動作摘要 (資源清單) - AWS Identity and Access Management
檢視動作摘要了解動作摘要的元素

動作摘要 (資源清單)

政策摘要列於三個表中:政策摘要、服務摘要以及動作摘要動作摘要表中包含一份資源清單,以及適用於所選動作的關聯條件。

政策摘要圖表圖片描繪出 3 個表格與各自的關係

若要檢視每個授予許可的動作摘要,請選擇服務摘要中的連結。動作摘要表包含關於資源的詳細資訊,包括其 Region (區域)Account (帳戶)。您也可以檢視套用到各個資源的條件。這會顯示適用某些資源,但不適用其他資源的條件。

檢視動作摘要

您可以在政策頁面上檢視受管政策、任何連接至使用者的政策,以及任何連接至角色的政策之動作摘要。

檢視受管政策的動作摘要

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選擇您要檢視的政策名稱。

  4. 在政策的政策詳細資訊頁面上,檢視許可索引標籤,可查看政策摘要。

  5. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。

  6. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。

檢視連接到使用者的政策動作摘要

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 從導覽窗格選擇 Users (使用者)。

  3. 在使用者清單中,選擇要檢視其政策的使用者的名稱。

  4. 在使用者的 Summary (摘要) 頁面上,檢視 Permissions (許可) 標籤來查看直接連接到使用者或從群組連接的政策清單。

  5. 在使用者的政策表中,選擇您要檢視的政策名稱。

    如果您已打開使用者頁面,並選擇檢視連接到該使用者的政策服務摘要,系統會將您重新引導至政策頁面。您只能在政策頁面上檢視服務摘要。

  6. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。

    注意

    如果您選擇的政策是直接連接到使用者的內嵌政策,就會顯示服務摘要表。如果政策是從群組連接過來的內嵌政策,您會被帶引到 JSON 政策文件中的該群組。如果政策是受管政策,那麼您會被帶引到 Policies (政策) 頁面上該政策的服務摘要。

  7. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。

檢視連接到角色的政策動作摘要

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Roles (角色)。

  3. 在角色清單中,選擇要檢視其政策的角色名稱。

  4. 在角色的 Summary (摘要) 頁面上,檢視 Permissions (許可) 標籤來查看直接連接到角色的政策清單。

  5. 在角色的政策表中,選擇您要檢視的政策名稱。

    如果您已打開角色頁面,並選擇檢視連接到該使用者的政策服務摘要,系統會將您重新引導至政策頁面。您只能在政策頁面上檢視服務摘要。

  6. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。

  7. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。

了解動作摘要的元素

以下範例是來自 Amazon S3 服務摘要的 PutObject (寫入) 動作的動作摘要 (請參閱 服務摘要 (動作清單))。對於此動作,政策在單一資源定義多個條件。

動作摘要對話方塊圖片

動作摘要頁面包含以下資訊:

  1. 選擇 JSON,可查看其他有關政策的詳細資訊,例如檢視套用到動作的多個條件。(如果您正在檢視直接連接到使用者的內嵌政策的動作摘要,則步驟有所不同。在這種情況下,您必須關閉動作摘要對話方塊並返回政策摘要,才能存取 JSON 政策文件)。

  2. 若要檢視特定資源的摘要,請在搜尋方塊中輸入關鍵字,以減少可用資源清單。

  3. 動作返回箭頭旁邊,將以格式 action name action in service 顯示服務和動作的名稱 (在此案例中為 S3 中的 PutObject 動作)。這項服務的動作摘要包含政策中定義的資源清單。

  4. Resource (資源) – 此欄列示政策為所選服務定義的資源。在此範例中,所有物件路徑都允許 PutObject 動作,但只有 developer_bucket Amazon S3 儲存貯體資源除外。根據服務提供給 IAM 的資訊,您可能會看到一個 ARN (例如 arn:aws:s3:::developer_bucket/*),或者您可能會看到定義的資源類型 (例如 BucketName = developer_bucket, ObjectPath = All)。

  5. Region (區域) – 此欄顯示定義資源的區域。可針對所有區域或單一區域定義資源。它們無法存在於一個以上的特定區域。

    • 所有區域 – 與資源關聯的動作適用於所有區域。在這個範例中,動作屬於全球服務 Amazon S3。屬於全球服務的動作適用於所有區域。

    • Region text (區域文字) – 與資源關聯的動作適用於一個區域。例如,政策可以指定資源的 us-east-2 區域。

  6. Account (帳戶) – 此欄顯示與資源關聯的服務或動作是否套用於特定帳戶。資源可以存在於所有帳戶或單一帳戶。它們無法存在於一個以上的特定帳戶。

    • All accounts (所有帳戶) – 與資源關聯的動作適用於所有帳戶。在這個範例中,動作屬於全球服務 Amazon S3。屬於全球服務的動作適用於所有帳戶。

    • 這個帳戶 – 與資源關聯的動作只適用於目前的帳戶。

    • Account number (帳戶編號) – 與資源關聯的動作,套用於一個帳戶 (您目前未登入的帳戶)。例如,如果政策指定 123456789012 帳戶供資源使用,則帳號會出現在政策摘要中。

  7. Request condition (請求條件) – 此欄顯示與資源關聯的動作是否受條件約束。此範例包含 s3:x-amz-acl = public-read 條件。若要進一步了解相關條件,請選擇 JSON 以檢視 JSON 政策文件。