本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon VPC 如何與 IAM 搭配運作
在您使用 IAM 管理對 Amazon VPC 的存取權之前,您應該瞭解哪些 IAM 功能可以與 Amazon VPC 搭配使用。若要全面了解 Amazon VPC 和其他 AWS 服務如何與 IAM 搭配使用,請參閱《[AWS IAM 使用者指南》中的與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **
**Topics**
+ [動作](#security_iam_service-with-iam-id-based-policies-actions)
+ [Resources](#security_iam_service-with-iam-id-based-policies-resources)
+ [條件索引鍵](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [以 Amazon VPC 資源為基礎的原則](#security_iam_service-with-iam-resource-based-policies)
+ [以標籤為基礎的授權](#security_iam_service-with-iam-tags)
+ [IAM 角色](#security_iam_service-with-iam-roles)
使用 IAM 身分型原則,您可以指定允許或拒絕的動作。對於某些動作,您可以指定允許或拒絕動作的資源和條件。Amazon VPC 支援特定動作、資源和條件金鑰。若要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
## 動作
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
Amazon VPC 與 Amazon EC2 共享其 API 命名空間。Amazon VPC 中的原則動作會在動作之前使用下列前綴:`ec2:`。例如,若要授予使用 `CreateVpc` API 操作建立 VPC 的許可,請授予 `ec2:CreateVpc` 動作的存取權。政策陳述式必須包含 `Action` 或 `NotAction` 元素。
若要在單一陳述式中指定多個動作,請以逗號分隔它們,如下列範例所示。
```
"Action": [
"ec2:action1",
"ec2:action2"
]
```
您也可以使用萬用字元 (\*) 來指定多個動作。例如,如需指定開頭是 `Describe` 文字的所有動作,請包含以下動作:
```
"Action": "ec2:Describe*"
```
若要查看 Amazon VPC 動作的清單,請參閱*《服務授權參考》*中的 [Amazon EC2 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions)。
## Resources
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\*) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
VPC 資源具有下列範例所示的 ARN。
```
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
```
例如,若要在陳述式中指定 `vpc-1234567890abcdef0` VPC,請使用下列範例中顯示的 ARN。
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
```
若要指定屬於特定帳戶之特定區域中的所有 VPC,請使用萬用字元 (\*)。
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"
```
有些 Amazon VPC 動作無法對特定資源執行,例如用來建立資源的動作。在這些情況下,您必須使用萬用字元 (\*)。
```
"Resource": "*"
```
許多 Amazon EC2 API 動作都涉及多個資源。若要在單一陳述式中指定多項資源,請使用逗號分隔 ARN。
```
"Resource": [
"resource1",
"resource2"
]
```
若要查看 Amazon VPC 資源類型及其 ARN 的清單,請參閱*《服務授權參考》*中的 [Amazon EC2 定義的資源類型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies)。
## 條件索引鍵
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
所有 Amazon EC2 操作都支援 `aws:RequestedRegion` 和 `ec2:Region` 條件索引鍵。如需詳細資訊,請參閱[範例:將存取限制在特定區域](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region)。
Amazon VPC 會定義自己的一組條件金鑰,也支援使用一些全域條件金鑰。若要查看 Amazon VPC 條件金鑰的清單,請參閱*《服務授權參考》*中的 [Amazon EC2 的條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-policy-keys)。若要了解您可以搭配哪些動作和資源使用條件金鑰,請參閱 [Amazon EC2 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions)。
## 以 Amazon VPC 資源為基礎的原則
資源型原則是 JSON 原則文件,這些文件會指定指定的委託人可對 Amazon VPC 資源以及在怎樣的條件下執行哪些動作。
若要啟用跨帳戶存取,您可以指定在其他帳戶內的所有帳戶或 IAM 實體,做為[資源型原則的委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。新增跨帳戶主體至資源型政策,只是建立信任關係的一半。當委託人和資源位於不同的 AWS 帳戶中時,您還必須授予委託人實體存取資源的許可。透過將身分型政策連接到實體來授予許可。不過,如果資源型政策會為相同帳戶中的委託人授予存取,這時就不需要額外的身分型政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 以標籤為基礎的授權
您可以將標籤連線到 Amazon VPC 資源,或是在請求中傳遞標籤。若要根據標籤控制存取,請使用條件金鑰,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供標籤資訊。如需詳細資訊,請參閱《Amazon EC2 使用者指南》**中的[在建立過程中向標籤資源授予許可](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/supported-iam-actions-tagging.html)。
若要檢視身分型原則範例,以根據該資源上的標籤來限制存取資源,請參閱[在特定 VPC 中啟動執行個體](vpc-policy-examples.md#subnet-ami-example-iam)。
## IAM 角色
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)是 中具有特定許可 AWS 帳戶 的實體。
### 使用暫時性憑證
您可以搭配聯合使用暫時憑證、擔任 IAM 角色,或是擔任跨帳戶角色。您可以透過呼叫 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 等 AWS STS API 操作來取得臨時安全登入資料。
Amazon VPC 支援使用臨時登入資料。
### 服務連結角色
[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)可讓 AWS 服務存取其他服務中的資源,以代表您完成 動作。服務連結角色會顯示在您的 IAM 帳戶中,並由該服務所擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
[傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/service-linked-roles.html)支援服務連結角色。
### 服務角色
此功能可讓服務代表您擔任[服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。此角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會出現在您的 IAM 帳戶中,且由該帳戶所擁有。這表示 IAM 管理員可以變更此角色的許可。不過,這樣可能會破壞此服務的功能。
Amazon VPC 支援流程日誌的服務角色。建立流程日誌時,您必須選擇允許流程日誌服務存取 CloudWatch Logs 的角色。如需詳細資訊,請參閱[用於將流程日誌發佈至 CloudWatch Logs 的 IAM 角色](flow-logs-iam-role.md)。