什么是策略? - MediaConvert
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是策略?

您将创建策略并将其附加到 IAM 身份或Amazon资源,以便控制Amazon中的访问。

策略是 Amazon 中的对象;在与实体或资源相关联时,策略定义了它们的权限。在委托人(如用户)发出请求时,Amazon 将评估这些策略。策略中的权限确定是允许还是拒绝请求。大多数策略在Amazon中存储为 JSON 文档。

IAM 策略定义操作的权限,无关乎您使用哪种方法执行操作。例如,如果一个策略允许GetUser 操作,则具有该策略的用户可以从 Amazon Web Services Management Console、Amazon CLI 或 Amazon API 获取用户信息。在创建 IAM 用户时,您可以设置用户以允许控制台或编程访问。IAM 用户可以使用用户名和密码登录到控制台。或者,他们也可以使用访问密钥来使用 CLI 或 API。

按频率顺序列出的以下策略类型可能会影响请求是否已获得授权。有关更多详细信息,请参阅策略类型中的IAM 用户指南

  • 基于身份的策略— 您可以将托管策略和内联策略附加到 IAM 身份(用户、用户所属组和角色)。

  • 基于资源的策略— 您可以将内联策略附加到某些资源Amazon服务。基于资源的策略的最常见示例是 Amazon S3 存储桶策略和 IAM 角色信任策略。MediaConvert 不支持基于资源的策略。

  • Organizations P— 您可以使用Amazon Organizations服务控制策略 (SCP) 将权限边界应用于Amazon Organizations组织或组织单位 (OU)。这些权限会应用到成员账户中的所有实体。

  • 访问控制列表 (ACL)— 您可以使用 ACL 来控制哪些委托人可以访问资源。ACL 类似于基于资源的策略,但它们是唯一不使用 JSON 策略文档结构的策略类型。MediaConvert 不支持 ACL。

这些策略类型可分类为权限策略权限边界

  • 权限策略— 您可以将权限策略附加到Amazon定义该对象的权限。在单个账户中,Amazon 一起评估所有权限策略。权限策略是最常用的策略。您可以使用以下策略类型作为权限策略:

    • 基于身份的策略— 将托管策略或内联策略附加到 IAM 用户、组或角色时,该策略定义该实体的权限。

    • 基于资源的策略— 将 JSON 策略文档附加到资源时,定义该资源的权限。服务必须支持基于资源的策略。

    • 访问控制列表 (ACL)— 将 ACL 附加到资源时,定义具有访问该资源的权限的委托人的列表。资源必须支持 ACL。

  • 权限边界— 您可以使用策略来定义实体(用户或角色)的权限边界。权限边界控制实体可以具有的最大权限。权限边界是一项高级 Amazon 功能。当多个权限边界应用于请求时,Amazon 会单独评估每个权限边界。您可以在以下情况下应用权限边界:

    • Organizations— 您可以使用Amazon Organizations服务控制策略 (SCP) 将权限边界应用于Amazon Organizations组织或组织单位 (OU)。

    • IAM 用户或角色— 您可以对用户或角色的权限边界使用托管策略。有关更多信息,请参阅 。IAM 实体的权限边界中的IAM 用户指南

基于身份的策略

您可以向 IAM 身份附加策略。例如,您可以执行以下操作:

  • 将权限策略附加到账户中的用户或组— 要向用户授予创建 AWS Elemental MediaConvert 资源(例如作业)的权限,您可以将权限策略附加到用户或用户所属的组。

  • 将权限策略附加到角色(授予跨账户权限)— 您可以将基于身份的权限策略挂载到 IAM 角色,以授予跨账户的权限。例如,账户 A 中的管理员可以创建一个角色,以向其他 Amazon 账户(如账户 B)或某项 Amazon 服务授予跨账户权限,如下所述:

    1. 账户 A 管理员可以创建一个 IAM 角色,然后向该角色附加授予其访问账户 A 中资源的权限策略。

    2. 账户 A 管理员可以向角色挂载信任策略,将账户 B 标识为能够担任该角色的委托人。

    3. 之后,账户 B 管理员可以委托权限,指派账户 B 中的任何用户代入该角色。这样,账户 B 中的用户就可以在账户 A 中创建或访问资源了。如果您需要授予 Amazon 服务权限来代入该角色,则信任策略中的委托人也可以是 Amazon 服务委托人。

    有关使用 IAM 委派权限的更多信息,请参阅。访问管理中的IAM 用户指南

有关用户、组、角色和权限的更多信息,请参阅。身份(用户、组和角色)中的IAM 用户指南

基于资源的策略

基于资源的策略是附加到资源的 JSON 策略文档。这些策略允许您指定,指定的委托人可在何种条件下对该资源执行哪些操作。最常见的基于资源的策略是 Amazon S3 存储桶。基于资源的策略是仅存在于资源上的内联策略。没有基于托管资源的策略。

将权限授予其他Amazon账户比 IAM 角色具有一些优势。有关更多信息,请参阅 。IAM 角色与基于资源的策略有何不同中的IAM 用户指南

MediaConvert 不支持基于资源的策略。

策略访问级别分类

在 IAM 控制台中,使用以下访问级别分类对操作进行分组:

  • 列表— 提供权限列出服务内的资源以确定某个对象是否存在。此访问权限级别的操作可以列出对象,但是看不到资源的内容。具有 List (列表) 访问级别的大多数操作都无法在特定资源上执行。使用这些操作创建策略语句时,必须指定 All resources (所有资源) ("*")。

  • Read— 提供权限读取服务中资源的内容和属性但不对其进行编辑。例如,Amazon S3 操作GetObjectGetBucketLocationHAVIG 中的Read访问级别。

  • 写入— 提供权限在服务中创建、删除或修改资源。例如,Amazon S3 操作CreateBucketDeleteBucketPutObjectHAVIG 中的写入访问级别。

  • 权限管理— 提供权限在服务中授予或修改资源权限。例如,大多数 IAM 和Amazon Organizations策略操作具有权限管理访问级别。

    提示

    要提高您的 Amazon 账户的安全性,请限制或定期监控具有 Permissions management (权限管理) 访问级别分类的策略。

  • 标记— 提供权限创建、删除或修改附加到服务中的资源的标签。例如,Amazon EC2CreateTagsDeleteTags操作具有标记访问级别。