您可以使用許可指定對 AWS 資源的存取權。系統會將許可授與各個 IAM 實體 (使用者、群組和角色),而且根據預設,這些實體一開始沒有許可。換句話說,除非您授與 IAM 實體所需的許可,否則 IAM 實體在 AWS 沒有任何作用。若要提供實體許可,可以連接政策以指定存取類型、可執行的動作,以及可對其執行動作的資源。此外,您可以指定允許或拒絕存取必須符合的任何條件。

如何在 60 分鐘之內成為 IAM 政策的專家
55:38
How to Become an AWS IAM Policy Ninja in 60 Minutes or Less

開始免費使用 AWS

建立免費帳戶
或者,請登入主控台

AWS 免費方案包括 Amazon ElastiCache 提供的 750 小時微型快取節點。

查看 AWS 免費方案詳細資訊 »

若要將許可指派給使用者、群組、角色或資源,請建立可指定下列各項的政策:

  • 動作 – 您允許的 AWS 服務動作。例如,您可能允許使用者呼叫 Amazon S3 ListBucket 動作。任何您沒有明確允許的動作都會遭到拒絕。
  • 資源 – 允許對其執行動作的 AWS 資源。例如,您允許使用者在哪些 Amazon S3 儲存貯體執行 ListBucket 動作?使用者無法針對您沒有明確授與許可的任何資源進行存取。
  • 作用 – 允許或拒絕存取。由於預設會拒絕存取,因此您通常要撰寫作用為允許的政策。
  • 條件 – 必須有哪些條件政策才能生效。例如,只有在使用者從特定 IP 範圍連接或使用多重驗證登入時,才允許存取特定的 Amazon S3 儲存貯體。

您可以使用視覺化編輯器或 JSON 建立政策。政策包含一或多個陳述式,每個陳述式描述一組許可。要進一步了解政策語言,請參閱 AWS IAM Policy Reference

視覺化編輯器可透過使用 IAM 政策引導您授與許可,無須使用 JSON 撰寫政策 (如有需要,仍然可以使用 JSON 撰寫和編輯政策)。以下螢幕擷取畫面是使用視覺化編輯器建立的政策。如果前綴開頭為 MyPrefix,則會授與 SampleBucket 中 S3 儲存貯體和物件五個 Amazon S3 清單讀取動作。

視覺化編輯器螢幕擷取畫面

如果您使用 AWS 管理主控台管理許可,可檢視政策摘要。政策摘要會列出政策中定義的每個服務的存取層級、資源和條件 (請參閱以下螢幕擷取畫面的範例)。為了協助您了解政策中定義的許可,每個 AWS 服務動作分成四種存取層級:清單讀取寫入許可管理

政策摘要螢幕擷取畫面

您可以選取由 AWS 管理的預先定義政策,或使用政策產生器建立自己的政策。如需詳細資訊,請參閱使用 IAM 指南中的 Overview of IAM Policies 部分