本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
身分型政策範例
根據預設,使用者和角色沒有建立或修改 Amazon Connect Decisions 資源的許可。他們也無法使用 AWS 管理主控台、 AWS 命令列界面 (AWS CLI) 或 AWS API 來執行任務。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。然後,管理員可以將 IAM 政策新增至角色,使用者便能擔任這些角色。
若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《IAM 使用者指南》中的建立 IAM 政策。
執行個體管理 IAM 政策
以下是透過主控台或公有 API 建立、更新或刪除執行個體所需的 IAM 政策 (不包含所有 Webapp 操作)。
{ "Version": "2012-10-17", "Statement": [ { "Action": "scn:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:CreateBucket", "s3:PutBucketVersioning", "s3:PutBucketObjectLockConfiguration", "s3:PutEncryptionConfiguration", "s3:PutBucketPolicy", "s3:PutLifecycleConfiguration", "s3:PutBucketPublicAccessBlock", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:PutBucketOwnershipControls", "s3:PutBucketNotification", "s3:PutAccountPublicAccessBlock", "s3:PutBucketLogging", "s3:PutBucketTagging" ], "Resource": "arn:aws:s3:::aws-supply-chain-*", "Effect": "Allow" }, { "Action": [ "cloudtrail:CreateTrail", "cloudtrail:PutEventSelectors", "cloudtrail:GetEventSelectors", "cloudtrail:StartLogging" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "events:DescribeRule", "events:PutRule", "events:PutTargets" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "cloudwatch:PutMetricData", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "organizations:CreateOrganization", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:ListAliases" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:GetRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "sso:AssociateDirectory", "sso:AssociateProfile", "sso:CreateApplication", "sso:CreateApplicationAssignment", "sso:CreateInstance", "sso:CreateManagedApplicationInstance", "sso:DeleteApplication", "sso:DeleteApplicationAssignment", "sso:DeleteManagedApplicationInstance", "sso:DescribeApplication", "sso:DescribeDirectories", "sso:DescribeInstance", "sso:DescribeRegisteredRegions", "sso:DescribeTrusts", "sso:DisassociateProfile", "sso:GetManagedApplicationInstance", "sso:GetPeregrineStatus", "sso:GetProfile", "sso:GetSharedSsoConfiguration", "sso:GetSsoConfiguration", "sso:GetSSOStatus", "sso:ListApplicationAssignments", "sso:ListApplicationTemplates", "sso:ListDirectoryAssociations", "sso:ListInstances", "sso:ListProfileAssociations", "sso:ListProfiles", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:RegisterRegion", "sso:SearchDirectoryGroups", "sso:SearchDirectoryUsers", "sso:SearchGroups", "sso:SearchUsers", "sso:StartPeregrine", "sso:StartSSO", "sso:UpdateSsoConfiguration", "sso-directory:SearchUsers" ], "Resource": "*", "Effect": "Allow" } ] }
政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 Amazon Connect Decisions 資源。這些動作可能會讓您的 AWS 帳戶產生成本。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
-
開始使用 AWS 受管政策並邁向最低權限許可 – 若要開始將許可授予您的使用者和工作負載,請使用 AWS 受管政策,將許可授予許多常用案例。在您的 AWS 帳戶中提供了這些政策。我們建議您定義特定於使用案例的 AWS 客戶管理政策,以便進一步減少許可。如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策或任務函數的 AWS 受管政策。
-
套用最低權限許可 – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。如需使用 IAM 套用許可的更多相關資訊,請參閱《IAM 使用者指南》中的 IAM 中的政策和許可。
-
使用 IAM 政策中的條件進一步限制存取權 – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定服務使用服務動作,您也可以使用條件來授予存取 AWS 服務動作的權限,例如 CloudFormation。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素:條件。
-
使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作 – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《IAM 使用者指南》中的使用 IAM Access Analyzer 驗證政策。
-
需要多重要素驗證 (MFA) – 如果存在需要 AWS 帳戶中 IAM 使用者或根使用者的情況,請開啟 MFA 提供額外的安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《IAM 使用者指南》中的透過 MFA 的安全 API 存取。
如需 IAM 中最佳實務的相關資訊,請參閱《IAM 使用者指南》中的 IAM 安全最佳實務。
