動作摘要 (資源清單) - AWS Identity and Access Management

動作摘要 (資源清單)

政策摘要列於三個表中:政策摘要、服務摘要以及動作摘要動作摘要表中包含一份資源清單,以及適用於所選動作的關聯條件。


      政策摘要圖表圖片描繪出 3 個表格與各自的關係

若要檢視每個授予許可的動作摘要,請選擇服務摘要中的連結。動作摘要表包含關於資源的詳細資訊,包括其 Region (區域)Account (帳戶)。您也可以檢視套用到各個資源的條件。這會顯示適用某些資源,但不適用其他資源的條件。

檢視動作摘要

您可以在 Users (使用者) 頁面上檢視連接到使用者的任何政策的動作摘要。您可以在 Roles (角色) 頁面上檢視連接到角色的任何政策的動作摘要。您可以在 Policies (政策) 頁面上檢視受管政策的動作摘要。不過,如果嘗試從 Users (使用者) 頁面或 Roles (角色) 頁面檢視受管政策的動作摘要,則會重新引導到 Policies (政策) 頁面。

檢視受管政策的動作摘要

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選擇您要檢視的政策名稱。

  4. 在政策的 Summary (摘要) 頁面上,檢視 Permissions (許可) 標籤來查看政策摘要。

  5. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。

  6. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。

檢視連接到使用者的政策動作摘要

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 從導覽窗格選擇 Users (使用者)。

  3. 在使用者清單中,選擇要檢視其政策的使用者的名稱。

  4. 在使用者的 Summary (摘要) 頁面上,檢視 Permissions (許可) 標籤來查看直接連接到使用者或從群組連接的政策清單。

  5. 在使用者的政策表中,展開您要檢視的政策列。

  6. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。

    注意

    如果您選擇的政策是直接連接到使用者的內嵌政策,就會顯示服務摘要表。如果政策是從群組連接過來的內嵌政策,您會被帶引到 JSON 政策文件中的該群組。如果政策是受管政策,那麼您會被帶引到 Policies (政策) 頁面上該政策的服務摘要。

  7. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。

檢視連接到角色的政策動作摘要

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Roles (角色)。

  3. 在角色清單中,選擇要檢視其政策的角色名稱。

  4. 在角色的 Summary (摘要) 頁面上,檢視 Permissions (許可) 標籤來查看直接連接到角色的政策清單。

  5. 在角色的政策表中,展開您要檢視的政策列。

  6. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。

  7. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。

了解動作摘要的元素

以下範例是來自 Amazon S3 服務摘要的 PutObject (寫入) 動作的動作摘要 (請參閱 服務摘要 (動作清單))。對於此動作,政策在單一資源定義多個條件。


        動作摘要對話方塊圖片

動作摘要頁面包含以下資訊:

  1. 接續 Back (返回) 連結的是以格式 service: action 顯示服務和動作的名稱 (在這種情況下為 S3: PutObject)。這項服務的動作摘要包含政策中定義的資源清單。

  2. 選擇 { } JSON,查看其他有關政策的詳細資訊,例如檢視套用到動作的多個條件。(如果您正在檢視直接連接到使用者的內嵌政策的動作摘要,則步驟有所不同。在這種情況下,您必須關閉動作摘要對話方塊並返回政策摘要,才能存取 JSON 政策文件)。

  3. 若要檢視特定資源的摘要,請在搜尋方塊中輸入關鍵字,以減少可用資源清單。

  4. Resource (資源) – 此欄列示政策為所選服務定義的資源。在此範例中,所有物件路徑都允許 PutObject 動作,但只有 developer_bucket Amazon S3 儲存貯體資源除外。根據服務提供給 IAM 的資訊,您可能會看到一個 ARN (例如 arn:aws:s3:::developer_bucket/*),或者您可能會看到定義的資源類型 (例如 BucketName = developer_bucket, ObjectPath = All)。

  5. Region (區域) – 此欄顯示定義資源的區域。可針對所有區域或單一區域定義資源。它們無法存在於一個以上的特定區域。

    • All regions (所有區域) – 與資源關聯的動作適用於所有區域。在這個範例中,動作屬於全球服務 Amazon S3。屬於全球服務的動作適用於所有區域。

    • Region text (區域文字) – 與資源關聯的動作適用於一個區域。例如,政策可以指定資源的 us-east-2 區域。

  6. Account (帳戶) – 此欄顯示與資源關聯的服務或動作是否套用於特定帳戶。資源可以存在於所有帳戶或單一帳戶。它們無法存在於一個以上的特定帳戶。

    • All accounts (所有帳戶) – 與資源關聯的動作適用於所有帳戶。在這個範例中,動作屬於全球服務 Amazon S3。屬於全球服務的動作適用於所有帳戶。

    • This account (這個帳戶) – 與資源關聯的動作只適用於您目前登入的帳戶。

    • Account number (帳戶編號) – 與資源關聯的動作,套用於一個帳戶 (您目前未登入的帳戶)。例如,如果政策指定 123456789012 帳戶供資源使用,則帳號會出現在政策摘要中。

  7. Request condition (請求條件) – 此欄顯示與資源關聯的動作是否受條件約束。此範例包含 s3:x-amz-acl = public-read 條件。若要進一步了解那些條件,請選擇 { } JSON 以檢閱 JSON 政策文件。