使用 IAM 的 AWS 服务

下面列出的 AWS 服务根据其 AWS 产品类别分组，包含所支持的 IAM 功能的信息：

服务 – 您可以选择一项服务的名称，以查看有关该服务的 IAM 授权和访问权限的 AWS 文档。
操作 – 您可以指定策略中的各项操作。如果服务不支持此功能，则可视化编辑器中将选中所有操作。在 JSON 策略文档中，您必须在 * 元素中使用 Action。有关每个服务中的操作列表，请参阅 AWS 服务的操作、资源和条件键。
资源级权限 – 您可以使用 ARN 在策略中指定各个资源。如果服务不支持此功能，则策略可视化编辑器中将选中所有资源。在 JSON 策略文档中，您必须在 * 元素中使用 Resource。某些操作 (如 List* 操作) 不支持指定 ARN，因为它们被设计为返回多个资源。如果某项服务只针对部分资源支持此功能，将在表格中用黄色单元格标明。有关更多信息，请参阅该服务的文档。
基于资源的策略 – 您可以将基于资源的策略附加到服务中的某项资源。基于资源的策略包含 Principal 元素，用于指定可以访问此资源的 IAM 身份。有关更多信息，请参阅基于身份的策略和基于资源的策略。
根据标签进行授权 – 您可以在策略的条件中使用资源标签来控制对服务中的资源的访问。您可以使用 aws:ResourceTag 全局条件键或服务特定的标签（如 aws:ResourceTag）执行该操作。有关基于标签等属性定义权限的更多信息，请参阅什么是适用于 AWS 的 ABAC？。
临时凭证 – 您可以使用在通过 SSO 登录时获得的短期凭证、在控制台中切换角色或在 AWS CLI 或 AWS API 中使用 AWS STS 生成的临时凭证。只有在使用长期 IAM 用户凭证时，您才能访问带有否值的服务。这包括用户名和密码或用户访问密钥。有关更多信息，请参阅 IAM 中的临时安全凭证。
服务相关角色 – 服务相关角色是一种特殊类型的服务角色，可授予服务代表您访问其他服务中的资源的权限。选择 Yes 链接可查看文档，了解支持这些角色的服务。此列不指示服务是否使用标准服务角色。有关更多信息，请参阅使用服务相关角色。
更多信息 – 如果服务不能完全支持某项功能，您可以检查该条目的脚注，查看限制以及相关信息的链接。

计算服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS App Runner	是	是	否	是	是	是
AWS Batch	是	部分	否	是	是	是
Amazon Elastic Compute Cloud (Amazon EC2)	是	部分	否	部分	是	部分¹
Amazon EC2 Auto Scaling	是	是	否	是	是	是
EC2 Image Builder	是	是	否	是	是	是
Amazon EC2 Instance Connect	是	是	否	部分	是	否
AWS Elastic Beanstalk	是	部分	否	是	是	是
Amazon Elastic Inference	是	是	否	否	是	否
Elastic Load Balancing	是	部分	否	部分	是	是
AWS Lambda	是	是	是	否	是	部分²
Amazon Lightsail	是	部分³	否	部分³	是	是
AWS Outposts	是	否	否	否	是	是
AWS Serverless Application Repository	是	是	是	否	是	否

¹ Amazon EC2 仅针对以下功能支持服务相关角色：Spot 实例请求和 Spot 队列请求。

² AWS Lambda 不具有服务相关角色，但 Lambda@Edge 具有。有关更多信息，请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色。

³ Amazon Lightsail 部分支持基于标签的资源级权限和授权。有关更多信息，请参阅支持 Amazon Lightsail 中的基于标签的资源级权限和授权

容器服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS App Runner	是	是	否	是	是	是
Amazon Elastic Container Registry (Amazon ECR)	是	是	是	是	是	否
Amazon Elastic Container Registry 公有（Amazon ECR 公有）	是	是	否	是	是	否
Amazon Elastic Container Service (Amazon ECS)	是	部分¹	否	是	是	是
Amazon Elastic Kubernetes Service (Amazon EKS)	是	是	否	是	是	是

¹ 仅某些 Amazon ECS 操作支持资源级权限。

存储服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS Backup	是	是	是	是	是	是
AWS Backup 存储	是	是	否	否	是	否
Amazon Elastic Block Store (Amazon EBS)	是	部分	否	是	是	否
Amazon Elastic File System (Amazon EFS)	是	是	是	是	是	是
Amazon FSx	是	是	否	是	是	是
Amazon S3 Glacier	是	是	是	是	是	否
AWS Import/Export	是	否	否	否	是	否
Amazon Simple Storage Service (Amazon S3)	是	是	是	部分¹	是	部分²
AWS Outposts 上的 Amazon Simple Storage Service (Amazon S3)	是	是	是	部分¹	是	否
Amazon Simple Storage Service (Amazon S3) 对象 Lambda	是	是	否	否	是	否
AWS Snow Device Management	是	是	否	是	是	否
AWS Snowball	是	否	否	否	是	否
AWS Snowball 边缘	是	否	否	否	是	否
AWS Storage Gateway	是	是	否	是	是	否

¹ Amazon S3 仅为对象资源支持基于标签的授权。

² Amazon S3 支持 Amazon S3 Storage Lens 的服务相关角色。

数据库服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Amazon DynamoDB	是	是	否	否	是	是
Amazon ElastiCache	是	是	否	是	是	是
Amazon Keyspaces (for Apache Cassandra)	是	是	否	是	是	是
Amazon MemoryDB	是	是	否	是	是	是
Amazon Neptune	是	是	否	否	是	是
AWS 性能详情	是	是	否	否	是	否
Amazon Quantum Ledger Database (Amazon QLDB)	是	是	否	是	是	否
Amazon Redshift	是	是	否	是	是	是
Amazon Redshift 数据 API	是	是	否	是	是	否
Amazon Relational Database Service (Amazon RDS)	是	是	否	是	是	是
Amazon RDS 数据 API	是	是	否	是	是	否
Amazon SimpleDB	是	是	否	否	是	否
Amazon Timestream	是	是	否	是	是	否
Database Query Metadata Service	是	否	否	否	是	否

开发人员工具服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS Cloud9	是	是	是	是	是	是
AWS CloudShell	是	是	否	否	否	否
AWS CodeArtifact	是	是	是	是	是	否
CodeBuild	是	是	是¹	部分²	是	否
CodeCommit	是	是	否	是	是	否
AWS CodeDeploy	是	是	否	是	是	否
CodePipeline	是	部分	否	是	是	否
AWS CodeStar	是	部分	否	是	是	否
AWS CodeStar 连接	是	是	否	是	是	否
AWS CodeStar 通知	是	是	否	是	是	是
AWS Fault Injection Simulator	是	是	否	是	是	是
AWS X-Ray	是	部分³	否	部分⁴	是	否

¹ CodeBuild 支持使用 AWS RAM 进行跨账户资源共享。

² CodeBuild 支持根据基于项目的操作的标签进行授权。

对于所有操作，³ X-Ray 不支持资源级权限。

⁴ X-Ray 支持针对组和采样规则实现基于标签的访问控制。

安全性、身份与合规性服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS Artifact	是	是	否	否	是	否
AWS 审计管理器	是	是	否	是	是	是
Amazon Cloud Directory	是	是	否	否	是	否
Amazon Cognito	是	是	否	是	是	是
Amazon Detective	是	是	否	是	是	否
AWS Directory Service	是	是	否	是	是	否
AWS Firewall Manager	是	是	否	是	是	部分
Amazon GuardDuty	是	是	否	是	是	是
AWS Identity and Access Management (IAM)	是	是	部分¹	部分²	部分³	否
AWS Identity and Access Management 访问分析器	是	是	否	是	是	部分
Amazon Inspector	是	否	否	否	是	是
Amazon Macie	是	是	否	是	是	是
Amazon Macie Classic	是	否	否	否	是	是
AWS 网络防火墙	是	是	否	是	是	是
AWS Resource Access Manager (AWS RAM)	是	是	否	是	是	否
AWS Secrets Manager	是	是	是	是	是	否
AWS Security Hub	是	是	否	是	是	是
AWS Single Sign-On (AWS SSO)	是	是	否	是	是	是
AWS SSO 目录	是	否	否	否	是	否
AWS SSO 身份存储	是	否	否	否	是	否
AWS Security Token Service ( AWS STS )	是	部分⁴	否	是	部分⁵	否
AWS Shield	是	是	否	是	是	否
AWS WAF	是	是	否	是	是	是
AWS WAF Classic	是	是	否	是	是	是
AWS WAF 区域性	是	是	否	是	是	是

¹ IAM 仅支持一种类型的基于资源的策略（称为角色信任策略），这种策略附加到 IAM 角色。有关更多信息，请参阅向用户授予切换角色的权限。

² IAM 为大多数 IAM 资源支持基于标签的访问控制。有关更多信息，请参阅标记 IAM 资源。

³ 只能使用临时凭证调用 IAM 的一部分 API 操作。有关更多信息，请参阅比较您的 API 选项。

⁴ AWS STS 没有“资源”，但允许以类似的方式限制用户访问。有关更多信息，请参阅根据名称拒绝访问临时安全凭证。

⁵ 仅 AWS STS 的一部分 API 操作支持使用临时凭证进行调用。有关更多信息，请参阅比较您的 API 选项。

加密和 PKI 服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS Certificate Manager Private Certificate Authority (ACM)	是	是	是	是	是	否
AWS Certificate Manager (ACM)	是	是	否	是	是	是
AWS CloudHSM	是	是	否	是	是	是
AWS Key Management Service (AWS KMS)	是	是	是	是	是	是
AWS 签署人	是	是	否	是	是	否

机器学习服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS BugBust	是	是	否	是	是	是
Amazon CodeGuru Profiler	是	是	否	是	是	是
Amazon CodeGuru Reviewer	是	是	否	是	是	是
Amazon Comprehend	是	是	否	是	是	否
Amazon Comprehend Medical	是	否	否	否	是	否
AWS DeepComposer	是	是	否	是	是	否
AWS DeepRacer	是	是	否	是	是	是
AWS Panorama	是	是	否	是	是	否
Amazon DevOps Guru	是	是	否	否	是	是
Amazon Forecast	是	是	否	是	是	否
Amazon Fraud Detector	是	是	否	是	是	否
Ground Truth 标记	是	否	否	否	是	否
Amazon HealthLake	是	是	否	是	是	否
Amazon Kendra	是	是	否	是	是	否
Amazon Lex	是	是	否	是	是	是
Amazon Lex V2	是	是	是	是	是	是
Amazon Lookout for Equipment	是	是	否	是	是	否
Amazon Lookout for Metrics	是	是	否	是	是	否
Amazon Lookout for Vision	是	是	否	是	是	否
Amazon Monitron	是	是	否	是	是	否
Amazon Machine Learning	是	是	否	是	是	否
Amazon Personalize	是	是	否	否	是	否
Amazon Polly	是	是	否	否	是	否
Amazon Rekognition	是	是	否	是	是	否
Amazon SageMaker	是	是	否	是	是	否
Amazon Textract	是	是	否	否	是	否
Amazon Transcribe	是	否	否	否	是	否
Amazon Translate	是	否	否	否	是	否

管理和治理服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Application Auto Scaling	是	否	否	否	是	是
AWS AppConfig	是	是	否	是	是	否
AWS Auto Scaling	是	否	否	否	是	是
AWS Chatbot	是	是	否	否	是	是
AWS CloudFormation	是	是	否	是	是	否
AWS CloudTrail	是	是	否	否	是	是
Amazon CloudWatch	是	是	否	是	是	部分¹
Amazon CloudWatch Application Insights	是	否	否	否	是	否
Amazon CloudWatch Events	是	是	否	是	是	否
Amazon CloudWatch Logs	是	是	是	是	是	是
Amazon CloudWatch Synthetics	是	是	否	部分	是	否
AWS Compute Optimizer	是	否	否	否	是	是
AWS Config	是	部分²	否	是	是	是
AWS Control Tower	是	否	否	否	是	否
Amazon Data Lifecycle Manager	是	是	否	是	是	否
AWS Health	是	是	否	否	是	否
AWS License Manager	是	是	否	是	是	是
Amazon Managed Grafana	是	是	否	否	是	否
Amazon Managed Service for Prometheus	是	是	否	是	是	否
AWS OpsWorks	是	是	否	否	是	否
AWS OpsWorks 配置管理	是	是	否	否	是	否
AWS Organizations	是	是	否	是	是	是
AWS Proton	是	是	否	是	是	否
AWS Resource Groups	是	是	否	是	部分³	否
AWS Resource Groups Tagging API	是	否	否	否	是	否
AWS Service Catalog	是	是	否	部分⁴	是	是
Amazon Session Manager Message Gateway Service	是	否	否	否	否	否
AWS Systems Manager	是	是	否	是	是	是
AWS Systems Manager Incident Manager	是	是	否	否	是	是
AWS Systems Manager Incident Manager 联系人	是	是	否	否	是	否
AWS 标签编辑器	是	否	否	否	是	否
AWS Trusted Advisor	部分⁵	是	否	否	部分	是
AWS Well-Architected Tool	是	是	否	是	是	否
Service Quotas	是	是	否	是	是	否

¹ 无法使用 AWS Management Console创建 Amazon CloudWatch 服务相关角色，这些角色仅支持警报操作功能。

² 对于多账户多区域数据聚合和 AWS Config 规则，AWS Config 支持资源级权限。有关支持的资源列表，请参阅 AWS Config API 指南的多账户多区域数据聚合和 AWS Config 规则部分。

³ 用户可以通过允许 AWS Resource Groups 操作的策略担任角色。

⁴ AWS Service Catalog 仅为 API 操作与输入中的一个资源匹配的操作支持基于标签的访问控制。

⁵ 针对 Trusted Advisor 的 API 访问通过 AWS Support API 执行，并受 AWS Support IAM 策略的控制。

迁移和传输服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS Application Discovery Service	是	否	否	否	是	是
AWS Application Discovery Arsenal	是	否	否	否	是	否
AWS Application Migration Service	是	是	否	是	是	是
AWS Connector Service	是	否	否	否	是	否
AWS Transfer for SFTP	是	是	否	是	是	否
AWS Database Migration Service	是	是	否¹	是	是	否
AWS DataSync	是	是	否	是	是	否
AWS Migration Hub	是	是	否	否	是	是
AWS Server Migration Service	是	否	否	否	是	是

¹ 您可以创建和修改附加到您创建的 AWS KMS 加密密钥的策略，以加密迁移到支持的目标终端节点的数据。支持的目标终端节点包括 Amazon Redshift 和 Amazon S3。有关更多信息，请参阅 AWS Database Migration Service 用户指南 中的创建和使用 AWS KMS 密钥以加密 Amazon Redshift 目标数据和创建 AWS KMS 密钥以加密 Amazon S3 目标对象。

移动服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS Amplify	是	是	否	是	是	否
AWS Amplify 管理员	是	是	否	否	是	否
AWS AppSync	是	是	否	是	是	否
AWS Device Farm	是	是	否	是	是	否
Amazon Location	是	是	否	是	是	否

网络和内容分发服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Amazon API Gateway	是	是	是	是	是	是
Amazon API Gateway 管理	是	是	否	是	是	否
Amazon API Gateway 管理第 2 版	是	是	否	是	是	否
AWS App Mesh	是	是	否	是	是	是
AWS App Mesh 预览	是	是	否	否	是	是
Amazon CloudFront	是	是	否	是	是	部分³
AWS Cloud Map	是	是	否	是	是	否
AWS Direct Connect	是	是	否	是	是	是
AWS Global Accelerator	是	是	否	是	是	是
网络管理器	是	是	否	是	是	是
Amazon Route 53	是	是	否	否	是	否
Amazon Route 53 域	是	否	否	否	否	否
Amazon Route 53 恢复集群	是	是	否	否	是	否
Amazon Route 53 恢复控制	是	是	否	否	是	否
Amazon Route 53 恢复就绪	是	是	否	是	是	否
Amazon Route 53 Resolver	是	是	否	是	是	是
AWS Tiros API（用于 VPC Reachability Analyzer）	是	否	否	否	否	否
Amazon Virtual Private Cloud (Amazon VPC)	是	部分¹	部分²	否	是	否

¹ 在 IAM 用户策略中，您不能将权限限制到特定的 Amazon VPC 终端节点。包含 ec2:*VpcEndpoint* 或 ec2:DescribePrefixLists API 操作的任何 Action 元素都必须指定“"Resource": "*"”。有关更多信息，请参阅 Amazon VPC 用户指南 中的控制终端节点的使用。

² Amazon VPC 支持将单个资源策略附加到 VPC 终端节点来限制可通过该终端节点访问的内容。有关使用基于资源的策略控制特定 Amazon VPC 终端节点访问资源的更多信息，请参阅 Amazon VPC 用户指南 中的使用终端节点策略。

³ Amazon CloudFront 不具有服务相关角色，但 Lambda@Edge 具有。有关更多信息，请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色。

媒体服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Amazon Elastic Transcoder	是	是	否	否	是	否
AWS Elemental Appliances and Software	是	是	否	是	是	否
AWS Elemental Appliances and Software 激活服务	是	是	否	是	是	否
AWS Elemental MediaConnect	是	是	否	否	是	否
AWS Elemental MediaConvert	是	是	否	是	是	否
AWS Elemental MediaLive	是	是	否	是	是	否
AWS Elemental MediaPackage	是	是	否	是	是	否
AWS Elemental MediaPackage VOD	是	是	否	是	是	否
AWS Elemental MediaStore	是	是	是	否	是	否
AWS Elemental MediaTailor	是	是	否	是	是	否
AWS Elemental Support 案例	是	否	否	否	是	否
AWS Elemental Support 内容	是	否	否	否	是	否
Amazon Interactive Video Service	是	是	否	是	是	是
Kinesis Video Streams	是	是	否	是	是	否
Amazon Nimble Studio	是	是	否	是	是	否

分析服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Amazon Athena	是	是	否	是	是	否
Amazon CloudSearch	是	是	否	否	是	否
AWS Data Exchange	是	是	否	是	是	否
AWS Data Pipeline	是	否	否	是	是	否
Amazon OpenSearch Service	是	是	是	是	是	是
Amazon EMR	是	是	否	是	是	是
Amazon EMR 在 EKS 上（EMR 容器）	是	是	否	是	是	是
AWS Glue	是	是	是	部分	是	否
AWS Glue DataBrew	是	是	否	是	是	否
Amazon Kinesis Data Analytics	是	是	否	是	是	否
Amazon Kinesis Data Analytics V2	是	是	否	是	是	否
Amazon Kinesis Data Firehose	是	是	否	是	是	否
Amazon Kinesis Data Streams	是	是	否	否	是	否
AWS Lake Formation	是	否	否	否	是	是
Amazon Managed Streaming for Apache Kafka (MSK)	是	是	否	是	是	否
适用于 Amazon MSK 集群的 Apache Kafka API	是	是	否	是	是	否
Amazon Managed Workflows for Apache Airflow	是	是	否	是	是	否
Amazon QuickSight	是	是	否	是	是	否

应用程序集成服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Amazon AppFlow	是	是	否	是	是	否
Amazon EventBridge	是	是	是	是	是	否
Amazon EventBridge Schemas	是	是	是	是	是	否
Amazon MQ	是	是	否	是	是	是
Amazon Simple Notification Service (Amazon SNS)	是	是	是	是	是	否
Amazon Simple Queue Service (Amazon SQS)	是	是	是	否	是	否
AWS Step Functions	是	是	否	是	是	否
Amazon Simple Workflow Service (Amazon SWF)	是	是	否	是	是	否

业务应用程序服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Alexa for Business	是	是	否	是	是	否
Amazon Chime	是	是	否	是	是	是
Amazon Honeycode	是	是	否	否	是	否
Amazon WorkMail	是	是	否	是	是	是
Amazon WorkMail 消息流	是	是	否	否	是	否

卫星服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS Ground Station	是	是	否	是	是	否

物联网服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS IoT 1-Click	是	是	否	是	是	否
AWS IoT Greengrass	是	是	否	是	是	否
AWS IoT GreengrassV2	是	是	否	是	是	否
AWS IoT	是	是	部分¹	是	是	否
AWS IoT Analytics	是	是	否	是	是	否
AWS IoT Core Device Advisor	是	是	否	是	是	否
AWS IoT Core 对于 LoRaWAN	是	是	否	是	是	否
AWS IoT Device Tester	是	否	否	否	是	否
AWS IoT Events	是	是	否	是	是	否
AWS IoT SiteWise	是	是	否	是	是	是
AWS IoT Things Graph	是	是	否	是	是	否
Fleet Hub for AWS IoT Device Management	是	是	否	是	是	否
FreeRTOS	是	是	否	是	是	否

¹ 连接到 AWS IoT 的设备通过 X.509 证书或 Amazon Cognito 身份进行身份验证。您可以将 AWS IoT 策略附加到 X.509 证书或 Amazon Cognito 身份以控制设备有权执行哪些操作。有关更多信息，请参阅 AWS IoT 开发人员指南 中的 AWS IoT 的安全和身份。

机器人服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
RoboMaker	是	是	否	是	是	是

量子计算服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Amazon Braket	是	是	否	是	是	是

区块链服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Amazon Managed Blockchain	是	是	否	是	是	否

游戏开发服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Amazon GameLift	是	是	否	是	是	否

AR 和 VR 服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Amazon Sumerian	是	是	否	否	是	否

客户支持服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS IQ	是	否	否	否	是	否
AWS IQ 权限	否	否	否	否	是	否
AWS Support	是	否	否	否	是	是

客户参与服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Amazon AppIntegrations	是	是	否	是	是	否
Amazon Connect	是	是	否	是	是	是
Amazon Connect客户档案	是	是	否	是	是	否
Amazon Pinpoint	是	是	否	是	是	否
Amazon Pinpoint 电子邮件服务	是	是	否	是	是	否
Amazon Pinpoint 短信和语音服务	是	否	否	否	是	否
Amazon Simple Email Service (Amazon SES) 第 2 版	是	部分¹	是	是	部分²	否

¹ 您只能在引用与发送电子邮件相关的操作（如 ses:SendEmail 或 ses:SendRawEmail）的策略语句中使用资源级权限。对于引用任何其他操作的策略语句，Resource 元素只能包含 *。

² 仅 Amazon SES API 支持临时安全凭证。Amazon SES SMTP 接口不支持从临时安全凭证派生的 SMTP 凭证。

最终用户计算服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
Amazon AppStream	是	否	否	否	是	否
Amazon AppStream 2.0	是	是	否	是	是	否
Amazon WAM	是	否	否	否	是	否
Amazon WorkDocs	是	否	否	否	是	否
Amazon WorkLink	是	是	否	是	是	是
Amazon WorkSpaces	是	是	否	是	是	否

账单和成本管理服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS Application Cost Profiler 服务	是	否	否	否	是	否
AWS Billing and Cost Management	是	否	否	否	是	否
AWS 成本和使用率报告	是	是	否	否	是	否
AWS Cost Explorer	是	否	否	否	是	否
AWS Savings Plans	是	是	否	是	是	否

其他资源

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时凭证	服务相关角色
AWS Activate	是	否	否	否	是	否
AWS Budget 服务	是	是	否	否	否	否
AWS Marketplace	是	否	否	否	是	是
AWS Marketplace 目录	是	是	否	否	是	否
AWS Marketplace Commerce Analytics Service	是	否	否	否	否	否
AWS Marketplace Metering Service	是	否	否	否	是	否
AWS Marketplace 私有市场	是	否	否	否	是	否

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

配额

策略参考