本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用中的策略管理访问权限 Amazon IoT SiteWise
您可以 Amazon 通过创建策略并将其附加到 Amazon 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 Amazon 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 Amazon 形式存储在中。有关 JSON 策略文档的更多信息,请参阅《IAM 用户指南》中的 JSON 策略概述。
管理员可使用策略来指定访问权限,具体做法是定义哪个主体可在何种条件下对哪些资源执行何种操作。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以代入这些角色。IAM 策略定义权限,而不考虑您使用哪种方法来执行操作。
基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可在何种条件下对哪些资源执行什么操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》中的使用客户管理型策略定义自定义 IAM 权限。
基于身份的策略可以是内联策略(直接嵌入到单个身份中)或托管式策略(附加到多个身份的独立策略)。要了解如何在托管式策略和内联策略之间进行选择,请参阅《IAM 用户指南》中的在托管式策略与内联策略之间进行选择。
基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM 角色信任策略和 Amazon S3 存储桶策略。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中指定主体。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 Amazon 托管策略。
访问控制列表 (ACLs)
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
Amazon S3 和 Amazon VPC 就是支持的服务示例 ACLs。 Amazon WAF要了解更多信息 ACLs,请参阅《亚马逊简单存储服务开发者指南》中的访问控制列表 (ACL) 概述。
其他策略类型
Amazon 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
-
权限边界:设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》中的 IAM 实体的权限边界。
-
服务控制策略 (SCPs)-在中指定组织或组织单位的最大权限 Amazon Organizations。有关更多信息,请参阅 Amazon Organizations 用户指南中的服务控制策略。
-
资源控制策略 (RCPs)-设置账户中资源的最大可用权限。有关更多信息,请参阅《Amazon Organizations 用户指南》中的资源控制策略 (RCPs)。
-
会话策略:在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》中的会话策略。
多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 Amazon 确定是否允许请求,请参阅 IAM 用户指南中的策略评估逻辑。