以身分為基礎的 IAM 政策範例 - AWS 身分和存取權管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

以身分為基礎的 IAM 政策範例

原則是一個物件 AWS ,當與身分識別或資源相關聯時,會定義其權限。 AWS 當 IAM 主體 (使用者或角色) 提出要求時,評估這些政策。政策中的許可決定是否允許或拒絕請求。大多數政策都 AWS 以 JSON 文件的形式儲存在中,這些文件會附加至 IAM 身分 (使用者、使用者群組或角色)。以身分為基礎的政策包括 AWS 受管政策、客戶受管政策以及內嵌政策。若要了解如何使用這些範例 JSON 政策文件來建立 IAM 政策,請參閱 使用JSON編輯器建立原則

在預設情況下,所有請求會遭拒絕,所以您必須提供對要存取身分的服務、動作和資源的存取。如果您還要允許存取在 IAM 主控台中完成指定的動作,則需要提供額外的許可。

以下政策程式庫可協助您定義 IAM 身分的許可。在您找到所需的政策後,選擇 View this policy (查看此政策) 以查看 JSON 的政策。您可以將 JSON 政策文件用作自己政策的範本。

注意

如果您想提交要包含在本參考指南中的政策,請使用此頁面底部的 Feedback (意見回饋) 按鈕。

政策範例: AWS

  • 在特定日期範圍期間允許存取。查看此政策

  • 允許啟用和停用 AWS 區域。查看此政策

  • 允許 MFA 驗證的使用者在「全性認證」頁面上管理自己的認證。查看此政策

  • 在特定日期範圍內使用 MFA 時允許特定存取。查看此政策

  • 允許使用者在 [安全認證] 頁面上管理自己的認證查看此政策

  • 允許使用者在 [安全性認證] 頁面上管理自己的 MFA 裝置。查看此政策

  • 允許使用者在 [安全認證] 頁面上管理自己的密碼。查看此政策

  • 允許使用者在安全登入資料頁面上管理自己的密碼、存取金鑰和 SSH 公開金鑰。查看此政策

  • AWS 根據要求的區域拒絕存取。查看此政策

  • AWS 根據來源 IP 位址拒絕存取。查看此政策

範例政策: AWS Data Exchange

  • 拒絕存取您帳戶以外的 Amazon S3 資源,但 AWS Data Exchange除外。查看此政策

政策範例: AWS Data Pipeline

範例政策:Amazon DynamoDB

  • 允許存取特定 Amazon DynamoDB 資料表 (查看此政策。)

  • 允許存取特定 Amazon DynamoDB 屬性 (查看此政策。)

  • 允許根據 Amazon Cognito ID 對 Amazon DynamoDB 進行項目層級存取 (查看此政策。)

範例政策:Amazon EC2

  • 允許根據標籤將 Amazon EBS 磁碟區與 Amazon EC2 執行個體連接或分開 (查看此政策。)

  • 允許以程式設計方式並在主控台的特定子網路中啟動 Amazon EC2 執行個體 (查看此政策。)

  • 允許以程式設計方式及在主控台中管理與特定 VPC 相關聯的 Amazon EC2 安全群組 (查看此政策。)

  • 允許以程式設計方式及在主控台中啟動或停用使用者已加上標籤的 Amazon EC2 執行個體 (查看此政策。)

  • 允許以程式設計方式及在主控台中根據資源和主體標籤來啟用或停用 Amazon EC2 執行個體 (查看此政策。)

  • 當資源與主體標籤相符時,允許啟用或停用 Amazon EC2 執行個體 (查看此政策。)

  • 允許在特定區域內,以程式設計方式和在主控台進行 Amazon EC2 完全存取。查看此政策

  • 允許以程式設計方式和在主控台中啟動或停用特定 Amazon EC2 執行個體並修改特定安全群組 (查看此政策。)

  • 拒絕在沒有 MFA 的情況下,存取特定 Amazon EC2 操作 (查看此政策。)

  • 限制將 Amazon EC2 執行個體終止到特定的 IP 地址範圍 (查看此政策。)

政策範例: AWS Identity and Access Management (IAM)

  • 允許存取政策模擬器 API (查看此政策。)

  • 允許存取政策模擬器主控台 (查看此政策。)

  • 能以程式設計方式和主控台中擔任擁有特定標籤的任何角色 (查看此政策。)

  • 能以程式設計方式和主控台中允許和拒絕存取多個服務 (查看此政策。)

  • 允許以程式設計方式和在主控台中使用不同的特定標籤,將特定標籤新增到 IAM 使用者 (查看此政策。)

  • 允許以程式設計方式和在主控台中將特定標籤新增到任何 IAM 使用者或角色 (查看此政策。)

  • 允許只使用特定標籤建立新使用者 (查看此政策。)

  • 允許產生和擷取 IAM 憑證報告 (查看此政策。)

  • 允許以程式設計方式及在主控台中管理群組的成員資格 (查看此政策。)

  • 允許管理特定標籤 (查看此政策。)

  • 允許將 IAM 角色傳遞至特定服務 (查看此政策。)

  • 允許對 IAM 主控台的唯讀存取,而不需要報告 (查看此政策。)

  • 允許對 IAM 主控台的唯讀存取 (查看此政策。)

  • 允許特定使用者以程式設計方式及在主控台中管理群組 (查看此政策。)

  • 允許以程式設計方式在主控台中設定帳戶密碼要求 (查看此政策。)

  • 允許對具有特定路徑的使用者使用政策模擬器 API (查看此政策。)

  • 允許對具有特定路徑的使用者使用政策模擬器主控台 (查看此政策。)

  • 允許 IAM 使用者自行管理 MFA 裝置。查看此政策

  • 允許 IAM 使用者以程式設計方式和在主控台設定自己的憑證。查看此政策

  • 允許在 IAM 主控台中檢視 AWS Organizations 政策上次存取的服務資訊。查看此政策

  • 限制可以套用到新的 IAM 使用者、群組或角色的受管政策 (查看此政策。)

  • 僅允許存取您帳戶中的 IAM 政策 (檢視此政策。)

政策範例: AWS Lambda

  • 允許 AWS Lambda 函數存取 Amazon DynamoDB 表格 (檢視此政策)。

範例政策:Amazon RDS

  • 允許在特定區域內的完整 Amazon RDS 資料庫存取。查看此政策

  • 允許以程式設計方式和在主控台中復原 Amazon RDS 資料庫 (查看此政策。)

  • 允許標籤持有者擁有對已加上標籤的 Amazon RDS 資源的完整存取許可 (查看此政策)

範例政策:Amazon S3

  • 允許 Amazon Cognito 使用者存取自己的 Amazon S3 儲存貯體中的物件 (查看此政策。)

  • 允許聯合身分使用者以程式設計方式及在主控台中存取自己 Amazon S3 中的主目錄 (查看此政策。)

  • 允許完整的 S3 存取,但如果管理員並未在最後 30 分鐘內使用 MFA 登入,則會明確拒絕存取生產儲存貯體。(查看此政策。)

  • 允許 IAM 使用者以程式設計方式或在主控台中存取 Amazon S3 中自己的主目錄 (查看此政策。)

  • 允許使用者管理單一 Amazon S3 儲存貯體,並拒絕其他所有 AWS 動作和資源 (檢視此政策)。

  • 允許 ReadWrite 存取特定的 Amazon S3 儲存貯體 (查看此政策。)

  • 允許 ReadWrite 以程式設計方式和在主控台存取特定的 Amazon S3 儲存貯體 (查看此政策。)