本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon Connect 的 Identity and Access Management

AWS Identity and Access Management (IAM) 是 AWS 服務 ，可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員負責控制誰可通過驗證 (登入) 和獲得授權 (具有許可) 來使用 Amazon Connect 資源。IAM 是您可以免費使用 AWS 服務 的 。

目標對象

使用方式 AWS Identity and Access Management (IAM) 會因您的角色而有所不同：

使用身分驗證

身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。

您可以使用身分來源的登入資料，例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料，以聯合身分的形式登入。如需登入的詳細資訊，請參閱AWS 登入 《 使用者指南》中的如何登入您的 AWS 帳戶 。

對於程式設計存取， AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊，請參閱《IAM 使用者指南》中的 AWS API 請求的簽章版本 4。

AWS 帳戶 根使用者

當您建立 時 AWS 帳戶，您會從一個名為 AWS 帳戶 theroot 使用者的登入身分開始，該身分可完整存取所有 AWS 服務 和資源。強烈建議您不要將根使用者用於日常任務。如需需要根使用者憑證的任務，請參閱《IAM 使用者指南》中的需要根使用者憑證的任務。

使用者和群組

IAM 使用者是具有單一人員或應用程式特定許可的身分。我們建議您使用臨時登入資料，而非具有長期登入資料的 IAM 使用者。如需詳細資訊，請參閱《IAM 使用者指南》中的要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取 。

IAM 群組會指定 IAM 使用者的集合，讓大量使用者更容易管理許可。如需詳細資訊，請參閱《IAM 使用者指南》中的 IAM 使用者使用案例。

IAM 角色

IAM 角色是具有特定許可的身分，可提供臨時登入資料。您可以透過從使用者切換到 IAM 角色 （主控台） 或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊，請參閱《IAM 使用者指南》中的擔任角色的方法。

IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取、跨服務存取，以及在 Amazon EC2 上執行的應用程式。如需詳細資訊，請參閱 IAM 使用者指南中的 IAM 中的快帳戶資源存取。

使用政策管理存取權

您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策定義與身分或資源相關聯的許可。當委託人提出請求時 AWS ， 會評估這些政策。大多數政策會以 JSON 文件 AWS 的形式存放在 中。如需 JSON 政策文件的詳細資訊，請參閱《IAM 使用者指南》中的 JSON 政策概觀。

管理員使用 政策，透過定義哪些委託人可以對哪些資源以及在哪些條件下執行動作，指定誰可以存取哪些資源。

預設情況下，使用者和角色沒有許可。IAM 管理員會建立 IAM 政策並將其新增至角色，然後使用者可以擔任該角色。無論用於執行操作的方法為何，IAM 政策都會定義許可。

身分型政策

身分型政策是您連接到身分 （使用者、群組或角色） 的 JSON 許可政策文件。這些政策可控制身分可執行的動作、資源，以及條件。如需了解如何建立身分型政策，請參閱 IAM 使用者指南中的透過客戶管理政策定義自訂 IAM 許可。

身分型政策可以是內嵌政策 （直接內嵌至單一身分） 或受管政策 （連接至多個身分的獨立政策）。若要了解如何在受管和內嵌政策之間進行選擇，請參閱《IAM 使用者指南》中的在受管政策和內嵌政策之間進行選擇。

資源型政策

資源型政策是連接到資源的 JSON 政策文件。範例包括 IAM 角色信任政策和 Amazon S3 儲存貯體政策。在支援資源型政策的服務中，服務管理員可以使用它們來控制對特定資源的存取權限。您必須在資源型政策中指定主體。

資源型原則是位於該服務中的內嵌原則。您無法在資源型政策中使用來自 IAM 的 AWS 受管政策。

其他政策類型

AWS 支援其他政策類型，可設定更多常見政策類型授予的最大許可：

多種政策類型

將多種政策類型套用到請求時，其結果形成的許可會更為複雜、更加難以理解。若要了解如何 AWS 在涉及多個政策類型時決定是否允許請求，請參閱《IAM 使用者指南》中的政策評估邏輯。