本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何 AWS Transfer Family 与 IAM 配合使用
在使用 AWS Identity and Access Management (IAM) 管理访问权限之前 AWS Transfer Family,您应该了解哪些可用的 IAM 功能 AWS Transfer Family。要全面了解如何 AWS Transfer Family 和其他 AWS 服务与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [AWS Transfer Family 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [AWS Transfer Family 基于资源的政策](#security_iam_service-with-iam-resource-based-policies)
+ [基于 AWS Transfer Family 标签的授权](#security_iam_service-with-iam-tags)
+ [AWS Transfer Family IAM 角色](#security_iam_service-with-iam-roles)
## AWS Transfer Family 基于身份的策略
使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及指定在什么条件下允许或拒绝操作。 AWS Transfer Family 支持特定操作、资源和条件键。要了解您在 JSON 策略中使用的所有元素,请参阅 *AWS Identity and Access Management 用户指南*中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
正在执行的策略操作在操作前 AWS Transfer Family 使用以下前缀:`transfer:`. 例如,要授予某人使用 Transfer Family `CreateServer` API 操作创建 VPC 的权限,您应将 `transfer:CreateServer` 操作纳入其策略中。策略语句必须包括 `Action` 或 `NotAction` 元素。 AWS Transfer Family 定义了自己的一组操作,这些操作描述了可使用该服务执行的任务。
要在单个语句中指定多项 操作,请使用逗号将它们隔开,如下所示。
```
"Action": [
"transfer:action1",
"transfer:action2"
```
您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,请包括以下操作。
```
"Action": "transfer:Describe*"
```
要查看 AWS Transfer Family 操作列表,请参阅《*服务授权参考*》 AWS Transfer Family中[定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
Transfer Family 服务器资源具有以下 ARN。
```
arn:aws:transfer:${Region}:${Account}:server/${ServerId}
```
例如,要在语句中指定 `s-01234567890abcdef` Transfer Family 服务器,请使用以下 ARN。
```
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/s-01234567890abcdef"
```
有关格式的更多信息 ARNs,请参阅《*服务授权参考*》中的 A [mazon 资源名称 (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) 或 [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) *用户指南 ARNs中的 IAM*。
要指定属于特定账户的所有实例,请使用通配符 (\$1)。
```
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/*"
```
有些 AWS Transfer Family 操作是在多个资源上执行的,例如 IAM 策略中使用的资源。在这些情况下,您必须使用通配符(\$1)。
```
"Resource": "arn:aws:transfer:*:123456789012:server/*"
```
在某些情况下,您需要指定多种类型的资源,例如,如果您创建了允许访问 Transfer Family 服务器与用户的策略。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"resource1",
"resource2"
]
```
要查看 AWS Transfer Family 资源列表,请参阅《*服务授权参考*[》 AWS Transfer Family中定义的资源类型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-resources-for-iam-policies)。
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
AWS Transfer Family 定义自己的条件键集,还支持使用一些全局条件键。要查看 AWS Transfer Family 条件键列表,请参阅《*服务授权参考*》 AWS Transfer Family中的[条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-policy-keys)。
### 示例
要查看 AWS Transfer Family 基于身份的策略的示例,请参阅。[AWS Transfer Family 基于身份的策略示例](security_iam_id-based-policy-examples.md)有关特定于 VPC 终端节点的 IAM 策略,请参阅。[限制 Transfer Family 服务器的 VPC 终端节点访问权限](create-server-in-vpc.md#limit-vpc-endpoint-access)
## AWS Transfer Family 基于资源的政策
基于资源的策略是 JSON 策略文档,用于指定委托人可以在哪些条件下对 AWS Transfer Family 资源执行哪些操作。Amazon S3 支持亚马逊 S3 *buckets* 的基于资源的权限策略。基于资源的策略允许您基于资源向其他账户授予使用权限。您也可以使用基于资源的策略来允许 AWS 服务访问您的 Amazon S3 *buckets*。
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为[基于资源的策略中的委托人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。将跨账户主体添加到基于资源的策略只是建立信任关系工作的一半而已。当委托人和资源位于不同的 AWS 账户中时,您还必须向委托人实体授予访问资源的权限。通过将基于身份的策略附加到实体以授予权限。但是,如果基于资源的策略向同一个账户中的主体授予访问权限,则不需要额外的基于身份的策略。有关更多信息,请参阅 *AWS Identity and Access Management 用户指南*中的 [IAM 角色与基于资源的策略有何不同](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)。
Amazon S3 服务仅支持一种基于资源的策略,即**bucket*策略*,该策略附加到。*bucket*这个策略定义哪些委托人实体(账户、用户、角色和联合身份用户)可以在对象上执行操作。
### 示例
要查看 AWS Transfer Family 基于资源的策略的示例,请参阅[AWS Transfer Family 基于标签的策略示例](security_iam_tag-based-policy-examples.md)。
## 基于 AWS Transfer Family 标签的授权
您可以为 AWS Transfer Family 资源附加标签或在请求中传递标签 AWS Transfer Family。要基于标签控制访问,您需要使用 `transfer:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关如何使用标签控制对 AWS Transfer Family 资源的访问的信息,请参阅[AWS Transfer Family 基于标签的策略示例](security_iam_tag-based-policy-examples.md)。
## AWS Transfer Family IAM 角色
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。
### 将临时凭证与 AWS Transfer Family
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
AWS Transfer Family 支持使用临时证书。