**注意**：亚马逊 WorkDocs不再提供新买家注册和账户升级服务。在此处了解迁移步骤：[如何从中迁移数据 WorkDocs](https://aws.amazon.com/blogs/business-productivity/how-to-migrate-content-from-amazon-workdocs)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 亚马逊如何 WorkDocs 使用 IAM
<a name="security_iam_service-with-iam"></a>

在使用 IAM 管理访问权限之前 WorkDocs，您需要了解哪些 IAM 功能可供使用 WorkDocs。要全面了解如何 WorkDocs 和其他 AWS 服务与 IAM 配合使用，请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

**Topics**
+ [WorkDocs 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [WorkDocs 基于资源的策略](#security_iam_service-with-iam-resource-based-policies)
+ [基于 WorkDocs 标签的授权](#security_iam_service-with-iam-tags)
+ [WorkDocs IAM 角色](#security_iam_service-with-iam-roles)

## WorkDocs 基于身份的策略
<a name="security_iam_service-with-iam-id-based-policies"></a>

借助 IAM 基于身份的策略，您可以指定允许或拒绝的操作。 WorkDocs 支持特定的操作。要了解您在 JSON 策略中使用的元素，请参阅 *IAM 用户指南* 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

### 操作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API 操作同名。有一些例外情况，例如没有匹配 API 操作的*仅限权限* 操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为*相关操作*。

在策略中包含操作以授予执行关联操作的权限。

正在执行的策略操作在操作前 WorkDocs 使用以下前缀:`workdocs:`. 例如，要向某人授予运行 WorkDocs `DescribeUsers` API 操作的权限，您需要将该`workdocs:DescribeUsers`操作包含在他们的策略中。策略语句必须包括 `Action` 或 `NotAction` 元素。 WorkDocs 定义了自己的一组操作，这些操作描述了可使用该服务执行的任务。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

```
"Action": [
      "workdocs:DescribeUsers",
      "workdocs:CreateUser"
```

您也可以使用通配符 （\*) 指定多个操作。例如，要指定以单词 `Describe` 开头的所有操作，包括以下操作：

```
"Action": "workdocs:Describe*"
```



**注意**  
为确保向后兼容性，请添加 `zocalo` 操作。例如：  

```
"Action": [
"zocalo:*",
"workdocs:*"
],
```

要查看 WorkDocs 操作列表，请参阅 *IAM 用户指南 WorkDocs*中[定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkdocs.html#amazonworkdocs-actions-as-permissions)。

### 资源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

WorkDocs 不支持在策略 ARNs 中指定资源。

### 条件键
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

WorkDocs 不提供任何特定于服务的条件密钥，但它确实支持使用某些全局条件密钥。要查看所有 AWS 全局条件键，请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

### 示例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



要查看 WorkDocs 基于身份的策略的示例，请参阅。[Amazon WorkDocs 基于身份的政策示例](security_iam_id-based-policy-examples.md)

## WorkDocs 基于资源的策略
<a name="security_iam_service-with-iam-resource-based-policies"></a>

WorkDocs 不支持基于资源的策略。

## 基于 WorkDocs 标签的授权
<a name="security_iam_service-with-iam-tags"></a>

WorkDocs 不支持标记资源或基于标签控制访问权限。

## WorkDocs IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。

### 将临时凭证与 WorkDocs
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

强烈建议使用临时凭证进行联合身份登录，担任 IAM 角色或担任跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。

WorkDocs 支持使用临时证书。

### 服务相关角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务相关角色显示在 IAM 账户中，并归该服务所有。IAM 管理员可以查看但不能编辑服务相关角色的权限。

WorkDocs 不支持服务相关角色。

### 服务角色
<a name="security_iam_service-with-iam-roles-service"></a>

此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中，并归该账户所有。这意味着，IAM 管理员可以更改该角色的权限。但是，这样做可能会中断服务的功能。

WorkDocs 不支持服务角色。