本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是访问控制?
在您登录(经过身份验证)到 Amazon 后,您可以使用策略控制对 Amazon 资源和操作的访问。访问控制也称为授权。
在授权期间,Amazon 使用请求上下文中的值来检查应用的策略。然后,它使用策略来确定是允许还是拒绝请求。大多数策略作为 JSON 文档存储在 Amazon 中,并指定为委托人允许或拒绝的权限。有关 JSON 策略文档的结构和内容的更多信息,请参阅什么是策略?。
通过使用策略,管理员可以指定哪些用户有权访问 Amazon 资源,以及他们可以对这些资源执行哪些操作。每个 IAM 实体(用户或角色)最初没有任何权限。换而言之,在默认状态下,用户什么都不能做,甚至不能查看自己的访问密钥。要为用户授予执行某些操作的权限,管理员必须将权限策略附加到用户。或者,管理员可以将用户添加到具有所需权限的组中。之后当管理员授予某个组访问权限时,该组内的全部用户都会获得这些访问权限。
您可能使用有效的凭证来对自己的请求进行身份验证,但管理员还必须向您授予权限,您才能创建或访问 AWS Elemental MediaConvert 资源的费用。例如,您必须明确拥有权限才能创建 AWS Elemental MediaConvert 作业。
作为管理员,您可以编写策略来控制对以下各项的访问:
-
Amazon对于校长— 控制什么这用户、帐户或服务提出请求(校长) 被允许这样做。
-
IAM 身份— 控制可访问哪些 IAM 身份(组、用户和角色)以及如何进行访问。
-
IAM 策略 - 控制哪些用户可以创建、编辑和删除客户托管策略,以及哪些用户可以附加和分离所有托管策略。
-
Amazon 资源 - 控制哪些用户有权使用基于身份的策略或基于资源的策略访问资源。
-
Amazon 账户 - 控制是否仅允许特定账户的成员发出请求。
控制 主体进行的访问
权限策略控制您作为委托人可以执行的操作。管理员必须将基于身份的权限策略附加到提供权限的身份(用户、组或角色)。权限策略允许或拒绝访问 Amazon。管理员还可以设置 IAM 实体(用户或角色)的权限边界以定义该实体可以具有的最大权限。权限边界是一项高级的 IAM 功能。有关权限边界的更多信息,请参阅IAM 身份的权限边界中的IAM 用户指南.
有关如何控制的更多信息以及示例Amazon委托人的访问,请参阅控制 主体进行的访问中的IAM 用户指南.
控制对身份的访问
管理员可以通过创建限制可以对身份执行的操作或谁可以访问身份的策略,来控制您对 IAM 身份(用户、组或角色)可以执行的操作。然后,将该策略附加到提供您的权限的身份。
例如,管理员可能允许您重置三个特定用户的密码。为此,管理员将一个策略附加到您的 IAM 用户,以允许您仅为自己和具有三个指定用户的 ARN 的用户重置密码。这允许您重置团队成员的密码,但不能重置其他 IAM 用户的密码。
有关更多信息和使用策略控制的示例Amazon访问身份,请参阅控制对身份的访问中的IAM 用户指南.
控制对策略的访问
管理员可以控制哪些用户可以创建、编辑和删除客户托管策略,以及哪些用户可以附加和分离所有托管策略。当您查看一个策略时,您可以查看策略摘要,其中包括该策略中每个服务的访问权限级别的摘要。Amazon 基于每个服务操作的用途将其分类为四个访问权限级别 之一:List
、Read
、Write
或 Permissions management
。您可以使用这些访问权限级别确定将哪些操作包含在您的策略中。有关更多信息,请参阅 。了解策略摘要内的访问级别摘要中的IAM 用户指南.
你应该限制权限管理 您账户中的访问级别权限。否则,您的账户成员为自己创建的策略所拥有的权限可能比他们应有的权限更多。或者,他们可以创建具有 Amazon 完全访问权限的单独用户。
有关如何控制的更多信息以及示例Amazon访问策略,请参阅控制对策略的访问中的IAM 用户指南.
控制对 资源的访问
管理员可以使用基于身份的策略或基于资源的策略控制对资源的访问。在基于身份的策略中,您将策略附加到一个身份并指定该身份可以访问哪些资源。在基于资源的策略中,您将策略附加到要控制的资源。在该策略中,您指定哪些主体可以访问该资源。
AWS Elemental Elemental MediaConvert 不支持基于资源的策略。
有关更多信息,请参阅 。控制对资源的访问中的IAM 用户指南.
资源创建者不会自动拥有权限
无论谁创建了某个账户中的资源,所有这些资源都归该账户所有。只有账户所有者有权对账户中的任何资源执行任意操作。
您账户中的实体(用户或角色)必须被授予访问权限才能创建资源。但是,仅仅因为这些实体创建了资源,并不意味着他们自动拥有对该资源的完全访问权限。您必须为每个操作明确授予权限。此外,只要您有权管理用户和角色权限,就可以随时撤销这些权限。
控制对其他账户中委托人的访问权限
管理员可以使用Amazon基于资源的策略、IAM 跨账户角色或Amazon Organizations服务,允许另一个账户中的委托人访问您账户中的资源。
对于一些 Amazon 服务,您可以授予对资源的跨账户访问权限。为此,您可将策略直接附加到要共享的资源,而不是将角色用作代理。如果该服务支持此策略类型,则您要共享的资源还必须支持基于资源的策略。与基于用户的策略不同,基于资源的策略指定哪些人(以列表的形式)Amazon账户 ID 号)可以访问该资源。 MediaConvert 不支持基于资源的策略。
与角色相比,使用基于资源的策略进行跨账户访问具有一些优势。利用通过基于资源的策略访问的资源,委托人(人员或应用程序)仍在可信账户中工作,并且无需放弃用于代替角色权限的用户权限。换句话说,委托人可以同时访问可信账户和 信任账户中的资源。这对于从一个账户向另一个账户中复制信息之类的任务非常有用。有关使用跨账户角色的更多信息,请参阅向另一个 IAM 用户提供访问权限Amazon您拥有的账户中的IAM 用户指南.
Amazon Organizations 可以针对您拥有的多个 Amazon 账户实现基于策略的管理。借助 Organizations,可以创建账户组、自动创建账户以及应用和管理这些组的策略。借助 Organizations,您可以跨多个账户集中管理策略,无需使用自定义脚本和手动操作流程。使用 Amazon Organizations,您可以创建服务控制策略 (SCP),从而集中控制多个 Amazon 账户对 Amazon 服务的使用。有关更多信息,请参阅 Amazon Organizations 用户指南的 什么是 Amazon Organizations?。