本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 資源的存取管理
AWS Identity and Access Management (IAM) 是一種 Web 服務,可協助您安全地控制對 資源的 AWS 存取。當[委託人](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)在 中提出請求時 AWS, AWS 強制執行程式碼會檢查委託人是否經過驗證 (登入) 和授權 (具有許可)。您可以透過 AWS 建立政策並將其連接至 IAM 身分或 AWS 資源來管理 中的存取。政策是 中的 JSON 文件 AWS ,當連接到身分或資源時,定義其許可。如需有關政策類型及其使用的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)。
如需有關其他身分驗證和授權程序的詳細資訊,請參閱 [IAM 的運作方式](intro-structure.md)。
在授權期間, AWS 強制執行程式碼會使用[請求內容](intro-structure.md#intro-structure-request)中的值來檢查相符政策,並決定是否允許或拒絕請求。
AWS 會檢查套用至請求內容的每個政策。如果單一政策拒絕請求, 會 AWS 拒絕整個請求並停止評估政策。此稱為*明確拒絕*。由於請求是*預設拒絕*,因此只有在適用的政策允許請求的每個部分時,IAM 才會授權該請求。用於單一帳戶中請求的[評估邏輯](reference_policies_evaluation-logic.md)遵循以下規則:
+ 根據預設,所有的請求將以隱含方式拒絕。(此外,在預設情況下, AWS 帳戶根使用者 具有完整存取權限。)
+ 若是以身分為基礎或以資源為基礎的政策,當中的明確允許會覆寫此預設值。
+ 如果存在許可界限、 AWS Organizations SCP 或工作階段政策,它可能會以隱含拒絕覆寫允許。
+ 任何政策中的明確拒絕會覆寫任何允許。
在您的請求經過身分驗證和授權之後, 會 AWS 核准請求。如果您需要運用不同的帳戶來發出請求,則必須透過其他帳戶中的政策來允許您存取資源。此外,您用來發出請求的 IAM 實體必須具備可允許該請求的以身分為基礎政策。
## 存取管理資源
如需有關許可和建立政策的詳細資訊,請參閱以下資源:
AWS 安全部落格中的下列項目涵蓋撰寫政策以存取 Amazon S3 儲存貯體和物件的常見方法。
+ [撰寫 IAM 政策:如何授予存取 Amazon S3 儲存貯體的許可](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/)
+ [撰寫 IAM 政策:授予存取 Amazon S3 儲存貯體中使用者特定資料夾的許可](https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/)
+ [IAM 政策和儲存貯體政策和 ACL!天啊!(控制 S3 資源的存取)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/)。
+ [RDS 資源層級許可的入門](https://aws.amazon.com/blogs/security/a-primer-on-rds-resource-level-permissions)
+ [EC2 資源層級許可的說明](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/)