IAM JSON 政策元素：Action

Action 元素描述了將允許或拒絕的特定動作。陳述式必須包含 Action 或 NotAction 元素。每個 AWS 服務都有自己的一組動作，描述您可以使用該服務執行的任務。例如，Amazon S3 的動作清單可在 Amazon 簡單儲存服務使用者指南中的政策中的指定許可中找到，Amazon EC2 的動作清單可在 Amazon EC2 API 參考中找到， AWS Identity and Access Management 您可以在 IAM API 參考中找到的動作清單。若要尋找其他服務的動作清單，請參閱該服務的 API 參考文件。

您可以使用服務命名空間做為動作字首 (iam、ec2、sqs、sns、s3 等) 來指定值，其後跟隨要允許或拒絕的動作名稱。該名稱必須符合所支援的服務的動作。字首和動作名稱不區分大小寫。例如，iam:ListAccessKeys 與 IAM:listaccesskeys 相同。以下範例顯示不同服務的 Action 元素。

Amazon SQS 動作

"Action": "sqs:SendMessage"

Amazon EC2 動作

"Action": "ec2:StartInstances"

IAM 動作

"Action": "iam:ChangePassword"

Amazon S3 動作

"Action": "s3:GetObject"

您可以為 Action 元素指定多個值。

"Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "ec2:StartInstances", "iam:ChangePassword", "s3:GetObject" ]

您可以使用萬用字元 (*) 來存取特定 AWS 產品提供的所有動作。例如，以下 Action 元素適用於所有 S3 動作。

"Action": "s3:*"

您還可以使用萬用字元 (*) 做為動作名稱的一部分。例如，以下 Action 元素適用於包含字串 AccessKey 的所有 IAM 動作，包括 CreateAccessKey、DeleteAccessKey、ListAccessKeys 和 UpdateAccessKey。

"Action": "iam:*AccessKey*"

有些服務可讓您限制可用的動作。例如，Amazon SQS 可讓您僅提供所有可能的 Amazon SQS 動作的子集。在這種情況下，* 萬用字元不允許完全控制佇列；它只允許您已共用的部分動作。如需詳細資訊，請參閱《Amazon Simple Queue Service 開發人員指南》中的了解許可。