สิทธิ์ทำให้คุณสามารถเจาะจงการเข้าถึงไปยังทรัพยากรของ AWS ได้ สิทธิ์จะถูกมอบให้กับเอนทิตี IAM (ผู้ใช้ กลุ่ม และบทบาท) และตัวตนเหล่านี้จะเริ่มโดยไม่มีสิทธิ์ตามค่าเริ่มต้น ในอีกนัยหนึ่ง เอนทิตี IAM จะไม่สามารถทำอะไรใน AWS ได้จนกว่าคุณจะมอบสิทธิ์ที่คุณต้องการให้กับเอนทิตีนั้น ในการมอบสิทธิ์ให้กับเอนทิตี คุณสามารถแนบนโยบายที่ระบุประเภทของการเข้าถึง การดำเนินการที่สามารถทำได้ และทรัพยากรที่สามารถถูกดำเนินการ นอกจากนี้ คุณยังสามารถระบุเงื่อนไขใดๆ ที่ต้องกำหนดก่อนที่การเข้าถึงจะได้รับอนุญาตหรือถูกปฏิเสธได้อีกด้วย

AWS Identity: การจัดการสิทธิ์รุ่นใหม่ (30:58)

ในการกำหนดสิทธิ์ให้กับผู้ใช้ กลุ่ม บทบาท หรือทรัพยากร คุณจะสร้างนโยบายที่ระบุถึง:

  • การดำเนินการ – การดำเนินการบริการของ AWS ที่คุณอนุญาตให้ทำ เช่น คุณอาจอนุญาตให้ผู้ใช้เรียกการดำเนินการ Amazon S3 ListBucket ได้ การดำเนินการใดๆ ที่คุณไม่ได้ระบุว่าอนุญาตจะถูกปฏิเสธทั้งหมด
  • ทรัพยากร – ทรัพยากร AWS ใดที่คุณอนุญาตให้มีการดำเนินการ เช่น บัคเก็ต Amazon S3 ใดที่คุณจะอนุญาตให้ผู้ใช้ดำเนินการ ListBucket ผู้ใช้จะไม่สามารถเข้าถึงทรัพยากรที่คุณไม่ได้ระบุว่ามีสิทธิ์เข้าถึงได้
  • ผล – คุณจะอนุญาตหรือปฏิเสธการเข้าถึง เนื่องจากการเข้าถึงจะถูกปฏิเสธตามค่าเริ่มต้น โดยปกติแล้วคุณจึงเขียนนโยบายที่มีผลเป็นการอนุญาต
  • เงื่อนไข – เงื่อนไขใดที่จะต้องมีเพื่อทำให้นโยบายมีผล เช่น คุณอาจอนุญาตให้เข้าถึงบัคเก็ต S3 บางรายการเท่านั้นหากผู้ใช้เชื่อมต่อจากช่วง IP ที่กำหนดหรือใช้ Multi-Factor Authentication เมื่อเข้าสู่ระบบ

คุณสร้างนโยบายโดยใช้ Visual Editor หรือ JSON นโยบายประกอบด้วยข้อความอย่างน้อยหนึ่งข้อความ โดยแต่ละข้อความจะอธิบายสิทธิ์หนึ่งชุด หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับภาษานโยบาย โปรดดูบทอ้างอิงนโยบาย IAM

Visual Editor จะช่วยแนะนำวิธีในการมอบสิทธิ์ด้วยนโยบาย IAM โดยที่คุณไม่ต้องเขียนนโยบายใน JSON (แต่คุณยังสามารถเขียนและแก้ไขนโยบายใน JSON ได้หากต้องการ) นโยบายในภาพหน้าจอต่อไปนี้ถูกสร้างด้วย Visual Editor มอบการดำเนินการ แสดง และ อ่าน ของ Amazon S3 ห้ารายการแก่บัคเก็ตและอ็อบเจ็กต์ S3 ใน SampleBucket หากคำนำหน้าเริ่มต้นด้วย MyPrefix

หากคุณใช้ AWS Management Console ในการจัดการสิทธิ์ คุณจะสามารถดูการสรุปนโยบายได้ การสรุปนโยบายแสดงระดับการเข้าถึง ทรัพยากร และเงื่อนไขสำหรับบริการแต่ละรายการที่ระบุไว้ในนโยบาย (ดูตัวอย่างที่ภาพถ่ายหน้าจอต่อไปนี้) เพื่อช่วยให้คุณเข้าใจสิทธิ์ที่ระบุไว้ในนโยบาย การดำเนินการของบริการของ AWS แต่ละรายการจะถูกแบ่งออกเป็นระดับการเข้าถึงสี่ประเภท ได้แก่ แสดง อ่าน เขียน และ การจัดการสิทธิ์

คุณสามารถเลือกนโยบายที่กำหนดไว้ล่วงหน้าที่ AWS เป็นผู้จัดการ หรือสร้างนโยบายของคุณเองโดยใช้ตัวสร้างนโยบายได้ สำหรับข้อมูลเพิ่มเติม โปรดดูส่วนภาพรวมของนโยบาย IAM ในคู่มือการใช้งาน IAM

เรียนรู้วิธีจัดการข้อมูลประจำตัว IAM

เยี่ยมชมหน้าการจัดการข้อมูลประจำตัว
พร้อมที่จะสร้างแล้วหรือยัง
เริ่มต้นใช้งาน IAM
มีคำถามเพิ่มเติมหรือไม่
ติดต่อเรา