Service Quotas 的身份和访问管理 - 服务限额
使用 IAM 策略授予权限Service Quotas 的 API 操作Service Quotas 资源Service Quotas 的资源级权限 Service Quotas 的条件键预定义AWSService Quotas 的托管策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Service Quotas 的身份和访问管理

AWS 使用安全凭证来识别您的身份并向您授予对 AWS 资源的访问权限。你可以使用AWS Identity and Access Management(IAM) 可允许其他用户、服务和应用程序使用您的AWS资源完全或以有限的方式。您可以在不共享安全凭证的情况下执行此操作。

默认情况下,IAM 用户没有创建、查看或修改 AWS 资源的权限。要允许 IAM 用户访问资源(如负载均衡器)并执行任务,请执行以下步骤:

  1. 创建授予 IAM 用户使用所需特定资源和 API 操作的权限的 IAM 策略。

  2. 将该策略附加到 IAM 用户或 IAM 用户所属的组。

在将策略附加到一个用户或一组用户时,它会授权或拒绝用户使用指定资源执行指定任务。

例如,您可以使用 IAM 在您的AWS 账户. IAM 用户可以是人员、系统或应用程序。然后,使用 IAM 策略向用户和组授予对指定资源执行特定操作的权限。

使用 IAM 策略授予权限

在将策略附加到一个用户或一组用户时,它会授权或拒绝用户使用指定资源执行指定任务。

IAM 策略是包含一个或多个语句的 JSON 文档。每个语句的结构如下例所示。

{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "effect",
    "Action": "action",
    "Resource": "resource-arn",
    "Condition": {
      "condition": {
        "key":"value"
      }
    }
  }]
}

  • Effect— 的价值effect可以是Allow要么Deny. 在默认情况下,IAM 用户没有使用资源和 API 操作的许可,因此,所有请求均会被拒绝。显式允许将覆盖默认规则。显式拒绝将覆盖任何允许。

  • Action— 的价值action是对其授予或拒绝权限的特定 API 操作。有关指定的更多信息Action请参阅Service Quotas 的 API 操作.

  • ResourceResource 受操作影响的资源。利用某些 Service Quotas API 操作,您可以限制对特定配额授予或拒绝的权限。为此,请在此语句中指定其 Amazon Resource Name (ARN)。否则,您可以使用通配符 (*) 来指定所有 Service Quotas 资源。有关更多信息,请参阅 Service Quotas 资源

  • ConditionCondition — 您可以选择性地使用条件来控制策略的生效时间。有关更多信息,请参阅 Service Quotas 的条件键

有关更多信息,请参阅 IAM 用户指南

Service Quotas 的 API 操作

ActionIAM 策略语句的元素中,您可以指定 Service Quotas 所提供的任意 API 操作。如以下示例所示,您必须使用小写形式的字符串 servicequotas: 作为操作名称的前缀。

"Action": "servicequotas:GetServiceQuota"

要在单个语句中指定多项操作,请使用方括号将操作括起来并以逗号分隔,如以下示例所示。

"Action": [
    "servicequotas:ListRequestedServiceQuotaChangeHistory",
    "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota"
]

您也可以使用通配符指定多项操作。*)。以下示例指定以开头的 Service Quotas 的所有 API 操作名称:Get.

"Action": "servicequotas:Get*"

要指定 Service Quotas 的所有 API 操作,请使用通配符 (*),如以下示例所示。

"Action": "servicequotas:*"

有关 Service Quotas 的 API 操作列表,请参阅Service Quotas 操作.

Service Quotas 资源

资源级权限指的是能够指定允许用户对哪些资源执行操作的能力。对于支持资源级权限的 API 操作,您可以控制用户可与操作结合使用的资源。要在策略中指定资源,您必须使用其 Amazon Resource Name (ARN)。

配额的 ARN 具有以下示例中显示的格式。

arn:aws:servicequotas:region-code:account-id:service-code/quota-code

对于不支持资源级权限的 API 操作,必须指定以下示例中显示的资源语句。

"Resource": "*"

Service Quotas 的资源级权限

以下 Service Quotas 操作支持资源级权限:

有关更多信息,请参阅 。Service Quotas 定义的操作中的服务授权参考.

Service Quotas 的条件键

在创建策略时,您可指定控制策略生效时间的条件。每个条件都包含一个或多个键值对。有全局条件键和特定于服务的条件键。

这些区域有:servicequotas:servicekey 特定于 Service Quotas。以下 Service Quotas API 操作支持此密钥:

有关全局条件键的更多信息,请参阅AWS全局条件上下文键中的IAM 用户指南.

预定义AWSService Quotas 的托管策略

AWS 创建的托管策略将授予针对常用案例的必要权限。您可以根据您的 IAM 用户对 Service Quotas 所需的访问权限将这些策略附加到这些用户:

  • ServiceQuotasFullAccess授予使用 Service Quotas 功能所需的完整访问权限。

  • ServiceQuotasReadOnlyAccess授予对 Service Quotas 功能的只读访问权限。