本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 資源總管如何使用 IAM
<a name="security_iam_service-with-iam"></a>

在您用IAM來管理存取權之前 AWS 資源總管，您應該瞭解哪些IAM功能可與資源總管搭配使用。[若要取得資源總管和其他 AWS 服務 使用方式的高階檢視IAM，請參閱AWS 服務*《IAM使用者指南》IAM中的使用*方式。](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)

**Topics**
+ [資源總管以身分為基礎的策略](#security_iam_service-with-iam-id-based-policies)
+ [基於資源瀏覽器標籤的授權](#security_iam_service-with-iam-tags)
+ [資源總管IAM角色](#security_iam_service-with-iam-roles)

像任何其他資源管理器一樣 AWS 服務，資源總管需要使用其操作與您的資源進行交互的權限。若要搜尋，使用者必須擁有擷取檢視詳細資料的權限，以及使用檢視進行搜尋。若要建立索引或檢視，或修改索引或任何其他資源總管設定，您必須具有其他權限。

指派以IAM身分識別為基礎的原則，將這些權限授與適當IAM的主體。資源總[管提供數個預先定義一般](security_iam_awsmanpol.md)使用權限集的受管理策略。您可以將這些項目指派給您的IAM主參與者。

## 資源總管以身分為基礎的策略
<a name="security_iam_service-with-iam-id-based-policies"></a>

使用以IAM身分識別為基礎的策略，您可以針對特定資源指定允許或拒絕的動作，以及允許或拒絕這些動作的條件。資源總管支援特定動作、資源和條件索引鍵。若要瞭解您在JSON策略中使用的所有元素，請參閱《使用*IAM者指南》*中的[IAMJSON策略元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)資料。

### 動作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

JSON策略`Action`元素描述了您可以用來允許或拒絕策略中存取的動作。策略動作通常與關聯的 AWS API操作具有相同的名稱。有一些例外情況，例如沒有匹配*API操作的僅限權限*的操作。也有一些作業需要政策中的多個動作。這些額外的動作稱為*相依動作*。

政策會使用動作來授予執行相關聯動作的許可。

資源總管中的策略動作會在動作之前使用`resource-explorer-2`服務前置詞。例如，若要授與某人使用檢視進行搜尋的權限，請使用「資源總管」`Search` API 作業，您可以將`resource-explorer-2:Search`動作包含在指派給該主參與者的策略中。政策陳述式必須包含 `Action` 或 `NotAction` 元素。資源總管定義了它自己的一組動作，描述您可以使用此服務執行的任務。這些與資源總管API操作保持一致。

若要在單一陳述式中指定多個動作，請以逗號分隔它們，如下列範例所示。

```
"Action": [
      "resource-explorer-2:action1",
      "resource-explorer-2:action2"
]
```

您可以使用萬用字元 (`*`) 指定多個動作。例如，如需指定開頭是 `Describe` 文字的所有動作，請包含以下動作：

```
"Action": "resource-explorer-2:Describe*"
```

如需資源總管動作的清單，請參閱*AWS 服務授權參考 AWS 資源總管*中[定義的動](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)作。

### 資源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

`Resource`JSON原則元素會指定要套用動作的一個或多個物件。陳述式必須包含 `Resource` 或 `NotResource` 元素。最佳做法是使用其 [Amazon 資源名稱 (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 指定資源。您可以針對支援特定資源類型的動作 (*稱為資源層級許可*) 來這麼做。

對於不支援資源層級許可的動作 (例如列出操作)，請使用萬用字元 (\$1) 來表示陳述式適用於所有資源。

```
"Resource": "*"
```

#### 檢視
<a name="resource-type-view"></a>

主要資源總管資源類型是檢*視*表。

資源瀏覽器視圖資源具有以下ARN格式。

```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```

資源總管ARN格式如下列範例所示。

```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```

**注意**  
對ARN於視圖的末尾包括一個唯一的標識符，以確保每個視圖都是唯一的。這有助於確保授與舊檢視表存取權的IAM原則不會被用來意外授與新檢視的存取權，而該檢視恰好與舊檢視具有相同名稱的新檢視。每個新視圖最後都會收到一個新的唯一 ID，以確保永遠不ARNs會重複使用。

如需有關的格式的詳細資訊ARNs，請參閱 [Amazon 資源名稱 (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。

您可以使用指派給IAM主參與者的以IAM識別為基礎的原則，並將檢視指定為。`Resource`這樣做可讓您透過一個檢視將搜尋存取權授與一組主參與者，並透過完全不同的檢視來存取不同的主參與者集。

例如，若要授與IAM政策陳述式`ProductionResourcesView`中指定的單一檢視的權限，請先取得檢視的 [Amazon 資源名稱 (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。您可以使用主控台中的「視**[觀](https://console.aws.amazon.com/resource-explorer/home#/views)**表」頁面來檢視視觀表的詳細資訊，或呼叫`[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)`作業來擷取您想要ARN的完整視觀表。然後，將它包含在策略聲明中，就像下面示例中顯示的那樣，該聲明僅授予修改一個視圖的定義的權限。

```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/<unique-id>"
```

若要允許對屬於特定帳戶的***所有***檢視執行動作，請在的相關部分中使用萬用字元 (`*`) ARN。下列範例會將搜尋權限授 AWS 區域 與指定和帳戶中的所有檢視。

```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```

某些資源總管動作 (例如) 不會針對特定資源執行，因為如下列範例所示，資源尚不存在。`CreateView`在這種情況下，您必須為整個資源使用萬用字元 (`*`) ARN。

```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```

 如果您指定以萬用字元結尾的路徑，則可以將`CreateView`作業限制為僅建立具有核准路徑的檢視。下列範例原則部分顯示如何允許主參與者僅在路徑中建立檢視`view/ProductionViews/`。

```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```

#### 索引
<a name="resource-type-index"></a>

您可以用來控制對資源總管功能存取的另一種資源類型是索引。

您與索引互動的主要方式是 AWS 區域 透過在該區域中建立索引來開啟資源總管。之後，您幾乎可以通過與視圖進行交互來完成其他所有操作。

您可以使用索引執行的一件事是控制哪些人可以在每個區域中***建立***檢視表。

**注意**  
建立檢視表之後，只會針對IAM檢視ARN的所有其他檢視動作授權，而非索引。

索引具有[ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)您可以在權限原則中參照的索引。資源總管索引ARN具有以下格式。

```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```

請參閱下列資源總管索引範例ARN。

```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```

某些資源總管動作會針對多種資源類型檢查驗證。例如，[CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)作業會根據資源總管建立檢視之後ARN的索引和檢視進行授權。ARN若要授與管理員管理 Resource Explorer 服務的權限，您可以使用`"Resource": "*"`來授權任何資源、索引或檢視的動作。

或者，您可以將主參與者限制為僅能夠使用指定的「資源總管」資源。例如，若要將動作限制為只有指定區域中的 Resource Explorer 資源，您可以包含同時符合索引和檢視的範ARN本，但只會呼叫單一區域。在下列範例中，只ARN符合指定帳戶 [`us-west-2`區域] 中的索引或檢視表。在的第三個欄位中指定 [Region]ARN，但在最後一個欄位中使用萬用字元 (\$1) 以符合任何資源類型。

```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```

如需詳細[資訊，請參閱*AWS 服務授權參考 AWS 資源總管*中的定義資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies)。若要瞭解您可以針對每個資源指定ARN哪些動作，請參閱定[義的動作 AWS 資源總管](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)。

### 條件索引鍵
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Resource Explorer 不提供任何服務特定條件金鑰，但它確實支援使用某些全域條件金鑰。若要查看所有 AWS 全域條件索引鍵，請參閱《使用指南》中的[AWS 全域條件內*IAM容索引*鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

`Condition` 元素 (或 `Condition` *區塊*) 可讓您指定使陳述式生效的條件。`Condition` 元素是選用項目。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於)，來比對政策中的條件和請求中的值。

若您在陳述式中指定多個 `Condition` 元素，或是在單一 `Condition` 元素中指定多個索引鍵， AWS 會使用邏輯 `AND` 操作評估他們。如果您為單一條件索引鍵指定多個值，請使用邏輯`OR`運算來 AWS 評估條件。必須符合所有條件，才會授與陳述式的許可。

 您也可以在指定條件時使用預留位置變數。例如，只有在IAM使用者名稱標記資源時，您才可以授與IAM使用者存取資源的權限。如需詳細資訊，請參閱*《IAM使用指南》*中的[IAM政策元素：變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

AWS 支援全域條件金鑰和服務特定條件金鑰。若要查看所有 AWS 全域條件索引鍵，請參閱《使用指南》中的[AWS 全域條件內*IAM容索引*鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

若要查看可與資源總管搭配使用的條件金鑰清單，請參閱*AWS 服務授權參考 AWS 資源總管*中的[條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys)。若要瞭解可將條件索引鍵與哪些動作和資源搭配使用，請參閱[動作定義者 AWS 資源總管](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)。

### 範例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

若要檢視資源總管以身分識別為基礎的策略範例，請參閱。[AWS 資源總管 身分型政策範例](security_iam_id-based-policy-examples.md)

## 基於資源瀏覽器標籤的授權
<a name="security_iam_service-with-iam-tags"></a>

您可以將標籤附加至資源總管檢視，或將要求中的標籤傳遞至資源總管。如需根據標籤控制存取，請使用 `resource-explorer-2:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵，在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中，提供標籤資訊。如需有關標記資源總管資源的詳細資訊，請參閱[對檢視新增標籤](manage-views-tag.md)。如需在資源總管中使用基於標籤的授權，請參閱[使用基於標籤的授權來控制對視圖的存取權](manage-views-grant-access.md#manage-views-grant-access-abac)。

## 資源總管IAM角色
<a name="security_iam_service-with-iam-roles"></a>

[IAM角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您中具有特定權限 AWS 帳戶 的主參與者。

### 搭配資源總管使用臨時認證
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

您可以使用臨時認證登入同盟、擔任IAM角色，或擔任跨帳戶角色。您可以透過呼叫 AWS Security Token Service (AWS STS) API 作業 (例如[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或) 來取得臨時安全登入資料[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。

資源總管支援使用臨時認證。

### 服務連結角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)可 AWS 服務 讓您存取其他服務中的資源，以代表您完成動作。服務連結角色會顯示在您的IAM帳戶中，且屬於服務所有。IAM管理員可以檢視但無法編輯服務連結角色的權限。

資源總管使用服務連結角色來執行其工作。如需資源總管服務連結角色的詳細資訊，請參閱[針對資源總管使用服務連結角色](security_iam_service-linked-roles.md)。