Tindakan, sumber daya, dan kunci kondisi untuk AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) (awalan layanan:iam) menyediakan sumber daya, tindakan, dan kunci konteks kondisi khusus layanan berikut untuk digunakan dalam IAM kebijakan izin.

Referensi:

Pelajari cara mengonfigurasi layanan ini.
Lihat daftar APIoperasi yang tersedia untuk layanan ini.
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan IAM izin.

Topik

Tindakan yang ditentukan oleh AWS Identity and Access Management (IAM)
Jenis sumber daya yang ditentukan oleh AWS Identity and Access Management (IAM)
Kunci kondisi untuk AWS Identity and Access Management (IAM)

Tindakan yang ditentukan oleh AWS Identity and Access Management (IAM)

Anda dapat menentukan tindakan berikut dalam Action elemen pernyataan IAM kebijakan. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Ketika Anda menggunakan tindakan dalam kebijakan, Anda biasanya mengizinkan atau menolak akses ke API operasi atau CLI perintah dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom menyertakan jenis sumber daya, maka Anda dapat menentukan ARN jenis itu dalam pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam IAM kebijakan, Anda harus menyertakan pola ARN atau untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.

Tindakan	Deskripsi	Tingkat akses	Jenis sumber daya (*diperlukan)	Kunci syarat	Tindakan bergantung
AddClientIDToOpenIDConnectProvider	Memberikan izin untuk menambahkan ID klien baru (audiens) ke daftar yang terdaftar IDs untuk sumber daya penyedia IAM OpenID OIDC Connect () yang ditentukan	Tulis	oidc-provider*
AddRoleToInstanceProfile	Memberikan izin untuk menambahkan IAM peran ke profil instance yang ditentukan	Tulis	instance-profile*		iam:PassRole
AddUserToGroup	Memberikan izin untuk menambahkan IAM pengguna ke grup yang ditentukan IAM	Tulis	group*
AttachGroupPolicy	Memberikan izin untuk melampirkan kebijakan terkelola ke grup yang ditentukan IAM	Manajemen izin	group*
AttachGroupPolicy		Manajemen izin		iam:PolicyARN
AttachRolePolicy	Memberikan izin untuk melampirkan kebijakan terkelola ke peran yang ditentukan IAM	Manajemen izin	role*
AttachRolePolicy		Manajemen izin		iam:PolicyARN iam:PermissionsBoundary
AttachUserPolicy	Memberikan izin untuk melampirkan kebijakan terkelola ke pengguna yang ditentukan IAM	Manajemen izin	user*
AttachUserPolicy		Manajemen izin		iam:PolicyARN iam:PermissionsBoundary
ChangePassword	Memberikan izin kepada IAM pengguna untuk mengubah kata sandi mereka sendiri	Tulis	user*
CreateAccessKey	Memberikan izin untuk membuat kunci akses dan kunci akses rahasia untuk pengguna yang ditentukan IAM	Tulis	user*
CreateAccountAlias	Memberikan izin untuk membuat alias untuk Anda Akun AWS	Tulis
CreateGroup	Memberikan izin untuk membuat grup baru	Tulis	group*
CreateInstanceProfile	Memberikan izin untuk membuat profil instance baru	Tulis	instance-profile*
CreateInstanceProfile	Memberikan izin untuk membuat profil instance baru	Tulis		aws:TagKeys aws:RequestTag/${TagKey}
CreateLoginProfile	Memberikan izin untuk membuat kata sandi untuk pengguna yang ditentukan IAM	Tulis	user*
CreateOpenIDConnectProvider	Memberikan izin untuk membuat IAM sumber daya yang menjelaskan penyedia identitas (IDP) yang mendukung OpenID Connect () OIDC	Tulis	oidc-provider*
CreateOpenIDConnectProvider		Tulis		aws:TagKeys aws:RequestTag/${TagKey}
CreatePolicy	Memberikan izin untuk membuat kebijakan terkelola baru	Manajemen izin	policy*
CreatePolicy	Memberikan izin untuk membuat kebijakan terkelola baru	Manajemen izin		aws:TagKeys aws:RequestTag/${TagKey}
CreatePolicyVersion	Memberikan izin untuk membuat versi baru dari kebijakan terkelola yang ditentukan	Manajemen izin	policy*
CreateRole	Memberikan izin untuk membuat peran baru	Tulis	role*
CreateRole	Memberikan izin untuk membuat peran baru	Tulis		iam:PermissionsBoundary aws:TagKeys aws:RequestTag/${TagKey}
CreateSAMLProvider	Memberikan izin untuk membuat IAM sumber daya yang menjelaskan penyedia identitas (iDP) yang mendukung 2.0 SAML	Tulis	saml-provider*
CreateSAMLProvider		Tulis		aws:TagKeys aws:RequestTag/${TagKey}
CreateServiceLinkedRole	Memberikan izin untuk membuat IAM peran yang memungkinkan AWS layanan melakukan tindakan atas nama Anda	Tulis	role*
CreateServiceLinkedRole		Tulis		iam:AWSServiceName
CreateServiceSpecificCredential	Memberikan izin untuk membuat kredensi khusus layanan baru bagi pengguna IAM	Tulis	user*
CreateUser	Memberikan izin untuk membuat pengguna baru IAM	Tulis	user*
CreateUser	Memberikan izin untuk membuat pengguna baru IAM	Tulis		iam:PermissionsBoundary aws:TagKeys aws:RequestTag/${TagKey}
CreateVirtualMFADevice	Memberikan izin untuk membuat perangkat virtual MFA baru	Tulis	mfa*
CreateVirtualMFADevice	Memberikan izin untuk membuat perangkat virtual MFA baru	Tulis		aws:TagKeys aws:RequestTag/${TagKey}
DeactivateMFADevice	Memberikan izin untuk menonaktifkan MFA perangkat yang ditentukan dan menghapus hubungannya dengan IAM pengguna yang awalnya diaktifkan	Tulis	user*
DeleteAccessKey	Memberikan izin untuk menghapus access key pair yang terkait dengan pengguna yang ditentukan IAM	Tulis	user*
DeleteAccountAlias	Memberikan izin untuk menghapus alias yang ditentukan Akun AWS	Tulis
DeleteAccountPasswordPolicy	Memberikan izin untuk menghapus kebijakan kata sandi untuk Akun AWS	Manajemen izin
DeleteCloudFrontPublicKey	Memberikan izin untuk menghapus kunci CloudFront publik yang ada	Tulis
DeleteGroup	Memberikan izin untuk menghapus grup yang ditentukan IAM	Tulis	group*
DeleteGroupPolicy	Memberikan izin untuk menghapus kebijakan inline yang ditentukan dari grupnya	Manajemen izin	group*
DeleteInstanceProfile	Memberikan izin untuk menghapus profil instance yang ditentukan	Tulis	instance-profile*
DeleteLoginProfile	Memberikan izin untuk menghapus kata sandi untuk pengguna yang ditentukan IAM	Tulis	user*
DeleteOpenIDConnectProvider	Memberikan izin untuk menghapus objek sumber daya penyedia identitas OpenID Connect (IDP) di IAM	Tulis	oidc-provider*
DeletePolicy	Memberikan izin untuk menghapus kebijakan terkelola yang ditentukan dan menghapusnya dari IAM entitas apa pun (pengguna, grup, atau peran) yang dilampirkan	Manajemen izin	policy*
DeletePolicyVersion	Memberikan izin untuk menghapus versi dari kebijakan terkelola yang ditentukan	Manajemen izin	policy*
DeleteRole	Memberikan izin untuk menghapus peran yang ditentukan	Tulis	role*
DeleteRolePermissionsBoundary	Memberikan izin untuk menghapus batas izin dari peran	Manajemen izin	role*
DeleteRolePermissionsBoundary	Memberikan izin untuk menghapus batas izin dari peran	Manajemen izin		iam:PermissionsBoundary
DeleteRolePolicy	Memberikan izin untuk menghapus kebijakan inline yang ditentukan dari peran yang ditentukan	Manajemen izin	role*
DeleteRolePolicy		Manajemen izin		iam:PermissionsBoundary
DeleteSAMLProvider	Memberikan izin untuk menghapus sumber daya SAML penyedia di IAM	Tulis	saml-provider*
DeleteSSHPublicKey	Memberikan izin untuk menghapus kunci SSH publik yang ditentukan	Tulis	user*
DeleteServerCertificate	Memberikan izin untuk menghapus sertifikat server yang ditentukan	Tulis	server-certificate*
DeleteServiceLinkedRole	Memberikan izin untuk menghapus IAM peran yang ditautkan ke AWS layanan tertentu, jika layanan tidak lagi menggunakannya	Tulis	role*
DeleteServiceSpecificCredential	Memberikan izin untuk menghapus kredensi khusus layanan yang ditentukan untuk pengguna IAM	Tulis	user*
DeleteSigningCertificate	Memberikan izin untuk menghapus sertifikat penandatanganan yang terkait dengan pengguna yang ditentukan IAM	Tulis	user*
DeleteUser	Memberikan izin untuk menghapus pengguna yang ditentukan IAM	Tulis	user*
DeleteUserPermissionsBoundary	Memberikan izin untuk menghapus batas izin dari pengguna yang ditentukan IAM	Manajemen izin	user*
DeleteUserPermissionsBoundary		Manajemen izin		iam:PermissionsBoundary
DeleteUserPolicy	Memberikan izin untuk menghapus kebijakan inline yang ditentukan dari pengguna IAM	Manajemen izin	user*
DeleteUserPolicy		Manajemen izin		iam:PermissionsBoundary
DeleteVirtualMFADevice	Memberikan izin untuk menghapus perangkat virtual MFA	Tulis	mfa
DeleteVirtualMFADevice	Memberikan izin untuk menghapus perangkat virtual MFA	Tulis	sms-mfa
DetachGroupPolicy	Memberikan izin untuk melepaskan kebijakan terkelola dari grup yang ditentukan IAM	Manajemen izin	group*
DetachGroupPolicy		Manajemen izin		iam:PolicyARN
DetachRolePolicy	Memberikan izin untuk melepaskan kebijakan terkelola dari peran yang ditentukan	Manajemen izin	role*
DetachRolePolicy		Manajemen izin		iam:PolicyARN iam:PermissionsBoundary
DetachUserPolicy	Memberikan izin untuk melepaskan kebijakan terkelola dari pengguna yang ditentukan IAM	Manajemen izin	user*
DetachUserPolicy		Manajemen izin		iam:PolicyARN iam:PermissionsBoundary
EnableMFADevice	Memberikan izin untuk mengaktifkan MFA perangkat dan mengaitkannya dengan pengguna yang ditentukan IAM	Tulis	user*
EnableMFADevice		Tulis		iam:RegisterSecurityKey iam:FIDO-FIPS-140-2-certification iam:FIDO-FIPS-140-3-certification iam:FIDO-certification
GenerateCredentialReport	Memberikan izin untuk membuat laporan kredensi untuk Akun AWS	Baca
GenerateOrganizationsAccessReport	Memberikan izin untuk membuat laporan akses untuk entitas AWS Organizations	Baca	access-report*		organizations:DescribePolicy organizations:ListChildren organizations:ListParents organizations:ListPoliciesForTarget organizations:ListRoots organizations:ListTargetsForPolicy
GenerateOrganizationsAccessReport		Baca		iam:OrganizationsPolicyId
GenerateServiceLastAccessedDetails	Memberikan izin untuk menghasilkan laporan data yang terakhir diakses layanan untuk sumber daya IAM	Baca	group*
			policy*
			role*
			user*
GetAccessKeyLastUsed	Memberikan izin untuk mengambil informasi tentang kapan kunci akses yang ditentukan terakhir digunakan	Baca	user*
GetAccountAuthorizationDetails	Memberikan izin untuk mengambil informasi tentang semua IAM pengguna, grup, peran, dan kebijakan dalam Anda Akun AWS, termasuk hubungan mereka satu sama lain	Baca
GetAccountEmailAddress	Memberikan izin untuk mengambil alamat email yang terkait dengan akun	Baca
GetAccountName	Memberikan izin untuk mengambil nama akun yang terkait dengan akun	Baca
GetAccountPasswordPolicy	Memberikan izin untuk mengambil kebijakan kata sandi untuk Akun AWS	Baca
GetAccountSummary	Memberikan izin untuk mengambil informasi tentang penggunaan IAM entitas dan IAM kuota di Akun AWS	Daftar
GetCloudFrontPublicKey	Memberikan izin untuk mengambil informasi tentang kunci publik yang ditentukan CloudFront	Baca
GetContextKeysForCustomPolicy	Memberikan izin untuk mengambil daftar semua kunci konteks yang direferensikan dalam kebijakan yang ditentukan	Baca
GetContextKeysForPrincipalPolicy	Memberikan izin untuk mengambil daftar semua kunci konteks yang direferensikan di semua IAM kebijakan yang dilampirkan pada IAM identitas tertentu (pengguna, grup, atau peran)	Baca	group
			role
			user
GetCredentialReport	Memberikan izin untuk mengambil laporan kredensi untuk Akun AWS	Baca
GetGroup	Memberikan izin untuk mengambil daftar IAM pengguna dalam grup yang ditentukan IAM	Baca	group*
GetGroupPolicy	Memberikan izin untuk mengambil dokumen kebijakan inline yang disematkan dalam grup yang ditentukan IAM	Baca	group*
GetInstanceProfile	Memberikan izin untuk mengambil informasi tentang profil instans yang ditentukan, termasuk jalur profil instans, GUIDARN, dan peran	Baca	instance-profile*
GetLoginProfile	Memberikan izin untuk mengambil nama pengguna dan tanggal pembuatan kata sandi untuk pengguna yang ditentukan IAM	Daftar	user*
GetMFADevice	Memberikan izin untuk mengambil informasi tentang MFA perangkat untuk pengguna yang ditentukan	Baca	user*
GetOpenIDConnectProvider	Memberikan izin untuk mengambil informasi tentang sumber daya penyedia OpenID Connect () OIDC yang ditentukan di IAM	Baca	oidc-provider*
GetOrganizationsAccessReport	Memberikan izin untuk mengambil laporan akses AWS Organizations	Baca
GetPolicy	Memberikan izin untuk mengambil informasi tentang kebijakan terkelola yang ditentukan, termasuk versi default kebijakan dan jumlah total identitas yang dilampirkan kebijakan	Baca	policy*
GetPolicyVersion	Memberikan izin untuk mengambil informasi tentang versi kebijakan terkelola yang ditentukan, termasuk dokumen kebijakan	Baca	policy*
GetRole	Memberikan izin untuk mengambil informasi tentang peran yang ditentukan, termasuk jalur peran, GUIDARN, dan kebijakan kepercayaan peran	Baca	role*
GetRolePolicy	Memberikan izin untuk mengambil dokumen kebijakan inline yang disematkan dengan peran yang ditentukan IAM	Baca	role*
GetSAMLProvider	Memberikan izin untuk mengambil metadokumen SAML penyedia yang diunggah saat sumber daya penyedia dibuat atau diperbarui IAM SAML	Baca	saml-provider*
GetSSHPublicKey	Memberikan izin untuk mengambil kunci SSH publik yang ditentukan, termasuk metadata tentang kunci	Baca	user*
GetServerCertificate	Memberikan izin untuk mengambil informasi tentang sertifikat server tertentu yang disimpan di IAM	Baca	server-certificate*
GetServiceLastAccessedDetails	Memberikan izin untuk mengambil informasi tentang layanan laporan data yang terakhir diakses	Baca
GetServiceLastAccessedDetailsWithEntities	Memberikan izin untuk mengambil informasi tentang entitas dari laporan data terakhir yang diakses layanan	Baca
GetServiceLinkedRoleDeletionStatus	Memberikan izin untuk mengambil status penghapusan peran IAM terkait layanan	Baca	role*
GetUser	Memberikan izin untuk mengambil informasi tentang IAM pengguna yang ditentukan, termasuk tanggal pembuatan pengguna, jalur, ID unik, dan ARN	Baca	user*
GetUserPolicy	Memberikan izin untuk mengambil dokumen kebijakan inline yang disematkan di pengguna tertentu IAM	Baca	user*
ListAccessKeys	Memberikan izin untuk mencantumkan informasi tentang kunci akses IDs yang terkait dengan pengguna yang ditentukan IAM	Daftar	user*
ListAccountAliases	Memberikan izin untuk membuat daftar alias akun yang terkait dengan Akun AWS	Daftar
ListAttachedGroupPolicies	Memberikan izin untuk mencantumkan semua kebijakan terkelola yang dilampirkan ke grup yang ditentukan IAM	Daftar	group*
ListAttachedRolePolicies	Memberikan izin untuk mencantumkan semua kebijakan terkelola yang dilampirkan pada peran yang ditentukan IAM	Daftar	role*
ListAttachedUserPolicies	Memberikan izin untuk mencantumkan semua kebijakan terkelola yang dilampirkan ke pengguna yang ditentukan IAM	Daftar	user*
ListCloudFrontPublicKeys	Memberikan izin untuk membuat daftar semua kunci CloudFront publik saat ini untuk akun	Daftar
ListEntitiesForPolicy	Memberikan izin untuk mencantumkan semua IAM identitas yang dilampirkan pada kebijakan terkelola yang ditentukan	Daftar	policy*
ListGroupPolicies	Memberikan izin untuk mencantumkan nama kebijakan sebaris yang disematkan dalam grup yang ditentukan IAM	Daftar	group*
ListGroups	Memberikan izin untuk membuat daftar IAM grup yang memiliki awalan jalur yang ditentukan	Daftar
ListGroupsForUser	Memberikan izin untuk membuat daftar IAM grup yang dimiliki IAM pengguna tertentu	Daftar	user*
ListInstanceProfileTags	Memberikan izin untuk mencantumkan tag yang dilampirkan ke profil contoh yang ditentukan	Daftar	instance-profile*
ListInstanceProfiles	Memberikan izin untuk membuat daftar profil instance yang memiliki awalan jalur yang ditentukan	Daftar
ListInstanceProfilesForRole	Memberikan izin untuk mencantumkan profil instance yang memiliki peran terkait IAM yang ditentukan	Daftar	role*
ListMFADeviceTags	Memberikan izin untuk membuat daftar tag yang dilampirkan ke perangkat mfa virtual yang ditentukan	Daftar	mfa*
ListMFADevices	Memberikan izin untuk membuat daftar MFA perangkat untuk pengguna IAM	Daftar	user
ListOpenIDConnectProviderTags	Memberikan izin untuk mencantumkan tag yang dilampirkan ke penyedia OpenID Connect yang ditentukan	Daftar	oidc-provider*
ListOpenIDConnectProviders	Memberikan izin untuk mencantumkan informasi tentang objek sumber daya penyedia IAM OpenID OIDC Connect () yang ditentukan dalam Akun AWS	Daftar
ListPolicies	Memberikan izin untuk mencantumkan semua kebijakan terkelola	Daftar
ListPoliciesGrantingServiceAccess	Memberikan izin untuk mencantumkan informasi tentang kebijakan yang memberikan akses entitas ke layanan tertentu	Daftar	group*
			role*
			user*
ListPolicyTags	Memberikan izin untuk mencantumkan tag yang dilampirkan pada kebijakan terkelola yang ditentukan	Daftar	policy*
ListPolicyVersions	Memberikan izin untuk mencantumkan informasi tentang versi kebijakan terkelola yang ditentukan, termasuk versi yang saat ini ditetapkan sebagai versi default kebijakan	Daftar	policy*
ListRolePolicies	Memberikan izin untuk mencantumkan nama kebijakan sebaris yang disematkan dalam peran yang ditentukan IAM	Daftar	role*
ListRoleTags	Memberikan izin untuk mencantumkan tag yang dilampirkan ke peran yang ditentukan IAM	Daftar	role*
ListRoles	Memberikan izin untuk membuat daftar IAM peran yang memiliki awalan jalur yang ditentukan	Daftar
ListSAMLProviderTags	Memberikan izin untuk mencantumkan tag yang dilampirkan ke penyedia yang ditentukan SAML	Daftar	saml-provider*
ListSAMLProviders	Memberikan izin untuk mencantumkan sumber daya SAML penyedia di IAM	Daftar
ListSSHPublicKeys	Memberikan izin untuk membuat daftar informasi tentang kunci SSH publik yang terkait dengan pengguna yang ditentukan IAM	Daftar	user*
ListSTSRegionalEndpointsStatus	Memberikan izin untuk mencantumkan status semua titik akhir STS regional yang aktif	Daftar
ListServerCertificateTags	Memberikan izin untuk membuat daftar tag yang dilampirkan ke sertifikat server yang ditentukan	Daftar	server-certificate*
ListServerCertificates	Memberikan izin untuk membuat daftar sertifikat server yang memiliki awalan jalur yang ditentukan	Daftar
ListServiceSpecificCredentials	Memberikan izin untuk mencantumkan kredensil khusus layanan yang terkait dengan pengguna yang ditentukan IAM	Daftar	user*
ListSigningCertificates	Memberikan izin untuk mencantumkan informasi tentang sertifikat penandatanganan yang terkait dengan pengguna yang ditentukan IAM	Daftar	user*
ListUserPolicies	Memberikan izin untuk mencantumkan nama kebijakan sebaris yang disematkan pada pengguna yang ditentukan IAM	Daftar	user*
ListUserTags	Memberikan izin untuk membuat daftar tag yang dilampirkan ke pengguna yang ditentukan IAM	Daftar	user*
ListUsers	Memberikan izin untuk membuat daftar IAM pengguna yang memiliki awalan jalur yang ditentukan	Daftar
ListVirtualMFADevices	Memberikan izin untuk membuat daftar MFA perangkat virtual berdasarkan status penugasan	Daftar
PassRole[hanya izin]	Memberikan izin untuk meneruskan peran ke layanan	Tulis	role*
PassRole[hanya izin]	Memberikan izin untuk meneruskan peran ke layanan	Tulis		iam:AssociatedResourceArn iam:PassedToService
PutGroupPolicy	Memberikan izin untuk membuat atau memperbarui dokumen kebijakan sebaris yang disematkan dalam grup yang ditentukan IAM	Manajemen izin	group*
PutRolePermissionsBoundary	Memberikan izin untuk menetapkan kebijakan terkelola sebagai batas izin untuk peran	Manajemen izin	role*
PutRolePermissionsBoundary		Manajemen izin		iam:PermissionsBoundary
PutRolePolicy	Memberikan izin untuk membuat atau memperbarui dokumen kebijakan sebaris yang disematkan dalam peran yang ditentukan IAM	Manajemen izin	role*
PutRolePolicy		Manajemen izin		iam:PermissionsBoundary
PutUserPermissionsBoundary	Memberikan izin untuk menetapkan kebijakan terkelola sebagai batas izin bagi pengguna IAM	Manajemen izin	user*
PutUserPermissionsBoundary		Manajemen izin		iam:PermissionsBoundary
PutUserPolicy	Memberikan izin untuk membuat atau memperbarui dokumen kebijakan inline yang disematkan di pengguna tertentu IAM	Manajemen izin	user*
PutUserPolicy		Manajemen izin		iam:PermissionsBoundary
RemoveClientIDFromOpenIDConnectProvider	Memberikan izin untuk menghapus ID klien (audiens) dari daftar klien IDs dalam sumber daya penyedia IAM OpenID OIDC Connect () yang ditentukan	Tulis	oidc-provider*
RemoveRoleFromInstanceProfile	Memberikan izin untuk menghapus IAM peran dari profil EC2 instance yang ditentukan	Tulis	instance-profile*
RemoveUserFromGroup	Memberikan izin untuk menghapus IAM pengguna dari grup yang ditentukan	Tulis	group*
ResetServiceSpecificCredential	Memberikan izin untuk mengatur ulang kata sandi untuk kredensi khusus layanan yang ada untuk pengguna IAM	Tulis	user*
ResyncMFADevice	Memberikan izin untuk menyinkronkan MFA perangkat yang ditentukan dengan IAM entitasnya (pengguna atau peran)	Tulis	user*
SetDefaultPolicyVersion	Memberikan izin untuk menyetel versi kebijakan yang ditentukan sebagai versi default kebijakan	Manajemen izin	policy*
SetSTSRegionalEndpointStatus	Memberikan izin untuk mengaktifkan atau menonaktifkan titik akhir regional STS	Tulis
SetSecurityTokenServicePreferences	Memberikan izin untuk menyetel versi STS token titik akhir global	Tulis
SimulateCustomPolicy	Memberikan izin untuk mensimulasikan apakah kebijakan berbasis identitas atau kebijakan berbasis sumber daya memberikan izin untuk operasi dan sumber daya tertentu API	Baca
SimulatePrincipalPolicy	Memberikan izin untuk mensimulasikan apakah kebijakan berbasis identitas yang dilampirkan ke IAM entitas tertentu (pengguna atau peran) memberikan izin untuk operasi dan sumber daya tertentu API	Baca	group
			role
			user
TagInstanceProfile	Memberikan izin untuk menambahkan tag ke profil instance	Penandaan	instance-profile*
TagInstanceProfile	Memberikan izin untuk menambahkan tag ke profil instance	Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagMFADevice	Memberikan izin untuk menambahkan tag ke perangkat mfa virtual	Penandaan	mfa*
TagMFADevice		Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagOpenIDConnectProvider	Memberikan izin untuk menambahkan tag ke penyedia OpenID Connect	Penandaan	oidc-provider*
TagOpenIDConnectProvider		Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagPolicy	Memberikan izin untuk menambahkan tag ke kebijakan terkelola	Penandaan	policy*
TagPolicy		Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagRole	Memberikan izin untuk menambahkan tag ke peran IAM	Penandaan	role*
TagRole	Memberikan izin untuk menambahkan tag ke peran IAM	Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagSAMLProvider	Memberikan izin untuk menambahkan tag ke Penyedia SAML	Penandaan	saml-provider*
TagSAMLProvider	Memberikan izin untuk menambahkan tag ke Penyedia SAML	Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagServerCertificate	Memberikan izin untuk menambahkan tag ke sertifikat server	Penandaan	server-certificate*
TagServerCertificate	Memberikan izin untuk menambahkan tag ke sertifikat server	Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
TagUser	Memberikan izin untuk menambahkan tag ke pengguna IAM	Penandaan	user*
TagUser	Memberikan izin untuk menambahkan tag ke pengguna IAM	Penandaan		aws:TagKeys aws:RequestTag/${TagKey}
UntagInstanceProfile	Memberikan izin untuk menghapus tag yang ditentukan dari profil instance	Penandaan	instance-profile*
UntagInstanceProfile		Penandaan		aws:TagKeys
UntagMFADevice	Memberikan izin untuk menghapus tag yang ditentukan dari perangkat mfa virtual	Penandaan	mfa*
UntagMFADevice		Penandaan		aws:TagKeys
UntagOpenIDConnectProvider	Memberikan izin untuk menghapus tag yang ditentukan dari penyedia OpenID Connect	Penandaan	oidc-provider*
UntagOpenIDConnectProvider		Penandaan		aws:TagKeys
UntagPolicy	Memberikan izin untuk menghapus tag yang ditentukan dari kebijakan terkelola	Penandaan	policy*
UntagPolicy		Penandaan		aws:TagKeys
UntagRole	Memberikan izin untuk menghapus tag yang ditentukan dari peran	Penandaan	role*
UntagRole		Penandaan		aws:TagKeys
UntagSAMLProvider	Memberikan izin untuk menghapus tag yang ditentukan dari Penyedia SAML	Penandaan	saml-provider*
UntagSAMLProvider		Penandaan		aws:TagKeys
UntagServerCertificate	Memberikan izin untuk menghapus tag yang ditentukan dari sertifikat server	Penandaan	server-certificate*
UntagServerCertificate		Penandaan		aws:TagKeys
UntagUser	Memberikan izin untuk menghapus tag yang ditentukan dari pengguna	Penandaan	user*
UntagUser		Penandaan		aws:TagKeys
UpdateAccessKey	Memberikan izin untuk memperbarui status kunci akses yang ditentukan sebagai Aktif atau Tidak Aktif	Tulis	user*
UpdateAccountEmailAddress	Memberikan izin untuk memperbarui alamat email yang terkait dengan akun	Tulis
UpdateAccountName	Memberikan izin untuk memperbarui nama akun yang terkait dengan akun	Tulis
UpdateAccountPasswordPolicy	Memberikan izin untuk memperbarui setelan kebijakan kata sandi untuk Akun AWS	Tulis
UpdateAssumeRolePolicy	Memberikan izin untuk memperbarui kebijakan yang memberikan izin IAM entitas untuk mengambil peran	Manajemen izin	role*
UpdateCloudFrontPublicKey	Memberikan izin untuk memperbarui kunci CloudFront publik yang ada	Tulis
UpdateGroup	Memberikan izin untuk memperbarui nama atau jalur grup yang ditentukan IAM	Tulis	group*
UpdateLoginProfile	Memberikan izin untuk mengubah kata sandi untuk pengguna yang ditentukan IAM	Tulis	user*
UpdateOpenIDConnectProviderThumbprint	Memberikan izin untuk memperbarui seluruh daftar cap jempol sertifikat server yang terkait dengan sumber daya penyedia OpenID Connect () OIDC	Tulis	oidc-provider*
UpdateRole	Memberikan izin untuk memperbarui deskripsi atau pengaturan durasi sesi maksimum peran	Tulis	role*
UpdateRoleDescription	Memberikan izin untuk memperbarui hanya deskripsi peran	Tulis	role*
UpdateSAMLProvider	Memberikan izin untuk memperbarui dokumen metadata untuk sumber daya penyedia yang ada SAML	Tulis	saml-provider*
UpdateSSHPublicKey	Memberikan izin untuk memperbarui status kunci SSH publik IAM pengguna menjadi aktif atau tidak aktif	Tulis	user*
UpdateServerCertificate	Memberikan izin untuk memperbarui nama atau jalur sertifikat server tertentu yang disimpan di IAM	Tulis	server-certificate*
UpdateServiceSpecificCredential	Memberikan izin untuk memperbarui status kredensi khusus layanan menjadi aktif atau tidak aktif bagi pengguna IAM	Tulis	user*
UpdateSigningCertificate	Memberikan izin untuk memperbarui status sertifikat penandatanganan pengguna yang ditentukan menjadi aktif atau dinonaktifkan	Tulis	user*
UpdateUser	Memberikan izin untuk memperbarui nama atau jalur pengguna yang ditentukan IAM	Tulis	user*
UploadCloudFrontPublicKey	Memberikan izin untuk mengunggah kunci CloudFront publik	Tulis
UploadSSHPublicKey	Memberikan izin untuk mengunggah kunci SSH publik dan mengaitkannya dengan pengguna yang ditentukan IAM	Tulis	user*
UploadServerCertificate	Memberikan izin untuk mengunggah entitas sertifikat server untuk Akun AWS	Tulis	server-certificate*
UploadServerCertificate		Tulis		aws:TagKeys aws:RequestTag/${TagKey}
UploadSigningCertificate	Memberikan izin untuk mengunggah sertifikat penandatanganan X.509 dan mengaitkannya dengan pengguna yang ditentukan IAM	Tulis	user*

Jenis sumber daya yang ditentukan oleh AWS Identity and Access Management (IAM)

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam Resource elemen pernyataan kebijakan IAM izin. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.

Jenis sumber daya	ARN	Kunci syarat
access-report	`arn:${Partition}:iam::${Account}:access-report/${EntityPath}`
assumed-role	`arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}`
federated-user	`arn:${Partition}:iam::${Account}:federated-user/${UserName}`
group	`arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}`
instance-profile	`arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}`	aws:ResourceTag/${TagKey}
mfa	`arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}`	aws:ResourceTag/${TagKey}
oidc-provider	`arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}`	aws:ResourceTag/${TagKey}
policy	`arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}`	aws:ResourceTag/${TagKey}
role	`arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}`	aws:ResourceTag/${TagKey} iam:ResourceTag/${TagKey}
saml-provider	`arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}`	aws:ResourceTag/${TagKey}
server-certificate	`arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}`	aws:ResourceTag/${TagKey}
sms-mfa	`arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}`
user	`arn:${Partition}:iam::${Account}:user/${UserNameWithPath}`	aws:ResourceTag/${TagKey} iam:ResourceTag/${TagKey}

Kunci kondisi untuk AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen IAM kebijakan. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

Kunci syarat	Deskripsi	Jenis
aws:RequestTag/${TagKey}	Memfilter akses berdasarkan tag yang diteruskan dalam permintaan	String
aws:ResourceTag/${TagKey}	Memfilter akses berdasarkan tag yang terkait dengan sumber daya	String
aws:TagKeys	Memfilter akses berdasarkan kunci tag yang diteruskan dalam permintaan	ArrayOfString
iam:AWSServiceName	Memfilter akses oleh AWS layanan tempat peran ini dilampirkan	String
iam:AssociatedResourceArn	Memfilter akses berdasarkan sumber daya yang akan digunakan peran atas nama	ARN
iam:FIDO-FIPS-140-2-certification	Memfilter akses oleh MFA perangkat FIPS -140-2 tingkat sertifikasi validasi pada saat pendaftaran kunci keamanan FIDO	String
iam:FIDO-FIPS-140-3-certification	Memfilter akses oleh MFA perangkat FIPS -140-3 tingkat sertifikasi validasi pada saat pendaftaran kunci keamanan FIDO	String
iam:FIDO-certification	Memfilter akses berdasarkan tingkat FIDO sertifikasi MFA perangkat pada saat pendaftaran kunci FIDO keamanan	String
iam:OrganizationsPolicyId	Memfilter akses berdasarkan ID kebijakan AWS Organizations	String
iam:PassedToService	Memfilter akses oleh AWS layanan tempat peran ini diteruskan	String
iam:PermissionsBoundary	Memfilter akses jika kebijakan yang ditentukan ditetapkan sebagai batas izin pada IAM entitas (pengguna atau peran)	ARN
iam:PolicyARN	Memfilter akses berdasarkan IAM kebijakan ARN	ARN
iam:RegisterSecurityKey	Memfilter akses berdasarkan status pengaktifan MFA perangkat saat ini	String
iam:ResourceTag/${TagKey}	Memfilter akses dengan tag yang dilampirkan ke IAM entitas (pengguna atau peran)	String

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS IAMOIDCLayanan Pusat Identitas

AWS Peran Identity and Access Management Di Mana Saja