本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理对 AWS Control Tower 资源的访问权限概述
<a name="access-control-overview"></a>

每个 AWS 资源都归人所有 AWS 账户，创建资源或获取资源访问权限的权限受权限策略的约束。账户管理员可以向 IAM 身份（即：用户、组和角色）附加权限策略。某些服务（例如 AWS Lambda）还支持为资源附加权限策略。

**注意**  
*账户管理员*（或管理员）是具有管理员权限的用户。有关更多信息，请参阅《IAM 用户指南》**中的 [IAM 最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。

如果您负责向用户或角色授予权限，则必须了解并跟踪需要权限的*用户和角色*、每个用户和角色需要权限的*资源*，以及操作这些资源必须允许的*特定操作*。

**Topics**
+ [AWS Control Tower 资源和操作](#access-control-resources)
+ [关于资源所有权](#access-control-owner)
+ [管理对资源的访问权限](access-control-manage-access-intro.md)
+ [指定策略元素：Action、Effect 和 Principal](#access-control-specify-controltower-actions)
+ [在策略中指定条件](#specifying-conditions)

## AWS Control Tower 资源和操作
<a name="access-control-resources"></a>

在 AWS Control Tower 中，主要资源是*登录区*。AWS Control Tower 还支持另一种资源类型，即*控件*，有时也称为*护栏*。但是，对于 AWS Control Tower，您只能管理现有登录区中的控件。控件可以称为*子资源*。

中的资源和子资源 AWS 具有与之关联的唯一 Amazon 资源名称 (ARNs)，如以下示例所示。


****  

| 资源类型 | ARN 格式 | 
| --- | --- | 
| 文件系统 | arn:aws:elasticfilesystem:{{region}}:{{account-id}}:file-system/{{file-system-id}} | 

AWS Control Tower 提供了一组 API 操作，用于处理 AWS Control Tower 资源。有关可用操作的列表，请参阅 [AWS Control Tower API 参考](https://docs.aws.amazon.com/controltower/latest/APIReference/API_Operations.html) 中的 AWS Control Tower。

有关 AWS Control Tower 中 CloudFormation 资源的更多信息[，请参阅 AWS CloudFormation 用户指南](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/AWS_ControlTower.html)。

## 关于资源所有权
<a name="access-control-owner"></a>

该 AWS 账户拥有在账户中创建的资源，无论谁创建了这些资源。具体而言，资源所有者是对资源创建请求进行身份验证的[委托人实体](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)（即 AWS 账户 根用户、IAM 身份中心用户、IAM 用户或 IAM 角色）的 AWS 账户。以下示例说明了它的工作原理：
+ 如果您使用 AWS 账户的账户根用户凭证来设置着陆区，则您的 AWS 账户就是该资源的所有者。 AWS 
+ 如果您在自己的 AWS 账户中创建 IAM 用户并向该用户授予设置着陆区的权限，则只要其账户满足先决条件，该用户就可以设置着陆区。但是，该用户所属的您的 AWS 账户拥有着陆区资源。
+ 如果您在 AWS 账户中创建具有设置着陆区的权限的 IAM 角色，则任何能够担任该角色的人都可以设置着陆区。您的 AWS 账户（即该角色所属的账户）将拥有该登录区资源。

## 指定策略元素：Action、Effect 和 Principal
<a name="access-control-specify-controltower-actions"></a>

您可以通过 AWS Control Tower 控制台或着陆区设置和管理您的[着陆区 APIs](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)。要设置登录区，您必须是 IAM 用户，并且具有 IAM 策略中定义的管理权限。

以下是可在策略中识别的最基本元素：
+ **资源** - 在策略中，您可以使用 Amazon 资源名称（ARN）标识策略应用到的资源。有关更多信息，请参阅 [AWS Control Tower 资源和操作](#access-control-resources)。
+ **操作** – 您可以使用操作关键字标识要允许或拒绝的资源操作。有关可供执行的操作类型的信息，请参阅 [Actions defined by AWS Control Tower](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontroltower.html#awscontroltower-actions-as-permissions)。
+ **效果**：您可以指定当用户请求特定操作（可以是允许或拒绝）时的效果。如果没有显式授予（允许）对资源的访问权限，则隐式拒绝访问。您也可显式拒绝对资源的访问，这样可确保用户无法访问该资源，即使有其他策略授予了访问权限的情况下也是如此。
+ **主体** – 在基于身份的策略（IAM 策略）中，策略所附加的用户是隐式主体。对于基于资源的策略，您可以指定要接收权限的用户、账户、服务或其他实体（仅适用于基于资源的策略）。AWS Control Tower 不支持基于资源的策略。

有关 IAM 策略语法和描述的更多信息，请参阅《IAM 用户指南》**中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

## 在策略中指定条件
<a name="specifying-conditions"></a>

当您授予权限时，可使用 IAM 策略语言来指定规定策略何时生效的条件。例如，您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息，请参阅《IAM 用户指南》**中的[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。

要表达条件，您可以使用预定义的条件键。没有特定于 AWS Control Tower 的条件键。但是，您可以根据需要使用 AWS范围内的条件键。有关 AWS范围密钥的完整列表，请参阅 *IAM 用户指南*中的[条件可用密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。