支援終止通知：2025 年 9 月 15 日， AWS 將停止對 Amazon Lex V1 的支援。2025 年 9 月 15 日之後，您將無法再存取 Amazon Lex V1 主控台或 Amazon Lex V1 資源。如果您使用的是 Amazon Lex V2，請改參閱 [Amazon Lex V2 指南](https://docs.aws.amazon.com/lexv2/latest/dg/what-is.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Lex 如何與 IAM 搭配使用
<a name="security_iam_service-with-iam"></a>

在您使用 IAM 管理 Amazon Lex 的存取權之前，請先了解哪些 IAM 功能可與 Amazon Lex 搭配使用。






**您可以搭配 Amazon Lex 使用的 IAM 功能**  

| IAM 功能 | Amazon Lex 支援 | 
| --- | --- | 
|  [身分型政策](#security_iam_service-with-iam-id-based-policies)  |   是  | 
|  [資源型政策](#security_iam_service-with-iam-resource-based-policies)  |   否   | 
|  [政策動作](#security_iam_service-with-iam-id-based-policies-actions)  |   是  | 
|  [政策資源](#security_iam_service-with-iam-id-based-policies-resources)  |   是  | 
|  [政策條件索引鍵 (服務特定)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   是  | 
|  [ACL](#security_iam_service-with-iam-acls)  |   否   | 
|  [ABAC(政策中的標籤)](#security_iam_service-with-iam-tags)  |   部分  | 
|  [臨時憑證](#security_iam_service-with-iam-roles-tempcreds)  |   是  | 
|  [主體許可](#security_iam_service-with-iam-principal-permissions)  |   是  | 
|  [服務角色](#security_iam_service-with-iam-roles-service)  |   是  | 
|  [服務連結角色](#security_iam_service-with-iam-roles-service-linked)  |   是  | 

若要全面了解 Amazon Lex 和其他 AWS 服務如何與大多數 IAM 功能搭配使用，請參閱《IAM *使用者指南*》中的[AWS 與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

## Amazon Lex 的身分型政策
<a name="security_iam_service-with-iam-id-based-policies"></a>

**支援身分型政策：**是

身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策，請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。

使用 IAM 身分型政策，您可以指定允許或拒絕的動作和資源，以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素，請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

### Amazon Lex 的身分型政策範例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



若要檢視 Amazon Lex 身分型政策的範例，請參閱 [Amazon Lex 的身分型政策範例](security_iam_id-based-policy-examples.md)。

## Amazon Lex 內的資源型政策
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**支援資源型政策：**否 

資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM *角色信任政策*和 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中，服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源，政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委託人可以包含帳戶、使用者、角色、聯合身分使用者或 AWS 服務。

如需啟用跨帳戶存取權，您可以在其他帳戶內指定所有帳戶或 IAM 實體作為資源型政策的主體。如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。

## Amazon Lex 的政策動作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**支援政策動作：**是

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。



若要查看 Amazon Lex 動作的清單，請參閱*《服務授權參考*》中的 [Amazon Lex 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlex.html#your_service-actions-as-permissions)。

Amazon Lex 中的政策動作在動作之前使用下列字首：

```
lex
```

如需在單一陳述式中指定多個動作，請用逗號分隔。

```
"Action": [
      "lex:action1",
      "lex:action2"
         ]
```





您也可以使用萬用字元 (\$1) 來指定多個動作。例如，若要指定開頭是 `Describe` 文字的所有動作，請包含以下動作：

```
"Action": "lex:Describe*"
```

## Amazon Lex 的政策資源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**支援政策資源：**是

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可，使用萬用字元 (\$1) 表示該陳述式適用於所有資源。

```
"Resource": "*"
```

Amazon Lex 機器人資源 ARN 的格式如下。

```
arn:aws:lex:${Region}:${Account}:bot:${Bot-Name}
```

如需 ARNs 格式的詳細資訊，請參閱 [Amazon Resource Name (ARNs AWS 和服務命名空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。

例如，若要在陳述式中指定 `OrderFlowers` 機器人，請使用以下 ARN。

```
"Resource": "arn:aws:lex:us-east-2:123456789012:bot:OrderFlowers"
```

若要指定所有屬於特定帳戶的機器人，請使用萬用字元 (\$1)。

```
"Resource": "arn:aws:lex:us-east-2:123456789012:bot:*"
```

有些 Amazon Lex 動作無法在特定資源上執行，例如用於建立資源的動作。在那些情況下，您必須使用萬用字元 (\$1)。

```
"Resource": "*"
```

若要查看 Amazon Lex 資源類型及其 ARNs，請參閱*《服務授權參考*》中的 [Amazon Lex 定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlex.html#your_service-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN，請參閱 [Amazon Lex 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlex.html#your_service-actions-as-permissions)。





## Amazon Lex 的政策條件索引鍵
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**支援服務特定政策條件金鑰：**是

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

`Condition` 元素會根據定義的條件，指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於)，來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵，請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

若要查看 Amazon Lex 條件索引鍵的清單，請參閱*《服務授權參考*》中的 [Amazon Lex 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlex.html#your_service-policy-keys)。若要了解您可以使用條件金鑰的動作和資源，請參閱 [Amazon Lex 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlex.html#your_service-actions-as-permissions)。

下表列出適用於 Amazon Lex 資源的 Amazon Lex 條件金鑰。您可以在 IAM 許可政策的 `Condition` 元素中包含這些金鑰。


****  

| Amazon Lex 條件金鑰 | Description | 值類型 | 權限 | 
| --- | --- | --- | --- | 
| lex:associatedIntents |  就建立或修改機器人定義時可以使用的一組意圖釐定範圍。  |  字串陣列  |  `lex:PutBot`  | 
| lex:associatedSlotTypes |  就建立或修改槽類型定義時可以使用的一組槽類型釐定範圍。  |  字串陣列  |  `lex:PutIntent`  | 
| lex:ChannelType |  就使用者可以建立、取得或刪除的機器人管道關聯類型釐定範圍。  |  String  |  `lex:CreateBotChannelAssociation` `lex:DeleteBotChannelAssociation` `lex:GetBotChannelAssociation`  | 

## Amazon Lex 中的 ACLs
<a name="security_iam_service-with-iam-acls"></a>

**支援 ACL：**否 

存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策，但它們不使用 JSON 政策文件格式。

## ABAC 搭配 Amazon Lex
<a name="security_iam_service-with-iam-tags"></a>

**支援 ABAC (政策中的標籤)：**部分

屬性型存取控制 (ABAC) 是一種授權策略，根據稱為標籤的屬性定義許可權。您可以將標籤連接至 IAM 實體 AWS 和資源，然後設計 ABAC 政策，以便在主體的標籤符合資源上的標籤時允許操作。

如需根據標籤控制存取，請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵，在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中，提供標籤資訊。

如果服務支援每個資源類型的全部三個條件金鑰，則對該服務而言，值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰，則值為 **Partial**。

如需 ABAC 的詳細資訊，請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程，請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。

您可以將標籤與特定類型的 Amazon Lex 資源建立關聯以進行授權。若要根據標籤控制存取，請使用 `lex:ResourceTag/${TagKey}`、`aws:RequestTag/${TagKey}` 或 `aws:TagKeys` 條件索引鍵，在政策的條件元素中，提供標籤資訊。

如需標記 Amazon Lex 資源的詳細資訊，請參閱 [標記您的 Amazon Lex 資源](how-it-works-tags.md)。

若要檢視身分型政策範例，以根據該資源上的標籤來限制存取資源，請參閱 [使用標籤存取資源](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tag)。

下表列出了以標籤為基礎的存取控制動作和對應的資源類型。每個動作都會根據與對應資源類型相關聯的標籤進行授權。


| Action | Resource Type (資源類型) | 條件索引鍵 | 備註 | 
| --- | --- | --- | --- | 
| [CreateBotVersion](API_CreateBotVersion.md) | 機器人 | lex:ResourceTag |   | 
| [DeleteBot](API_DeleteBot.md) | 機器人 | lex:ResourceTag |   | 
| [DeleteBotAlias](API_DeleteBotAlias.md) | 別名 | lex:ResourceTag |   | 
| [DeleteBotChannelAssociation](API_DeleteBotChannelAssociation.md) | 通道 | lex:ResourceTag |   | 
| [DeleteBotVersion](API_DeleteBotVersion.md) | 機器人 | lex:ResourceTag |   | 
| [DeleteSession](API_runtime_DeleteSession.md) | 機器人或別名 | lex:ResourceTag | 當別名設定為 \$1LATEST 時，使用與機器人相關聯的標籤。與其他別名一起使用時，會使用與指定別名相關聯的標籤。 | 
| [DeleteUtterances](API_DeleteUtterances.md) | 機器人 | lex:ResourceTag |   | 
| [GetBot](API_GetBot.md) | 機器人或別名 | lex:ResourceTag | 當 versionOrAlias 設定為 \$1LATEST 或數字版本時，則使用與機器人相關聯的標籤。與別名一起使用時，使用與指定別名相關聯的標籤 | 
| [GetBotAlias](API_GetBotAlias.md) | 別名 | lex:ResourceTag |   | 
| [GetBotChannelAssociation](API_GetBotChannelAssociation.md) | 頻道 | lex:ResourceTag |   | 
| [GetBotChannelAssociations](API_GetBotChannelAssociations.md) | 頻道 | lex:ResourceTag | 當別名設為「-」時，使用與機器人相關聯的標籤。當機器人別名已指定時，使用與指定別名相關聯的標籤 | 
| [GetBotVersions](API_GetBotVersions.md) | 機器人 | lex:ResourceTag |   | 
| [GetExport](API_GetExport.md) | 機器人 | lex:ResourceTag |   | 
| [GetSession](API_runtime_GetSession.md) | 機器人或別名 | lex:ResourceTag | 當別名設定為 \$1LATEST 時，使用與機器人相關聯的標籤。與其他別名一起使用時，會使用與指定別名相關聯的標籤。 | 
| [GetUtterancesView](API_GetUtterancesView.md) | 機器人 | lex:ResourceTag |   | 
| [ListTagsForResource](API_ListTagsForResource.md) | 機器人、別名或頻道 | lex:ResourceTag |   | 
| [PostContent](API_runtime_PostContent.md) | 機器人或別名 | lex:ResourceTag | 當別名設定為 \$1LATEST 時，使用與機器人相關聯的標籤。與其他別名一起使用時，會使用與指定別名相關聯的標籤。 | 
| [PostText](API_runtime_PostText.md) | 機器人或別名 | lex:ResourceTag | 當別名設定為 \$1LATEST 時，使用與機器人相關聯的標籤。與其他別名一起使用時，會使用與指定別名相關聯的標籤。 | 
| [PutBot](API_PutBot.md) | 機器人 | lex:ResourceTag, aws:RequestTag, aws:TagKeys |   | 
| [PutBotAlias](API_PutBotAlias.md) | 別名 | lex:ResourceTag, aws:RequestTag, aws:TagKeys |   | 
| [PutSession](API_runtime_PutSession.md) | 機器人或別名 | lex:ResourceTag | 當別名設定為 \$1LATEST 時，使用與機器人相關聯的標籤。與其他別名一起使用時，會使用與指定別名相關聯的標籤。 | 
| [StartImport](API_StartImport.md) | 機器人 | lex:ResourceTag | 依賴 PutBot 操作的存取政策。該 StartImport 操作的特定標籤和權限將被忽略。 | 
| [TagResource](API_TagResource.md) | 機器人、別名或頻道 | lex:ResourceTag, aws:RequestTag, aws:TagKeys |   | 
| [UntagResource](API_UntagResource.md) | 機器人、別名或頻道 | lex:ResourceTag, aws:RequestTag, aws:TagKeys |   | 

## 搭配 Amazon Lex 使用臨時登入資料
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**支援臨時憑證：**是

臨時登入資料提供 AWS 資源的短期存取權，當您使用聯合或切換角色時，會自動建立。 AWS 建議您動態產生臨時登入資料，而不是使用長期存取金鑰。如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

您可以搭配聯合使用暫時憑證、擔任 IAM 角色，或是擔任跨帳戶角色。您可以透過呼叫 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 等 AWS STS API 操作來取得臨時安全登入資料。

## Amazon Lex 的跨服務主體許可
<a name="security_iam_service-with-iam-principal-permissions"></a>

**支援轉寄存取工作階段 (FAS)：**是

 轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務，並結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊，請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。

## Amazon Lex 的服務角色
<a name="security_iam_service-with-iam-roles-service"></a>

**支援服務角色：**是

 服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)，可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。

**警告**  
變更服務角色的許可可能會中斷 Amazon Lex 功能。只有在 Amazon Lex 提供指引時，才能編輯服務角色。

### 在 Amazon Lex 中選擇 IAM 角色
<a name="security_iam_service-with-iam-roles-choose"></a>

Amazon Lex 使用服務連結角色來呼叫 Amazon Comprehend 和 Amazon Polly。它在您的 AWS Lambda 函數上使用資源層級許可來叫用它們。

您必須提供 IAM 角色才能啟用對話標記。如需詳細資訊，請參閱[建立對話日誌的 IAM 角色和政策](conversation-logs-policies.md#conversation-logs-role-and-policy)。

## Amazon Lex 的服務連結角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**支援服務連結角色：**是

 服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ，並由服務擁有。IAM 管理員可以檢視，但不能編輯服務連結角色的許可。

如需建立或管理 Amazon Lex 服務連結角色的詳細資訊，請參閱 [使用 Amazon Lex 的服務連結角色](using-service-linked-roles.md)。