# 适用于网络综合监测仪的 Identity and Access Management
<a name="networkmonitoring-iam"></a>

AWS Identity and Access Management（IAM）是一项 AWS 服务，可帮助管理员安全地控制对 AWS 资源的访问。IAM 管理员控制可以通过身份验证（登录）和授权（具有权限）使用网络综合监测仪资源的人员。IAM 是一项可以免费使用的 AWS 服务。利用 IAM 的功能，可在不共享您的安全凭证的情况下允许其他用户、服务和应用程序完全使用或受限使用您的 AWS 资源。

默认情况下，IAM 用户没有创建、查看或修改 AWS 资源的权限。要允许 IAM 用户访问资源（例如全球网络）并执行任务，您必须：
+ 创建授予用户使用所需特定资源和 API 操作的权限的 IAM 策略
+ 将策略附加到 IAM 用户或用户所属的组

在将策略附加到一个用户或一组用户时，它会授权或拒绝用户对指定资源执行指定任务。

## 条件键
<a name="nw-monitor-condition-keys"></a>

在 `Condition` 元素（或条件块）中，您可以指定语句生效的条件。条件元素为可选元素。您可以构建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)（例如，等于或小于）的条件表达式，以使策略中的条件与请求中的值相匹配。有关更多信息，请参阅《AWS Identity and Access Management 用户指南》**中的 [IAM JSON 策略元素：条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)。

如果您在一个语句中指定多个 `Condition` 元素，或在单个 `Condition` 元素中指定多个键，则 AWS 使用逻辑 `AND` 运算评估它们。如果您为单个条件键指定多个值，则 AWS 使用逻辑 `OR` 运算来评估条件。在授予语句的权限之前必须满足所有的条件。

在指定条件时，您也可以使用占位符变量。例如，只有在使用 IAM 用户名标记 IAM 用户时，您才能为其授予访问资源的权限。

可以将标签附加到网络综合监测仪资源或将请求中的标签传递到 Cloud WAN。要基于标签控制访问，您需要使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的条件元素中提供标签信息。有关更多信息，请参阅《AWS Identity and Access Management 用户指南》**中的 [IAM JSON 策略元素：条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。

要查看所有 AWS 全局条件键，请参阅《AWS Identity and Access Management 用户指南》**中的 [AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

## 标记核心网络资源
<a name="nw-security-tag-resources"></a>

标签是您或 AWS 分配给 AWS 资源的元数据标签。每个标签均包含一个键和一个值。对于您分配的标签，需要定义键和值。例如，您可以将键定义为 `purpose`，将一个资源的值定义为 `test`。标签可帮助您：
+ 标识和整理您的 AWS 资源。许多 AWS 服务支持标记，因此，您可以将同一标签分配给来不同服务的资源，以指示这些资源是相关的。
+ 控制对 AWS 资源的访问。有关更多信息，请参阅《AWS Identity and Access Management 用户指南》**中的 [使用标签控制对 AWS 资源的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。

## 删除服务相关角色
<a name="delete-service-linked-role"></a>

如果您不再需要使用网络综合监测仪，我们建议您删除 `AWSServiceRoleForNetworkMonitor` 角色。

您只有在删除监测仪后，才能删除服务相关角色。有关更多信息，请参阅[删除监测仪](https://docs.aws.amazon.com/ )。

您可以使用 IAM 控制台、IAM CLI 或 IAM API 删除服务相关角色。有关更多信息，请参阅 *IAM 用户指南* 中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

删除 `AWSServiceRoleForNetworkMonitor ` 后，网络综合监测仪将在创建新的监测仪时再次创建角色。