本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理對 資源的存取
<a name="access-control-manage-access-intro"></a>

*許可政策*描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

**注意**  
本節討論在 AWS Control Tower 的內容中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件，請參閱*IAM 使用者指南*中的[什麼是 IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需有關 IAM 政策語法和說明的資訊，請參閱*IAM 使用者指南*中的 [AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

連接至 IAM 身分的政策稱為以*身分為基礎的*政策 (IAM 政策）。連接到資源的政策稱為*資源型*政策。

**注意**  
 AWS Control Tower 僅支援以身分為基礎的政策 (IAM 政策）。

**Topics**
+ [關於以身分為基礎的政策 (IAM 政策）](#access-control-manage-access-intro-iam-policies)
+ [建立角色並指派許可](assign-permissions.md)
+ [資源型政策](#access-control-manage-access-intro-resource-policies)

## 關於以身分為基礎的政策 (IAM 政策）
<a name="access-control-manage-access-intro-iam-policies"></a>

您可以將政策連接到 IAM 身分。例如，您可以執行下列動作：
+ **將許可政策連接至您帳戶中的使用者或群組** – 若要授予使用者建立 AWS Control Tower 資源的許可，例如設定登陸區域，您可以將許可政策連接至使用者或使用者所屬的群組。
+  **將許可政策連接至角色 (授予跨帳戶許可)**：您可以將身分識別型許可政策連接至 IAM 角色，藉此授予跨帳戶許可。例如，一個 AWS 帳戶的管理員 (*帳戶 A*) 可以建立將跨帳戶許可授予另一個 AWS 帳戶 (*帳戶 B*) 的角色，或者管理員可以建立將許可授予另一個 AWS 服務的角色。

  1. 帳戶 A 管理員會建立 IAM 角色，並將許可政策連接至角色，以授予許可來管理帳戶 A 中的資源。

  1. 帳戶 A 管理員會將信任政策連接至角色。此政策會將帳戶 B 識別為可擔任該角色的委託人。

  1. 身為委託人，帳戶 B 管理員可以授予帳戶 B 中的任何使用者擔任該角色的許可。透過擔任角色，帳戶 B 中的使用者可以建立或存取帳戶 A 中的資源。

  1. 若要授予 AWS 服務擔任角色的能力 （許可），您在信任政策中指定的委託人可以是 AWS 服務。

## 資源型政策
<a name="access-control-manage-access-intro-resource-policies"></a>

其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如，您可以將政策連接至 S3 儲存貯體，以管理該儲存貯體的存取許可。AWS Control Tower 不支援以資源為基礎的政策。