下列項目的動作、資源和條件索引鍵 AWS services - 服務授權參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

下列項目的動作、資源和條件索引鍵 AWS services

每個 AWS service 可以定義在IAM策略中使用的動作、資源和條件內容索引鍵。本主題說明記錄為每個服務所提供元素的方式。

每個主題包含的表格提供可用動作、資源和條件索引鍵的清單。

動作表格

「動作」(Actions) 表格會列出您可以在IAM策略陳述式Action元素中使用的所有動作。並非所有由服務定義的API作業都可以用作IAM原則中的動作。某些服務包含不直接對應於作業的僅授權動作API。這些動作會以 [permission only] ([僅限許可]) 表示。使用此清單來決定您可以在IAM策略中使用哪些動作。如需有關ActionResourceCondition元素的詳細資訊,請參閱IAMJSON策略元素參考動作描述表格欄為自我描述資訊。

  • 存取層級欄描述動作的分類方式 (列出、讀取、寫入、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱了解政策摘要中的存取層級摘要

  • 資源類型欄會指出動作是否支援資源層級的許可。如果此欄是空的,表示該動作不支援資源層級許可,而且您必須在政策中指定所有資源 (「*」)。如果資料欄包含資源類型,則您可以ARN在策略的Resource元素中指定資源。如需資源的詳細資訊,請參閱資源類型表格中的該列。一個陳述式中包含的所有動作和資源必須彼此相容。如果您指定不適用於該動作的資源,任何使用該動作的請求都會失敗,且該陳述式的 Effect 不適用。

    表格中的必要資源會以星號 (*) 表示。如果您使用此動作在陳述式ARN中指定資源層級權限,則該權限必須為此類型。某些動作支援多種資源類型。如果此資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種,但不能使用另一種。

  • 條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的金鑰。條件索引鍵可支援搭配某個動作或某個動作加上特定資源。請密切注意索引鍵是否與特定資源類型位於同一列。此表格不包含可用於任何動作,或是在不相關情況下可使用的全域條件索引鍵。如需全域條件索引鍵的詳細資訊,請參閱 AWS 全域條件上下文索引鍵

  • 相依動作欄會包含除了動作本身的許可,順利呼叫動作應擁有的任何額外許可。如果動作存取多個資源,就可能需要指定此欄。

    並非所有情況下都需要相依動作。如需有關為使用者提供精細權限的詳細資訊,請參閱個別服務的文件。

資源類型表

[資源類型] 表格會列出您可以在Resource策略元素中指定為ARN的所有資源類型。不是每個資源類型都能夠由每個動作指定。某些資源類型僅適用特定動作。如果您在包含某動作的陳述式中指定某個資源類型,但該動作不支援該資源類型,則該陳述式會不允許存取。如需有關Resource元素的詳細資訊,請參閱IAMJSON原則元素:資源

  • ARN欄會指定 Amazon 資源名稱 (ARN) 格式,您必須使用此格式來參考此類型的資源。$ 後面的部分必須取代為您案例的實際值。例如,如果您$user-name在中看到ARN,則必須以實際使用者名稱或包含使用者名稱的政策變數來取代該字串。如需有關的更多資訊ARNs,請參閱IAMARNs

  • 條件索引鍵」資料欄會指定只有當此資源和上表中的支援動作都包含在陳述式中時,您才可以包含在IAM原則陳述式中的條件相關資訊環境索引鍵。

條件索引鍵表格

條件索引鍵表格會列出您可以在IAM原則陳述式Condition元素中使用的所有條件內容索引鍵。不是每個索引鍵都能指定所有動作或資源。某些索引鍵只適用於特定類型的動作和資源。如需有關Condition元素的詳細資訊,請參閱IAMJSON原則元素:條件

  • 類型欄會指定條件索引鍵的資料類型。此資料類型會判斷您可以使用哪些條件運算子來將請求中的值與政策陳述式中的值比較。您必須使用此資料類型適用的運算子。如果您使用不正確的運算子,則比對一律失敗且政策陳述式永不適用。

    如果類型欄指定其中一個簡單類型「...清單」,則您可以在政策中使用多個索引鍵和值。請搭配您的運算子使用此條件組前綴。使用 ForAllValues 前綴來指定請求中的所有值都必須符合政策陳述式中的值。使用 ForAnyValue 前綴來指定請求中的至少一個值符合政策陳述式中的值。

主題