IAM-JSON-Richtlinienelemente: Action - AWS Identity and Access Management

IAM-JSON-Richtlinienelemente: Action

Das Element Action beschreibt die gewünschte oder gewünschten Aktionen, die zugelassen oder verweigert werden. Anweisungen müssen entweder ein Action- oder NotAction-Element enthalten. Jeder AWS Service verfügt über eine eigene Gruppe von Aktionen, die die mit dem Service ausführbaren Aufgaben beschreiben. Die Liste der Aktionen für Amazon S3 finden Sie beispielsweise unter Specifying Permissions in a Policy im Benutzerhandbuch für Amazon Simple Storage Service, die Liste der Aktionen für Amazon EC2 finden Sie in der Amazon-EC2-API-Referenz und die Liste der Aktionen für AWS Identity and Access Management finden Sie in der IAM-API-Referenz. Die Liste der Aktionen für andere Services finden Sie in der API-Referenz Dokumentation des jeweiligen Services.

Sie geben einen Wert über einen Namespace als Aktionspräfix (iam, ec2 sqs, sns, s3 usw.), gefolgt von dem Namen der Aktion, die erlaubt oder abgelehnt werden soll, an. Der Name muss mit einer Aktion übereinstimmen, die vom Service unterstützt wird. Der Präfix und Aktionsname wird nicht nach Groß- und Kleinschreibung unterschieden. Zum Beispiel ist iam:ListAccessKeys identisch zu IAM:listaccesskeys. In den folgenden Beispielen sind Action-Elemente für verschiedene Services aufgeführt.

Amazon SQS Aktion

"Action": "sqs:SendMessage"

Amazon EC2-Aktion

"Action": "ec2:StartInstances"

IAM-Aktion

"Action": "iam:ChangePassword"

Amazon S3-Aktionen

"Action": "s3:GetObject"

Sie können mehrere Werte für das Element Action definieren.

"Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "ec2:StartInstances", "iam:ChangePassword", "s3:GetObject" ]

Verwenden Sie einen Platzhalter (*), um allen vom spezifischen AWS-Produkt bereitgestellten Aktionen Zugriffsberechtigung zu erteilen. Folgendes Action-Element beispielsweise findet für alle S3-Aktionen Anwendung.

"Action": "s3:*"

Sie können im Aktionsnamen auch Platzhalter (*) verwenden. Beispielsweise gilt folgendes Action-Element für alle IAM-Aktionen, die die Zeichenfolge AccessKey einschließlich CreateAccessKey, DeleteAccessKey, ListAccessKeys und UpdateAccessKey enthalten.

"Action": "iam:*AccessKey*"

Bei einigen Services können Sie die verfügbaren Aktionen einschränken. Zum Beispiel stellt Amazon SQS nur einen Teil aller verfügbaren Amazon SQS-Aktionen bereit. In diesem Fall wird durch den *-Platzhalter keine vollständige Kontrolle über die Warteschlange gewährt, sondern nur diejenige Untergruppe von Aktionen zugelassen, die Sie geteilt haben. Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in Amazon S3 im Amazon Simple Storage Service Developer Guide.