192  第 18 章  服务器通信


                 接下来，需要把IAM角色配置为Web Identity Provider Access角色类型，这样我们可以管理新
             角色对AWS服务的存取，如图18-11所示。




















                                             图18-11  设置角色类型
                 还记得我们在前面用Google创建的CLIENT ID吗？在下一个屏幕中，从下拉框中选择
             Google，并且把CLIENT ID粘贴到Audience框中。

                 这一步把我们的IAM角色和Google应用统一起来了，这样我们的应用可以用一个已认证的
             Google用户来访问AWS服务，如图18-12所示。




















                                              图18-12  Google认证
                 然后，点击Verify Trust（下一屏幕，它显示了AWS服务的原始配置），为应用创建我们的策略。

                 策略生成器是建立策略的快捷方式。此时，必须设置用户能进行哪些操作，不能进行哪些
             操作。
                 对于用户可能采取的行动，我们要努力说得非常具体：

                 1. S3
                 在具体的bucket上（在我们的示例中是ng-newsletter-example），我们将要允许用户进行以
             下操作：