易百教程

20、政策是什么?有哪些不同类型的政策?

策略是与定义权限的资源相关联的对象。AWS 在用户提出请求时评估这些策略。策略中的权限决定是允许还是拒绝某个操作。策略以 JSON 文档的形式存储。
AWS 支持六种类型的策略:

  • 基于身份的策略
  • 基于资源的策略
  • 权限边界
  • 组织 SCP
  • 访问控制列表
  • 会话策略

政策

基于身份的策略

  • 基于身份的策略是以 JSON 格式存储的权限。此策略可以附加到身份用户、用户组或角色。它决定了用户可以执行的操作、在哪些资源上以及在什么条件下。
  • 基于身份的策略进一步分为两类:
    • 托管策略:托管策略是基于身份的策略,可以附加到多个用户、组或角色。有两种类型的托管策略:
      • AWS 托管策略 - AWS 托管策略是由 AWS 创建和管理的策略。如果您是第一次使用这些策略,那么我们建议您使用 AWS 托管策略。
      • 自定义托管策略 - 自定义托管策略是用户创建的基于身份的策略。它提供了比 AWS 托管策略更精确的策略控制。
    • 内联策略 - 内联策略是由用户创建和管理的策略。这些策略直接封装到单个用户、组或角色中。
      基于资源的策略
  • 基于资源的策略是附加到 S3 存储桶等资源的策略。基于资源的策略定义了可以对资源执行的操作以及在什么条件下可以应用这些策略。
    权限边界
  • 权限边界是基于身份的策略可以授予实体的最大权限。
    服务控制策略 (SCP)
  • 服务控制策略是以 JSON 格式定义的策略,用于指定组织的最大权限。如果您启用组织中的所有功能,则可以将服务控制策略应用于任何或所有 AWS 账户。SCP 可以限制对成员账户以及 AWS 根用户账户中实体的权限。
    访问控制列表 (ACL)
  • ACL 定义了另一个 AWS 账户中的哪些委托人可以访问资源的控制。ACL 不能用于控制不同 AWS 账户中委托人的访问。它是唯一没有 JSON 策略文档格式的策略类型。