操作摘要(资源列表)
策略在三个表中概括:策略摘要、服务摘要和操作摘要。操作摘要 表包含应用至所选操作的资源和相关条件的列表。
要查看授予权限的每个操作的操作摘要,请在服务摘要中选择链接。操作摘要表包含资源的详细信息,其中包括资源的 Region 和 Account。您还可以查看适用于每个资源的条件。这将显示适用于某些资源而不是其他资源的条件。
查看操作摘要
您可以在策略页面上查看管理型策略、任何附加到用户的策略以及任何附加到角色的策略的操作摘要。
查看托管策略的操作摘要
登录到 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择策略。
-
在策略列表中,选择要查看的策略的名称。
-
在策略的策略详细信息页面上,查看权限选项卡以查看策略摘要。
-
在服务的策略摘要列表中,选择您想要查看的服务的名称。
-
在操作的服务摘要列表中,选择您想要查看的操作的名称。
查看附加到用户的策略的操作摘要
登录 AWS Management Console,然后使用以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
从导航窗格中选择 Users。
-
在用户列表中,选择要查看其策略的用户的名称。
-
在用户的 Summary 页面上,查看 Permissions 选项卡,以查看直接附加到用户或从组附加到用户的策略列表。
-
在用户的策略表中,选择要查看的策略的名称。
如果您已打开用户页面,并选择查看附加到该用户的策略的服务摘要,则您会被重定向到策略页面。您只能在策略页面上查看服务摘要。
-
在服务的策略摘要列表中,选择您想要查看的服务的名称。
注意
如果您选择的策略是直接附加到用户的内联策略,则将显示服务摘要表。如果策略是附加到组的内联策略,则您将看到该组的 JSON 策略文档。如果策略是托管策略,则您将在 Policies 页面中看到该策略的服务摘要。
-
在操作的服务摘要列表中,选择您想要查看的操作的名称。
查看附加到角色的策略的操作摘要
登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择角色。
-
在角色列表中,选择要查看其策略的角色的名称。
-
在角色的 Summary 页面上,查看 Permissions 选项卡,以查看附加到角色的策略列表。
-
在角色的策略表中,选择要查看的策略的名称。
如果您已打开角色页面,并选择查看附加到该用户的策略的服务摘要,则您会被重定向到策略页面。您只能在策略页面上查看服务摘要。
-
在服务的策略摘要列表中,选择您想要查看的服务的名称。
-
在操作的服务摘要列表中,选择您想要查看的操作的名称。
了解操作摘要的元素
以下示例是 Amazon S3 服务摘要中 PutObject
(写入)操作的操作摘要(请参阅 服务摘要(操作列表))。对于此操作,策略在单个资源上定义多个条件。
操作摘要页面包含以下信息:
-
选择 JSON 可查看有关策略的其他详细信息,如查看适用于这些操作的多个条件。(如果您要查看直接附加到用户的内联策略的操作摘要,步骤则不同。这种情况下要访问 JSON 策略文档,则必须关闭服务摘要对话框并返回到策略摘要。)
-
要查看特定资源的摘要,请在搜索框中键入关键字以缩短可用资源列表。
-
操作返回箭头旁边显示的是
action name action in service
格式的服务和操作名称(在本例中为 S3 中的 PutObject 操作)。此服务的操作摘要包括在策略中定义的资源列表。 -
Resource(资源)- 此列将列出策略为所选服务定义的资源。在此示例中,PutObject 操作被允许在所有对象路径上执行,但仅在
developer_bucket
Amazon S3 存储桶资源上使用。根据服务提供给 IAM 的信息,您可能会看到一个 ARN(如arn:aws:s3:::developer_bucket/*
),或者您可能会看到定义的资源类型(如BucketName = developer_bucket, ObjectPath = All
)。 -
Region(区域)- 该列显示在其中定义资源的区域。可以为所有区域或单个区域定义资源。它们不能位于多个特定的区域中。
-
所有区域 – 与资源关联的操作适用于所有区域。在此示例中,该操作属于一项全球服务 Amazon S3。属于全球服务的操作适用于所有区域。
-
Region text - 与资源关联的操作适用于一个区域。例如,策略可以为资源指定
us-east-2
区域。
-
-
Account(账户)- 此列指示与资源相关联的服务或操作是否适用于特定账户。资源可以存在于所有账户中,也可以存在于单个账户中。它们不能存在于多个特定账户中。
-
All accounts(所有账户)- 与资源相关联的操作适用于所有账户。在此示例中,该操作属于一项全球服务 Amazon S3。属于全球服务的操作适用于所有账户。
-
此账户 – 与资源相关联的操作仅适用于当前账户。
-
Account number - 与该资源相关联的操作适用于一个账户(不是您当前登录的账户)。例如,如果策略为资源指定
123456789012
的账户,则账号将显示在策略摘要中。
-
-
Request condition(请求条件)- 此列显示与资源关联的操作是否受条件约束。此示例包含
s3:x-amz-acl = public-read
条件。要了解有关这些条件的更多信息,请选择 JSON 以查看 JSON 策略文档。