使用策略管理访问权限 - AWS IoT Analytics
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用策略管理访问权限

您将创建策略并将其附加到 IAM 身份或 AWS 资源,以便控制 AWS 中的访问。策略是中的对象 AWS 当与身份或资源关联时,定义其权限。 AWS 当实体(根用户、 IAM 用户,或 IAM 角色)发出请求。策略中的权限确定是允许还是拒绝请求。大多数策略在 AWS 中存储为 JSON 文档。有关JSON策略文档的结构和内容的更多信息,请参阅 JSON策略概述IAM 用户指南.

IAM 管理员可以使用策略来指定哪些用户有权访问 AWS 资源,以及他们可以对这些资源执行哪些操作。每个 IAM 实体(用户或角色)在一开始都没有权限。换言之,默认情况下,用户什么都不能做,甚至不能更改他们自己的密码。要为用户授予执行某些操作的权限,管理员必须将权限策略附加到用户。或者,管理员可以将用户添加到具有预期权限的组中。当管理员为某个组授予访问权限时,该组内的全部用户都会获得这些访问权限。

IAM 策略定义操作的权限,无论您使用哪种方法执行操作。例如,假设您有一个允许 iam:GetRole 操作的策略。具有该策略的用户可以从 AWS 管理控制台、AWS CLI 或 AWS API 获取角色信息。

基于身份的策略

基于身份的策略是可附加到身份(如 IAM 用户、角色或组)的 JSON 权限策略文档。这些策略控制身份可以执行的操作、资源以及条件,要了解如何创建基于身份的策略,请参阅 正在创建 IAM 政策IAM 用户指南.

基于身份的策略可以进一步归类为内联策略托管策略。内联策略直接嵌入单个用户、组或角色中。托管策略是可以附加到 AWS 账户中的多个用户、组和角色的独立策略。托管策略包括 AWS 托管策略和客户托管策略。要了解如何在托管策略或内联策略之间进行选择,请参阅 在管理策略和内联策略之间进行选择IAM 用户指南.

其他策略类型

AWS 支持其他不太常见的策略类型。这些策略类型可以设置更常用的策略类型向您授予的最大权限。

  • 权限边界 -权限边界是一项高级功能,您可以在其中设置基于身份的策略可以授予的最大权限 IAM 实体(IAM 用户或角色)。您可为一个实体设置权限边界。这些结果权限是实体的基于身份的策略及其权限边界的交集。在 Principal 中指定用户或角色的基于资源的策略不受权限边界限制。任一项策略中的显式拒绝将覆盖允许。有关权限边界的更多信息,请参阅 权限边界 IAM 实体IAM 用户指南.

  • 服务控制策略(SCP) SCP是JSON策略,用于指定组织或组织单位(OU)的最大权限 AWS Organizations。 AWS Organizations 是一项用于分组和集中管理多个 AWS 帐户。如果在组织中启用所有功能,则可以将 SCP 应用于您的任何或所有账户。SCP限制成员帐户中实体的权限,包括每个 AWS 帐户根用户。有关 AWS Organizations 和SCP,请参阅 SCP的工作原理AWS Organizations 用户指南.

  • 会话策略 - 会话策略是高级策略,在以编程方式为角色或联合身份用户创建临时会话时,这些策略将作为参数进行传递。结果会话的权限是用户或角色的基于身份的策略和会话策略的交集。权限也可以来自基于资源的策略。任一项策略中的显式拒绝将覆盖允许。有关更多信息,请参阅 会话策略IAM 用户指南.

多个策略类型

当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解 AWS 确定在涉及多个策略类型时是否允许请求,请参阅 策略评估逻辑IAM 用户指南.