# AWS Well-Architected Tool 搭配 IAM 的運作方式
在您使用 IAM 管理 AWS WA Tool 的存取權之前,請了解搭配 AWS WA Tool 使用的 IAM 功能有哪些。
**您可搭配 AWS Well-Architected Tool 使用的 IAM 功能**
| IAM 功能 | AWS WA Tool 支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-id-based-policies) | 是 |
| [資源型政策](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [政策動作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [政策資源](#security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [政策條件索引鍵 (服務特定)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACL](#security_iam_service-with-iam-acls) | 否 |
| [ABAC (政策中的標籤)](#security_iam_service-with-iam-tags) | 是 |
| [臨時憑證](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [主體許可](#security_iam_service-with-iam-principal-permissions) | 是 |
| [服務角色](#security_iam_service-with-iam-roles-service) | 否 |
| [服務連結角色](#security_iam_service-with-iam-roles-service-linked)。 | 否 |
若要取得 AWS WA Tool 和其他 AWS 服務如何搭配大部分 IAM 功能使用的概觀資訊,請參閱*《IAM 使用者指南》*中的[可搭配 IAM 使用的 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## AWS WA Tool 身分型政策
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取哪些內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
## AWS WA Tool 內的資源型政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM *角色信任政策*和 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。主體可以包括帳戶、使用者、角色、聯合身分使用者或 AWS 服務。
如需啟用跨帳戶存取權,您可以指定在其他帳戶內的所有帳戶或 IAM 實體,做為資源型政策的主體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 適用於 AWS WA Tool 的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取哪些內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
AWS WA Tool 中的政策動作會在動作之前使用以下字首:`wellarchitected:`。例如,若要允許實體定義工作負載,管理員必須連接允許 `wellarchitected:CreateWorkload` 動作的政策。同樣地,若要避免實體刪除工作負載,管理員可以連接拒絕 `wellarchitected:DeleteWorkload` 動作的政策。政策陳述式必須包含 `Action` 或 `NotAction` 元素。AWS WA Tool 會定義一組自己的動作,來描述您可以使用此服務執行的任務。
如要查看 AWS WA Tool 動作的清單,請參閱《*服務授權參考*》中的 [AWS Well-Architected Tool 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions)。
## 政策資源
**支援政策資源:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取哪些內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
如要查看 AWS WA Tool 資源類型及其 ARN 的清單,請參閱《服務授權參考》**中的 [AWS Well-Architected Tool 定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱 [AWS Well-Architected Tool 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-actions-as-permissions)。
AWS WA Tool 工作負載資源具有以下 ARN:
```
arn:${Partition}:wellarchitected:${Region}:${Account}:workload/${ResourceId}
```
如需 ARN 格式的詳細資訊,請參閱 [Amazon Resource Name (ARN) 和 AWS 服務命名空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
您可以在 **Workload properties (工作負載屬性)** 頁面上找到工作負載的 ARN。例如,若要指定特定的工作負載:
```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/11112222333344445555666677778888"
```
若要指定屬於特定帳戶的所有工作負載,請使用萬用字元 (\$1):
```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/*"
```
有些 AWS WA Tool 動作 (例如用來建立和列出資源的動作) 無法在特定資源上執行。在這些情況下,您必須使用萬用字元 (\$1)。
```
"Resource": "*"
```
如要查看 AWS WA Tool 資源類型及其 ARN 的清單,請參閱《服務授權參考》**中的 [AWS Well-Architected Tool 定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱 [AWS Well-Architected Tool 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions)。
## AWS WA Tool 的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取哪些內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看 AWS 全域條件金鑰,請參閱《*IAM 使用者指南*》中的 [AWS 全域條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
AWS WA Tool 提供一個服務專用條件索引鍵 (`wellarchitected:JiraProjectKey`),並支援使用一些全域條件索引鍵。若要查看所有 AWS 全域條件索引鍵,請參閱《*服務授權參考*》中的 [AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
管理員可以使用 AWS JSON 政策來指定誰可以存取哪些內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看 AWS 全域條件金鑰,請參閱《*IAM 使用者指南*》中的 [AWS 全域條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
## AWS WA Tool 中的 ACL
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## 以 AWS WA Tool 標籤為基礎的授權
**支援 ABAC (政策中的標籤):**是
屬性型存取控制 (ABAC) 是一種授權策略,依據稱為標籤的屬性來定義許可。您可將標籤附加至 IAM 實體與 AWS 資源,並設計 ABAC 政策,使當主體的標籤與資源標籤相符時允許執行操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 將臨時憑證與 AWS WA Tool 搭配使用
**支援臨時憑證:**是
臨時憑證可提供 AWS 資源短期存取,並在使用聯合登入或切換角色時自動建立。AWS 建議動態生成臨時憑證,而非使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## AWS WA Tool 的跨服務主體權限
**支援轉寄存取工作階段 (FAS):**是
前置存取工作階段 (FAS) 會使用呼叫 AWS 服務 的主體所具備的許可,並結合發出要求的 AWS 服務,以向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## AWS WA Tool 的服務角色
**支援服務角色:**否
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可權給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## AWS WA Tool 的服務連結角色
**支援服務連結角色:**否
服務連結角色是一種連結到 AWS 服務 的服務角色類型。服務可以擔任代表您執行動作的角色。服務連結角色會顯示在您的 AWS 帳戶 中,並由該服務所擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需建立或管理服務連結角色的詳細資訊,請參閱[可搭配 IAM 運作的 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在資料表中尋找服務,其中包含**服務連結角色**欄中的 `Yes`。選擇**是**連結,以檢視該服務的服務連結角色文件。