登录控制台
MediaConvert
用户指南
AWS 文档 » MediaConvert » 用户指南 » AWS Elemental MediaConvert 中的安全性 » 了解有关 AWS Identity and Access Management 的更多信息 » 什么是访问控制?
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

什么是访问控制?

在您登录(经过身份验证)到 AWS 后,您可以使用策略控制对 AWS 资源和操作的访问。访问控制也称为授权。

在授权期间,AWS 使用请求上下文中的值来检查应用的策略。然后,它使用策略来确定是允许还是拒绝请求。大多数策略作为 JSON 文档存储在 AWS 中,并指定为委托人允许或拒绝的权限。有关 JSON 策略文档的结构和内容的更多信息,请参阅什么是策略?

通过使用策略,管理员可以指定哪些用户有权访问 AWS 资源,以及他们可以对这些资源执行哪些操作。每个 IAM 实体(用户或角色)在一开始都没有权限。换而言之,在默认状态下,用户什么都不能做,甚至不能查看自己的访问密钥。要为用户授予执行某些操作的权限,管理员必须将权限策略附加到用户。或者,管理员可以将用户添加到具有所需权限的组中。之后当管理员授予某个组访问权限时,该组内的全部用户都会获得这些访问权限。

您可能使用有效的凭证来对自己的请求进行身份验证,但管理员还必须向您授予权限,您才能创建或访问 AWS Elemental MediaConvert 资源。例如,您必须明确拥有权限才能创建 AWS Elemental MediaConvert 作业。

作为管理员,您可以编写策略来控制对以下各项的访问:

  • 委托人的 AWS – 控制允许发出请求的用户、账户或服务(委托人)执行哪些操作。

  • IAM 身份 – 控制可访问哪些 IAM 身份(组、用户和角色)以及如何进行访问。

  • IAM 策略 – 控制哪些用户可以创建、编辑和删除客户托管策略,以及哪些用户可以附加和分离所有托管策略。

  • AWS 资源 – 控制哪些用户有权使用基于身份的策略或基于资源的策略访问资源。

  • AWS 账户 – 控制是否仅允许特定账户的成员发出请求。

控制委托人访问

权限策略控制您作为委托人可以执行的操作。管理员必须将基于身份的权限策略附加到提供权限的身份(用户、组或角色)。权限策略允许或拒绝访问 AWS。管理员还可以设置 IAM 实体(用户或角色)的权限边界以定义该实体可以拥有的最大权限。权限边界是一项高级 IAM 功能。有关权限边界的更多信息,请参阅 IAM 用户指南 中的 IAM 身份的权限边界

有关如何控制委托人的 AWS 访问的更多信息和示例,请参阅 IAM 用户指南 中的控制委托人访问

控制对身份的访问

管理员可以通过创建限制可以对身份执行的操作或谁可以访问身份的策略,来控制您对 IAM 身份(用户、组或角色)可以执行的操作。然后,将该策略附加到提供您的权限的身份。

例如,管理员可能允许您重置三个特定用户的密码。为此,管理员将一个策略附加到您的 IAM 用户,以允许您仅为自己和具有三个指定用户的 ARN 的用户重置密码。这使您可以重置团队成员的密码,但不能重置其他 IAM 用户的密码。

有关使用策略控制 AWS 对身份的访问权限的更多信息和示例,请参阅 IAM 用户指南 中的控制对身份的访问

控制对策略的访问

管理员可以控制哪些用户可以创建、编辑和删除客户托管策略,以及哪些用户可以附加和分离所有托管策略。当您查看一个策略时,您可以查看策略摘要,其中包括该策略中每个服务的访问权限级别的摘要。AWS 基于每个服务操作的用途将其分类为四个访问权限级别 之一:ListReadWritePermissions management。您可以使用这些访问权限级别确定将哪些操作包含在您的策略中。有关更多信息,请参阅 IAM 用户指南 中的了解策略摘要内的访问级别摘要

警告

您应限制自己账户中的权限管理访问级别权限。否则,您的账户成员为自己创建的策略所拥有的权限可能比他们应有的权限更多。或者,他们可以创建具有 AWS 完全访问权限的单独用户。

有关如何控制策略的 AWS 访问的更多信息和示例,请参阅 IAM 用户指南 中的控制对策略的访问

控制对资源的访问

管理员可以使用基于身份的策略或基于资源的策略控制对资源的访问。在基于身份的策略中,您将策略附加到一个身份并指定该身份可以访问哪些资源。在基于资源的策略中,您将策略附加到要控制的资源。在该策略中,您指定哪些委托人可以访问该资源。

注意

AWS Elemental MediaConvert 不支持基于资源的策略。

有关更多信息,请参阅 IAM 用户指南 中的控制对资源的访问

资源创建者不会自动拥有许可

无论谁创建了某个账户中的资源,所有这些资源都归该账户所有。只有账户拥有者才有权对账户中的任何资源执行任何操作。

您账户中的实体(用户或角色)必须被授予访问权限才能创建资源。但是,仅仅因为这些实体创建了资源,并不意味着他们自动拥有对该资源的完全访问权限。您必须为每个操作明确授予权限。此外,只要您有权管理用户和角色权限,就可以随时撤销这些权限。

控制对不同账户中的委托人的访问

管理员可以使用基于 AWS 资源的策略、IAM 跨账户角色或 AWS Organizations 服务,以允许其他账户中的委托人访问您账户中的资源。

对于一些 AWS 服务,您可以授予对资源的跨账户访问权限。为此,您可将策略直接附加到要共享的资源,而不是将角色用作代理。如果该服务支持此策略类型,则您要共享的资源还必须支持基于资源的策略。与基于用户的策略不同,基于资源的策略指定哪些人(以 AWS 账户 ID 号列表的形式)可以访问该资源。AWS Elemental MediaConvert 不支持基于资源的策略。

与角色相比,使用基于资源的策略进行跨账户访问具有一些优势。利用通过基于资源的策略访问的资源,委托人(人员或应用程序)仍在可信账户中工作,并且无需放弃用于代替角色权限的用户权限。换句话说,委托人可以同时访问可信账户 信任账户中的资源。这对于从一个账户向另一个账户中复制信息之类的任务非常有用。有关使用跨账户角色的更多信息,请参阅 IAM 用户指南中的在您拥有的另一个 AWS 账户中向 IAM 用户提供访问权限

AWS Organizations 可以针对您拥有的多个 AWS 账户实现基于策略的管理。借助 组织,可以创建账户组、自动创建账户以及应用和管理这些组的策略。组织 支持您针对多个账户集中管理策略,无需使用自定义脚本和手动操作流程。使用 AWS Organizations,您可以创建服务控制策略 (SCP),从而集中控制多个 AWS 账户对 AWS 服务的使用。有关更多信息,请参阅 AWS Organizations 用户指南 中的什么是 AWS Organizations?