本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Lightsail 的操作、资源和条件键
Amazon Lightsail(服务前缀:lightsail)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。
参考:
Amazon Lightsail 定义的操作
您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AllocateStaticIp | 授予权限以创建可以附加到实例的静态 IP 地址 | Write | |||
| AttachCertificateToDistribution | 授予将 SSL/TLS 证书附加到您的 Amazon Lightsail 内容分发网络 (CDN) 分发的权限 | Write | |||
| AttachDisk | 授予权限以将磁盘附加到实例 | Write | |||
| AttachInstancesToLoadBalancer | 授予权限以将一个或多个实例附加到负载均衡器 | Write | |||
| AttachLoadBalancerTlsCertificate | 授予权限以将 TLS 证书附加到负载均衡器 | Write | |||
| AttachStaticIp | 授予权限以将静态 IP 地址附加到实例 | Write | |||
| CloseInstancePublicPorts | 授予权限以关闭实例的公有端口 | 写入 | |||
| CopySnapshot | 授予在 Amazon Lightsail 中将快照从一个快照复制 AWS 区域 到另一个快照的权限 | 写入 | |||
| CreateBucket | 授予权限以创建 Amazon Lightsail 存储桶 | Write | |||
| CreateBucketAccessKey | 授予权限以为指定存储桶创建新的访问密钥 | Write | |||
| CreateCertificate | 授予创建 SSL/TLS 证书的权限 | Write |
lightsail:CreateDomainEntry lightsail:GetDomains |
||
| CreateCloudFormationStack | 授予权限以从导出的 Amazon Lightsail 快照中创建新的 Amazon EC2 实例 | Write | |||
| CreateContactMethod | 授予创建电子邮件或 SMS 短信联系方式的权限 | Write | |||
| CreateContainerService | 授予创建 Amazon Lightsail 容器服务的权限 | Write | |||
| CreateContainerServiceDeployment | 授予为您的 Amazon Lightsail 容器服务创建部署的权限 | Write | |||
| CreateContainerServiceRegistryLogin | 授予创建临时登录凭证集的权限,您可以使用这些凭证在本地计算机上登录 Docker 进程 | Write | |||
| CreateDisk | 授予权限以创建磁盘 | Write | |||
| CreateDiskFromSnapshot | 授予权限以从快照创建磁盘 | Write | |||
| CreateDiskSnapshot | 授予权限以创建磁盘快照 | Write | |||
| CreateDistribution | 授予创建 Amazon Lightsail 内容分发网络 (CDN) 分发的权限 | Write | |||
| CreateDomain | 授予权限以为指定的域名创建域资源 | Write |
route53:DeleteHostedZone route53:GetHostedZone route53:ListHostedZonesByName route53domains:GetDomainDetail route53domains:GetOperationDetail route53domains:ListDomains route53domains:ListOperations route53domains:UpdateDomainNameservers |
||
| CreateDomainEntry | 授予权限以为域资源创建一个或多个 DNS 记录条目:地址 (A)、别名记录 (CNAME)、邮件交换器 (MX)、名称服务器 (NS)、授权起始点 (SOA)、服务定位器 (SRV) 或文本 (TXT) | 写入 | |||
| CreateGUISessionAccessDetails | 授予权限以创建用于访问实例的图形用户界面 (GUI) 会话的 URL | 写入 | |||
| CreateInstanceSnapshot | 授予权限以创建实例快照 | Write | |||
| CreateInstances | 授予权限以创建一个或多个实例 | Write | |||
| CreateInstancesFromSnapshot | 授予权限以根据实例快照创建一个或多个实例 | Write | |||
| CreateKeyPair | 授予权限以创建用于身份验证和连接到实例的密钥对 | Write | |||
| CreateLoadBalancer | 授予权限以创建负载均衡器 | Write |
lightsail:CreateDomainEntry lightsail:GetDomains |
||
| CreateLoadBalancerTlsCertificate | 授予权限以创建负载均衡器 TLS 证书 | Write |
lightsail:CreateDomainEntry lightsail:GetDomains |
||
| CreateRelationalDatabase | 授予权限以创建新的关系数据库 | Write | |||
| CreateRelationalDatabaseFromSnapshot | 授予权限以从快照中创建新的关系数据库 | Write | |||
| CreateRelationalDatabaseSnapshot | 授予权限以创建关系数据库快照 | Write | |||
| DeleteAlarm | 授予删除警报的权限 | Write | |||
| DeleteAutoSnapshot | 授予删除实例或磁盘的自动快照的权限 | Write | |||
| DeleteBucket | 授予权限以删除 Amazon Lightsail 存储桶 | Write | |||
| DeleteBucketAccessKey | 授予权限以删除指定 Amazon Lightsail 存储桶的访问密钥 | Write | |||
| DeleteCertificate | 授予删除 SSL/TLS 证书的权限 | Write | |||
| DeleteContactMethod | 授予删除联系方式的权限 | Write | |||
| DeleteContainerImage | 授予删除已注册到 Amazon Lightsail 容器服务的容器映像的权限 | Write | |||
| DeleteContainerService | 授予删除 Amazon Lightsail 容器服务的权限 | Write | |||
| DeleteDisk | 授予权限以删除磁盘 | Write | |||
| DeleteDiskSnapshot | 授予权限以删除磁盘快照 | Write | |||
| DeleteDistribution | 授予删除您的 Amazon Lightsail 内容分发网络 (CDN) 分发的权限 | Write | |||
| DeleteDomain | 授予权限以删除域资源及其所有 DNS 记录 | Write | |||
| DeleteDomainEntry | 授予权限以删除域资源的 DNS 记录条目 | Write | |||
| DeleteInstance | 授予权限以删除实例 | Write | |||
| DeleteInstanceSnapshot | 授予权限以删除实例快照 | Write | |||
| DeleteKeyPair | 授予权限以删除用于身份验证和连接到实例的密钥对 | Write | |||
| DeleteKnownHostKeys | 授予权限以删除 Amazon Lightsail 基于浏览器的 SSH 或 RDP 客户端用于对实例进行身份验证的已知主机密钥或证书 | Write | |||
| DeleteLoadBalancer | 授予权限以删除负载均衡器 | Write | |||
| DeleteLoadBalancerTlsCertificate | 授予权限以删除负载均衡器 TLS 证书 | Write | |||
| DeleteRelationalDatabase | 授予权限以删除关系数据库 | Write | |||
| DeleteRelationalDatabaseSnapshot | 授予权限以删除关系数据库快照 | Write | |||
| DetachCertificateFromDistribution | 授予从 Amazon Lightsail 内容分发网络 (CDN) 分发中分离 SSL/TLS 证书的权限 | Write | |||
| DetachDisk | 授予权限以从实例分离磁盘 | Write | |||
| DetachInstancesFromLoadBalancer | 授予权限以将一个或多个实例与负载均衡器断开连接 | Write | |||
| DetachStaticIp | 授予权限以将静态 IP 从所附加到的实例上分离 | Write | |||
| DisableAddOn | 授予禁用 Amazon Lightsail 资源加载项的权限 | 写入 | |||
| DownloadDefaultKeyPair | 授予下载用于验证和连接特定实例的默认 key pair 的权限 AWS 区域 | 写入 | |||
| EnableAddOn | 授予启用或修改 Amazon Lightsail 资源加载项的权限 | Write | |||
| ExportSnapshot | 授予权限以将 Amazon Lightsail 快照导出到 Amazon EC2 | Write |
iam:CreateServiceLinkedRole iam:PutRolePolicy |
||
| GetActiveNames | 授予权限以获取所有活动(未删除)资源的名称 | Read | |||
| GetAlarms | 授予查看有关已配置警报的信息的权限 | Read | |||
| GetAutoSnapshots | 授予查看实例或磁盘的可用自动快照的权限 | Read | |||
| GetBlueprints | 授予权限以获取实例映像或蓝图列表。可以使用蓝图创建已运行特定操作系统的新实例,以及预安装的应用程序或开发堆栈。在实例上运行的软件取决于您在创建实例时定义的蓝图 | Read | |||
| GetBucketAccessKeys | 授予权限以获取指定 Amazon Lightsail 存储桶的现有访问密钥 ID | Read | |||
| GetBucketBundles | 授予权限以获取可应用于 Amazon Lightsail 存储桶的捆绑包 | Read | |||
| GetBucketMetricData | 授予权限以获取 Amazon Lightsail 存储桶的特定指标数据点 | Read | |||
| GetBuckets | 授予权限以查看有关一个或多个 Amazon Lightsail 存储桶的信息 | Read | |||
| GetBundles | 授予权限以获取实例捆绑包列表。您可以使用捆绑包创建具有一组性能规范的新实例,例如 CPU 计数、磁盘大小、RAM 大小和网络传输限额。实例的成本取决于您在创建实例时定义的捆绑包 | Read | |||
| GetCertificates | 授予查看有关一个或多个 Amazon Lightsail SSL/TLS 证书的信息的权限 | 读取 | |||
| GetCloudFormationStackRecords | 授予权限以获取有关从导出的 Amazon Lightsail 快照创建 Amazon EC2 资源的所有 CloudFormation 堆栈的信息 | 读取 | |||
| GetContactMethods | 授予查看有关已配置联系方式的信息的权限 | Read | |||
| GetContainerAPIMetadata | 授予查看有关 Amazon Lightsail 容器的信息的权限,例如当前版本的 Lightsail 控制 (lightsailctl) 插件 | Read | |||
| GetContainerImages | 授予查看注册到 Amazon Lightsail 容器服务的容器映像的权限 | Read | |||
| GetContainerLog | 授予查看 Amazon Lightsail 容器服务容器的日志事件的权限 | Read | |||
| GetContainerServiceDeployments | 授予查看 Amazon Lightsail 容器服务部署的权限 | Read | |||
| GetContainerServiceMetricData | 授予查看 Amazon Lightsail 容器服务特定指标数据点的权限 | Read | |||
| GetContainerServicePowers | 授予查看可为您的 Amazon Lightsail 容器服务指定的权力列表的权限 | Read | |||
| GetContainerServices | 授予查看有关您的一个或多个 Amazon Lightsail 容器服务信息的权限 | 读取 | |||
| GetCostEstimate | 授予权限以获取有关指定资源的成本估算的信息 | 读取 | |||
| GetDisk | 授予权限以获取有关磁盘的信息 | Read | |||
| GetDiskSnapshot | 授予权限以获取有关磁盘快照的信息 | Read | |||
| GetDiskSnapshots | 授予权限以获取有关所有磁盘快照的信息 | Read | |||
| GetDisks | 授予权限以获取有关所有磁盘的信息 | Read | |||
| GetDistributionBundles | 授予查看可应用于您的 Amazon Lightsail 内容分发网络 (CDN) 分发的捆绑包列表的权限 | Read | |||
| GetDistributionLatestCacheReset | 授予查看特定 Amazon Lightsail 内容分发网络 (CDN) 分发的最后一次缓存重置的时间戳和状态的权限 | Read | |||
| GetDistributionMetricData | 授予查看 Amazon Lightsail 内容分发网络 (CDN) 分发的特定指标的数据点的权限 | Read | |||
| GetDistributions | 授予查看有关您的一个或多个 Amazon Lightsail 内容分发网络 (CDN) 分发信息的权限 | Read | |||
| GetDomain | 授予权限以获取域资源的 DNS 记录 | Read | |||
| GetDomains | 授予权限以获取所有域资源的 DNS 记录 | Read | |||
| GetExportSnapshotRecords | 授予权限以获取将 Amazon Lightsail 快照导出到 Amazon EC2 的所有记录的相关信息 | Read | |||
| GetInstance | 授予权限以获取有关实例的信息 | Read | |||
| GetInstanceAccessDetails | 授予权限以获取可用于身份验证和连接到实例的临时密钥 | Write | |||
| GetInstanceMetricData | 授予权限以获取实例指定指标的数据点 | Read | |||
| GetInstancePortStates | 授予权限以获取实例的端口状态 | Read | |||
| GetInstanceSnapshot | 授予权限以获取有关实例快照的信息 | Read | |||
| GetInstanceSnapshots | 授予权限以获取有关所有实例快照的信息 | Read | |||
| GetInstanceState | 授予权限以获取实例的状态 | Read | |||
| GetInstances | 授予权限以获取有关所有实例的信息 | Read | |||
| GetKeyPair | 授予权限以获取有关密钥对的信息 | Read | |||
| GetKeyPairs | 授予权限以获取有关所有密钥对的信息 | 读取 | |||
| GetLoadBalancer | 授予获取负载均衡器信息的权限 | 读取 | |||
| GetLoadBalancerMetricData | 授予权限以获取指定负载均衡器指标的数据点 | Read | |||
| GetLoadBalancerTlsCertificates | 授予权限以获取有关负载均衡器 TLS 证书的信息 | 读取 | |||
| GetLoadBalancerTlsPolicies | 授予获取可以应用于 Lightsail 负载均衡器的 TLS 安全策略列表的权限 | 读取 | |||
| GetLoadBalancers | 授予权限以获取有关负载均衡器的信息 | Read | |||
| GetOperation | 授予权限以获取有关操作的信息。操作包括诸如创建实例、分配静态 IP、附加静态 IP 等事件 | Read | |||
| GetOperations | 授予权限以获取有关所有操作的信息。操作包括诸如创建实例、分配静态 IP、附加静态 IP 等事件 | Read | |||
| GetOperationsForResource | 授予权限以获取资源的操作 | 读取 | |||
| GetRegions | 授予获取所有对亚马逊 Lightsail 有效的清单 AWS 区域 的权限 | 读取 | |||
| GetRelationalDatabase | 授予权限以获取有关关系数据库的信息 | Read | |||
| GetRelationalDatabaseBlueprints | 授予权限以获取关系数据库映像或蓝图的列表。您可以使用蓝图来创建一个运行特定数据库引擎的新数据库。数据库上运行的数据库引擎取决于您在创建关系数据库时定义的蓝图 | Read | |||
| GetRelationalDatabaseBundles | 授予权限以获取关系数据库捆绑包列表。您可以使用捆绑包创建具有一组性能规范的新数据库,例如 CPU 计数、磁盘大小、RAM 大小、网络传输限额和高可用性标准。数据库的成本取决于您在创建关系数据库时定义的捆绑包 | Read | |||
| GetRelationalDatabaseEvents | 授予权限以获取关系数据库的事件 | Read | |||
| GetRelationalDatabaseLogEvents | 授予权限以获取关系数据库的指定日志流的事件 | Read | |||
| GetRelationalDatabaseLogStreams | 授予权限以获取关系数据库可用的日志流 | Read | |||
| GetRelationalDatabaseMasterUserPassword | 授予权限以获取关系数据库的主用户密码 | Write | |||
| GetRelationalDatabaseMetricData | 授予权限以获取关系数据库指定指标的数据点 | Read | |||
| GetRelationalDatabaseParameters | 授予权限以获取关系数据库的参数 | Read | |||
| GetRelationalDatabaseSnapshot | 授予权限以获取有关关系数据库快照的信息 | Read | |||
| GetRelationalDatabaseSnapshots | 授予权限以获取有关所有关系数据库快照的信息 | Read | |||
| GetRelationalDatabases | 授予权限以获取有关所有关系数据库的信息 | 读取 | |||
| GetSetupHistory | 授予权限以获取在指定资源上运行的安装请求的详细信息 | 读取 | |||
| GetStaticIp | 授予权限以获取有关静态 IP 的信息 | Read | |||
| GetStaticIps | 授予权限以获取有关所有静态 IP 的信息 | Read | |||
| ImportKeyPair | 授予权限以从密钥对导入公有密钥 | Write | |||
| IsVpcPeered | 授予权限以获取一个布尔值,该值指示 Amazon Lightsail Virtual Private Cloud (VPC) 是否对等 | Read | |||
| OpenInstancePublicPorts | 授予权限以添加或打开实例的公有端口 | Write | |||
| PeerVpc | 授予权限以尝试使用默认 VPC 与 Amazon Lightsail Virtual Private Cloud (VPC) 建立对等连接 | Write | |||
| PutAlarm | 授予创建或更新警报并将其与指定指标关联的权限 | Write | |||
| PutInstancePublicPorts | 授予权限以为实例设置指定的打开端口,并关闭请求中未包含的每个协议的所有端口 | Write | |||
| RebootInstance | 授予权限以重启处于运行状态的实例 | Write | |||
| RebootRelationalDatabase | 授予权限以重启处于运行状态的关系数据库 | Write | |||
| RegisterContainerImage | 授予将容器映像注册到 Amazon Lightsail 容器服务的权限 | Write | |||
| ReleaseStaticIp | 授予权限以删除静态 IP | Write | |||
| ResetDistributionCache | 授予从 Amazon Lightsail 内容分发网络 (CDN) 分发中删除当前缓存内容的权限 | Write | |||
| SendContactMethodVerification | 授予向电子邮件联系方式发送验证请求,以确保该联系方式为请求者所有的权限 | Write | |||
| SetIpAddressType | 授予为 Amazon Lightsail 资源设置 IP 地址类型的权限 | Write | |||
| SetResourceAccessForBucket | 授予权限以设置可访问指定 Amazon Lightsail 存储桶的 Amazon Lightsail 资源 | 写入 | |||
| SetupInstanceHttps | 授予创建 SSL/TLS 证书并将其安装在指定实例上的权限 | 写入 |
lightsail:GetInstanceAccessDetails |
||
| StartGUISession | 授予权限以启动用于访问实例的操作系统或应用程序的图形用户界面 (GUI) 会话 | 写入 | |||
| StartInstance | 授予权限以启动处于停止状态的实例 | Write | |||
| StartRelationalDatabase | 授予权限以启动处于停止状态的关系数据库 | 写入 | |||
| StopGUISession | 授予权限以终止用于访问实例的操作系统或应用程序的图形用户界面 (GUI) 会话 | 写入 | |||
| StopInstance | 授予权限以停止处于运行状态的实例 | Write | |||
| StopRelationalDatabase | 授予权限以停止处于运行状态的关系数据库 | Write | |||
| TagResource | 授予权限以标记资源 | Tagging | |||
| TestAlarm | 通过在 Amazon Lightsail 控制台上显示横幅,或者如果为指定警报配置了通知触发器,则通过向通知协议发送通知,授予测试警报的权限 | Write | |||
| UnpeerVpc | 授予权限以尝试从默认 VPC 取消与 Amazon Lightsail Virtual Private Cloud (VPC) 的对等连接 | Write | |||
| UntagResource | 授予权限以取消标记资源 | Tagging | |||
| UpdateBucket | 授予权限以更新现有 Amazon Lightsail 存储桶 | Write | |||
| UpdateBucketBundle | 授予权限以更新现有 Amazon Lightsail 存储桶的捆绑包或存储计划 | Write | |||
| UpdateContainerService | 授予更新 Amazon Lightsail 容器服务配置的权限,例如其功率、规模和公共域名 | Write | |||
| UpdateDistribution | 授予更新现有 Amazon Lightsail 内容分发网络 (CDN) 分发或其配置的权限 | Write | |||
| UpdateDistributionBundle | 授予更新您的 Amazon Lightsail 内容分发网络 (CDN) 分发捆绑包的权限 | Write | |||
| UpdateDomainEntry | 授予权限以在创建域记录集后对其进行更新 | 写入 | |||
| UpdateInstanceMetadataOptions | 授予更新实例的元数据选项的权限 | 写入 | |||
| UpdateLoadBalancerAttribute | 授予权限以更新负载均衡器的属性,例如运行状况检查路径和会话粘性 | Write | |||
| UpdateRelationalDatabase | 授予权限以更新关系数据库 | Write | |||
| UpdateRelationalDatabaseParameters | 授予权限以更新关系数据库的参数 | Write |
Amazon Lightsail 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| Domain |
arn:${Partition}:lightsail:${Region}:${Account}:Domain/${Id}
|
|
| Instance |
arn:${Partition}:lightsail:${Region}:${Account}:Instance/${Id}
|
|
| InstanceSnapshot |
arn:${Partition}:lightsail:${Region}:${Account}:InstanceSnapshot/${Id}
|
|
| KeyPair |
arn:${Partition}:lightsail:${Region}:${Account}:KeyPair/${Id}
|
|
| StaticIp |
arn:${Partition}:lightsail:${Region}:${Account}:StaticIp/${Id}
|
|
| Disk |
arn:${Partition}:lightsail:${Region}:${Account}:Disk/${Id}
|
|
| DiskSnapshot |
arn:${Partition}:lightsail:${Region}:${Account}:DiskSnapshot/${Id}
|
|
| LoadBalancer |
arn:${Partition}:lightsail:${Region}:${Account}:LoadBalancer/${Id}
|
|
| LoadBalancerTlsCertificate |
arn:${Partition}:lightsail:${Region}:${Account}:LoadBalancerTlsCertificate/${Id}
|
|
| ExportSnapshotRecord |
arn:${Partition}:lightsail:${Region}:${Account}:ExportSnapshotRecord/${Id}
|
|
| CloudFormationStackRecord |
arn:${Partition}:lightsail:${Region}:${Account}:CloudFormationStackRecord/${Id}
|
|
| RelationalDatabase |
arn:${Partition}:lightsail:${Region}:${Account}:RelationalDatabase/${Id}
|
|
| RelationalDatabaseSnapshot |
arn:${Partition}:lightsail:${Region}:${Account}:RelationalDatabaseSnapshot/${Id}
|
|
| Alarm |
arn:${Partition}:lightsail:${Region}:${Account}:Alarm/${Id}
|
|
| Certificate |
arn:${Partition}:lightsail:${Region}:${Account}:Certificate/${Id}
|
|
| ContactMethod |
arn:${Partition}:lightsail:${Region}:${Account}:ContactMethod/${Id}
|
|
| ContainerService |
arn:${Partition}:lightsail:${Region}:${Account}:ContainerService/${Id}
|
|
| Distribution |
arn:${Partition}:lightsail:${Region}:${Account}:Distribution/${Id}
|
|
| Bucket |
arn:${Partition}:lightsail:${Region}:${Account}:Bucket/${Id}
|
Amazon Lightsail 的条件键
Amazon Lightsail 定义以下可在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 按请求中允许的标签键值对筛选访问 | 字符串 |
| aws:ResourceTag/${TagKey} | 按某个资源的标签键值对筛选访问 | 字符串 |
| aws:TagKeys | 按请求中允许的标签键列表筛选访问 | ArrayOfString |
