本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的安全性 AWS 資源總管
雲安全 AWS 是最高的優先級。身為 AWS 客戶,您可以從資料中心和網路架構中獲益,該架構專為滿足對安全性最敏感的組織的需求而打造。
安全是 AWS 與您之間共同承擔的責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端的安全性和雲端中的安全性:
+ **雲端的安全性** — AWS 負責保護 AWS 服務 中執行的基礎架構 AWS 雲端。 AWS 還為您提供可以安全使用的服務。若要瞭解適用於資源總管的規範遵循方案,請參閱[符合性方案範圍AWS 服務AWS 服務 中](https://aws.amazon.com/compliance/services-in-scope/)中的。
+ **雲端中的安全性** — 您的責任取決於您使用的資料。 AWS 服務 您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規
本文件可協助您瞭解如何在使用時套用共同責任模型 AWS 資源總管。它會示範如何設定資源總管,以符合您的安全性和合規性目標。您也會學到如何使用其他 AWS 服務 協助您監視和保護資源總管資源管理器資源的其他資源。
**Topics**
+ [將IAM政策升級為 IPv6](arex-security-ipv6-upgrade.md)
+ [身分與存取管理](security_iam.md)
+ [資料保護](data-protection.md)
+ [法規遵循驗證](compliance-validation.md)
+ [恢復能力](disaster-recovery-resiliency.md)
+ [基礎架構安全](infrastructure-security.md)
# 將IAM政策升級為 IPv6
AWS 資源總管 客戶使用IAM政策來設定允許的 IP 位址範圍,並防止任何超出設定範圍的 IP 位址能夠存取資源總管APIs。
*資源瀏覽器 -2。*region*託管資源總管的 .api.aws * 網域APIs正IPv6在升級以支援。IPv4
未更新以處理IPv6位址的 IP 位址篩選原則可能會導致用戶端無法存取 Resource Explorer API 網域上的資源。
## 受IPv4到從升級到影響的客戶 IPv6
針對包含 *aws* 的政策使用雙重定址的客戶sourceIp會受到此升級的影響。雙位址代表網路同時支援IPv4和IPv6。
如果您使用雙重定址,IAM則必須更新目前使用IPv4格式位址設定的原則,以包含IPv6格式位址。
如需存取問題的協助,請聯絡[支援](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create)。
**注意**
下列客戶*不*受此升級的影響:
*只*有IPv4網路上的客戶。
*只*有IPv6網路上的客戶。
## 什麼是IPv6?
IPv6是旨在最終取代的下一代 IP 標準IPv4。舊版使用 32 位元定址配置來支援 43 億部裝置。IPv4IPv6而是使用 128 位元定址來支援約 340 萬億億 (或 2 到 128 功率) 的裝置。
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
## 更新IAM政策 IPv6
IAM原則目前用於使用`aws:SourceIp`篩選器設定允許的 IP 位址範圍。
雙尋址支援IPv4和IPV6流量。如果您的網路使用雙重定址,您必須確定任何用於 IP 位址篩選的原IAM則都已更新,以包含位IPv6址範圍。
例如,此 Amazon S3 儲存貯體政策可識別允許的IPv4地址範圍`192.0.2.0.*`和`Condition`元素`203.0.113.0.*`中。
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
若要更新此原則,原則的`Condition`元素會更新為包含IPv6位址範圍`2001:DB8:1234:5678::/64`和`2001:cdba:3257:8593::/64`。
**注意**
做現有NOTREMOVE的IPv4地址,因為它們是向後兼容性所需的。
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
如需有關使用管理存取權限的詳細資訊IAM,請參閱*AWS Identity and Access Management 使用指南*中的[受管理原則和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
## 驗證您的客戶可以支持 IPv6
客戶使用*資源瀏覽器 -2。 建議 \$1region\$1 .api.aws* 端點驗證其客戶端是否可以訪問已啟用的其他 AWS 服務 端點。IPv6下列步驟說明如何驗證這些端點。
此範例使用 Linux 和 curl 版本 8.6.0,並使用已IPv6啟用位於 *api.* aws 網域的[端點的 Amazon Athena 服務](https://docs.aws.amazon.com/general/latest/gr/athena.html)端點。
**注意**
切換 AWS 區域 到用戶端所在的相同區域。在此範例中,我們使用美國東部 (維吉尼亞北部) `us-east-1` 端點。
1. 使用下列 curl 命令判斷端點是否以IPv6位址解析。
```
dig +short AAAA athena.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
```
1. 確定客戶端網絡是否可以IPv6使用以下 curl 命令進行連接。
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
response code: 404
```
如果識別出遠端 IP **且**回應碼沒有`0`,表示已使用成功與端點建立網路連線IPv6。
如果遠端 IP 為空白或回應碼為`0`,則用戶端網路或端點的網路路徑為IPv4僅限。您可以使用以下 curl 命令驗證此配置。
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 3.210.103.49
response code: 404
```
如果識別出遠端 IP **且**回應碼沒有`0`,表示已使用成功與端點建立網路連線IPv4。遠端 IP 應該是位IPv4址,因為作業系統應該選取對用戶端有效的通訊協定。如果遠端 IP 不是位IPv4址,請使用下列指令強制 curl 使用IPv4。
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 35.170.237.34
response code: 404
```
# 的身分和存取管理 AWS 資源總管
AWS Identity and Access Management (IAM) 是一種 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員會控制誰可以進行*身分驗證 *(登入) 和*授權* (具有許可),以使用 Resource Explorer 資源。IAM 是 AWS 服務 您可以免費使用的 。
**Topics**
+ [物件](#security_iam_audience)
+ [使用身分驗證](#security_iam_authentication)
+ [使用政策管理存取權](#security_iam_access-manage)
+ [資源總管如何使用 IAM](security_iam_service-with-iam.md)
+ [AWS 資源總管 身分型政策範例](security_iam_id-based-policy-examples.md)
+ [AWS Organizations 和資源總管的服務控制策略示例](security_iam_scp.md)
+ [AWS 受管理的政策 AWS 資源總管](security_iam_awsmanpol.md)
+ [針對資源總管使用服務連結角色](security_iam_service-linked-roles.md)
+ [疑難排解 AWS 資源總管 權](security_iam_troubleshoot.md)
## 物件
使用 AWS Identity and Access Management (IAM) 的方式會有所不同,具體取決於您在 Resource Explorer 中執行的工作。
**服務使用者** – 如果您使用 Resource Explorer 服務執行任務,則管理員會為您提供所需的憑證和許可。當您使用更多 Resource Explorer 功能來執行工作時,您可能需要額外的許可。了解存取許可的管理方式可協助您向管理員請求正確的許可。如果您無法存取 Resource Explorer 中的功能,請參閱 [疑難排解 AWS 資源總管 權](security_iam_troubleshoot.md)。
**服務管理員** – 如果您在公司負責 Resource Explorer 資源,您可能擁有 Resource Explorer 的完整存取權。您的任務是判斷服務使用者應存取哪些 Resource Explorer 功能和資源。然後,您必須向IAM管理員提交請求,以變更服務使用者的許可。請檢閱此頁面上的資訊,以了解 的基本概念IAM。若要進一步了解貴公司如何IAM搭配 Resource Explorer 使用 ,請參閱 [資源總管如何使用 IAM](security_iam_service-with-iam.md)。
**IAM 管理員** – 如果您是IAM管理員,您可能想要了解如何撰寫政策以管理 Resource Explorer 存取的詳細資訊。若要檢視可在 中使用的 Resource Explorer 身分型政策範例IAM,請參閱 [AWS 資源總管 身分型政策範例](security_iam_id-based-policy-examples.md)。
## 使用身分驗證
驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者身分、IAM使用者身分或擔任IAM角色來*驗證* (登入 AWS)。
您可以使用透過身分來源提供的憑證,以聯合身分 AWS 身分登入 。 AWS IAM Identity Center (IAM Identity Center) 使用者、您公司的單一登入身分驗證,以及您的 Google 或 Facebook 憑證,都是聯合身分的範例。當您以聯合身分登入時,您的管理員先前會使用 IAM角色設定身分聯合。當您 AWS 使用聯合來存取 時,您會間接擔任 角色。
根據您身分的使用者類型,您可以登入 AWS 管理主控台 或 AWS 存取入口網站。如需登入 的詳細資訊 AWS,請參閱 使用者指南 中的[如何登入 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)您的 。 *AWS 登入 *
如果您以 AWS 程式設計方式存取 , AWS 會提供軟體開發套件 (SDK) 和命令列介面 (CLI),以使用您的 憑證以密碼編譯方式簽署您的請求。如果您不使用 AWS 工具,則必須自行簽署請求。如需使用建議方法自行簽署請求的詳細資訊,請參閱 *IAM 使用者指南* 中的[簽署 AWS API請求](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html)。
無論您使用何種身分驗證方法,您可能都需要提供額外的安全性資訊。例如, AWS 建議您使用多因素身分驗證 (MFA) 來提高帳戶的安全性。若要進一步了解,請參閱 *AWS IAM Identity Center 使用者指南* 中的[多重要素驗證](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html)和 *IAM 使用者指南* [中的使用多重要素驗證 (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
### AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從一個登入身分開始,該身分可完全存取 帳戶中的所有 AWS 服務 和資源。此身分稱為 AWS 帳戶 *根使用者*,透過您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需需要您以根使用者身分登入的任務完整清單,請參閱 *IAM 使用者指南* 中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 使用者和群組
*[IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是 中具有單一個人或應用程式特定許可 AWS 帳戶 的身分。如果可能,我們建議您依賴臨時憑證,而不是建立具有密碼和存取金鑰等長期憑證IAM的使用者。不過,如果您有特定使用案例需要IAM使用者長期憑證,建議您輪換存取金鑰。如需詳細資訊,請參閱 *IAM 使用者指南* 中的[定期輪換需要長期憑證的使用案例存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)是指定IAM使用者集合的身分。您無法以群組身分簽署。您可以使用群組來一次為多名使用者指定許可。群組可讓管理大量使用者許可的程序變得更為容易。例如,您可以擁有名為 的群組*IAMAdmins*,並授予該群組管理 IAM 資源的許可。
使用者與角色不同。使用者只會與單一人員或應用程式建立關聯,但角色的目的是在由任何需要它的人員取得。使用者擁有永久的長期憑證,但角色僅提供暫時憑證。若要進一步了解,請參閱 *IAM 使用者指南* 中的[何時建立IAM使用者 (而非角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose)。
### 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是 中具有特定許可 AWS 帳戶 的身分。它類似於IAM使用者,但與特定人員無關。您可以透過 AWS 管理主控台 切換IAM角色 暫時在 中擔任角色。 [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)您可以呼叫 AWS CLI 或 AWS API 操作,或使用自訂 來擔任角色URL。如需使用角色方法的詳細資訊,請參閱 *IAM 使用者指南* 中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 具有臨時憑證的角色在下列情況下很有用:
+ **聯合身分使用者存取** — 如需向聯合身分指派許可,請建立角色,並為角色定義許可。當聯合身分進行身分驗證時,該身分會與角色建立關聯,並獲授予由角色定義的許可。如需聯合角色的相關資訊,請參閱 *IAM 使用者指南* 中的[為第三方身分提供者建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)。如果您使用 IAM Identity Center,您可以設定許可集。若要控制身分在身分驗證後可以存取的內容,IAMIdentity Center 會將許可集與 中的角色相關聯IAM。如需有關許可集的資訊,請參閱 *AWS IAM Identity Center 使用者指南*中的[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
+ **臨時IAM使用者許可** – IAM使用者或角色可以擔任IAM角色,暫時接受特定任務的不同許可。
+ **跨帳戶存取** – 您可以使用 IAM角色,允許不同帳戶中的某人 (受信任的主體) 存取您帳戶中的資源。角色是授予跨帳戶存取權的主要方式。不過,在某些 中 AWS 服務,您可以將政策直接連接至資源 (而不是使用角色作為代理)。若要了解跨帳戶存取的角色和資源型政策之間的差異,請參閱 *IAM 使用者指南* [中的跨帳戶資源存取IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
+ **跨服務存取** – 有些 AWS 服務 使用其他 中的功能 AWS 服務。例如,當您在 服務中撥打電話時,該服務通常會在 Amazon 中執行應用程式EC2或在 Amazon S3 中儲存物件。服務可能會使用呼叫主體的許可、使用服務角色或使用服務連結角色來執行此作業。
+ **轉送存取工作階段 (FAS)** – 當您使用IAM使用者或角色在 中執行動作時 AWS,您會被視為主體。使用某些服務時,您可能會執行某個動作,進而在不同服務中啟動另一個動作。FAS 使用呼叫 的委託人許可 AWS 服務,並結合請求向下游服務 AWS 服務 提出請求的 。FAS 只有在服務收到需要與其他 AWS 服務 或 資源互動才能完成的請求時,才會發出請求。在此情況下,您必須具有執行這兩個動作的許可。如需提出FAS請求的政策詳細資訊,請參閱[轉送存取工作階段 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
+ **服務角色** – 服務角色是服務代表您執行動作時擔任[IAM的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理員可以從 內部建立、修改和刪除服務角色IAM。如需詳細資訊,請參閱 使用者指南 中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) 。 *IAM *
+ **服務連結角色** – 服務連結角色是連結至 的服務角色類型 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會顯示在您的 中 AWS 帳戶 ,並由 服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
+ 在 **Amazon 上執行的應用程式 EC2** – 您可以使用 IAM角色來管理在EC2執行個體上執行之應用程式的臨時憑證,以及提出 AWS CLI 或 AWS API請求。最好將存取金鑰存放在EC2執行個體中。若要將 AWS 角色指派給EC2執行個體並將其提供給其所有應用程式,您可以建立連接至執行個體的執行個體設定檔。執行個體設定檔包含 角色,並啟用執行個體上執行的程式EC2,以取得臨時憑證。如需詳細資訊,請參閱 *IAM 使用者指南* 中的[使用 IAM角色將許可授予在 Amazon EC2執行個體上執行的應用程式](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。
若要了解如何使用IAM角色或IAM使用者,請參閱 *IAM 使用者指南* 中的[建立IAM角色 (而非使用者) 的時機](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role)。
## 使用政策管理存取權
您可以透過建立政策並將其連接至 AWS 身分或資源 AWS 來控制 中的存取。政策是 AWS 其中的物件,當與身分或資源建立關聯時, 會定義其許可。當主體 (使用者、根使用者或角色工作階段) 發出請求時, 會 AWS 評估這些政策。政策中的許可決定是否允許或拒絕請求。大多數政策都以JSON文件 AWS 形式儲存在 中。如需JSON政策文件結構和內容的詳細資訊,請參閱 *IAM 使用者指南* 中的[JSON政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理員可以使用 AWS JSON政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
預設情況下,使用者和角色沒有許可。若要授予使用者對所需資源執行動作的許可,IAM管理員可以建立IAM政策。然後,管理員可以將IAM政策新增至角色,使用者可以擔任角色。
IAM 無論您用來執行操作的方法為何,政策都會定義動作的許可。例如,假設您有一個允許 `iam:GetRole` 動作的政策。具有該政策的使用者可以從 AWS 管理主控台、 AWS CLI或 AWS 取得角色資訊API。
### 身分型政策
身分型政策是您可以附加到身分的JSON許可政策文件,例如IAM使用者、使用者群組或角色。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。若要了解如何建立身分型政策,請參閱 *IAM 使用者指南* 中的[建立IAM政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
身分型政策可進一步分類成*內嵌政策*或*受管政策*。內嵌政策會直接內嵌到單一使用者、群組或角色。受管政策是獨立的政策,您可以連接到 中的多個使用者、群組和角色 AWS 帳戶。受管政策包括 AWS 受管政策和客戶受管政策。若要了解如何在受管政策或內嵌政策之間進行選擇,請參閱 *IAM 使用者指南* 中的在[受管政策與內嵌政策之間進行選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline)。
### 資源型政策
資源型政策是您附加至資源JSON的政策文件。資源型政策的範例包括IAM*角色信任政策和* Amazon S3 *儲存貯體政策 *。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。主體可以包括帳戶、使用者、角色、聯合使用者或 AWS 服務。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策IAM中使用來自 的 AWS 受管政策。
AWS 資源總管 不支援資源型政策。
### 存取控制清單 (ACLs)
存取控制清單 (ACLs) 控制哪些主體 (帳戶成員、使用者或角色) 具有存取 資源的許可。ACLs 類似於資源型政策,雖然它們不使用JSON政策文件格式。
Amazon S3 AWS WAF和 Amazon VPC是支援 的服務範例ACLs。若要進一步了解 ACLs,請參閱 *Amazon Simple Storage Service 開發人員指南* 中的[存取控制清單 (ACL) 概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
AWS 資源總管 不支援 ACLs。
### 其他政策類型
AWS 支援其他較不常見的政策類型。這些政策類型可設定較常見政策類型授予您的最大許可。
+ **許可界限** – 許可界限是一項進階功能,您可以在其中設定身分型政策可授予IAM實體 (IAM使用者或角色) 的最大許可。您可以為實體設定許可界限。所產生的許可會是實體的身分型政策和其許可界限的交集。會在 `Principal` 欄位中指定使用者或角色的資源型政策則不會受到許可界限限制。所有這類政策中的明確拒絕都會覆寫該允許。如需許可界限的詳細資訊,請參閱 *IAM 使用者指南* 中的[IAM實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCPs)** – SCPs是在 中指定組織或組織單位 (OU) 最大許可JSON的政策 AWS Organizations。 AWS Organizations 是一項用於分組和集中管理企業 AWS 帳戶 所擁有多個項目的服務。如果您啟用組織中的所有功能,則可以將服務控制政策 (SCPs) 套用至任何或所有帳戶。SCP 限制成員帳戶中實體的許可,包括每個 AWS 帳戶根使用者。如需 Organizations 和 的詳細資訊SCPs,請參閱 *AWS Organizations 使用者指南* 中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **工作階段政策** – 工作階段政策是一種進階政策,您可以在透過編寫程式的方式建立角色或聯合使用者的暫時工作階段時,作為參數傳遞。所產生工作階段的許可會是使用者或角色的身分型政策和工作階段政策的交集。許可也可以來自資源型政策。所有這類政策中的明確拒絕都會覆寫該允許。如需詳細資訊,請參閱 *IAM 使用者指南* 中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多種政策類型
將多種政策類型套用到請求時,其結果形成的許可會更為複雜、更加難以理解。若要了解如何 AWS 在涉及多種政策類型時決定是否允許請求,請參閱 *IAM 使用者指南* 中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 資源總管如何使用 IAM
在您用IAM來管理存取權之前 AWS 資源總管,您應該瞭解哪些IAM功能可與資源總管搭配使用。[若要取得資源總管和其他 AWS 服務 使用方式的高階檢視IAM,請參閱AWS 服務*《IAM使用者指南》IAM中的使用*方式。](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
**Topics**
+ [資源總管以身分為基礎的策略](#security_iam_service-with-iam-id-based-policies)
+ [基於資源瀏覽器標籤的授權](#security_iam_service-with-iam-tags)
+ [資源總管IAM角色](#security_iam_service-with-iam-roles)
像任何其他資源管理器一樣 AWS 服務,資源總管需要使用其操作與您的資源進行交互的權限。若要搜尋,使用者必須擁有擷取檢視詳細資料的權限,以及使用檢視進行搜尋。若要建立索引或檢視,或修改索引或任何其他資源總管設定,您必須具有其他權限。
指派以IAM身分識別為基礎的原則,將這些權限授與適當IAM的主體。資源總[管提供數個預先定義一般](security_iam_awsmanpol.md)使用權限集的受管理策略。您可以將這些項目指派給您的IAM主參與者。
## 資源總管以身分為基礎的策略
使用以IAM身分識別為基礎的策略,您可以針對特定資源指定允許或拒絕的動作,以及允許或拒絕這些動作的條件。資源總管支援特定動作、資源和條件索引鍵。若要瞭解您在JSON策略中使用的所有元素,請參閱《使用*IAM者指南》*中的[IAMJSON策略元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)資料。
### 動作
管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON策略`Action`元素描述了您可以用來允許或拒絕策略中存取的動作。策略動作通常與關聯的 AWS API操作具有相同的名稱。有一些例外情況,例如沒有匹配*API操作的僅限權限*的操作。也有一些作業需要政策中的多個動作。這些額外的動作稱為*相依動作*。
政策會使用動作來授予執行相關聯動作的許可。
資源總管中的策略動作會在動作之前使用`resource-explorer-2`服務前置詞。例如,若要授與某人使用檢視進行搜尋的權限,請使用「資源總管」`Search` API 作業,您可以將`resource-explorer-2:Search`動作包含在指派給該主參與者的策略中。政策陳述式必須包含 `Action` 或 `NotAction` 元素。資源總管定義了它自己的一組動作,描述您可以使用此服務執行的任務。這些與資源總管API操作保持一致。
若要在單一陳述式中指定多個動作,請以逗號分隔它們,如下列範例所示。
```
"Action": [
"resource-explorer-2:action1",
"resource-explorer-2:action2"
]
```
您可以使用萬用字元 (`*`) 指定多個動作。例如,如需指定開頭是 `Describe` 文字的所有動作,請包含以下動作:
```
"Action": "resource-explorer-2:Describe*"
```
如需資源總管動作的清單,請參閱*AWS 服務授權參考 AWS 資源總管*中[定義的動](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)作。
### 資源
管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource`JSON原則元素會指定要套用動作的一個或多個物件。陳述式必須包含 `Resource` 或 `NotResource` 元素。最佳做法是使用其 [Amazon 資源名稱 (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 指定資源。您可以針對支援特定資源類型的動作 (*稱為資源層級許可*) 來這麼做。
對於不支援資源層級許可的動作 (例如列出操作),請使用萬用字元 (\$1) 來表示陳述式適用於所有資源。
```
"Resource": "*"
```
#### 檢視
主要資源總管資源類型是檢*視*表。
資源瀏覽器視圖資源具有以下ARN格式。
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```
資源總管ARN格式如下列範例所示。
```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
**注意**
對ARN於視圖的末尾包括一個唯一的標識符,以確保每個視圖都是唯一的。這有助於確保授與舊檢視表存取權的IAM原則不會被用來意外授與新檢視的存取權,而該檢視恰好與舊檢視具有相同名稱的新檢視。每個新視圖最後都會收到一個新的唯一 ID,以確保永遠不ARNs會重複使用。
如需有關的格式的詳細資訊ARNs,請參閱 [Amazon 資源名稱 (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
您可以使用指派給IAM主參與者的以IAM識別為基礎的原則,並將檢視指定為。`Resource`這樣做可讓您透過一個檢視將搜尋存取權授與一組主參與者,並透過完全不同的檢視來存取不同的主參與者集。
例如,若要授與IAM政策陳述式`ProductionResourcesView`中指定的單一檢視的權限,請先取得檢視的 [Amazon 資源名稱 (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。您可以使用主控台中的「視**[觀](https://console.aws.amazon.com/resource-explorer/home#/views)**表」頁面來檢視視觀表的詳細資訊,或呼叫`[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)`作業來擷取您想要ARN的完整視觀表。然後,將它包含在策略聲明中,就像下面示例中顯示的那樣,該聲明僅授予修改一個視圖的定義的權限。
```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/"
```
若要允許對屬於特定帳戶的***所有***檢視執行動作,請在的相關部分中使用萬用字元 (`*`) ARN。下列範例會將搜尋權限授 AWS 區域 與指定和帳戶中的所有檢視。
```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```
某些資源總管動作 (例如) 不會針對特定資源執行,因為如下列範例所示,資源尚不存在。`CreateView`在這種情況下,您必須為整個資源使用萬用字元 (`*`) ARN。
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```
如果您指定以萬用字元結尾的路徑,則可以將`CreateView`作業限制為僅建立具有核准路徑的檢視。下列範例原則部分顯示如何允許主參與者僅在路徑中建立檢視`view/ProductionViews/`。
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```
#### 索引
您可以用來控制對資源總管功能存取的另一種資源類型是索引。
您與索引互動的主要方式是 AWS 區域 透過在該區域中建立索引來開啟資源總管。之後,您幾乎可以通過與視圖進行交互來完成其他所有操作。
您可以使用索引執行的一件事是控制哪些人可以在每個區域中***建立***檢視表。
**注意**
建立檢視表之後,只會針對IAM檢視ARN的所有其他檢視動作授權,而非索引。
索引具有[ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)您可以在權限原則中參照的索引。資源總管索引ARN具有以下格式。
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```
請參閱下列資源總管索引範例ARN。
```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```
某些資源總管動作會針對多種資源類型檢查驗證。例如,[CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)作業會根據資源總管建立檢視之後ARN的索引和檢視進行授權。ARN若要授與管理員管理 Resource Explorer 服務的權限,您可以使用`"Resource": "*"`來授權任何資源、索引或檢視的動作。
或者,您可以將主參與者限制為僅能夠使用指定的「資源總管」資源。例如,若要將動作限制為只有指定區域中的 Resource Explorer 資源,您可以包含同時符合索引和檢視的範ARN本,但只會呼叫單一區域。在下列範例中,只ARN符合指定帳戶 [`us-west-2`區域] 中的索引或檢視表。在的第三個欄位中指定 [Region]ARN,但在最後一個欄位中使用萬用字元 (\$1) 以符合任何資源類型。
```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```
如需詳細[資訊,請參閱*AWS 服務授權參考 AWS 資源總管*中的定義資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies)。若要瞭解您可以針對每個資源指定ARN哪些動作,請參閱定[義的動作 AWS 資源總管](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)。
### 條件索引鍵
Resource Explorer 不提供任何服務特定條件金鑰,但它確實支援使用某些全域條件金鑰。若要查看所有 AWS 全域條件索引鍵,請參閱《使用指南》中的[AWS 全域條件內*IAM容索引*鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素 (或 `Condition` *區塊*) 可讓您指定使陳述式生效的條件。`Condition` 元素是選用項目。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。
若您在陳述式中指定多個 `Condition` 元素,或是在單一 `Condition` 元素中指定多個索引鍵, AWS 會使用邏輯 `AND` 操作評估他們。如果您為單一條件索引鍵指定多個值,請使用邏輯`OR`運算來 AWS 評估條件。必須符合所有條件,才會授與陳述式的許可。
您也可以在指定條件時使用預留位置變數。例如,只有在IAM使用者名稱標記資源時,您才可以授與IAM使用者存取資源的權限。如需詳細資訊,請參閱*《IAM使用指南》*中的[IAM政策元素:變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。
AWS 支援全域條件金鑰和服務特定條件金鑰。若要查看所有 AWS 全域條件索引鍵,請參閱《使用指南》中的[AWS 全域條件內*IAM容索引*鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要查看可與資源總管搭配使用的條件金鑰清單,請參閱*AWS 服務授權參考 AWS 資源總管*中的[條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys)。若要瞭解可將條件索引鍵與哪些動作和資源搭配使用,請參閱[動作定義者 AWS 資源總管](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)。
### 範例
若要檢視資源總管以身分識別為基礎的策略範例,請參閱。[AWS 資源總管 身分型政策範例](security_iam_id-based-policy-examples.md)
## 基於資源瀏覽器標籤的授權
您可以將標籤附加至資源總管檢視,或將要求中的標籤傳遞至資源總管。如需根據標籤控制存取,請使用 `resource-explorer-2:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。如需有關標記資源總管資源的詳細資訊,請參閱[對檢視新增標籤](manage-views-tag.md)。如需在資源總管中使用基於標籤的授權,請參閱[使用基於標籤的授權來控制對視圖的存取權](manage-views-grant-access.md#manage-views-grant-access-abac)。
## 資源總管IAM角色
[IAM角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您中具有特定權限 AWS 帳戶 的主參與者。
### 搭配資源總管使用臨時認證
您可以使用臨時認證登入同盟、擔任IAM角色,或擔任跨帳戶角色。您可以透過呼叫 AWS Security Token Service (AWS STS) API 作業 (例如[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或) 來取得臨時安全登入資料[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
資源總管支援使用臨時認證。
### 服務連結角色
[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)可 AWS 服務 讓您存取其他服務中的資源,以代表您完成動作。服務連結角色會顯示在您的IAM帳戶中,且屬於服務所有。IAM管理員可以檢視但無法編輯服務連結角色的權限。
資源總管使用服務連結角色來執行其工作。如需資源總管服務連結角色的詳細資訊,請參閱[針對資源總管使用服務連結角色](security_iam_service-linked-roles.md)。
# AWS 資源總管 身分型政策範例
預設情況下,AWS Identity and Access Management(IAM) 主體 (如角色、群組和使用者) 沒有建立或修改資源總管資源的許可。他們也無法使用AWS 管理主控台、AWS Command Line Interface (AWS CLI) 或AWS API 執行工作。IAM 管理員必須建立 IAM 政策必須授予主體授予主體許可,授予主體在指定資源上執行特定 API 操作的所需許可。然後,管理員必須將這些政策指派這些政策指派給需要這些許可的 IAM 主體。
若要提供存取權,請新增許可到您的使用者、群組或角色:
+ AWS IAM Identity Center 中的使用者和群組:
建立許可集合。請遵循《AWS IAM Identity Center 使用者指南》**的[建立許可集合](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)中的指示。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請遵循《IAM 使用者指南》**的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請遵循《IAM 使用者指南》**的[為 IAM 使用者建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接連接至使用者,或將使用者新增至使用者群組。請遵循《IAM 使用者指南》**的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的指示。
若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《IAM 使用者指南》**中的[在 JSON 索引標籤上建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [使用資源總管主控台](#security_iam_id-based-policy-examples-console)
+ [根據標籤授予檢視的存取權](#security_iam_id-based-policy-examples-abac-views)
+ [授予根據標籤建立檢視的存取權](#security_iam_id-based-policy-examples-abac-createview)
+ [允許主參與者檢視他們自己的許可](#security_iam_id-based-policy-examples-view-own-permissions)
## 政策最佳實務
以身分為基礎的政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除資源總管理器資源。這些動作可能會讓您的 AWS 帳戶 產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並朝向最低權限許可的目標邁進** – 若要開始授予許可給使用者和工作負載,請使用 *AWS 受管政策*,這些政策會授予許可給許多常用案例。它們可在您的 AWS 帳戶 中使用。我們建議您定義特定於使用案例的 AWS 客戶管理政策,以便進一步減少許可。如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的 AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。您也可以使用條件來授予對服務動作的存取權,前提是透過特定 AWS 服務 (例如 CloudFormation) 使用條件。如需詳細資訊,請參閱《IAM 使用者指南》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您編寫安全且實用的政策。如需詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM Access Analyzer 政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果存在需要 AWS 帳戶中 IAM 使用者或根使用者的情況,請開啟 MFA 提供額外的安全性。若要在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)中的*設定 MFA 保護的 API 存取*。
有關 IAM 中最佳實務的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用資源總管主控台
若要在主AWS 資源總管控台中搜尋主體,他們必須擁有最基本的一組許可。如果您未建立具有最低必要許可的基於身分的政策,則對於帳戶中的主體而言,Resource Explorer 主控台將無法如預期運作。
您可以使用名為`AWSResourceExplorerReadOnlyAccess`的AWS受管理策略授與使用 Resource Explorer 主控台來使用帳戶中的任何檢視進行搜尋的能力。若要授與僅使用單一檢視進行搜尋的權限[授與資源總管檢視的存取權以進行搜尋](manage-views-grant-access.md),請參閱以下兩節中的和範例。
對於僅呼叫 AWS CLI 或 AWS API 的主體,您不需要允許其最基本主控台許可。相反地,您可以選擇僅授與主參與者需要執行之 API 作業相符的動作的存取權。
## 根據標籤授予檢視的存取權
在此範例中,您想要授予您帳戶中的主體的存取權授AWS 帳戶予您帳戶中的主體。若要這麼做,您可以將 IAM 身分型政策指派給您希望能夠在資源總管中搜尋的主體。下列 IAM 政策範例會授予任何請求的存取權,其中附加至呼叫主體的標`Search-Group`籤與請求中使用的檢視相同標籤的值完全相符。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-explorer-2:GetView",
"resource-explorer-2:Search"
],
"Resource": "arn:aws:resource-explorer-2:*:*:view/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
}
}
]
}
```
您可以將此政策指派給您帳戶中的 IAM 主體。如果具有標籤的主參與者`Search-Group=A`嘗試使用「資源總管」檢視進行搜尋,則也必須標記檢視`Search-Group=A`。如果不是,則主體會被拒絕存取。條件標籤鍵 `Search-Group` 符合 `Search-group` 和 `search-group`,因為條件索引鍵名稱不區分大小寫。如需詳細資訊,請參閱*《IAM 使用者指南》*中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
**重要**
若要在中的統一搜尋結果中查看您的資源AWS 管理主控台,主參`GetView`與者必須同時具有包含彙總索引之AWS 區域預設檢視的和`Search`權限。授與這些權限的最簡單方法是保留在您使用 [快速] 或 [進階] 設定開啟 [資源總管] 時附加至檢視的預設以資源為基礎的權限。
在這個案例中,您可以考慮設定預設檢視來篩選出敏感資源,然後設定您授與以標籤為基礎之存取權的其他檢視,如前面的範例所述。
## 授予根據標籤建立檢視的存取權
在此範例中,您只想要允許標記為與索引相同的主參與者能夠在包含索引的AWS 區域檢視中建立檢視。若要這麼做,請建立以識別為基礎的權限,以允許主參與者使用檢視進行搜尋。
現在您已可以準備授予建立檢視的許可。您可以將此範例中的陳述式新增至您用來授與適當主體`Search`權限的相同權限原則。根據連接至主參與者 (呼叫檢視要與之相關聯之作業和索引) 的標籤,允許或拒絕動作。下列範例 IAM 政策會拒絕任何建立檢視表的請求,當連接到呼叫者主體的`Allow-Create-View`標記值與建立檢視的區域中附加至索引的相同標記的值不完全相符時,建立檢視表。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "resource-explorer-2:CreateView",
"Resource": "*",
"Condition": {
"StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
}
}
]
}
```
## 允許主參與者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視連接到他們使用者身分的內嵌及受管政策。此政策包含在主控台上,或是使用 AWS CLI 或 AWS API 透過編寫程式的方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS Organizations 和資源總管的服務控制策略示例
AWS 資源總管 支援服務控制原則 (SCP)。SCP 是您附加至組織中元素的政策,藉此管理該組織內的許可。SCP 適用於[您附加 SCP 的元素下的](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html)所有組織 AWS 帳戶 中。SCP 可集中控制組織中所有帳戶可用的許可上限。他們可以幫助您確保您的 AWS 帳戶 逗留在組織的存取控制準則範圍內。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html)。
## 必要條件
若要使用 SCP,您必須執行下列動作:
+ 啟用您組織的所有功能。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中的[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 啟用 SCP 以便於您的組織內使用。如需詳細資訊,請參閱《*AWS Organizations 使用者指南*》中的[啟用和停用政策類型](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)。
+ 建立您需要的 SCP。如需有關建立 SCP 的詳細資訊,請參閱《*AWS Organizations 使*用指南》中的〈[建立和更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html)〉。
## 服務控制政策的範例
下列範例顯示如何使用以[屬性為基礎的存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 來控制對資源總管系統管理作業的存取。除了搜尋所需的兩個權限以外,此範例政策會拒絕存取所有 Resource Explorer 作業`resource-explorer-2:GetView`,`resource-explorer-2:Search`並且除非提出請求的 IAM 主體已加上標籤`ResourceExplorerAdmin=TRUE`。如需將 ABAC 與資源總管搭配使用的更完整討論,請參閱[使用基於標籤的授權來控制對視圖的存取權](manage-views-grant-access.md#manage-views-grant-access-abac)。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resource-explorer-2:AssociateDefaultView",
"resource-explorer-2:BatchGetView",
"resource-explorer-2:CreateIndex",
"resource-explorer-2:CreateView",
"resource-explorer-2:DeleteIndex",
"resource-explorer-2:DeleteView",
"resource-explorer-2:DisassociateDefaultView",
"resource-explorer-2:GetDefaultView",
"resource-explorer-2:GetIndex",
"resource-explorer-2:ListIndexes",
"resource-explorer-2:ListSupportedResourceTypes",
"resource-explorer-2:ListTagsForResource",
"resource-explorer-2:ListViews",
"resource-explorer-2:TagResource",
"resource-explorer-2:UntagResource",
"resource-explorer-2:UpdateIndexType",
"resource-explorer-2:UpdateView""
],
"Resource": [
"*"
],
"Condition": {
"StringNotEqualsIgnoreCase": {"aws:PrincipalTag/ResourceExplorerAdmin": "TRUE"}
}
]
}
```
# AWS 受管理的政策 AWS 資源總管
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時,最有可能更新 AWS 受管理策略。
如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**包含資源總 AWS 管權限的一般受管原則**
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)— 授予對 AWS 服務 資源的完全訪問權限。
+ [ReadOnly存取權](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) — 授 AWS 服務 與資源的唯讀存取權。
+ [ViewOnly存取](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess) — 授與檢視的資源和基本中繼資料的權限 AWS 服務。
**注意**
包含在`ViewOnlyAccess`原則中的 Resource Explorer `Get*` 權限會執行類似`List`權限,雖然它們只會傳回單一值,因為 [區域] 只能包含一個索引和一個預設檢視。
**AWS 資源總管的受管理策略**
+ [AWSResourceExplorerFullAccess](#security_iam_awsmanpol_AWSResourceExplorerFullAccess)
+ [AWSResourceExplorerReadOnlyAccess](#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)
+ [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)
## AWS 受管理策略: AWSResourceExplorerFullAccess
您可以將`AWSResourceExplorerFullAccess`政策指派給您的 IAM 身分。
此原則會授與允許資源總管服務完整系統管理控制權的權限。您可以在帳戶中執行與開啟和管理資源總管相關的 AWS 區域 所有工作。
**許可詳細資訊**
此原則包含允許資源總管執行所有動作的權限,包括在中開啟和關閉資源總管 AWS 區域、建立或刪除帳號的彙總器索引、建立、更新和刪除檢視,以及搜尋。此原則也包含不屬於資源總管一部分的權限:
+ `ec2:DescribeRegions`-允許資源總管訪問有關您帳戶中區域的詳細信息。
+ `ram:ListResources`— 允許資源總管列出資源屬於資源的資源共用。
+ `ram:GetResourceShares`— 可讓資源總管識別有關您擁有或與您共用之資源共用的詳細資料。
+ `iam:CreateServiceLinkedRole`— 當您[透過建立第一個索引來開啟資源總管時,可讓資源總管建立](manage-service-turn-on-region.md#manage-service-turn-on-region-region)必要的服務連結角色。
+ `organizations:DescribeOrganization`— 允許資源總管存取組織的相關資訊。
若要查看此 AWS 受管理策略的最新版本,請參閱《*AWS 受管策略參考指南》`[AWSResourceExplorerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerFullAccess.html)`*中的。
## AWS 受管理策略: AWSResourceExplorerReadOnlyAccess
您可以將`AWSResourceExplorerReadOnlyAccess`政策指派給您的 IAM 身分。
此原則會授與唯讀權限,允許使用者進行基本搜尋存取權以探索其資源。
**許可詳細資訊**
此原則包括允許使用者執行 Resource Explorer 的權限 `Get*``List*`,以及檢視資源總管元件和組態設定相關資訊的`Search`作業,但不允許使用者變更它們。使用者也可以搜尋。此原則也包含兩個不屬於資源總管的權限:
+ `ec2:DescribeRegions`-允許資源總管訪問有關您帳戶中區域的詳細信息。
+ `ram:ListResources`— 允許資源總管列出資源屬於資源的資源共用。
+ `ram:GetResourceShares`— 可讓資源總管識別有關您擁有或與您共用之資源共用的詳細資料。
+ `organizations:DescribeOrganization`— 允許資源總管存取組織的相關資訊。
若要查看此 AWS 受管理策略的最新版本,請參閱《*AWS 受管策略參考指南》`[AWSResourceExplorerReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerReadOnlyAccess.html)`*中的。
## AWS 受管理策略: AWSResourceExplorerServiceRolePolicy
您無法自行附加`AWSResourceExplorerServiceRolePolicy`至任何 IAM 實體。此原則只能附加至允許 Resource Explorer 代表您執行動作的服務連結角色。如需詳細資訊,請參閱 [針對資源總管使用服務連結角色](security_iam_service-linked-roles.md)。
此原則會授與資源總管擷取資源相關資訊所需的權限。資源總管填充它在您註冊的每個 AWS 區域 索引中維護。
若要查看此 AWS 受管政策的最新版本,請參閱 IAM 主控台`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`中的。
## AWS 受管理策略: AWSResourceExplorerOrganizationsAccess
您可以指派`AWSResourceExplorerOrganizationsAccess`給您的 IAM 身分。
此原則會將系統管理權限授與資源總管,並將唯讀權限授與其他人, AWS 服務 以支援此存取。管理 AWS Organizations 員需要這些權限才能在主控台中設定和管理多帳戶搜尋。
**許可詳細資訊**
此原則包含允許系統管理員為組織設定多帳戶搜尋的權限:
+ `ec2:DescribeRegions`— 允許資源瀏覽器訪問有關您帳戶中區域的詳細信息。
+ `ram:ListResources`— 允許資源總管列出資源屬於資源的資源共用。
+ `ram:GetResourceShares`— 允許資源總管識別有關您擁有或與您共用之資源共用的詳細資料。
+ `organizations:ListAccounts`— 允許資源總管識別組織內的帳號。
+ `organizations:ListRoots`— 允許資源總管識別組織內的根帳號。
+ `organizations:ListOrganizationalUnitsForParent`— 允許資源總管識別父組織單位或根目錄中的組織單位 (OU)。
+ `organizations:ListAccountsForParent`— 允許資源總管識別組織中指定目標根目錄或 OU 所包含的帳號。
+ `organizations:ListDelegatedAdministrators`— 允許資源總管識別在此組織中指定為委派管理員的 AWS 帳號。
+ `organizations:ListAWSServiceAccessForOrganization`— 允許資源總管識別已啟用 AWS 服務 可與您的組織整合的清單。
+ `organizations:DescribeOrganization`— 允許資源總管擷取使用者帳號所屬組織的相關資訊。
+ `organizations:EnableAWSServiceAccess`— 允許資源總管啟用與 AWS 服務 (由指定的服務`ServicePrincipal`) 的整合 AWS Organizations。
+ `organizations:DisableAWSServiceAccess`— 允許資源總管停用與 AWS 服務 (由指定的服務 ServicePrincipal) 的整合 AWS Organizations。
+ `organizations:RegisterDelegatedAdministrator`— 允許資源總管啟用指定的成員帳戶來管理指定 AWS 服務的組織功能。
+ `organizations:DeregisterDelegatedAdministrator`— 允許資源總管以指定的委派管理員 AWS 帳戶 身分移除指定的成員 AWS 服務。
+ `iam:GetRole`— 允許資源總管擷取有關指定角色的資訊,包括角色的路徑、GUID、ARN 以及授與承擔角色之權限的角色信任原則。
+ `iam:CreateServiceLinkedRole`— 當您[透過建立第一個索引來開啟資源總管時,允許資源總管建立](manage-service-turn-on-region.md#manage-service-turn-on-region-region)必要的服務連結角色。
若要查看此 AWS 受管政策的最新版本,請參閱 IAM 主控台`[AWSResourceExplorerOrganizationsAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerOrganizationsAccess)`中的。
## AWS 受管理策略的資源總管更新
檢視資源總 AWS 管受管理策略的詳細資料,因為這項服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請訂閱[資源瀏覽器文件歷程記錄](doc-history.md)頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
| --- | --- | --- |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了策略權限以查看其他資源類型 | Resource Explorer 將權限新增至服務連結角色原則 [`AWSResourceExplorerServiceRolePolicy`](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy),讓資源總管檢視其他資源類型: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 12 月 12 日 |
| 新的 受管政策 | 資源總管新增下列 AWS 受管理的策略: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 11 月 14 日 |
| 已更新 受管政策 | 資源總管更新了下列 AWS 受管理的策略,以支援多帳號搜尋: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 11 月 14 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了政策以支持與 Organizations 的多帳戶搜索 | Resource Explorer 將權限新增至服務連結角色原則,`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`該策略允許資源總管支援 Organizations 的多帳號搜尋: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 11 月 14 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了策略以支持其他資源類型 | Resource Explorer 將權限新增至服務連結角色原則,`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`該策略允許服務對下列資源類型建立索引: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 10 月 17 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了策略以支持其他資源類型 | Resource Explorer 將權限新增至服務連結角色原則,`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`該策略允許服務對下列資源類型建立索引: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 8 月 1 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了策略以支持其他資源類型 | Resource Explorer 將權限新增至服務連結角色原則,`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`該策略允許服務對下列資源類型建立索引: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 3 月 7 日 |
| 新受管政策 | 資源總管新增下列 AWS 受管理的策略: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2022 年 11 月 7 日 |
| 資源總管開始追蹤變更 | 資源總管開始追蹤其 AWS 受管理策略的變更。 | 2022 年 11 月 7 日 |
# 針對資源總管使用服務連結角色
AWS 資源總管 使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至資源總管的唯一IAM角色類型。服務連結角色由 Resource Explorer 預先定義,並包含服務代表您呼叫其他人所需 AWS 服務 的所有權限。
服務連結角色可讓您更輕鬆地設定資源總管,因為您不需要手動新增必要的權限。資源總管會定義其服務連結角色的權限,除非另有定義,否則只有資源總管可以擔任其角色。定義的權限包括信任原則和權限原則,而且該權限原則無法指派給任何其他IAM實體。
如需其他支援服務連結角色之服務的相關資訊,請參閱*《IAM使用者指南》IAM中的使用AWS *[服](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)務。在那裡,尋找在服務**連結角色欄中具有 **[是]** 的服**務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 資源總管的服務連結角色權限
資源總管使用名為`AWSServiceRoleForResourceExplorer`的服務連結角色。此角色會授與 Resource Explorer 服務的權限,以便代表您 AWS 帳戶 檢視資源和 AWS CloudTrail 事件,並為這些資源建立索引以支援搜尋。
服`AWSServiceRoleForResourceExplorer`務連結角色只會信任具有下列服務主體的服務擔任該角色:
+ `resource-explorer-2.amazonaws.com`
名為的角色權限原則AWSResourceExplorerServiceRolePolicy允許 Resource Explorer 唯讀存取,以擷取支援資源的資 AWS 源名稱和屬性。若要檢視資源總管支援的服務和資源,請參閱[您可以使用資源總管搜尋的資源類型](https://docs.aws.amazon.com/resource-explorer/latest/userguide/supported-resource-types.html)。如需此角色可執行之所有動作的完整清單,您可以在IAM主控台中檢視`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`策略。
主參與者是IAM實體,例如使用者、群組或角色。如果讓 Resource Explorer 在帳號的第一個區域中建立索引時為您建立服務連結角色,則執行工作的主參與者只需要建立資源總管索引所需的權限。若要使用手動建立服務連結角色IAM,則執行任務的主參與者必須具有建立服務連結角色的權限。如需詳細資訊,請參閱*IAM使用指南*中的[服務連結角色權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立資源總管的服務連結角色
您不需要手動建立一個服務連結角色。當您在中開啟資源總管 AWS 管理主控台,或使用或[CreateIndex](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateIndex.html)在帳戶中的第一 AWS 區域 個執行時 AWS API,Resource Explorer 會為您建立服務連結角色。 AWS CLI
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您[RegisterResourceExplorer](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_RegisterResourceExplorer.html)在帳號中的第一個區域中時,資源總管會再次為您建立服務連結角色。
## 編輯資源總管的服務連結角色
資源總管不允許您編輯`AWSServiceRoleForResourceExplorer`服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。但是,您可以使用編輯角色的描述IAM。如需詳細資訊,請參閱*IAM使用指南*中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除資源總管的服務連結角色
您可以使用IAM主控台 AWS CLI、或手動刪除服務連結角色。 AWS API若要這麼做,您必須先從帳戶 AWS 區域 中的每個項目移除 Resource Explorer 索引,然後才能手動刪除服務連結角色。
**注意**
當您嘗試刪除資源時,如果資源總管服務正在使用該角色,則刪除會失敗。如果發生這種情況,請確保刪除所有區域中的所有索引,然後等待幾分鐘,然後再次嘗試該操作。
**若要使用手動刪除服務連結角色 IAM**
使用IAM主控台 AWS CLI、或刪除`AWSServiceRoleForResourceExplorer`服務連結角色。 AWS API如需詳細資訊,請參閱*IAM使用指南*中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 資源總管服務連結角色的支援區域
資源總管支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [AWS 服務 端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
# 疑難排解 AWS 資源總管 權
使用下列資訊可協助您診斷並修正使用資源總管和 AWS Identity and Access Management (IAM) 時可能會遇到的常見問題。
**Topics**
+ [我沒有在資源瀏覽器中執行操作的權限](#security_iam_troubleshoot-no-permissions)
+ [我想允許我以外的人訪問我 AWS 帳戶 的資源資源管理器資源](#security_iam_troubleshoot-cross-account-access)
## 我沒有在資源瀏覽器中執行操作的權限
如果 AWS 管理主控台 告訴您您沒有執行動作的授權,則您必須聯絡管理員以尋求協助。您的管理員是提供您用來嘗試此作業之認證的人員。
例如,當有人假設 IAM 角色`MyExampleRole`嘗試使用主控台來檢視有關檢視的詳細資料但沒有`resource-explorer-2:GetView`權限時,就會發生下列錯誤。
```
User: arn:aws:iam::123456789012:role/MyExampleRole is not authorized to perform: resource-explorer-2:GetView on resource: arn:aws:resource-explorer-2:us-east-1:123456789012:view/EC2-Only-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
在此情況下,使用該角色的人員必須要求管理員更新角色的權限原則,以允許使用`resource-explorer-2:GetView`動作存取檢視。
## 我想允許我以外的人訪問我 AWS 帳戶 的資源資源管理器資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要瞭解資源總管是否支援這些功能,請參閱[資源總管如何使用 IAM](security_iam_service-with-iam.md)。
+ 若要了解如何提供對您所擁有資源 AWS 帳戶 的存[取權,請參閱 IAM 使用者*指南中您擁有的另一 AWS 帳戶 個 IAM 使用者*提](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)供存取權限。
+ 若要了解如何將資源存取權提供給第三方 AWS 帳戶,請參閱 *IAM 使用者指南*中[的提供第三方 AWS 帳戶 擁有的存](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)取權。
+ 如需了解如何透過聯合身分提供存取權,請參閱 *IAM 使用者指南*中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《IAM 使用者指南》**中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 中的資料保護 AWS 資源總管
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 中的資料保護 AWS 資源總管。如本模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權。 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)如需歐洲資料保護的相關資訊,請參閱*AWS 安全*部落格 上的[AWS 共同責任模型和GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)部落格文章。
為了資料保護目的,我們建議您保護 AWS 帳戶 憑證,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management () 設定個別使用者IAM。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 對每個帳戶使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 和 建議 TLS 1.3。
+ 使用 設定 API 和使用者活動日誌 AWS CloudTrail。如需使用 CloudTrail 線索擷取 AWS 活動的資訊,請參閱 *AWS CloudTrail 使用者指南* 中的[使用 CloudTrail 線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及 中的所有預設安全控制項 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列介面或 FIPS 存取 時需要 140-3 個經過驗證的密碼編譯模組API,請使用 FIPS端點。如需可用FIPS端點的詳細資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 Resource Explorer 或其他 AWS 服務 使用主控台API AWS CLI、 或 時 AWS SDKs。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您將 URL提供給外部伺服器,強烈建議您在 中不要包含憑證資訊,URL以驗證您對該伺服器的請求。
## 靜態加密
Resource Explorer 儲存的資料包括資源的索引清單,以及客戶用來存取資源ARNs的關聯清單和檢視。
靜態時,此資料會使用 [AWS Key Management Service (AWS KMS) 對稱加密金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default)進行加密,這些金鑰會在 Galois 計數器模式 [(AES) 中實作進階加密標準](https://csrc.nist.gov/csrc/media/publications/fips/197/final/documents/fips-197.pdf) (),並搭配 256 位元金鑰 (AES-256-)GCM。 [GCM](http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf)
## 傳輸中加密
使用 [Transport Later Security (TLS) 1.2 ](https://datatracker.ietf.org/doc/html/rfc5246)或更新版本,在傳輸過程中加密客戶請求和所有相關資料。所有 Resource Explorer 端點HTTPS都支援加密傳輸中的資料。如需 Resource Explorer 服務端點的清單,請參閱[AWS 資源總管 中的端點和配額](https://docs.aws.amazon.com/general/latest/gr/resourceexplorer2.html)*AWS 一般參考*。
# AWS 資源總管 的合規驗證
若要瞭解AWS 服務是否在特定規範遵循方案的範圍內,請參閱規[範遵循方案AWS 服務中](https://aws.amazon.com/compliance/services-in-scope/)的。如需一般資訊,請參閱 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/) 。
您可使用 AWS Artifact 下載第三方稽核報告。如需詳細資訊,請參閱《*AWS Artifact使用指南》[中](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)的〈AWS Artifact的〈下載報告〉*。
使用 Resource Explorer 時的合規責任取決於資料的敏感度、公司的合規目標以及適用的法律和法規。 AWS提供下列資源以協助遵循法規:
+ [安全與合規快速入門指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance):這些部署指南討論架構考量,並提供在 AWS 上部署以安全及合規為重心之基準環境的步驟。
+ [在 Amazon Web Services 上架構 HIPAA 安全性與合規](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html)性 — 本白皮書說明公司如何使用建立符合 HIPAA 資格的應AWS用程式。
**注意**
並非所有人AWS 服務都符合 HIPAA 資格。如需詳細資訊,請參閱 [HIPAA 資格服務參照](https://aws.amazon.com/compliance/hipaa-eligible-services-reference)。
+ [AWS 合規資源](https://aws.amazon.com/compliance/resources/):這組手冊和指南可能適用於您的產業和位置。
+ *AWS Config 開發人員指南*中的[使用規則評估資源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – AWS Config 可評估資源組態對於內部實務、業界準則和法規的遵循狀況。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html):此 AWS 服務可供您檢視 AWS 中的安全狀態,可助您檢查是否符合安全產業標準和最佳實務。
# AWS 資源總管 中的恢復能力
。AWSAWS 區域區域提供多個分開且隔離的實際可用區域,並以低延遲、高輸送量和高度備援網路連線相互連結。透過可用區域,您可以設計與操作的應用程式和資料庫,在可用區域之間自動容錯移轉而不會發生中斷。可用區域的可用性、容錯能力和擴充能力,均較單一或多個資料中心的傳統基礎設施還高。
如需 AWS 區域 與可用區域的詳細資訊,請參閱[AWS全球基礎架構](https://aws.amazon.com/about-aws/global-infrastructure/)。
# 基礎結構安全 AWS 資源總管
作為託管服務, AWS 資源總管 受到 AWS 全球網絡安全的保護。有關 AWS 安全服務以及如何 AWS 保護基礎結構的詳細資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/) 若要使用基礎架構安全性的最佳做法來設計您的 AWS 環境,請參閱安全性*支柱架構良 AWS 好的架構中的基礎結構保*[護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 已發佈的API呼叫透過網路存取資源總管。使用者端必須支援下列專案:
+ 傳輸層安全性 (TLS)。我們需要 TLS 1.2 並推薦 TLS 1.3。
+ 具有完美前向保密()的密碼套件,例如(短暫的迪菲-赫爾曼PFS)或DHE(橢圓曲線短暫迪菲-赫爾曼)。ECDHE現代系統(如 Java 7 和更新版本)大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與IAM主體相關聯的秘密存取金鑰來簽署。或者,您可以透過 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) 來產生暫時安全憑證來簽署請求。
如需有關 AWS 全球網路安全程序[的詳細資訊,請參閱 Amazon Web Services:安全程序概觀](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)白皮書。