权限让您能够指定对 AWS 资源的访问权限。权限授予 IAM 实体(用户、组和角色),这些实体在开始时默认没有任何权限。也就是说,除非您授予需要的权限,否则 IAM 实体在 AWS 中就无法进行任何操作。要为实体提供权限,您可以附加一条指定访问类型、可以执行的操作以及可以操作的资源的策略。此外,您还可以针对允许访问或拒绝访问指定必须设置的条件。

在 60 分钟或更短的时间内成为 IAM 策略大师 (55:35)

要向用户、组、角色或资源分配权限,您必须创建一项策略,并且策略中可以指定:

  • 操作 – 您允许哪些 AWS 服务操作。例如,您可以允许用户调用 Amazon S3 ListBucket 操作。任何您没有明确允许的操作都将被拒绝。
  • 资源 – 您允许对哪些 AWS 资源执行操作。例如,您将允许用户对哪些 Amazon S3 存储桶执行 ListBucket 操作? 用户不能访问任何您没有明确授权的资源。
  • 作用 – 是允许访问还是拒绝访问。因为在默认情况下访问会被拒绝,因此您一般要编写允许访问的策略。
  • 条件 – 必须具备哪些条件策略才会生效。例如,您可以只允许用户访问特定 S3 存储桶,条件为用户从特定 IP 范围连接或在登录时使用了多重身份验证。

您可以使用可视化编辑器或 JSON 创建策略。策略包含一个或多个语句,每个语句描述一组权限。要了解有关策略语言的更多信息,请参阅 AWS IAM 策略参考

可视化编辑器将指导您使用 IAM 策略授予权限,您无需再使用 JSON 编写策略 (但您仍可以按照喜好使用 JSON 创建和编辑策略)。以下屏幕截图中的策略就是使用可视化编辑器创建的。它向 S3 存储桶以及 SampleBucket 中前缀以 MyPrefix 开头的对象授予了五个 Amazon S3 列表读取操作权限。

ManagePermissions_JC_1117_a

如果使用 AWS 管理控制台管理权限,可以查看策略摘要。策略摘要中列出了策略中定义的每项服务的访问级别、资源和条件(参见以下屏幕截图中的示例)。为了帮助您理解策略中定义的权限,每个 AWS 服务的操作均分成四个访问级别:列表读取写入权限管理

JC1final-UPDATED031017-a

您可以选择由 AWS 管理的预定义策略,也可以使用策略生成器创建自己的策略。有关更多信息,请参阅使用 IAM 指南IAM 策略概览部分。

了解如何管理 AWS IAM 凭证

访问凭证管理页面
是否已做好构建准备?
AWS IAM 入门
还有更多问题?
联系我们