本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何 AWS Billing Conductor 与 IAM 配合使用
在使用 IAM 管理对 Billing Conductor 的访问之前,您应了解哪些 IAM 功能可与 Billing Conductor 结合使用。要全面了解 Billing Conductor 和其他 AWS 服务如何与 IAM 配合使用,请参阅 [IAM *用户指南中的与 IAM* 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [Billing Conductor 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [Billing Conductor 基于资源的策略](#security_iam_service-with-iam-resource-based-policies)
+ [访问控制列表(ACL)](#security_iam_service-with-iam-acls)
+ [基于 Billing Conductor 标签的授权](#security_iam_service-with-iam-tags)
+ [Billing Conductor IAM 角色](#security_iam_service-with-iam-roles)
## Billing Conductor 基于身份的策略
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Billing Conductor 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅*《IAM 用户指南》* 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Billing Conductor 的策略操作在操作前使用以下前缀:`Billing Conductor:`。例如,要授予某人使用 Amazon EC2 `RunInstances` API 操作运行 Amazon EC2 实例的权限,您应将 `ec2:RunInstances` 操作纳入其策略。策略语句必须包含 `Action` 或 `NotAction` 元素。Billing Conductor 定义了一组自己的操作,来描述您可以使用该服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"ec2:action1",
"ec2:action2"
```
您也可以使用通配符 (\*) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,包括以下操作:
```
"Action": "ec2:Describe*"
```
要查看账单导体操作列表,请参阅 *IAM 用户指南*中的[AWS 账单导体定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\*) 指示语句应用于所有资源。
```
"Resource": "*"
```
Amazon EC2 实例资源具有以下 ARN:
```
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
```
有关 ARN 格式的更多信息,请参阅 A [mazon 资源名称 (ARN) 和 AWS 服务](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)命名空间。
例如,要在语句中指定 `i-1234567890abcdef0` 实例,请使用以下 ARN:
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
```
要指定属于特定账户的所有实例,请使用通配符 (\*):
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*"
```
无法对特定资源执行某些 Billing Conductor 操作,例如,用于创建资源的操作。在这些情况下,您必须使用通配符(\*)。
```
"Resource": "*"
```
许多 Amazon EC2 API 操作涉及多种资源。例如,`AttachVolume` 将一个 Amazon EBS 卷附加到一个实例,从而使 IAM 用户必须获得相应权限才能使用该卷和该实例。要在单个语句中指定多个资源,请使用逗号分隔 ARN。
```
"Resource": [
"resource1",
"resource2"
```
要查看 Billing Conductor 资源类型及其 ARN 的列表,请参阅 *IAM 用户指南*中的[AWS 计费导体定义的资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-resources-for-iam-policies)。要了解您可以使用哪些操作来指定每种资源的 ARN,请参阅 B [AWS illing Conductor 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions)。
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
Billing Conductor 定义了一组自己的条件键,还支持使用一些全局条件键。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
所有 Amazon EC2 操作都支持 `aws:RequestedRegion` 和 `ec2:Region` 条件键。有关更多信息,请参阅[示例:限制对特定区域的访问](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region)。
要查看账单导体条件键列表,请参阅 *IAM 用户指南*中的[AWS 账单导体条件密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-policy-keys)。要了解您可以使用哪些操作和资源使用条件密钥,请参阅 Billing Conducto [r AWS 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions)。
### 示例
要查看 Billing Conductor 基于身份的策略示例,请参阅 [AWS Billing Conductor 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## Billing Conductor 基于资源的策略
Resource-based 策略是 JSON 策略文档,用于指定委托人可以对 Billing Conductor 资源执行哪些操作以及在什么条件下可以执行哪些操作。Amazon S3 支持亚马逊 S3 {{buckets}} 的基于资源的权限策略。 Resource-based 策略允许您按资源向其他账户授予使用权限。您也可以使用基于资源的策略来允许 AWS 服务访问您的 Amazon S3 {{buckets}}。
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为[基于资源的策略中的委托人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。将跨账户主体添加到基于资源的策略只是建立信任关系工作的一半而已。当委托人和资源位于不同的 AWS 账户中时,您还必须向委托人实体授予访问资源的权限。通过将基于身份的策略附加到实体以授予权限。但是,如果基于资源的策略向同一个账户中的主体授予访问权限,则不需要额外的基于身份的策略。有关更多信息,[请参阅 IAM *用户指南中的 IAM* 角色与 Resource-based 策略的区别](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)。
Amazon S3 服务仅支持一种基于资源的策略,即*{{bucket}}策略*,该策略附加到。{{bucket}}此策略定义了哪些委托人实体(账户、用户、角色和联合用户)可以对执行操作{{Billing Conductor}}。
### 示例
要查看 Billing Conductor 基于资源的策略示例,请参阅 [AWS Billing Conductor 基于资源的策略示例](security_iam_resource-based-policy-examples.md)。
## 访问控制列表(ACL)
访问控制列表 (ACL) 是您可以附加到资源的被授权者列表。他们向账户授予访问所附加到的资源的权限。您可以将 ACL 附加到 Amazon S3 {{bucket}} 资源。
通过 Amazon S3 访问控制列表 (ACL),您可以管理对{{bucket}}资源的访问权限。每个都附{{bucket}}有一个 ACL 作为子资源。它定义了向哪些 AWS 账户、IAM 用户或用户组或 IAM 角色授予访问权限以及访问权限的类型。收到资源请求时, AWS 会检查相应的 ACL 以验证请求者是否具有必要的访问权限。
当您创建{{bucket}}资源时,Amazon S3 会创建一个默认 ACL,授予资源所有者对资源的完全控制权。在以下示例 {{bucket}} ACL 中,John Doe 被列为的所有者,{{bucket}}并被授予对其的完全控制权{{bucket}}。ACL 可以拥有最多 100 个被授权者。
```
{{c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6}}
{{john-doe}}
{{c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6}}
{{john-doe}}
FULL_CONTROL
```
ACL 中的 ID 字段是 AWS 账户规范用户 ID。要了解如何在您拥有的账户中查看此 ID,请参阅[查找 AWS 账户规范用户](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId) ID。
## 基于 Billing Conductor 标签的授权
您可以将标签附加到 Billing Conductor 资源或将请求中的标签传递到 Billing Conductor。要基于标签控制访问,您需要使用 `Billing Conductor:ResourceTag/{{key-name}}``aws:RequestTag/{{key-name}}` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
## Billing Conductor IAM 角色
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。
### 对 Billing Conductor 使用临时凭证
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
Billing Conductor 支持使用临时凭证。
### Service-linked 角色
[Service-linked 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。 Service-linked 角色出现在您的 IAM 账户中并归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
Billing Conductor 支持服务角色。
### 在 Billing Condoctor 中选择 IAM 角色
在 Billing Conductor 中创建资源时,您必须选择一个角色以允许 Billing Conductor 代表您访问 Amazon EC2。如果您之前已经创建了一个服务角色或服务相关角色,Billing Conductor 会为您提供一个角色列表供您选择。选择一个允许访问以启动和停止 Amazon EC2 实例的角色很重要。