AWS 服務的動作、資源及條件索引鍵 - 服務授權參考

AWS 服務的動作、資源及條件索引鍵

每個 AWS 服務都可以定義要在 IAM 政策中使用的動作、資源和條件內容索引鍵。本主題說明記錄為每個服務所提供元素的方式。

每個主題包含的表格提供可用動作、資源和條件索引鍵的清單。

動作表格

動作表格列出可在 IAM 政策陳述式的 Action 元素中使用的所有動作。並不是服務定義的所有 API 操作都可做為 IAM 政策中的動作使用。此外,服務定義的一些動作可能沒有與 API 操作直接對應。使用此清單來判斷您可以在 IAM 政策中使用哪些動作。如需 ActionResourceCondition 元素的詳細資訊,請參閱 IAM JSON 政策元素參考動作描述表格欄為自我描述資訊。

  • 存取層級欄描述動作的分類方式 (列出、讀取、寫入、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱了解政策摘要中的存取層級摘要

  • 資源類型欄會指出動作是否支援資源層級的許可。如果此欄是空的,表示該動作不支援資源層級許可,而且您必須在政策中指定所有資源 (「*」)。如果此欄包含資源類型,則您可在政策的 Resource 元素中指定資源 ARN。如需資源的詳細資訊,請參閱資源類型表格中的該列。一個陳述式中包含的所有動作和資源必須彼此相容。如果您指定不適用於該動作的資源,任何使用該動作的請求都會失敗,且該陳述式的 Effect 不適用。

    表格中的必要資源會以星號 (*) 表示。如果您在使用此動作的陳述式中指定資源層級許可 ARN,則它必須屬於此類型。某些動作支援多種資源類型。如果此資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種,但不能使用另一種。

  • 條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的金鑰。條件索引鍵可支援搭配某個動作或某個動作加上特定資源。請密切注意索引鍵是否與特定資源類型位於同一列。此表格不包含可用於任何動作,或是在不相關情況下可使用的全域條件索引鍵。如需全域條件索引鍵的詳細資訊,請參閱 AWS 全域條件內容索引鍵

  • 相依動作欄會包含除了動作本身的許可,順利呼叫動作必須擁有的任何額外許可。如果動作存取多個資源,就可能需要指定此欄。

資源類型表

資源類型表格會列出您可以在 Resource 政策元素中指定為 ARN 的所有資源類型。不是每個資源類型都能夠由每個動作指定。某些資源類型僅適用特定動作。如果您在包含某動作的陳述式中指定某個資源類型,但該動作不支援該資源類型,則該陳述式會不允許存取。如需 Resource 元素的詳細資訊,請參閱 IAM JSON 政策元素:Resource

  • ARN 欄會指定參考此類型資源必須使用的 Amazon Resource Name (ARN) 格式。$ 後面的部分必須取代為您案例的實際值。例如,如果您在 ARN 中看到 $user-name,您必須將該字串取代為實際 IAM 使用者的名稱或包含 IAM 使用者名稱的政策變數。如需 ARN 的詳細資訊,請參閱 IAM ARN

  • 條件索引鍵欄會指定只有在當此陳述式中同時包含此資源和以上表格中的支援動作時,您可以在 IAM 政策陳述式中包含的條件內容索引鍵。

條件索引鍵表格

條件索引鍵表格會列出您可以在 IAM 政策陳述式 Condition 元素中使用的所有條件內容索引鍵。不是每個索引鍵都能指定所有動作或資源。某些索引鍵只適用於特定類型的動作和資源。如需 Condition 元素的詳細資訊,請參閱 IAM JSON 政策元素:Condition

  • 類型欄會指定條件索引鍵的資料類型。此資料類型會判斷您可以使用哪些條件運算子來將請求中的值與政策陳述式中的值比較。您必須使用此資料類型適用的運算子。如果您使用不正確的運算子,則比對一律失敗且政策陳述式永不適用。

    如果類型欄指定其中一個簡單類型「...清單」,則您可以在政策中使用多個索引鍵和值。請搭配您的運算子使用此條件組前綴。使用 ForAllValues 前綴來指定請求中的所有值都必須符合政策陳述式中的值。使用 ForAnyValue 前綴來指定請求中的至少一個值符合政策陳述式中的值。

主題