Tindakan, sumber daya, dan kunci kondisi untuk AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) (awalan layanan:iam) menyediakan sumber daya, tindakan, dan kunci konteks kondisi khusus layanan berikut untuk digunakan dalam kebijakan izin IAM.

Referensi:

Pelajari cara mengonfigurasi layanan ini.
Lihat daftar Operasi API yang tersedia untuk layanan ini.
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan izin IAM.

Topik

Tindakan yang ditentukan oleh AWS Identity and Access Management (IAM)
Jenis sumber daya yang ditentukan oleh AWS Identity and Access Management (IAM)
Kunci kondisi untuk AWS Identity and Access Management (IAM)

Tindakan yang ditentukan oleh AWS Identity and Access Management (IAM)

Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.

Tindakan	Deskripsi	Tingkat akses	Jenis sumber daya (*diperlukan)	Kunci syarat	Tindakan bergantung
AddClientIDToOpenIDConnectProvider	Memberikan izin untuk menambahkan ID klien baru (audiens) ke daftar yang terdaftar IDs untuk sumber daya penyedia IAM OpenID Connect (OIDC) yang ditentukan	Tulis	oidc-provider*
AddRoleToInstanceProfile	Memberikan izin untuk menambahkan peran IAM ke profil instance yang ditentukan	Tulis	instance-profile*		iam:PassRole
AddUserToGroup	Memberikan izin untuk menambahkan pengguna IAM ke grup IAM yang ditentukan	Tulis	group*
AttachGroupPolicy	Memberikan izin untuk melampirkan kebijakan terkelola ke grup IAM yang ditentukan	Manajemen izin	group*
AttachGroupPolicy		Manajemen izin		iam:PolicyARN
AttachRolePolicy	Memberikan izin untuk melampirkan kebijakan terkelola ke peran IAM yang ditentukan	Manajemen izin	role*
AttachRolePolicy		Manajemen izin		iam:PolicyARN iam:PermissionsBoundary
AttachUserPolicy	Memberikan izin untuk melampirkan kebijakan terkelola ke pengguna IAM yang ditentukan	Manajemen izin	user*
AttachUserPolicy		Manajemen izin		iam:PolicyARN iam:PermissionsBoundary
ChangePassword	Memberikan izin kepada pengguna IAM untuk mengubah kata sandi mereka sendiri	Tulis	user*
CreateAccessKey	Memberikan izin untuk membuat kunci akses dan kunci akses rahasia untuk pengguna IAM yang ditentukan	Tulis	user*
CreateAccountAlias	Memberikan izin untuk membuat alias untuk Anda Akun AWS	Tulis
CreateGroup	Memberikan izin untuk membuat grup baru	Tulis	group*
CreateInstanceProfile	Memberikan izin untuk membuat profil instance baru	Tulis	instance-profile*
CreateInstanceProfile	Memberikan izin untuk membuat profil instance baru	Tulis		aws:TagKeys aws:RequestTag/${TagKey}
CreateLoginProfile	Memberikan izin untuk membuat kata sandi untuk pengguna IAM yang ditentukan	Tulis	user*
CreateOpenIDConnectProvider	Memberikan izin untuk membuat sumber daya IAM yang menjelaskan penyedia identitas (IDP) yang mendukung OpenID Connect (OIDC)	Tulis	oidc-provider*
CreateOpenIDConnectProvider		Tulis		aws:TagKeys aws:RequestTag/${TagKey}
CreatePolicy	Memberikan izin untuk membuat kebijakan terkelola baru	Manajemen izin	policy*
CreatePolicy	Memberikan izin untuk membuat kebijakan terkelola baru	Manajemen izin		aws:TagKeys aws:RequestTag/${TagKey}
CreatePolicyVersion	Memberikan izin untuk membuat versi baru dari kebijakan terkelola yang ditentukan	Manajemen izin	policy*
CreateRole	Memberikan izin untuk membuat peran baru	Tulis	role*
CreateRole	Memberikan izin untuk membuat peran baru	Tulis		iam:PermissionsBoundary aws:TagKeys aws:RequestTag/${TagKey}
CreateSAMLProvider	Memberikan izin untuk membuat sumber daya IAM yang menjelaskan penyedia identitas (idP) yang mendukung SAMP 2.0	Tulis	saml-provider*
CreateSAMLProvider		Tulis		aws:TagKeys aws:RequestTag/${TagKey}
CreateServiceLinkedRole	Memberikan izin untuk membuat peran IAM yang memungkinkan AWS layanan melakukan tindakan atas nama Anda	Tulis	role*
CreateServiceLinkedRole		Tulis		iam:AWSServiceName
CreateServiceSpecificCredential	Memberikan izin untuk membuat kredensi khusus layanan baru untuk pengguna IAM	Tulis	user*
CreateUser	Memberikan izin untuk membuat pengguna IAM baru	Tulis	user*
CreateUser	Memberikan izin untuk membuat pengguna IAM baru	Tulis		iam:PermissionsBoundary aws:TagKeys aws:RequestTag/${TagKey}
CreateVirtualMFADevice	Memberikan izin untuk membuat perangkat MFA virtual baru	Tulis	mfa*
CreateVirtualMFADevice	Memberikan izin untuk membuat perangkat MFA virtual baru	Tulis		aws:TagKeys aws:RequestTag/${TagKey}
DeactivateMFADevice	Memberikan izin untuk menonaktifkan perangkat MFA yang ditentukan dan menghapus hubungannya dengan pengguna IAM yang awalnya diaktifkan	Tulis	user*
DeleteAccessKey	Memberikan izin untuk menghapus access key pair yang terkait dengan pengguna IAM yang ditentukan	Tulis	user*
DeleteAccountAlias	Memberikan izin untuk menghapus alias yang ditentukan Akun AWS	Tulis
DeleteAccountPasswordPolicy	Memberikan izin untuk menghapus kebijakan kata sandi untuk Akun AWS	Manajemen izin
DeleteCloudFrontPublicKey	Memberikan izin untuk menghapus kunci CloudFront publik yang ada	Tulis
DeleteGroup	Memberikan izin untuk menghapus grup IAM yang ditentukan	Tulis	group*
DeleteGroupPolicy	Memberikan izin untuk menghapus kebijakan inline yang ditentukan dari grupnya	Manajemen izin	group*
DeleteInstanceProfile	Memberikan izin untuk menghapus profil instance yang ditentukan	Tulis	instance-profile*
DeleteLoginProfile	Memberikan izin untuk menghapus kata sandi untuk pengguna IAM yang ditentukan	Tulis	user*
DeleteOpenIDConnectProvider	Memberikan izin untuk menghapus objek sumber daya penyedia identitas OpenID Connect (IDP) di IAM	Tulis	oidc-provider*
DeletePolicy	Memberikan izin untuk menghapus kebijakan terkelola yang ditentukan dan menghapusnya dari entitas IAM (pengguna, grup, atau peran) yang dilampirkan	Manajemen izin	policy*
DeletePolicyVersion	Memberikan izin untuk menghapus versi dari kebijakan terkelola yang ditentukan	Manajemen izin	policy*
DeleteRole	Memberikan izin untuk menghapus peran yang ditentukan	Tulis	role*
DeleteRolePermissionsBoundary	Memberikan izin untuk menghapus batas izin dari peran	Manajemen izin	role*
DeleteRolePermissionsBoundary	Memberikan izin untuk menghapus batas izin dari peran	Manajemen izin		iam:PermissionsBoundary
DeleteRolePolicy	Memberikan izin untuk menghapus kebijakan inline yang ditentukan dari peran yang ditentukan	Manajemen izin	role*
DeleteRolePolicy		Manajemen izin		iam:PermissionsBoundary
DeleteSAMLProvider	Memberikan izin untuk menghapus sumber daya penyedia SAFL di IAM	Tulis	saml-provider*
DeleteSSHPublicKey	Memberikan izin untuk menghapus kunci publik SSH yang ditentukan	Tulis	user*
DeleteServerCertificate	Memberikan izin untuk menghapus sertifikat server yang ditentukan	Tulis	server-certificate*
DeleteServiceLinkedRole	Memberikan izin untuk menghapus peran IAM yang ditautkan ke AWS layanan tertentu, jika layanan tidak lagi menggunakannya	Tulis	role*
DeleteServiceSpecificCredential	Memberikan izin untuk menghapus kredensi khusus layanan yang ditentukan untuk pengguna IAM	Tulis	user*
DeleteSigningCertificate	Memberikan izin untuk menghapus sertifikat penandatanganan yang terkait dengan pengguna IAM yang ditentukan	Tulis	user*
DeleteUser	Memberikan izin untuk menghapus pengguna IAM yang ditentukan	Tulis	user*
DeleteUserPermissionsBoundary	Memberikan izin untuk menghapus batas izin dari pengguna IAM yang ditentukan	Manajemen izin	user*
DeleteUserPermissionsBoundary		Manajemen izin		iam:PermissionsBoundary
DeleteUserPolicy	Memberikan izin untuk menghapus kebijakan inline yang ditentukan dari pengguna IAM	Manajemen izin	user*
DeleteUserPolicy		Manajemen izin		iam:PermissionsBoundary
DeleteVirtualMFADevice	Memberikan izin untuk menghapus perangkat MFA virtual	Tulis	mfa
DeleteVirtualMFADevice	Memberikan izin untuk menghapus perangkat MFA virtual	Tulis	sms-mfa
DetachGroupPolicy	Memberikan izin untuk melepaskan kebijakan terkelola dari grup IAM yang ditentukan	Manajemen izin	group*
DetachGroupPolicy		Manajemen izin		iam:PolicyARN
DetachRolePolicy	Memberikan izin untuk melepaskan kebijakan terkelola dari peran yang ditentukan	Manajemen izin	role*
DetachRolePolicy		Manajemen izin		iam:PolicyARN iam:PermissionsBoundary
DetachUserPolicy	Memberikan izin untuk melepaskan kebijakan terkelola dari pengguna IAM yang ditentukan	Manajemen izin	user*
DetachUserPolicy		Manajemen izin		iam:PolicyARN iam:PermissionsBoundary
DisableOrganizationsRootCredentialsManagement	Memberikan izin untuk menonaktifkan pengelolaan kredensi pengguna root akun anggota untuk organisasi yang dikelola di bawah akun saat ini	Tulis
DisableOrganizationsRootSessions	Memberikan izin untuk menonaktifkan tindakan root istimewa di akun anggota untuk organisasi yang dikelola di bawah akun saat ini	Tulis
EnableMFADevice	Memberikan izin untuk mengaktifkan perangkat MFA dan mengaitkannya dengan pengguna IAM yang ditentukan	Tulis	user*
EnableMFADevice		Tulis		iam:RegisterSecurityKey iam:FIDO-FIPS-140-2-certification iam:FIDO-FIPS-140-3-certification iam:FIDO-certification
EnableOrganizationsRootCredentialsManagement	Memberikan izin untuk mengaktifkan pengelolaan kredensi pengguna root akun anggota untuk organisasi yang dikelola di bawah akun saat ini	Tulis
EnableOrganizationsRootSessions	Memberikan izin untuk mengaktifkan tindakan root istimewa di akun anggota untuk organisasi yang dikelola di bawah akun saat ini	Tulis
GenerateCredentialReport	Memberikan izin untuk membuat laporan kredensi untuk Akun AWS	Baca
GenerateOrganizationsAccessReport	Memberikan izin untuk membuat laporan akses untuk entitas AWS Organizations	Baca	access-report*		organizations:DescribePolicy organizations:ListChildren organizations:ListParents organizations:ListPoliciesForTarget organizations:ListRoots organizations:ListTargetsForPolicy
GenerateOrganizationsAccessReport		Baca		iam:OrganizationsPolicyId
GenerateServiceLastAccessedDetails	Memberikan izin untuk menghasilkan laporan data yang terakhir diakses layanan untuk sumber daya IAM	Baca	group*
			policy*
			role*
			user*
GetAccessKeyLastUsed	Memberikan izin untuk mengambil informasi tentang kapan kunci akses yang ditentukan terakhir digunakan	Baca	user*
GetAccountAuthorizationDetails	Memberikan izin untuk mengambil informasi tentang semua pengguna, grup, peran, dan kebijakan IAM dalam Anda Akun AWS, termasuk hubungan mereka satu sama lain	Baca
GetAccountEmailAddress	Memberikan izin untuk mengambil alamat email yang terkait dengan akun	Baca
GetAccountName	Memberikan izin untuk mengambil nama akun yang terkait dengan akun	Baca
GetAccountPasswordPolicy	Memberikan izin untuk mengambil kebijakan kata sandi untuk Akun AWS	Baca
GetAccountSummary	Memberikan izin untuk mengambil informasi tentang penggunaan entitas IAM dan kuota IAM di Akun AWS	Daftar
GetCloudFrontPublicKey	Memberikan izin untuk mengambil informasi tentang kunci publik yang ditentukan CloudFront	Baca
GetContextKeysForCustomPolicy	Memberikan izin untuk mengambil daftar semua kunci konteks yang direferensikan dalam kebijakan yang ditentukan	Baca
GetContextKeysForPrincipalPolicy	Memberikan izin untuk mengambil daftar semua kunci konteks yang direferensikan dalam semua kebijakan IAM yang dilampirkan ke identitas IAM tertentu (pengguna, grup, atau peran)	Baca	group
			role
			user
GetCredentialReport	Memberikan izin untuk mengambil laporan kredensi untuk Akun AWS	Baca
GetGroup	Memberikan izin untuk mengambil daftar pengguna IAM dalam grup IAM yang ditentukan	Baca	group*
GetGroupPolicy	Memberikan izin untuk mengambil dokumen kebijakan inline yang disematkan dalam grup IAM yang ditentukan	Baca	group*
GetInstanceProfile	Memberikan izin untuk mengambil informasi tentang profil instance yang ditentukan, termasuk jalur profil instance, GUID, ARN, dan peran	Baca	instance-profile*
GetLoginProfile	Memberikan izin untuk mengambil nama pengguna dan tanggal pembuatan kata sandi untuk pengguna IAM yang ditentukan	Daftar	user*
GetMFADevice	Memberikan izin untuk mengambil informasi tentang perangkat MFA untuk pengguna yang ditentukan	Baca	user*
GetOpenIDConnectProvider	Memberikan izin untuk mengambil informasi tentang sumber daya penyedia OpenID Connect (OIDC) yang ditentukan di IAM	Baca	oidc-provider*
GetOrganizationsAccessReport	Memberikan izin untuk mengambil laporan akses AWS Organizations	Baca
GetPolicy	Memberikan izin untuk mengambil informasi tentang kebijakan terkelola yang ditentukan, termasuk versi default kebijakan dan jumlah total identitas yang dilampirkan kebijakan	Baca	policy*
GetPolicyVersion	Memberikan izin untuk mengambil informasi tentang versi kebijakan terkelola yang ditentukan, termasuk dokumen kebijakan	Baca	policy*
GetRole	Memberikan izin untuk mengambil informasi tentang peran yang ditentukan, termasuk jalur peran, GUID, ARN, dan kebijakan kepercayaan peran	Baca	role*
GetRolePolicy	Memberikan izin untuk mengambil dokumen kebijakan inline yang disematkan dengan peran IAM yang ditentukan	Baca	role*
GetSAMLProvider	Memberikan izin untuk mengambil metadokumen penyedia SAMP yang diunggah saat sumber daya penyedia SAMP IAM dibuat atau diperbarui	Baca	saml-provider*
GetSSHPublicKey	Memberikan izin untuk mengambil kunci publik SSH yang ditentukan, termasuk metadata tentang kunci	Baca	user*
GetServerCertificate	Memberikan izin untuk mengambil informasi tentang sertifikat server tertentu yang disimpan di IAM	Baca	server-certificate*
GetServiceLastAccessedDetails	Memberikan izin untuk mengambil informasi tentang layanan laporan data yang terakhir diakses	Baca
GetServiceLastAccessedDetailsWithEntities	Memberikan izin untuk mengambil informasi tentang entitas dari laporan data terakhir yang diakses layanan	Baca
GetServiceLinkedRoleDeletionStatus	Memberikan izin untuk mengambil status penghapusan peran terkait layanan IAM	Baca	role*
GetUser	Memberikan izin untuk mengambil informasi tentang pengguna IAM yang ditentukan, termasuk tanggal pembuatan pengguna, jalur, ID unik, dan ARN	Baca	user*
GetUserPolicy	Memberikan izin untuk mengambil dokumen kebijakan inline yang disematkan pada pengguna IAM yang ditentukan	Baca	user*
ListAccessKeys	Memberikan izin untuk mencantumkan informasi tentang kunci akses IDs yang terkait dengan pengguna IAM yang ditentukan	Daftar	user*
ListAccountAliases	Memberikan izin untuk membuat daftar alias akun yang terkait dengan Akun AWS	Daftar
ListAttachedGroupPolicies	Memberikan izin untuk mencantumkan semua kebijakan terkelola yang dilampirkan ke grup IAM yang ditentukan	Daftar	group*
ListAttachedRolePolicies	Memberikan izin untuk mencantumkan semua kebijakan terkelola yang dilampirkan pada peran IAM yang ditentukan	Daftar	role*
ListAttachedUserPolicies	Memberikan izin untuk mencantumkan semua kebijakan terkelola yang dilampirkan ke pengguna IAM yang ditentukan	Daftar	user*
ListCloudFrontPublicKeys	Memberikan izin untuk membuat daftar semua kunci CloudFront publik saat ini untuk akun	Daftar
ListEntitiesForPolicy	Memberikan izin untuk mencantumkan semua identitas IAM yang dilampirkan kebijakan terkelola yang ditentukan	Daftar	policy*
ListGroupPolicies	Memberikan izin untuk mencantumkan nama kebijakan sebaris yang disematkan dalam grup IAM yang ditentukan	Daftar	group*
ListGroups	Memberikan izin untuk membuat daftar grup IAM yang memiliki awalan jalur yang ditentukan	Daftar
ListGroupsForUser	Memberikan izin untuk membuat daftar grup IAM yang dimiliki oleh pengguna IAM tertentu	Daftar	user*
ListInstanceProfileTags	Memberikan izin untuk mencantumkan tag yang dilampirkan ke profil contoh yang ditentukan	Daftar	instance-profile*
ListInstanceProfiles	Memberikan izin untuk membuat daftar profil instance yang memiliki awalan jalur yang ditentukan	Daftar
ListInstanceProfilesForRole	Memberikan izin untuk membuat daftar profil instance yang memiliki peran IAM terkait yang ditentukan	Daftar	role*
ListMFADeviceTags	Memberikan izin untuk membuat daftar tag yang dilampirkan ke perangkat mfa virtual yang ditentukan	Daftar	mfa*
ListMFADevices	Memberikan izin untuk membuat daftar perangkat MFA untuk pengguna IAM	Daftar	user
ListOpenIDConnectProviderTags	Memberikan izin untuk mencantumkan tag yang dilampirkan ke penyedia OpenID Connect yang ditentukan	Daftar	oidc-provider*
ListOpenIDConnectProviders	Memberikan izin untuk mencantumkan informasi tentang objek sumber daya penyedia OpenID Connect (OIDC) IAM yang ditentukan dalam Akun AWS	Daftar
ListOrganizationsFeatures	Memberikan izin untuk mencantumkan fitur akses root terpusat yang diaktifkan untuk organisasi Anda	Daftar
ListPolicies	Memberikan izin untuk mencantumkan semua kebijakan terkelola	Daftar
ListPoliciesGrantingServiceAccess	Memberikan izin untuk mencantumkan informasi tentang kebijakan yang memberikan akses entitas ke layanan tertentu	Daftar	group*
			role*
			user*
ListPolicyTags	Memberikan izin untuk mencantumkan tag yang dilampirkan pada kebijakan terkelola yang ditentukan	Daftar	policy*
ListPolicyVersions	Memberikan izin untuk mencantumkan informasi tentang versi kebijakan terkelola yang ditentukan, termasuk versi yang saat ini ditetapkan sebagai versi default kebijakan	Daftar	policy*
ListRolePolicies	Memberikan izin untuk mencantumkan nama kebijakan sebaris yang disematkan dalam peran IAM yang ditentukan	Daftar	role*
ListRoleTags	Memberikan izin untuk membuat daftar tag yang dilampirkan ke peran IAM yang ditentukan	Daftar	role*
ListRoles	Memberikan izin untuk membuat daftar peran IAM yang memiliki awalan jalur yang ditentukan	Daftar
ListSAMLProviderTags	Memberikan izin untuk membuat daftar tag yang dilampirkan ke penyedia SAMP yang ditentukan	Daftar	saml-provider*
ListSAMLProviders	Memberikan izin untuk membuat daftar sumber daya penyedia SAFL di IAM	Daftar
ListSSHPublicKeys	Memberikan izin untuk membuat daftar informasi tentang kunci publik SSH yang terkait dengan pengguna IAM yang ditentukan	Daftar	user*
ListSTSRegionalEndpointsStatus	Memberikan izin untuk mencantumkan status semua titik akhir regional STS yang aktif	Daftar
ListServerCertificateTags	Memberikan izin untuk membuat daftar tag yang dilampirkan ke sertifikat server yang ditentukan	Daftar	server-certificate*
ListServerCertificates	Memberikan izin untuk membuat daftar sertifikat server yang memiliki awalan jalur yang ditentukan	Daftar
ListServiceSpecificCredentials	Memberikan izin untuk mencantumkan kredensil khusus layanan yang terkait dengan pengguna IAM yang ditentukan	Daftar	user*
ListSigningCertificates	Memberikan izin untuk mencantumkan informasi tentang sertifikat penandatanganan yang terkait dengan pengguna IAM yang ditentukan	Daftar	user*
ListUserPolicies	Memberikan izin untuk mencantumkan nama kebijakan sebaris yang disematkan pada pengguna IAM yang ditentukan	Daftar	user*
ListUserTags	Memberikan izin untuk membuat daftar tag yang dilampirkan ke pengguna IAM yang ditentukan	Daftar	user*
ListUsers	Memberikan izin untuk mencantumkan pengguna IAM yang memiliki awalan jalur yang ditentukan	Daftar
ListVirtualMFADevices	Memberikan izin untuk membuat daftar perangkat MFA virtual berdasarkan status penugasan	Daftar
PassRole[hanya izin]	Memberikan izin untuk meneruskan peran ke layanan	Tulis	role*
PassRole[hanya izin]	Memberikan izin untuk meneruskan peran ke layanan	Tulis		iam:AssociatedResourceArn iam:PassedToService
PutGroupPolicy	Memberikan izin untuk membuat atau memperbarui dokumen kebijakan inline yang disematkan dalam grup IAM yang ditentukan	Manajemen izin	group*
PutRolePermissionsBoundary	Memberikan izin untuk menetapkan kebijakan terkelola sebagai batas izin untuk peran	Manajemen izin	role*
PutRolePermissionsBoundary		Manajemen izin		iam:PermissionsBoundary
PutRolePolicy	Memberikan izin untuk membuat atau memperbarui dokumen kebijakan inline yang disematkan dalam peran IAM yang ditentukan	Manajemen izin	role*
PutRolePolicy		Manajemen izin		iam:PermissionsBoundary
PutUserPermissionsBoundary	Memberikan izin untuk menetapkan kebijakan terkelola sebagai batas izin bagi pengguna IAM	Manajemen izin	user*
PutUserPermissionsBoundary		Manajemen izin		iam:PermissionsBoundary
PutUserPolicy	Memberikan izin untuk membuat atau memperbarui dokumen kebijakan inline yang disematkan pada pengguna IAM yang ditentukan	Manajemen izin	user*
PutUserPolicy		Manajemen izin		iam:PermissionsBoundary
RemoveClientIDFromOpenIDConnectProvider	Memberikan izin untuk menghapus ID klien (audiens) dari daftar klien IDs dalam sumber daya penyedia IAM OpenID Connect (OIDC) yang ditentukan	Tulis	oidc-provider*
RemoveRoleFromInstanceProfile	Memberikan izin untuk menghapus peran IAM dari profil instance yang ditentukan EC2	Tulis	instance-profile*
RemoveUserFromGroup	Memberikan izin untuk menghapus pengguna IAM dari grup yang ditentukan	Tulis	group*
ResetServiceSpecificCredential	Memberikan izin untuk mengatur ulang kata sandi untuk kredensi khusus layanan yang ada untuk pengguna IAM	Tulis	user*
ResyncMFADevice	Memberikan izin untuk menyinkronkan perangkat MFA yang ditentukan dengan entitas IAM-nya (pengguna atau peran)	Tulis	user*
SetDefaultPolicyVersion	Memberikan izin untuk menyetel versi kebijakan yang ditentukan sebagai versi default kebijakan	Manajemen izin	policy*
SetSTSRegionalEndpointStatus	Memberikan izin untuk mengaktifkan atau menonaktifkan titik akhir regional STS	Tulis
SetSecurityTokenServicePreferences	Memberikan izin untuk mengatur versi token titik akhir global STS	Tulis
SimulateCustomPolicy	Memberikan izin untuk mensimulasikan apakah kebijakan berbasis identitas atau kebijakan berbasis sumber daya memberikan izin untuk operasi dan sumber daya API tertentu	Baca
SimulatePrincipalPolicy	Memberikan izin untuk mensimulasikan apakah kebijakan berbasis identitas yang dilampirkan ke entitas IAM tertentu (pengguna atau peran) memberikan izin untuk operasi dan sumber daya API tertentu	Baca	group
			role
			user
TagInstanceProfile	Memberikan izin untuk menambahkan tag ke profil instance	Penandaan	instance-profile*
TagInstanceProfile	Memberikan izin untuk menambahkan tag ke profil instance	Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagMFADevice	Memberikan izin untuk menambahkan tag ke perangkat mfa virtual	Penandaan	mfa*
TagMFADevice		Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagOpenIDConnectProvider	Memberikan izin untuk menambahkan tag ke penyedia OpenID Connect	Penandaan	oidc-provider*
TagOpenIDConnectProvider		Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagPolicy	Memberikan izin untuk menambahkan tag ke kebijakan terkelola	Penandaan	policy*
TagPolicy		Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagRole	Memberikan izin untuk menambahkan tag ke peran IAM	Penandaan	role*
TagRole	Memberikan izin untuk menambahkan tag ke peran IAM	Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagSAMLProvider	Memberikan izin untuk menambahkan tag ke Penyedia SALL	Penandaan	saml-provider*
TagSAMLProvider	Memberikan izin untuk menambahkan tag ke Penyedia SALL	Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagServerCertificate	Memberikan izin untuk menambahkan tag ke sertifikat server	Penandaan	server-certificate*
TagServerCertificate	Memberikan izin untuk menambahkan tag ke sertifikat server	Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagUser	Memberikan izin untuk menambahkan tag ke pengguna IAM	Penandaan	user*
TagUser	Memberikan izin untuk menambahkan tag ke pengguna IAM	Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
UntagInstanceProfile	Memberikan izin untuk menghapus tag yang ditentukan dari profil instance	Penandaan	instance-profile*
UntagInstanceProfile		Penandaan		aws:TagKeys
UntagMFADevice	Memberikan izin untuk menghapus tag yang ditentukan dari perangkat mfa virtual	Penandaan	mfa*
UntagMFADevice		Penandaan		aws:TagKeys
UntagOpenIDConnectProvider	Memberikan izin untuk menghapus tag yang ditentukan dari penyedia OpenID Connect	Penandaan	oidc-provider*
UntagOpenIDConnectProvider		Penandaan		aws:TagKeys
UntagPolicy	Memberikan izin untuk menghapus tag yang ditentukan dari kebijakan terkelola	Penandaan	policy*
UntagPolicy		Penandaan		aws:TagKeys
UntagRole	Memberikan izin untuk menghapus tag yang ditentukan dari peran	Penandaan	role*
UntagRole		Penandaan		aws:TagKeys
UntagSAMLProvider	Memberikan izin untuk menghapus tag yang ditentukan dari Penyedia SALL	Penandaan	saml-provider*
UntagSAMLProvider		Penandaan		aws:TagKeys
UntagServerCertificate	Memberikan izin untuk menghapus tag yang ditentukan dari sertifikat server	Penandaan	server-certificate*
UntagServerCertificate		Penandaan		aws:TagKeys
UntagUser	Memberikan izin untuk menghapus tag yang ditentukan dari pengguna	Penandaan	user*
UntagUser		Penandaan		aws:TagKeys
UpdateAccessKey	Memberikan izin untuk memperbarui status kunci akses yang ditentukan sebagai Aktif atau Tidak Aktif	Tulis	user*
UpdateAccountEmailAddress	Memberikan izin untuk memperbarui alamat email yang terkait dengan akun	Tulis
UpdateAccountName	Memberikan izin untuk memperbarui nama akun yang terkait dengan akun	Tulis
UpdateAccountPasswordPolicy	Memberikan izin untuk memperbarui setelan kebijakan kata sandi untuk Akun AWS	Tulis
UpdateAssumeRolePolicy	Memberikan izin untuk memperbarui kebijakan yang memberikan izin entitas IAM untuk mengambil peran	Manajemen izin	role*
UpdateCloudFrontPublicKey	Memberikan izin untuk memperbarui kunci CloudFront publik yang ada	Tulis
UpdateGroup	Memberikan izin untuk memperbarui nama atau jalur grup IAM yang ditentukan	Tulis	group*
UpdateLoginProfile	Memberikan izin untuk mengubah kata sandi untuk pengguna IAM yang ditentukan	Tulis	user*
UpdateOpenIDConnectProviderThumbprint	Memberikan izin untuk memperbarui seluruh daftar cap jempol sertifikat server yang terkait dengan sumber daya penyedia OpenID Connect (OIDC)	Tulis	oidc-provider*
UpdateRole	Memberikan izin untuk memperbarui deskripsi atau pengaturan durasi sesi maksimum peran	Tulis	role*
UpdateRoleDescription	Memberikan izin untuk memperbarui hanya deskripsi peran	Tulis	role*
UpdateSAMLProvider	Memberikan izin untuk memperbarui dokumen metadata untuk sumber daya penyedia SAMP yang ada	Tulis	saml-provider*
UpdateSSHPublicKey	Memberikan izin untuk memperbarui status kunci publik SSH pengguna IAM menjadi aktif atau tidak aktif	Tulis	user*
UpdateServerCertificate	Memberikan izin untuk memperbarui nama atau jalur sertifikat server tertentu yang disimpan di IAM	Tulis	server-certificate*
UpdateServiceSpecificCredential	Memberikan izin untuk memperbarui status kredensi khusus layanan menjadi aktif atau tidak aktif untuk pengguna IAM	Tulis	user*
UpdateSigningCertificate	Memberikan izin untuk memperbarui status sertifikat penandatanganan pengguna yang ditentukan menjadi aktif atau dinonaktifkan	Tulis	user*
UpdateUser	Memberikan izin untuk memperbarui nama atau jalur pengguna IAM yang ditentukan	Tulis	user*
UploadCloudFrontPublicKey	Memberikan izin untuk mengunggah kunci CloudFront publik	Tulis
UploadSSHPublicKey	Memberikan izin untuk mengunggah kunci publik SSH dan mengaitkannya dengan pengguna IAM yang ditentukan	Tulis	user*
UploadServerCertificate	Memberikan izin untuk mengunggah entitas sertifikat server untuk Akun AWS	Tulis	server-certificate*
UploadServerCertificate		Tulis		aws:TagKeys aws:RequestTag/${TagKey}
UploadSigningCertificate	Memberikan izin untuk mengunggah sertifikat penandatanganan X.509 dan mengaitkannya dengan pengguna IAM yang ditentukan	Tulis	user*

Jenis sumber daya yang ditentukan oleh AWS Identity and Access Management (IAM)

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.

Jenis sumber daya	ARN	Kunci syarat
access-report	`arn:${Partition}:iam::${Account}:access-report/${EntityPath}`
assumed-role	`arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}`
federated-user	`arn:${Partition}:iam::${Account}:federated-user/${UserName}`
group	`arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}`
instance-profile	`arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}`	aws:ResourceTag/${TagKey}
mfa	`arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}`	aws:ResourceTag/${TagKey}
oidc-provider	`arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}`	aws:ResourceTag/${TagKey}
policy	`arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}`	aws:ResourceTag/${TagKey}
role	`arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}`	aws:ResourceTag/${TagKey} iam:ResourceTag/${TagKey}
saml-provider	`arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}`	aws:ResourceTag/${TagKey}
server-certificate	`arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}`	aws:ResourceTag/${TagKey}
sms-mfa	`arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}`
user	`arn:${Partition}:iam::${Account}:user/${UserNameWithPath}`	aws:ResourceTag/${TagKey} iam:ResourceTag/${TagKey}

Kunci kondisi untuk AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

Kunci syarat	Deskripsi	Jenis
aws:RequestTag/${TagKey}	Memfilter akses berdasarkan tag yang diteruskan dalam permintaan	String
aws:ResourceTag/${TagKey}	Memfilter akses berdasarkan tag yang terkait dengan sumber daya	String
aws:TagKeys	Memfilter akses berdasarkan kunci tag yang diteruskan dalam permintaan	ArrayOfString
iam:AWSServiceName	Memfilter akses oleh AWS layanan tempat peran ini dilampirkan	String
iam:AssociatedResourceArn	Memfilter akses berdasarkan sumber daya yang akan digunakan peran atas nama	ARN
iam:FIDO-FIPS-140-2-certification	Memfilter akses oleh perangkat MFA FIPS-140-2 tingkat sertifikasi validasi pada saat pendaftaran kunci keamanan FIDO	String
iam:FIDO-FIPS-140-3-certification	Memfilter akses oleh perangkat MFA FIPS-140-3 tingkat sertifikasi validasi pada saat pendaftaran kunci keamanan FIDO	String
iam:FIDO-certification	Memfilter akses oleh perangkat MFA tingkat sertifikasi FIDO pada saat pendaftaran kunci keamanan FIDO	String
iam:OrganizationsPolicyId	Memfilter akses berdasarkan ID kebijakan AWS Organizations	String
iam:PassedToService	Memfilter akses oleh AWS layanan tempat peran ini diteruskan	String
iam:PermissionsBoundary	Memfilter akses jika kebijakan yang ditentukan ditetapkan sebagai batas izin pada entitas IAM (pengguna atau peran)	ARN
iam:PolicyARN	Memfilter akses oleh ARN dari kebijakan IAM	ARN
iam:RegisterSecurityKey	Memfilter akses berdasarkan status pemberdayaan perangkat MFA saat ini	String
iam:ResourceTag/${TagKey}	Memfilter akses dengan tag yang dilampirkan ke entitas IAM (pengguna atau peran)	String

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS Layanan IAM Identity Center OIDC

AWS Peran Identity and Access Management Di Mana Saja