本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 服务的操作、资源和条件键
每项 AWS 服务都可以定义在 IAM 策略中使用的操作、资源和条件上下文密钥。本主题介绍如何记录为每项服务提供的元素。
每个主题由各个表组成,而表提供可用操作、资源和条件键的列表。
操作表
操作表列出所有可以在 IAM policy语句的 Action 元素中使用的操作。并非服务定义的所有 API 操作都可以用作 IAM policy 中的操作。某些服务包括与 API 操作不直接对应的仅限权限的操作。这些操作以 [仅限权限] 表示。使用此列表可确定哪些操作可用于 IAM policy 中。有关 Action、Resource 或 Condition 元素的更多信息,请参阅 IAM JSON 策略元素参考。操作和描述表列是自描述性的。
-
访问级别列描述如何对操作进行分类(列出、读取、写入、权限管理或标记)。此分类可以帮助您了解当您在策略中使用操作时,相应操作授予的访问级别。有关访问级别的更多信息,请参阅了解策略摘要内的访问级别摘要。
-
资源类型列指示操作是否支持资源级权限。如果该列为空,则操作不支持资源级权限,并且您必须在策略中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在策略的
Resource元素中指定资源 ARN。有关资源的更多信息,请参阅资源类型表中相应的行。一个语句中包括的所有操作和资源必须相互兼容。如果您指定的资源对操作无效,则任何使用该操作的请求都会失败,并且语句的Effect不适用。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。
-
条件键列包括可以在策略语句的
Condition元素中指定的键。可能支持将条件键与操作或操作和特定资源一起使用。请密切注意该键是否与特定资源类型位于同一行中。该表不包括适用于任何操作或不相关情况的全局条件键。有关全局条件键的更多信息,请参阅AWS 全局条件上下文键。 -
除了操作本身的权限以外,相关操作列还包括成功调用该操作所应该具有的任何其他权限。如果操作访问多个资源,这可能是必需的。
并非在所有情况下都需要相关操作。有关为用户提供精细权限的更多信息,请参阅各个服务的文档。
资源类型表
资源类型表列出您可以在 Resource 策略元素中指定为 ARN 的所有资源类型。并非可以为每个操作指定每种资源类型。某些资源类型仅适用于某些操作。如果在语句中指定一种资源类型并且操作不支持该资源类型,则该语句不允许访问。有关 Resource 元素的更多信息,请参阅 IAM JSON 策略元素:Resource。
条件键表
条件键表列出可以在 IAM policy 语句的 Condition 元素中使用的所有条件上下文键。并非可以对每个操作或资源指定每个键。某些键仅适用于特定类型的操作和资源。有关 Condition 元素的更多信息,请参阅 IAM JSON 策略元素:Condition。
主题
