本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理 IAM Identity Center 資源存取許可的概觀
每個 AWS 資源都由 擁有 AWS 帳戶,而建立或存取資源的許可是由許可政策管理。若要提供存取權,帳戶管理員可以將許可新增至 IAM 身分 (即使用者、群組和角色)。有些 服務 (例如 AWS Lambda) 也支援將許可新增至 資源。
**注意**
*帳戶管理員* (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參閱《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。
**Topics**
+ [IAM Identity Center 資源和操作](#creatingiampolicies)
+ [了解資源所有權](#accesscontrolresourceowner)
+ [管理 資源的存取](#accesscontrolmanagingaccess)
+ [指定政策元素:動作、效果、資源和委託人](#policyactions)
+ [在政策中指定條件](#specifyiampolicyconditions)
## IAM Identity Center 資源和操作
在 IAM Identity Center 中,主要資源是應用程式執行個體、設定檔和許可集。
## 了解資源所有權
*資源擁有者*是建立資源 AWS 帳戶 的 。也就是說,資源擁有者是驗證建立資源之請求 AWS 帳戶 的*委託人實體* (帳戶、使用者或 IAM 角色) 的 。下列範例說明其如何運作:
+ 如果 AWS 帳戶根使用者 建立 IAM Identity Center 資源,例如應用程式執行個體或許可集,則您的 AWS 帳戶 是該資源的擁有者。
+ 如果您在 AWS 帳戶中建立使用者,並授予該使用者建立 IAM Identity Center 資源的許可,則使用者可以建立 IAM Identity Center 資源。不過,使用者所屬 AWS 的帳戶擁有資源。
+ 如果您在 AWS 帳戶中建立具有建立 IAM Identity Center 資源許可的 IAM 角色,則任何可以擔任該角色的人都可以建立 IAM Identity Center 資源。角色所屬 AWS 帳戶的 擁有 IAM Identity Center 資源。
## 管理 資源的存取
*許可政策*描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。
**注意**
本節討論在 IAM Identity Center 的內容中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱《IAM 使用者指南》**中的[什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需有關 IAM 政策語法和說明的資訊,請參閱《IAM 使用者指南》**中的 [AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
連接至 IAM 身分的政策稱為*身分識別型*政策 (IAM 政策)。連接到資源的政策稱為「資源類型」**政策。IAM Identity Center 僅支援以身分為基礎的政策 (IAM 政策)。
**Topics**
+ [身分類型政策 (IAM 政策)](#accesscontrolidentitybased)
+ [資源型政策](#accesscontrolresourcebased)
### 身分類型政策 (IAM 政策)
您可以將許可新增至 IAM 身分。例如,您可以執行下列動作:
+ **將許可政策連接至 中的使用者或群組 AWS 帳戶** – 帳戶管理員可以使用與特定使用者相關聯的許可政策,授予該使用者新增 IAM Identity Center 資源的許可,例如新應用程式。
+ **將許可政策連接至角色 (授予跨帳戶許可)**:您可以將身分識別型許可政策連接至 IAM 角色,藉此授予跨帳戶許可。
如需有關使用 IAM 來委派許可的詳細資訊,請參閱*《IAM 使用者指南》*中的[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
下列許可政策會授予使用者執行開頭為 `List` 之所有動作的許可。這些動作會顯示 IAM Identity Center 資源的相關資訊,例如應用程式執行個體或許可集。請注意, `Resource`元素中的萬用字元 (\$1) 表示允許帳戶擁有的所有 IAM Identity Center 資源執行動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"sso:List*",
"Resource":"*"
}
]
}
```
------
如需搭配 IAM Identity Center 使用身分型政策的詳細資訊,請參閱 [IAM Identity Center 的身分型政策範例](iam-auth-access-using-id-policies.md)。如需使用者、群組、角色和許可的相關資訊,請參閱《IAM 使用者指南》**中的[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
### 資源型政策
其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。IAM Identity Center 不支援以資源為基礎的政策。
## 指定政策元素:動作、效果、資源和委託人
對於每個 IAM Identity Center 資源 (請參閱[IAM Identity Center 資源和操作](#creatingiampolicies)),服務會定義一組 API 操作。若要授予這些 API 操作的許可,IAM Identity Center 會定義一組您可以在政策中指定的動作。請注意,執行 API 操作可能需要多個動作的許可。
以下是基本的政策元素:
+ **資源** – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。
+ **動作**:使用動作關鍵字識別您要允許或拒絕的資源操作。例如, `sso:DescribePermissionsPolicies`許可允許使用者執行 IAM Identity Center `DescribePermissionsPolicies`操作的許可。
+ **效果** - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您不明確授予存取 (允許) 資源,即隱含拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
+ **委託人**:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。IAM Identity Center 不支援以資源為基礎的政策。
如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱《IAM 使用者指南》**中的 [AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
## 在政策中指定條件
當您授予許可時,可以使用存取原則語言來指定要讓政策生效而須滿足的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
欲表示條件,您可以使用預先定義的條件金鑰。IAM Identity Center 沒有特定的條件索引鍵。不過,您可以視需要使用 AWS 條件索引鍵。如需 AWS 金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[可用全域條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys)。