請注意:Amazon WorkDocs 不再提供新客戶註冊和帳戶升級。在此處了解遷移步驟:如何從 WorkDocs 遷移資料
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授予第三方開發人員對 WorkDocs APIs許可
您可以將存取權授予第三方開發人員,或使用不同 AWS 帳戶的使用者。若要這樣做,請建立 IAM 角色,並連接 WorkDocs API 允許政策。
下列情況需要使用這種存取權限:
-
開發人員屬於相同的組織,但開發人員 AWS 的帳戶與 WorkDocs AWS 帳戶不同。
-
當企業想要授予 WorkDocs API 存取權給第三方應用程式開發人員時。
在這兩種情況下,都涉及兩個 AWS 帳戶:開發人員 AWS 的帳戶,以及託管 WorkDocs 網站的不同帳戶。
開發人員必須提供下列資訊,帳戶管理員才能建立 IAM 角色:
-
AWS 您的帳戶 ID
-
讓客戶能識別您的一個唯一的
External ID。如需詳細資訊,請參閱如何將 AWS 資源的存取權授予第三方時使用外部 ID。 -
您的應用程式需要存取的 WorkDocs APIs清單。IAM 型政策控制提供精細控制,可在個別 API 層級定義允許或拒絕政策。如需 WorkDocs APIs的清單,請參閱 WorkDocs API 參考。
下列程序說明涉及了跨帳戶存取的 IAM 設定步驟。
設定 IAM 進行跨帳戶存取
-
建立 WorkDocs API 許可政策,呼叫
WorkDocsAPIReadOnly政策。 -
在託管 WorkDocs 網站 AWS 之帳戶的 IAM 主控台中建立新的角色:
登入 AWS 管理主控台 並開啟位於 https://https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
在主控台的導覽窗格中,按一下 Roles (角色),然後按一下 Create New Role (建立新角色)。
-
關於 Role name (角色名稱),請鍵入角色名稱,例如
workdocs_app_role,以協助您識別此角色的用途。角色名稱在您的 AWS 帳戶中必須是唯一的。輸入名稱之後,請按 Next Step (下一步)。 -
在 Select Role Type (選取角色類型) 頁面,選取 Role for Cross-Account Access (跨帳戶存取的角色) 區段,然後選擇您想建立的角色類型:
-
如果您是使用者帳戶和資源 AWS 帳戶的管理員,或兩個帳戶都屬於同一家公司,請選取在您擁有的帳戶之間提供存取權。當即將存取的使用者、角色與資源都屬於相同帳戶時,這也是您應選的選項。
-
如果您是擁有 WorkDocs 網站的 帳戶管理員,並且想要從應用程式開發人員 AWS 帳戶將許可授予使用者,請選取在 AWS 您的帳戶與第三方帳戶之間提供存取權。使用這個選項時,您需要指定一個外部 ID (這是第三方必須提供給您的) 來額外提供對於環境的控制,以供第三方在其中使用角色來存取您的資源。如需詳細資訊,請參閱如何在將 AWS 資源的存取權授予第三方時使用外部 ID。
-
-
在下一頁中,指定您要授予資源存取權 AWS 的帳戶 ID,並在第三方存取時輸入外部 ID。
-
按一下 Next Step (下一步) 以連接政策。
-
在連接政策頁面上,搜尋先前建立的 WorkDocs API 許可政策,然後選取政策旁的方塊,然後按一下下一步。
-
檢視該詳細資訊,複製角色 ARN 以供未來參考,並按下 Create Role (建立角色) 以完成角色建立。
-
與開發人員共享角色 ARN。以下是角色 ARN 的範例:
arn:aws:iam::AWS-ACCOUNT-ID:role/workdocs_app_role
