以身分為基礎的 IAM 政策範例 - AWS Identity and Access Management

以身分為基礎的 IAM 政策範例

政策是 AWS 中的一個物件,當其和身分或資源建立關聯時,便可定義其許可。AWS 會在 IAM 主體 (使用者或角色) 發出請求時評估這些政策。政策中的許可決定是否允許或拒絕請求。大部分政策會以 JSON 文件形式存放在 AWS 中,且這類文件會連接到 IAM 身分 (使用者、使用者群組或角色)。以身分為基礎的政策包括 AWS 受管政策、客戶受管政策以及內嵌政策。若要了解如何使用這些範例 JSON 政策文件來建立 IAM 政策,請參閱 在 JSON 標籤上建立政策

在預設情況下,所有請求會遭拒絕,所以您必須提供對要存取身分的服務、動作和資源的存取。如果您還要允許存取在 IAM 主控台中完成指定的動作,則需要提供額外的許可。

以下政策程式庫可協助您定義 IAM 身分的許可。在您找到所需的政策後,選擇 View this policy (查看此政策) 以查看 JSON 的政策。您可以將 JSON 政策文件用作自己政策的範本。

注意

如果您想提交要包含在本參考指南中的政策,請使用此頁面底部的 Feedback (意見回饋) 按鈕。

政策範例:AWS

  • 在特定日期範圍期間允許存取。查看此政策

  • 啟用和停用 AWS 區域。查看此政策

  • 允許經過 MFA 身分驗證的使用者在 My Security Credentials (我的安全憑證) 頁面上管理其憑證。查看此政策

  • 在特定日期範圍內使用 MFA 時允許特定存取。查看此政策

  • 允許使用者在 My Security Credentials (我的安全憑證) 頁面上管理其憑證。查看此政策

  • 允許使用者在 My Security Credentials (我的安全憑證) 頁面上管理其 MFA 裝置。查看此政策

  • 允許使用者在 My Security Credentials (我的安全憑證) 頁面上管理其密碼。查看此政策

  • 允許使用者在 My Security Credentials (我的安全憑證) 頁面上管理其密碼、存取金鑰和 SSH 公有金鑰。查看此政策

  • 根據所請求的區域拒絕存取 AWS。查看此政策

  • 拒絕根據來源 IP 存取 AWS。查看此政策

範例政策:AWS CloudFormation

  • 拒絕存取您帳戶以外的 Amazon SNS 資源,但 CloudFormation 除外。查看此政策

範例政策:AWS Data Exchange

  • 拒絕存取您帳戶以外的 Amazon S3 資源,但 AWS Data Exchange 除外。查看此政策

政策範例:AWS Data Pipeline

範例政策:Amazon DynamoDB

  • 允許存取特定 Amazon DynamoDB 資料表 (查看此政策。)

  • 允許存取特定 Amazon DynamoDB 屬性 (查看此政策。)

  • 允許根據 Amazon Cognito ID 對 Amazon DynamoDB 進行項目層級存取 (查看此政策。)

範例政策:Amazon EC2

  • 允許 Amazon EC2 執行個體與磁碟區連接或分開 (查看此政策。)

  • 允許根據標籤將 Amazon EBS 磁碟區與 Amazon EC2 執行個體連接或分開 (查看此政策。)

  • 允許以程式設計方式並在主控台的特定子網路中啟動 Amazon EC2 執行個體 (查看此政策。)

  • 允許以程式設計方式及在主控台中管理與特定 VPC 相關聯的 Amazon EC2 安全群組 (查看此政策。)

  • 允許以程式設計方式及在主控台中啟動或停用使用者已加上標籤的 Amazon EC2 執行個體 (查看此政策。)

  • 允許以程式設計方式及在主控台中根據資源和主體標籤來啟用或停用 Amazon EC2 執行個體 (查看此政策。)

  • 當資源與主體標籤相符時,允許啟用或停用 Amazon EC2 執行個體 (查看此政策。)

  • 允許在特定區域內,以程式設計方式和在主控台進行 Amazon EC2 完全存取。查看此政策

  • 允許以程式設計方式和在主控台中啟動或停用特定 Amazon EC2 執行個體並修改特定安全群組 (查看此政策。)

  • 拒絕在沒有 MFA 的情況下,存取特定 Amazon EC2 操作 (查看此政策。)

  • 限制將 Amazon EC2 執行個體終止到特定的 IP 地址範圍 (查看此政策。)

範例政策:AWS Identity and Access Management (IAM)

  • 允許存取政策模擬器 API (查看此政策。)

  • 允許存取政策模擬器主控台 (查看此政策。)

  • 能以程式設計方式和主控台中擔任擁有特定標籤的任何角色 (查看此政策。)

  • 能以程式設計方式和主控台中允許和拒絕存取多個服務 (查看此政策。)

  • 允許以程式設計方式和在主控台中使用不同的特定標籤,將特定標籤新增到 IAM 使用者 (查看此政策。)

  • 允許以程式設計方式和在主控台中將特定標籤新增到任何 IAM 使用者或角色 (查看此政策。)

  • 允許只使用特定標籤建立新使用者 (查看此政策。)

  • 允許產生和擷取 IAM 憑證報告 (查看此政策。)

  • 允許以程式設計方式及在主控台中管理群組的成員資格 (查看此政策。)

  • 允許管理特定標籤 (查看此政策。)

  • 允許將 IAM 角色傳遞至特定服務 (查看此政策。)

  • 允許對 IAM 主控台的唯讀存取,而不需要報告 (查看此政策。)

  • 允許對 IAM 主控台的唯讀存取 (查看此政策。)

  • 允許特定使用者以程式設計方式及在主控台中管理群組 (查看此政策。)

  • 允許以程式設計方式在主控台中設定帳戶密碼要求 (查看此政策。)

  • 允許對具有特定路徑的使用者使用政策模擬器 API (查看此政策。)

  • 允許對具有特定路徑的使用者使用政策模擬器主控台 (查看此政策。)

  • 允許 IAM 使用者自行管理 MFA 裝置。查看此政策

  • 允許 IAM 使用者以程式設計方式和在主控台輪換自己的憑證。查看此政策

  • 允許檢視 IAM 主控台中 AWS Organizations 政策的上次存取資訊。查看此政策

  • 限制可以套用到新的 IAM 使用者、群組或角色的受管政策 (查看此政策。)

  • 僅允許存取您帳戶中的 IAM 政策 (檢視此政策。)

政策範例:AWS Lambda

  • 允許 AWS Lambda 函數存取 Amazon DynamoDB 資料表 (查看此政策。)

範例政策:Amazon RDS

  • 允許在特定區域內的完整 Amazon RDS 資料庫存取。查看此政策

  • 允許以程式設計方式和在主控台中復原 Amazon RDS 資料庫 (查看此政策。)

  • 允許標籤持有者擁有對已加上標籤的 Amazon RDS 資源的完整存取許可 (查看此政策)

範例政策:Amazon S3

  • 允許 Amazon Cognito 使用者存取自己的 Amazon S3 儲存貯體中的物件 (查看此政策。)

  • 允許聯合身分使用者以程式設計方式及在主控台中存取自己 Amazon S3 中的主目錄 (查看此政策。)

  • 允許完整的 S3 存取,但如果管理員並未在最後 30 分鐘內使用 MFA 登入,則會明確拒絕存取生產儲存貯體。(查看此政策。)

  • 允許 IAM 使用者以程式設計方式或在主控台中存取 Amazon S3 中自己的主目錄 (查看此政策。)

  • 允許使用者管理單一 Amazon S3 儲存貯體並拒絕其他所有 AWS 動作和資源 (查看此政策。)

  • 允許 ReadWrite 存取特定的 Amazon S3 儲存貯體 (查看此政策。)

  • 允許 ReadWrite 以程式設計方式和在主控台存取特定的 Amazon S3 儲存貯體 (查看此政策。)