AWS 大型机现代化服务（托管运行时环境体验）不再向新客户开放。有关类似于 AWS 大型机现代化服务（托管运行时环境体验）的功能，请浏览 AWS 大型机现代化服务（自我管理体验）。现有客户可以继续正常使用该服务。有关更多信息，请参阅[AWS 大型机现代化可用性变更](https://docs.aws.amazon.com/m2/latest/userguide/mainframe-modernization-availability-change.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 大型机现代化如何与 IAM 配合使用
<a name="security_iam_service-with-iam"></a>

在使用 IAM 管理 AWS 大型机现代化的访问权限之前，请先了解有哪些 IAM 功能可用于 AWS 大型机现代化。






**可在 AWS 大型机现代化中使用的 IAM 功能**  

| IAM 功能 | AWS 大型机现代化支持 | 
| --- | --- | 
| [基于身份的策略](#security_iam_service-with-iam-id-based-policies) |  是 | 
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies) |  否  | 
| [策略操作](#security_iam_service-with-iam-id-based-policies-actions) |  是 | 
| [策略资源](#security_iam_service-with-iam-id-based-policies-resources) |  是 | 
| [策略条件键](#security_iam_service-with-iam-id-based-policies-conditionkeys) |  是 | 
| [ACLs](#security_iam_service-with-iam-acls) |  否  | 
| [ABAC（策略中的标签）](#security_iam_service-with-iam-tags) |  是 | 
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) |  是 | 
| [转发访问会话（FAS）](#security_iam_service-with-iam-principal-permissions) |  是 | 
| [服务角色](#security_iam_service-with-iam-roles-service) |  是 | 
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked) |  是 | 

要全面了解 AWS 大型机现代化和其他 AWS 服务如何与大多数 IAM 功能配合使用，请参阅 IAM *用户指南中与 IAM 配合使用的AWS *[服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

## 大型机现代化的基于身份的 AWS 策略
<a name="security_iam_service-with-iam-id-based-policies"></a>

**支持基于身份的策略：**是

基于身份的策略是可附加到身份（如 IAM 用户、用户组或角色）的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略，请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。

通过使用 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

### 大型机现代化的基于身份的 AWS 策略示例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

要查看 AWS 大型机现代化基于身份的策略的示例，请参阅。[大型机现代化的基于身份的 AWS 策略示例](security_iam_id-based-policy-examples.md)

## AWS 大型机现代化中的基于资源的策略
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**支持基于资源的策略：**否 

基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中，服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源，策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委托人可以包括账户、用户、角色、联合用户或 AWS 服务。

要启用跨账户访问，您可以将整个账户或其他账户中的 IAM 实体指定为基于资源的策略中的主体。有关更多信息，请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。

## AWS 大型机现代化的政策行动
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**支持策略操作：**是

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。

要查看 AWS 大型机现代化操作列表，请参阅《*服务授权*参考[》中的 “ AWS 大型机现代化定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsmainframemodernizationservice.html#awsmainframemodernizationservice-actions-as-permissions)”。

 AWS 大型机现代化中的策略操作在操作前使用以下前缀：

```
m2
```

要在单个语句中指定多项操作，请使用逗号将它们隔开。

```
"Action": [
      "m2:{{StartApplication}}",
      "m2:{{StopApplication}}"
         ]
```

您也可以使用通配符（\*）指定多个操作。例如，要指定以单词 `List` 开头的所有操作，包括以下操作：

```
"Action": "m2:List*"
```

要查看 AWS 大型机现代化基于身份的策略的示例，请参阅。[大型机现代化的基于身份的 AWS 策略示例](security_iam_id-based-policy-examples.md)

## AWS 大型机现代化的政策资源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**支持策略资源：**是

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践，请使用其 [Amazon 资源名称（ARN）](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作，请使用通配符 (\*) 指示语句应用于所有资源。

```
"Resource": "*"
```

您可以使用特定 AWS 大型机现代化资源 ARNs 来识别 IAM 策略适用的资源，从而限制对这些资源的访问。有关格式的更多信息 ARNs，请参阅中的 [Amazon 资源名称 (ARNs) *AWS 一般参考*](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。

例如， AWS 大型机现代化环境具有以下 ARN。

```
"Resource": "arn:aws:m2:{{regionId}}:{{accountId}}:env/{{service-generated-unique-identifier}}" 
```

 AWS 大型机现代化应用程序具有以下 ARN。

```
"Resource": "arn:aws:m2:{{regionId}}:{{accountId}}:app/{{service-generated-unique-identifier}}"
```

并非所有 AWS 大型机现代化操作都支持资源级权限。对于不支持资源级权限的操作，必须使用通配符（\*）。

以下 AWS 大型机现代化操作不支持资源级权限。

```
ListApplications
            ListApplicationVersions
            ListBatchJobDefinitions
            ListBatchJobExecutions
            ListDataSetImportHistory
            ListDataSets
            ListDeployments
            ListEngineVersions
            ListEnvironments
            ListTagsForResource
```

要查看 AWS 大型机现代化资源类型及其列表 ARNs，请参阅《*服务授权*参考[》中的 “ AWS 大型机现代化定义的资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsmainframemodernizationservice.html#awsmainframemodernizationservice-resources-for-iam-policies)”。要了解您可以使用哪些操作来指定每种资源的 ARN，请参阅[AWS 大型机现代化定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsmainframemodernizationservice.html#awsmainframemodernizationservice-actions-as-permissions)。

要查看 AWS 大型机现代化基于身份的策略的示例，请参阅。[大型机现代化的基于身份的 AWS 策略示例](security_iam_id-based-policy-examples.md)

## AWS 大型机现代化的策略条件密钥
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**支持特定于服务的策略条件键：**是

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)（例如，等于或小于）的条件表达式，以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键，请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

以下条件密钥特定于 AWS 大型机现代化

```
m2:EngineType
            m2:InstanceType
```

要查看 AWS 大型机现代化条件密钥列表，请参阅《*服务授权*参考》中的 “[AWS 大型机现代化条件密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsmainframemodernizationservice.html#awsmainframemodernizationservice-policy-keys)”。要了解您可以使用哪些操作和资源使用条件键，请参阅[AWS 大型机现代化定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsmainframemodernizationservice.html#awsmainframemodernizationservice-actions-as-permissions)。

要查看 AWS 大型机现代化基于身份的策略的示例，请参阅。[大型机现代化的基于身份的 AWS 策略示例](security_iam_id-based-policy-examples.md)

## AWS 大型机现代化中的访问控制列表 (ACLs)
<a name="security_iam_service-with-iam-acls"></a>

**支持 ACLs：**否 

访问控制列表 (ACLs) 控制哪些委托人（账户成员、用户或角色）有权访问资源。 ACLs 与基于资源的策略类似，尽管它们不使用 JSON 策略文档格式。

## 基于属性的访问控制 (ABAC) 和大型机现代化 AWS
<a name="security_iam_service-with-iam-tags"></a>

**支持 ABAC（策略中的标签）：**是

基于属性的访问权限控制（ABAC）是一种授权策略，该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 AWS 资源，然后设计 ABAC 策略以允许在委托人的标签与资源上的标签匹配时进行操作。

要基于标签控制访问，您需要使用 `aws:ResourceTag/{{key-name}}``aws:RequestTag/{{key-name}}` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。

如果某个服务对于每种资源类型都支持所有这三个条件键，则对于该服务，该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键，则该值为**部分**。

有关 ABAC 的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程，请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制（ABAC）](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。

## 在 AWS 大型机现代化中使用临时证书
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**支持临时凭证：**是

临时证书提供对 AWS 资源的短期访问权限，并且是在您使用联合身份或切换角色时自动创建的。 AWS 建议您动态生成临时证书，而不是使用长期访问密钥。有关更多信息，请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)

## AWS 大型机现代化的转发访问会话
<a name="security_iam_service-with-iam-principal-permissions"></a>

**支持转发访问会话（FAS）：**是

 转发访问会话 (FAS) 使用调用主体的权限 AWS 服务，再加上 AWS 服务 向下游服务发出请求的请求。有关发出 FAS 请求时的策略详情，请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。

**重要**  
这些令牌允许 AWS 大型机现代化在未经您明确同意的情况下访问客户数据；例如， AWS 大型机现代化在未获得客户明确许可的情况下部署应用程序工件以及来自 Amazon S3 存储桶的关联业务数据。您可能需要相应地更新所有合规性文档。

## AWS 大型机现代化的服务角色
<a name="security_iam_service-with-iam-roles-service"></a>

**支持服务角色：**是

 服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息，请参阅《IAM 用户指南》**中的[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。

AWS 大型机现代化支持活动挂钩的服务角色（交易/作业中止或完成等）。

**警告**  
更改服务角色的权限可能会破坏 AWS 大型机现代化功能。只有当 AWS 大型机现代化提供相关指导时，才能编辑服务角色。

### 在 AWS 大型机现代化中选择 IAM 角色
<a name="security_iam_service-with-iam-roles-choose"></a>

如果您之前创建了在 Amazon EC2 上运行的应用程序可以代入的 IAM 角色，则可以在创建启动模板或启动配置时选择此角色。 AWS 大型机现代化为您提供了可供选择的角色列表。创建这些角色时，请关联最低权限 IAM 策略以限制对应用程序所需的特定 API 调用的访问权限，这一点非常重要。有关更多信息，请参阅《Amazon EC2 Auto Scaling 用户指南》中的[在 Amazon EC2 实例上运行的应用程序的 IAM 角色](https://docs.aws.amazon.com/autoscaling/ec2/userguide/us-iam-role.html)。

## AWS 大型机现代化的服务相关角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**支持服务关联角色：**是

 服务相关角色是一种与服务相关联的 AWS 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ，并且归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。

有关创建或管理 AWS 大型机现代化服务相关角色的详细信息，请参阅。[将服务相关角色用于 AWS Mainframe Modernization](using-service-linked-roles.md)

有关创建或管理服务相关角色的详细信息，请参阅[能够与 IAM 搭配使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在表中查找**服务相关角色**列中包含 `Yes` 的表。选择**是**链接以查看该服务的服务相关角色文档。