本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 支付密码学如何与 IAM 配合使用
<a name="security_iam_service-with-iam"></a>

在使用 IAM 管理对 AWS 支付加密的访问权限之前，您应该了解有哪些 IAM 功能可用于 AWS 支付加密。要全面了解 AWS 支付加密和其他 AWS 服务如何与 IAM 配合使用，请参阅 IAM *用户指南中的与 IAM 配合使用的AWS *[服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

**Topics**
+ [AWS 支付密码学基于身份的政策](#security_iam_service-with-iam-id-based-policies)
+ [基于 AWS 支付密码标签的授权](#security_iam_service-with-iam-tags)

## AWS 支付密码学基于身份的政策
<a name="security_iam_service-with-iam-id-based-policies"></a>

借助 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源，以及允许或拒绝操作的条件。 AWS 支付密码学支持特定的操作、资源和条件密钥。要了解在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

### 操作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。

 AWS 支付密码学中的策略操作在操作前使用以下前缀:`payment-cryptography:`. 例如，要授予某人运行 AWS Payment Cryptography `VerifyCardData` API 操作的权限，您应将 `payment-cryptography:VerifyCardData` 操作纳入其策略中。策略语句必须包含 `Action` 或 `NotAction` 元素。 AWS Payment Cryptography 定义了自己的一组操作，这些操作描述了您可以使用此服务执行的任务。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

```
"Action": [
      "payment-cryptography:action1",
      "payment-cryptography:action2"
```

您也可以使用通配符 （\$1) 指定多个操作。例如，要指定以单词 `List` 开头的所有操作（例如 `ListKeys` 和 `ListAliases`），包括以下操作：

```
"Action": "payment-cryptography:List*"
```



要查看 AWS 支付加密操作列表，请参阅 *IAM 用户*[指南中的 AWS 支付加密定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions)。

### 资源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践，请使用其 [Amazon 资源名称（ARN）](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作，请使用通配符 (\$1) 指示语句应用于所有资源。

```
"Resource": "*"
```



Payment Cryptography 密钥资源具有以下 ARN：

```
arn:${Partition}:payment-cryptography:${Region}:${Account}:key/${keyARN}
```

有关格式的更多信息 ARNs，请参阅 [Amazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。

例如，要在语句中指定 `arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h` 实例，请使用以下 ARN：

```
"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
```

要指定属于特定账户的所有密钥，请使用通配符 (\$1)：

```
"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/*"
```

某些 AWS 支付加密操作（例如用于创建密钥的操作）无法对特定资源执行。在这些情况下，您必须使用通配符（\$1)。

```
"Resource": "*"
```

要在单个语句中指定多个资源，请使用逗号，如下所示：

```
"Resource": [
      "resource1",
      "resource2"
```

### 示例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



要查看基于身份的 AWS 支付加密政策的示例，请参阅。[AWS 支付密码学基于身份的策略示例](security_iam_id-based-policy-examples.md)

## 基于 AWS 支付密码标签的授权
<a name="security_iam_service-with-iam-tags"></a>

您可以将标签附加到 AWS 支付密码学资源，也可以在请求中将标签传递给 AWS 支付加密。要基于标签控制访问，您需要使用 `payment-cryptography:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。