了解政策摘要內的存取層級摘要 - AWS Identity and Access Management

了解政策摘要內的存取層級摘要

AWS 存取層級摘要

政策摘要包括說明針對政策中所提及的每項服務定義的動作許可的存取層級摘要。若要進一步了解政策摘要,請參閱了解政策授予的許可。存取層級摘要指出是否已在政策中為每個存取層級中的動作 (ListReadWritePermissions management) 定義 FullLimited 許可。若要檢視指派給服務中每個動作的存取層級分類,請參閱適用於 AWS 服務的動作、資源和條件索引鍵

以下範例說明針對特定服務政策所提供的存取權。如需完整的 JSON 政策文件及其相關摘要的範例,請參閱政策摘要的範例

服務 存取層級 此政策提供下列
IAM 完整存取 存取 IAM 服務內的所有動作
CloudWatch 完整:清單 存取 List 存取層級中的所有 CloudWatch 動作,但是無法存取具 ReadWritePermissions management 存取層級分類的動作。
Data Pipeline 有限:清單、讀取 存取 AWS Data Pipeline 和 List 存取層級中至少一個但並非所有 Read 動作,但不包含 WritePermissions management 動作。
EC2 完整:清單、讀取有限:寫入 存取所有 Amazon EC2 ListRead 動作,以及存取至少一個但並非所有 Amazon EC2 Write 動作,但是無法存取具 Permissions management 存取層級分類的動作。
S3 有限:讀取、寫入、許可管理 存取至少一個但並非所有 Amazon S3 ReadWritePermissions management 動作。
CodeDeploy (空白) 未知存取,因為 IAM 無法辨識此服務。
API Gateway None (無) 政策中未定義任何存取權。
CodeBuild: 未定義任何動作。 無法存取,因為未針對服務定義任何動作。若要了解如何了解和故障排除此問題,請參閱我的政策未授與預期的許可

前述完整存取表示政策提供服務內所有動作的存取權。政策提供存取服務內部分但非所有動作,並會進一步根據存取層級分類分組。這是根據下列存取層級的群組指出:

  • Full (完整):政策提供對指定的存取層級分類中的所有動作的存取權。

  • Limited (有限):政策提供指定存取層級分類內的一或多個但非全部動作的存取權。

  • None (無):政策不提供存取權。

  • (空):IAM 無法辨識此服務。如果服務名稱包含錯別字,則政策不提供服務的存取權。如果服務名稱正確,則該服務可能不支援政策摘要,或者可能處於預覽狀態。在這種情況下,政策可能會提供存取權,但無法顯示在政策摘要內。若請求全面供應 (GA) 服務的政策摘要支援,請參閱 服務不支援 IAM 政策摘要

存取層級摘要,包含使用以下存取 AWS 存取層級分類分組動作的受限 (部分) 存取權:ListReadWritePermissions ManagementTagging

AWS 存取層級

AWS 會針對服務中的動作定義下列存取層級分類:

  • List (清單):列出服務內資源的許可,以判斷物件是否存在。具有此層級存取權的動作,可以列出物件,但無法查看資源的內容。例如,Amazon S3 動作 ListBucket 具有 List (清單) 存取層級。

  • Read (讀取):可讀取但無法編輯服務內資源的內容和屬性的許可。例如,Amazon S3 動作 GetObjectGetBucketLocation 具有 Read (讀取) 存取層級。

  • Write (寫入):可建立、刪除或修改服務內資源的許可。例如,Amazon S3 動作 CreateBucketDeleteBucketPutObject 具有 Write (寫入) 存取層級。Write 動作可能也允許修改資源標籤。不過,動作僅允許變更具有 Tagging 存取層級的標籤。

  • Permissions management (許可管理):可授予或修改服務內資源許可的許可。例如,大多數 IAM 和 AWS Organizations 動作,以及 Amazon S3 動作 PutBucketPolicyDeleteBucketPolicy 這類動作具有 Permissions management (許可管理) 存取層級。

    秘訣

    為了改善 AWS 帳戶的安全性,請限制或定期監控包含 Permissions management (許可管理) 存取層級分類的政策。

  • Tagging (標記):執行僅變更資源標籤狀態之動作的許可。例如,IAM 動作 TagRoleUntagRole 具有 Tagging (標記) 存取層級,因為它們只允許標記或取消標記角色。不過,當您建立該角色時,CreateRole 動作允許標記角色資源。由於動作不會僅新增標籤,所以它具有 Write 存取層級。

若要檢視服務中所有動作的存取層級分類,請參閱適用於 AWS 服務的動作、資源和條件金鑰