使用 IAM 角色策略声明限制权限 - AMS 高级用户指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 IAM 角色策略声明限制权限

AMS 使用 IAM 角色通过您的联合身份验证服务设置用户权限。

单账户登录区 AMS:请参阅 SALZ:默认 IAM 用户角色

多账户登录区 AMS:请参阅 MALZ:默认 IAM 用户角色

IAM 角色是一个 IAM 实体,它定义了一组用于提出 AWS 服务请求的权限。IAM 角色未与特定用户或群组关联。相反,可信实体扮演角色,例如 IAM 用户、应用程序或 Amazon 等 AWS 服务 EC2。有关更多信息,请参阅 IAM 角色

您可以通过使用 AWS 安全令牌服务 (STS) API 操作AssumeRolePolicy请求字段下传递限制性更强的 IAM 策略,缩小担任 AMS IAM 用户角色的用户的所需策略范围。

接下来提供了可用于限制 CT 访问的策略声明示例。

使用您配置的 Active Directory (AD) 群组和 AWS Security Token Service (STS) API 操作 AssumeRole,您可以为某些用户或群组设置权限,包括限制对某些更改类型的访问权限 (CTs)。您可以使用下面显示的政策声明以各种方式限制 CT 的访问权限。

默认 IAM 实例配置文件中的 AMS 更改类型声明允许访问所有 AMS API 调用(amscm 和 amsskms)和所有更改类型:

{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}

  1. 仅允许访问和指定两个操作的声明 CTs,其中 “操作” 是 AMS API 操作(要amscm么是amsskms),“资源” 代表现有的变更类型 IDs 和版本号:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "amscm:*",
            "Resource": [
                "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
            ]
        }
    ]
}

  2. 仅允许访问 CreateRfc UpdateRfc、和的语句仅指定 SubmitRfc 了两个 CTs:

  3. 允许访问 CreateRfc UpdateRfc、和所有可用内容 SubmitRfc 的声明 CTs:

  4. 拒绝对受限 CT 的所有操作进行访问并允许对其他操作进行访问的声明 CTs: