View a markdown version of this page

使用中的策略管理访问权限AWS IoT SiteWise - AWS IoT SiteWise

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用中的策略管理访问权限AWS IoT SiteWise

您可以AWS通过创建策略并将其附加到AWS身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的AWS形式存储在中。有关 JSON 策略文档的更多信息,请参阅《IAM 用户指南》中的 JSON 策略概述

管理员使用策略,通过定义哪个主体可以在什么条件下对哪些资源执行哪些操作来指定谁有权访问什么。

默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。

Identity-based 政策

Identity-based 策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》中的使用客户管理型策略定义自定义 IAM 权限

Identity-based 策略可以是内联策略(直接嵌入到单个身份中)或托管策略(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅《IAM 用户指南》中的在托管策略与内联策略之间进行选择

Resource-based 政策

Resource-based 策略是您附加到资源的 JSON 策略文档。示例包括 IAM 角色信任策略和 Amazon S3 存储桶策略。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中指定主体

Resource-based 策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的AWS托管策略。

访问控制列表(ACL)

访问控制列表(ACL)控制哪些主体(账户成员、用户或角色)有权访问资源。ACL 与基于资源的策略类似,但它们不使用 JSON 策略文档格式。

Amazon S3 和 Amazon VPC 就是支持 ACL 的服务示例。AWS WAF要了解有关 ACL 的更多信息,请参阅《Amazon Simple Storage Service 开发人员指南》中的访问控制列表(ACL)概览

其他策略类型

AWS支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:

  • 权限边界 – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》中的 IAM 实体的权限边界

  • 服务控制策略(SCP)– 指定 AWS Organizations 中组织或组织单元的最大权限。有关更多信息,请参阅《AWS Organizations 用户指南》中的服务控制策略

  • 资源控制策略(RCP)– 设置对账户中资源的最大可用权限。有关更多信息,请参阅《AWS Organizations 用户指南》中的资源控制策略(RCP)

  • 会话策略 – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》中的会话策略

多个策略类型

当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何AWS确定是否允许请求,请参阅 IAM 用户指南中的策略评估逻辑