本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Savings Plans 的 Identity and Access Management
AWS Identity and Access Management (IAM) 是一種 AWS 服務,可協助管理員安全地控制對 AWS 資源的存取。身為管理員,您可以在 AWS 帳戶下建立使用者可擔任的角色。您可以控制使用者使用 AWS 資源執行任務所需的許可。您可以使用 IAM,無需額外費用。
根據預設,使用者沒有 Savings Plans 資源和操作的許可。若要允許使用者管理 Savings Plans 資源,您必須建立角色以將許可委派給使用者。請遵循《*IAM 使用者指南*》中[為使用者建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)的指示。
## 政策結構
IAM 政策為包含一或多個陳述式的 JSON 文件。每個陳述式的結構如下所示。
```
{
"Statement":[{
"Effect":"{{effect}}",
"Action":"{{action}}",
"Resource":"{{arn}}",
"Condition":{
"{{condition}}":{
"{{key}}":"{{value}}"
}
}
}
]
}
```
陳述式由各種元素組成:
+ **Effect** (效果):*效果* 可以是 `Allow` 或 `Deny`。根據預設, 使用者沒有使用資源和 API 動作的許可,因此所有請求均會遭到拒絕。明確允許覆寫預設值。明確拒絕覆寫任何允許。
+ **Action** (動作):*動作* 是您授予或拒絕許可的特定 API 動作。
+ **Resource** (資源):受動作影響的資源。有些 Amazon EC2 API 動作可讓您在政策中包含可由動作建立或修改的特定資源。若要在陳述式中指定資源,您必須使用其 Amazon Resource Name (ARN)。如需詳細資訊,請參閱 [ Savings Plans 定義的動作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssavingsplans.html#awssavingsplans-actions-as-permissions)。
+ **Condition** (條件):條件為選擇性。您可以使用它們來控制何時政策開始生效。如需詳細資訊,請參閱 [ Savings Plans 的條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssavingsplans.html#awssavingsplans-policy-keys)。
## AWS 受管政策
建立的 受管政策會 AWS 授予常見使用案例所需的許可。建立使用者可擔任的角色後,您可以根據所需的存取權,將政策連接至該角色。每個政策會授予 Savings Plans 所有或部分 API 動作的存取權。
以下是 Savings Plans 的 AWS 受管政策:
+ **AWSSavingsPlansFullAccess** – 授予 Savings Plans 的完整存取權。
+ **AWSSavingsPlansReadOnlyAccess** – 授予 Savings Plans 的唯讀存取權。
## 政策範例
在 IAM 政策陳述式中,您可以從任何支援 IAM 的服務指定任何 API 動作。對於 Savings Plans,請使用下列字首搭配 API 動作的名稱:`savingsplans:`。例如:
+ `savingsplans:CreateSavingsPlan`
+ `savingsplans:DescribeSavingsPlans`
若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:
```
"Action": ["savingsplans:action1", "savingsplans:action2"]
```
您也可以使用萬用字元指定多個動作。例如,您可以指定名稱以「描述」一詞開頭的所有 Savings Plans API 動作,如下所示:
```
"Action": "savingsplans:Describe*"
```
若要指定所有 Savings Plans API 動作,請使用 \* 萬用字元,如下所示:
```
"Action": "savingsplans:*"
```