本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 AWS SAM 範本中設定和管理資源存取
若要讓您的 AWS 資源彼此互動,必須在資源之間設定適當的存取和許可。這樣做需要 AWS Identity and Access Management (IAM) 使用者、角色和政策的組態,才能以安全的方式完成您的互動。
本節中的主題都與設定對範本中定義之資源的存取有關。本節從一般最佳實務開始。以下兩個主題會檢閱您在無伺服器應用程式中參考的資源之間設定存取和許可的兩個選項: AWS SAM 連接器和 AWS SAM 政策範本。最後一個主題提供使用相同的機制來管理使用者存取的詳細資訊, CloudFormation 以管理使用者。
若要進一步了解,請參閱*AWS CloudFormation 《 使用者指南*》中的[使用 控制存取 AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html)。
AWS Serverless Application Model (AWS SAM) 提供兩個選項,可簡化無伺服器應用程式的存取和許可管理。
1. AWS SAM 連接器
1. AWS SAM 政策範本
## AWS SAM 連接器
連接器是在兩個資源之間佈建許可的一種方式。您可以透過描述它們如何在 AWS SAM 範本中彼此互動來執行此操作。您可以使用`Connectors`資源屬性或`AWS::Serverless::Connector`資源類型來定義它們。連接器支援佈建`Read`和`Write`存取 AWS 資源組合之間的資料和事件。若要進一步了解 AWS SAM 連接器,請參閱 [使用 AWS SAM 連接器管理資源許可](managing-permissions-connectors.md)。
## AWS SAM 政策範本
AWS SAM 政策範本是預先定義的一組許可,您可以將這些許可新增至範本 AWS SAM ,以管理 AWS Lambda 函數、 AWS Step Functions 陳述機器與其互動的資源之間的存取和許可。若要進一步了解 AWS SAM 政策範本,請參閱 [AWS SAM 政策範本](serverless-policy-templates.md)。
## AWS CloudFormation 機制
CloudFormation 機制包括設定 IAM 使用者、角色和政策,以管理 AWS 資源之間的許可。如需詳細資訊,請參閱 [使用 CloudFormation 機制管理 AWS SAM 許可](sam-permissions-cloudformation.md)。
## 最佳實務
在整個無伺服器應用程式中,您可以使用多種方法來設定 資源之間的許可。因此,您可以為每個案例選取最佳選項,並在整個應用程式中一起使用多個選項。以下是選擇最適合您的選項時需要考慮的一些事項:
+ AWS SAM 連接器和政策範本都降低了促進 AWS 資源之間安全互動所需的 IAM 專業知識。支援時使用連接器和政策範本。
+ AWS SAM 連接器提供簡單且直覺式的速記語法,以定義 AWS SAM 範本中的許可,並需要最少的 IAM 專業知識。當同時支援 AWS SAM 連接器和政策範本時,請使用 AWS SAM 連接器。
+ AWS SAM 連接器可以在支援的 AWS SAM 來源和目的地資源之間佈建`Read`和`Write`存取資料和事件。如需支援的資源清單,請參閱 [AWS SAM 連接器參考](reference-sam-connector.md)。支援時,請使用 AWS SAM 連接器。
+ 雖然 AWS SAM 政策範本僅限於 Lambda 函數、Step Functions 狀態機器與其互動 AWS 的資源之間的許可,但政策範本確實支援所有 CRUD 操作。支援時,以及當您案例 AWS SAM 的政策範本可用時,請使用 AWS SAM 政策範本。如需可用政策範本的清單,請參閱 [AWS SAM 政策範本](serverless-policy-templates.md)。
+ 對於所有其他案例,或需要精細程度時,請使用 CloudFormation 機制。