本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon One Enterprise 的身分型政策範例
根據預設,使用者和角色沒有建立或修改 Amazon One Enterprise 資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《IAM 使用者指南》中的建立 IAM 政策 (主控台)。
如需 Amazon One Enterprise 定義的動作和資源類型的詳細資訊,包括每種資源類型的 ARNs 格式,請參閱《服務授權參考Amazon One Enterprise 的動作、資源與條件索引鍵》中的 。
主題
政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 Amazon One Enterprise 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
-
開始使用 AWS 受管政策並邁向最低權限許可 – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 AWS 受管政策。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策或任務職能的AWS 受管政策。
-
套用最低權限許可 – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。如需使用 IAM 套用許可的更多相關資訊,請參閱《IAM 使用者指南》中的 IAM 中的政策和許可。
-
使用 IAM 政策中的條件進一步限制存取權 – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 等使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素:條件。
-
使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作 – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《IAM 使用者指南》中的使用 IAM Access Analyzer 驗證政策。
-
需要多重要素驗證 (MFA) – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《IAM 使用者指南》中的透過 MFA 的安全 API 存取。
如需 IAM 中最佳實務的相關資訊,請參閱《IAM 使用者指南》中的 IAM 安全最佳實務。
使用 Amazon One Enterprise 主控台
若要存取 Amazon One Enterprise 主控台,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 中 Amazon One Enterprise 資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
為了確保使用者和角色仍然可以使用 Amazon One Enterprise 主控台,請將 Amazon One Enterprise ConsoleAccessReadOnly
允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Amazon One Enterprise 的唯讀存取權
下列範例顯示 AWS 受管政策,AmazonOneEnterpriseReadOnlyAccess授予 Amazon One Enterprise 的唯讀存取權。
在政策陳述式中,Effect 元素指定允許或拒絕動作。Action 元素列出允許使用者執行的特定動作。Resource 元素列出使用者得以執行特定動作的 AWS 資源。對於控制 Amazon One Enterprise 動作存取的政策, Resource元素一律設定為 *,也就是「所有資源」的萬用字元。
Action 元素中的值對應至服務所支援的 API。動作前面加上 ,config:表示它們參考 Amazon One Enterprise 動作。您可以在 Action 元素中使用 * 萬用字元,如下列範例所示:
-
"Action": ["one:*DeviceInstanceConfiguration"]這允許以 "DeviceInstance" (
GetDeviceInstanceConfiguration、) 結尾的所有 Amazon One Enterprise 動作CreateDeviceInstanceConfiguration。 -
"Action": ["one:*"]這允許所有 Amazon One Enterprise 動作,但不允許其他 AWS 服務的動作。
-
"Action": ["*"]這允許所有 AWS 動作。此許可適用於擔任您 帳戶 AWS 管理員的使用者。
唯讀政策不會授予使用者 動作的許可,例如 CreateDeviceInstance、 UpdateDeviceInstance和 DeleteDeviceInstance。使用此政策的使用者不允許建立裝置執行個體、更新裝置執行個體或刪除裝置執行個體。如需 Amazon One Enterprise 動作的清單,請參閱 Amazon One Enterprise 的動作、資源與條件索引鍵。
Amazon One Enterprise 的完整存取權
下列範例顯示授予 Amazon One Enterprise 完整存取權的政策。它授予使用者執行所有 Amazon One Enterprise 動作的許可。
重要
此政策會授予廣泛許可。授予完整存取之前,請考慮從最少的一組許可開始,然後依需要授予其他許可。這比一開始使用太寬鬆的許可,爾後再嘗試限縮許可更為安全。
Amazon One Enterprise Rule API 動作支援的資源層級許可
資源層級許可能夠讓您指定使用者可執行動作的資源。Amazon One Enterprise 支援特定 Amazon One Enterprise 規則 API 動作的資源層級許可。這表示對於某些 Amazon One Enterprise 規則動作,您可以控制允許使用者使用這些動作的條件。這些條件可以是必須滿足的動作,也可以是允許使用者使用的特定資源。
下表說明目前支援資源層級許可的 Amazon One Enterprise 規則 API 動作。另說明每個動作支援的資源及其 ARN。指定 ARN 時,您可在路徑中使用 * 萬用字元,例如當您無法或不想明確指定資源 ID 時。
重要
如果此表格中未列出 Amazon One Enterprise 規則 API 動作,則不支援資源層級許可。如果 Amazon One Enterprise 規則動作不支援資源層級許可,您可以授予使用者使用該動作的許可,但必須為政策陳述式的資源元素指定 *。
| API 動作 | Resources |
|---|---|
CreateDeviceInstance |
裝置執行個體 arn:aws:one: |
GetDeviceInstance |
裝置執行個體 arn:aws:one: |
UpdateDeviceInstance |
裝置執行個體 arn:aws:one: |
DeleteDeviceInstance |
裝置執行個體 arn:aws:one: |
CreateDeviceActivationQrCode |
裝置執行個體 arn:aws:one: |
DeleteAssociatedDevice |
裝置執行個體 arn:aws:one: |
RebootDevice |
裝置執行個體 arn:aws:one: |
CreateDeviceInstanceConfiguration |
裝置執行個體組態 arn:aws:one: |
GetDeviceInstanceConfiguration |
裝置執行個體組態 arn:aws:one: |
CreateSite |
Site arn:aws:one: |
DeleteSite |
Site arn:aws:one: |
GetSiteAddress |
Site arn:aws:one: |
UpdateSite |
Site arn:aws:one: |
UpdateSiteAddress |
Site arn:aws:one: |
CreateDeviceConfigurationTemplate |
裝置組態範本 arn:aws:one: |
DeleteDeviceConfigurationTemplate |
裝置組態範本 arn:aws:one: |
GetDeviceConfigurationTemplate |
裝置組態範本 arn:aws:one: |
UpdateDeviceConfigurationTemplate |
裝置組態範本 arn:aws:one: |
例如,您希望允許特定使用者的讀取存取和拒絕寫入存取特定規則。
在第一個政策中,您可以允許 AWS Config 規則讀取動作,例如指定規則GetSite上的 。
在第二個政策中,您會拒絕對特定規則執行 Amazon One Enterprise 規則寫入動作。
透過資源層級許可,您可以允許讀取存取和拒絕寫入存取,以對 Amazon One Enterprise 規則 API 動作執行特定動作。
其他資訊
若要進一步了解如何建立 IAM 使用者、群組、政策和許可,請參閱《IAM 使用者指南》中的建立您的第一個 IAM 使用者和管理員群組和存取管理。
