使用 IAM 的AWS服务
下面列出的 AWS 服务根据其 AWS 产品类别分组
-
服务 - 您可以选择一项服务的名称,以查看有关该服务的 IAM 授权和访问权限的 AWS 文档。
-
操作 – 您可以指定策略中的各项操作。如果服务不支持此功能,则 visual editor(可视化编辑器)中将选中 All actions(所有操作)。在 JSON 策略文档中,您必须在
*
元素中使用Action
。有关每个服务中的操作列表,请参阅 AWS 服务的操作、资源和条件键。 -
资源级权限 – 您可以使用 ARN 在策略中指定各个资源。如果服务不支持此功能,则 policy visual editor(策略可视化编辑器)中将选中 All resources(所有资源)。在 JSON 策略文档中,您必须在
*
元素中使用Resource
。某些操作 (如List*
操作) 不支持指定 ARN,因为它们被设计为返回多个资源。如果某项服务只针对部分资源支持此功能,将在表格中用 Partial(部分)标明。有关更多信息,请参阅该服务的文档。 -
基于资源的策略 – 您可以将基于资源的策略附加到服务中的某项资源。基于资源的策略包含
Principal
元素,用于指定可以访问此资源的 IAM 身份。有关更多信息,请参阅基于身份的策略和基于资源的策略。 -
ABAC(基于标签的授权) – 要利用标签来控制访问权限,您需要在策略的 条件元素 中使用
aws:ResourceTag/
、key-name
aws:RequestTag/
或key-name
aws:TagKeys
条件键提供标签信息。如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为 Yes(是)。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为 Partial(部分)。有关基于标签等属性定义权限的更多信息,请参阅什么是适用于 AWS 的 ABAC?。要查看有关 ABAC 设置步骤的教程,请参阅使用基于属性的访问权限控制(ABAC)。 -
Temporary credentials(临时凭证)- 您可以使用在通过 IAM Identity Center 登录时获得的短期凭证、在控制台中切换角色或在 AWS CLI 或 AWS API 中使用 AWS STS 生成的临时凭证。只有在使用长期 IAM 用户凭证时,您才能访问带有否值的服务。这包括用户名和密码或用户访问密钥。有关更多信息,请参阅IAM 临时安全凭证。
-
服务相关角色 – 服务相关角色是一种特殊类型的服务角色,可授予服务代表您访问其他服务中的资源的权限。选择
Yes
链接可查看文档,了解支持这些角色的服务。此列不指示服务是否使用标准服务角色。有关更多信息,请参阅使用服务相关角色。 -
更多信息 – 如果服务不能完全支持某项功能,您可以检查该条目的脚注,查看限制以及相关信息的链接。
计算服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS App Runner | ||||||
AWS Batch | ||||||
Amazon Elastic Compute Cloud (Amazon EC2) | ||||||
Amazon EC2 Auto Scaling | ||||||
EC2 Image Builder | ||||||
Amazon EC2 Instance Connect | ||||||
AWS Elastic Beanstalk | ||||||
Amazon Elastic Inference | ||||||
Elastic Load Balancing | ||||||
AWS Lambda | ||||||
Amazon Lightsail |
||||||
AWS Outposts | ||||||
AWS 回收站 | ||||||
AWS Serverless Application Repository |
¹ Amazon EC2 仅针对以下功能支持服务相关角色:竞价型实例请求、竞价型实例集请求、Amazon EC2 Fleet 和 Windows 实例的快速启动。
² AWS Lambda 支持对使用 Lambda 函数作为所需资源的 API 操作进行基于属性的访问权限控制(ABAC)。不支持层、事件源映射和代码签名配置资源。
³ AWS Lambda 不具有服务相关角色,但 Lambda@Edge 具有。有关更多信息,请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色。
⁴ Amazon Lightsail 部分支持资源级权限和 ABAC。有关更多信息,请参阅 Amazon Lightsail 的操作、资源和条件键。
容器服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS App Runner | ||||||
Amazon Elastic Container Registry (Amazon ECR) | ||||||
Amazon Elastic Container Registry 公有(Amazon ECR 公有) | ||||||
Amazon Elastic Container Service (Amazon ECS) | ||||||
Amazon Elastic Kubernetes Service (Amazon EKS) |
¹ 仅某些 Amazon ECS 操作支持资源级权限。
存储服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Backup | ||||||
AWS Backup 网关 | ||||||
AWS Backup 存储 | ||||||
Amazon Elastic Block Store (Amazon EBS) | ||||||
AWS 弹性灾难恢复 | ||||||
Amazon Elastic File System (Amazon EFS) | ||||||
Amazon FSx | ||||||
AWS Import/Export | ||||||
Amazon S3 Glacier | ||||||
Amazon Simple Storage Service (Amazon S3) | ||||||
AWS Outposts 上的 Amazon Simple Storage Service (Amazon S3) | ||||||
Amazon Simple Storage Service (Amazon S3) 对象 Lambda | ||||||
AWS Snow Device Management | ||||||
AWS Snowball | ||||||
AWS Snowball 边缘 | ||||||
AWS Storage Gateway |
¹ Amazon S3 仅为对象资源支持基于标签的授权。
² Amazon S3 支持针对 Amazon S3 Storage Lens 的服务关联角色。
数据库服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Database Query Metadata Service | ||||||
Amazon DynamoDB | ||||||
Amazon DynamoDB Accelerator (DAX) | ||||||
Amazon ElastiCache | ||||||
Amazon Keyspaces (for Apache Cassandra) | ||||||
Amazon MediaImport | ||||||
Amazon MemoryDB for Redis | ||||||
Amazon Neptune | ||||||
AWS 性能详情 | ||||||
Amazon Quantum Ledger Database (Amazon QLDB) | ||||||
Amazon Redshift | ||||||
Amazon Redshift 数据 API | ||||||
Amazon Redshift Serverless | ||||||
Amazon Relational Database Service (Amazon RDS) | ||||||
Amazon RDS Data API | ||||||
Amazon RDS IAM 身份验证 | ||||||
Amazon SimpleDB | ||||||
AWS SQL Workbench | ||||||
Amazon Timestream |
开发人员工具服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Cloud9 | ||||||
AWS Cloud Control API | ||||||
AWS CloudShell | ||||||
AWS CodeArtifact | ||||||
AWS CodeBuild | ||||||
AWS CodeCommit | ||||||
AWS CodeDeploy | ||||||
AWS CodeDeploy 安全主机命令服务 | ||||||
AWS CodePipeline | ||||||
AWS CodeStar | ||||||
AWS CodeStar 连接 | ||||||
AWS CodeStar 通知 | ||||||
AWS Fault Injection Simulator | ||||||
AWS Microservice Extractor for .NET | ||||||
AWS X-Ray |
¹ CodeBuild 支持使用 AWS RAM 进行跨账户资源共享。
² CodeBuild 支持将 ABAC 用于基于项目的操作。
³ X-Ray 并非对所有操作均支持资源级权限。
⁴ X-Ray 支持针对组和采样规则实现基于标签的访问控制。
安全性、身份与合规性服务
¹ IAM 仅支持一种类型的基于资源的策略(称为角色信任策略),这种策略附加到 IAM 角色。有关更多信息,请参阅向用户授予切换角色的权限。
² IAM 为大多数 IAM 资源支持基于标签的访问控制。有关更多信息,请参阅标记 IAM 资源。
³ 只能使用临时凭证调用 IAM 的一部分 API 操作。有关更多信息,请参阅比较您的 API 选项。
⁴ AWS STS 没有“资源”,但允许以类似的方式限制用户访问。有关更多信息,请参阅根据名称拒绝访问临时安全凭证。
⁵ 仅 AWS STS 的一部分 API 操作支持使用临时凭证进行调用。有关更多信息,请参阅比较您的 API 选项。
加密和 PKI 服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Certificate Manager (ACM) | ||||||
AWS Private Certificate Authority (AWS Private CA) | ||||||
AWS CloudHSM | ||||||
AWS Key Management Service (AWS KMS) | ||||||
AWS 签署人 |
机器学习服务
¹ 服务相关角色目前可用于 SageMaker Studio 和 SageMaker 培训职位。
管理和治理服务
¹ 无法使用 AWS Management Console 创建 Amazon CloudWatch 服务相关角色,这些角色仅支持警报操作功能。
² 对于多账户多区域数据聚合和 AWS Config 规则,AWS Config 支持资源级权限。有关受支持的资源列表,请参阅 AWS Config API 指南中的多账户多区域数据聚合部分与 AWS Config 规则部分。
³ 用户可以通过允许 AWS Resource Groups 操作的策略代入角色。
⁴ 针对 Trusted Advisor 的 API 访问通过 AWS Support API 执行,并受 AWS Support IAM policy 的控制。
迁移和传输服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Application Discovery Service | ||||||
AWS Application Discovery Arsenal | ||||||
AWS Application Migration Service | ||||||
AWS Connector Service | ||||||
AWS Transfer Family | ||||||
AWS Database Migration Service | ||||||
AWS DataSync | ||||||
AWS Mainframe Modernization | ||||||
AWS Migration Hub | ||||||
AWS Migration Hub Orchestrator | ||||||
AWS Migration Hub Refactor Spaces | ||||||
AWS Migration Hub Strategy Recommendations | ||||||
AWS Server Migration Service |
¹ 您可以创建和修改附加到您创建的 AWS KMS 加密密钥的策略,以加密迁移到支持的目标终端节点的数据。支持的目标终端节点包括 Amazon Redshift 和 Amazon S3。有关更多信息,请参阅 AWS Database Migration Service 用户指南中的创建和使用 AWS KMS 密钥以加密 Amazon Redshift 目标数据和创建 AWS KMS 密钥以加密 Amazon S3 目标对象。
移动服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Amplify | ||||||
AWS Amplify 管理员 | ||||||
AWS Amplify UI Builder | ||||||
AWS AppSync | ||||||
AWS Device Farm | ||||||
Amazon Location Service |
网络和内容分发服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon API Gateway | ||||||
Amazon API Gateway 管理 | ||||||
Amazon API Gateway 管理第 2 版 | ||||||
AWS Direct Connect | ||||||
AWS Global Accelerator | ||||||
AWS Network Manager | ||||||
AWS 私有 5G | ||||||
Amazon Route 53 | ||||||
Amazon Route 53 域 | ||||||
Amazon Route 53 Recovery 集群 | ||||||
Amazon Route 53 恢复控制配置 | ||||||
Amazon Route 53 Recovery 就绪性 | ||||||
Amazon Route 53 Resolver | ||||||
AWS Tiros API(用于 VPC Reachability Analyzer) | ||||||
Amazon Virtual Private Cloud (Amazon VPC) |
¹ Amazon CloudFront 不具有服务相关角色,但 Lambda@Edge 具有。有关更多信息,请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色。
² AWS Cloud WAN 还支持服务相关角色。有关更多信息,请参阅《Amazon VPC AWS Cloud WAN 指南》中的 AWS Cloud WAN 相关角色。
³ 在 IAM 用户策略中,您不能限定为仅向某个 Amazon VPC 端点授予权限。包含 ec2:*VpcEndpoint*
或 ec2:DescribePrefixLists
API 操作的任何 Action
元素都必须指定“"Resource":
"*"
”。有关更多信息,请参阅《AWS PrivateLink 指南》中的 VPC 终端节点和 VPC 终端节点服务的身份和访问管理。
⁴ Amazon VPC 支持通过将单个资源策略附加到 VPC 端点来限制可通过该端点访问的内容。有关使用基于资源的策略控制特定 Amazon VPC 端点访问资源的更多信息,请参阅 AWS PrivateLink 用户指南中的使用端点策略控制服务访问。
⁵ Amazon VPC 不具有服务相关角色,但 AWS Transit Gateway 具有。有关更多信息,请参阅《Amazon VPC AWS Transit Gateway 用户指南》中的使用中转网关的服务相关角色。
媒体服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Elastic Transcoder | ||||||
AWS Elemental Appliances and Software | ||||||
AWS Elemental Appliances and Software 激活服务 | ||||||
AWS Elemental MediaConnect | ||||||
AWS Elemental MediaConvert | ||||||
AWS Elemental MediaLive | ||||||
AWS Elemental MediaPackage | ||||||
AWS Elemental MediaPackage VOD | ||||||
AWS Elemental MediaStore | ||||||
AWS Elemental MediaTailor | ||||||
AWS Elemental Support 案例 | ||||||
AWS Elemental Support 内容 | ||||||
Amazon Interactive Video Service | ||||||
Amazon Interactive Video Service Chat | ||||||
Amazon Kinesis Video Streams | ||||||
Amazon Nimble Studio |
¹ MediaPackage 支持将客户访问日志发布到 CloudWatch 的服务相关角色,但不支持其他 API 操作。
分析服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Athena | ||||||
Amazon CloudSearch | ||||||
AWS Data Exchange | ||||||
AWS Data Pipeline | ||||||
Amazon OpenSearch Service | ||||||
Amazon EMR | ||||||
Amazon EMR on EKS | ||||||
Amazon EMR Serverless | ||||||
Amazon FinSpace | ||||||
AWS Glue | ||||||
AWS Glue DataBrew | ||||||
Amazon Kinesis Data Analytics | ||||||
Amazon Kinesis Data Analytics V2 | ||||||
Amazon Kinesis Data Firehose | ||||||
Amazon Kinesis Data Streams | ||||||
AWS Lake Formation | ||||||
Amazon Managed Streaming for Apache Kafka (MSK) | ||||||
Amazon Managed Streaming for Kafka Connect | ||||||
适用于 Amazon MSK 集群的 Apache Kafka API | ||||||
Amazon Managed Workflows for Apache Airflow | ||||||
Amazon QuickSight |
应用程序集成服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon AppFlow | ||||||
Amazon EventBridge | ||||||
Amazon EventBridge Schemas | ||||||
Amazon MQ | ||||||
Amazon Simple Notification Service (Amazon SNS) | ||||||
Amazon Simple Queue Service (Amazon SQS) | ||||||
AWS Step Functions | ||||||
Amazon Simple Workflow Service (Amazon SWF) |
业务应用程序服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Alexa for Business | ||||||
Amazon Chime | ||||||
Amazon Honeycode | ||||||
Amazon WorkMail | ||||||
Amazon WorkMail Message Flow |
卫星服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Ground Station |
物联网服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
FreeRTOS | ||||||
AWS IoT | ||||||
AWS IoT 1-Click | ||||||
AWS IoT Analytics | ||||||
AWS IoT Core Device Advisor | ||||||
AWS IoT Core 对于 LoRaWAN | ||||||
AWS IoT Device Tester | ||||||
AWS IoT Events | ||||||
Fleet Hub for AWS IoT Device Management | ||||||
AWS IoT FleetWise | ||||||
AWS IoT Greengrass | ||||||
AWS IoT GreengrassV2 | ||||||
AWS IoT Jobs DataPlane | ||||||
AWS IoT RoboRunner | ||||||
AWS IoT SiteWise | ||||||
AWS IoT Things Graph | ||||||
AWS IoT TwinMaker |
¹ 连接到 AWS IoT 的设备通过 X.509 证书或 Amazon Cognito 身份进行身份验证。您可以将 AWS IoT 策略附加到 X.509 证书或 Amazon Cognito 身份以控制设备有权执行哪些操作。有关更多信息,请参阅 AWS IoT 开发人员指南 中的 AWS IoT 的安全和身份。
机器人服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS RoboMaker |
量子计算服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Braket |
区块链服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Managed Blockchain |
游戏开发服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon GameLift | ||||||
Amazon GameSparks |
AR 和 VR 服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Sumerian |
客户支持服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS IQ | ||||||
AWS IQ 权限 | ||||||
AWS Support | ||||||
AWS Support App in Slack | ||||||
AWS Support 计划 |
客户参与服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon AppIntegrations | ||||||
Amazon Connect | ||||||
Amazon Connect Cases | ||||||
Amazon Connect Customer Profiles | ||||||
Amazon Connect 大容量出站通信 | ||||||
Amazon Connect Voice ID | ||||||
Amazon Connect Wisdom | ||||||
Amazon Pinpoint | ||||||
Amazon Pinpoint 电子邮件服务 | ||||||
Amazon Pinpoint 短信和语音服务 | ||||||
Amazon Pinpoint SMS 和 Voice Service v2 | ||||||
Amazon Simple Email Service (Amazon SES) 第 2 版 |
¹ 您只能在引用与发送电子邮件相关的操作(如 ses:SendEmail
或 ses:SendRawEmail
)的策略语句中使用资源级权限。对于引用任何其他操作的策略语句,Resource 元素只能包含 *
。
² 仅 Amazon SES API 支持临时安全凭证。Amazon SES SMTP 接口不支持从临时安全凭证派生的 SMTP 凭证。
最终用户计算服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon AppStream 2.0 | ||||||
Amazon WAM | ||||||
Amazon WorkDocs | ||||||
Amazon WorkSpaces | ||||||
Amazon WorkSpaces Application Manager | ||||||
Amazon WorkSpaces Web |
账单和成本管理服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Application Cost Profiler 服务 | ||||||
AWS Billing and Cost Management | ||||||
AWS Billing Conductor | ||||||
AWS 成本和使用率报告 | ||||||
AWS Cost Explorer | ||||||
AWS 价目表 | ||||||
AWS 采购订单控制台 | ||||||
AWS Savings Plans | ||||||
AWS Sustainability | ||||||
AWS 税务设置 |
其他资源
服务 | 操作 | 资源级权限 | 基于资源的策略 | ABAC | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Activate |
||||||
AWS Budget 服务 | ||||||
AWS Marketplace | ||||||
AWS Marketplace 目录 | ||||||
AWS Marketplace Commerce Analytics | ||||||
AWS Marketplace 管理门户 | ||||||
AWS Marketplace Metering Service | ||||||
AWS Marketplace Private Marketplace | ||||||
AWS Marketplace Vendor Insights | ||||||
Amazon Mechanical Turk |