服務摘要 (動作清單) - AWS Identity and Access Management

服務摘要 (動作清單)

政策摘要列於三個表中:政策摘要、服務摘要以及動作摘要服務摘要表包括動作清單和由政策針對所選服務定義的許可摘要。


      政策摘要圖表圖片描繪出 3 個表格與各自的關係

您可以檢視授予許可的政策摘要中,所列的每個服務的服務摘要。該表已分組為 Uncategorized actions (未分類的動作)Uncategorized resource types (未分類的資源類型) 和存取層級區段。如果政策包含 IAM 無法辨識的動作,則該動作將包含在資料表的 Uncategorized actions (未分類的動作) 區段中。若 IAM 可以辨識動作,則會將其包含在表格的其中一個存取層級區段之下 (List (列出)Read (讀取)Write (寫入)Permissions management (許可管理))。若要檢視指派給服務中每個動作的存取層級分類,請參閱適用於 AWS 服務的動作、資源和條件索引鍵

檢視服務摘要

您可以在 Policies (政策) 頁面上檢視受管政策的服務摘要,或透過 Users (使用者)Roles (角色) 頁面,檢視連接到使用者或角色的內嵌和受管政策的服務摘要。不過,如果從受管政策的 Users (使用者) 頁面或 Roles (角色) 頁面選擇服務名稱,您會被重新引導到 Policies (政策) 頁面。受管政策的服務摘要必須在 Policies (政策) 頁面上檢視。

若要檢視受管政策的服務摘要

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選擇您要檢視的政策名稱。

  4. 在政策的 Summary (摘要) 頁面上,檢視 Permissions (許可) 標籤來查看政策摘要。

  5. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。

若要檢視連接到使用者的政策服務摘要

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 在使用者清單中,選擇要檢視其政策的使用者的名稱。

  4. 在使用者的 Summary (摘要) 頁面上,檢視 Permissions (許可) 標籤來查看直接連接到使用者或從群組連接的政策清單。

  5. 在使用者的政策表中,展開您要檢視的政策列。

  6. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。

    注意

    如果您選擇的政策是直接連接到使用者的內嵌政策,就會顯示服務摘要表。如果政策是從群組連接過來的內嵌政策,您會被帶引到 JSON 政策文件中的該群組。如果政策是受管政策,那麼您會被帶引到 Policies (政策) 頁面上該政策的服務摘要。

若要檢視連接到角色的政策服務摘要

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 從導覽窗格選擇 Roles (角色)。

  3. 在角色清單中,選擇要檢視其政策的角色名稱。

  4. 在角色的 Summary (摘要) 頁面上,檢視 Permissions (許可) 標籤來查看直接連接到角色的政策清單。

  5. 在角色的政策表中,展開您要檢視的政策列。

  6. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。

了解服務摘要的元素

以下範例是從 SummaryAllElements 政策摘要被允許之 Amazon S3 動作的服務摘要 (請參閱 SummaryAllElements JSON 政策文件)。此服務的動作已分組為 Uncategorized actions (未分類的動作)Uncategorized resource types (未分類的資源類型) 和存取層級區段。例如,可供服務使用的總計 29 個 Write (寫入) 動作中有兩個 Write (寫入) 動作已定義。


        服務摘要對話方塊圖片

受管政策的服務摘要頁面包含以下資訊:

  1. 如果政策未授予許可給政策中為服務定義的所有操作、資源和條件,則將在頁面頂部顯示警告橫幅。服務摘要中包含關於問題的詳細資訊。若要瞭解政策摘可如何協助您瞭解政策授予的許權並進行相關問題故障排除,請參閱我的政策未授與預期的許可.。

  2. Back (返回) 連結旁出現服務的名稱 (這個案例中為 S3)。這項服務的服務摘要包含政策中定義的允許動作清單。如果是文字 (Explicitly denied) (明確拒絕) 顯示在服務名稱旁,則服務摘要表中所列的動作會明確遭拒。

  3. 若要查看政策的其他詳細資訊,請選擇 { } JSON。您可以執行此操作,來查看套用到動作的所有條件。(如果您正在檢視直接連接到使用者的內嵌政策的服務摘要,您必須關閉服務摘要對話方塊並返回政策摘要,以存取 JSON 政策文件)。

  4. 若要檢視特定動作的摘要,請在搜尋方塊中輸入關鍵字,以縮短可用動作清單。

  5. Action (2/69 的動作) – 此欄位列出在政策中定義的動作,並提供每個動作的資源和條件。如果政策授予許可給動作,則動作名稱會連結到動作摘要資料表。計數表示提供許可的已認可動作。總計是服務的已知動作數。在這個範例中,2 個動作提供許可,總計有 69 個已知 S3 動作。

  6. Show/Hide remaining 67 (顯示/隱藏剩餘的 67 個) – 選擇此連結來展開或隱藏資料表,以包含已知但不提供此服務的許可的動作。展開連結也會針對不提供許可的任何元素顯示警告。

  7. Unrecognized resource types (無法識別的資源類型) – 此政策至少包含一個在此服務的政策內無法辨識的資源類型。您可以使用此警告來檢查資源類型是否可能包含拼寫錯誤。如果資源類型正確,則該服務可能不完全支援政策摘要,可能處於預覽狀態,或者可能是自訂服務。若要請求全面供應 (GA) 服務中特定資源類型的政策摘要支援,請參閱服務不支援 IAM 政策摘要。在這個範例中,autoscling 服務名稱遺漏 a

  8. Unrecognized actions (無法識別的動作) – 此政策至少包含一個在此服務的政策內無法辨識的動作。您可以使用此警告來檢查動作是否可能包含拼寫錯誤。如果動作正確,則該服務可能不完全支援政策摘要,可能處於預覽狀態,或者可能是自訂服務。若要請求全面供應 (GA) 服務中特定動作的政策摘要支援,請參閱服務不支援 IAM 政策摘要。在此範例中,DeletObject 動作遺漏 e

    注意

    IAM 會檢閱支援政策摘要的服務的服務名稱、動作和資源類型。不過,您的政策摘要可能包含不存在資源值或條件。請一律使用政策模擬器來測試政策。

  9. 對於那些 IAM 識別的動作,資料表會根據政策允許或拒絕的存取層級,將這些動作分組到至少一個或多達四個區段。區段為 List (列出)Read (讀取)Write (寫入)Permissions management (許可管理)。您也可以查看動作數,這在每個存取層級內可用動作總數定義。若要檢視指派給服務中每個動作的存取層級分類,請參閱適用於 AWS 服務的動作、資源和條件索引鍵

  10. 省略號 (…) 表示在頁面中包含所有動作,但我們只顯示具有此政策相關資訊的行。在 AWS Management Console 中查看此頁面時,您將看到您服務的所有動作。

  11. (No access) (沒有存取) – 此政策包含不提供許可的動作。

  12. 提供許可的動作包含連到動作摘要的連結。

  13. Resource (資源) – 此欄位顯示政策為服務定義的資源。IAM 不會檢查資源是否適用於每個動作。在此範例中,S3 服務中的動作只允許對 developer_bucket Amazon S3 儲存貯體資源執行。根據服務提供給 IAM 的資訊,您可能會看到一個 ARN (例如 arn:aws:s3:::developer_bucket/*),或者您可能會看到定義的資源類型 (例如 BucketName = developer_bucket)。

    注意

    此欄位可能包含不同服務的資源。如果包含資源的政策陳述式,不包含來自相同服務的動作和資源,則您的政策包含不相符的資源。在建立政策或在服務摘要中查看政策時,IAM 不會警告您關於不相符的資源。IAM 也不會指出動作是否適用於資源或者服務是否相符。如果此欄位包含不相符的資源,則您應該檢閱您的政策錯誤。若要更全面了解您的政策,請一律以政策模擬器來測試。

  14. Resource warning (資源警告) – 對於不提供完整許可的資源動作,請參閱以下其中一個警告:

    • This action does not support resource-level permissions. This requires a wildcard (*) for the resource. (此動作不支援資源層級的許可,這需要對資源使用萬用字元 (*))。– 這表示政策包含資源層級許可,但必須包含 "Resource": ["*"] 才能提供此動作的許可。

    • This action does not have an applicable resource. (此動作沒有適用的資源)。– 這表示動作包含在政策內,而無支援的資源。

    • This action does not have an applicable resource and condition. (此動作沒有適用的資源和條件)。– 這表示動作包含在政策內,而無支援的資源,也無支援的條件。在這種情況下,此服務的政策內也包含條件,但沒有適用此動作的條件。

    對於 ListAllMyBuckets 動作,此政策包含最後一條警告,因為該動作不支援資源層級許可,也不支援 s3:x-amz-acl 條件索引鍵。如果您修復資源問題或條件問題,剩餘的問題會出現在詳細的警告中。

  15. Request condition (請求條件) – 此欄指出與資源關聯的動作是否受條件約束。若要進一步了解那些條件,請選擇 { } JSON 以檢閱 JSON 政策文件。

  16. Condition warning (條件警告) – 對於不提供完整許可的條件動作,請參閱以下其中一個警告:

    • <CONDITION_KEY> is not a supported condition key for this action. (<CONDITION_KEY> 動作不是此動作支援的條件索引鍵)。– 這表示政策包含服務的條件索引鍵,而此動作不支援。

    • Multiple condition keys are not supported for this action. (此動作不支援多個條件索引鍵)。– 這表示政策包含服務的多個條件索引鍵,而此動作不支援。

    對於 GetObject,此政策包含 s3:x-amz-acl 條件索引鍵,將無法使用此動作。雖然動作支援資源,但是政策不授予此動作任何許可,因為條件對此動作永遠不會是 true。