本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 支援 身分型政策範例
根據預設,IAM 使用者和角色不具備建立或修改 支援 資源的許可。他們也無法使用 AWS Management Console AWS CLI或 AWS API 執行任務。IAM 管理員必須建立 IAM 政策,授予使用者和角色在指定資源上執行特定 API 作業的所需許可。管理員接著必須將這些政策連接至需要這些許可的 IAM 使用者或群組。
若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《IAM 使用者指南》中的在 JSON 標籤上建立政策。
政策最佳實務
身分型政策相當強大。他們會判斷您帳戶中的某個人員是否可以建立、存取或刪除 支援 資源。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
-
開始使用 AWS 受管政策 – 若要 支援 快速開始使用 ,請使用 AWS 受管政策為您的員工提供所需的許可。這些政策已在您的帳戶中提供,並由 AWS維護和更新。如需詳細資訊,請參閱《IAM 使用者指南》中的使用許可搭配 AWS 受管政策。
-
授予最低權限 – 當您建立自訂政策時,請只授予執行任務所需要的許可。以最小一組許可開始,然後依需要授予額外的許可。這比一開始使用太寬鬆的許可,稍後再嘗試將他們限縮更為安全。如需詳細資訊,請參閱《IAM 使用者指南》中的授予最低權限。
-
為敏感操作啟用 MFA – 為了增加安全,請要求 IAM 使用者使用多重驗證 (MFA) 存取敏感資源或 API 操作。如需詳細資訊,請參閱《IAM 使用者指南》中的在 AWS中使用多重要素驗證 (MFA)。
-
使用政策條件以增加安全 – 在切實可行的範圍中,請定義您身分類型政策允許存取資源的條件。例如,您可以撰寫條件,指定請求必須來自一定的允許 IP 地址範圍。您也可以撰寫條件,只在指定的日期或時間範圍內允許請求,或是要求使用 SSL 或 MFA。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素:條件。
使用 支援 主控台
若要存取 AWS 支援 主控台,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 AWS 帳戶中 支援 資源的詳細資訊。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (IAM 使用者或角色) 而言,主控台就無法如預期運作。
為了確保這些實體仍然可以使用 支援 主控台,也請將下列 AWS 受管政策連接至實體。如需詳細資訊,請參閱《IAM 使用者指南》中的新增許可到使用者。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合您嘗試執行之 API 操作的動作就可以了。
允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
