使用 IAM 角色政策陳述式限制許可 - AMS 進階使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 IAM 角色政策陳述式限制許可

AMS 使用 IAM 角色,透過聯合服務設定使用者許可。

單一帳戶登陸區域 AMS:請參閱 SALZ:預設 IAM 使用者角色

多帳戶登陸區域 AMS:請參閱 MALZ:預設 IAM 使用者角色

IAM 角色是 IAM 實體,定義一組提出 AWS 服務請求的許可。IAM 角色不會與特定使用者或群組建立關聯。相反地,信任的實體會擔任 角色,例如 IAM 使用者、應用程式 AWS 或服務,例如 Amazon EC2。如需詳細資訊,請參閱 IAM 角色

您可以使用 AWS Security Token Service (STS) API 操作 AssumeRole,在Policy請求欄位下傳遞更嚴格的 IAM 政策,來縮小擔任 AMS IAM 使用者角色的使用者所需的政策範圍。

接下來會提供可用來限制 CT 存取的政策陳述式範例。

您可以使用您設定的 Active Directory (AD) 群組和 AWS Security Token Service (STS) API 操作 AssumeRole,為特定使用者或群組設定許可,包括限制對特定變更類型 (CTs存取。您可以使用下列政策陳述式,以各種方式限制 CT 存取。

預設 IAM 執行個體描述檔中的 AMS 變更類型陳述式,允許存取所有 AMS API 呼叫 (amscm 和 amsskms) 和所有變更類型:

{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}

  1. 僅允許兩個指定 CTs的存取和所有動作的陳述式,其中「動作」是 AMS API 操作 ( amscmamsskms),而「資源」代表現有的變更類型 IDs和版本編號:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "amscm:*",
            "Resource": [
                "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
            ]
        }
    ]
}

  2. 僅允許對兩個指定 CT 存取 CreateRfc、UpdateRfc 和 SubmitRfc 的陳述式: CTs

  3. 允許在所有可用的 CT 上存取 CreateRfc、UpdateRfc 和 SubmitRfc 的陳述式: CTs

  4. 拒絕限制 CT 上所有動作存取並允許其他 CTs的陳述式: