本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的身分和存取管理 AWS Artifact
當您註冊 時 AWS,您會提供與 AWS 您的帳戶相關聯的電子郵件地址和密碼。這些是您的*根登入*資料,可讓您完整存取所有 AWS 資源,包括 的資源 AWS Artifact。但是,我們極力建議您不要使用根帳戶進行日常存取。我們也建議您不會與他人分享帳戶登入資料,提供他們您帳戶的完整存取權。
您應該為自己和任何可能需要存取文件或協議的人建立稱為 *IAM 使用者*的特殊使用者身分,而不是使用根登入資料登入 AWS 您的帳戶或與他人共用登入資料 AWS Artifact。透過這種方法,您可以提供個別登入資訊給每位使用者,而您可以只授予使用特定文件所需的必要許可給每位使用者。您也可以將許可授予 IAM 群組,並將 IAM 使用者新增至群組,以授予多個 IAM 使用者相同的許可。
如果您已在外部管理使用者身分 AWS,您可以使用 IAM *身分提供者*,而不是建立 IAM 使用者。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[身分提供者和聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。
**Topics**
+ [授予使用者存取權](grant-access.md)
+ [商業 AWS 區域中的範例 IAM 政策](example-iam-policies.md)
+ [中的 IAM 政策範例 AWS GovCloud (US) Regions](example-govcloud-iam-policies.md)
+ [使用 AWS 受管政策](security-iam-awsmanpol.md)
+ [使用服務連結角色](using-service-linked-roles.md)
+ [使用 IAM 條件索引鍵](using-condition-keys.md)
# 授予使用者對 的存取權 AWS Artifact
完成下列步驟, AWS Artifact 根據使用者所需的存取層級,將許可授予 。
**Topics**
+ [步驟 1:建立 IAM 政策](#create-iam-policy)
+ [步驟 2:建立 IAM 群組並連接政策](#create-iam-group)
+ [步驟 3:建立 IAM 使用者並將其新增至群組](#create-iam-user)
## 步驟 1:建立 IAM 政策
身為 IAM 管理員,您可以建立授予 AWS Artifact 動作和資源許可的政策。
**建立 IAM 政策**
使用下列程序建立 IAM 政策,您可以使用該政策將許可授予 IAM 使用者和群組。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**政策**。
1. 選擇 **Create policy** (建立政策)。
1. 請選擇 **JSON** 標籤。
1. 輸入政策文件。您可以建立自己的政策,也可以從 使用其中一個政策[商業 AWS 區域中 AWS Artifact 的 IAM 政策範例](example-iam-policies.md)。
1. 選擇**檢閱政策**。政策驗證程式會回報任何語法錯誤。
1. 在**檢閱政策**頁面上,輸入可協助您記住政策用途的唯一名稱。您也可以提供描述。
1. 選擇**建立政策**。
## 步驟 2:建立 IAM 群組並連接政策
身為 IAM 管理員,您可以建立群組,並將您建立的政策連接到群組。您可以隨時將 IAM 使用者新增至群組。
**建立 IAM 群組並連接您的政策**
1. 在導覽窗格中選擇 **Groups (群組)**,然後選擇 **Create New Group (建立新群組)**。
1. 針對**群組名稱**,輸入群組的名稱,然後選擇**下一步**。
1. 在搜尋欄位中,輸入您建立的政策名稱。選取政策的核取方塊,然後選擇**下一步**。
1. 檢閱群組名稱和政策。當您準備好時,請選擇**建立群組**。
## 步驟 3:建立 IAM 使用者並將其新增至群組
身為 IAM 管理員,您可以隨時將使用者新增至群組。這會授予使用者授予 群組的許可。
**建立 IAM 使用者並將使用者新增至群組**
1. 在導覽窗格中,選擇 **Users (使用者)**,然後選擇 **Add user (新增使用者)**。
1. 針對**使用者名稱**,輸入一或多個使用者的名稱。
1. 選取 **AWS 管理主控台 access (AWS 管理主控台 管理主控台存取)** 旁的核取方塊。設定自動產生的或自訂密碼。您可以選擇性地選取**使用者必須在下次登入時建立新密碼**,以便在使用者第一次登入時要求重設密碼。
1. 選擇**下一步:許可**。
1. 選擇**新增要分組的使用者**,然後選擇您建立的群組。
1. 選擇下**一步:標籤**。您可以選擇性地將標籤新增至使用者。
1. 選擇下**一步:檢閱**。當您準備好時,請選擇**建立使用者**。
# 商業 AWS 區域中 AWS Artifact 的 IAM 政策範例
您可以建立許可政策,將許可授予 IAM 使用者。您可以授予使用者對 AWS Artifact 報告的存取權,以及代表單一帳戶或組織接受和下載協議的能力。
下列範例政策顯示您可以根據 IAM 使用者所需的存取層級,將其指派給 IAM 使用者的許可。
這些政策適用於 commercial AWS [Regions](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#region)。如需適用於 的政策 AWS GovCloud (US) Regions,請參閱 [AWS Artifact 中 的範例 IAM 政策 AWS GovCloud (US) Regions](https://docs.aws.amazon.com/artifact/latest/ug/example-govcloud-iam-policies.html)
+ [使用精細許可管理 AWS 報告的範例政策](#example-policy-manage-aws-reports-with-finegrained-permissions)
+ [管理第三方報告的範例政策](#example-policy-manage-third-party-reports)
+ [管理協議的政策範例](#example-policy-manage-agreements)
+ [要與 整合的政策範例 AWS Organizations](#example-policy-integrate-with-organizations)
+ [管理管理帳戶協議的政策範例](#example-policy-agreements-master)
+ [管理組織協議的政策範例](#example-policy-organizational-agreements)
+ [管理通知的政策範例](#example-policy-notifications)
**Example 透過精細許可管理 AWS 報告的範例政策**
您應該考慮使用 [AWSArtifactReportsReadOnlyAccess 受管政策](security-iam-awsmanpol.html),而不是定義您自己的政策。
下列政策授予許可,以透過精細的許可下載所有 AWS 報告。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports",
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport",
"artifact:ListReportVersions"
],
"Resource": "*"
}
]
}
```
下列政策授予許可,以僅透過精細的許可下載 AWS SOC、PCI 和 ISO 報告。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport",
"artifact:ListReportVersions"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"artifact:ReportSeries": [
"SOC",
"PCI",
"ISO"
],
"artifact:ReportCategory": [
"Certifications and Attestations"
]
}
}
}
]
}
```
**Example 管理第三方報告的範例政策**
您應該考慮使用 [AWSArtifactReportsReadOnlyAccess 受管政策](security-iam-awsmanpol.html),而不是定義您自己的政策。
第三方報告由 IAM 資源 表示`report`。
下列政策會將許可授予所有第三方報告功能。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports",
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport"
],
"Resource": "*"
}
]
}
```
下列政策授予下載第三方報告的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReport",
"artifact:GetTermForReport"
],
"Resource": "*"
}
]
}
```
下列政策授予列出第三方報告的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
}
]
}
```
下列政策授予許可,以檢視所有版本的第三方報告詳細資訊。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata"
],
"Resource": [
"arn:aws:artifact:us-east-1::report/report-jRVRFP8HxUN5zpPh:*"
]
}
]
}
```
下列政策授予許可,以檢視特定版本的第三方報告詳細資訊。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata"
],
"Resource": [
"arn:aws:artifact:us-east-1::report/report-jRVRFP8HxUN5zpPh:1"
]
}
]
}
```
**提示**
您應該考慮使用 [AWSArtifactAgreementsReadOnlyAccess 或 AWSArtifactAgreementsFullAccess 受管政策](security-iam-awsmanpol.html),而不是定義您自己的政策。
**Example 管理協議的政策範例**
下列政策授予下載所有協議的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": [
"*"
]
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
下列政策授予許可,以接受所有協議。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListAgreements"
],
"Resource": [
"*"
]
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
}
]
}
```
下列政策授予終止所有協議的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
下列政策授予檢視和執行帳戶層級協議的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
**Example 要與 整合的政策範例 AWS Organizations**
下列政策會授予許可,以建立 AWS Artifact 用來與 整合的 IAM 角色 AWS Organizations。您組織的管理帳戶必須擁有這些許可,才能開始使用組織協議。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"artifact.amazonaws.com"
]
}
}
}
]
}
```
下列政策授予許可,以授予使用 AWS Artifact 的許可 AWS Organizations。您組織的管理帳戶必須擁有這些許可,才能開始使用組織協議。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "EnableServiceTrustForArtifact",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"aws-artifact-account-sync.amazonaws.com"
]
}
}
}
]
}
```
**Example 管理管理帳戶協議的政策範例**
下列政策授予許可,以管理 管理帳戶的協議。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"artifact.amazonaws.com"
]
}
}
},
{
"Sid": "EnableServiceTrust",
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Sid": "EnableServiceTrustForArtifact",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"aws-artifact-account-sync.amazonaws.com"
]
}
}
}
]
}
```
**Example 管理組織協議的政策範例**
下列政策授予管理組織協議的許可。具有必要許可的另一個使用者必須設定組織協議。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
下列政策授予檢視組織協議的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
**Example 管理通知的政策範例**
下列政策授予使用 AWS Artifact 通知的完整許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications:AssociateChannel",
"notifications:CreateEventRule",
"notifications:CreateNotificationConfiguration",
"notifications:DeleteEventRule",
"notifications:DeleteNotificationConfiguration",
"notifications:DisassociateChannel",
"notifications:GetEventRule",
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListNotificationConfigurations",
"notifications:ListNotificationHubs",
"notifications:ListTagsForResource",
"notifications:TagResource",
"notifications:UntagResource",
"notifications:UpdateEventRule",
"notifications:UpdateNotificationConfiguration",
"notifications-contacts:CreateEmailContact",
"notifications-contacts:DeleteEmailContact",
"notifications-contacts:GetEmailContact",
"notifications-contacts:ListEmailContacts",
"notifications-contacts:SendActivationCode"
],
"Resource": [
"*"
]
}
]
}
```
下列政策授予列出所有組態的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListNotificationConfigurations",
"notifications:ListNotificationHubs",
"notifications-contacts:GetEmailContact"
],
"Resource": [
"*"
]
}
]
}
```
下列政策授予建立組態的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications-contacts:CreateEmailContact",
"notifications-contacts:SendActivationCode",
"notifications:AssociateChannel",
"notifications:CreateEventRule",
"notifications:CreateNotificationConfiguration",
"notifications:ListEventRules",
"notifications:ListNotificationHubs",
"notifications:TagResource",
"notifications-contacts:ListEmailContacts"
],
"Resource": [
"*"
]
}
]
}
```
下列政策授予編輯組態的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications:AssociateChannel",
"notifications:DisassociateChannel",
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListTagsForResource",
"notifications:TagResource",
"notifications:UntagResource",
"notifications:UpdateEventRule",
"notifications:UpdateNotificationConfiguration",
"notifications-contacts:GetEmailContact",
"notifications-contacts:ListEmailContacts"
],
"Resource": [
"*"
]
}
]
}
```
下列政策授予刪除組態的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:DeleteNotificationConfiguration",
"notifications:ListEventRules"
],
"Resource": [
"*"
]
}
]
}
```
下列政策授予檢視組態詳細資訊的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListTagsForResource",
"notifications-contacts:GetEmailContact"
],
"Resource": [
"*"
]
}
]
}
```
下列政策授予註冊或取消註冊通知中樞的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:DeregisterNotificationHub",
"notifications:RegisterNotificationHub"
],
"Resource": [
"*"
]
}
]
}
```
# AWS Artifact 中 的 IAM 政策範例 AWS GovCloud (US) Regions
這些政策僅適用於 AWS GovCloud (US) Regions。如需適用於 commercial AWS [Regions](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#region) 的政策,請參閱[AWS Artifact 商業 AWS 區域中適用於 的範例 IAM 政策](https://docs.aws.amazon.com/artifact/latest/ug/example-iam-policies.html)
您可以建立許可政策,將許可授予 IAM 使用者。您可以授予使用者對 AWS Artifact 報告的存取權,以及代表單一帳戶或組織接受和下載協議的能力。
下列範例政策顯示您可以根據 IAM 使用者所需的存取層級,將其指派給 IAM 使用者的許可。
+ [管理 AWS 報告的範例政策](#example-policy-manage-reports-govcloud)
+ [管理協議的政策範例](#example-policy-manage-agreements-govcloud)
+ [要與 整合的政策範例 AWS Organizations](#example-policy-integrate-with-organizations-govcloud)
+ [管理管理帳戶協議的範例政策](#example-policy-agreements-master-govcloud)
+ [管理組織協議的政策範例](#example-policy-organizational-agreements-govcloud)
**Example 管理報告的範例政策**
下列政策授予下載所有報告的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports",
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport",
"artifact:ListReportVersions"
],
"Resource": "*"
}
]
}
```
下列政策僅授予下載 SOC、PCI 和 ISO 報告的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport",
"artifact:ListReportVersions"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"artifact:ReportSeries": [
"SOC",
"PCI",
"ISO"
],
"artifact:ReportCategory": [
"Certifications and Attestations"
]
}
}
}
]
}
```
**Example 管理協議的政策範例**
下列政策授予下載所有協議的許可。IAM 使用者也必須擁有此許可才能接受協議。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": [
"*"
]
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement"
],
"Resource": "arn:aws-us-gov:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement"
],
"Resource": "arn:aws-us-gov:artifact::*:customer-agreement/*"
}
]
}
```
下列政策授予許可,以接受所有協議。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListAgreements"
],
"Resource": [
"*"
]
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws-us-gov:artifact:::agreement/*"
}
]
}
```
下列政策授予終止所有協議的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws-us-gov:artifact::*:customer-agreement/*"
}
]
}
```
下列政策授予檢視和執行帳戶層級協議的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws-us-gov:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws-us-gov:artifact::*:customer-agreement/*"
}
]
}
```
**Example 要與 整合的政策範例 AWS Organizations**
下列政策授予許可,以建立 AWS Artifact 用來與 整合的 IAM 角色 AWS Organizations。您組織的管理帳戶必須擁有這些許可,才能開始使用組織協議。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "arn:aws-us-gov:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"artifact.amazonaws.com"
]
}
}
}
]
}
```
下列政策授予許可,以授予使用 AWS Artifact 的許可 AWS Organizations。您組織的管理帳戶必須擁有這些許可,才能開始使用組織協議。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "EnableServiceTrustForArtifact",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"aws-artifact-account-sync.amazonaws.com"
]
}
}
}
]
}
```
**Example 管理管理帳戶協議的政策範例**
下列政策授予許可,以管理 管理帳戶的協議。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws-us-gov:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws-us-gov:artifact::*:customer-agreement/*"
},
{
"Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "arn:aws-us-gov:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"artifact.amazonaws.com"
]
}
}
},
{
"Sid": "EnableServiceTrust",
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Sid": "EnableServiceTrustForArtifact",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"aws-artifact-account-sync.amazonaws.com"
]
}
}
}
]
}
```
**Example 管理組織協議的政策範例**
下列政策授予管理組織協議的許可。具有必要許可的另一個使用者必須設定組織協議。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws-us-gov:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws-us-gov:artifact::*:customer-agreement/*"
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
下列政策授予檢視組織協議的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement"
],
"Resource": "arn:aws-us-gov:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement"
],
"Resource": "arn:aws-us-gov:artifact::*:customer-agreement/*"
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
# 使用 的 AWS 受管政策 AWS Artifact
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可供現有 服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:[AWSArtifactReportsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSArtifactReportsReadOnlyAccess.html)
您可將 `AWSArtifactReportsReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予*唯讀*許可,允許列出、檢視和下載報告。
**許可詳細資訊**
此政策包含以下許可。
+ `artifact` – 允許主體從中列出、檢視和下載報告 AWS Artifact。
## AWS 受管政策:[AWSArtifactAgreementsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSArtifactAgreementsReadOnlyAccess.html)
您可將 `AWSArtifactAgreementsReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予*唯讀*存取權,以列出 AWS Artifact 服務協議並下載接受的協議。它還包含列出和描述組織詳細資訊的許可。此外,政策可讓您檢查所需的服務連結角色是否存在。
**許可詳細資訊**
此政策包含以下許可。
+ `artifact` – 允許主體列出所有協議,並從中檢視已接受的協議 AWS Artifact。
+ `iam` – 允許主體檢查所需的服務連結角色是否存在。
+ `organizations` – 允許主體描述目前的組織,並列出該組織的服務存取權。
## AWS 受管政策:[AWSArtifactAgreementsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSArtifactAgreementsFullAccess.html)
您可將 `AWSArtifactAgreementsFullAccess` 政策連接到 IAM 身分。
此政策授予列出、下載、接受和終止 AWS Artifact 協議*的完整*許可。它還包含列出和啟用 AWS Organizations 服務中 AWS 服務存取的許可,以及描述組織詳細資訊。此外,政策可讓您檢查所需的服務連結角色是否存在,如果不存在,則建立一個。
**許可詳細資訊**
此政策包含以下許可。
+ `artifact` – 允許主體從中列出、下載、接受和終止協議 AWS Artifact。
+ `iam` – 允許主體檢查所需的服務連結角色是否存在,如果不存在,請建立一個。
+ `organizations` – 允許主體描述目前的組織,並列出/啟用該組織的服務存取權。
## AWS Artifact AWS 受管政策的更新
檢視自此服務開始追蹤這些變更 AWS Artifact 以來, AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS Artifact [文件歷史記錄](doc-history.html)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSArtifactReportsReadOnlyAccess](#security-iam-awsmanpol-AWSArtifactReportsReadOnlyAccess) – 更新現有政策 | AWS Artifact 新增允許列出報告版本的`artifact:ListReportVersions`許可。 | 2025-12-15 |
| 更新的 AWS 協議受管政策 | 已更新 AWSArtifactAgreementsFullAccess 受管政策,將`organizations:EnableAWSServiceAccess`許可範圍縮小為 AWS Artifact的服務主體。這不會影響 受管政策的功能。 | 2025-10-16 |
| 更新的 AWS 報告受管政策 | 更新 AWSArtifactReportsReadOnlyAccess 受管政策以移除 artifact:get 許可。 | 2025-03-21 |
| 引進 AWS 協議受管政策 | 推出 AWSArtifactAgreementsReadOnlyAccess 和 AWSArtifactAgreementsFullAccess 受管政策。 | 2024-11-21 |
| AWS Artifact 開始追蹤變更 | AWS Artifact 開始追蹤其 AWS 受管政策的變更,並推出 AWSArtifactReportsReadOnlyAccess。 | 2023-12-15 |
# 使用 的服務連結角色 AWS Artifact
AWS Artifact use AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Artifact。服務連結角色由 預先定義, AWS Artifact 並包含服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS Artifact 輕鬆地設定,因為您不必手動新增必要的許可。 AWS Artifact 會定義其服務連結角色的許可,除非另有定義,否則 AWS Artifact 只能擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 AWS Artifact 資源,因為您不會不小心移除存取資源的許可。
如需有關支援服務連結角色的其他 服務的資訊,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 的服務連結角色許可 AWS Artifact
AWS Artifact 使用名為 **AWSServiceRoleForArtifact** 的服務連結角色 – 允許 透過 AWS Artifact 收集組織的相關資訊 AWS Organizations。
AWSServiceRoleForArtifact 服務連結角色信任下列服務擔任該角色:
+ `artifact.amazonaws.com`
名為 AWSArtifactServiceRolePolicy 的角色許可政策允許 對`organizations`資源 AWS Artifact 完成下列動作。
+ `DescribeOrganization`
+ `DescribeAccount`
+ `ListAccounts`
+ `ListAWSServiceAccessForOrganization`
## 為 建立服務連結角色 AWS Artifact
您不需要手動建立服務連結角色,當您前往組織管理帳戶中的組織**協議**索引標籤,並在 中選擇**開始使用**連結時 AWS 管理主控台, 會為您 AWS Artifact 建立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您前往組織管理帳戶中的組織**協議**索引標籤並選擇**開始使用**連結時, 會再次為您 AWS Artifact 建立服務連結角色。
## 編輯 的服務連結角色 AWS Artifact
AWS Artifact 不允許您編輯 AWSServiceRoleForArtifact 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 的服務連結角色 AWS Artifact
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
如果 AWS Artifact 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 AWSServiceRoleForArtifact 使用 AWS Artifact 的資源**
1. 造訪 AWS Artifact 主控台中的「組織協議」資料表
1. 終止任何作用中的組織協議
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForArtifact 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AWS Artifact 服務連結角色支援的區域
AWS Artifact 不支援在提供服務的每個區域中使用服務連結角色。您可以在下列區域中使用 AWSServiceRoleForArtifact 角色。
****
| 區域名稱 | 區域身分 | 中的支援 AWS Artifact |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 否 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 否 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| Africa (Cape Town) | af-south-1 | 否 |
| 亞太地區 (香港) | ap-east-1 | 否 |
| 亞太地區 (雅加達) | ap-southeast-3 | 否 |
| 亞太區域 (孟買) | ap-south-1 | 否 |
| 亞太地區 (大阪) | ap-northeast-3 | 否 |
| 亞太區域 (首爾) | ap-northeast-2 | 否 |
| 亞太區域 (新加坡) | ap-southeast-1 | 否 |
| 亞太地區 (悉尼) | ap-southeast-2 | 否 |
| 亞太區域 (東京) | ap-northeast-1 | 否 |
| 加拿大 (中部) | ca-central-1 | 否 |
| 歐洲 (法蘭克福) | eu-central-1 | 否 |
| 歐洲 (愛爾蘭) | eu-west-1 | 否 |
| 歐洲 (倫敦) | eu-west-2 | 否 |
| 歐洲 (米蘭) | eu-south-1 | 否 |
| Europe (Paris) | eu-west-3 | 否 |
| Europe (Stockholm) | eu-north-1 | 否 |
| Middle East (Bahrain) | me-south-1 | 否 |
| 中東 (阿拉伯聯合大公國) | me-central-1 | 否 |
| 南美洲 (聖保羅) | sa-east-1 | 否 |
| AWS GovCloud (美國東部) | us-gov-east-1 | 否 |
| AWS GovCloud (美國西部) | us-gov-west-1 | 是 |
# 使用 IAM 條件索引鍵進行 AWS Artifact 報告
您可以使用 IAM 條件金鑰 AWS Artifact,根據特定報告類別和系列提供對報告的精細存取。
下列範例政策顯示您可以根據特定報告類別和系列指派給 IAM 使用者的許可。
**Example 管理 AWS 報告讀取存取權的政策範例**
AWS Artifact 報告由 IAM 資源 表示`report`。
下列政策授予許可,以讀取 `Certifications and Attestations`類別下的所有 AWS Artifact 報告。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"artifact:GetReport",
"artifact:GetReportMetadata",
"artifact:GetTermForReport"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"artifact:ReportCategory": "Certifications and Attestations"
}
}
}
]
}
```
下列政策可讓您授予讀取 `SOC` 系列下所有 AWS Artifact 報告的許可。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
},{
"Effect": "Allow",
"Action": [
"artifact:GetReport",
"artifact:GetReportMetadata",
"artifact:GetTermForReport"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"artifact:ReportSeries": "SOC",
"artifact:ReportCategory": "Certifications and Attestations"
}
}
}
]
}
```
下列政策可讓您授予許可,以讀取 `Certifications and Attestations`類別和`SOC`系列下的所有 AWS Artifact 報告。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"artifact:GetReport",
"artifact:GetReportMetadata",
"artifact:GetTermForReport"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"artifact:ReportSeries": "SOC",
"artifact:ReportCategory": "Certifications and Attestations"
}
}
}
]
}
```