本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# re: Post Private 如何与 IAM 配
在使用 IAM 管理对 AWS re: Post Private 的访问权限之前,您必须了解哪些 IAM 功能可用于 re: Post Private。要全面了解 re: Post Private 和其他 AWS 服务如何与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM 配合使用的AWS *[服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## re: post 基于私有身份的策略
使用基于 IAM 身份的策略,您可以指定允许或拒绝的操作。re: Post Private 支持特定的操作。要了解您在 JSON 策略中使用的元素,请参阅 *IAM 用户指南* 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
re: Post Private 中的策略操作在操作前使用以下前缀:。`repostspace:`例如,要向某人授予运行 re: Post Private `CreateSpace` API 操作的权限,您需要将该`repostspace:CreateSpace`操作包含在他们的策略中。策略声明必须包含`Action`或`NotAction`元素。re: Post Private 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"repostspace:CreateSpace",
"repostspace:DeleteSpace"
```
您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,包括以下操作:
```
"Action": "repostspace:Describe*"
```
*要查看 re: Post 私有操作列表,请参阅 IAM 用户指南中的 re[: Post Private 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkdocs.html#amazonworkdocs-actions-as-permissions)。*
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
### 条件键
re: post Private 不提供任何特定于服务的条件密钥,但它支持使用全局条件密钥。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 示例
要查看基于 re: Post 私有身份的策略示例,请参阅。[AWS re: Post 基于私有身份的策略示例](security-iam-policy-examples.md)
## re: post 基于私有资源的政策
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM 角色信任策略和 Amazon S3 存储桶策略。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_principal.html)。委托人可以包括账户、用户、角色、联合用户或 AWS 服务。基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
re: post Private 不支持基于资源的策略。
## 基于标签的授权
re: post Private 支持标记资源或根据标签控制访问权限。有关更多信息,请参阅[使用标签控制 AWS 资源的访问权限](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_tags.html)。
## 重发:发布私有 IAM 角色
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。
### 在 re: Post Private 中使用临时证书
强烈建议使用临时凭证进行联合身份登录,担任 IAM 角色或担任跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
re: post Private 支持使用临时证书。
## 服务关联角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源,从而为您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
## 服务角色
此功能允许服务为您扮演[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以为您完成操作。有关更多信息,请参阅[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-service.html)。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
# 在 re: Post Private 中使用服务相关角色
AWS re: Post 私有用途 AWS Identity and Access Management (IAM) [服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。服务相关角色是一种独特的 IAM 角色,直接链接到 re: Post Private。服务相关角色由 re: Post Private 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可以更轻松地设置 re: Post Private,因为您不必手动添加必要的权限。re: Post Private 定义了其服务相关角色的权限,除非另有定义,否则只有 re: Post Private 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
有关支持服务相关角色的其他服务的信息,请参阅与 [IAM 配合使用的AWS 服务,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## re: Post Private 的服务相关角色权限
re: post Private 使用名为的服务相关角色**AWSServiceRoleForrePostPrivate**。re: Post Private 使用此服务相关角色向其发布数据。 CloudWatch
AWSServiceRoleForrePostPrivate 服务相关角色信任以下服务来代入该角色:
+ `repostspace.amazonaws.com`
名为的角色权限策略`AWSrePostPrivateCloudWatchAccess`允许 re: Post Private 对指定资源完成以下操作:
+ 对`cloudwatch`以下内容采取行动:`PutMetricData`
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
有关更多信息,请参阅 [AWSrePostPrivateCloudWatchAccess](security-with-iam-managed-policy.md#cloudwatch-metric-manpol)。
## 为 re: Post Private 创建服务相关角色
您无需手动创建服务关联角色。当你在、或 AWS API 中创建第一个私有 re: Post 时 AWS 管理控制台 AWS CLI,re: Post Private 会为你创建服务相关角色。
**重要**
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。另外,如果你在 2023 年 12 月 1 日开始支持服务相关角色之前使用 re: Post Private 服务,那么 re: Post Private 会在你的账户中创建该`AWSServiceRoleForrePostPrivate`角色。要了解更多信息,请参阅 “[我的” 中出现了一个新角色 AWS 账户](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当你创建第一个私有 re: Post 时,re: Post Private 会再次为你创建服务相关角色。
在 AWS CLI 或 AWS API 中,使用服务名称创建服务相关角色。`repostspace.amazonaws.com`有关更多信息,请参阅 *IAM 用户指南* 中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
## 编辑 re: Post Private 的服务相关角色
re: Post Private 不允许你编辑`AWSServiceRoleForrePostPrivate`服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 re: Post Private 的服务相关角色
无需手动删除 `AWSServiceRoleForrePostPrivate` 角色。当你在 AWS 管理控制台、或 AWS API 中删除你的私有 re: post 时 AWS CLI,re: Post Private 会为你删除服务相关角色。
您也可以使用 IAM 控制台 AWS CLI、或 AWS API 手动删除服务相关角色。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForrePostPrivate 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## re: Post 私有服务相关角色支持的区域
re: Post Private 支持在提供服务的 AWS 地区使用服务相关角色。
****
| 区域名称 | 区域标识 | re: Post Private 中的支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 否 |
| 美国西部(北加利福尼亚) | us-west-1 | 否 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 非洲(开普敦) | af-south-1 | 否 |
| 亚太地区(香港) | ap-east-1 | 否 |
| 亚太地区(雅加达) | ap-southeast-3 | 否 |
| 亚太地区(孟买) | ap-south-1 | 否 |
| 亚太地区(大阪) | ap-northeast-3 | 否 |
| 亚太地区(首尔) | ap-northeast-2 | 否 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 否 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 否 |
| 欧洲地区(米兰) | eu-south-1 | 否 |
| 欧洲地区(巴黎) | eu-west-3 | 否 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 否 |
| 中东(巴林) | me-south-1 | 否 |
| 中东(阿联酋): | me-central-1 | 否 |
| 南美洲(圣保罗) | sa-east-1 | 否 |
# AWS re: Post 基于私有身份的策略示例
**注意**
为了提高安全性,请尽可能创建联合用户而不是 IAM 用户。
默认情况下, AWS Identity and Access Management 用户和角色无权创建或修改 AWS re: Post 私有资源。他们也无法使用 AWS 管理控制台 AWS CLI、或 AWS API 执行任务。IAM 管理员必须创建 IAM 策略,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》中的[创建 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [允许用户查看他们自己的权限](#security-with-iam-policy-examples-view-own-permissions)
## 策略最佳实践
基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除 re: Post Private 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定 AWS 服务的(例如)使用的,则也可以使用条件来授予对服务操作的访问权限 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 内联策略
内联策略是您创建和管理的策略。您可以将内联策略直接嵌入到用户、群组或角色中。以下策略示例说明如何分配权限以执行 AWS re: Post Private 操作。有关内联策略的一般信息,请参阅 A *WS IAM 用户指南中的管理 IAM* [策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。您可以使用 AWS 管理控制台、 AWS Command Line Interface (AWS CLI) 或 AWS Identity and Access Management API 来创建和嵌入内联策略。
**Topics**
+ [re: Post Private 的只读权限](#read-only-access)
+ [完全访问 re: Post Private](#full-access)
## re: Post Private 的只读权限
以下策略向用户授予 IAM Identity Center 和 re: Post 私有控制台的读取权限。此策略允许用户执行只读的 re: Post Private 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"sso:GetSSOStatus",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso-directory:DescribeDirectory",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"repostspace:GetSpace",
"repostspace:ListSpaces",
"repostspace:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## 完全访问 re: Post Private
以下策略向用户授予 IAM 身份中心和 re: Post 私有控制台的完全访问权限。此政策允许用户执行所有 re: Post Private 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"sso:GetSSOStatus",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso-directory:DescribeDirectory",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"kms:ListAliases",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"repostspace:*"
],
"Resource": "*"
}
]
}
```
------
# AWS AWS re: Post Private 的托管策略
与自己编写策略相比,使用 AWS 托管策略可以更轻松地向用户、群组和角色添加权限。创建仅为团队提供所需权限的 [IAM 客户托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。使用 AWS 托管策略快速入门。这些政策涵盖常见用例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔可能会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,`ReadOnlyAccess` AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 托管策略: AWSRepostSpaceSupportOperationsPolicy](#support-case-manpol)
+ [AWS 托管策略: AWSrePostPrivateCloudWatchAccess](#cloudwatch-metric-manpol)
+ [AWS re: 发布托管策略的私有 AWS 更新](#security-iam-awsmanpol-updates)
## AWS 托管策略: AWSRepostSpaceSupportOperationsPolicy
此策略允许 AWS re: Post 私有服务创建、管理和解决通过 re: Post 私有网络应用程序创建的 支持 案例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RepostSpaceSupportOperations",
"Effect": "Allow",
"Action": [
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:DescribeCases",
"support:DescribeCommunications",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSrePostPrivateCloudWatchAccess
此政策允许 re: Post Private 服务向发布数据。 CloudWatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchPublishMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/rePostPrivate",
"AWS/Usage"
]
}
}
}
]
}
```
------
## AWS re: 发布托管策略的私有 AWS 更新
查看 re: Post Private AWS 托管策略自该服务开始跟踪这些更改以来这些更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [文档历史记录](doc-history.md) 页面上的 RSS 源。
下表描述了 re: Post Private 托管策略自 2023 年 11 月 26 日以来的重要更新。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 新政策-[AWSrePostPrivateCloudWatchAccess](https://docs.aws.amazon.com//repostprivate/latest/caguide/security-with-iam-managed-policy.html#cloudwatch-metric-manpol) | 用于将数据发布到的新托管策略 CloudWatch | 2023 年 11 月 26 日 |
| 新政策-[AWSRepostSpaceSupportOperationsPolicy](https://docs.aws.amazon.com//repostprivate/latest/caguide/security-with-iam-managed-policy.html#support-case-manpol) | AWS re: Post Private 中 AWS Support 功能的新托管策略 | 2023 年 11 月 26 日 |
| re: Post Private 开始跟踪更改 | re: Post Private 开始跟踪其 AWS 托管策略的更改 | 2023 年 11 月 26 日 |
# AWS re: Post 私有身份和访问权限疑难解答
使用以下信息来帮助您诊断和修复在使用 re: Post Private 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在 re: Post Private 中执行任何操作](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我想允许我以外的人访问我的 r AWS 账户 e: Post 私有资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在 re: Post Private 中执行任何操作
如果您收到错误提示,指明您无权执行某个操作,则必须更新策略以允许执行该操作。
当 `mateojackson` IAM 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `repostPrivate:GetWidget` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: repostPrivate:GetWidget on resource: my-example-widget
```
在此情况下,必须更新 `mateojackson` 用户的策略,以允许使用 `repostPrivate:GetWidget` 操作访问 `my-example-widget` 资源。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我无权执行 iam:PassRole
如果您收到错误消息,提示您无权执行`iam:PassRole`操作,则必须更新您的策略以允许您将角色传递给 re: Post Private。
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为的 IAM 用户`marymajor`尝试使用控制台在 re: Post Private 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想允许我以外的人访问我的 r AWS 账户 e: Post 私有资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解 re: Post Private 是否支持这些功能,请参阅。[re: Post Private 如何与 IAM 配](security_iam_service-with-iam.md)
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。