本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理 AWS Control Tower 資源存取許可的概觀
<a name="access-control-overview"></a>

每個 AWS 資源都由 擁有 AWS 帳戶，而建立或取得資源存取權的許可是由許可政策管理。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組和角色)。有些 服務 （例如 AWS Lambda) 也支援將許可政策連接至 資源。

**注意**  
「帳戶管理員」** (或管理員) 是具有管理員權限的使用者。如需詳細資訊，請參《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。

當您負責將許可授予使用者或角色時，您必須知道並追蹤需要許可*的使用者和角色*、每個使用者和角色需要許可*的資源*，以及操作這些資源時必須允許*的特定動作*。

**Topics**
+ [AWS Control Tower 資源和操作](#access-control-resources)
+ [關於資源擁有權](#access-control-owner)
+ [管理對 資源的存取](access-control-manage-access-intro.md)
+ [指定政策元素：動作、效果和委託人](#access-control-specify-controltower-actions)
+ [在政策中指定條件](#specifying-conditions)

## AWS Control Tower 資源和操作
<a name="access-control-resources"></a>

在 AWS Control Tower 中，主要資源是*登陸區域*。AWS Control Tower 也支援其他資源類型、*控制項*，有時稱為*護欄*。不過，對於 AWS Control Tower，您只能在現有登陸區域的內容中管理控制項。控制項可以稱為*子資源*。

中的資源和子資源 AWS 具有與其相關聯的唯一 Amazon Resource Name (ARNs)，如下列範例所示。


****  

| 資源類型 | ARN 格式 | 
| --- | --- | 
| 檔案系統 | arn:aws:elasticfilesystem:{{region}}:{{account-id}}:file-system/{{file-system-id}} | 

AWS Control Tower 提供一組 API 操作，以使用 AWS Control Tower 資源。如需可用操作的清單，請參閱 AWS Control Tower [the AWS Control Tower API Reference](https://docs.aws.amazon.com/controltower/latest/APIReference/API_Operations.html)。

如需 AWS Control Tower CloudFormation 資源的詳細資訊，請參閱 [AWS CloudFormation 使用者指南](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/AWS_ControlTower.html)。

## 關於資源擁有權
<a name="access-control-owner"></a>

無論誰建立資源， AWS 帳戶都會擁有在帳戶中建立的資源。具體而言，資源擁有者是驗證資源建立請求之[主體實體](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) （即 AWS 帳戶 根使用者、IAM Identity Center 使用者、IAM 使用者或 IAM 角色） AWS 的帳戶。下列範例說明其如何運作：
+ 如果您使用 AWS 帳戶的 AWS 帳戶根使用者登入資料來設定登陸區域， AWS 您的帳戶即為資源的擁有者。
+ 如果您在 AWS 帳戶中建立 IAM 使用者，並將設定登陸區域的許可授予該使用者，只要其帳戶符合先決條件，該使用者就可以設定登陸區域。不過，使用者所屬 AWS 的帳戶擁有登陸區域資源。
+ 如果您在 AWS 帳戶中建立具有設定登陸區域許可的 IAM 角色，則任何可以擔任該角色的人都可以設定登陸區域。該角色所屬 AWS 的帳戶擁有登陸區域資源。

## 指定政策元素：動作、效果和委託人
<a name="access-control-specify-controltower-actions"></a>

您可以透過 AWS Control Tower 主控台或登陸區域 [ APIs 來設定和管理登陸區域](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)。若要設定登陸區域，您必須是具有 IAM 政策所定義管理許可的 IAM 使用者。

以下是您可以在政策中識別的最基本元素：
+ **資源** – 在政策中，您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需詳細資訊，請參閱[AWS Control Tower 資源和操作](#access-control-resources)。
+ **動作**：使用動作關鍵字識別您要允許或拒絕的資源操作。如需有關可執行之動作類型的資訊，請參閱 [AWS Control Tower 定義的動作](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontroltower.html#awscontroltower-actions-as-permissions)。
+ **效果** - 您可以指定使用者要求特定動作時會有什麼效果；可為允許或拒絕。如果您未明確授予存取 (允許) 資源，則隱含地拒絕存取。您也可以明確拒絕資源存取，這樣做可確保使用者無法存取資源，即使不同政策授予存取也是一樣。
+ **委託人** – 在以身分為基礎的政策 (IAM 政策） 中，附加政策的使用者是隱含委託人。對於資源型政策，您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。AWS Control Tower 不支援以資源為基礎的政策。

如需進一步了解有關 IAM 政策語法和說明的詳細資訊，請參閱《IAM 使用者指南》** 中的 [AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

## 在政策中指定條件
<a name="specifying-conditions"></a>

當您授與許可時，您可以使用 IAM 政策語言指定政策生效時間的條件。例如，建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊，請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。

若要表達條件，您可以使用預先定義的條件索引鍵。AWS Control Tower 沒有特定的條件索引鍵。不過，您可以視需要使用 AWS全局條件索引鍵。如需 AWS全系列金鑰的完整清單，請參閱《*IAM 使用者指南*》中的[條件的可用金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。