AWS 服务的操作、资源和条件键 - 服务授权参考

AWS 服务的操作、资源和条件键

每个AWS服务可以定义操作、资源和条件上下文键以在 IAM 策略中使用。本主题介绍如何记录为每项服务提供的元素。

每个主题由各个表组成,而表提供可用操作、资源和条件键的列表。

操作表

操作表列出所有可以在 IAM 策略语句的 Action 元素中使用的操作。并非服务定义的所有 API 操作都可以用作 IAM 策略中的操作。此外,某项服务定义的某些操作可能并非直接对应于某个 API 操作。使用此列表可确定哪些操作可用于 IAM 策略中。有关 ActionResourceCondition 元素的更多信息,请参阅 IAM JSON 策略元素参考操作描述表列是自描述性的。

  • 访问级别列描述如何对操作进行分类(列出、读取、写入、权限管理或标记)。此分类可以帮助您了解当您在策略中使用操作时,相应操作授予的访问级别。有关访问级别的更多信息,请参阅了解策略摘要内的访问级别摘要

  • 资源类型列指示操作是否支持资源级权限。如果该列为空,则操作不支持资源级权限,并且您必须在策略中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在策略的 Resource 元素中指定资源 ARN。有关资源的更多信息,请参阅资源类型表中相应的行。一个语句中包括的所有操作和资源必须相互兼容。如果您指定的资源对操作无效,则任何使用该操作的请求都会失败,并且语句的 Effect 不适用。

    必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

  • 条件键列包括可以在策略语句的 Condition 元素中指定的键。可能支持将条件键与操作或操作和特定资源一起使用。请密切注意该键是否与特定资源类型位于同一行中。该表不包括适用于任何操作或不相关情况的全局条件键。有关全局条件键的更多信息,请参阅AWS全局条件上下文键

  • 除了操作本身的权限以外,相关操作列还包括成功调用该操作所必需的任何其他权限。如果操作访问多个资源,这可能是必需的。

资源类型表

资源类型表列出您可以在 Resource 策略元素中指定为 ARN 的所有资源类型。并非可以为每个操作指定每种资源类型。某些资源类型仅适用于某些操作。如果在语句中指定一种资源类型并且操作不支持该资源类型,则该语句不允许访问。有关 Resource 元素的更多信息,请参阅 IAM JSON 策略元素:Resource

  • ARN 列指定,在引用该类型的资源时必须使用的 Amazon Resource Name (ARN) 格式。前缀为 $ 的部分必须替换为您的方案的实际值。例如,如果在 ARN 中看到 $user-name,您必须将该字符串替换为实际 IAM 用户的名称或包含 IAM 用户名的策略变量。有关 ARN 的更多信息,请参阅 IAM ARN

  • 条件键列指定条件上下文键,只有在 IAM 策略语句中同时包含该资源和上表中的支持操作时,才能在该语句中包含这些键。

条件键表

条件键表列出可以在 IAM 策略语句的 Condition 元素中使用的所有条件上下文键。并非可以对每个操作或资源指定每个键。某些键仅适用于特定类型的操作和资源。有关 Condition 元素的更多信息,请参阅 IAM JSON 策略元素:Condition

  • 类型列指定条件键的数据类型。该数据类型确定您可以使用哪些条件运算符以将请求中的值与策略语句中的值进行比较。您必须使用一个适用于数据类型的运算符。如果您使用不正确的运算符,匹配始终会失败,而策略语句从不适用。

    如果 Type (类型) 列指定某种简单类型“…列表”,则可以在策略中使用多个键和值。使用条件集前缀以及运算符执行此操作。使用 ForAllValues 前缀指定请求中的所有值必须与策略语句中的值匹配。使用 ForAnyValue 前缀指定请求中至少有一个值与策略语句中的其中一个值匹配。

主题