本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 擴展計畫與 IAM 搭配運作的方式
<a name="security_iam_service-with-iam"></a>

在使用 IAM 管理誰可以建立、存取和管理 AWS Auto Scaling 擴展計劃之前，您應該了解哪些 IAM 功能可用於擴展計劃。

**Topics**
+ [身分型政策](#security_iam_service-with-iam-id-based-policies)
+ [資源型政策](#security_iam_service-with-iam-resource-based-policies)
+ [存取控制清單 (ACL)](#security_iam_service-with-iam-acls)
+ [以標籤為基礎的授權](#security_iam_service-with-iam-tags)
+ [IAM 角色](#security_iam_service-with-iam-roles)

## 身分型政策
<a name="security_iam_service-with-iam-id-based-policies"></a>

使用 IAM 身分型政策，您可以指定允許或拒絕的動作和資源，以及在何種條件下允許或拒絕動作。擴展計畫支援特定動作、資源和條件索引鍵。若要了解您在 JSON 政策中使用的所有元素，請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

### 動作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。

IAM 政策陳述式中的擴展計畫動作會在動作之前使用以下字首：`autoscaling-plans:`。政策陳述式必須包含 `Action` 或 `NotAction` 元素。擴展計畫有自己的一組動作，描述您可以使用此服務執行的任務。

若要在單一陳述式中指定多個動作，請以逗號分隔它們，如下列範例所示。

```
"Action": [
      "autoscaling-plans:DescribeScalingPlans",
      "autoscaling-plans:DescribeScalingPlanResources"
```

您也可以使用萬用字元 (\$1) 來指定多個動作。例如，如需指定開頭是 `Describe` 文字的所有動作，請包含以下動作：

```
"Action": "autoscaling-plans:Describe*"
```

若要查看可在政策陳述式中使用的擴展計畫動作的完整清單，請參閱*服務授權參考*中的 [AWS Auto Scaling的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsautoscaling.html)。

### Resources
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

`Resource` 元素可指定動作套用的物件。

擴展計畫並無任何服務定義的資源可供作為 IAM 政策陳述式的 `Resource` 元素。因此，本服務沒有適合您在 IAM 政策中使用的 Amazon 資源名稱 (ARN)。若要控制對擴展計畫動作的存取，撰寫 IAM 政策時請一律使用 \$1 (星號) 作為資源。

### 條件索引鍵
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

`Condition` 元素 (或 `Condition` *區塊*) 可讓您指定使陳述式生效的條件。例如，建議只在特定日期之後套用政策。若要表示條件，請使用預先定義的條件金鑰。

擴展計畫不提供任何服務專用條件索引鍵，但支援使用一些全域條件索引鍵。若要查看所有 AWS 全域條件索引鍵，請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

`Condition` 元素是選用項目。

### 範例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

若要檢視擴展計畫的身分型政策範例，請參閱[擴展計畫的身分型政策範例](security_iam_id-based-policy-examples.md)。

## 資源型政策
<a name="security_iam_service-with-iam-resource-based-policies"></a>

其他 Amazon Web Services 服務 (例如 Amazon Simple Storage Service) 也支援資源型許可政策。例如，您可以將許可政策連接至 S3 儲存貯體，以管理該儲存貯體的存取許可。

擴展計畫不支援資源型政策。

## 存取控制清單 (ACL)
<a name="security_iam_service-with-iam-acls"></a>

擴展計畫不支援存取控制清單 (ACL)。

## 以標籤為基礎的授權
<a name="security_iam_service-with-iam-tags"></a>

擴展計畫無法標記，也沒有可以標記的服務定義資源。因此，它不支援根據資源上的標籤來控制存取。

擴展計畫可能包含可標記的資源 (例如 Auto Scaling 群組)，這些資源支援根據標籤控制存取。如需詳細資訊，請參閱該 AWS 服務的文件。

## IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您 AWS 帳戶 中具備特定許可的實體。

### 使用暫時登入資料
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

您可以使用暫時憑證來以聯合身分登入、擔任 IAM 角色，或是擔任跨帳戶角色。您取得暫時安全憑證的方式是透過呼叫 AWS STS API 作業 (例如，[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html))。

擴展計畫支援使用臨時憑證。

### 擴展計畫的服務連結角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

AWS Auto Scaling 會將服務連結角色用於代表您呼叫其他 AWS 服務所需的許可。服務連結角色可讓設定擴展計畫更為簡單，因為您不必手動新增必要的許可。如需詳細資訊，請參閱《 IAM 使用者指南》**中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。

AWS Auto Scaling 當您使用擴展計劃時， 會使用幾種類型的服務連結角色 AWS 服務 代表您呼叫其他 ：
+ *預測擴展服務連結角色* — 允許 AWS Auto Scaling 從 CloudWatch 存取歷史指標資料。同時允許根據負載預測和容量預測，為 Auto Scaling 群組建立排程動作。如需詳細資訊，請參閱[預測擴展服務連結角色](aws-auto-scaling-service-linked-roles.md)。
+ *Amazon EC2 Auto Scaling 服務連結角色* — 允許 AWS Auto Scaling 存取和管理 Auto Scaling 群組的目標追蹤擴展政策。如需詳細資訊，請參閱《*Amazon EC2 Auto Scaling 使用者指南*》中的 [Amazon EC2 Auto Scaling 的服務連結角色](https://docs.aws.amazon.com/autoscaling/ec2/userguide/autoscaling-service-linked-role.html)。
+ *Application Auto Scaling 服務連結角色* — 允許 AWS Auto Scaling 存取和管理其他可擴展資源的目標追蹤擴展政策。每個服務都有一個服務連結角色。如需詳細資訊，請參閱《*Application Auto Scaling 使用者指南*》中的[適用於 Application Auto Scaling 的服務連結角色](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html)。

您可以使用以下程序，判斷您的帳戶是否已有服務連結角色。<a name="procedure_check_instance_role"></a>

**判斷服務連結角色是否已經存在**

1. 在以下網址開啟 IAM 主控台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在導覽窗格中，選擇**角色**。

1. 在清單中搜尋 `AWSServiceRole`，尋找您帳戶中存在的服務連結角色。尋找您要檢查的服務連結角色名稱。

### 服務角色
<a name="security_iam_service-with-iam-roles-service"></a>

AWS Auto Scaling 沒有用於擴展計劃的 服務角色。