本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理 Amazon Comprehend Medical 資源存取許可概觀
許可政策會管理對 動作的存取。帳戶管理員會將許可政策連接至 IAM 身分,以管理對 動作的存取。IAM 身分包括使用者、群組和角色。
**注意**
*帳戶管理員* (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。
當您授予許可時,您可以決定誰和哪些動作都取得許可。
**Topics**
+ [管理對 動作的存取](#access-control-manage-access-intro-med)
+ [指定政策元素:動作、效果和主體](#access-control-specify-comprehend-actions-med)
+ [在政策中指定條件](#specifying-conditions-med)
## 管理對 動作的存取
*許可政策*描述誰可以存取哪些資源。下一節說明許可政策的選項。
**注意**
本節說明 Amazon Comprehend Medical 內容中的 IAM。它不提供 IAM 服務的詳細資訊。如需 IAM 的詳細資訊,請參閱[什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) *IAM 使用者指南*中的 。如需 IAM 政策語法和說明的相關資訊,請參閱《[IAM 使用者指南》中的 AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。 **
連接至 IAM 身分的政策是以*身分為基礎的*政策。連接到資源的政策是以*資源為基礎的*政策。Amazon Comprehend Medical 僅支援以身分為基礎的政策。
### 身分類型政策 (IAM 政策)
您可以將政策連接到 IAM 身分。以下是兩個範例。
+ **將許可政策連接至您帳戶中的使用者或群組**。若要允許使用者或使用者群組呼叫 Amazon Comprehend Medical 動作,請將許可政策連接至使用者。將政策連接至包含使用者的群組。
+ **將許可政策連接至角色,以授予跨帳戶許可**。若要授予跨帳戶許可,請將身分型政策連接至 IAM 角色。例如,帳戶 A 中的管理員可以建立角色,將跨帳戶許可授予另一個帳戶。在此範例中,請呼叫帳戶 B,這也可能是 AWS 服務。
1. 帳戶 A 管理員會建立 IAM 角色,並將政策連接至角色,以將許可授予帳戶 A 中的資源。
1. 帳戶 A 管理員將信任政策連接至該角色。此政策會將帳戶 B 識別為可擔任該角色的委託人。
1. 帳戶 B 管理員接著可以將擔任該角色的許可委派給帳戶 B 中的任何使用者。這可讓帳戶 B 中的使用者建立或存取帳戶 A 中的資源。如果您想要授予 AWS 服務擔任該角色的許可,信任政策中的委託人也可以是 AWS 服務委託人。
如需使用 IAM 來委派許可的相關資訊,請參閱《IAM 使用者指南》**中的[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
如需搭配 Amazon Comprehend Medical 使用身分型政策的詳細資訊,請參閱 [針對 Amazon Comprehend Medical 使用以身分為基礎的政策 (IAM 政策)](security-iam-permissions.md)。如需使用者、群組、角色和許可的詳細資訊,請參閱《IAM 使用者指南》**中的[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
### 資源型政策
其他服務,例如 AWS Lambda, 支援以資源為基礎的許可政策。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。Amazon Comprehend Medical 不支援以資源為基礎的政策。
## 指定政策元素:動作、效果和主體
Amazon Comprehend Medical 定義一組 API 操作。若要授予這些 API 操作的許可,Amazon Comprehend Medical 會定義一組您可以在政策中指定的動作。
這裡的四個項目是最基本的政策元素。
+ **資源** – 在政策中,使用 Amazon Resource Name (ARN) 來識別政策適用的資源。對於 Amazon Comprehend Medical,資源一律為 `"*"`。
+ **動作** – 使用動作關鍵字來識別您要允許或拒絕的操作。例如,根據指定的效果, 會`comprehendmedical:DetectEntities`允許或拒絕使用者執行 Amazon Comprehend Medical `DetectEntities`操作的許可。
+ **效果** – 指定當使用者請求特定動作時所發生之動作的效果:允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕存取資源。您可以這樣做以確保使用者無法存取資源,即使不同的政策授與存取。
+ **委託人** – 在以身分為基礎的政策中,附加政策的使用者是隱含委託人。
若要進一步了解 IAM 政策語法和描述,請參閱《[IAM 使用者指南》中的 AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。 **
如需顯示所有 Amazon Comprehend Medical API 動作的資料表,請參閱 [Amazon Comprehend Medical API 許可:動作、資源和條件參考](security-iam-resources.md)。
## 在政策中指定條件
當您授予許可時,您可以使用 IAM 政策語言來指定政策應生效的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。
AWS 為所有支援 IAM 以進行存取控制的 AWS 服務提供一組預先定義的條件金鑰。例如,您可以在請求動作時,使用 `aws:userid` 條件金鑰來要求特定的 AWS ID。如需詳細資訊和 AWS 金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[條件的可用金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
Amazon Comprehend Medical 不提供任何其他條件金鑰。