IAM JSON 政策元素:Action - AWS Identity and Access Management

IAM JSON 政策元素:Action

Action 元素描述了將允許或拒絕的特定動作。陳述式必須包含 ActionNotAction 元素。每個 AWS 服務都有自己的一組動作來描述您可以使用該服務執行的任務。例如,您可在 Amazon Simple Storage Service 使用者指南中的在政策中指定許可找到 Amazon S3 的動作清單,在 Amazon EC2 API 參考中找到 Amazon EC2 的動作清單,以及在 IAM API 參考中找到 AWS Identity and Access Management 的動作清單。若要尋找其他服務的動作清單,請參閱該服務的 API 參考文件

您可以使用服務命名空間做為動作字首 (iamec2sqssnss3 等) 來指定值,其後跟隨要允許或拒絕的動作名稱。該名稱必須符合所支援的服務的動作。字首和動作名稱不區分大小寫。例如,iam:ListAccessKeysIAM:listaccesskeys 相同。以下範例顯示不同服務的 Action 元素。

Amazon SQS 動作

"Action": "sqs:SendMessage"

Amazon EC2 動作

"Action": "ec2:StartInstances"

IAM 動作

"Action": "iam:ChangePassword"

Amazon S3 動作

"Action": "s3:GetObject"

您可以為 Action 元素指定多個值。

"Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "ec2:StartInstances", "iam:ChangePassword", "s3:GetObject" ]

您可以使用萬用字元 (*) 來存取特定 AWS 產品提供的所有動作。例如,以下 Action 元素適用於所有 S3 動作。

"Action": "s3:*"

您還可以使用萬用字元 (*) 做為動作名稱的一部分。例如,以下 Action 元素適用於包含字串 AccessKey 的所有 IAM 動作,包括 CreateAccessKeyDeleteAccessKeyListAccessKeysUpdateAccessKey

"Action": "iam:*AccessKey*"

有些服務可讓您限制可用的動作。例如,Amazon SQS 可讓您僅提供所有可能的 Amazon SQS 動作的子集。在這種情況下,* 萬用字元不允許完全控制佇列;它只允許您已共用的部分動作。如需詳細資訊,請參閱《Amazon Simple Queue Service 開發人員指南》中的了解許可