本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 適用於 Service Quotas 的 Identity or Management
AWS 使用安全登入資料來識別您並授予您對 AWS 資源的存取權。您可以使用AWS Identity and Access Management(IAM) 以允許其他使用者、服務和應用程式使用您的AWS充分或以有限的方式資源。您可以在不共用您的安全登入資料的情況下執行這項操作。
根據預設,IAM 使用者不具有建立、檢視或修改 AWS 資源的許可。若要允許 IAM 使用者存取資源 (例如負載平衡器),並執行工作,請執行下列步驟:
1. 建立 IAM 政策以授予 IAM 使用者使用他們所需的特定資源和 API 動作的許可。
1. 將政策連接到 IAM 使用者所屬的 IAM 使用者或羣組。
將政策連接到使用者或使用者群組時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。
例如,您可以使用 IAM 在AWS 帳戶。IAM 使用者可以是個人、系統或應用程式。然後,您需要使用 IAM 政策,將許可授予使用者和羣組在指定資源上執行特定動作。
## 使用 IAM 政策授予許可
將政策連接到使用者或使用者群組時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。
IAM 政策為包含一或多個陳述式的 JSON 文件。每個陳述式的結構,如下列範例所示。
```
{
"Version": "2012-10-17",
"Statement":[{
"Effect": "effect",
"Action": "action",
"Resource": "resource-arn",
"Condition": {
"condition": {
"key":"value"
}
}
}]
}
```
+ **`Effect`**— 的值**effect**可以是`Allow`或者`Deny`。根據預設,IAM 使用者沒有使用資源和 API 動作的許可,因此所有請求均會遭到拒絕。明確允許覆寫預設值。明確拒絕覆寫任何允許.
+ **`Action`**— 的值**action**是您授予或拒絕許可的特定 API 動作。如需指定`Action`,請參[Service Quotas 的 API 操作](#api-actions)。
+ `Resource`— 受動作影響的資源。使用某些 Service Quotas API 動作,您可以將授予或拒絕的許可限制在特定配額。若要執行此動作,請在此陳述式中指定 Amazon Resource Name (ARN)。否則,您可以使用萬用字元 (`*`)以指定所有 Service Quotas 資源。如需詳細資訊,請參閱 [Service Quotas 資源](#resources)。
+ `Condition`— 您可以選擇性地使用條件來控制何時政策開始生效。如需詳細資訊,請參閱 [Service Quotas 的條件索引鍵](#condition-keys)。
如需詳細資訊,請參閱《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)》。
## Service Quotas 的 API 操作
在 中`Action`元素,您可以指定 Service Quotas 提供的任何 API 動作。您必須以小寫字串 `servicequotas:` 做為動作名稱的字首,如下列範例所示。
```
"Action": "servicequotas:GetServiceQuota"
```
若要在單一陳述式中指定多個動作,請將它們括在方括號中,並以逗號分隔,如下列範例所示。
```
"Action": [
"servicequotas:ListRequestedServiceQuotaChangeHistory",
"servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota"
]
```
您也可以使用萬用字元 (`*`。以下範例為指定所有開頭為的 Service Quotas 的 API 動作名稱`Get`。
```
"Action": "servicequotas:Get*"
```
若要指定 Service Quotas 的所有 API 動作,請使用萬用字元 (`*`),如下列範例所示。
```
"Action": "servicequotas:*"
```
如需 Service Quotas 的 API 動作清單,請參[Service Quotas 動作](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_Operations.html)。
## Service Quotas 資源
*資源層級許可*能夠讓您指定使用者可執行動作的資源。對於支援資源層級許可的 API 動作,您可以控制使用者獲允許在動作中使用的資源。若要在政策陳述式中指定資源,您必須使用其 Amazon Resource Name (ARN)。
Access 的 ARN 具有下列範例所示的格式。
```
arn:aws:servicequotas:region-code:account-id:service-code/quota-code
```
對於不支援資源層級許可的 API 動作,您必須指定下列資源陳述式,如下列範例所示。
```
"Resource": "*"
```
## Service Quotas 資源層級許可
下列 Service Quotas 動作支援資源層級許可:
+ [將服務設置增加到模板的請求](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_PutServiceQuotaIncreaseRequestIntoTemplate.html)
+ [RequestServiceQuotaIncrease](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_RequestServiceQuotaIncrease.html)
如需詳細資訊,請參閱「」[Service Quotas 定義的動作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_servicequotas.html#servicequotas-actions-as-permissions)中的*服務授權參考*。
## Service Quotas 的條件索引鍵
在建立政策時,您可以指定控制政策生效時機的條件。每個條件都包含一或多個索引鍵/值對。有全球條件金鑰和服務特定的條件金鑰。
所以此`servicequotas:service`鍵特定於 Service Quotas。以下 Service Quotas API 操作支持此項:
+ [將服務設置增加到模板的請求](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_PutServiceQuotaIncreaseRequestIntoTemplate.html)
+ [RequestServiceQuotaIncrease](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_RequestServiceQuotaIncrease.html)
如需全域條件金鑰的詳細資訊,請參[AWS全球條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)中的*IAM User Guide*。
## 預先定義AWSService Quotas 的託管策略
AWS 建立的受管政策會針對常用案例授予必要的權限。您可以根據 IAM 使用者對 Service Quotas 的存取,將這些政策連接到 IAM 使用者:
+ `ServiceQuotasFullAccess`— 授予使用 Service Quotas 功能所需的完整存取權。
+ `ServiceQuotasReadOnlyAccess`— 授與 Service Quotas 功能的唯讀存取權。