign-permissions.md)
+ [
## 基于资源的策略
](#access-control-manage-access-intro-resource-policies)
## 关于基于身份的策略(IAM 策略)
您可以向 IAM 身份附加策略。例如,您可以执行以下操作:
+ **将权限策略附加到您账户中的用户或组** - 要向用户授予创建 AWS Control Tower 资源(例如设置登录区)的权限,您可以将权限策略附加到用户或用户所属的组。
+ **向角色附加权限策略(授予跨账户权限)** – 您可以向 IAM 角色附加基于身份的权限策略,以授予跨账户的权限。例如,一个 AWS 账户(*账户 A*)的管理员可以创建一个向另一个账户(账户 *B*)授予跨 AWS 账户权限的角色,或者管理员可以创建一个向其他 AWS 服务授予权限的角色。
1. 账户 A 管理员可以创建一个 IAM 角色,并向该角色附加一项权限策略,授予其管理账户 A 中的资源的权限。
1. 账户 A 管理员将信任策略附加到该角色。该策略将账户 B 标识为可担任该角色的主体。
1. 作为主体,账户 B 管理员可以向账户 B 中的任何用户授予代入该角色的权限。通过代入该角色,账户 B 中的用户可以创建账户 A 中的资源或获得对这些资源的访问权限。
1. 要向 AWS 服务授予担任该角色的能力(权限),您在信任策略中指定的委托人可以是 AWS 服务。
# 创建角色并分配权限
角色和权限允许您访问 AWS Control Tower 和其他 AWS 服务中的资源,包括以编程方式访问资源。
要提供访问权限,请为您的用户、组或角色添加权限:
+ 中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
有关使用 IAM 委托权限的更多信息,请参阅《IAM 用户指南》**中的[访问权限管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
**注意**
设置 AWS Control Tower 着陆区时,您需要具有**AdministratorAccess**托管策略的用户或角色。 (arn: aws: iam:: aws: policy/) AdministratorAccess
**为 AWS 服务 (IAM 控制台)创建角色**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在 IAM 控制台的导航窗格中,选择**角色**,然后选择**创建角色**。
1. 对于 **Trusted entity type**(可信实体类型),选择 **AWS 服务**。
1. 对于**服务或使用案例**,请选择服务,然后选择使用案例。用例由服务定义以包含服务要求的信任策略。
1. 选择**下一步**。
1. 对于**权限策略**,选项取决于您选择的使用案例:
+ 如果服务定义了角色的权限,则您无法选择权限策略。
+ 从一组有限的权限策略中进行选择。
+ 从所有权限策略中进行选择。
+ 不选择任何权限策略,创建角色后创建策略,然后将这些策略附加到该角色。
1. (可选)设置[权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。这是一项高级功能,可用于服务角色,但不可用于服务相关角色。
1. 打开**设置权限边界**部分,然后选择**使用权限边界控制最大角色权限**。
IAM 包含您账户中的 AWS 托管策略和客户托管策略列表。
1. 选择要用于权限边界的策略。
1. 选择**下一步**。
1. 对于**角色名称**,选项取决于服务:
+ 如果服务定义角色名称,则您无法编辑角色名称。
+ 如果服务定义角色名称的前缀,您可以输入可选的后缀。
+ 如果服务未定义角色名称,您可以为该角色命名。
**重要**
命名角色时,请注意以下事项:
角色名称在您内部必须是唯一的 AWS 账户,并且不能因大小写而变得唯一。
例如,不要同时创建名为 **PRODROLE** 和 **prodrole** 的角色。当角色名称在策略中使用或者作为 ARN 的一部分时,角色名称区分大小写,但是当角色名称在控制台中向客户显示时(例如,在登录期间),角色名称不区分大小写。
创建角色后,您无法编辑该角色的名称,因为其他实体可能会引用该角色。
1. (可选)对于**描述**,输入角色的描述。
1. (可选)要编辑角色的使用案例和权限,请在**步骤 1:选择可信实体**或**步骤 2:添加权限**部分中选择**编辑**。
1. (可选)为了帮助识别、组织或搜索角色,请以键值对形式添加标签。有关在 IAM 中使用标签的更多信息,请参阅 *IAM 用户指南*中的[AWS Identity and Access Management 资源标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 检查该角色,然后选择**创建角色**。
**使用 JSON 策略编辑器创建策略**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**策略**。
如果这是您首次选择**策略**,则会显示**欢迎访问托管式策略**页面。选择**开始使用**。
1. 在页面的顶部,选择**创建策略**。
1. 在**策略编辑器**部分,选择 **JSON** 选项。
1. 输入或粘贴一个 JSON 策略文档。有关 IAM 策略语言的详细信息,请参阅 [IAM JSON 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)参考。
1. 解决[策略验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)过程中生成的任何安全警告、错误或常规警告,然后选择**下一步**。
**注意**
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过,如果您进行更改或在**可视化**编辑器中选择**下一步**,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅*《IAM 用户指南》*中的[调整策略结构](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. (可选)在中创建或编辑策略时 AWS 管理控制台,可以生成可在模板中使用的 JSON 或 YAML 策略 CloudFormation 模板。
为此,请在**策略编辑器**中选择**操作**,然后选择**生成 CloudFormation模板**。要了解更多信息 CloudFormation,请参阅*AWS CloudFormation 用户指南*中的[AWS Identity and Access Management 资源类型参考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)。
1. 向策略添加完权限后,选择**下一步**。
1. 在**查看并创建**页面上,为您要创建的策略键入**策略名称**和**描述**(可选)。查看**此策略中定义的权限**以查看策略授予的权限。
1. (可选)通过以密钥值对的形式附加标签来向策略添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 *IAM 用户指南*中的[AWS Identity and Access Management 资源标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 选择**创建策略**可保存您的新策略。
**使用可视化编辑器创建策略**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**策略**。
如果这是您首次选择**策略**,则会显示**欢迎访问托管式策略**页面。选择**开始使用**。
1. 选择**创建策略**。
1. 在**策略编辑器**部分中,找到**选择一项服务**部分,然后选择 AWS 服务服务。您可以使用顶部的搜索框限制服务列表中的结果。您只能在一个可视化编辑器权限块中选择一个服务。要为多个服务授予访问权限,请选择**添加更多权限**以添加多个权限块。
1. 对于**允许的操作**,选择要添加到策略的操作。您可以使用以下方法选择操作:
+ 选中所有操作的复选框。
+ 选择**添加操作**以键入特定操作的名称。您可以使用通配符(`*`)指定多个操作。
+ 选择**访问级别**组之一以选择访问级别的所有操作(例如,**读取**、**写入**或**列出**)。
+ 展开每个**访问级别**组以选择单独的操作。
预设情况下,您创建的策略允许执行选择的操作。要拒绝选择的操作,请选择**切换到拒绝权限**。由于 [IAM 默认拒绝](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html),作为安全最佳实践,我们建议您仅允许用户所需的操作和资源的权限。只有在要覆盖由其他语句或策略单独允许的权限时,才应创建 JSON 语句以拒绝权限。我们建议您将拒绝权限数限制为最低,因为它们可能会增加解决权限问题的难度。
1. 对于**资源**,如果您在前面步骤中选择的服务和操作不支持选择[特定资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources),则允许使用所有资源,并且您无法编辑此部分。
如果您选择了一个或多个操作支持[资源级权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources),可视化编辑器会列出这些资源。然后,展开**资源**以指定您的策略的资源。
您可以通过以下方式指定资源:
+ 选择 “** ARNs添加**”,按资源的 Amazon 资源名称 (ARN) 指定资源。您可以手动使用可视化 ARN 编辑器或列表 ARNs 。有关 ARN 语法的更多信息,请参阅 IA *M 用户*指南中的 A [mazon 资源名称 (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)。有关在策略`Resource`元素 ARNs 中使用的信息,请参阅 [IAM *用户指南*中的 IAM JSON 策略元素:资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)。
+ 选择资源旁边的**此账户中的任意项**以授予对该类型的任何资源的权限。
+ 选择**所有**以选择该服务的所有资源。
1. (可选)选择**请求条件 – *可选***,以在创建的策略中添加条件。条件限制 JSON 策略语句的效果。例如,您可以指定仅在以下情况下允许用户对资源执行操作:该用户的请求发生在特定的时间范围内。您还可以使用常用条件来限制用户是否必须使用多重身份验证(MFA)设备进行身份验证。或者,您可以要求请求来自特定范围的 IP 地址。有关可在策略条件中使用的所有上下文密钥的列表,请参阅《服务*授权参考*》中的[AWS 服务操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
您可以使用以下方法选择条件:
+ 使用复选框选择常用的条件。
+ 选择**添加其他条件**以指定其他条件。选择条件的**条件键**、**限定符**和**运算符**,然后键入一个**值**。要添加多个值,请选择**添加**。您可以将这些值视为通过逻辑 `OR` 运算符连接在一起。完成后,选择**添加条件**。
要添加多个条件,请再次选择**添加其他条件**。根据需要重复上述步骤。每个条件仅适用于该可视化编辑器权限块。所有条件都必须为 true,才会将权限块视为匹配项。也就是说,将条件视为通过逻辑 `AND` 运算符连接在一起。
有关 **Condition** 元素的更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
1. 要添加更多权限块,请选择**添加更多权限**。对于每个块,重复步骤 2 到步骤 5。
**注意**
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过,如果您进行更改或在**可视化**编辑器中选择**下一步**,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅*《IAM 用户指南》*中的[调整策略结构](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. (可选)在中创建或编辑策略时 AWS 管理控制台,可以生成可在模板中使用的 JSON 或 YAML 策略 CloudFormation 模板。
为此,请在**策略编辑器**中选择**操作**,然后选择**生成 CloudFormation模板**。要了解更多信息 CloudFormation,请参阅*AWS CloudFormation 用户指南*中的[AWS Identity and Access Management 资源类型参考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)。
1. 向策略添加完权限后,选择**下一步**。
1. 在**查看并创建**页面上,为您要创建的策略键入**策略名称**和**描述**(可选)。查看**此策略中定义的权限**,确保您授予了所需的权限。
1. (可选)通过以密钥值对的形式附加标签来向策略添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 *IAM 用户指南*中的[AWS Identity and Access Management 资源标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 选择**创建策略**可保存您的新策略。
**授予编程访问权限**
如果用户想在 AWS 外部进行交互,则需要编程访问权限 AWS 管理控制台。授予编程访问权限的方式取决于正在访问的用户类型 AWS。
要向用户授予编程式访问权限,请选择以下选项之一。
****
| 哪个用户需要编程式访问权限? | 目的 | 方式 |
| --- | --- | --- |
| IAM | (推荐)使用控制台凭证作为临时凭证,签署对 AWS CLI AWS SDKs、或的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/controltower/latest/userguide/assign-permissions.html) |
| 人力身份 (在 IAM Identity Center 中管理的用户) | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/controltower/latest/userguide/assign-permissions.html) |
| IAM | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照 IAM 用户指南中的将[临时证书与 AWS 资源配合使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)中的说明进行操作。 |
| IAM | (不推荐使用)使用长期凭证签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/controltower/latest/userguide/assign-permissions.html) |
## 防范攻击者
有关在向其他 AWS 服务主体授予权限时如何帮助防范攻击者的更多信息,请参阅[角色信任关系的可选条件](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html)。通过在策略中添加某些条件,您可以帮助防止某种特定类型的攻击,即*混淆代理*攻击,当某个实体迫使更有权限的实体执行某个操作(例如跨服务模拟)时,就会发生此类攻击。有关策略条件的一般信息,请参阅 [在策略中指定条件](access-control-overview.md#specifying-conditions)。
有关将基于身份的策略与 AWS Control Tower 结合使用的更多信息,请参阅 [在 AWS Control Tower 中使用基于身份的策略(IAM 策略)](access-control-managing-permissions.md)。有关用户、组、角色和权限的更多信息,请参阅《IAM 用户指南》[https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)中的*身份(用户、组和角色)*。
## 基于资源的策略
其他服务(如 Amazon S3)还支持基于资源的权限策略。例如,您可以将策略附加到 S3 存储桶以管理对该存储桶的访问权限。AWS Control Tower 不支持基于资源的策略。
## 指定策略元素:Action、Effect 和 Principal
您可以通过 AWS Control Tower 控制台或着陆区设置和管理您的[着陆区 APIs](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)。要设置登录区,您必须是 IAM 用户,并且具有 IAM 策略中定义的管理权限。
以下是可在策略中识别的最基本元素:
+ **资源** - 在策略中,您可以使用 Amazon 资源名称(ARN)标识策略应用到的资源。有关更多信息,请参阅 [AWS Control Tower 资源和操作](#access-control-resources)。
+ **操作** – 您可以使用操作关键字标识要允许或拒绝的资源操作。有关可供执行的操作类型的信息,请参阅 [Actions defined by AWS Control Tower](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontroltower.html#awscontroltower-actions-as-permissions)。
+ **效果**:您可以指定当用户请求特定操作(可以是允许或拒绝)时的效果。如果没有显式授予(允许)对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问,这样可确保用户无法访问该资源,即使有其他策略授予了访问权限的情况下也是如此。
+ **主体** – 在基于身份的策略(IAM 策略)中,策略所附加的用户是隐式主体。对于基于资源的策略,您可以指定要接收权限的用户、账户、服务或其他实体(仅适用于基于资源的策略)。AWS Control Tower 不支持基于资源的策略。
有关 IAM 策略语法和描述的更多信息,请参阅《IAM 用户指南》**中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
## 在策略中指定条件
当您授予权限时,可使用 IAM 策略语言来指定规定策略何时生效的条件。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅《IAM 用户指南》**中的[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。
要表达条件,您可以使用预定义的条件键。没有特定于 AWS Control Tower 的条件键。但是,您可以根据需要使用 AWS范围内的条件键。有关 AWS范围密钥的完整列表,请参阅 *IAM 用户指南*中的[条件可用密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。