本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 亚马逊 Lightsail 如何与 IAM 合作
在使用 IAM 管理对 Lightsail 的访问权限之前,你应该了解有哪些 IAM 功能可用于 Lightsail。要全面了解 Lightsail 和其他 AWS 服务如何与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM 配合使用的AWS *[服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## Lightsail 基于身份的策略
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Lightsail 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Lightsail 中的策略操作在操作前使用以下前缀:. `lightsail:` 例如,要授予某人通过 Lightsail `CreateInstances` API 操作运行 Lightsail 实例的权限,您需要将该`lightsail:CreateInstances`操作包含在他们的策略中。策略语句必须包含 `Action` 或 `NotAction` 元素。Lightsail 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"lightsail:action1",
"lightsail:action2"
```
您也可以使用通配符 (\*) 指定多个操作。例如,要指定以单词 `Create` 开头的所有操作,包括以下操作:
```
"Action": "lightsail:Create*"
```
要查看 Lightsail 操作列表,请参阅 IAM 用户指南中的[亚马逊 Lightsail 定义*的*操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\*) 指示语句应用于所有资源。
```
"Resource": "*"
```
**重要**
Lightsail 不支持某些 API 操作的资源级权限。有关更多信息,请参阅[对基于标签的资源级权限和授权的支持](resource-level-permissions-and-auth-based-on-tags-support.md)。
Lightsail 实例资源具有以下 ARN:
```
arn:${Partition}:lightsail:${Region}:${Account}:Instance/${InstanceId}
```
有关格式的更多信息 ARNs,请参阅 [Amazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
例如,要在语句中指定 `ea123456-e6b9-4f1d-b518-3ad1234567e6` 实例,请使用以下 ARN:
```
"Resource": "arn:aws:lightsail:us-east-1:123456789012:Instance/ea123456-e6b9-4f1d-b518-3ad1234567e6"
```
要指定属于特定账户的所有实例,请使用通配符 (\*):
```
"Resource": "arn:aws:lightsail:us-east-1:123456789012:Instance/*"
```
某些 Lightsail 操作(例如用于创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符(\*)。
```
"Resource": "*"
```
许多 Lightsail API 操作都涉及多个资源。例如,将 Lightsail 块存储磁盘`AttachDisk`附加到实例,因此 IAM 用户必须有权使用该磁盘和实例。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"resource1",
"resource2"
```
要查看 Lightsail 资源类型及其类型列表 ARNs,请参阅 IAM 用户指南中的 [Amazon Lightsail 定义*的*资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-resources-for-iam-policies)。要了解您可以使用哪些操作来指定每种资源的 ARN,请参阅 Amazon Light [sail 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions)。
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
Lightsail 不提供任何特定于服务的条件密钥,但它确实支持使用一些全局条件密钥。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
*要查看 Lightsail 条件键列表,请参阅 IAM 用户指南中的[亚马逊 Lightsail 条件密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-policy-keys)。*要了解您可以使用条件键的操作和资源,请参阅 [Amazon Lightsail 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions)。
### 示例
[要查看 Lightsail 基于身份的策略示例,请参阅亚马逊 Lightsail 基于身份的策略示例。](security_iam_id-based-policy-examples.md)
## Lightsail 基于资源的政策
Lightsail 不支持基于资源的策略。
## 访问控制列表 (ACLs)
Lightsail 不支持访问控制列表 () ACLs。
## 基于 Lightsail 标签的授权
你可以向 Lightsail 资源附加标签,也可以在请求中将标签传递给 Lightsail。要基于标签控制访问,您需要使用 `lightsail:ResourceTag/{{key-name}}``aws:RequestTag/{{key-name}}` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
**重要**
Lightsail 不支持对某些 API 操作进行基于标签的授权。有关更多信息,请参阅[对基于标签的资源级权限和授权的支持](resource-level-permissions-and-auth-based-on-tags-support.md)。
[有关为 Lightsail 资源添加标签的更多信息,请参阅标签。](amazon-lightsail-tags.md)
要查看基于身份的策略示例,该策略用于根据资源上的标签限制对该资源的访问,请参阅[允许根据标签创建和删除 Lightsail 资源](https://lightsail.aws.amazon.com/ls/docs/en_us/articles/security_iam_id-based-policy-examples#security_iam_id-based-policy-examples-view-widget-tags)。
## Lightsail IAM 角色
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是 AWS 账户中具有特定权限的实体。
### 在 Lightsail 上使用临时证书
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以调用 AWS STS API 操作(如[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) )以获取临时安全凭证。
Lightsail 支持使用临时证书。
### 服务相关角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
Lightsail 支持与服务相关的角色。[有关创建或管理 Lightsail 服务相关角色的详细信息,请参阅服务相关角色。](amazon-lightsail-using-service-linked-roles.md)
### 服务角色
Lightsail 不支持服务角色。
**Topics**
+ [Lightsail 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [Lightsail 基于资源的政策](#security_iam_service-with-iam-resource-based-policies)
+ [访问控制列表 (ACLs)](#security_iam_service-with-iam-acls)
+ [基于 Lightsail 标签的授权](#security_iam_service-with-iam-tags)
+ [Lightsail IAM 角色](#security_iam_service-with-iam-roles)
+ [基于身份的策略示例](security_iam_id-based-policy-examples.md)
+ [资源级权限策略示例](security_iam_resource-based-policy-examples.md)
+ [使用服务相关角色](amazon-lightsail-using-service-linked-roles.md)
+ [使用 IAM 管理存储桶](amazon-lightsail-bucket-management-policies.md)