本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 與 IAM 搭配使用的服務
以下列出的 AWS 服務按字母順序分組,並包含其支援哪些 IAM 功能的相關資訊:
-
服務 — 您可以選擇服務名稱,以檢視有關該服務的 IAM 授權和存取權的 AWS 文件。
-
動作 – 您可以在政策中指定個別動作。如果服務不支援此功能,則會選取視覺化編輯器中的 All actions (所有動作)。在 JSON 政策文件中,您必須在
*
元素中使用Action
。如需每個服務中的動作清單,請參閱服務的動作、資源和條件 AWS 金鑰。 -
資源層級許可 – 您可以使用 ARN 在政策中指定個別的資源。如果服務不支援此功能,則會選擇政策視覺化編輯器中的 所有資源。在 JSON 政策文件中,您必須在
*
元素中使用Resource
。有些動作,例如List*
動作,不支援指定 ARN,因為它們是專為傳回多個資源而設計。如果服務因為某些資源但非其他而支援此功能,在表格中會以 Partial 表示它。如需詳細資訊,請參閱該服務的文件。 -
資源型政策 – 您可以將資源型政策連接到服務內的資源。資源型政策包括
Principal
元素以指定哪些 IAM 身分可以存取該資源。如需詳細資訊,請參閱 以身分為基礎和以資源為基礎的政策。 -
ABAC (依據標籤授權) – 若要依據標籤控制存取,應使用
aws:ResourceTag/
、key-name
aws:RequestTag/
或key-name
aws:TagKeys
條件鍵,在政策的條件元素中,提供標籤資訊。如果服務支援每個資源類型的全部三個條件鍵,則對該服務而言,值為 Yes。如果服務僅支援某些資源類型的全部三個條件鍵,則值為 Partial。如需有關根據屬性 (例如標籤) 定義許可的詳細資訊,請參閱 ABAC 是做什麼用的 AWS?。若要查看含有設定 ABAC 步驟的教學課程,請參閱使用屬性型存取控制 (ABAC)。 -
臨時登入資料 — 您可以使用使用 IAM 身分中心登入、在主控台中切換角色或使用 AWS CLI 或 AWS API 產生的短期 AWS STS 登入資料。僅在使用長期 IAM 使用者憑證時,您才可以使用 No 值來存取服務。這包括使用者名稱和密碼或您的使用者存取金鑰。如需詳細資訊,請參閱 IAM 中的暫時安全憑證。
-
服務連結角色 – 服務連結角色是一種特殊類型的服務角色,提供服務代表您存取其他服務中資源的許可。選擇是或部分連結,參閱文件以取得支援這些角色的服務。此欄不會指出服務是否使用標準服務角色。如需詳細資訊,請參閱 使用服務連結角色。
-
詳細資訊 – 如果服務不完全支援某功能,您可以檢閱項目的註腳以查看限制和相關資訊的連結。
可搭配 IAM 運作的服務
其他資訊
Amazon CloudFront
CloudFront 沒有服務連結角色,但 Lambda @Edge 有。如需詳細資訊,請參閱 Amazon CloudFront 開發人員指南中的 Lambda @Edge 的服務連結角色。
AWS CloudTrail
CloudTrail 僅在用於與外部事件來源的 CloudTrail Lake 整合的 CloudTrail 管道上支援以資源為基礎的 AWS政策。
CloudTrail 支援 CloudTrail Lake 事件資料存放區和通道的標籤式存取控制。 CloudTrail 不支持跟踪基於標籤的訪問控制。
Amazon CloudWatch
CloudWatch 無法使用建立服務連結角色 AWS Management Console,且僅支援警示動作功能。
AWS CodeBuild
CodeBuild 支援跨帳號資源共用 AWS RAM。
CodeBuild 支持 ABAC 基於項目的行動。
AWS Config
AWS Config 支援多帳戶多區域資料彙總和規則的資源層級權限。 AWS Config 如需支援的資源清單,請參閱 AWS Config API 指南的多帳戶多區域資料彙總與 AWS Config 規則章節。
AWS Database Migration Service
您可以建立和修改附 AWS KMS 加至您建立之加密金鑰的策略,以加密移轉至支援目標端點的資料。支援的目標端點包含 Amazon Redshift 和 Amazon S3。如需詳細資訊,請參閱使用者指南中的建立和使用 AWS KMS 金 AWS KMS 鑰加密 Amazon Redshift 目標資料和建立加密 Amazon S3 目標物AWS Database Migration Service 件的金鑰。
Amazon Elastic Compute Cloud
Amazon EC2 服務連結角色只能用於下列功能:Spot 執行個體請求、Spot 機群請求、Amazon EC2 Fleet 以及快速啟動 Windows 執行個體。
Amazon Elastic Container Service
僅部分 Amazon ECS 動作支援資源層級的許可。
AWS Elemental MediaPackage
MediaPackage 支援服務連結角色,用於將客戶存取記錄發佈至其他 API 動作, CloudWatch 但不會發佈其他 API
AWS Identity and Access Management
僅支援一種稱為角色信任政策,且已連接到 IAM 角色的以資源為基礎的政策。如需詳細資訊,請參閱 向使用者授予切換角色的許可。
IAM 支援大多數 IAM 資源的以標籤為基礎的存取控制。如需詳細資訊,請參閱 標記 IAM 資源。
只有 IAM 的部分 API 動作可使用暫時憑證來呼叫。如需詳細資訊,請參閱比較 API 選項。
AWS IoT
連線到的裝置 AWS IoT 會使用 X.509 憑證或使用 Amazon Cognito 身分進行驗證。您可以將 AWS IoT 政策附加到 X.509 憑證或 Amazon Cognito 身分識別,以控制裝置授權執行的動作。如需詳細資訊,請參閱AWS IoT 開發人員指南中的 AWS IoT的安全與身分。
AWS Lambda
Lambda 支援屬性型存取控制 (ABAC),適用於使用 Lambda 函數作為必要資源的 API 動作。不支援圖層、事件來源映射和程式碼簽章組態資源。
Lambda 沒有服務連結角色,但 Lambda@Edge 則有。如需詳細資訊,請參閱 Amazon CloudFront 開發人員指南中的 Lambda @Edge 的服務連結角色。
Amazon Lightsail
Lightsail 部分支援資源層級許可和 ABAC。如需詳細資訊,請參閱適用於 Amazon Lightsail 的動作、資源和條件金鑰。
Amazon Managed Streaming for Apache Kafka (MSK)
您可以將叢集政策附加到已設定為多 V PC 連線的 Amazon MSK 叢集。
AWS Network Manager
AWS 雲端 WAN 也支援服務連結角色。如需詳細資訊,請參閱 Amazon VPC AWS 雲端廣域網路指南中的 AWS 雲端 WAN 服務連結角色。
Amazon Relational Database Service
Amazon Aurora 為全受管關聯式資料庫引擎,可與 MySQL 和 PostgreSQL 相容。透過 Amazon RDS 設定新的資料庫伺服器時,您可以選擇 Aurora MySQL 或 Aurora PostgreSQL 做為資料庫引擎選項。如需詳細資訊,請參閱《Amazon Aurora 使用者指南》中的 適用於 Amazon Aurora 的 Identity and Access Management。
Amazon Rekognition
僅在複製 Amazon Rekognition 自訂標籤模型時才支援以資源為基礎的政策。
AWS Resource Groups
使用者可以使用允許資源群組操作的政策來擔任角色。
Amazon SageMaker
服務連結的角色目前可供 SageMaker Studio 和 SageMaker 訓練工作使用。
AWS Security Token Service
AWS STS 沒有「資源」,但允許以類似的方式限制訪問用戶。如需詳細資訊,請參閱拒絕依名稱存取暫時安全憑證。
只有一些 API 操作用於 AWS STS 支持使用臨時憑據調用。如需詳細資訊,請參閱比較 API 選項。
Amazon Simple Email Service
您可以在參考與傳送電子郵件相關動作的政策陳述式中只使用資源層級的許可,例如 ses:SendEmail
或 ses:SendRawEmail
。對於參考任何其他動作的政策陳述式,資源元素只能包含 *
。
只有 Amazon SES API 支援暫時安全憑證。Amazon SES SMTP 界面不支援自臨時安全憑證所衍生的 SMTP 憑證。
Amazon Simple Storage Service
Amazon S3 僅對物件資源支援以標籤為基礎的授權。
Amazon S3 支援 Amazon S3 Storage Lens 的服務連結角色。
AWS Trusted Advisor
API 存取權 Trusted Advisor 是透過 AWS Support API 進行的,且由 AWS Support IAM 政策控制。
Amazon Virtual Private Cloud
在 IAM 使用者政策中,您無法限制特定 Amazon VPC 端點的許可。包含 Action
或 ec2:*VpcEndpoint*
API 動作的任何 ec2:DescribePrefixLists
元素必須指定「"Resource":
"*"
」。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的 VPC 端點和 VPC 端點服務的身分與存取管理。
Amazon VPC 支援將單一資源政策連接至 VPC 端點,以限制可透過該端點存取的項目。如需有關使用資源型政策控制從特定 Amazon VPC 端點存取資源的詳細資訊,請參閱AWS PrivateLink 指南中的使用端點政策控制對服務的存取。
Amazon VPC 沒有服務連結角色,但 AWS Transit Gateway 有。如需詳細資訊,請參閱 Amazon VPC AWS Transit Gateway 指南中的傳輸閘道使用服務連結角色。
AWS X-Ray
X-Ray 未針對所有動作支援資源層級的許可。
X-Ray 支援以標籤為基礎的群組和抽樣規則的存取控制。