本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理 Amazon Firewall Manager 资源的访问权限的概述
每个 Amazon 资源都归某个 Amazon Web Services 账户 账户所有,创建或访问资源的权限由权限策略进行管理。账户管理员可以向 IAM 身份(即:用户、组和角色)附加权限策略。有些服务还支持向资源附加权限策略。
账户管理员(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅 IAM 用户指南中的 IAM 最佳实践。
在授予权限时,您要决定谁获得权限,获得对哪些资源的权限,以及您允许对这些资源执行的具体操作。
主题
Amazon Firewall Manager 资源和操作
中Amazon Firewall Manager,资源是政策,应用程序列表,以及协议列表. Firewall Manager 资源的 Amazon 资源名称 (ARN) 具有以下格式:
arn:aws:fms:region:account:resource/ID
下表列出了每种资源的格式。
| Amazon Firewall Manager 控制台中的名称 | Amazon Firewall Manager SDK/CLI 中的名称 | ARN 格式 |
|---|---|---|
| 策略 | Policy |
|
| 应用程序清单 | AppsList |
|
| 协议列表 | ProtocolsList |
|
要允许或拒绝访问Firewall Manager 资源的子集,请将资源的 ARN 包含在resource您的政策的要素。将 account、resource 和 ID 变量替换为有效值。有效值如下:
-
帐户:您的身份证Amazon Web Services 账户. 您必须指定值。 -
资源:Firewall Manager 资源的类型。 -
ID:Firewall Manager 资源的 ID 或通配符 (*) 以指明与指定类型关联的所有资源Amazon Web Services 账户.
例如,以下 ARN 指定区域 us-east-1 中账户 111122223333 的所有策略:
arn:aws:fms:us-east-1:111122223333:policy/*
有关更多信息,请参阅 。资源在IAM 用户指南.
Amazon Firewall Manager提供一组操作用来处理Firewall Manager 资源。有关可用操作的列表,请参阅操作。
了解资源所有权
一个资源拥有者是Amazon Web Services 账户这创建了资源。也就是说,资源所有者是Amazon Web Services 账户的主要实体(根账户、IAM 用户或 IAM 角色),用于对创建资源的请求进行身份验证。以下示例说明了它的工作原理:
-
如果您使用的 root 账户证书Amazon Web Services 账户要创建Firewall Manager 资源,您的Amazon Web Services 账户是资源的拥有者。
-
如果您要在中创建 IAM 用户Amazon Web Services 账户并对该用户授予创建 Firewall Manager 资源的权限,则该用户也可以创建 Firewall Manager 资源。但是,您的Amazon该用户所属的账户拥有Firewall Manager 资源。
-
如果您要在中创建 IAM 角色Amazon Web Services 账户拥有创建 Firewall Manager 资源的权限,能够担任该角色的任何人都可以创建 Firewall Manager 资源。你的Amazon该角色所属的账户拥有Firewall Manager 资源。
管理对资源的访问
权限策略规定谁可以访问哪些内容。接下来的部分介绍创建权限策略时的可用选项。
附加到 IAM 身份的策略称为基于身份的 策略,附加到资源的策略称为基于资源的 策略。Amazon Firewall Manager 仅支持基于身份的策略。
主题
基于身份的策略(IAM policy)
您可以向 IAM 身份附加策略。例如,您可以执行以下操作:
-
将权限策略附加到您的账户中的用户或组— 账户管理员可以使用与特定用户关联的权限策略为该用户授予创建 Firewall Manager 资源的权限。
-
向角色附加权限策略(授予跨账户权限) – 您可以向 IAM 角色附加基于身份的权限策略,以授予跨账户的权限。例如,账户 A 中的管理员可以创建一个角色,以向其他账户授予跨账户权限Amazon Web Services 账户(例如,账户 B)或Amazon服务如下:
-
账户 A 管理员可以创建一个 IAM 角色,然后向该角色附加授予其访问账户 A 中资源的权限策略。
-
账户 A 管理员可以把信任策略附加至用来标识账户 B 的角色,账户 B 由此可以作为主体代入该角色。
-
之后,账户 B 管理员可以授予权限,将该角色指定给账户 B 中的所有用户。这样,账户 B 中的用户就可以创建或访问账户 A 中的资源了。如果您想授予 Amazon 服务权限来担任该角色,则信任策略中的委托人也可以是 Amazon 服务委托人。
有关使用 IAM 委托权限的更多信息,请参阅 IAM 用户指南中的访问权限管理。
-
以下是一个示例策略,该策略授予对两个特定区域中所有策略执行 fms:GetPolicy 操作的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": "fms:GetPolicy", "Resource": [ "arn:aws:fms:us-east-1:*:policy/*", "arn:aws:fms:us-west-2:*:policy/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
有关对 Firewall Manager 使用基于身份的策略的更多信息,请参阅为 Amazon Firewall Manager 使用基于身份的策略(IAM policy). 有关用户、组、角色和权限的更多信息,请参阅 IAM 用户指南中的身份(用户、组和角色)。
基于资源的策略
其他服务 [如Simple Storage Service(Amazon S3)] 还支持基于资源的权限策略。例如,您可以将基于资源的策略附加到 S3 存储桶以管理对该存储桶的访问权限。Amazon Firewall Manager 不支持基于资源的策略。
指定策略元素:操作、效果、资源和主体
该服务对每个 Amazon Firewall Manager 资源(请参阅 Amazon Firewall Manager 资源和操作)都定义了一组 API 操作(请参阅Firewall Manager 需要权限才能进行 API 操作)。为授予执行这些 API 操作的权限,Firewall Manager 定义了一组您可以在策略中指定的操作。请注意,执行某项 API 操作可能需要执行多个操作的权限。在授予特定操作的权限时,您也可以标识允许或拒绝对其执行操作的资源。
以下是最基本的策略元素:
-
Resource(资源)- 在策略中,您可以使用 Amazon Resource Name (ARN) 标识策略应用到的资源。有关更多信息,请参阅 Amazon Firewall Manager 资源和操作。
-
操作 – 您可以使用操作关键字标识要允许或拒绝的资源操作。例如,
fms:CreatePolicy权限与wafv2:ListRuleGroups权限相结合,允许执行 Amazon Firewall ManagerCreatePolicy操作的用户权限。 -
效果— 您可以指定当用户请求特定操作时的效果。可以是允许或拒绝。如果您没有显式授予对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问,这样可确保用户无法访问该资源,即使有其他策略授予了访问权限的情况下也是如此。
-
委托人— 在基于身份的策略(IAM policy)中,附加了策略的用户是隐式主体。Amazon Firewall Manager不支持基于资源的策略。
有关 IAM policy 语法和介绍的更多信息,请参阅 IAM 用户指南中的 Amazon IAM policy 参考。
有关显示所有 Amazon Firewall Manager API 操作及其适用的资源的表,请参阅 Firewall Manager 需要权限才能进行 API 操作。
在策略中指定条件
当您授予权限时,可使用 IAM policy 语言来指定规定策略何时生效的条件。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅 IAM 用户指南中的条件。
要表示条件,您可以使用预定义的条件键。没有特定于 Firewall Manager 的条件键。但是,其中有通用的Amazon您可以根据需要使用的条件键。有关的完整列表Amazon钥匙,请参阅条件的可用密钥在IAM 用户指南.