本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 資源的存取管理
AWS Identity and Access Management (IAM) 是一種 Web 服務,可協助您安全地控制對 資源的 AWS 存取。當[委託人](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)在 中提出請求時 AWS, AWS 強制執行程式碼會檢查委託人是否經過驗證 (登入) 和授權 (具有許可)。您可以透過 AWS 建立政策並將其連接至 IAM 身分或 AWS 資源來管理 中的存取。政策是 中的 JSON 文件 AWS ,當連接到身分或資源時,定義其許可。如需有關政策類型及其使用的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)。
如需有關其他身分驗證和授權程序的詳細資訊,請參閱 [IAM 的運作方式](intro-structure.md)。
![\[AccessManagement_Diagram\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/access-diagram_800.png)
在授權期間, AWS 強制執行程式碼會使用[請求內容](intro-structure.md#intro-structure-request)中的值來檢查相符政策,並決定是否允許或拒絕請求。
AWS 會檢查套用至請求內容的每個政策。如果單一政策拒絕請求, 會 AWS 拒絕整個請求並停止評估政策。此稱為*明確拒絕*。由於請求是*預設拒絕*,因此只有在適用的政策允許請求的每個部分時,IAM 才會授權該請求。用於單一帳戶中請求的[評估邏輯](reference_policies_evaluation-logic.md)遵循以下規則:
+ 根據預設,所有的請求將以隱含方式拒絕。(此外,在預設情況下, AWS 帳戶根使用者 具有完整存取權限。)
+ 若是以身分為基礎或以資源為基礎的政策,當中的明確允許會覆寫此預設值。
+ 如果存在許可界限、 AWS Organizations SCP 或工作階段政策,它可能會以隱含拒絕覆寫允許。
+ 任何政策中的明確拒絕會覆寫任何允許。
在您的請求經過身分驗證和授權之後, 會 AWS 核准請求。如果您需要運用不同的帳戶來發出請求,則必須透過其他帳戶中的政策來允許您存取資源。此外,您用來發出請求的 IAM 實體必須具備可允許該請求的以身分為基礎政策。
## 存取管理資源
如需有關許可和建立政策的詳細資訊,請參閱以下資源:
AWS 安全部落格中的下列項目涵蓋撰寫政策以存取 Amazon S3 儲存貯體和物件的常見方法。
+ [撰寫 IAM 政策:如何授予存取 Amazon S3 儲存貯體的許可](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/)
+ [撰寫 IAM 政策:授予存取 Amazon S3 儲存貯體中使用者特定資料夾的許可](https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/)
+ [IAM 政策和儲存貯體政策和 ACL!天啊!(控制 S3 資源的存取)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/)。
+ [RDS 資源層級許可的入門](https://aws.amazon.com/blogs/security/a-primer-on-rds-resource-level-permissions)
+ [EC2 資源層級許可的說明](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/)
# 中的政策和許可 AWS Identity and Access Management
AWS 透過建立政策並將其連接至 IAM 身分 (使用者、使用者群組或角色) 或 AWS 資源,在 中管理存取權。政策是 中的物件,當與身分或資源相關聯時, AWS 會定義其許可。當 IAM 主體 (使用者或角色) 發出請求時, 會 AWS 評估這些政策。政策中的許可決定是否允許或拒絕請求。大多數政策會以 JSON 文件 AWS 的形式存放在 中。 AWS 支援七種類型的政策:以身分為基礎的政策、以資源為基礎的政策、許可界限、 AWS Organizations 服務控制政策 (SCPs)、 AWS Organizations 資源控制政策 (RCPs)、存取控制清單 ACLs) 和工作階段政策。
IAM 政策定義該動作的許可,無論您使用何種方法來執行操作。例如,如果政策允許 [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) 動作,則具有該政策的使用者可以從 AWS 管理主控台、 AWS CLI或 AWS API 取得使用者資訊。當您建立 IAM 使用者時,您可以選擇允許其主控台存取或程式化存取。如果允許主控台存取,則 IAM 使用者可以利用登入認證登入主控台。若在允許程式化存取情況下,使用者可以使用存取金鑰來操作 CLI 或 API。
## 政策類型
以下政策類型會以最常使用到較不常使用的順序列出,可以在 AWS中使用。如需更多詳細資訊,請參閱以下各節中的每個政策類型。
+ **[身分型政策](#policies_id-based)** – 將[受管](#managedpolicy)和[內嵌](#inline)政策連接到 IAM 身分 (使用者、使用者所屬的群組或角色)。身分型政策可為身分授予許可。
+ **[資源型政策](#policies_resource-based)** – 將內嵌政策連接到資源。資源型政策的最常見範例是 Amazon S3 儲存貯體政策和 IAM 角色信任政策。資源型政策會將許可授予政策中所指定的主體。主體可以位在與資源相同的帳戶,或位在其他的帳戶中。
+ **[許可界限](#policies_bound)** – 使用受管政策作為 IAM 實體 (使用者或角色) 的許可界限。該政策會定義身分型政策可為實體授予的最大許可,但並不會授予許可。許可界限不會定義資源型政策可以授予實體的許可上限。
+ **[AWS Organizations SCPs](#policies_scp)** – 使用 AWS Organizations 服務控制政策 (SCP) 來定義組織或組織單位 (OU) 中帳戶內 IAM 使用者和 IAM 角色的最大許可。SCP 會限制身分型政策或資源型政策為帳戶中的 IAM 使用者或 IAM 角色授予的許可。SCP 不會授予許可。
+ **[AWS Organizations RCPs](#policies_rcp)** – 使用 AWS Organizations 資源控制政策 (RCP) 來定義組織或組織單位 (OU) 中帳戶內資源的最大許可。RCP 會限制身分型和資源型政策可以授予組織內帳戶資源的許可。RCP 不會授予許可。
+ **[存取控制清單 (ACL)](#policies_acl)** – 使用 ACL,可以控制其他帳戶中的哪些主體可以存取其中已連接 ACL 的資源。ACL 類似資源型政策,雖然是不使用 JSON 政策文件結構的唯一政策類型。ACL 是跨帳戶許可的政策,負責為指定的主體授予許可。ACL 不可以為相同帳戶中的實體授予許可。
+ **[工作階段政策](#policies_session)** – 當您使用 AWS CLI 或 AWS API 擔任角色或聯合身分使用者時,傳遞進階工作階段政策。工作階段政策限制以角色或使用者身分型政策授予給該工作階段的許可。工作階段政策會限制已建工作階段的許可,但不會限制授予許可。如需詳細資訊,請參閱[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 身分型政策
身分型政策是 JSON 許可政策文件,可控制身分 (使用者、使用者群組和角色) 會在何種條件下對哪些資源執行哪些動作。身分型政策可進一步分類:
+ **受管政策**:您可以連接到 中多個使用者、群組和角色的獨立身分型政策 AWS 帳戶。受管政策有兩種:
+ **AWS 受管政策** – 由 建立和管理的受管政策 AWS。
+ **客戶管理政策**:您在 AWS 帳戶中建立和管理的受管政策。客戶受管政策提供比 AWS 受管政策更精確的政策控制。
+ **內嵌政策** – 您直接新增至單一使用者、群組或角色的政策。內嵌政策可在政策與身分之間維持嚴格的一對一關聯性。當您刪除身分時,它們即會被刪除。
若要了解如何選擇受管政策和內嵌政策的相關資訊,請參閱 [在受管政策與內嵌政策之間選擇](access_policies-choosing-managed-or-inline.md)。
### 資源型政策
資源型政策是連接到資源 (如 Amazon S3 儲存貯體) 的 JSON 政策文件。這些政策會授予指定的主體許可,允許在該資源上執行特定的動作,並且定義資源所適用的條件。資源型政策是內嵌政策。不存在受管的資源型政策。
若要啟用跨帳戶存取,您可以指定在其他帳戶內的所有帳戶或 IAM 實體,作為資源型政策的主體。新增跨帳戶主體至資源型政策,只是建立信任關係的一半。當委託人和資源是分開的 AWS 帳戶,您還必須使用以身分為基礎的政策來授予委託人對資源的存取權。不過,如果資源型政策會為相同帳戶中的主體授予存取,這時就不需要額外的身分型政策。如需授予跨服務存取權限的逐步指示,請參閱 [IAM 教學課程:使用 IAM 角色在 AWS 帳戶之間委派存取權](tutorial_cross-account-with-roles.md)。
IAM 服務支援一種稱為角色*信任政策*,且已連接到 IAM 角色的資源型政策。IAM 角色既是一種身分,也是一項資源,可支援資源型政策。因此,您必須同時將信任政策和身分型政策連接到 IAM 角色。信任政策會定義哪些主體實體 (帳戶、使用者、角色和聯合身分使用者) 可擔任該角色。若要了解 IAM 角色與其他以資源為基礎之政策之間的差別,請參閱 [IAM 中的跨帳戶資源存取](access_policies-cross-account-resource-access.md)。
若要查看哪些其他服務可以支援資源型政策,請參閱[AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)。若要進一步了解資源型政策的詳細資訊,請參閱 [以身分為基礎和以資源為基礎的政策](access_policies_identity-vs-resource.md)。若要了解在您信任區域 (受信任組織或帳戶) 外帳戶中的主體是否具有擔任您角色的許可,請參閱[什麼是 IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
### IAM 許可界限
許可界限是一種進階功能,可供您設定身分型政策可以授予 IAM 實體的最大許可。當您為實體設定許可界限時,實體只能執行由身分型政策和其許可界限同時允許的動作。如果您在資源型政策的主體元素中指定了角色工作階段或使用者,則在許可界限中不需要明確允許。不過,如果您在資源型政策的主體元素中指定了角色 ARN,則在許可界限中需要明確允許。在這兩種情況下,許可界限中的明確拒絕都有效。任何這些政策中的明確拒絕都會覆寫允許。如需有關許可界限的詳細資訊,請參閱 [IAM 實體的許可界限](access_policies_boundaries.md)。
### AWS Organizations 服務控制政策 SCPs)
若您啟用組織中的所有功能,您可以將服務控制政策 (SCP) 套用到任何或所有帳戶。SCP 是 JSON 政策,負責指定組織或組織單位 (OU) 帳戶內的 IAM 使用者和 IAM 角色的最大許可。SCP 會限制成員帳戶中主體的許可,包括每個主體 AWS 帳戶根使用者。所有這類政策中的明確拒絕都會覆寫其他政策中的允許。
如需 AWS Organizations 和 SCPs的詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[服務控制政策 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
### AWS Organizations 資源控制政策 RCPs)
如果您啟用組織中的所有功能,則可以使用資源控制政策 (RCP) 集中套用存取控制到多個 AWS 帳戶的資源。RCP 是 JSON 政策,可用來設定您帳戶中資源的可用許可上限,採取這種方式就不需要更新附加至您所擁有的每個資源的 IAM 政策。RCP 會限制成員帳戶中資源的許可,並可能影響身分的有效許可,包括 AWS 帳戶根使用者,無論它們是否屬於您的組織。任何適用 RCP 中的明確拒絕都會覆寫其他政策中的允許,這些政策可能連接到個別身分或資源。
如需 AWS Organizations 和 RCPs的詳細資訊 AWS 服務 ,包括支援 RCPs的 清單,請參閱*AWS Organizations 《 使用者指南*》中的[資源控制政策 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
### 存取控制清單 (ACL)
存取控制清單 (ACL) 是一種服務政策,可讓您控制另一個帳戶中的哪些主體可以存取資源。ACL 不能用於控制相同帳戶中主體的存取。ACL 類似資源型政策,雖然是不使用 JSON 政策文件格式的唯一政策類型。Amazon S3 AWS WAF和 Amazon VPC 是支援 ACLs的服務範例。如需進一步瞭解 ACL,請參閱《*Amazon Simple Storage Service 開發人員指南*》中的[存取控制清單 (ACL) 概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 工作階段政策
當您以程式設計方式為角色或 AWS STS 聯合身分使用者主體建立臨時工作階段時,工作階段政策是做為參數傳遞的進階政策。工作階段的許可是用來建立工作階段及工作階段政策 IAM 實體 (使用者或角色) 之身分型政策的交集。許可也可以來自資源型政策。所有這類政策中的明確拒絕都會覆寫該允許。
您可以建立角色工作階段,以及透過程式設計方式使用 `AssumeRole`、`AssumeRoleWithSAML` 或 `AssumeRoleWithWebIdentity` API 操作來傳遞工作階段政策。您可以使用 `Policy` 參數傳遞單一 JSON 內嵌工作階段政策文件。您可以使用 `PolicyArns` 參數,指定多達 10 個受管工作階段政策。如需有關建立角色工作階段的詳細資訊,請參閱 [臨時安全憑證的許可](id_credentials_temp_control-access.md)。
當您建立 AWS STS 聯合身分使用者主體工作階段時,您可以使用 IAM 使用者的存取金鑰以程式設計方式呼叫 `GetFederationToken` API 操作。您也必須通過工作階段政策。所產生工作階段的許可會是身分類型政策和工作階段政策的交集。如需有關建立聯合身分使用者工作階段的詳細資訊,請參閱 [透過自訂身分經紀人請求憑證](id_credentials_temp_request.md#api_getfederationtoken)。
資源型政策可以指定使用者或角色 ARN 作為主體。在該情況下,在工作階段建立之前,依據資源型政策的許可會新增到該角色或使用者的身分型政策。工作階段政策限制由資源型政策、身分型政策所授予的總許可數。產生的工作階段的許可是工作階段政策與資源型政策的交集,加上工作階段政策與身分型政策的交集。
![\[評估的工作階段政策與資源型政策使用指定實體 ARN\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/EffectivePermissions-session-rbp-id.png)
資源型政策可以指定工作階段 ARN 作為主體。在該情況下,會在建立工作階段後,從資源型政策新增許可。資源型政策許可不會受到工作階段政策的限制。產生的工作階段擁有資源型政策的所有許可,*加上*身分型政策與工作階段政策的交集。
![\[評估的工作階段政策與資源型政策使用指定工作階段 ARN\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/EffectivePermissions-session-rbpsession-id.png)
許可界限可以為使用者或角色設定建立工作階段的許可上限。在該情況下,產生的工作階段的許可是工作階段政策、許可界限與身分型政策的交集。不過,許可界限不會限制由資源型政策所授予的許可,指定產生工作階段的 ARN。
![\[搭配許可界限的工作階段政策評估\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)
## 政策和根使用者
受某些政策類型影響,但不受其他政策類型 AWS 帳戶根使用者 影響。您無法將身分型政策連接到根使用者,而且您無法為根使用者設定許可界限。不過,您可以在資源型政策或 ACL 中將根使用者指定為主體。根使用者仍是帳戶的成員。如果該帳戶是 中組織的成員 AWS Organizations,根使用者會受到帳戶的 SCPs 和 RCPs影響。
## JSON 政策概觀
大多數政策會以 JSON 文件 AWS 形式存放在 中。身分型政策以及用於設定許可界限的政策,都是您連接到使用者或角色的 JSON 政策文件。資源型政策是連接到資源的 JSON 政策文件。SCPs和 RCPs是您連接至 AWS Organizations組織根目錄、組織單位 (OU) 或帳戶的受限語法的 JSON 政策文件。ACL 也會連接到資源,但您必須使用不同的語法。工作階段政策是您在擔任角色或聯合身分使用者工作階段時所需要提供的 JSON 政策。
您不需要了解 JSON 語法。您可以使用 中的視覺化編輯器 AWS 管理主控台 來建立和編輯客戶受管政策,而無需使用 JSON。不過,如果將內嵌政策用於群組或複雜政策,您仍然必須在 JSON 編輯器中利用主控台建立和編輯這些政策。如需有關使用視覺化編輯器的詳細資訊,請參閱 [使用客戶管理政策定義自訂 IAM 許可](access_policies_create.md) 和 [編輯 IAM 政策](access_policies_manage-edit.md)。
當您建立或編輯 JSON 政策時,IAM 可以執行政策驗證以協助您建立有效的政策。IAM 會識別 JSON 語法錯誤,而 IAM Access Analyzer 會提供額外的政策檢查及建議,協助您進一步改良政策。若要進一步了解政策驗證的資訊,請參閱 [IAM 政策驗證](access_policies_policy-validator.md)。若要進一步了解 IAM Access Analyzer 政策檢查和可動作的建議,請參閱 [IAM Access Analyzer 政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
### JSON 政策文件結構
如下圖所示,JSON 政策文件包含這些元素:
+ 在文件最上方選用的整體政策資訊
+ 一或多個個別的陳述式**
每個陳述式包含關於單一許可的資訊。如果政策包含多個陳述式, 會在評估陳述式時`OR`跨陳述式 AWS 套用邏輯。如果多個政策適用於請求, 會在評估所有`OR`政策時 AWS 套用邏輯。
![\[JSON 政策文件結構\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/AccessPolicyLanguage_General_Policy_Structure.diagram.png)
陳述式中的資訊包含在一系列的元素內。
+ **Version** – 指定您要使用的政策語言版本。建議您使用最新的 `2012-10-17 ` 版本。如需詳細資訊,請參閱[IAM JSON 政策元素:Version](reference_policies_elements_version.md)
+ **Statement** – 使用此主要政策元素作為以下元素的容器。您可以在政策中包含多個陳述式。
+ **Sid** (選用) – 包含選用的陳述式 ID 來區分您的陳述式。
+ **Effect** – 使用 `Allow` 或 `Deny` 來表示政策是否允許或拒絕存取。
+ **Principal** (在某些情況下為必要) – 如果您建立以資源為基礎的政策,您必須指定您想要允許或拒絕存取的帳戶、使用者、角色或 AWS STS 聯合身分使用者主體。如果您要建立 IAM 許可政策來連接到使用者或角色,您不能包含此元素。主體意味著該使用者或角色。
+ **Action** – 包含政策允許或拒絕的動作清單。
+ **Resource** (在某些情況下需要) – 如果您建立 IAM 許可政策,則必須指示要套用動作的資源清單。如果您建立資源型政策,則取決於您用來判斷是否需要此元素的資源。
+ **Condition** (選用) – 指定政策授予許可的條件。
若要了解這些內容及其他更進階的政策元素,請參閱[IAM JSON 政策元素參考](reference_policies_elements.md)。
### 多項陳述式和多個政策
如果您想要定義一個以上的實體 (使用者或角色) 許可,您可以在單一政策使用多個陳述式。您也可以連接多個政策。如果您嘗試在單一陳述式定義多個許可,您的政策可能不會授予您預期的存取權。建議您透過資源類型將政策分類。
由於[政策的大小限制](reference_iam-quotas.md),可能需要針對更複雜的許可採用多重政策。在不同的客戶管理政策中建立許可的功能群組,也是不錯的想法。例如,建立一個政策給 IAM 使用者管理、一個給自我管理,另一個給 S3 儲存貯體管理。無論多個陳述式和多個政策的組合為何, 都會以相同的方式 AWS [評估](reference_policies_evaluation-logic.md)您的政策。
例如,以下政策具有三個陳述式,每一個定義單一帳戶內不同組的許可。陳述式定義下列動作:
+ 第一種陳述式具有 `Sid` 的 `FirstStatement` (陳述式 ID),可讓具有連接政策的使用者變更自己的密碼。此陳述式的 `Resource` 元素是 `*` (其表示「所有資源」)。但事實上 `ChangePassword`API 操作 (或同等 `change-password` CLI 命令) 只對提出請求的使用者的密碼有影響。
+ 第二個陳述式可讓使用者在其 AWS 帳戶列出所有的 Amazon S3 儲存貯體。此陳述式的 `Resource` 元素是 `"*"` (其表示「所有資源」)。但是,因為政策不授予其他帳戶的資源存取權,使用者只能列出自己的 AWS 帳戶中的儲存貯體。
+ 第三個陳述式可讓使用者列出並擷取儲存貯體中的任何物件,名為 `amzn-s3-demo-bucket-confidential-data`,但前提是使用者必須是以 多重要素驗證 (MFA) 驗證。政策中的 `Condition` 元素強制執行 MFA 身分驗證。
當政策陳述式包含 `Condition` 元素,陳述式僅於 `Condition` 元素評估為 true 是生效。在這種情況下,當使用者經過 MFA 身分驗證,`Condition` 評估為 true。如果使用者未經過 MFA 身分驗證,這項 `Condition` 評估設為 false。在這種情況下,此政策的第三個陳述式將不適用,而且使用者無法存取 `amzn-s3-demo-bucket-confidential-data` 儲存貯體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FirstStatement",
"Effect": "Allow",
"Action": ["iam:ChangePassword"],
"Resource": "*"
},
{
"Sid": "SecondStatement",
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
},
{
"Sid": "ThirdStatement",
"Effect": "Allow",
"Action": [
"s3:List*",
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket-confidential-data",
"arn:aws:s3:::amzn-s3-demo-bucket-confidential-data/*"
],
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}
]
}
```
------
### JSON 政策語法的範例
以下身分型政策允許暗示的主體列出單一 Amazon S3 儲存貯體,其名稱是 `amzn-s3-demo-bucket`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
}
}
```
------
以下資源型政策可以連接到 Amazon S3 儲存貯體。此政策允許特定 的成員 AWS 帳戶 在名為 的儲存貯體中執行任何 Amazon S3 動作`amzn-s3-demo-bucket`。它允許可在儲存貯體或其中的物件上執行的任何動作。(由於政策僅對帳戶授予信任,帳戶中的個別使用者仍必須被授予特定 Amazon S3 動作的許可)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
若要檢視常見案例的範例政策,請參閱[以身分為基礎的 IAM 政策範例](access_policies_examples.md)。
## 授予最低權限
當您建立 IAM 政策時,請遵循授予*最低權限*的標準安全建議,或者只授予執行任務所需的許可。決定使用者和角色需要執行哪些任務,然後為他們制定政策,讓使用者*只*執行這些任務。
從一組最低許可開始,並視需要授予其他許可。這比一開始使用太寬鬆的許可,稍後再嘗試將他們限縮更為安全。
作為最低權限的替代方案,您可以使用 [AWS 受管政策](access_policies_managed-vs-inline.md#aws-managed-policies)或具有萬用字元 `*` 許可的政策,以開始使用政策。若授與主體的許可超出執行任務所需的許可,需考量其相關的安全性風險。監控這些主體,以了解他們正在使用的許可。然後寫入最低權限政策。
IAM 提供數個選項,協助您精簡您授予的許可。
+ **了解存取層級群組** – 您可以使用存取層級的方法進行分組,以了解政策授予的存取層級。[政策動作](reference_policies_elements_action.md)分為 `List`、`Read`、`Write`、`Permissions management` 或 `Tagging`。例如,您可以從 `List` 和 `Read` 存取層級選擇動作以授予唯讀存取權給您的使用者。若要了解如何使用政策摘要,以理解存取層級許可,請參閱[政策摘要中的存取層級](access_policies_understand-policy-summary-access-level-summaries.md)。
+ **驗證您的政策** – 您可以在建立和編輯 JSON 政策時,使用 IAM Access Analyzer 執行政策驗證。我們建議您檢閱並驗證所有現有政策。IAM Access Analyzer 提供超過 100 項的政策檢查,以驗證您的政策。當您政策中的聲明允許我們認為過度寬鬆的存取權時,即會產生安全性警告。在授予最低權限時,您可以使用透過安全性警告提供的可操作建議。若要進一步了解有關 IAM Access Analyzer 所提供的政策檢查,請參閱 [IAM Access Analyzer 政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **根據存取活動產生政策** – 為了協助您精簡所授予的許可,您可以根據 IAM 實體 (使用者或角色) 的存取活動產生 IAM 政策。IAM Access Analyzer 會檢閱您的 AWS CloudTrail 日誌,並產生政策範本,其中包含實體在指定時間範圍內已使用的許可。您可以使用範本建立具有精細許可的受管政策,然後將其連接至 IAM 實體。如此一來,您只授予使用者或角色與特定使用案例 AWS 的資源互動所需的許可。若要進一步了解,請參閱 [IAM Access Analyzer 政策產生](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)。
+ **使用上次存取的資訊** – 另一個有助於實現最低權限的功能是*最近存取的資訊*。在 IAM 主控台詳細資訊頁面的 **Access Advisor** (存取 Advisor) 索引標籤上檢視 IAM 使用者、群組、角色或政策的此資料。上次存取的資訊也包括最近存取某些服務之動作的相關資訊,例如 Amazon EC2、IAM、Lambda 和 Amazon S3。如果您使用 AWS Organizations 管理帳戶登入資料登入,您可以在 IAM 主控台的 **AWS Organizations**區段中檢視服務上次存取的資訊。您也可以使用 AWS CLI 或 AWS API,擷取 IAM 或 中實體或政策上次存取資訊的報告 AWS Organizations。您可以使用此資訊來識別不必要的許可,以便精簡您的 IAM 或 AWS Organizations 政策,以更好地遵守最低權限原則。如需詳細資訊,請參閱[AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
+ 在 **中檢閱帳戶事件 AWS CloudTrail** – 若要進一步減少許可,您可以在事件歷史記錄中 AWS CloudTrail 檢視帳戶的事件。 ****CloudTrail 事件日誌包含可供您用來縮減政策之許可的詳細事件資訊。此日誌只包含 IAM 實體所需的動作和資源。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》**中的[在 CloudTrail 主控台中檢視 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html)。
如需詳細資訊,請參閱下列適用於個別服務的政策主題,其中提供如何為服務特定的資源撰寫政策的範例。
+ 《Amazon DynamoDB 開發人員指南》**中的 [Using resource-based policies for DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-resource-based.html)
+ 《Amazon Simple Storage Service 使用者指南》**中的 [Bucket policies for Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)
+ 《Amazon Simple Storage Service 使用者指南》**中的 [Access Control List (ACL) overview](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)
# 受管政策與內嵌政策
當您在 IAM 中為身分設定許可時,必須決定要使用 AWS 受管政策、客戶管理政策還是內嵌政策。以下幾個主題提供了有關每個類型的身分型政策以及使用時機的更多資訊。
下表概述了這些政策:
| 政策類型 | Description | 政策由誰管理? | 修改許可? | 套用至政策的主體數量? |
| --- | --- | --- | --- | --- |
| [AWS 受管政策](#aws-managed-policies) | 由 AWS建立和管理的獨立政策。 | AWS | 否 | 許多 |
| [客戶管理政策](#customer-managed-policies) | 您針對特定使用案例建立的政策,並且您可以隨時更改或更新它們。 | 您 | 是 | 許多 |
| [內嵌政策](#inline-policies) | 為單一 IAM 身分 (使用者、群組或角色) 建立的政策,其在政策與身分之間保持嚴格的一對一關係。 | 您 | 是 | 一 |
**Topics**
+ [AWS 受管政策](#aws-managed-policies)
+ [客戶管理政策](#customer-managed-policies)
+ [內嵌政策](#inline-policies)
+ [在受管政策與內嵌政策之間選擇](access_policies-choosing-managed-or-inline.md)
+ [將內嵌政策轉換為受管政策](access_policies-convert-inline-to-managed.md)
+ [已廢除的 AWS 受管政策](access_policies_managed-deprecated.md)
## AWS 受管政策
「AWS 受管政策」**為獨立的政策,由 AWS建立並管理。*獨立政策*表示政策有自己的 Amazon Resource Name (ARN),其中包含政策名稱。例如, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` 是 AWS 受管政策。如需有關 ARN 的詳細資訊,請參閱 [IAM ARN](reference_identifiers.md#identifiers-arns)。如需 的 AWS 受管政策清單 AWS 服務,請參閱 [AWS 受管政策](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html)。
AWS 受管政策可讓您輕鬆地將適當的許可指派給使用者、IAM 群組和角色。這比您自己撰寫政策更快,並且包含常見使用案例的許可。
您無法變更 AWS 受管政策中定義的許可。 AWS occasionally 會更新 AWS 受管政策中定義的許可。當 AWS 這樣做時,更新會影響政策連接的所有委託人實體 (IAM 使用者、IAM 群組和 IAM 角色)。當新 AWS 服務啟動或新 API 呼叫可用於現有服務時, AWS 最有可能更新 AWS 受管政策。例如,名為 **ReadOnlyAccess** 的 AWS 受管政策提供所有 AWS 服務 和 資源的唯讀存取權。當 AWS 啟動新服務時, 會 AWS 更新 **ReadOnlyAccess** 政策,為新服務新增唯讀許可。更新的許可會套用於政策連接到的所有主體實體。
*完整存取 AWS 受管政策*:這些政策透過授予服務的完整存取權來定義服務管理員的許可。範例包括:
+ [AmazonDynamoDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess.html)
+ [IAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html)
*進階使用者 AWS 受管政策*:這些政策提供 AWS 服務 和 資源的完整存取權,但不允許管理使用者和 IAM 群組。範例包括:
+ [AWSCodeCommitPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeCommitPowerUser.html)
+ [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)
*部分存取 AWS 受管政策*:這些政策提供對 的特定存取層級, AWS 服務 而不允許[許可管理](access_policies_understand-policy-summary-access-level-summaries.md#access_policies_access-level)存取層級許可。範例包括:
+ [AmazonMobileAnalyticsWriteOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMobileAnalyticsWriteOnlyAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
*工作職能 AWS 受管政策*:這些政策與 IT 產業中常用的工作職能密切一致,並有助於授予這些工作職能的許可。使用任務函數政策的一個主要優點是,隨著新服務和 API 操作的推出 AWS ,它們由 維護和更新。例如,[AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) 工作職能提供對 AWS中的每個服務和資源的完整存取權和許可委派。我們建議僅將此政策用於帳戶管理員。對於需要完整存取每個服務的進階使用者,但對 IAM 和 的有限存取除外 AWS Organizations,請使用 [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html) 任務函數。如需有關工作職能政策的清單和說明,請參閱[AWS 任務函數的 受管政策](access_policies_job-functions.md)。
下圖說明 AWS 受管政策。該圖顯示三個 AWS 受管政策:**AdministratorAccess**、**PowerUserAccess** 和 **AWS CloudTrail\$1ReadOnlyAccess**。請注意,單一 AWS 受管政策可以連接到不同 中的委託人實體 AWS 帳戶,也可以連接到單一 中的不同委託人實體 AWS 帳戶。
![\[AWS 受管政策圖表\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-aws-managed-policies.diagram.png)
## 客戶管理政策
您可以在自己的 中建立獨立政策 AWS 帳戶 ,以連接到委託人實體 (IAM 使用者、IAM 群組和 IAM 角色)。您可以針對特定使用案例建立這些*客戶管理政策*,並且可以隨時進行變更和更新。如同 AWS 受管政策,當您將政策連接至委託人實體時,您會為實體提供政策中定義的許可。更新政策中的許可時,變更會套用於政策連接到的所有主體實體。
建立客戶管理政策的理想方式是從複製一個現有 AWS 受管政策開始。這樣從一開始您就可以確信政策是正確的,只需根據您的環境進行自訂即可。
下圖說明客戶管理政策。每個政策都是 IAM 中的一個實體,有自己的 [Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns),其中包含政策名稱。請注意,同一政策可以連接到多個主體實體,例如,同一個 **DynamoDB-books-app** 政策可連接到兩個不同的 IAM 角色。
如需詳細資訊,請參閱[使用客戶管理政策定義自訂 IAM 許可](access_policies_create.md)
![\[客戶受管政策示意圖\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-customer-managed-policies.diagram.png)
## 內嵌政策
內嵌政策是為單個 IAM 身分 (使用者、使用者群組或角色) 建立的政策。內嵌政策可在政策與身分之間維持嚴格的一對一關聯性。當您刪除身分時,它們即會被刪除。在建立身分時或在建立之後,您可以建立政策並將其嵌入身分。如果政策可套用至多個實體,最好使用受管政策。
下圖說明內嵌政策。每個政策都是使用者、組或角色的固有部分。請注意,兩個角色包含同一政策 (**DynamoDB-books-app** 政策),但是它們不共用單一政策。每個角色都有自己的政策複本。
![\[內嵌政策示意圖\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-inline-policies.diagram.png)
# 在受管政策與內嵌政策之間選擇
在決定是使用受管政策還是內嵌政策時,考慮您的使用案例。在大多數情況下,我們建議使用受管政策而非內嵌政策。
**注意**
您可以同時使用受管政策和內嵌政策,來定義主體實體的一般許可和唯一許可。
受管政策具備以下功能:
**可重複使用性**
單一受管政策可以連接到多個主體實體 (使用者、群組和角色)。您可以建立政策程式庫,為 定義有用的許可 AWS 帳戶,然後視需要將這些政策連接至委託人實體。
**集中變更管理**
更改受管政策時,更改會套用於政策連接到的所有主體實體。例如,如果您想要新增新 AWS API 的許可,您可以更新客戶受管政策,或建立 AWS 受管政策的關聯以新增許可。如果您使用的是 AWS 受管政策, 會 AWS 更新政策。更新受管政策時,更改會套用於受管政策連接到的所有主體實體。反之,若要變更內嵌政策,您必須分別編輯包含該內嵌政策的每個身分。例如,如果一個群組和一個角色都包含同一內嵌政策,則您必須分別編輯這兩個主體實體以變更該政策。
**版本控制和還原**
在更改客戶管理政策時,更改的政策不會覆蓋現有的政策。IAM 反而會建立新版本的受管政策。IAM 最多可以儲存五個版本的客戶管理政策。如果需要,可以使用政策版本將政策還原為較早版本。
政策版本與 `Version` 政策元素不同。`Version` 政策元素是在政策內使用,並定義政策語言的版本。若要進一步了解政策版本,請參閱 [版本控制 IAM 政策](access_policies_managed-versioning.md)。若要進一步了解 `Version` 政策元素,請參閱 [IAM JSON 政策元素:Version](reference_policies_elements_version.md)。
**委派許可管理**
您可以允許 中的使用者 AWS 帳戶 連接和分離政策,同時控制這些政策中定義的許可。因此,您可以將一些使用者指定為完全管理員,也就是建立、更新和刪除政策的管理員。隨後可以將其使用者指定為受限管理員。受限管理員可以將政策 (限於您允許連接的政策) 連接到其他主體實體。
如需有關委派許可管理的詳細資訊,請參閱 [控制對政策的存取](access_controlling.md#access_controlling-policies)。
**較大政策字元限制**
受管政策的字元大小上限大於群組內嵌政策的字元限制。如果達到內嵌政策的字元大小限制,您可以建立更多 IAM 群組,並將受管政策附加到群組。
如需有關配額和限制的詳細資訊,請參閱 [IAM AWS STS 和配額](reference_iam-quotas.md)。
** AWS 受管政策的自動更新**
AWS 會維護 AWS 受管政策,並視需要更新這些政策,例如新增新 AWS 服務的許可,而不必進行變更。更新會自動套用至您已連接 AWS 受管政策的主體實體。
## 受管政策入門
我們建議使用[授予最低權限](access_policies.md#grant-least-priv)的政策,或僅授予執行任務所需的許可。授予最低權限的最安全方式是撰寫僅具有團隊所需許可的客戶管理政策。您必須建立程序,以允許您的團隊在必要時要求更多許可。[建立 IAM 客戶受管政策](access_policies_create-console.md)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。
若要開始將許可新增至 IAM 身分 (使用者、使用者群組和角色),您可以使用 [AWS 受管政策](access_policies_managed-vs-inline.md#aws-managed-policies) AWS .managed 政策不會授予最低權限許可。若授予主體的許可超出執行任務所需的許可,您必須考量其相關的安全性風險。
您可以將 AWS 受管政策,包括任務函數,連接到任何 IAM 身分。如需詳細資訊,請參閱[新增和移除 IAM 身分許可](access_policies_manage-attach-detach.md)。
若要切換到最低權限許可,您可以執行 AWS Identity and Access Management 和 Access Analyzer 以使用 AWS 受管政策監控委託人。了解他們正在使用哪些許可後,您可以撰寫或產生僅具有團隊所需許可的客戶管理政策。這較不安全,但在您了解團隊使用 的方式時提供更多彈性 AWS。如需詳細資訊,請參閱[產生 IAM Access Analyzer 政策](access-analyzer-policy-generation.md)。
AWS 受管政策旨在為許多常用案例提供許可。如需專為特定任務函數設計的 AWS 受管政策的詳細資訊,請參閱 [AWS 任務函數的 受管政策](access_policies_job-functions.md)。
如需 AWS 受管政策的清單,請參閱 [AWS 受管政策參考指南](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)。
## 使用內嵌政策
如果您要在政策與套用它的身分之間維持嚴格的一對一關聯性,則內嵌政策十分有用。例如,如果您要確保政策中的許可不會無意中分配給預期身分之外的身分。使用內嵌政策時,政策中的許可不能意外分配給錯誤的身分。此外,當您使用 AWS 管理主控台 刪除該身分時,也會刪除內嵌在身分中的政策,因為它們是委託人實體的一部分。
# 將內嵌政策轉換為受管政策
如果您在您的帳戶中擁有內嵌政策,您可以將它們轉換為受管政策。若要執行此操作,請將該政策複製到新的受管政策。接下來,將新政策連接到具有內嵌政策的身分,然後刪除內嵌政策。
## 將內嵌政策轉換為受管政策
**將內嵌政策轉換為受管政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在服務導覽窗格中,選擇 **User groups** (使用者群組)、**Users** (使用者) 或者 **Roles** (角色)。
1. 在清單中,選擇包含要刪除的政策的使用者群組、使用者、或角色的名稱。
1. 選擇 **Permissions (許可)** 標籤。
1. 針對 IAM 群組,選取要移除之內嵌政策的名稱。針對使用者和角色,選擇**顯示* *更多項目**,並在必要時展開您想要移除之內嵌政策。
1. 選擇**複製**,以複製該政策的 JSON 政策文件。
1. 在導覽窗格中,選擇**政策**。
1. 選擇**建立政策**,然後選擇 **JSON** 選項。
1. 將現有的文字取代為您的 JSON 政策文字,然後選擇**下一步**。
1. 輸入您的政策的名稱和選用描述,然後選擇**建立政策**。
1. 在導覽窗格中選擇 **User groups** (使用者群組)、**Users** (使用者) 或 **Roles** (角色),並再次選擇擁有您想要移除之政策的使用者群組、使用者或角色的名稱。
1. 選擇**許可**索引標籤,然後選擇**新增許可**。
1. 針對 IAM 群組,選取新政策名稱旁的核取方塊,然後依序選擇**新增許可**、**連接政策**。針對使用者或角色,選擇 **Add permissions** (新增許可)。在下一個頁面上,選擇**直接連接現有政策**,選取新政策名稱旁的核取方塊,選擇**下一步**,然後選擇**新增許可**。
系統會將您傳回到使用者群組、使用者或角色的 **Summary** (摘要) 頁面。
1. 選取您要移除之內嵌政策旁的核取方塊,然後選擇**移除**。
# 已廢除的 AWS 受管政策
為了簡化許可的指派, AWS 提供[可](access_policies_managed-vs-inline.md)連接到 IAM 使用者、群組和角色的預先定義政策。
有時 AWS 需要將新許可新增至現有政策,例如引進新服務時。將新的許可新增至現有政策,並不會中斷或移除任何功能或能力。
不過,如果所需變更套用到現有政策,則可能會 AWS 選擇*建立新的*政策。例如,從現有政策移除許可可能破壞任何 IAM 實體或應用程式所倚靠的許可,而可能中斷關鍵的操作。
因此,當需要此類變更時, AWS 會建立具有所需變更的全新政策,並將其提供給客戶。然後,舊政策會標示為*已作廢*。如需詳細資訊,請參閱《 [AWS 受管政策參考指南》中的已棄用](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies)*AWS 受管政策*。
# 使用資料周邊建立許可防護機制
資料周邊護欄旨在做為永遠在線的界限,以協助在廣泛的 AWS 帳戶和資源中保護您的資料。資料周邊遵循 IAM 安全最佳實務,[跨多個帳戶建立許可防護機制](best-practices.md#bp-permissions-guardrails)。這些全組織的許可防護機制不會取代您現有的精細存取控制。相反地,它們用作**粗略的存取控制**,透過確保使用者、角色和資源遵守一組定義的安全標準,協助改善您的安全策略。
資料周邊是 AWS 環境中的一組許可護欄,可協助確保只有您信任的身分才能從預期的網路存取信任的資源。
+ 信任的身分:您 AWS 帳戶和代表您行事 AWS 的服務中的委託人 (IAM 角色或使用者)。
+ 信任的資源: AWS 由您的帳戶或代表您的 AWS 服務所擁有的資源。
+ 預期的網路:您的內部部署資料中心和虛擬私有雲端 (VPCs),或代表您的 AWS 服務網路。
**注意**
在某些情況下,您可能需要擴展資料周邊,以納入信任的業務合作夥伴的存取權。當建立特定於您的公司和您使用 AWS 服務的信任的身分、信任的資源和預期的網路之定義時,應當考慮所有預期的資料存取模式。
資料周邊控制應視為資訊安全和風險管理計畫中的任何其他安全控制。這表示您應該執行威脅分析,以識別雲端環境中的潛在風險,然後根據您自己的風險接受標準,選取並實作適當的資料周邊控制。為了更清楚地了解資料周邊實作的反覆風險型方法,您需要了解資料周邊控制以及您的安全優先事項會解決哪些安全風險和威脅向量。
## 資料周邊控制
資料周邊粗略控制透過實作不同的[政策類型](access_policies.md#access_policy-types)和[條件索引鍵](reference_policies_condition-keys.md)組合,協助您跨三個資料周邊達成六個不同的安全目標。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/access_policies_data-perimeters.html)
您可以將資料周邊視為在資料周圍建立堅實的界限,以防止意外存取模式。雖然資料周邊可以防止廣泛的意外存取,但您仍需要做出精細的存取控制決策。建立資料周邊並不會減少透過使用 [IAM Access Analyzer](what-is-access-analyzer.md) 等工具作為[最低權限](best-practices.md#grant-least-privilege)旅程的一部分來持續微調許可的需求。
若要對 RCP 目前不支援的資源強制執行資料周邊控制,可以使用直接連接到資源的資源型政策。如需支援 RCP 和資源型政策的服務清單,請參閱 [Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) 和 [AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)。
若要強制執行網路周邊控制,建議您僅在要限制存取的所有服務目前都受支援的情況下才使用 `aws:VpceOrgID`、`aws:VpceOrgPaths` 和 `aws:VpceAccount`。將這些條件索引鍵用於不受支援的服務,可能會導致意外的授權結果。如需支援這些索引鍵的服務清單,請參閱 [AWS 全域條件內容索引鍵](reference_policies_condition-keys.md)。如果您需要對更廣泛的服務強制執行這些控制,請考慮改用 `aws:SourceVpc` 和 `aws:SourceVpce`。
## 身分周邊
身分周邊是一組粗略的預防性存取控制,可協助確保只有信任的身分可以存取您的資源,並且只允許來自您網路的信任的身分。信任的身分通常包含您 AWS 帳戶中的委託人 (角色或使用者),以及代表您行事 AWS 的服務。除非授予明確的例外狀況,否則所有其他身分都會被視為不受信任,且會受到身分周邊的阻止。
下列全域條件索引鍵有助於根據您對受信任身分的定義來強制執行身分周邊控制。在資源控制政策中使用這些索引鍵來限制對資源的存取,或在 [VPC 端點政策](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html)中使用這些索引鍵來限制對網路的存取。
### 您擁有的身分
您可以使用下列條件索引鍵來定義您在 中建立和管理的 IAM 主體 AWS 帳戶。
+ [aws:PrincipalOrgID](reference_policies_condition-keys.md#condition-keys-principalorgid) – 您可以使用此條件索引鍵,確保提出請求的 IAM 主體屬於 AWS Organizations中指定的組織。
+ [aws:PrincipalOrgPaths](reference_policies_condition-keys.md#condition-keys-principalorgpaths) – 您可以使用此條件金鑰,以確保 IAM 使用者 、IAM 角色、 AWS STS 聯合身分使用者主體、SAML 聯合身分主體、OIDC 聯合身分主體,或 AWS 帳戶根使用者 提出請求屬於指定的組織單位 (OU) AWS Organizations。
+ [aws:PrincipalAccount](reference_policies_condition-keys.md#condition-keys-principalaccount) – 您可以使用此條件索引鍵,確保只有您在政策中指定的主體帳戶才能存取資源。
### 代表您行事 AWS 的服務身分
您可以使用下列條件金鑰,允許 AWS 服務在代表您時,使用自己的身分來存取您的 資源。
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) 和 [aws:SourceOrgID](reference_policies_condition-keys.md#condition-keys-sourceorgid) (或 [aws:SourceOrgPaths](reference_policies_condition-keys.md#condition-keys-sourceorgpaths) 和 [aws:SourceAccount](reference_policies_condition-keys.md#condition-keys-sourceaccount)) – 您可以使用這些條件索引鍵來確保當 [AWS 服務 主體](reference_policies_elements_principal.md#principal-services)存取您的資源時,它們只能代表指定組織、組織單位或 AWS Organizations中帳戶的資源來執行此操作。
如需詳細資訊,請參閱[在 上建立資料周邊 AWS:僅允許信任的身分存取公司資料](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/)。
## 資源周邊
資源周邊是一組粗略的預防性存取控制,可協助確保您的身分只能存取信任的資源,而且只能從您的網路存取信任的資源。信任的資源通常包含您 AWS 帳戶或代表您的 AWS 服務所擁有的資源。
下列全域條件索引鍵有助於根據您對受信任資源的定義來強制執行資源周邊控制。在[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 中使用這些索引鍵來限制您的身分可以存取的資源,或在 [VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)中使用這些索引鍵來限制可以從您的網路存取的資源。
### 您擁有的資源
您可以使用下列條件索引鍵來定義您在 中建立和管理 AWS 的資源 AWS 帳戶。
+ [aws:ResourceOrgID](reference_policies_condition-keys.md#condition-keys-resourceorgid) – 您可以使用此條件索引鍵,確保所存取的資源屬於 AWS Organizations中指定的組織。
+ [aws:ResourceOrgPaths](reference_policies_condition-keys.md#condition-keys-resourceorgpaths) – 您可以使用此條件索引鍵,確保所存取的資源屬於 AWS Organizations中指定的組織單位 (OU)。
+ [aws:ResourceAccount](reference_policies_condition-keys.md#condition-keys-resourceaccount) – 您可以使用此條件索引鍵來確保所存取的資源屬於指定 AWS 帳戶中的資源。
### 代表您行事 AWS 的服務資源
在某些情況下,您可能需要允許存取 AWS 擁有的資源、不屬於您組織的資源,以及委託人或代表您的 AWS 服務存取的資源。如需這些案例的詳細資訊,請參閱[在 上建立資料周邊 AWS:僅允許來自組織的信任資源](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-resources-from-my-organization/)。
## 網路周邊
網路周邊是一組粗略的預防性存取控制,可協助確保您的身分只能從預期的網路存取資源,而且只能從預期的網路存取您的資源。預期網路通常包括您內部部署的資料中心和虛擬私有雲端 (VPC),以及代表您執行動作的 AWS 服務的網路。
下列全域條件索引鍵有助於根據您對預期網路的定義來強制執行網路周邊控制。在[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 中使用這些索引鍵來限制您的身分可以通訊的網路,或在[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) 中使用這些索引鍵來限制對預期網路的資源存取。
### 您擁有的網路
您可以使用下列條件索引鍵來定義員工和應用程式預期用來存取資源的網路,例如您的公司 IP CIDR 範圍和 VPC。
+ [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip) – 您可以使用此條件索引鍵,確保請求者的 IP 位址位於指定的 IP 範圍內。
+ [aws:SourceVpc](reference_policies_condition-keys.md#condition-keys-sourcevpc) – 您可以使用此條件索引鍵,確保請求通過的 VPC 端點屬於指定的 VPC。
+ [aws:SourceVpce](reference_policies_condition-keys.md#condition-keys-sourcevpce) – 您可以使用此條件索引鍵,確保請求通過指定的 VPC 端點。
+ [aws:VpceAccount](reference_policies_condition-keys.md#condition-keys-vpceaccount) – 您可以使用此條件金鑰,以確保請求透過指定 AWS 帳戶擁有的 VPC 端點。
+ [aws:VpceOrgPaths](reference_policies_condition-keys.md#condition-keys-vpceorgpaths) – 您可以使用此條件索引鍵來確保發出請求的 IAM 主體屬於 AWS Organizations中指定的組織單位。
+ [aws:VpceOrgID](reference_policies_condition-keys.md#condition-keys-vpceorgid) – 您可以使用此條件索引鍵來確保請求是透過 AWS Organizations中指定組織中帳戶擁有的 VPC 端點發出。
`aws:VpceAccount`、`aws:VpceOrgPaths` 和 `aws:VpceOrgID` 尤其適用於實作隨著 VPC 端點用量自動擴展的網路周邊控制,而無需在建立新端點時更新政策。如需支援這些索引鍵的 AWS 服務 清單,請參閱 [AWS 全域條件內容索引鍵](reference_policies_condition-keys.md)。
### 代表您行事 AWS 的服務網路
您可以使用下列條件金鑰,允許 AWS 服務在代表您時從其網路存取您的資源。
+ [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice) – 您可以使用此條件金鑰,以確保 AWS 服務 可以使用 [轉送存取工作階段](access_forward_access_sessions.md)(FAS) 代表您的委託人提出請求。
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) – 您可以使用此條件金鑰,以確保 AWS 服務 可以使用 存取您的 資源[AWS 服務主體](reference_policies_elements_principal.md#principal-services)。
在另外一些案例中,您需要允許存取 AWS 服務 ,這些服務從您的網路外部存取您的資源。如需詳細資訊,請參閱[在 上建立資料周邊 AWS:僅允許從預期的網路存取公司資料](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-access-to-company-data-only-from-expected-networks/)。
## 進一步了解資料周邊的資源
下列資源可協助您進一步了解跨 AWS的資料周邊。
+ [上的資料周邊 AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/) – 了解資料周邊及其優點和使用案例。
+ [部落格文章系列:在 上建立資料周邊 AWS](https://aws.amazon.com/identity/data-perimeters-blog-post-series/) – 這些部落格文章涵蓋了有關大規模建立資料周邊的規範性指導,包括關鍵安全和實作考量。
+ [資料周邊政策範例](https://github.com/aws-samples/data-perimeter-policy-examples/tree/ce06665ca8b2f07debee7bed5153c3be0f31c73c) – 此 GitHub 儲存庫包含的範例政策涵蓋了一些常見模式,可協助您在 AWS上實作資料周邊。
+ [資料周邊協助程式](https://github.com/aws-samples/data-perimeter-helper/tree/main?tab=readme-ov-file) – 此工具可協助您透過分析 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 日誌中的存取活動,來設計和預測資料周邊控制的影響。
# IAM 實體的許可界限
AWS 支援 IAM 實體 (使用者或角色) 的*許可界限*。許可界限是一種進階功能,可供您使用受管政策來設定以身分為基礎的政策可以授予 IAM 實體的最大許可。實體的許可界限可讓其只執行由身分類型政策和其許可界限同時允許的動作。
如需有關政策類型的詳細資訊,請參閱 [政策類型](access_policies.md#access_policy-types)。
**重要**
對於已附加許可界限政策的 IAM 使用者或角色,請勿使用所含 `NotPrincipal` 政策元素具有 `Deny` 效果的資源型政策陳述式。無論在 `NotPrincipal` 元素中指定何值,具有 `Deny` 效果的 `NotPrincipal` 元素將始終拒絕任何已附加許可界限政策的 IAM 主體。這會造成部分本可存取資源的 IAM 使用者或角色失去存取權。我們建議您變更資源型政策陳述式,將條件運算子 [`ArnNotEquals`](reference_policies_elements_condition_operators.md#Conditions_ARN) 與 [`aws:PrincipalArn`](reference_policies_condition-keys.md#condition-keys-principalarn) 內容索引鍵搭配使用來限制存取,而不是使用 `NotPrincipal` 元素。如需有關 `NotPrincipal` 元素的資訊,請參閱 [AWS JSON 政策元素: NotPrincipal](reference_policies_elements_notprincipal.md)。
您可以使用 AWS 受管政策或客戶受管政策來設定 IAM 實體 (使用者或角色) 的界限。該政策限制使用者或角色的許可上限。
例如,假設名為 `Shirley` 的 IAM 使用者應允許僅管理 Amazon S3、Amazon CloudWatch 和 Amazon EC2。為了強行實施這個規則,您可以使用以下政策設定 `Shirley` 使用者的許可界限:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*",
"cloudwatch:*",
"ec2:*"
],
"Resource": "*"
}
]
}
```
------
當您使用政策來設定使用者的許可界限時,它會限制使用者的許可,但不自行提供許可。在這個範例中,該政策會將 `Shirley` 的最大許可設為 Amazon S3、CloudWatch 和 Amazon EC2 中的所有操作。Shirley 永遠無法在其他任何服務中執行操作,包括 IAM,即使許可政策允許她這麼做。例如,您可以將以下政策加入到 `Shirley` 使用者:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "iam:CreateUser",
"Resource": "*"
}
}
```
------
這項政策允許在 IAM 中建立使用者。如果您將此許可政策連接到 `Shirley` 使用者,當 Shirley 嘗試建立使用者時,操作會失敗。失敗的原因是許可界限不允許 `iam:CreateUser` 操作。因為這兩項政策,Shirley 沒有許可在 AWS中執行任何操作。您必須新增不同的許可政策,才能允許其他服務 (例如 Amazon S3) 中的動作。或者,您可以更新許可界限,允許她在 IAM 中建立使用者。
## 評估含界限的有效許可
IAM 實體 (使用者或角色) 的許可界限會設定該實體可以擁有的最大許可。這可能改變該使用者或角色的有效許可。實體的有效許可,是指會影響使用者或角色的所有政策所授予的許可。在帳戶範圍內,以身分為基礎的政策、以資源為基礎的政策、許可界限、 AWS Organizations SCP 或工作階段政策,都可能會影響到實體的許可。如需有關不同政策類型的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)。
如果其中任何一種政策會明確拒絕存取操作,則請求將會遭拒。經由多種許可類型授予的許可將更為複雜。如需 如何 AWS 評估政策的詳細資訊,請參閱 [政策評估邏輯](reference_policies_evaluation-logic.md)。
**包含界限的以身分為基礎政策** – 以身分為基礎的政策可分為會連接至使用者、使用者群組或角色的內嵌或受管政策。以身分為基礎的政策可為實體授予許可,而許可界限會限制這些許可。有效的許可是兩種政策類型的交集。在這些政策的明確拒絕會覆寫允許。
![\[評估以身分為基礎的政策及許可界限\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/permissions_boundary.png)
**以資源為基礎的政策** – 以資源為基礎的政策會控制指定主體如何存取資源,即政策連接至其中的資源。
*適用於 IAM 使用者的資源型政策*
在同一帳戶中,授予許可給 IAM 使用者 ARN (非 AWS STS 聯合身分使用者主體工作階段) 的資源型政策不受身分型政策或許可界限中的隱含拒絕的限制。
![\[評估以資源為基礎的政策、許可界限和以身分為基礎的政策\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/EffectivePermissions-rbp-boundary-id.png)
*適用於 IAM 角色的資源型政策*
**IAM 角色** – 將許可授予 IAM 角色 ARN 的資源型政策受限於許可界限或工作階段政策中隱含拒絕的限制。
**IAM 角色工作階段** – 在同一帳戶內,將許可授予 IAM 角色工作階段 ARN 的資源型政策會直接授予許可給擔任角色工作階段。直接授予工作階段的許可不會受到身分識別型政策、許可界限或工作階段政策中隱含拒絕的限制。當您擔任角色並提出要求時,提出要求的主體是 IAM 角色工作階段 ARN,而不是角色本身的 ARN。
* AWS STS 聯合身分使用者主體工作階段的資源型政策*
**AWS STS 聯合身分使用者主體工作階段** – AWS STS 聯合身分使用者主體工作階段是透過呼叫 建立的工作階段[`GetFederationToken`](id_credentials_temp_request.md#api_getfederationtoken)。當聯合身分使用者提出要求時,提出要求的主體是聯合身分使用者 ARN,而不是聯合身分 IAM 使用者的 ARN。在相同的帳戶中,授予許可給聯合身分使用者 ARN 的資源型政策會直接將許可授予工作階段。直接授予工作階段的許可不會受到身分識別型政策、許可界限或工作階段政策中隱含拒絕的限制。
不過,如果資源型政策將許可授予聯合身分 IAM 使用者的 ARN,則 AWS STS 聯合身分使用者主體在工作階段期間提出的請求會受限於許可界限或工作階段政策中的隱含拒絕。
**AWS Organizations SCPs** – SCPs會套用至整個 AWS 帳戶。它們會限制由該帳戶內主體所提出各個請求的許可。IAM 實體 (使用者或角色) 可以提出一個要求,而這個要求會受到 SCP、許可邊界及身分類型政策的影響。在這種情況下,只有當所有三種政策類型允許時才允許該要求。有效許可是所有三種政策類型的交集。所有這類政策中的明確拒絕都會覆寫該允許。
![\[SCP 評估、許可界限及以身分為基礎的政策\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/EffectivePermissions-scp-boundary-id.png)
您可以了解[您的帳戶是否為 AWS Organizations中組織的成員](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html#orgs_view_account)。組織成員可能會受到 SCP 影響。若要使用 AWS CLI 命令或 AWS API 操作檢視此資料,您必須擁有 AWS Organizations 實體 `organizations:DescribeOrganization`動作的許可。您必須擁有其他許可,才能在 AWS Organizations 主控台中執行 操作。若要了解 SCP 是否拒絕存取特定請求,或變更您的有效許可,請聯絡您的 AWS Organizations 管理員。
**工作階段政策** – 工作階段政策是一種進階政策,您可以在透過編寫程式的方式建立角色或聯合身分使用者的暫時工作階段時,做為參數傳遞。工作階段的許可,該工作階段的來源是建立該工作階段時所使用的 IAM 實體 (使用者或角色) 或工作階段政策。實體的以身分為基礎的政策,會受到工作階段政策及許可界限所限制。這組政策類型的有效許可是所有三種政策類型的交集。所有這類政策中的明確拒絕都會覆寫該允許。如需有關工作階段政策的詳細資訊,請參閱[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
![\[評估工作階段政策、許可界限和以身分為基礎的政策\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)
## 使用許可界限委派責任給他人
您可以使用許可界限來委派許可管理任務 (像是使用者建立) 給您的帳戶中的 IAM 使用者。這允許其他人在特定許可界限內代替您執行任務。
例如,假設 María 是 X-Company 的管理員 AWS 帳戶。她想要委派使用者建立責任給 Zhang。不過,她必須確保 Zhang 建立的使用者遵守下列公司規則:
+ 使用者不能使用 IAM 建立或管理使用者、群組、角色或政策。
+ 使用者被拒絕存取 Amazon S3 `logs` 儲存貯體,且無法存取 `i-1234567890abcdef0` Amazon EC2 執行個體。
+ 使用者無法移除自己的界限政策。
為了強制執行這些規則,María 完成以下任務,其包含以下詳細資訊:
1. María 建立 `XCompanyBoundaries` 受管政策以針對帳戶中所有的新的使用者,當成許可界限使用。
1. María 建立 `DelegatedUserBoundary` 受管政策,並將其指派為 Zhang 的許可界限。Maria 記下其管理員 使用者的 ARN,並在防止 Zhang 存取的政策中使用此 ARN。
1. María 建立 `DelegatedUserPermissions` 受管政策,並將其連接為 Zhang 的許可政策。
1. María 告訴 Zhang 有關他的新責任和限制。
**任務 1:**María 必須先建立受管政策來定義新使用者的界限。María 將允許 Zhang 提供使用者所需的許可政策,但她希望這些使用者受到限制。為了執行此操作,她建立以下客戶受管政策,名稱為 `XCompanyBoundaries`。此政策會執行下列動作:
+ 可讓使用者完整存取數個服務
+ 允許在 IAM 主控台中限制自行管理存取。這表示他們可以在登入主控台之後變更密碼。也無法設定其初始密碼。若要允許此操作,請將 `"*LoginProfile"` 動作加入 `AllowManageOwnPasswordAndAccessKeys` 陳述式。
+ 拒絕對 Amazon S3 日誌儲存貯體或 `i-1234567890abcdef0` Amazon EC2 執行個體的存取權限
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ServiceBoundaries",
"Effect": "Allow",
"Action": [
"s3:*",
"cloudwatch:*",
"ec2:*",
"dynamodb:*"
],
"Resource": "*"
},
{
"Sid": "AllowIAMConsoleForCredentials",
"Effect": "Allow",
"Action": [
"iam:ListUsers",
"iam:GetAccountPasswordPolicy"
],
"Resource": "*"
},
{
"Sid": "AllowManageOwnPasswordAndAccessKeys",
"Effect": "Allow",
"Action": [
"iam:*AccessKey*",
"iam:ChangePassword",
"iam:GetUser",
"iam:*ServiceSpecificCredential*",
"iam:*SigningCertificate*"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "DenyS3Logs",
"Effect": "Deny",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::logs",
"arn:aws:s3:::logs/*"
]
},
{
"Sid": "DenyEC2Production",
"Effect": "Deny",
"Action": "ec2:*",
"Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
}
]
}
```
------
每個陳述式提供不同的用途:
1. 此政策的 `ServiceBoundaries`陳述式允許完整存取指定的 AWS 服務。這表示新使用者在這些服務的動作,僅受限於連接到使用者的許可政策。
1. `AllowIAMConsoleForCredentials` 陳述式允許列出所有 IAM 使用者的存取權。這個存取權是導覽 AWS 管理主控台中 **Users (使用者)** 頁面的必要條件。它也允許檢視帳戶的密碼要求,而這是變更您自身密碼時的必要程序。
1. `AllowManageOwnPasswordAndAccessKeys` 陳述式允許使用者僅管理自己的主控台密碼和程式設計存取金鑰。如果 Zhang 或另一個管理員為新使用者指派包含完整 IAM 存取的許可政策,這就顯得非常重要。在這種情況下,該使用者可能會變更自己的或其他使用者的許可。此陳述式可避免此種情況發生。
1. `DenyS3Logs` 陳述式明確拒絕存取 `logs` 儲存貯體。
1. `DenyEC2Production` 陳述式明確拒絕存取 `i-1234567890abcdef0` 執行個體。
** 任務 2:**María 想要允許 Zhang 建立所有 X-Company 使用者,但只允許 `XCompanyBoundaries` 許可界限。她建立以下客戶受管政策,名稱為 `DelegatedUserBoundary`。此政策定義 Zhang 可以擁有的許可上限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateOrChangeOnlyWithBoundary",
"Effect": "Allow",
"Action": [
"iam:AttachUserPolicy",
"iam:CreateUser",
"iam:DeleteUserPolicy",
"iam:DetachUserPolicy",
"iam:PutUserPermissionsBoundary",
"iam:PutUserPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PermissionsBoundary": "arn:aws:iam::123456789012:policy/XCompanyBoundaries"
}
}
},
{
"Sid": "CloudWatchAndOtherIAMTasks",
"Effect": "Allow",
"Action": [
"cloudwatch:*",
"iam:CreateAccessKey",
"iam:CreateGroup",
"iam:CreateLoginProfile",
"iam:CreatePolicy",
"iam:DeleteGroup",
"iam:DeletePolicy",
"iam:DeletePolicyVersion",
"iam:DeleteUser",
"iam:GetAccountPasswordPolicy",
"iam:GetGroup",
"iam:GetLoginProfile",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListAccessKeys",
"iam:ListAttachedRolePolicies",
"iam:ListAttachedUserPolicies",
"iam:ListEntitiesForPolicy",
"iam:ListGroups",
"iam:ListGroupsForUser",
"iam:ListMFADevices",
"iam:ListPolicies",
"iam:ListPolicyVersions",
"iam:ListRolePolicies",
"iam:ListSSHPublicKeys",
"iam:ListServiceSpecificCredentials",
"iam:ListSigningCertificates",
"iam:ListUserPolicies",
"iam:ListUsers",
"iam:SetDefaultPolicyVersion",
"iam:SimulateCustomPolicy",
"iam:SimulatePrincipalPolicy",
"iam:UpdateGroup",
"iam:UpdateLoginProfile",
"iam:UpdateUser"
],
"NotResource": "arn:aws:iam::123456789012:user/Maria"
},
{
"Sid": "NoBoundaryPolicyEdit",
"Effect": "Deny",
"Action": [
"iam:CreatePolicyVersion",
"iam:DeletePolicy",
"iam:DeletePolicyVersion",
"iam:SetDefaultPolicyVersion"
],
"Resource": [
"arn:aws:iam::123456789012:policy/XCompanyBoundaries",
"arn:aws:iam::123456789012:policy/DelegatedUserBoundary"
]
},
{
"Sid": "NoBoundaryUserDelete",
"Effect": "Deny",
"Action": "iam:DeleteUserPermissionsBoundary",
"Resource": "*"
}
]
}
```
------
每個陳述式提供不同的用途:
1. `CreateOrChangeOnlyWithBoundary` 陳述式允許 Zhang 建立 IAM 使用者,但前提是他須使用 `XCompanyBoundaries` 政策來設定許可界限。此陳述式也可讓他為現有的使用者設定許可界限,但只能使用該相同政策。最後,此陳述式讓 Zhang 管理具此許可界限設定之使用者的許可政策。
1. `CloudWatchAndOtherIAMTasks` 陳述式允許 Zhang 完成其他使用者、群組和政策管理任務。其有權重設密碼,並為 `NotResource` 政策元素中未列出的任何 IAM 使用者建立存取金鑰。這可讓 Zhang 協助使用者解決登入問題。
1. `NoBoundaryPolicyEdit` 陳述式拒絕 Zhang 存取更新 `XCompanyBoundaries` 政策。他不被允許變更任何用於設定他自己或其他使用者的許可界限的政策。
1. `NoBoundaryUserDelete` 陳述式拒絕讓 Zhang 存取刪除他自己或其他使用者的許可界限。
然後,María 針對 `Zhang` 使用者將 `DelegatedUserBoundary` 政策[分派許可界限](id_users_change-permissions.md#users_change_permissions-set-boundary-console)。
**任務 3:**由於許可界限限制許可上限,但不自行授予存取權,因此 Maria 必須為 Zhang 建立許可政策。她建立以下政策,名稱為 `DelegatedUserPermissions`。此政策定義在已定義的界限內,Zhang 可以執行的操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAM",
"Effect": "Allow",
"Action": "iam:*",
"Resource": "*"
},
{
"Sid": "CloudWatchLimited",
"Effect": "Allow",
"Action": [
"cloudwatch:GetDashboard",
"cloudwatch:GetMetricData",
"cloudwatch:ListDashboards",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Sid": "S3BucketContents",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::ZhangBucket"
}
]
}
```
------
每個陳述式提供不同的用途:
1. 此政策的 `IAM` 陳述式允許 Zhang 完整存取 IAM。不過,由於他的許可界限僅允許部分的 IAM 操作,他的有效 IAM 許可僅受限於他的許可界限。
1. `CloudWatchLimited` 陳述式允許 Zhang 在 CloudWatch 中執行五個動作。他的許可界限允許 CloudWatch 中的所有動作,因此他的有效 CloudWatch 許可僅受限於他的許可政策。
1. `S3BucketContents` 陳述式允許 Zhang 列出 `ZhangBucket` Amazon S3 儲存貯體。不過,他的許可界限不允許任何 Amazon S3 動作,因此他無法執行任何 S3 操作,無論他是否有許可政策。
**注意**
Zhang 的政策允許其建立一個使用者,此使用者可存取 Zhang 無法存取的 Amazon S3 資源。透過委派這些管理動作,Maria 利用 Amazon S3 存取權以有效方式信任了 Zhang。
接著,María 將 `DelegatedUserPermissions` 政策連接為 `Zhang` 使用者的許可政策。
** 任務 4:**她提供 Zhang 有關建立新使用者的指示。她通知他可以建立具備所需的任何許可的新使用者,但他必須將 `XCompanyBoundaries` 政策指派給他們做為許可界限。
Zhang 完成下列任務:
1. Zhang 使用 建立使用者 AWS 管理主控台。他輸入使用者名稱 `Nikhil`,並啟用該使用者的主控台存取權。他清除了 **Requires password reset** (需要重設密碼) 旁的核取方塊,因為上述政策只允許使用者在登入 IAM 主控台後變更密碼。
1. 在 **Set permissions (設定許可)** 頁面上,Zhang 選擇 **IAMFullAccess** 和 **AmazonS3ReadOnlyAccess** 許可政策,允許 Nikhil 執行他的工作。
1. Zhang 忘了 María 的指示,略過 **Set permissions boundary (設定許可界限)** 區段。
1. Zhang 檢閱使用者詳細資訊,然後選擇 **Create user (建立使用者)**。
操作失敗,存取遭拒。Zhang 的 `DelegatedUserBoundary` 許可界限要求他所建立的任何使用者都將 `XCompanyBoundaries` 政策當做許可界限來使用。
1. Zhang 返回到之前的頁面。在 **Set permissions boundary (設定許可界限)** 區段中,他選擇了 `XCompanyBoundaries` 政策。
1. Zhang 檢閱使用者詳細資訊,然後選擇 **Create user (建立使用者)**。
使用者已建立。
當 Nikhil 登入時,即有權存取 IAM 和 Amazon S3,除了許可界限拒絕的那些操作之外。例如,他可以在 IAM 變更自己的密碼,但無法建立其他使用者或編輯他的政策。Nikhil 只有 Amazon S3 的讀取存取權。
如果有人將資源類型政策新增至 `logs` 儲存貯體,而讓 Nikhil 在儲存貯體中放入物件,則他仍然無法存取該儲存貯體。原因在於對 `logs` 儲存貯體執行的任何動作,均會受到其許可界限的明確拒絕。任何政策類型中的明確拒絕,都會導致請求遭到拒絕。不過,如果 Secrets Manager 秘密連接的以資源為基礎的政策允許 Nikhil 執行 – `secretsmanager:GetSecretValue`動作,則 Nikhil 可以擷取和解密該秘密。原因在於這項許可界限並未明確拒絕上述 Secrets Manager 操作,而且許可界限的隱含拒絕不會限制資源類型政策。
# 以身分為基礎和以資源為基礎的政策
政策是 中的物件, AWS 當與身分或資源建立關聯時, 會定義其許可。當您建立許可政策來限制對資源的存取時,您可以選擇*以身分為基礎的政策*或*以資源為基礎的政策*。
**以身分為基礎的政策**會連接至 IAM 使用者、群組或角色。這些政策可讓您指定該身分可以執行哪些動作 (其許可)。例如,您可以將政策連接到名為 John 的 IAM 使用者,指出他已獲允許而可執行 Amazon EC2 `RunInstances` 動作。政策可進一步指出 John 已獲允許而可從名為 `MyCompany` 的 Amazon DynamoDB 資料表中取得項目。您也可以允許 John 管理他自己的 IAM 安全憑證。以身分為基礎的政策,可以[受管理或內嵌](access_policies_managed-vs-inline.md)。
**以資源為基礎的政策**會連接至資源。例如,您可以將資源型政策連接到 Amazon S3 儲存貯體、Amazon SQS 佇列、VPC 端點、 AWS Key Management Service 加密金鑰和 Amazon DynamoDB 資料表和串流。如需有關可支援以資源為基礎之政策的服務清單,請參閱[AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)。
有了以資源為基礎的政策,您可以指定誰可以存取資源,以及他們可以在資源上執行哪些動作。若要了解在您信任區域 (受信任組織或帳戶) 外帳戶中的主體是否具有擔任您角色的許可,請參閱[什麼是 IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)。以資源為基礎的政策僅是內嵌,而不是受管理。
**注意**
*以資源為基礎的*政策不同於*資源層級*的許可。您可以將以資源為基礎的政策直接連接到本主題中所述的資源。資源層級許可代表有能力使用 [ARN](reference_identifiers.md#identifiers-arns) 在政策中指定個別的資源。只有部分 AWS 服務支援資源型政策。如需服務支援以資源為基礎的政策和資源層級許可的清單明細,請參閱[AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)。
若要了解以身分為基礎的政策和以資源為基礎的政策如何在相同帳戶內進行互動,請參閱 [單一帳戶中請求的政策評估](reference_policies_evaluation-logic_policy-eval-basics.md)。
若要了解政策如何跨帳戶互動,請參閱 [跨帳戶政策評估邏輯](reference_policies_evaluation-logic-cross-account.md)。
為了更了解這些概念,檢視這些圖表。`123456789012` 帳戶的管理員會將*以身分為基礎的政策*連接至`John`、`Carlos` 和 `Mary` 使用者。您可以對特定資源執行在這些政策中的一些動作。例如,使用者 `John` 可以對 `Resource X` 執行一些動作。這是一個在以身分為基礎政策的*資源層級許可*。管理員也將*以資源為基礎的政策*新增至 `Resource X`、`Resource Y` 和 `Resource Z`。以資源為基礎的政策允許您指定誰可以存取該資源。例如,在 `Resource X` 上以資源為基礎的政策允許 `John` 和 `Mary` 使用者列出和讀取資源的存取權。
![\[以身分為基礎和以資源為基礎的政策之比較\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/Types_of_Permissions.diagram.png)
`123456789012` 帳戶範例允許以下使用者執行所列的動作:
+ **John** – John 可以對 `Resource X` 執行列出和讀取動作。他是由以其使用者身分為基礎的政策和以資源為基礎的政策 `Resource X` 獲與此許可。
+ **Carlos** – Carlos 可以對 `Resource Y` 執行列出、讀取和寫入動作,但存取 `Resource Z` 時會遭拒。以 Carlos 之身分為基礎的政策允許可執行對 `Resource Y` 的列出和讀取動作。以 `Resource Y` 資源為基礎的政策允許擁有寫入許可。不過,雖然他的以身分為基礎的政策可允許存取 `Resource Z`,以 `Resource Z` 資源為基礎的政策會拒絕該存取。明確 `Deny`拒絕會覆寫 `Allow`,且他對 `Resource Z` 的存取會遭拒。如需詳細資訊,請參閱[政策評估邏輯](reference_policies_evaluation-logic.md)。
+ **Mary** – Mary 可以對 `Resource X`、`Resource Y` 和 `Resource Z` 執行列出、讀取和寫入操作。她的以身分為基礎的政策允許比以資源為基礎的政策對更多動作執行更多動作,但這些以資源為基礎的政策不會拒絕存取。
+ **Zhang** –Zhang 擁有對 `Resource Z` 的完整存取權。Zhang 沒有以身分為基礎的政策,但以 `Resource Z` 資源為基礎的政策可允許完整存取資源。Zhang 也可以對 `Resource Y` 執行清單和讀取動作。
以身分為基礎的政策和以資源為基礎的政策都是許可政策,且會同時受到評估。對於僅套用許可政策的請求, AWS 會先檢查 的所有政策`Deny`。如果有的話,則該請求會遭拒。然後, AWS 會檢查各個 `Allow`。如果至少有一個政策陳述式允許在請求中的動作,則該請求會受到允許。在以身分為基礎的政策中或以資源為基礎的政策中,是否有 `Allow` 並不重要。
**重要**
此邏輯僅在單一 AWS 帳戶內做出該請求時適用。對於從一個帳戶對另一個帳戶所做的請求,在 `Account A` 中的請求者必須擁有以身分為基礎的政策,該政策能允許對 `Account B` 中的資源做出請求。此外,在 `Account B` 中以資源為基礎的政策,必須允許在 `Account A` 中的請求者存取資源。兩個帳戶中均須有允許操作的政策,否則請求會失敗。如需有關使用跨帳戶存取之以資源為基礎的政策詳細資訊,請參閱 [IAM 中的跨帳戶資源存取](access_policies-cross-account-resource-access.md)。
具有特定許可的使用者可能請求資源,而該資源也有連接許可政策。在這種情況下, 會在決定是否授予對資源的存取權時, AWS 評估兩組許可。如需有關如何評估政策的詳細資訊,請參閱[政策評估邏輯](reference_policies_evaluation-logic.md)。
**注意**
Amazon S3 支援以身分為基礎的政策和以資源為基礎的政策 (稱為*儲存貯體政策*)。此外,Amazon S3 支援許可機制稱為*存取控制清單 (ACL)*,其為獨立的 IAM 政策和許可。您可以合併使用 IAM 政策與 Amazon S3 ACL。如需詳細資訊,請參閱 *Amazon Simple Storage Service 使用者指南*中的[存取控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAuthAccess.html) 。
# 使用 政策控制對 AWS 資源的存取
您可以使用政策來控制對 IAM 或所有資源的存取 AWS。
若要使用[政策](access_policies.md)來控制 中的存取 AWS,您必須了解 如何 AWS 授予存取。 AWS 由 *資源*集合組成。IAM 使用者即為資源。Amazon S3 儲存貯體即為資源。當您使用 AWS API AWS CLI、 或 AWS 管理主控台 來執行 操作 (例如建立使用者) 時,您會傳送該操作的*請求*。您的請求指定動作、資源、*主體實體* (使用者或角色)、*主體帳戶*,以及所需的任何請求資訊。所有這些資訊提供了*上下文*。
AWS 然後檢查您 (委託人) 是否經過身分驗證 (登入) 和授權 (具有許可),以對指定的資源執行指定的動作。在授權期間, 會 AWS 檢查適用於請求內容的所有政策。大多數政策會以 [JSON 文件](access_policies.md#access_policies-json) AWS 形式存放在 中,並指定委託人實體的許可。如需有關政策類型及其使用的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)。
AWS 只有在政策允許請求的每個部分時, 才會授權請求。若要檢視此程序的圖表,請參閱 [IAM 的運作方式](intro-structure.md)。如需如何 AWS 判斷是否允許請求的詳細資訊,請參閱 [政策評估邏輯](reference_policies_evaluation-logic.md)。
當您建立 IAM 政策時,可以控制對下列項目的存取:
+ **[主體](#access_controlling-principals)** – 控制允許發出請求的人員 ([主體](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)) 執行哪些操作。
+ **[IAM 身分](#access_controlling-identities)**:控制哪些 IAM 身分 (IAM 群組、使用者與角色) 可被存取以及存取的方法。
+ **[IAM政策](#access_controlling-policies)** – 控制哪些使用者可以建立、編輯和刪除客戶受管政策,以及哪些使用者可以連接和分開所有受管政策。
+ **[AWS 資源](#access_controlling-resources)** – 控制哪些使用者有權使用以身分為基礎的政策或以資源為基礎的政策來存取資源。
+ **[AWS 帳戶](#access_controlling-principal-accounts)** – 控制是否僅允許特定帳戶的成員發出請求。
政策可讓您指定誰可以存取 AWS 資源,以及他們可以對這些資源執行哪些動作。每個 IAM 使用者在開始時都沒有許可。換言之,在預設狀態下,使用者無法執行任何動作,甚至不能查看自己的存取金鑰。若要為使用者授予執行某些操作的許可,您可以為使用者新增許可 (也就是將政策連接到使用者)。或者,您可以將使用者加入到具有預期的許可的使用者群組中。
例如,您可能授予使用者列出自己的存取金鑰的許可。您可能擴展該許可,並讓每位使用者建立、更新和刪除自己的索引鍵。
當您授予一個使用者群組許可時,使用者群組內的全部使用者都會獲得那些許可。例如,您可以授予管理員使用者群組許可,以對任何 AWS 帳戶 資源執行任何 IAM 動作。另一個範例:您可以授予 Managers 使用者群組描述 AWS 帳戶的 Amazon EC2 執行個體的許可。
有關如何委託基本許可給使用者、IAM 群組和角色的資訊,請參閱[存取 IAM 資源所需的許可](access_permissions-required.md)。有關說明基本許可的其他政策範例,請參閱 [管理 IAM 資源的政策範例](id_credentials_delegate-permissions_examples.md)。
## 控制主體的存取許可
您可以使用政策,控制允許發出請求的人員 (主體) 執行哪些操作。若要執行此操作,您必須將以身分為基礎的政策連接到此人的身分 (使用者、使用者群組或角色)。您也可以使用[許可界限](access_policies_boundaries.md),設定實體 (使用者或角色) 可擁有的最大許可。
例如,假設您希望使用者 Zhang Wei 能夠完整存取 CloudWatch、Amazon DynamoDB、Amazon EC2 和 Amazon S3。您可以建立兩個不同的政策,以便以後其他使用者需要一組許可時為其分配其中的一個政策。或者,您可以將兩個許可放在單一政策中,然後將該政策連接到名為 Zhang Wei 的 IAM 使用者。您還可以將一個政策連接到 Zhang 所屬的使用者群組,或者連接到 Zhang 可以擔任的角色。因此,在 Zhang 查看 S3 儲存貯體內容時,會允許他的請求。如果他嘗試建立新的 IAM 使用者,他的請求會被拒絕,因為他未獲許可。
您可以在 Zhang 身上使用許可界限,確定他絕對不會被授予 `amzn-s3-demo-bucket1` S3 儲存貯體存取權。若要執行此操作,請決定您希望 Zhang 擁有的許可*上限*。在這種情況下,您可以控制他使用許可政策做哪些事。在這裡,您只在意他不會存取機密儲存貯體。因此,您可以使用下列政策來定義 Zhang 的界限,以允許 Amazon S3 和其他一些服務的所有 AWS 動作,但拒絕存取 `amzn-s3-demo-bucket1` S3 儲存貯體。由於許可界限不允許任何 IAM 動作,如此可防止 Zhang IAM 刪除他 (或任何人的) 界限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PermissionsBoundarySomeServices",
"Effect": "Allow",
"Action": [
"cloudwatch:*",
"dynamodb:*",
"ec2:*",
"s3:*"
],
"Resource": "*"
},
{
"Sid": "PermissionsBoundaryNoConfidentialBucket",
"Effect": "Deny",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
]
}
]
}
```
------
當您針對使用者指派像這類許可界限的政策時,請記得,並沒有授予任何許可。它負責設定以身分為基礎的政策可為 IAM 實體授予的最大許可。如需有關許可界限的詳細資訊,請參閱 [IAM 實體的許可界限](access_policies_boundaries.md)。
如需之前所述的程序詳細資訊,請參考以下資源:
+ 若要進一步了解有關建立可連接到主體的 IAM 政策的資訊,請參閱 [使用客戶管理政策定義自訂 IAM 許可](access_policies_create.md)。
+ 若要了解將 IAM 政策連接到主體的方法,請參閱 [新增和移除 IAM 身分許可](access_policies_manage-attach-detach.md)。
+ 若要查看授予 EC2 完全存取許可的範例政策,請參閱 [Amazon EC2:允許在特定區域內,以程式設計方式和在主控台進行 EC2 完全存取](reference_policies_examples_ec2_region.md)。
+ 允許對 S3 儲存貯體進行唯讀存取,請使用以下範例政策的前兩個說明:[Amazon S3:允許以程式設計方式和在主控台以讀取和寫入存取 S3 儲存貯體中的物件](reference_policies_examples_s3_rw-bucket-console.md)。
+ 查看範例政策,以便讓使用者設定其憑證,例如其主控台密碼、程式設計存取金鑰及 MFA 裝置,請參閱 [AWS:允許經過 MFA 驗證的 IAM 使用者在「安全憑證」頁面中管理其憑證。](reference_policies_examples_aws_my-sec-creds-self-manage.md)。
## 控制對身分的存取
您可以透過使用者群組來建立連接到使用者的 IAM 政策,以使用該政策控制您的所有使用者可對某個身分執行哪些操作。若要執行此操作,請建立一個政策以限制可對某個身分執行哪些操作,以及哪些使用者可以存取該身分。
例如,您可以建立一個名為 **AllUsers** 的使用者群組,然後將該使用者群組連接到所有使用者。在建立該使用者群組時,您可以為所有使用者授予存取權限以設定其憑證,如前一節中所述。然後,您可以建立一個政策,以便拒絕存取以禁止更改該使用者群組,除非在政策條件中包含使用者名稱。但是,該政策部分僅拒絕列出的使用者以外的任何人進行存取。您也必須包含許可權,以允許該使用者群組中的所有使用者可執行所有使用者群組管理動作。最後,將該政策連接到該使用者群組,以便將其套用於所有使用者。因此,在政策中未指定的使用者嘗試更改該使用者群組時,將拒絕請求。
**若要使用視覺化編輯器來建立此政策**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
如果這是您第一次選擇 **Policies (政策)**,將會顯示 **Welcome to Managed Policies (歡迎使用受管政策)** 頁面。選擇 **Get Started (開始使用)**。
1. 選擇**建立政策**。
1. 在**政策編輯器**區段中,選擇**視覺化**選項。
1. 在**選擇服務**中,選擇 **IAM**。
1. 在**允許的動作**中,在搜尋方塊中輸入 **group**。視覺化編輯器將顯示所有包含 `group` 一詞的 IAM 動作。選取所有核取方塊。
1. 選擇 **Resources (資源)** 來為您的政策指定資源。根據您所選的動作,應會看到**群組**和**使用者**資源類型。
+ **群組** – 選擇**新增 ARN**。針對**資源位於**,選取**任何帳號**選項。選取**任何具有路徑的群組名稱**核取方塊,然後輸入使用者群組名稱 **AllUsers**。接著選擇**新增 ARN**。
+ **使用者**:選取**此帳戶中的任何**旁的核取方塊。
您選擇的操作之一 (`ListGroups`) 不支援使用特定的資源。您不需要為該動作選擇 **All resources (所有資源)**。在 **JSON** 編輯器中儲存或查看您的政策時,您可以看到 IAM 自動建立新的許可區塊,以便為所有資源授予該動作的許可。
1. 若要新增其他許可區塊,請選擇**新增更多許可**。
1. 選擇**選取服務**,然後選擇 **IAM**。
1. 選擇**允許的動作**,然後選擇**切換為拒絕許可**。在執行該操作時,將使用整個區塊來拒絕許可。
1. 在搜尋方塊中,輸入 **group**。視覺化編輯器將顯示所有包含 `group` 一詞的 IAM 動作。選取下列動作旁的核取方塊:
+ **CreateGroup**
+ **DeleteGroup**
+ **RemoveUserFromGroup**
+ **AttachGroupPolicy**
+ **DeleteGroupPolicy**
+ **DetachGroupPolicy**
+ **PutGroupPolicy**
+ **UpdateGroup**
1. 選擇 **Resources (資源)** 來為您的政策指定資源。根據您所選的動作,應會看到**群組**資源類型。選擇**新增 ARN**。針對**資源位於**,選取**任何帳號**選項。針對**任何具有路徑的群組名稱**,輸入使用者群組名稱 **AllUsers**。接著選擇**新增 ARN**。
1. 選擇**請求條件 - *選用***,然後選擇**新增另一個條件**。以下列的值來完成表單:
+ **條件金鑰** - 選擇 **aws:使用者名稱**
+ **Qualifier** (限定詞) – 選擇 **Default** (預設)
+ **Operator** (運算子) – 選擇 **StringNotEquals**
+ **值** – 輸入 **srodriguez** 然後選擇**新增**,以新增另一個值。輸入 **mjackson**,然後選擇**新增**,以新增另一個值。輸入 **adesai**,然後選擇**新增條件**。
在清單中不包含進行呼叫的使用者時,該條件將確認拒絕存取指定的使用者群組管理動作。由於這會明確拒絕許可權,它將覆寫前面允許這些使用者呼叫這些操作的區塊。不會拒絕清單中的使用者進行存取,並在第一個許可區塊中為他們授予許可,因此,他們可以完全管理該使用者群組。
1. 完成時,選擇 **Next (下一步)**。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器選項中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. 在**檢視與建立**頁面上,針對**政策名稱**輸入 **LimitAllUserGroupManagement**。針對 **Description (描述)**,輸入 **Allows all users read-only access to a specific user group, and allows only specific users access to make changes to the user group**。檢視**該政策中定義的許可**,來確認您已授予想要的許可。然後選擇 **Create policy (建立政策)** 來儲存您的新政策。
1. 將政策連接到您的使用者群組。如需詳細資訊,請參閱 [新增和移除 IAM 身分許可](access_policies_manage-attach-detach.md)。
或者,您也可以使用該範例 JSON 政策文件建立相同的政策。若要檢視此 JSON 政策,請參閱 [IAM:允許特定 IAM 使用者以程式設計方式在主控台中管理群組](reference_policies_examples_iam_users-manage-group.md)。如需關於使用 JSON 文件來建立政策的詳細說明,請參閱 [正在使用 JSON 編輯器建立政策](access_policies_create-console.md#access_policies_create-json-editor)。
## 控制對政策的存取
您可以控制使用者如何套用 AWS 受管政策。若要執行此操作,請將該政策連接到您的所有使用者。理想情況下,您可以使用使用者群組執行該操作。
例如,您可以建立一個政策,允許使用者只將 [IAMUserChangePassword](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/IAMUserChangePassword) 和 [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/PowerUserAccess) AWS 受管政策連接到新的 IAM 使用者、使用者群組或角色。
對於客戶受管政策,您可以控制哪些使用者可以建立、更新和刪除這些政策。您可以控制哪些使用者可以將政策附加到主體實體 (IAM 群組、使用者和角色) 以及將政策從主體實體中分離。您也可以控制使用者可以對哪些實體連接或分開哪些政策。
例如,您可以為帳戶管理員授予許可以建立、更新和刪除政策。然後,您可以為小組負責人或其他有限管理員授予許可,以便將這些政策連接到該有限管理員管理的主體實體以及將這些政策從這些主體實體中分開。
如需詳細資訊,請參閱下列資源:
+ 若要進一步了解有關建立可連接到主體的 IAM 政策的資訊,請參閱 [使用客戶管理政策定義自訂 IAM 許可](access_policies_create.md)。
+ 若要了解將 IAM 政策連接到主體的方法,請參閱 [新增和移除 IAM 身分許可](access_policies_manage-attach-detach.md)。
+ 若要查看限制使用受管政策的範例政策,請參閱 [IAM:限制可套用至 IAM 使用者、群組或角色的受管政策](reference_policies_examples_iam_limit-managed.md)。
### 控制建立、更新和刪除客戶受管政策的許可
您可以使用 [IAM 政策](access_policies.md)控制誰有權在您的 AWS 帳戶中建立、更新和刪除客戶管理政策。以下清單包含與建立、更新和刪除政策或政策版本直接相關的 API 操作:
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)
+ [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)
+ [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)
+ [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)
+ [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)
上述清單中的 API 操作對應於可使用 IAM 政策允許或拒絕的操作 — 也就是您可以授予的許可。
請考量下列範例政策。允許使用者建立、更新 (即建立新的政策版本)、刪除 AWS 帳戶中的所有客戶管理政策以及設定這些政策的預設版本。該範例政策還允許該使用者列出政策並獲取政策。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 [正在使用 JSON 編輯器建立政策](access_policies_create-console.md#access_policies_create-json-editor)。
**Example 允許建立、更新、刪除、列出、獲取所有政策以及設定這些政策的預設版本的政策範例**
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicy",
"iam:DeletePolicyVersion",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:ListPolicies",
"iam:ListPolicyVersions",
"iam:SetDefaultPolicyVersion"
],
"Resource": "*"
}
}
```
您可以建立限制使用這些 API 操作的政策以僅影響指定的受管政策。例如,您可能希望允許使用者設定預設版本和刪除政策版本,但是僅允許針對特定客戶受管政策執行這些操作。運用在授予這些許可權的政策的 `Resource` 元素中指定政策 ARN,可實現此目的。
以下範例顯示的政策,可讓使用者刪除政策版本,並設定預設版本。但是,這些動作只允許用於客戶受管政策,其包含路徑 /TEAM-A/。客戶受管政策 ARN 是在政策的 `Resource` 元素中指定 (在此範例中,ARN 包含一個路徑和一個萬用字元,因而可配對包含路徑 /TEAM-A/ 的所有客戶受管政策)。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 [正在使用 JSON 編輯器建立政策](access_policies_create-console.md#access_policies_create-json-editor)。
如需有關如何使用該範例 JSON 政策文件建立政策,請參閱 [易用名稱和路徑](reference_identifiers.md#identifiers-friendly-names)。
**Example 僅允許針對特定政策刪除政策版本和設定預設版本的政策範例**
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:DeletePolicyVersion",
"iam:SetDefaultPolicyVersion"
],
"Resource": "arn:aws:iam::111122223333:policy/TEAM-A/*"
}
}
```
### 控制連接和分開受管政策的許可
您還可以使用 IAM 政策僅允許使用者使用特定的受管政策。實際上,您可以控制允許使用者為其他主體實體授予哪些許可。
以下清單顯示與將受管政策連接到主體實體以及從中分開直接相關的 API 操作:
+ [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
+ [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)
+ [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
+ [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
+ [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)
+ [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)
您可以建立限制使用這些 API 操作的政策以僅影響特定的受管政策與/或您指定的主體實體。例如,您可能希望允許使用者連接受管政策,但是只能連接您指定的受管政策。或者,您可能希望允許使用者連接受管政策,但是只能連接到您指定的主體實體。
以下範例政策僅允許使用者將受管政策附加到包含路徑 /TEAM-A/ 的 IAM 群組和角色。使用者群組和角色 ARN 是在政策的 `Resource` 元素中指定的。(在此範例中,ARN 包含一個路徑和一個萬用字元,因而與包含路徑 /TEAM-A/ 的所有 IAM 群組和角色配對。) 若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 [正在使用 JSON 編輯器建立政策](access_policies_create-console.md#access_policies_create-json-editor)。
**Example 僅允許將受管政策連接到特定使用者群組或角色的政策範例**
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy"
],
"Resource": [
"arn:aws:iam::111122223333:group/TEAM-A/*",
"arn:aws:iam::111122223333:role/TEAM-A/*"
]
}
}
```
您可以進一步限制前面範例中的動作,讓它僅影響特定的政策。也就是,透過在政策中新增條件,您可以控制允許使用者連接到其他主體實體的許可。
以下範例中的條件可確保只有在連接的政策與指定政策之一配對時才允許 `AttachGroupPolicy` 與 `AttachRolePolicy` 許可。條件使用`iam:PolicyARN` [條件金鑰](reference_policies_elements_condition.md)來決定要連接哪個政策或哪些政策。以下範例政策延伸之前的範例。其允許使用者僅將包含路徑 /TEAM-A/ 的受管政策連接到包含路徑 /TEAM-A/ 的 IAM 群組和角色。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 [正在使用 JSON 編輯器建立政策](access_policies_create-console.md#access_policies_create-json-editor)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy"
],
"Resource": [
"arn:aws:iam::111122223333:group/TEAM-A/*",
"arn:aws:iam::111122223333:role/TEAM-A/*"
],
"Condition": {
"ArnLike": {
"iam:PolicyARN": "arn:aws:iam::111122223333:policy/TEAM-A/*"
}
}
}
}
```
------
本政策使用 `ArnLike` 條件運算子,但也可以使用 `ArnEquals` 條件運算子,因為這兩個條件運算子執行相同的操作。如需有關 `ArnLike` 與 `ArnEquals` 的詳細資訊,請參閱《政策元素參考》***條件類型*章節中的 [Amazon Resource Name (ARN) 條件運算子](reference_policies_elements_condition_operators.md#Conditions_ARN)。
例如,您可以限制使用操作以僅涉及指定的受管政策。運用在授予這些許可權的政策的 `Condition` 元素中指定政策 ARN,可實現此目的。例如,指定客戶受管政策的 ARN:
```
"Condition": {"ArnEquals":
{"iam:PolicyARN": "arn:aws:iam::123456789012:policy/POLICY-NAME"}
}
```
您也可以在政策的 `Condition`元素中指定 AWS 受管政策的 ARN。 AWS 受管政策的 ARN 使用政策 ARN `aws`中的特殊別名,而不是帳戶 ID,如本範例所示:
```
"Condition": {"ArnEquals":
{"iam:PolicyARN": "arn:aws:iam::aws:policy/AmazonEC2FullAccess"}
}
```
## 控制資源的存取許可
您可以控制哪些使用者有權使用以身分為基礎的政策或以資源為基礎的政策來存取資源。在以身分為基礎的政策中,您將政策連接到一個身分並指定該身分可以存取哪些資源。在以資源為基礎的政策中,您將政策連接到要控制的資源。在該政策中,您指定哪些主體可以存取該資源。如需有關兩種政策類型的詳細資訊,請參閱 [以身分為基礎和以資源為基礎的政策](access_policies_identity-vs-resource.md)。
如需詳細資訊,請參閱下列資源:
+ 若要進一步了解有關建立可連接到主體的 IAM 政策的資訊,請參閱 [使用客戶管理政策定義自訂 IAM 許可](access_policies_create.md)。
+ 若要了解將 IAM 政策連接到主體的方法,請參閱 [新增和移除 IAM 身分許可](access_policies_manage-attach-detach.md)。
+ Amazon S3 支援在儲存貯體上使用以資源為基礎的政策。如需詳細資訊,請參閱[儲存貯體政策範例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html)。
**資源建立者不會自動擁有許可**
如果您使用 AWS 帳戶根使用者 登入資料登入,則有權對屬於該帳戶的資源執行任何動作。但是,對 IAM 使用者來說並非如此。IAM 使用者可以獲得建立資源的許可,但即使對於該資源,該使用者許可也僅限於明確授予的內容。這表示您不會只因為建立資源 (如 IAM 角色) 就自動具有編輯或刪除該角色的許可。此外,帳戶擁有者或有權管理您的許可的其他使用者可以隨時撤銷您的許可。
## 控制對特定帳戶中的主體的存取
您可以直接向自己帳戶中的 IAM 使用者授予對您的資源的存取權限。如果來自另一個帳戶的使用者需要存取您的資源,您可以建立 IAM 角色。角色是一個實體,其中包含許可,但不與特定使用者關聯。然後,其他帳戶中的使用者可以擔任該角色,並根據您為該角色分配的許可存取資源。如需詳細資訊,請參閱 [在您擁有的另一個 IAM 使用者中 AWS 帳戶 存取](id_roles_common-scenarios_aws-accounts.md)。
**注意**
部分服務支援以資源為基礎的政策,如 [以身分為基礎和以資源為基礎的政策](access_policies_identity-vs-resource.md) (例如 Amazon S3、Amazon SNS 和 Amazon SQS) 中所述。對於這些服務,使用角色的替代方法是將政策連接到您要共用的資源 (儲存貯體、主題或佇列)。以資源為基礎的政策可以指定具有資源存取許可 AWS 的帳戶。
# 使用標籤控制對 IAM 使用者和角色的存取
使用以下區段中的資訊來控制可以存取 IAM 使用者和角色的人員,以及使用者和角色可以存取的資源。如需控制其他 AWS 資源存取的一般資訊和範例,包括其他 IAM 資源,請參閱 [AWS Identity and Access Management 資源的標籤](id_tags.md)。
**注意**
如需有關標籤索引鍵和標籤索引鍵值區分大小寫的詳細資訊,請參閱 [Case sensitivity](id_tags.md#case-sensitivity)。
您可以將標籤連接至 IAM *資源*、傳遞至*請求*,或連接至提出請求的*主體*。IAM 使用者或角色可以同時是資源和主體。例如,您可以編寫政策,此政策會允許使用者列出使用者的群組。只有在發出請求的使用者 (主體) 擁有與其嘗試檢視的使用者相同的 `project=blue` 標籤時,才允許此操作。在這個範例中,只要使用者處理的是同一個專案,他們就可以檢視任何使用者 (包括自己) 的群組成員資格。
若要根據標籤控制存取,則在政策的[條件元素](reference_policies_elements_condition.md)中提供標籤資訊。建立 IAM 政策時,您可以使用 IAM 標籤與關聯的標籤條件索引鍵,以控制下列任何項目的存取權:
+ **[資源](access_tags.md#access_tags_control-resources)** – 根據使用者或角色資源的標籤控制對這些資源的存取權。若要執行此操作,請使用 **aws:ResourceTag/*key-name*** 條件金鑰,以指定必須連接到該資源的標籤鍵/值組。如需詳細資訊,請參閱 [控制對 AWS 資源的存取](access_tags.md#access_tags_control-resources)。
+ **[請求](access_tags.md#access_tags_control-requests)** – 控制您可以在 IAM 請求條件中傳遞哪些標籤。若要執行此操作,請使用 **aws:RequestTag/*key-name*** 條件金鑰,來指定可以從 IAM 使用者或角色新增、變更或移除哪些標籤。此金鑰用於 IAM 資源和其他 AWS 資源的方式相同。如需詳細資訊,請參閱[在 AWS 請求期間控制存取](access_tags.md#access_tags_control-requests)。
+ **[主體](#access_iam-tags_control-principals)** – 根據連接至該人員 IAM 使用者或角色的標籤,控制提出請求的人員 (主體) 可執行的操作。若要執行此操作,請使用 **aws:PrincipalTag/*key-name*** 條件金鑰來指定必須將哪些標籤連接至 IAM 使用者或角色,然後該請求才能獲得允許。
+ **[授權程序的任何部分](#access_iam-tags_control-tag-keys)**:使用 **aws:TagKeys** 條件索引鍵,以控制特定標籤鍵是否可用於請求中,或是否可由主體使用。在此情況下,此鍵值無關緊要。此金鑰對 IAM 和其他 AWS 服務的行為類似。不過,當您在 IAM 中標記使用者時,這也會控制主體是否可以對任何服務發出請求。如需詳細資訊,請參閱 [根據標籤索引鍵控制存取權限](access_tags.md#access_tags_control-tag-keys)。
您可以使用視覺編輯器、使用 JSON,或匯入現有的受管政策,來建立 IAM 政策。如需詳細資訊,請參閱[使用客戶管理政策定義自訂 IAM 許可](access_policies_create.md)。
**注意**
您也可以在擔任 IAM 角色或與使用者聯合身分時傳遞[工作階段標籤](id_session-tags.md)。這些標籤僅在工作階段的時長內有效。
## 控制 IAM 主體的存取權限
您可以根據在該人員身分中連接的標籤,控制主體可執行的操作。
此範例會示範如何建立身分型政策,允許此帳戶中的任何使用者檢視任何使用者的群組成員資格,包括他們自己,只要他們正在處理同一個專案。只有在使用者的資源標籤和主體的標籤具有相同標籤鍵值 `project` 時,才允許此操作。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "iam:ListGroupsForUser",
"Resource": "arn:aws:iam::111222333444:user/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
}
}]
}
```
------
## 根據標籤索引鍵控制存取權限
您可以在 IAM 政策中使用標籤,以控制是否可在請求中使用特定標籤鍵,或是否可由主體使用特定標籤鍵。
此範例會示範如何建立身分型政策,僅允許從使用者中刪除具有 `temporary` 索引鍵的標籤。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "iam:UntagUser",
"Resource": "*",
"Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}}
}]
}
```
------
# 使用標籤控制對 AWS 資源的存取
您可以使用標籤來控制對支援標記之 AWS 資源的存取,包括 IAM 資源。您可以標記 IAM 使用者和角色,來控制他們可以存取的內容。若要了解如何標記 IAM 使用者和角色,請參閱 [AWS Identity and Access Management 資源的標籤](id_tags.md)。此外,您可以控制對下列 IAM 資源的存取:客戶管理政策、IAM 身分提供者、執行個體設定檔、伺服器憑證和虛擬 MFA 裝置。若要檢視建立和測試允許具有主體標籤的 IAM 角色政策,以相符標籤存取資源的教學,請參閱 [IAM 教學課程:定義根據標籤存取 AWS 資源的許可](tutorial_attribute-based-access-control.md)。使用下一節中的資訊來控制對其他 AWS 資源的存取,包括 IAM 資源,而無需標記 IAM 使用者或角色。
使用標籤控制對 AWS 資源的存取之前,您必須了解 如何 AWS 授予存取。 AWS 由*資源*集合組成。Amazon EC2 執行個體是一種資源。Amazon S3 儲存貯體即為資源。您可以使用 AWS API AWS CLI、 或 AWS 管理主控台 來執行 操作,例如在 Amazon S3 中建立儲存貯體。當您這麼做時,您會為該操作傳送*請求*。您的請求指定動作、資源、*主體實體* (使用者或角色)、*主體帳戶*,以及所需的任何請求資訊。所有這些資訊提供了*上下文*。
AWS 然後檢查您 (委託人實體) 是否經過身分驗證 (登入) 和授權 (具有許可),以對指定的資源執行指定的動作。在授權期間, 會 AWS 檢查適用於請求內容的所有政策。大多數政策會以 [JSON 文件](access_policies.md#access_policies-json) AWS 形式存放在 中,並指定委託人實體的許可。如需有關政策類型及其使用的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)。
AWS 只有在政策允許請求的每個部分時, 才會授權請求。若要查看圖表和進一步了解 IAM 基礎設施的詳細資訊,請參閱 [IAM 的運作方式](intro-structure.md)。有關 IAM 如何決定是否允許請求的詳細資訊,請參閱 [政策評估邏輯](reference_policies_evaluation-logic.md)。
標籤是這個程序中的另一項考慮因素,因為您可以將標籤連接到*資源*或在*請求*中將標籤傳遞至支援標籤的服務。若要根據標籤控制存取,則在政策的[條件元素](reference_policies_elements_condition.md)中提供標籤資訊。若要了解 AWS 服務是否支援使用標籤控制存取,請參閱 **ABAC** 欄中的 [AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)並尋找具有**是**的服務。選擇服務的名稱,以檢視該服務的授權和存取控制文件。
然後,您可以建立 IAM 政策,這類政策可根據該資源的標籤允許或拒絕對某資源的存取。在該政策中,您可以使用標籤條件金鑰,以控制執行下列項目的存取權:
+ **[資源](#access_tags_control-resources)** – 根據這些資源上的標籤控制對 AWS 服務資源的存取。若要執行此操作,請使用 **aws:ResourceTag/*key-name*** 條件索引鍵,以判斷是否允許根據連接到資源的標籤來存取資源。
+ **[請求](#access_tags_control-requests)** – 控制您可以在請求中傳遞哪些標籤。若要執行此操作,請使用 **aws:RequestTag/*key-name*** 條件金鑰,指定可以在請求中傳遞哪些標籤鍵/值組來標記 AWS 資源。
+ **[授權程序的任何部分](#access_tags_control-tag-keys)**:使用 **aws:TagKeys** 條件鍵,以控制特定標籤鍵是否可用於請求中。
您可以使用 JSON,或匯入現有的受管政策,透過視覺化的方式來建立 IAM 政策。如需詳細資訊,請參閱[使用客戶管理政策定義自訂 IAM 許可](access_policies_create.md)。
**注意**
如果使用者有權使用建立資源的動作,部分服務允許使用者在建立資源時指定標籤。
## 控制對 AWS 資源的存取
您可以使用 IAM 政策中的條件,根據該 AWS 資源上的標籤來控制對資源的存取。作法是使用全域 `aws:ResourceTag/tag-key` 條件金鑰,或服務特定索引鍵。某些服務僅支援此索引鍵的服務特定版本,而不支援全域版本。
**警告**
請勿嘗試透過標記角色,然後使用政策中的 `ResourceTag` 條件金鑰搭配 `iam:PassRole` 動作來控制誰可以傳遞角色。這種方法所產生的結果並不可靠。如需有關傳遞角色至服務之必要許可的詳細資訊,請參閱 [授予使用者將角色傳遞至 AWS 服務的許可](id_roles_use_passrole.md)。
此範例會示範如何建立身分型政策,它允許啟動或停止 Amazon EC2 執行個體。只有在 `Owner` 執行個體標籤具有使用者名稱值時,才允許這些操作。此政策定義了程式設計和主控台存取的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
},
{
"Effect": "Allow",
"Action": "ec2:DescribeInstances",
"Resource": "*"
}
]
}
```
------
您可以將此政策連接到您帳戶中的 IAM 使用者。如果使用者指定 `richard` 嘗試啟動 Amazon EC2 執行個體,您必須為該執行個體加上標籤 `Owner=richard` 或 `owner=richard`。否則,他將會收到存取遭拒。標籤鍵 `Owner` 同時符合 `Owner` 和 `owner`,因為條件金鑰名稱不區分大小寫。如需詳細資訊,請參閱[IAM JSON 政策元素:Condition](reference_policies_elements_condition.md)。
此範例會示範如何建立在資源 ARN 中使用 `team` 主體標籤的身分型政策。該政策會授與刪除 Amazon Simple Queue Service 佇列的許可,但前提是佇列名稱必須以團隊名稱為開頭,並在後面接著 `-queue`。例如,`qa-queue` if `qa` 是 `team` 主體標籤的團隊名稱。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "AllQueueActions",
"Effect": "Allow",
"Action": "sqs:DeleteQueue",
"Resource": "arn:aws:sqs:us-east-2:111122223333:${aws:PrincipalTag/team}-queue"
}
}
```
------
## 在 AWS 請求期間控制存取
您可以使用 IAM 政策中的條件來控制哪些標籤鍵值對可以在將標籤套用至 AWS 資源的請求中傳遞。
此範例會示範如何建立身分型政策,它允許使用 Amazon EC2 `CreateTags` 動作以將標籤連接至執行個體。只有在標籤包含 `environment` 金鑰和 `preprod` 或 `production` 值時,您才能連接標籤。您可以視需要將 `ForAllValues` 修飾詞與 `aws:TagKeys` 條件金鑰搭配使用,表示只允許在請求中使用 `environment` 索引鍵。這會使得使用者無法包含其他金鑰,例如意外使用 `Environment` 而非 `environment`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": [
"preprod",
"production"
]
},
"ForAllValues:StringEquals": {"aws:TagKeys": "environment"}
}
}
}
```
------
## 根據標籤索引鍵控制存取權限
您可以在 IAM 政策中使用條件,以控制是否可在請求中使用特定標籤鍵。
我們建議您使用政策來控制使用標籤的存取時,請使用 [`aws:TagKeys`條件金鑰](reference_policies_condition-keys.md#condition-keys-tagkeys)。支援標籤的 AWS 服務可能允許您建立多個標籤金鑰名稱,這些名稱僅因案例而異,例如使用 `stack=production`和 標記 Amazon EC2 執行個體`Stack=test`。鍵名稱在政策條件中不區分大小寫。這表示如果您在政策的條件元素中指定 `"aws:ResourceTag/TagKey1": "Value1"`,則該條件會符合名為 `TagKey1` 或 `tagkey1` 的資源標籤鍵 (但不會同時符合兩者)。未免出現鍵大小寫差異導致的重複標籤,請使用 `aws:TagKeys` 條件來定義使用者可以套用的標籤鍵,或使用 AWS Organizations提供的標籤政策。如需詳細資訊,請參閱 *AWS Organizations User Guide* 中的 [Tag Policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)。
此範例會示範如何建立身分型政策,它允許建立和標記 Secrets Manager 密碼,但僅能使用標籤索引鍵 `environment` 或 `cost-center`。`Null` 條件可確保如果請求中沒有標籤,條件將評估為 `false`。
```
{
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"environment",
"cost-center"
]
}
}
}
```
# IAM 中的跨帳戶資源存取
對於某些 AWS 服務,您可以使用 IAM 授予 資源的跨帳戶存取權。若要執行此操作,您可將直接將資源政策連接到您要分享的資源,或將角色用作代理。
若要直接分享資源,您要分享的資源必須支援[資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-resource-based-policies)。與角色的身分型政策不同,資源型政策指定誰 (主體) 可以存取該資源。
如果想要存取不支援資源型政策之其他帳戶中的資源,則請將角色用作代理。
如需有關這些政策類型之間差異的詳細資訊,請參閱 [以身分為基礎和以資源為基礎的政策](access_policies_identity-vs-resource.md)。
**注意**
IAM 角色和資源型政策只會在單一分割內跨帳戶委派存取許可。例如,您在標準 `aws` 分割區的美國西部 (加利佛尼亞北部) 中有一個帳戶。您在 `aws-cn` 分割區的中國也有一個帳戶。您無法在中國的帳戶中使用資源型政策,以允許標準 AWS 帳戶中的使用者存取 。
## 使用角色進行跨帳戶存取
並非所有 AWS 服務都支援以資源為基礎的政策。對於這些服務,在向多個服務提供跨帳户存取權時,可以使用跨帳戶 IAM 角色集中管理許可。跨帳戶 IAM 角色是一種 IAM 角色,其中包含[信任政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#term_trust-policy),允許另一個 AWS 帳戶中的 IAM 主體擔任該角色。簡單來說,您可以在一個 AWS 帳戶中建立角色,將特定許可委派給另一個 AWS 帳戶。
如需有關將政策連接至 IAM 身分的資訊,請參閱 [管理 IAM 政策](access_policies_manage.md)。
**注意**
當主體切換到某個角色以暫時使用角色的許可時,他們會放棄其原始許可,並接受指派給他們假設之角色的許可。
讓我們看一下整體流程,因為其適用於需要存取客戶帳戶的 APN 合作夥伴軟體。
1. 客戶在自己的帳戶中使用政策建立 IAM 角色,以允許存取 APN 合作夥伴所需的 Amazon S3 資源。在此範例中,角色名稱為 `APNPartner`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
1. 然後,客戶透過在角色的[信任政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)中提供 APN 合作夥伴的 AWS 帳戶 ID,指定`APNPartner`該角色可由合作夥伴 AWS 的帳戶擔任。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/APN-user-name"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 客戶將角色的 Amazon Resource Name (ARN) 提供給 APN 合作夥伴。ARN 是角色的完整名稱。
```
arn:aws:iam::Customer-Account-ID:role/APNPartner
```
**注意**
建議在多租戶情況下使用外部 ID。如需詳細資訊,請參閱[存取第三方 AWS 帳戶 擁有的](id_roles_common-scenarios_third-party.md)。
1. 當 APN 合作夥伴的軟體需要存取客戶帳戶時,軟體會使用客戶帳戶中角色的 AWS Security Token Service ARN 呼叫 中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) API。STS 會傳回暫時 AWS 登入資料,允許軟體執行其工作。
如需使用角色授予跨帳户存取權的另一個範例,請參閱 [在您擁有的另一個 IAM 使用者中 AWS 帳戶 存取](id_roles_common-scenarios_aws-accounts.md)。您也可以參照 [IAM 教學課程:使用 IAM 角色在 AWS 帳戶之間委派存取權](tutorial_cross-account-with-roles.md)。
## 使用資源型政策的跨帳户存取權
帳戶使用資源型政策透過另一個帳戶存取資源時,主體仍可在受信任帳戶中運作,不需為了接受角色許可而放棄其許可。換言之,主體在存取信任帳戶中的資源時,仍可繼續存取受信任帳戶中的資源。這對於像複製資訊到其他帳戶中的共同資源,或從其複製而來的任務,非常受用。
您可以在資源型政策中指定的委託人包括帳戶、IAM 使用者、 AWS STS 聯合身分使用者委託人、SAML 聯合身分委託人、OIDC 聯合身分委託人、IAM 角色、擔任角色工作階段 AWS 或服務。如需詳細資訊,請參閱[指定主體](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying)。
若要了解在您信任區域外帳戶 (信任組織或帳戶) 中的主體是否可擔任您的角色,請參閱[識別與外部實體共用的資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification)。
下列清單包含支援資源型政策的一些 AWS 服務。如需支援將許可政策連接至資源而非委託人之 AWS 服務數量增加的完整清單,請參閱**資源型**欄中的 [AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)和 尋找具有**是**的服務。
+ **Amazon S3 儲存貯體** – 政策連接到儲存貯體,但政策控制項同時存取儲存貯體和其中的物件。如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的 [Bucket policies for Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)。在某些情況下,最好使用角色以跨帳戶存取 Amazon S3。如需詳細資訊,請參閱 *Amazon Simple Storage Service 使用者指南*中的[範例演練](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html)。
+ **Amazon Simple Notification Service (Amazon SNS) 主題** – 如需詳細資訊,請前往《Amazon Simple Notification Service 開發人員指南》**中的 [Amazon SNS 存取控制的範例案例](https://docs.aws.amazon.com//sns/latest/dg/sns-access-policy-use-cases.html)。
+ **Amazon Simple Queue Service (Amazon SQS) 佇列** – 如需詳細資訊,請前往《Amazon Simple Queue Service 開發人員指南》**中的[附錄:存取原則語言](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html)。
## 委派 AWS 許可的資源型政策
如果資源將許可授予您帳戶中的主體,您可以將這些許可委派給特定的 IAM 身分。身分是您帳戶中的使用者、使用者群組或角色。您可以將政策連接至身分以委派許可。您授予的許可上限為擁有資源的帳戶所允許的最大許可。
**重要**
在跨帳戶存取中,主體在身分型政策**和**資源型政策中需要 `Allow`。
假設以資源為基礎的政策允許您帳戶中的所有主體具有資源的完整管理存取權。然後,您可以將完整存取權、唯讀存取權或任何其他部分存取權委派給您 AWS 帳戶中的委託人。或者,如果以資源為基礎的政策只允許列出許可,則您只能委派列出存取權。如果您嘗試委派比您的帳戶還多的許可,則您的主體仍然只有列出存取權。
如需有關如何做出這些決策的詳細資訊,請參閱[確定帳戶內是否允許或拒絕請求](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-denyallow.html)。
**注意**
IAM 角色和資源型政策只會在單一分割內跨帳戶委派存取許可。例如,您無法在標準 `aws` 分割區的帳戶和 `aws-cn` 分割區的帳戶之間,新增跨帳戶存取權。
例如,假設您管理 `AccountA` 和 `AccountB`。在 AccountA 中,您具有名為 `BucketA` 的 Amazon S3 儲存貯體。
![\[針對 Amazon S3 儲存貯體建立的資源型政策可為 AccountA 提供 AccountB 許可。\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/access_policies-cross-account.png)
1. 您可以將資源型政策連接至 `BucketA`,以允許 AccountB 中的所有主體完整存取儲存貯體中的物件。他們可以建立、讀取或刪除該儲存貯體中的任何物件。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PrincipalAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::BucketA/*"
}
]
}
```
------
透過將 AccountB 命名為資源型政策中的主體,AccountA 允許 AccountB 完整存取 BucketA。因此,AccountB 獲得授權可對 BucketA 執行任何動作,而 AccountB 管理員可以將存取權委派給它在 AccountB 的使用者。
AccountB 根使用者具有授予給帳戶的所有許可。因此,根使用者具有 BucketA 的完整存取權。
1. 在 AccountB 中,將政策連接至名為 User2 的 IAM 使用者。該政策允許使用者唯讀存取 BucketA 中的物件。這表示 User2 可以檢視物件,但無法建立、編輯或刪除物件。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect" : "Allow",
"Action" : [
"s3:Get*",
"s3:List*" ],
"Resource" : "arn:aws:s3:::BucketA/*"
}
]
}
```
------
AccountB 可委派的最大存取層級是授予帳戶的存取層級。在此情況下,資源型政策將完整存取授予 AccountB,但只將唯讀存取授予 User2。
AccountB 管理員不提供存取權給 User1。依預設,除了明確授予的許可外,使用者不具備任何許可,因此 User1 無權存取 BucketA。
IAM 會在主體提出請求時評估主體的許可。如果您使用萬用字元 (\$1) 來讓使用者完整存取您的資源,委託人可以存取 AWS 您的帳戶可存取的任何資源。即使對於您在建立使用者政策後新增或取得存取權的資源,也是如此。
在上述範例中,如果 AccountB 已將政策連接至 User2,而此政策允許完整存取所有帳戶中的所有資源,則 User2 可自動存取 AccountB 能夠存取的任何資源。這包括 BucketA 存取,以及 AccountA 中資源型政策所授予對任何其他資源的存取。
如需有關角色的複雜使用詳細資訊,例如授予應用程式和服務存取權,請參閱 [IAM 角色的常見案例](id_roles_common-scenarios.md)。
**重要**
只將存取權給予您信任的實體,並提供最低必要存取權。每當受信任實體是另一個 AWS 帳戶時,任何 IAM 主體都可以獲得您資源的存取權。信任 AWS 的帳戶只能在授予存取權的範圍內委派存取權;其不能委派超過授予帳戶本身的存取權。
如需有關許可、政策以及用於撰寫政策的許可政策語言的詳細資訊,請參閱[AWS 資源的存取管理](access.md)。
# 轉送存取工作階段
轉送存取工作階段 (FAS) 是一種 AWS IAM 技術,服務會在 AWS 服務代表您提出請求時,用來傳遞您的身分、許可和工作階段屬性。FAS 使用呼叫 AWS 服務的身分許可,結合 AWS 服務的身分,向下游服務提出請求。FAS 請求只有在服務收到需要與其他 AWS 服務或資源互動才能完成的請求後,才會代表 IAM 主體對 AWS 服務提出。發出 FAS 請求時:
+ 從 IAM 主體接收初始請求的服務會檢查 IAM 主體的許可。
+ 接收後續 FAS 請求的服務也會檢查相同 IAM 主體的許可。
例如,當 [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) 用於加密物件時,Amazon S3 會使用 FAS 呼叫 來 AWS Key Management Service 解密物件。下載 SSE-KMS 加密物件時,名為**資料讀取器**的角色會針對 Amazon S3 呼叫物件上的 GetObject,而不會 AWS KMS 直接呼叫 。收到 GetObject 請求並授權資料讀取器後,Amazon S3 會向 發出 FAS 請求, AWS KMS 以解密 Amazon S3 物件。當 KMS 收到 FAS 請求時,其會檢查角色的許可,並且只有在 data-reader 具有 KMS 金鑰的正確許可時才授權解密請求。對 Amazon S3 和 的請求會使用角色的許可進行 AWS KMS 授權,而且只有在資料讀取器同時具有 Amazon S3 物件和 AWS KMS 金鑰的許可時,才會成功。
![\[IAM 角色作為主體傳遞至 Amazon S3,然後傳遞至 AWS KMS的流程圖。\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/access-fas-example.png)
**注意**
收到 FAS 請求的服務可以發出其他 FAS 請求。在這種情況下,請求主體必須具有 FAS 呼叫之所有服務的許可。
## FAS 請求和 IAM 政策條件
發出 FAS 請求時,[aws:CalledVia](reference_policies_condition-keys.md#condition-keys-calledvia)、[aws:CalledViaFirst](reference_policies_condition-keys.md#condition-keys-calledviafirst) 和 [aws:CalledViaLast](reference_policies_condition-keys.md#condition-keys-calledvialast) 條件索引鍵會填入啟動 FAS 呼叫之服務的服務主體。每當發出 FAS 請求時,都會將 [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice) 條件索引鍵值設定為 `true`。在下圖中,直接向 CloudFormation 發出的請求沒有設定任何 `aws:CalledVia` 或 `aws:ViaAWSService` 條件索引鍵。當 CloudFormation 和 DynamoDB 代表角色發出下游 FAS 請求時,便會填入這些條件索引鍵的值。
![\[將 IAM 角色作為主體傳遞至 CloudFormation,然後將條件索引鍵值傳遞至 DynamoDB 和 AWS KMS的流程圖。\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/access-fas-example2.png)
若要允許發出 FAS 請求,以免遭具有測試來源 IP 地址或來源 VPC 之條件索引鍵的拒絕政策陳述式拒絕,您必須在您的拒絕政策中使用條件索引鍵,為 FAS 請求提供例外狀況。這可以透過使用 `aws:ViaAWSService` 條件索引鍵,為所有 FAS 請求完成此操作。若要僅允許特定 AWS 服務提出 FAS 請求,請使用 `aws:CalledVia`。
**重要**
當透過 VPC 端點發出初始請求後發出 FAS 請求時,不會在 FAS 請求中使用來自初始請求中 `aws:SourceVpce`、`aws:SourceVpc` 和 `aws:VpcSourceIp` 的條件索引鍵值。當寫入政策使用 `aws:VPCSourceIP` 或 `aws:SourceVPCE` 有條件地授予存取權時,您也必須使用 `aws:ViaAWSService` 或 `aws:CalledVia` 以允許 FAS 請求。當公有 AWS 服務端點收到初始請求後提出 FAS 請求時,後續的 FAS 請求將使用相同的`aws:SourceIP`條件索引鍵值提出。
## 範例:允許從 VPC 或使用 FAS 存取 Amazon S3
在以下 IAM 政策範例中,只有當 Amazon S3 GetObject 和 Athena 請求來自連接至 *example\$1vpc* 的 VPC 端點,或者請求是 Athena 發出的 FAS 請求時,才允許這些請求。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OnlyAllowMyIPs",
"Effect": "Allow",
"Action": [
"s3:GetObject*",
"athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StopQueryExecution",
"athena:GetQueryExecution"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVPC": [
"vpc-111bbb22"
]
}
}
},
{
"Sid": "OnlyAllowFAS",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
如需使用條件索引鍵允許 FAS 存取的其他範例,請參閱 [data perimeter 範例政策儲存庫](https://github.com/aws-samples/data-perimeter-policy-examples)。
# 以身分為基礎的 IAM 政策範例
[政策](access_policies.md)是 中的物件,當與身分或資源建立關聯時, AWS 會定義其許可。當 IAM 主體 (使用者或角色) 發出請求時, 會 AWS 評估這些政策。政策中的許可決定是否允許或拒絕請求。大多數政策會以連接至 IAM 身分 (使用者、使用者群組或角色) 的 JSON 文件 AWS 形式存放在 中。以身分為基礎的政策包括 AWS 受管政策、客戶受管政策以及內嵌政策。若要了解如何使用這些範例 JSON 政策文件來建立 IAM 政策,請參閱 [正在使用 JSON 編輯器建立政策](access_policies_create-console.md#access_policies_create-json-editor)。
在預設情況下,所有請求會遭拒絕,所以您必須提供對要存取身分的服務、動作和資源的存取。如果您還要允許存取在 IAM 主控台中完成指定的動作,則需要提供額外的許可。
以下政策程式庫可協助您定義 IAM 身分的許可。在您找到所需的政策後,選擇 **View this policy** (查看此政策) 以查看 JSON 的政策。您可以將 JSON 政策文件用作自己政策的範本。
**注意**
如果您想提交要包含在本參考指南中的政策,請使用此頁面底部的 **Feedback (意見回饋)** 按鈕。
## 範例政策: AWS
+ 在特定日期範圍期間允許存取。[查看此政策](reference_policies_examples_aws-dates.md)。
+ 允許啟用和停用 AWS 區域。[查看此政策](reference_policies_examples_aws-enable-disable-regions.md)。
+ 允許經過 MFA 身分驗證的使用者在 **Security Credentials** (安全憑證) 頁面上管理其憑證。[查看此政策](reference_policies_examples_aws_my-sec-creds-self-manage.md)。
+ 在特定日期範圍內使用 MFA 時允許特定存取。[查看此政策](reference_policies_examples_aws_mfa-dates.md)。
+ 允許使用者在**安全憑證**頁面上管理其憑證。[查看此政策](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md)。
+ 允許使用者在**安全憑證**頁面上管理其 MFA 裝置。[查看此政策](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md)。
+ 允許使用者在**安全憑證**頁面上管理其密碼。[查看此政策](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md)。
+ 允許使用者在**安全憑證**頁面上管理其密碼、存取金鑰和 SSH 公有金鑰。[查看此政策](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md)。
+ AWS 根據請求的區域拒絕對 的存取。[查看此政策](reference_policies_examples_aws_deny-requested-region.md)。
+ AWS 根據來源 IP 地址拒絕對 的存取。[查看此政策](reference_policies_examples_aws_deny-ip.md)。
## 範例政策: AWS Data Exchange
+ 拒絕存取您帳戶以外的 Amazon S3 資源,但 AWS Data Exchange除外。[查看此政策](reference_policies_examples_resource_account_data_exch.md)。
## 範例政策: AWS Data Pipeline
+ 拒絕存取使用者沒有建立的管道 ([查看此政策](reference_policies_examples_datapipeline_not-owned.md)。)
## 範例政策:Amazon DynamoDB
+ 允許存取特定 Amazon DynamoDB 資料表 ([查看此政策](reference_policies_examples_dynamodb_specific-table.md)。)
+ 允許存取特定 Amazon DynamoDB 屬性 ([查看此政策](reference_policies_examples_dynamodb_attributes.md)。)
+ 允許根據 Amazon Cognito ID 對 Amazon DynamoDB 進行項目層級存取 ([查看此政策](reference_policies_examples_dynamodb_items.md)。)
## 範例政策:Amazon EC2
+ 允許根據標籤將 Amazon EBS 磁碟區與 Amazon EC2 執行個體連接或分開 ([查看此政策](reference_policies_examples_ec2_ebs-owner.md)。)
+ 允許以程式設計方式並在主控台的特定子網路中啟動 Amazon EC2 執行個體 ([查看此政策](reference_policies_examples_ec2_instances-subnet.md)。)
+ 允許以程式設計方式及在主控台中管理與特定 VPC 相關聯的 Amazon EC2 安全群組 ([查看此政策](reference_policies_examples_ec2_securitygroups-vpc.md)。)
+ 允許以程式設計方式及在主控台中啟動或停用使用者已加上標籤的 Amazon EC2 執行個體 ([查看此政策](reference_policies_examples_ec2_tag-owner.md)。)
+ 允許以程式設計方式及在主控台中根據資源和主體標籤來啟用或停用 Amazon EC2 執行個體 ([查看此政策](reference_policies_examples_ec2-start-stop-tags.md)。)
+ 當資源與主體標籤相符時,允許啟用或停用 Amazon EC2 執行個體 ([查看此政策](reference_policies_examples_ec2-start-stop-match-tags.md)。)
+ 允許在特定區域內,以程式設計方式和在主控台進行 Amazon EC2 完全存取。[查看此政策](reference_policies_examples_ec2_region.md)。
+ 允許以程式設計方式和在主控台中啟動或停用特定 Amazon EC2 執行個體並修改特定安全群組 ([查看此政策](reference_policies_examples_ec2_instance-securitygroup.md)。)
+ 拒絕在沒有 MFA 的情況下,存取特定 Amazon EC2 操作 ([查看此政策](reference_policies_examples_ec2_require-mfa.md)。)
+ 限制將 Amazon EC2 執行個體終止到特定的 IP 地址範圍 ([查看此政策](reference_policies_examples_ec2_terminate-ip.md)。)
## 範例政策: AWS Identity and Access Management (IAM)
+ 允許存取政策模擬器 API ([查看此政策](reference_policies_examples_iam_policy-sim.md)。)
+ 允許存取政策模擬器主控台 ([查看此政策](reference_policies_examples_iam_policy-sim-console.md)。)
+ 能以程式設計方式和主控台中擔任擁有特定標籤的任何角色 ([查看此政策](reference_policies_examples_iam-assume-tagged-role.md)。)
+ 能以程式設計方式和主控台中允許和拒絕存取多個服務 ([查看此政策](reference_policies_examples_iam_multiple-services-console.md)。)
+ 允許以程式設計方式和在主控台中使用不同的特定標籤,將特定標籤新增到 IAM 使用者 ([查看此政策](reference_policies_examples_iam-add-tag.md)。)
+ 允許以程式設計方式和在主控台中將特定標籤新增到任何 IAM 使用者或角色 ([查看此政策](reference_policies_examples_iam-add-tag-user-role.md)。)
+ 允許只使用特定標籤建立新使用者 ([查看此政策](reference_policies_examples_iam-new-user-tag.md)。)
+ 允許產生和擷取 IAM 憑證報告 ([查看此政策](reference_policies_examples_iam-credential-report.md)。)
+ 允許以程式設計方式及在主控台中管理群組的成員資格 ([查看此政策](reference_policies_examples_iam_manage-group-membership.md)。)
+ 允許管理特定標籤 ([查看此政策](reference_policies_examples_iam-manage-tags.md)。)
+ 允許將 IAM 角色傳遞至特定服務 ([查看此政策](reference_policies_examples_iam-passrole-service.md)。)
+ 允許對 IAM 主控台的唯讀存取,而不需要報告 ([查看此政策](reference_policies_examples_iam_read-only-console-no-reporting.md)。)
+ 允許對 IAM 主控台的唯讀存取 ([查看此政策](reference_policies_examples_iam_read-only-console.md)。)
+ 允許特定使用者以程式設計方式及在主控台中管理群組 ([查看此政策](reference_policies_examples_iam_users-manage-group.md)。)
+ 允許以程式設計方式在主控台中設定帳戶密碼要求 ([查看此政策](reference_policies_examples_iam_set-account-pass-policy.md)。)
+ 允許對具有特定路徑的使用者使用政策模擬器 API ([查看此政策](reference_policies_examples_iam_policy-sim-path.md)。)
+ 允許對具有特定路徑的使用者使用政策模擬器主控台 ([查看此政策](reference_policies_examples_iam_policy-sim-path-console.md)。)
+ 允許 IAM 使用者自行管理 MFA 裝置。[查看此政策](reference_policies_examples_iam_mfa-selfmanage.md)。
+ 允許 IAM 使用者以程式設計方式和在主控台設定自己的憑證。[查看此政策](reference_policies_examples_iam_credentials_console.md)。
+ 允許在 IAM 主控台中檢視 AWS Organizations 政策的服務上次存取資訊。[查看此政策](reference_policies_examples_iam_service-accessed-data-orgs.md)。
+ 限制可以套用到新的 IAM 使用者、群組或角色的受管政策 ([查看此政策](reference_policies_examples_iam_limit-managed.md)。)
+ 僅允許存取您帳戶中的 IAM 政策 ([檢視此政策](resource_examples_iam_policies_resource_account.md)。)
## 範例政策: AWS Lambda
+ 允許 AWS Lambda 函數存取 Amazon DynamoDB 資料表 ([查看此政策](reference_policies_examples_lambda-access-dynamodb.md)。)
## 範例政策:Amazon RDS
+ 允許在特定區域內的完整 Amazon RDS 資料庫存取。[查看此政策](reference_policies_examples_rds_region.md)。
+ 允許以程式設計方式和在主控台中復原 Amazon RDS 資料庫 ([查看此政策](reference_policies_examples_rds_db-console.md)。)
+ 允許標籤持有者擁有對已加上標籤的 Amazon RDS 資源的完整存取許可 ([查看此政策](reference_policies_examples_rds_tag-owner.md))
## 範例政策:Amazon S3
+ 允許 Amazon Cognito 使用者存取自己的 Amazon S3 儲存貯體中的物件 ([查看此政策](reference_policies_examples_s3_cognito-bucket.md)。)
+ 允許具有臨時憑證的使用者以程式設計方式或在主控台中存取 Amazon S3 中他們自己的主目錄 ([檢視此政策](reference_policies_examples_s3_federated-home-directory-console.md)。)
+ 允許完整的 S3 存取,但如果管理員並未在最後 30 分鐘內使用 MFA 登入,則會明確拒絕存取生產儲存貯體。([查看此政策](reference_policies_examples_s3_full-access-except-production.md)。)
+ 允許 IAM 使用者以程式設計方式或在主控台中存取 Amazon S3 中自己的主目錄 ([查看此政策](reference_policies_examples_s3_home-directory-console.md)。)
+ 允許使用者管理單一 Amazon S3 儲存貯體,並拒絕所有其他 AWS 動作和資源 ([查看此政策](reference_policies_examples_s3_deny-except-bucket.md)。)
+ 允許 `Read` 和 `Write` 存取特定的 Amazon S3 儲存貯體 ([查看此政策](reference_policies_examples_s3_rw-bucket.md)。)
+ 允許 `Read` 和`Write` 以程式設計方式和在主控台存取特定的 Amazon S3 儲存貯體 ([查看此政策](reference_policies_examples_s3_rw-bucket-console.md)。)
# AWS:允許根據日期和時間進行存取
此範例會示範如何建立身分型政策,允許根據日期和時間存取動作。此政策會限制只能在 2020 年 4 月 1 日和 2020 年 6 月 30 日 (UTC) (含) 間存取動作。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
若要了解使用 IAM 政策中 `Condition` 區塊內的多重條件的相關資訊,請參閱 [條件中的多個值](reference_policies_elements_condition.md#Condition-multiple-conditions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "service-prefix:action-name",
"Resource": "*",
"Condition": {
"DateGreaterThan": {"aws:CurrentTime": "2020-04-01T00:00:00Z"},
"DateLessThan": {"aws:CurrentTime": "2020-06-30T23:59:59Z"}
}
}
]
}
```
------
**注意**
您不可搭配使用政策變數與 Date 條件運算子。如需進一步了解,請參閱 [條件元素](reference_policies_variables.md#policy-vars-conditionelement)
# AWS:允許啟用和停用 AWS 區域
此範例會示範如何建立身分型政策,允許管理員啟用和停用亞太區域 (香港) 區域 (ap-east-1)。此政策定義了程式設計和主控台存取的許可。此設定會顯示在 AWS 管理主控台頁面中的 **Account settings** (帳戶設定)。本頁包含只有帳戶管理員能夠檢視和管理的敏感帳戶層級資訊。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
**重要**
您無法啟用或停用預設啟用的區域。您只能包含預設*停用*的區域。如需詳細資訊,請參閱*《AWS 一般參考》*中的[管理 AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableDisableHongKong",
"Effect": "Allow",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*",
"Condition": {
"StringEquals": {"account:TargetRegion": "ap-east-1"}
}
},
{
"Sid": "ViewConsole",
"Effect": "Allow",
"Action": [
"account:ListRegions"
],
"Resource": "*"
}
]
}
```
------
# AWS:允許經過 MFA 驗證的 IAM 使用者在「安全憑證」頁面中管理其憑證。
此範例會示範如何建立身分型政策,允許使用[多重要素驗證 (MFA)](id_credentials_mfa.md) 進行身分驗證的 IAM 使用者在**安全憑證**頁面中管理自己的憑證。此 AWS 管理主控台 頁面會顯示如帳戶 ID 和正式使用者 ID 的帳戶資訊。使用者也可以檢視和編輯其密碼、存取金鑰、MFA 裝置、X.509 憑證及 SSH 金鑰和 Git 憑證。此政策範例包括檢視和編輯頁面上所有資訊所需的許可。它還要求使用者在 中執行任何其他操作之前,使用 MFA 設定和驗證 AWS。若要允許使用者在不使用 MFA 的情況下管理自己的憑證,請參閱[AWS:允許 IAM 使用者在「安全憑證」頁面中管理其自己的憑證](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md)。
若要了解使用者如何存取**安全憑證**頁面,請參閱 [IAM 使用者如何變更他們自己的密碼 (主控台)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console)。
**注意**
此範例政策不允許使用者在 AWS 管理主控台 第一次登入 時重設密碼。在新使用者登入之前,建議您不要將許可授予給他們。如需詳細資訊,請參閱[如何安全地建立 IAM 使用者?](troubleshoot.md#troubleshoot_general_securely-create-iam-users)。這也可防止密碼到期的使用者在登入期間重設密碼。您可以透過將 `iam:ChangePassword` 和 `iam:GetAccountPasswordPolicy` 新增至 `DenyAllExceptListedIfNoMFA` 陳述式,來允許這項作業。不過,我們不建議您這麼做,因為若允許使用者在不使用 MFA 的情況下變更密碼,則會帶來安全性風險。
如果您打算使用此政策進行程式設計存取,則必須叫用 [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) 以使用 MFA 進行驗證。如需詳細資訊,請參閱[透過 MFA 實現安全的 API 存取](id_credentials_mfa_configure-api-require.md)。
**此政策的功能為何?**
+ `AllowViewAccountInfo` 陳述式允許使用者檢視帳戶層級資訊。這些許可必須位於自己的陳述式中,因為它們不支援或不需要指定資源 ARN。而是許可指定 `"Resource" : "*"`。此陳述式包括下列動作,可讓使用者檢視特定的資訊:
+ `GetAccountPasswordPolicy` – 檢視帳戶密碼需求,同時變更自己的 IAM 使用者密碼。
+ `ListVirtualMFADevices` – 檢視為使用者啟用之虛擬 MFA 裝置的詳細資訊。
+ `AllowManageOwnPasswords` 陳述式可讓使用者變更自己的密碼。此陳述式也包括檢視 **My Security Credentials** (我的安全憑證) 頁面上大部分資訊所需的 `GetUser` 動作。
+ `AllowManageOwnAccessKeys` 陳述式可讓使用者建立、更新及刪除自己的存取金鑰。使用者也能擷取關於指定之存取金鑰最後一次使用時間的資訊。
+ `AllowManageOwnSigningCertificates` 陳述式可讓使用者上傳、更新及刪除自己的簽章憑證。
+ `AllowManageOwnSSHPublicKeys` 陳述式允許使用者上傳、更新及刪除自己用於 CodeCommit 的 SSH 公有金鑰。
+ `AllowManageOwnGitCredentials` 陳述式可讓使用者建立、更新及刪除自己用於 CodeCommit 的 Git 憑證。
+ `AllowManageOwnVirtualMFADevice` 陳述式可讓使用者建立自己的虛擬 MFA 裝置。此陳述式中的資源 ARN 允許使用者以任何名稱建立 MFA 裝置,但政策中的其他陳述式僅允許使用者連接裝置到目前登入的使用者。
+ `AllowManageOwnUserMFA` 陳述式可讓使用者檢視或管理其使用者的虛擬、U2F 或硬體 MFA 裝置。此陳述式中的資源 ARN 僅允許存取使用者自己的 IAM 使用者。使用者不能檢視或管理其他使用者的 MFA 裝置。
+ `DenyAllExceptListedIfNoMFA` 陳述式拒絕存取所有 AWS 服務中的每個動作,但少數列出的動作除外,但***前提是***使用者未使用 MFA 登入。陳述式使用 `"Deny"` 和 `"NotAction"` 的組合,來明確拒絕存取未列出的每項動作。此陳述式不會拒絕或允許列出的項目。然而,政策中的其他陳述式會允許多項動作。如需有關此陳述式邏輯的詳細資訊,請參閱[使用拒絕 (Deny) 的 NotAction](reference_policies_elements_notaction.md)。如果使用者使用 MFA 登入,則不會通過 `Condition` 測試,且此陳述式不會拒絕任何動作。在此情況下,使用者的其他政策或陳述式決定使用者的許可。
此陳述式確保在使用者未使用 MFA 登入時,他們只能執行列出的動作。此外,只有在另一條陳述式或政策允許存取這些動作時,他們才能執行列出的動作。這不允許使用者在登入時建立密碼,因為在未進行 MFA 身分驗證的情況下,並不允許 `iam:ChangePassword` 動作。
`...IfExists` 運算子的 `Bool` 版本會確認,如果 `aws:MultiFactorAuthPresent` 索引鍵遺失,條件將返回 true。這就表示,拒絕使用長期憑證 (如存取金鑰) 存取 API 的使用者存取為非 IAM API 操作。
此政策不允許使用者檢視 IAM 主控台中的 **Users** (使用者) 頁面,或使用該頁面存取自己的使用者資訊。若要允許此操作,請將 `iam:ListUsers` 動作加入到 `AllowViewAccountInfo` 陳述式和 `DenyAllExceptListedIfNoMFA` 陳述式。它也不允許使用者在自己的使用者頁面上變更密碼。若要允許此操作,請將 `iam:GetLoginProfile` 及 `iam:UpdateLoginProfile` 動作加入 `AllowManageOwnPasswords` 陳述式。若也要允許使用者在未使用 MFA 登入的情況下,在自己的使用者頁面上變更其密碼,請將 `iam:UpdateLoginProfile` 動作加入 `DenyAllExceptListedIfNoMFA` 陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowViewAccountInfo",
"Effect": "Allow",
"Action": [
"iam:GetAccountPasswordPolicy",
"iam:ListVirtualMFADevices"
],
"Resource": "*"
},
{
"Sid": "AllowManageOwnPasswords",
"Effect": "Allow",
"Action": [
"iam:ChangePassword",
"iam:GetUser"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnAccessKeys",
"Effect": "Allow",
"Action": [
"iam:CreateAccessKey",
"iam:DeleteAccessKey",
"iam:ListAccessKeys",
"iam:UpdateAccessKey",
"iam:GetAccessKeyLastUsed"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnSigningCertificates",
"Effect": "Allow",
"Action": [
"iam:DeleteSigningCertificate",
"iam:ListSigningCertificates",
"iam:UpdateSigningCertificate",
"iam:UploadSigningCertificate"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnSSHPublicKeys",
"Effect": "Allow",
"Action": [
"iam:DeleteSSHPublicKey",
"iam:GetSSHPublicKey",
"iam:ListSSHPublicKeys",
"iam:UpdateSSHPublicKey",
"iam:UploadSSHPublicKey"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnGitCredentials",
"Effect": "Allow",
"Action": [
"iam:CreateServiceSpecificCredential",
"iam:DeleteServiceSpecificCredential",
"iam:ListServiceSpecificCredentials",
"iam:ResetServiceSpecificCredential",
"iam:UpdateServiceSpecificCredential"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnVirtualMFADevice",
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice"
],
"Resource": "arn:aws:iam::*:mfa/*"
},
{
"Sid": "AllowManageOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:GetMFADevice",
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
------
# AWS:允許在特定日期內使用 MFA 進行特定存取
此範例會示範如何建立身分型政策,以使用多個條件,且這些條件使用邏輯 `AND` 進行評估。它允許完整存取名為 `SERVICE-NAME-1` 的服務,以及存取名為 `ACTION-NAME-A` 服務內的 `ACTION-NAME-B` 和 `SERVICE-NAME-2` 動作。這些動作只有在使用[多重驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) 驗證使用者時才獲允許進行。存取會限制於在 2017 年 7 月 1 日到 2017 年 12 月 31 日 (UTC)(包含在內) 之間發生的動作。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
若要了解使用 IAM 政策中 `Condition` 區塊內的多重條件的相關資訊,請參閱 [條件中的多個值](reference_policies_elements_condition.md#Condition-multiple-conditions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"service-prefix-1:*",
"service-prefix-2:action-name-a",
"service-prefix-2:action-name-b"
],
"Resource": "*",
"Condition": {
"Bool": {"aws:MultiFactorAuthPresent": true},
"DateGreaterThan": {"aws:CurrentTime": "2017-07-01T00:00:00Z"},
"DateLessThan": {"aws:CurrentTime": "2017-12-31T23:59:59Z"}
}
}
}
```
------
# AWS:允許 IAM 使用者在「安全憑證」頁面中管理其自己的憑證
此範例會示範如何建立身分型政策,允許 IAM 使用者在**安全憑證**頁面中管理其所有憑證。 AWS 管理主控台 此頁面會顯示帳戶資訊,例如帳戶 ID 和正式使用者 ID。使用者也可以檢視和編輯其密碼、存取金鑰、X.509 憑證、SSH 金鑰和 Git 憑證。*除了*使用者的 MFA 裝置以外,此政策範例包括檢視和編輯頁面上所有資訊所需的許可。若要允許使用者使用 MFA 管理自己的憑證,請參閱[AWS:允許經過 MFA 驗證的 IAM 使用者在「安全憑證」頁面中管理其憑證。](reference_policies_examples_aws_my-sec-creds-self-manage.md)。
若要了解使用者如何存取**安全憑證**頁面,請參閱 [IAM 使用者如何變更他們自己的密碼 (主控台)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console)。
**此政策的功能為何?**
+ `AllowViewAccountInfo` 陳述式允許使用者檢視帳戶層級資訊。這些許可必須位於自己的陳述式中,因為它們不支援或不需要指定資源 ARN。而是許可指定 `"Resource" : "*"`。此陳述式包括下列動作,可讓使用者檢視特定的資訊:
+ `GetAccountPasswordPolicy` – 檢視帳戶密碼需求,同時變更自己的 IAM 使用者密碼。
+ `GetAccountSummary` – 檢視帳戶 ID 和帳戶[正式使用者 ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId)。
+ `AllowManageOwnPasswords` 陳述式可讓使用者變更自己的密碼。此陳述式也包括檢視 **My Security Credentials** (我的安全憑證) 頁面上大部分資訊所需的 `GetUser` 動作。
+ `AllowManageOwnAccessKeys` 陳述式可讓使用者建立、更新及刪除自己的存取金鑰。使用者也能擷取關於指定之存取金鑰最後一次使用時間的資訊。
+ `AllowManageOwnSigningCertificates` 陳述式可讓使用者上傳、更新及刪除自己的簽章憑證。
+ `AllowManageOwnSSHPublicKeys` 陳述式允許使用者上傳、更新及刪除自己用於 CodeCommit 的 SSH 公有金鑰。
+ `AllowManageOwnGitCredentials` 陳述式可讓使用者建立、更新及刪除自己用於 CodeCommit 的 Git 憑證。
此政策不允許使用者檢視或管理自己的 MFA 裝置。他們也不能檢視 IAM 主控台中的 **Users** (使用者) 頁面,或使用該頁面存取自己的使用者資訊。若要允許此操作,請將 `iam:ListUsers` 動作加入 `AllowViewAccountInfo` 陳述式。它也不允許使用者在自己的使用者頁面上變更密碼。若要允許此操作,請將 `iam:CreateLoginProfile`、`iam:DeleteLoginProfile`、`iam:GetLoginProfile` 及 `iam:UpdateLoginProfile` 動作加入 `AllowManageOwnPasswords` 陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowViewAccountInfo",
"Effect": "Allow",
"Action": [
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary"
],
"Resource": "*"
},
{
"Sid": "AllowManageOwnPasswords",
"Effect": "Allow",
"Action": [
"iam:ChangePassword",
"iam:GetUser"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnAccessKeys",
"Effect": "Allow",
"Action": [
"iam:CreateAccessKey",
"iam:DeleteAccessKey",
"iam:ListAccessKeys",
"iam:UpdateAccessKey",
"iam:GetAccessKeyLastUsed"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnSigningCertificates",
"Effect": "Allow",
"Action": [
"iam:DeleteSigningCertificate",
"iam:ListSigningCertificates",
"iam:UpdateSigningCertificate",
"iam:UploadSigningCertificate"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnSSHPublicKeys",
"Effect": "Allow",
"Action": [
"iam:DeleteSSHPublicKey",
"iam:GetSSHPublicKey",
"iam:ListSSHPublicKeys",
"iam:UpdateSSHPublicKey",
"iam:UploadSSHPublicKey"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnGitCredentials",
"Effect": "Allow",
"Action": [
"iam:CreateServiceSpecificCredential",
"iam:DeleteServiceSpecificCredential",
"iam:ListServiceSpecificCredentials",
"iam:ResetServiceSpecificCredential",
"iam:UpdateServiceSpecificCredential"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
# AWS:允許經過 MFA 驗證的 IAM 使用者在「安全憑證」頁面中管理其自己的 MFA 裝置
此範例會示範如何建立身分型政策,允許透過[多重要素驗證 (MFA)](id_credentials_mfa.md) 進行身分驗證的 IAM 使用者在**安全憑證**頁面管理自己的 MFA 裝置。 AWS 管理主控台 此頁面會顯示帳戶和使用者資訊,但使用者只能檢視和編輯自己的 MFA 裝置。若要允許使用者使用 MFA 管理自己的所有憑證,請參閱[AWS:允許經過 MFA 驗證的 IAM 使用者在「安全憑證」頁面中管理其憑證。](reference_policies_examples_aws_my-sec-creds-self-manage.md)。
**注意**
如果具有此政策的 IAM 使用者未經 MFA 驗證,則此政策會拒絕存取所有 AWS 動作,但使用 MFA 驗證所需的動作除外。若要使用 AWS CLI 和 AWS API,IAM 使用者必須先使用 AWS STS [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) 操作擷取其 MFA 字符,然後使用該字符來驗證所需的操作。其他政策 (例如資源型政策或其他身分型政策) 可允許其他服務中的動作。如果 IAM 使用者並未通過 MFA 身分驗證,此政策將會拒絕該存取。
若要了解使用者如何存取**安全憑證**頁面,請參閱 [IAM 使用者如何變更他們自己的密碼 (主控台)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console)。
**此政策的功能為何?**
+ `AllowViewAccountInfo` 陳述式可讓使用者檢視為使用者啟用之虛擬 MFA 裝置的詳細資訊。由於此許可不支援指定資源 ARN,因此此許可必須在其陳述式中。您反而必須指定 `"Resource" : "*"`。
+ `AllowManageOwnVirtualMFADevice` 陳述式可讓使用者建立自己的虛擬 MFA 裝置。此陳述式中的資源 ARN 允許使用者以任何名稱建立 MFA 裝置,但政策中的其他陳述式僅允許使用者連接裝置到目前登入的使用者。
+ `AllowManageOwnUserMFA` 陳述式可讓使用者檢視或管理自己的虛擬、U2F 或硬體 MFA 裝置。此陳述式中的資源 ARN 僅允許存取使用者自己的 IAM 使用者。使用者不能檢視或管理其他使用者的 MFA 裝置。
+ `DenyAllExceptListedIfNoMFA` 陳述式拒絕存取所有 AWS 服務中的每個動作,但少數列出的動作除外,但***前提是***使用者未使用 MFA 登入。陳述式使用 `"Deny"` 和 `"NotAction"` 的組合,來明確拒絕存取未列出的每項動作。此陳述式不會拒絕或允許列出的項目。然而,政策中的其他陳述式會允許多項動作。如需有關此陳述式邏輯的詳細資訊,請參閱[使用拒絕 (Deny) 的 NotAction](reference_policies_elements_notaction.md)。如果使用者使用 MFA 登入,則不會通過 `Condition` 測試,且此陳述式不會拒絕任何動作。在此情況下,使用者的其他政策或陳述式決定使用者的許可。
此陳述式確保在使用者未使用 MFA 登入時,他們只能執行列出的動作。此外,只有在另一條陳述式或政策允許存取這些動作時,他們才能執行列出的動作。
`...IfExists` 運算子的 `Bool` 版本會確認,如果 `aws:MultiFactorAuthPresent` 索引鍵遺失,條件將返回 true。這就表示,拒絕使用長期憑證 (如存取金鑰) 存取 API 操作的使用者存取為非 IAM API 操作。
此政策不允許使用者檢視 IAM 主控台中的 **Users** (使用者) 頁面,或使用該頁面存取自己的使用者資訊。若要允許此操作,請將 `iam:ListUsers` 動作加入到 `AllowViewAccountInfo` 陳述式和 `DenyAllExceptListedIfNoMFA` 陳述式。
**警告**
在沒通過 MFA 身分驗證的情況下不新增刪除 MFA 裝置的許可。使用此政策的使用者可能會嘗試為本身指派虛擬 MFA 裝置,但收到未獲授權執行 `iam:DeleteVirtualMFADevice` 的錯誤。如果發生這種情況,**請勿**將該許可新增到 `DenyAllExceptListedIfNoMFA` 陳述式。未通過 MFA 身分驗證的使用者一律不得刪除其 MFA 裝置。如果使用者先前開始將虛擬 MFA 裝置指派到其使用者並取消該程序,使用者可能就會看到此錯誤。若要解決此問題,您或其他管理員必須使用 AWS CLI 或 AWS API 刪除使用者的現有虛擬 MFA 裝置。如需詳細資訊,請參閱[我未獲得授權,不得執行:iam:DeleteVirtualMFADevice](troubleshoot.md#troubleshoot_general_access-denied-delete-mfa)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowViewAccountInfo",
"Effect": "Allow",
"Action": "iam:ListVirtualMFADevices",
"Resource": "*"
},
{
"Sid": "AllowManageOwnVirtualMFADevice",
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice"
],
"Resource": "arn:aws:iam::*:mfa/*"
},
{
"Sid": "AllowManageOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:GetMFADevice",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {"aws:MultiFactorAuthPresent": "false"}
}
}
]
}
```
------
# AWS:允許 IAM 使用者在「安全憑證」頁面中變更其主控台密碼
此範例示範如何建立身分型政策,允許 IAM 使用者在**安全登入**資料頁面上變更自己的 AWS 管理主控台 密碼。 AWS 管理主控台 此頁面會顯示帳戶和使用者資訊,但使用者只能存取自己的密碼。若要允許使用者使用 MFA 管理自己的所有憑證,請參閱[AWS:允許經過 MFA 驗證的 IAM 使用者在「安全憑證」頁面中管理其憑證。](reference_policies_examples_aws_my-sec-creds-self-manage.md)。若要允許使用者在不使用 MFA 的情況下管理自己的憑證,請參閱[AWS:允許 IAM 使用者在「安全憑證」頁面中管理其自己的憑證](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md)。
若要了解使用者如何存取**安全憑證**頁面,請參閱 [IAM 使用者如何變更他們自己的密碼 (主控台)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console)。
**此政策的功能為何?**
+ `ViewAccountPasswordRequirements` 陳述式可讓使用者檢視帳戶密碼需求,同時變更自己的 IAM 使用者密碼。
+ `ChangeOwnPassword` 陳述式可讓使用者變更自己的密碼。此陳述式也包括檢視 **My Security Credentials** (我的安全憑證) 頁面上大部分資訊所需的 `GetUser` 動作。
此政策不允許使用者檢視 IAM 主控台中的 **Users** (使用者) 頁面,或使用該頁面存取自己的使用者資訊。若要允許此操作,請將 `iam:ListUsers` 動作加入 `ViewAccountPasswordRequirements` 陳述式。它也不允許使用者在自己的使用者頁面上變更密碼。若要允許此操作,請將 `iam:GetLoginProfile` 及 `iam:UpdateLoginProfile` 動作加入 `ChangeOwnPasswords` 陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewAccountPasswordRequirements",
"Effect": "Allow",
"Action": "iam:GetAccountPasswordPolicy",
"Resource": "*"
},
{
"Sid": "ChangeOwnPassword",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:ChangePassword"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
# AWS:允許 IAM 使用者在「安全憑證」頁面中管理其密碼、存取金鑰和 SSH 公有金鑰
此範例會示範如何建立身分型政策,允許 IAM 使用者在**安全憑證**頁面中管理其密碼、存取金鑰和 X.509 憑證 。此 AWS 管理主控台 頁面會顯示如帳戶 ID 和正式使用者 ID 的帳戶資訊。使用者也可以檢視和編輯其密碼、存取金鑰、MFA 裝置、X.509 憑證、SSH 金鑰和 Git 憑證。此範例政策包括僅檢視和編輯其密碼、存取金鑰和 X.509 憑證所需的許可。若要允許使用者使用 MFA 管理自己的所有憑證,請參閱[AWS:允許經過 MFA 驗證的 IAM 使用者在「安全憑證」頁面中管理其憑證。](reference_policies_examples_aws_my-sec-creds-self-manage.md)。若要允許使用者在不使用 MFA 的情況下管理自己的憑證,請參閱[AWS:允許 IAM 使用者在「安全憑證」頁面中管理其自己的憑證](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md)。
若要了解使用者如何存取**安全憑證**頁面,請參閱 [IAM 使用者如何變更他們自己的密碼 (主控台)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console)。
**此政策的功能為何?**
+ `AllowViewAccountInfo` 陳述式允許使用者檢視帳戶層級資訊。這些許可必須位於自己的陳述式中,因為它們不支援或不需要指定資源 ARN。而是許可指定 `"Resource" : "*"`。此陳述式包括下列動作,可讓使用者檢視特定的資訊:
+ `GetAccountPasswordPolicy` – 檢視帳戶密碼需求,同時變更自己的 IAM 使用者密碼。
+ `GetAccountSummary` – 檢視帳戶 ID 和帳戶[正式使用者 ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId)。
+ `AllowManageOwnPasswords` 陳述式可讓使用者變更自己的密碼。此陳述式也包括檢視 **My Security Credentials** (我的安全憑證) 頁面上大部分資訊所需的 `GetUser` 動作。
+ `AllowManageOwnAccessKeys` 陳述式可讓使用者建立、更新及刪除自己的存取金鑰。使用者也能擷取關於指定之存取金鑰最後一次使用時間的資訊。
+ `AllowManageOwnSSHPublicKeys` 陳述式允許使用者上傳、更新及刪除自己用於 CodeCommit 的 SSH 公有金鑰。
此政策不允許使用者檢視或管理自己的 MFA 裝置。他們也不能檢視 IAM 主控台中的 **Users** (使用者) 頁面,或使用該頁面存取自己的使用者資訊。若要允許此操作,請將 `iam:ListUsers` 動作加入 `AllowViewAccountInfo` 陳述式。它也不允許使用者在自己的使用者頁面上變更密碼。若要允許此操作,請將 `iam:GetLoginProfile` 及 `iam:UpdateLoginProfile` 動作加入 `AllowManageOwnPasswords` 陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowViewAccountInfo",
"Effect": "Allow",
"Action": [
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary"
],
"Resource": "*"
},
{
"Sid": "AllowManageOwnPasswords",
"Effect": "Allow",
"Action": [
"iam:ChangePassword",
"iam:GetUser"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnAccessKeys",
"Effect": "Allow",
"Action": [
"iam:CreateAccessKey",
"iam:DeleteAccessKey",
"iam:ListAccessKeys",
"iam:UpdateAccessKey",
"iam:GetAccessKeyLastUsed"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnSSHPublicKeys",
"Effect": "Allow",
"Action": [
"iam:DeleteSSHPublicKey",
"iam:GetSSHPublicKey",
"iam:ListSSHPublicKeys",
"iam:UpdateSSHPublicKey",
"iam:UploadSSHPublicKey"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
# AWS: AWS 根據請求的區域拒絕對 的存取
此範例會示範如何建立身分型政策,拒絕以 [`aws:RequestedRegion` 條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion)所指定區域以外位置任何操作的存取權,但使用 `NotAction` 所指定服務的操作除外。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
此政策使用含 `Deny` 效果的 `NotAction` 元素,此效果會明確拒絕存取「未」**列在陳述式中的所有動作。 支援 不應拒絕 CloudFront、IAM、Route 53 和服務中的動作,因為這些是熱門的 AWS 全域服務,具有實際位於 `us-east-1`區域的單一端點。這些服務的所有請求是對 `us-east-1` 區域提出,因此在沒有使用 `NotAction` 元素的情況下請求會遭拒。編輯此元素來為您使用的其他 AWS 全域服務 (例如,`budgets`、`globalaccelerator`、`importexport`、`organizations` 或 `waf`) 包含動作。一些其他全域服務,例如聊天應用程式中的 Amazon Q Developer AWS Device Farm,以及具有實際位於 `us-west-2`區域的端點的全域服務。要了解具有單一全域端點的所有服務,請參閱 *AWS 一般參考* 中的 [AWS 區域和端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。如需有關使用含 `NotAction` 效果之 `Deny` 元素的詳細資訊,請參閱 [IAM JSON 政策元素:NotAction](reference_policies_elements_notaction.md)。
**重要**
此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideRequestedRegions",
"Effect": "Deny",
"NotAction": [
"cloudfront:*",
"iam:*",
"organizations:*",
"route53:*",
"support:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"eu-central-1",
"eu-west-1",
"eu-west-2",
"eu-west-3"
]
}
}
}
]
}
```
------
# AWS: AWS 根據來源 IP 拒絕對 的存取
此範例說明如何建立身分型政策,當請求來自指定 IP 範圍之外的*主體*時,拒絕存取帳戶中的所有 AWS 動作。當您公司的 IP 地址在指定範圍內時,該政策很有用。在此範例中,請求需要源自 CIDR 範圍 192.0.2.0/24 或 203.0.113.0/24 ,否則會遭到拒絕。政策不會拒絕 AWS 服務使用 提出的請求,[轉送存取工作階段](access_forward_access_sessions.md)因為會保留原始請求者的 IP 地址。
請小心使用相同政策陳述式中的負面條件做為 `"Effect": "Deny"`。當您這麼做時,*除了*指定的委託人之外,政策陳述式中指定的動作在所有條件下都會明確拒絕授予。
**重要**
此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。
當其他政策允許動作時,主體可以從 IP 地址範圍內提出請求。 AWS 服務也可以使用委託人的登入資料提出請求。當主體從 IP 範圍外提出請求時,即會拒絕該請求。
如需有關使用 `aws:SourceIp` 條件鍵 (包括何時 `aws:SourceIp` 可能無法在政策中運作) 的詳細資訊,請參閱 [AWS 全域條件內容索引鍵](reference_policies_condition-keys.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
}
```
------
# AWS:拒絕存取您帳戶外部的 Amazon S3 資源,但 AWS Data Exchange
此範例示範如何建立身分型政策,拒絕存取 AWS 中不屬於您帳戶的所有資源,但正常操作 AWS Data Exchange 所需的資源除外。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
您可以建立類似的政策來限制對組織或組織單位內資源的存取,同時使用條件索引鍵 `aws:ResourceOrgPaths`和 來說明 AWS Data Exchange 擁有的資源`aws:ResourceOrgID`。
如果您在 AWS Data Exchange 環境中使用 ,服務會建立資源並與之互動,例如服務帳戶擁有的 Amazon S3 儲存貯體。例如, 代表叫用 API 的 IAM 主體 (使用者或角色),將請求 AWS Data Exchange 傳送至 AWS Data Exchange 服務擁有的 Amazon S3 儲存貯體。 AWS Data Exchange APIs 在這種情況下,在政策`aws:ResourceOrgID`中使用 `aws:ResourceAccount`、 `aws:ResourceOrgPaths`或 ,而不考慮 AWS Data Exchange 擁有的資源, 會拒絕存取服務帳戶擁有的儲存貯體。
+ 陳述式 `DenyAllAwsResourcesOutsideAccountExceptS3` 會搭配使用 `NotAction` 元素與[拒絕](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html)效果,明確拒絕存取陳述式中未列出的且不屬於所列帳戶的每個動作。`NotAction` 元素表示此陳述式的例外狀況。這些動作是此陳述式的例外狀況,因為如果對 建立的資源執行動作 AWS Data Exchange,政策會拒絕這些動作。
+ `DenyAllS3ResoucesOutsideAccountExceptDataExchange` 陳述式會結合使用 `ResourceAccount` 和 `CalledVia` 條件,拒絕存取先前的陳述式中排除的 Amazon S3 動作。如果資源不屬於列出的帳戶並且如果呼叫服務不是 AWS Data Exchange,陳述式會拒絕執行動作。如果資源屬於列出的帳戶,或者列出的服務主體 `dataexchange.amazonaws.com` 執行操作,則陳述式不會拒絕執行動作。
**重要**
此政策不允許任何動作。它使用 `Deny` 效果,明確拒絕存取陳述式中列出的不屬於所列帳戶的所有資源。將此政策與允許存取特定資源的其他政策結合使用。
以下範例示範如何設定政策,以允許存取所需的 Amazon S3 儲存貯體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAllAwsReourcesOutsideAccountExceptAmazonS3",
"Effect": "Deny",
"NotAction": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Sid": "DenyAllS3ResourcesOutsideAccountExceptDataExchange",
"Effect": "Deny",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceAccount": [
"111122223333"
]
},
"ForAllValues:StringNotEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
}
]
}
```
------
# AWS Data Pipeline:拒絕存取使用者沒有建立的 DataPipeline 管道
此範例會示範如何建立身分型政策,拒絕存取使用者未建立的管道。如果 `PipelineCreator` 欄位的值符合 IAM 使用者名稱,則不會拒絕指定的動作。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。
**重要**
此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExplicitDenyIfNotTheOwner",
"Effect": "Deny",
"Action": [
"datapipeline:ActivatePipeline",
"datapipeline:AddTags",
"datapipeline:DeactivatePipeline",
"datapipeline:DeletePipeline",
"datapipeline:DescribeObjects",
"datapipeline:EvaluateExpression",
"datapipeline:GetPipelineDefinition",
"datapipeline:PollForTask",
"datapipeline:PutPipelineDefinition",
"datapipeline:QueryObjects",
"datapipeline:RemoveTags",
"datapipeline:ReportTaskProgress",
"datapipeline:ReportTaskRunnerHeartbeat",
"datapipeline:SetStatus",
"datapipeline:SetTaskStatus",
"datapipeline:ValidatePipelineDefinition"
],
"Resource": ["*"],
"Condition": {
"StringNotEquals": {"datapipeline:PipelineCreator": "${aws:userid}"}
}
}
]
}
```
------
# Amazon DynamoDB:允許存取特定資料表
此範例會示範如何建立身分型政策,允許完整存取 `MyTable` DynamoDB 資料表。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
**重要**
此政策允許可以在 DynamoDB 資料表上執行的所有動作。若要查看這些動作的詳細資訊,請參閱《Amazon DynamoDB 開發人員指南》**中的 [DynamoDB API 許可:動作、資源和條件參考](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/api-permissions-reference.html)。您可以透過列出每個個別的動作來提供相同的許可。不過,如果您在 `Action` 元素使用萬用字元 (`*`) (例如 `"dynamodb:List*"`),則在 DynamoDB 新增新的清單動作時,您就不需要更新您的政策。
此政策僅允許對具有指定名稱的 DynamoDB 資料表執行動作。若要允許使用者`Read`存取 DynamoDB 中的所有內容,您也可以連接 [AmazonDynamoDBReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess) AWS 受管政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAndDescribe",
"Effect": "Allow",
"Action": [
"dynamodb:List*",
"dynamodb:DescribeReservedCapacity*",
"dynamodb:DescribeLimits",
"dynamodb:DescribeTimeToLive"
],
"Resource": "*"
},
{
"Sid": "SpecificTable",
"Effect": "Allow",
"Action": [
"dynamodb:BatchGet*",
"dynamodb:DescribeStream",
"dynamodb:DescribeTable",
"dynamodb:Get*",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:BatchWrite*",
"dynamodb:CreateTable",
"dynamodb:Delete*",
"dynamodb:Update*",
"dynamodb:PutItem"
],
"Resource": "arn:aws:dynamodb:*:*:table/MyTable"
}
]
}
```
------
# Amazon DynamoDB:允許存取特定屬性
此範例會示範如何建立身身分型政策,允許存取特定 DynamoDB 屬性。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
`dynamodb:Select` 要求防止 API 動作傳回任何不允許的屬性,例如來自索引投影的屬性。若要進一步了解 DynamoDB 條件金鑰,請參閱《Amazon DynamoDB 開發人員指南》**中的[指定條件:使用條件金鑰](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys)。若要了解使用 IAM 政策中的 `Condition` 區塊內之多重條件或多重條件索引鍵的相關資訊,請參閱 [條件中的多個值](reference_policies_elements_condition.md#Condition-multiple-conditions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:BatchWriteItem"
],
"Resource": ["arn:aws:dynamodb:*:*:table/table-name"],
"Condition": {
"ForAllValues:StringEquals": {
"dynamodb:Attributes": [
"column-name-1",
"column-name-2",
"column-name-3"
]
},
"StringEqualsIfExists": {"dynamodb:Select": "SPECIFIC_ATTRIBUTES"}
}
}
]
}
```
------
# Amazon DynamoDB:允許根據 Amazon Cognito ID 對 DynamoDB 進行項目層級存取
此範例會示範如何建立身分型政策,允許根據 Amazon Cognito 身分池使用者 ID 對 `MyTable` DynamoDB 資料表進行項目層級存取。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
若要使用此政策,您必須建構 DynamoDB 資料表,使 Amazon Cognito 身分池使用者 ID 是分割區索引鍵。如需詳細資訊,請參閱《Amazon DynamoDB 開發人員指南》**中的[建立資料表](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.CreateTable)。
若要進一步了解 DynamoDB 條件金鑰,請參閱《Amazon DynamoDB 開發人員指南》**中的[指定條件:使用條件金鑰](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:DeleteItem",
"dynamodb:GetItem",
"dynamodb:PutItem",
"dynamodb:Query",
"dynamodb:UpdateItem"
],
"Resource": ["arn:aws:dynamodb:*:*:table/MyTable"],
"Condition": {
"ForAllValues:StringEquals": {
"dynamodb:LeadingKeys": ["${cognito-identity.amazonaws.com:sub}"]
}
}
}
]
}
```
------
# Amazon EC2:根據標籤將 Amazon EBS 磁碟區與 EC2 執行個體連接或分開
此範例會示範如何建立身分型政策,允許 EBS 磁碟區擁有者將使用標籤 `VolumeUser` 定義的 EBS 磁碟區與標記為開發執行個體的 EC2 執行個體 (`Department=Development`) 連接或分開。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
如需有關建立 IAM 政策以控制對 Amazon EC2 資源的存取的詳細資訊,請參閱 *Amazon EC2 User Guide* 中的 [Controlling Access to Amazon EC2 Resources](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/UsingIAM.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Department": "Development"}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": "arn:aws:ec2:*:*:volume/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/VolumeUser": "${aws:username}"}
}
}
]
}
```
------
# Amazon EC2:允許以程式設計方式在特定子網路中,以及主控台中啟動 EC2 執行個體
此範例會示範如何建立身分型政策,允許列出所有 EC2 物件的資訊並在特定子網路中啟動 EC2 執行個體。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"ec2:GetConsole*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:subnet/subnet-subnet-id",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*::image/ami-*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:security-group/*"
]
}
]
}
```
------
# Amazon EC2:允許以程式設計方式和在主控台中管理具備特定標籤鍵值對的 EC2 安全群組
此範例顯示如何建立身分型政策,授予使用者對具有相同標籤的安全群組採取特定動作的許可。此政策會授予許可以在 Amazon EC2 主控台中檢視安全群組,並針對具有 `Department=Test` 標籤的現有安全群組新增和移除傳入與傳出規則,以及列出和修改規則說明。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:ModifySecurityGroupRules",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Test"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySecurityGroupRules"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:security-group-rule/*"
]
}
]
}
```
------
# Amazon EC2:允許以程式設計方式和在主控台中開始或停止使用者已標記的 EC2 執行個體
此範例會示範如何建立身分型政策,允許 IAM 使用者啟動或停止 EC2 執行個體,但前提是執行個體標籤 `Owner` 的值是該使用者的使用者名稱。此政策定義了程式設計和主控台存取的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:DescribeInstances",
"Resource": "*"
}
]
}
```
------
# EC2:依據標籤啟動或停止執行個體
此範例會示範如何建立身分型政策,允許使用標籤鍵值對 `Project = DataAnalytics` 來啟動或停止執行個體,但僅可由具有標籤鍵值對 `Department = Data` 的主體進行。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
如果條件的兩個部分都傳回 true,政策的條件就會傳回 true。執行個體必須擁有 `Project=DataAnalytics` 標籤。此外,發出請求的 IAM 主體 (使用者或角色) 都必須擁有 `Department=Data` 標籤。
**注意**
對於某些使用者可能有而某些使用者可能沒有指定的標籤的案例而言,最佳實務是將具有 `aws:PrincipalTag` 條件索引鍵的政策連接至 IAM 群組。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "StartStopIfTags",
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "DataAnalytics",
"aws:PrincipalTag/Department": "Data"
}
}
}
]
}
```
------
# EC2:依據比對主體和資源的標籤啟動或停止執行個體
此範例會示範如何建立身分型政策,允許主體在執行個體的資源標籤與主體的標籤之標籤鍵 `CostCenter` 值相同時,啟動或停止 Amazon EC2 執行個體。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
**注意**
對於某些使用者可能有而某些使用者可能沒有指定的標籤的案例而言,最佳實務是將具有 `aws:PrincipalTag` 條件索引鍵的政策連接至 IAM 群組。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:startInstances",
"ec2:stopInstances"
],
"Resource": "*",
"Condition": {"StringEquals":
{"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"}}
}
}
```
------
# Amazon EC2:允許在特定區域內,以程式設計方式和在主控台進行 EC2 完全存取
此範例會示範如何建立身分型政策,允許在特定區域內完整存取 EC2。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。如需區域代碼的清單,請參閱《Amazon EC2 使用者指南》**中的[可用區域](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions)。
或者,您可以使用全域條件金鑰 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion),它受所有 Amazon EC2 API 動作支援。如需詳細資訊,請參閱《Amazon EC2 使用者指南》**中的[範例:限制特定區域的存取](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ec2:Region": "us-east-2"
}
}
}
]
}
```
------
# Amazon EC2:允許以程式設計方式和在主控台中啟動或停用特 EC2 執行個體並修改安全群組
此範例會示範如何建立身分型政策,允許啟動或停止特定的 EC2 執行個體並修改特定的安全群組。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeStaleSecurityGroups"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/i-instance-id",
"arn:aws:ec2:*:*:security-group/sg-security-group-id"
],
"Effect": "Allow"
}
]
}
```
------
# Amazon EC2:要求特定 EC2 操作的 MFA (GetSessionToken)
此範例示範如何建立身分型政策,允許完整存取 Amazon EC2 中的所有 AWS API 操作。不過,如果未透過[多重要素驗證 (MFA)](id_credentials_mfa.md) 來對使用者進行驗證,此政策會明確拒絕對 `StopInstances` 和 `TerminateInstances` API 操作的存取。若要以程式設計的方式執行,使用者必須在呼叫 `SerialNumber` 操作時包含選用 `TokenCode` 和 `GetSessionToken` 值。這個操作會傳回透過使用 MFA 驗證的臨時憑證。要進一步了解 GetSessionToken 的相關資訊,請參閱 [為不信任環境中的使用者請求憑證](id_credentials_temp_request.md#api_getsessiontoken)。
此政策的功能為何?
+ `AllowAllActionsForEC2` 陳述式會允許所有 Amazon EC2 動作。
+ MFA 內容遺失時,`DenyStopAndTerminateWhenMFAIsNotPresent` 陳述式會拒絕 `StopInstances` 和 `TerminateInstances` 動作。這表示當多重驗證內容遺失 (表示未使用 MFA) 時,動作遭拒。拒絕會覆寫允許。
**注意**
`MultiFactorAuthPresent` 陳述式中 `Deny` 的條件檢查不應該是 `{"Bool":{"aws:MultiFactorAuthPresent":false}}`,因為該索引鍵不存在,並且在不使用 MFA 時無法評估。因此,在檢查值之前,使用 `BoolIfExists` 檢查來查看索引鍵是否存在。如需詳細資訊,請參閱[...IfExists 條件運算子](reference_policies_elements_condition_operators.md#Conditions_IfExists)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllActionsForEC2",
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*"
},
{
"Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
"Effect": "Deny",
"Action": [
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {"aws:MultiFactorAuthPresent": false}
}
}
]
}
```
------
# Amazon EC2:限制終止 EC2 執行個體到 IP 地址範圍
此範例會示範如何建立身分型政策,透過允許動作限制 EC2 執行個體,但當請求來自指定 IP 範圍之外時明確拒絕存取。當您公司的 IP 地址在指定範圍內時,該政策很有用。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
如果此政策與允許 `ec2:TerminateInstances`動作的其他政策 (例如 [AmazonEC2FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess) AWS 受管政策) 搭配使用,則會拒絕存取。這是因為明確拒絕陳述式的優先順序會在允許陳述式。如需詳細資訊,請參閱[AWS 強制執行程式碼邏輯如何評估允許或拒絕存取的請求](reference_policies_evaluation-logic_policy-eval-denyallow.md)。
**重要**
`aws:SourceIp` 條件金鑰拒絕存取代表您進行呼叫 AWS CloudFormation的 AWS 服務,例如 。如需有關使用 `aws:SourceIp` 條件索引鍵的詳細資訊,請參閱 [AWS 全域條件內容索引鍵](reference_policies_condition-keys.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["ec2:TerminateInstances"],
"Resource": ["*"]
},
{
"Effect": "Deny",
"Action": ["ec2:TerminateInstances"],
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
},
"Resource": ["*"]
}
]
}
```
------
# IAM:存取政策模擬器 API
此範例會示範如何建立身分型政策,允許將政策模擬器 API 用於連接到目前 AWS 帳戶中的使用者、群組或角色的政策。此政策還允許存取模擬做為字串傳送到 API 的不太敏感的政策。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetContextKeysForCustomPolicy",
"iam:GetContextKeysForPrincipalPolicy",
"iam:SimulateCustomPolicy",
"iam:SimulatePrincipalPolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
**注意**
若要允許使用者存取政策模擬器主控台,以模擬連接到目前 中使用者、群組或角色的政策 AWS 帳戶,請參閱 [IAM:存取政策模擬器主控台](reference_policies_examples_iam_policy-sim-console.md)。
# IAM:存取政策模擬器主控台
此範例會示範如何建立身分型政策,允許將政策模擬器主控台用於連接到目前 AWS 帳戶中的使用者、群組或角色的政策。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。
您可前往 [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/) 存取 IAM 政策模擬器主控台
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetGroup",
"iam:GetGroupPolicy",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListAttachedRolePolicies",
"iam:ListAttachedUserPolicies",
"iam:ListGroups",
"iam:ListGroupPolicies",
"iam:ListGroupsForUser",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:ListUserPolicies",
"iam:ListUsers"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# IAM:擔任具有特定標籤的角色
此範例會示範如何建立身分型政策,允許 IAM 使用者擔任具標籤鍵值對 `Project = ExampleCorpABC` 的角色。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
如果具此標籤的角色存在於與使用者相同的帳戶中,則該使用者可擔任該角色。如果具此標籤的角色存在於與使用者不同的帳戶中,則需要額外的許可。跨帳戶角色的信任政策還必須允許使用者或使用者帳戶的所有成員擔任該角色。如需使用跨帳戶存取之角色的詳細資訊,請參閱 [在您擁有的另一個 IAM 使用者中 AWS 帳戶 存取](id_roles_common-scenarios_aws-accounts.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AssumeTaggedRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringEquals": {"iam:ResourceTag/Project": "ExampleCorpABC"}
}
}
]
}
```
------
# IAM:以程式設計方式和在主控台中允許和拒絕對多個服務的存取
此範例會示範如何建立身分型政策,允許完整存取 IAM 中的多項服務和有限的自我管理存取權限。此政策也拒絕對 Amazon S3 `logs` 儲存貯體或 Amazon EC2 `i-1234567890abcdef0` 執行個體的存取權限。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
**警告**
此政策允許在多個服務中對每個動作和資源的完整存取。此政策應該僅適用於信任的管理員。
您可以將此政策用作為許可界線,來定義以身分為基礎的政策可以授予 IAM 使用者的許可上限。如需詳細資訊,請參閱 [使用許可界限委派責任給他人](access_policies_boundaries.md#access_policies_boundaries-delegate)。將此政策用作為使用者的許可界線時,此陳述式會定義以下界線:
+ 此 `AllowServices` 陳述式會允許對指定 AWS 服務的完整存取。這表示使用者在這些服務的動作,僅受限於連接到使用者的許可政策。
+ `AllowIAMConsoleForCredentials` 陳述式允許列出所有 IAM 使用者的存取權。這個存取權是導覽 AWS 管理主控台中 **Users (使用者)** 頁面的必要條件。它也允許檢視帳戶的密碼要求,對於要變更自身密碼的使用者來說這是必要的程序。
+ `AllowManageOwnPasswordAndAccessKeys` 陳述式允許使用者僅管理自己的主控台密碼和程式設計存取金鑰。這很重要,因為如果另一個政策提供使用者完整的 IAM 存取權,則該使用者便可以變更自己或其他使用者的許可。此陳述式可避免此種情況發生。
+ `DenyS3Logs` 陳述式明確拒絕存取 `logs` 儲存貯體。此政策會向該使用者強制執行公司限制。
+ `DenyEC2Production` 陳述式明確拒絕存取 `i-1234567890abcdef0` 執行個體。
此政策不允許存取其他服務或動作。當政策用作使用者的許可界限時,即使連接到使用者的其他政策允許這些動作, 也會 AWS 拒絕請求。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowServices",
"Effect": "Allow",
"Action": [
"s3:*",
"cloudwatch:*",
"ec2:*"
],
"Resource": "*"
},
{
"Sid": "AllowIAMConsoleForCredentials",
"Effect": "Allow",
"Action": [
"iam:ListUsers",
"iam:GetAccountPasswordPolicy"
],
"Resource": "*"
},
{
"Sid": "AllowManageOwnPasswordAndAccessKeys",
"Effect": "Allow",
"Action": [
"iam:*AccessKey*",
"iam:ChangePassword",
"iam:GetUser",
"iam:*LoginProfile*"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "DenyS3Logs",
"Effect": "Deny",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::logs",
"arn:aws:s3:::logs/*"
]
},
{
"Sid": "DenyEC2Production",
"Effect": "Deny",
"Action": "ec2:*",
"Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
}
]
}
```
------
# IAM:將特定標籤新增至具有特定標籤的使用者
此範例會示範如何建立身分型政策,允許對 IAM 使用者新增具有標籤值 `Marketing`、`Development` 或 `QualityAssurance` 的標籤索引鍵 `Department`。該使用者必須已包含標籤鍵值對 `JobFunction = manager`。您可以使用此政策要求經理僅隸屬於下列三個部門之一。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
`ListTagsForAllUsers` 陳述式可讓您檢視帳戶中的所有使用者。
`TagManagerWithSpecificDepartment` 陳述式中的第一個條件是使用 `StringEquals` 條件運算子。如果條件的兩個部分都傳回 true,該條件就會傳回 true。即將標記的使用者必須已經擁有 `JobFunction=Manager` 標籤。該請求必須包含 `Department` 標籤鍵,以及其中一個列出的標籤值。
第二個條件會使用 `ForAllValues:StringEquals` 條件運算子。如果請求中的所有標籤鍵與政策中的鍵相符合,條件會傳回 true。這表示請求中的唯一標籤鍵一定是 `Department`。如需使用 `ForAllValues` 的詳細資訊,請參閱 [用於多值內容索引鍵的集運算子](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListTagsForAllUsers",
"Effect": "Allow",
"Action": [
"iam:ListUserTags",
"iam:ListUsers"
],
"Resource": "*"
},
{
"Sid": "TagManagerWithSpecificDepartment",
"Effect": "Allow",
"Action": "iam:TagUser",
"Resource": "*",
"Condition": {"StringEquals": {
"iam:ResourceTag/JobFunction": "Manager",
"aws:RequestTag/Department": [
"Marketing",
"Development",
"QualityAssurance"
]
},
"ForAllValues:StringEquals": {"aws:TagKeys": "Department"}
}
}
]
}
```
------
# IAM:新增特定標籤與特定值
此範例會示範如何建立身分型政策,允許對任何 IAM 使用者或角色僅新增標籤索引鍵 `CostCenter` 以及標籤值 `A-123` 或標籤值 `B-456`。您可以使用這個政策,限制標記至特定標籤鍵與一組標籤值。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
`ConsoleDisplay` 陳述式可讓您檢視帳戶中的所有使用者與角色。
`AddTag` 陳述式中的第一個條件是使用 `StringEquals` 條件運算子。如果請求的 `CostCenter` 標籤鍵包含其中一個列出的標籤值,該條件就會傳回 true。
第二個條件會使用 `ForAllValues:StringEquals` 條件運算子。如果請求中的所有標籤鍵與政策中的鍵相符合,條件會傳回 true。這表示請求中的唯一標籤鍵一定是 `CostCenter`。如需使用 `ForAllValues` 的詳細資訊,請參閱 [用於多值內容索引鍵的集運算子](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConsoleDisplay",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:GetUser",
"iam:ListRoles",
"iam:ListRoleTags",
"iam:ListUsers",
"iam:ListUserTags"
],
"Resource": "*"
},
{
"Sid": "AddTag",
"Effect": "Allow",
"Action": [
"iam:TagUser",
"iam:TagRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/CostCenter": [
"A-123",
"B-456"
]
},
"ForAllValues:StringEquals": {"aws:TagKeys": "CostCenter"}
}
}
]
}
```
------
# IAM:建立僅具有特定標籤的新使用者
此範例會示範如何建立身分型政策,允許建立 IAM 使用者,但僅能使用 `Department` 和 `JobFunction` 標籤鍵 (其中之一或兩者)。`Department` 標籤鍵必須擁有 `Development` 或 `QualityAssurance` 標籤值。`JobFunction` 標籤鍵必須擁有 `Employee` 標籤值。您可以使用此政策要求新使用者具有特定任務函數與部門。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
陳述式中的第一個條件是使用 `StringEqualsIfExists` 條件運算子。如果請求中有採用 `Department` 或 `JobFunction` 鍵的標籤,則該標籤必須擁有指定值。如果上述鍵都不存在,則這個條件會評估為 true。只有當請求中出現其中一個指定的條件金鑰,且包含的值不同於允許的值時,條件才會評估為 false。如需使用 `IfExists` 的詳細資訊,請參閱 [...IfExists 條件運算子](reference_policies_elements_condition_operators.md#Conditions_IfExists)。
第二個條件會使用 `ForAllValues:StringEquals` 條件運算子。如果請求中的每個指定的標籤鍵值,至少與政策中的一個值之間相符,條件就會傳回 true。這表示請求中的所有標籤都一定會屬於這份清單。不過,請求可以在清單中僅包含其中一個標籤。例如,您可以建立僅包含 `Department=QualityAssurance` 標籤的 IAM 使用者。不過,您無法建立同時包含 `JobFunction=employee` 標籤和 `Project=core` 標籤的 IAM 使用者。如需使用 `ForAllValues` 的詳細資訊,請參閱 [用於多值內容索引鍵的集運算子](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TagUsersWithOnlyTheseTags",
"Effect": "Allow",
"Action": [
"iam:CreateUser",
"iam:TagUser"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"aws:RequestTag/Department": [
"Development",
"QualityAssurance"
],
"aws:RequestTag/JobFunction": "Employee"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"Department",
"JobFunction"
]
}
}
}
]
}
```
------
# IAM:產生和擷取 IAM 憑證報告
此範例示範如何建立身分型政策,允許使用者產生和下載報告,列出其中的所有 IAM 使用者 AWS 帳戶。此報告包含使用者憑證的狀態,包括密碼、存取金鑰、MFA 裝置和簽章憑證。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。
如需有關憑證報告的詳細資訊,請參閱 [為您的 產生登入資料報告 AWS 帳戶](id_credentials_getting-report.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:GenerateCredentialReport",
"iam:GetCredentialReport"
],
"Resource": "*"
}
}
```
------
# IAM:允許以程式設計方式及在主控台中管理群組的成員資格
此範例會示範如何建立身分型政策,允許更新名為 `MarketingTeam` 的群組成員。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
此政策的功能為何?
+ `ViewGroups` 陳述式可讓使用者在 AWS 管理主控台中列出所有使用者和群組。它還可讓使用者檢視帳戶中使用者的相關基本資訊。這些許可必須位於自己的陳述式中,因為它們不支援或不需要指定資源 ARN。而是許可指定 `"Resource" : "*"`。
+ `ViewEditThisGroup` 陳述式可讓使用者檢視 `MarketingTeam` 群組的相關資訊,以及從該群組新增和移除使用者。
此政策不允許使用者檢視或編輯使用者或 `MarketingTeam` 群組的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewGroups",
"Effect": "Allow",
"Action": [
"iam:ListGroups",
"iam:ListUsers",
"iam:GetUser",
"iam:ListGroupsForUser"
],
"Resource": "*"
},
{
"Sid": "ViewEditThisGroup",
"Effect": "Allow",
"Action": [
"iam:AddUserToGroup",
"iam:RemoveUserFromGroup",
"iam:GetGroup"
],
"Resource": "arn:aws:iam::*:group/MarketingTeam"
}
]
}
```
------
# IAM:管理特定標籤
此範例會示範如何建立身分型政策,允許使用標籤索引鍵 `Department` 從 IAM 實體 (使用者和角色) 新增和移除 IAM 標籤。此政策不會限制 `Department` 標籤的值。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:TagUser",
"iam:TagRole",
"iam:UntagUser",
"iam:UntagRole"
],
"Resource": "*",
"Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": "Department"}}
}
}
```
------
# IAM:將 IAM 角色傳遞至特定 AWS 服務
此範例會示範如何建立身分型政策,允許將任何 IAM 服務角色傳遞給 Amazon CloudWatch 服務。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
服務角色是 IAM 角色,可將 AWS 服務指定為可擔任該角色的委託人。此角色可讓服務擔任角色並代表您存取其他服務中的資源。若要允許 Amazon CloudWatch 擔任您傳遞的該角色,您必須將 `cloudwatch.amazonaws.com` 服務主體指定為角色信任政策中的主體。服務主體是由服務定義。若要了解服務的服務主體,請參閱該服務的文件。對於某些服務,請參閱 [AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md) 並尋找 **Service-Linked Role** (服務連結角色) 資料欄具有 **Yes** (是) 的服務。選擇具有連結的 **Yes (是)**,以檢視該服務的服務連結角色文件。搜尋 `amazonaws.com` 來檢視服務主體。
若要進一步了解將服務角色傳遞到服務的詳細資訊,請參閱 [授予使用者將角色傳遞至 AWS 服務的許可](id_roles_use_passrole.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {"iam:PassedToService": "cloudwatch.amazonaws.com"}
}
}
]
}
```
------
# IAM:允許對 IAM 主控台的唯讀存取,而不需要報告
此範例會示範如何建立身分型政策,允許 IAM 使用者執行以字串 `Get` 或 `List` 開頭的任何 IAM 動作。當使用者使用主控台時,主控台會向 IAM 發出請求,以列出群組、使用者、角色和政策,並產生與這些資源相關的報告。
星號會做為萬用字元。當您在政策中使用 `iam:Get*` 時,產生的許可包括以 `Get` 開頭的所有 IAM 動作,例如 `GetUser` 和 `GetRole`。如果在未來將新實體類型新增到 IAM 時萬用字元會很有用。在這種情況下,此政策授予的許可會自動允許使用者列出和取得這些新實體的詳細資訊。
此政策無法用於產生報告或服務上次存取的詳細資訊。如需了解允許此操作的其他政策,請參閱[IAM:允許對 IAM 主控台的唯讀存取權](reference_policies_examples_iam_read-only-console.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:Get*",
"iam:List*"
],
"Resource": "*"
}
}
```
------
# IAM:允許對 IAM 主控台的唯讀存取權
此範例會示範如何建立身分型政策,允許 IAM 使用者執行以字串 `Get`、`List` 或 `Generate` 開頭的任何 IAM 動作。當使用者使用 IAM 主控台時,該主控台會發出請求,以列出群組、使用者、角色和政策,並產生與這些資源相關的報告。
星號會做為萬用字元。當您在政策中使用 `iam:Get*` 時,產生的許可包括以 `Get` 開頭的所有 IAM 動作,例如 `GetUser` 和 `GetRole`。使用萬用字元是有幫助的,特別是在未來將新的實體類型新增到 IAM 的情況。在這種情況下,此政策授予的許可會自動允許使用者列出和取得這些新實體的詳細資訊。
使用此政策進行主控台存取,其中包含產生報告或服務上次存取詳細資訊的許可。如需不允許產生動作的其他政策,請參閱 [IAM:允許對 IAM 主控台的唯讀存取,而不需要報告](reference_policies_examples_iam_read-only-console-no-reporting.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:Get*",
"iam:List*",
"iam:Generate*"
],
"Resource": "*"
}
}
```
------
# IAM:允許特定 IAM 使用者以程式設計方式在主控台中管理群組
此範例會示範如何建立身分型政策,允許特定 IAM 使用者管理 `AllUsers` 群組。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
此政策的功能為何?
+ 此 `AllowAllUsersToListAllGroups` 陳述式允許列出所有群組。主控台存取需要此功能。由於此許可不支援資源 ARN,因此此許可必須在其陳述式中。而是許可指定 `"Resource" : "*"`。
+ 此 `AllowAllUsersToViewAndManageThisGroup` 陳述式允許可在群組資源類型上執行的所有群組動作。它不允許 `ListGroupsForUser` 動作,此動作可在使用者資源類型而不是群組資源類型上執行。如需有關可以為 IAM 動作指定的資源類型的詳細資訊,請參閱 [AWS Identity and Access Management的動作、資源和條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions)。
+ `LimitGroupManagementAccessToSpecificUsers` 陳述式會拒絕具指定名稱的使用者的寫入存取和許可管理群組動作。當政策中指定的使用者嘗試對群組進行變更,此陳述式不會拒絕請求。`AllowAllUsersToViewAndManageThisGroup` 陳述式會允許該請求。如果其他使用者嘗試執行這些操作,請求會被拒絕。您可以在 IAM 主控台建立此政策時,檢視透過 **Write** (寫入) 或 **Permissions management** (許可管理) 存取層級拒絕的 IAM 動作。若要執行此操作,請從 **JSON** 索引標籤切換到 **Visual editor** (視覺編輯器) 索引標籤。如需有關存取層級的詳細資訊,請參閱 [AWS Identity and Access Management的動作、資源和條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllUsersToListAllGroups",
"Effect": "Allow",
"Action": "iam:ListGroups",
"Resource": "*"
},
{
"Sid": "AllowAllUsersToViewAndManageThisGroup",
"Effect": "Allow",
"Action": "iam:*Group*",
"Resource": "arn:aws:iam::*:group/AllUsers"
},
{
"Sid": "LimitGroupManagementAccessToSpecificUsers",
"Effect": "Deny",
"Action": [
"iam:AddUserToGroup",
"iam:CreateGroup",
"iam:RemoveUserFromGroup",
"iam:DeleteGroup",
"iam:AttachGroupPolicy",
"iam:UpdateGroup",
"iam:DetachGroupPolicy",
"iam:DeleteGroupPolicy",
"iam:PutGroupPolicy"
],
"Resource": "arn:aws:iam::*:group/AllUsers",
"Condition": {
"StringNotEquals": {
"aws:username": [
"srodriguez",
"mjackson",
"adesai"
]
}
}
}
]
}
```
------
# IAM:允許以程式設計方式在主控台中設定帳戶密碼要求
此範例會示範如何建立身分型政策,允許使用者檢視及更新其帳戶的密碼要求。密碼要求會指定帳戶成員密碼的複雜性要求和強制輪換期間。此政策定義了程式設計和主控台存取的許可。
若要了解如何為您的帳戶設定帳戶密碼要求政策,請參閱 [設定 IAM 使用者的帳戶密碼政策](id_credentials_passwords_account-policy.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:GetAccountPasswordPolicy",
"iam:UpdateAccountPasswordPolicy"
],
"Resource": "*"
}
}
```
------
# IAM:根據使用者路徑存取政策模擬器 API
此範例會示範如何建立身分型政策,允許僅對具有路徑 `Department/Development` 的使用者使用政策模擬器 API。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetContextKeysForPrincipalPolicy",
"iam:SimulatePrincipalPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:user/Department/Development/*"
}
]
}
```
------
**注意**
若要建立允許有路徑 `Department/Development` 的使用者使用政策模擬器主控台的政策,請參閱 [IAM:根據使用者路徑存取政策模擬器主控台](reference_policies_examples_iam_policy-sim-path-console.md)。
# IAM:根據使用者路徑存取政策模擬器主控台
此範例會示範如何建立身分型政策,允許僅對具有路徑 `Department/Development` 的使用者使用政策模擬器主控台。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
您可前往 [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/) 存取 IAM 政策模擬器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetPolicy",
"iam:GetUserPolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:GetUser",
"iam:ListAttachedUserPolicies",
"iam:ListGroupsForUser",
"iam:ListUserPolicies",
"iam:ListUsers"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:user/Department/Development/*"
}
]
}
```
------
# IAM:可讓 IAM 使用者自行管理 MFA 裝置
此範例會示範如何建立身分型政策,允許 IAM 使用者自行管理其[多重要素驗證 (MFA)](id_credentials_mfa.md) 裝置。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。
**注意**
如果具有此政策的 IAM 使用者未經 MFA 驗證,則此政策會拒絕存取所有 AWS 動作,但使用 MFA 驗證所需的動作除外。如果您為登入的使用者新增這些許可 AWS,他們可能需要登出再重新登入,才能查看這些變更。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListActions",
"Effect": "Allow",
"Action": [
"iam:ListUsers",
"iam:ListVirtualMFADevices"
],
"Resource": "*"
},
{
"Sid": "AllowUserToCreateVirtualMFADevice",
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice"
],
"Resource": "arn:aws:iam::*:mfa/*"
},
{
"Sid": "AllowUserToManageTheirOwnMFA",
"Effect": "Allow",
"Action": [
"iam:EnableMFADevice",
"iam:GetMFADevice",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowUserToDeactivateTheirOwnMFAOnlyWhenUsingMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice"
],
"Resource": [
"arn:aws:iam::*:user/${aws:username}"
],
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
},
{
"Sid": "BlockMostAccessUnlessSignedInWithMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ListUsers",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
------
# IAM:允許 IAM 使用者以程式設計方式和在主控台更新自己的憑證
此範例會示範如何建立身分型政策,允許 IAM 使用者更新自己的存取金鑰、簽署憑證、服務專用憑證和密碼。此政策定義了程式設計和主控台存取的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListUsers",
"iam:GetAccountPasswordPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:*AccessKey*",
"iam:ChangePassword",
"iam:GetUser",
"iam:*ServiceSpecificCredential*",
"iam:*SigningCertificate*"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
}
]
}
```
------
若要了解使用者可在主控台中變更密碼的詳細資訊,請參閱 [IAM 使用者如何變更自己的密碼](id_credentials_passwords_user-change-own.md)。
# IAM:檢視 AWS Organizations 政策的服務上次存取資訊
此範例說明如何建立身分型政策,以允許檢視特定 AWS Organizations 政策的上次存取服務資訊。此政策允許使用 `p-policy123` ID 來擷取服務控制政策 (SCP) 的資料。產生和檢視報告的人員必須使用 AWS Organizations 管理帳戶登入資料進行身分驗證。此政策允許申請者擷取其組織中任何 AWS Organizations 實體的資料。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
如需上次存取資訊的重要資訊,包含必要的許可、疑難排解及支援區域,請參閱[AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowOrgsReadOnlyAndIamGetReport",
"Effect": "Allow",
"Action": [
"iam:GetOrganizationsAccessReport",
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
},
{
"Sid": "AllowGenerateReportOnlyForThePolicy",
"Effect": "Allow",
"Action": "iam:GenerateOrganizationsAccessReport",
"Resource": "*",
"Condition": {
"StringEquals": {"iam:OrganizationsPolicyId": "p-policy123"}
}
}
]
}
```
------
# IAM:限制可套用至 IAM 使用者、群組或角色的受管政策
此範例示範如何建立身分型政策,限制可套用至 IAM 使用者、群組或角色的客戶受管和 AWS 受管政策。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:AttachUserPolicy",
"iam:DetachUserPolicy"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"iam:PolicyARN": [
"arn:aws:iam::*:policy/policy-name-1",
"arn:aws:iam::*:policy/policy-name-2"
]
}
}
}
}
```
------
# AWS:拒絕存取您帳戶外部的資源 AWS ,受管 IAM 政策除外
在身分型政策中使用 `aws:ResourceAccount` 可能會影響使用者或角色利用某些服務,這些服務需要與某項服務所擁有帳戶中的資源互動。
您可以建立具有例外狀況的政策,以允許 AWS 受管 IAM 政策。您 AWS Organizations 所屬 受管 IAM 政策以外的服務受管帳戶。有四個列出和擷取受管政策的 IAM AWS動作。在陳述式的 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) 元素中使用這些動作。政策中的 `AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
"Effect": "Deny",
"NotAction": [
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:ListEntitiesForPolicy",
"iam:ListPolicies"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceAccount": [
"111122223333"
]
}
}
}
]
}
```
------
# AWS Lambda:允許 Lambda 函數存取 Amazon DynamoDB 資料表
此範例會示範如何建立身分型政策,允許對特定 Amazon DynamoDB 資料表進行讀寫存取。此政策也可將日誌檔寫入 CloudWatch Logs。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
若要使用此政策,請將政策連接到 Lambda [服務角色](id_roles_create_for-service.md)。服務角色是您在帳戶中建立的角色,以允許服務來代表您執行動作。該服務角色必須包含 AWS Lambda 作為信任政策中的委託人。如需如何使用此政策的詳細資訊,請參閱 AWS 安全部落格中的[如何建立 AWS IAM 政策以授予 Amazon DynamoDB 資料表的 AWS Lambda 存取權](https://aws.amazon.com/blogs/security/how-to-create-an-aws-iam-policy-to-grant-aws-lambda-access-to-an-amazon-dynamodb-table/)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteTable",
"Effect": "Allow",
"Action": [
"dynamodb:BatchGetItem",
"dynamodb:GetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:BatchWriteItem",
"dynamodb:PutItem",
"dynamodb:UpdateItem"
],
"Resource": "arn:aws:dynamodb:*:*:table/SampleTable"
},
{
"Sid": "GetStreamRecords",
"Effect": "Allow",
"Action": "dynamodb:GetRecords",
"Resource": "arn:aws:dynamodb:*:*:table/SampleTable/stream/* "
},
{
"Sid": "WriteLogStreamsAndGroups",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "CreateLogGroup",
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "*"
}
]
}
```
------
# Amazon RDS:允許在特定區域內的完整 RDS 資料庫存取
此範例會示範如何建立身分型政策,允許在特定區域內完整存取 RDS 資料庫。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "rds:*",
"Resource": ["arn:aws:rds:us-east-1:*:*"]
},
{
"Effect": "Allow",
"Action": ["rds:Describe*"],
"Resource": ["*"]
}
]
}
```
------
# Amazon RDS:允許以程式設計方式以及在主控台之中還原 RDS 資料庫
此範例會示範如何建立身分型政策,允許還原 RDS 資料庫。此政策定義了程式設計和主控台存取的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"rds:CreateDBParameterGroup",
"rds:CreateDBSnapshot",
"rds:DeleteDBSnapshot",
"rds:Describe*",
"rds:DownloadDBLogFilePortion",
"rds:List*",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyOptionGroup",
"rds:RebootDBInstance",
"rds:RestoreDBInstanceFromDBSnapshot",
"rds:RestoreDBInstanceToPointInTime"
],
"Resource": "*"
}
]
}
```
------
# Amazon RDS:允許標籤持有者擁有對已標記的 RDS 資源的完整存取權限
此範例會示範如何建立身分型政策,允許標籤擁有者完整存取他們已加上標籤的 RDS 資源。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"rds:Describe*",
"rds:List*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"rds:DeleteDBInstance",
"rds:RebootDBInstance",
"rds:ModifyDBInstance"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"rds:db-tag/Owner": "${aws:username}"}
}
},
{
"Action": [
"rds:ModifyOptionGroup",
"rds:DeleteOptionGroup"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"rds:og-tag/Owner": "${aws:username}"}
}
},
{
"Action": [
"rds:ModifyDBParameterGroup",
"rds:ResetDBParameterGroup"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"rds:pg-tag/Owner": "${aws:username}"}
}
},
{
"Action": [
"rds:AuthorizeDBSecurityGroupIngress",
"rds:RevokeDBSecurityGroupIngress",
"rds:DeleteDBSecurityGroup"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"rds:secgrp-tag/Owner": "${aws:username}"}
}
},
{
"Action": [
"rds:DeleteDBSnapshot",
"rds:RestoreDBInstanceFromDBSnapshot"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"rds:snapshot-tag/Owner": "${aws:username}"}
}
},
{
"Action": [
"rds:ModifyDBSubnetGroup",
"rds:DeleteDBSubnetGroup"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"rds:subgrp-tag/Owner": "${aws:username}"}
}
},
{
"Action": [
"rds:ModifyEventSubscription",
"rds:AddSourceIdentifierToSubscription",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:DeleteEventSubscription"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"rds:es-tag/Owner": "${aws:username}"}
}
}
]
}
```
------
# Amazon S3:可讓 Amazon Cognito 使用者存取其儲存貯體中的物件
此範例說明如何建立身分型政策,允許 Amazon Cognito 使用者存取特定 S3 儲存貯體中的物件。此政策僅允許存取名稱包含 `cognito` 的物件、應用程式的名稱和聯合身分主體 ID,以 \$1\$1cognito-identity.amazonaws.com:sub\$1 變數形式呈現。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
**注意**
物件索引鍵中使用的 'sub' 值不是使用者集區中的使用者的 sub 值,而是身分集區中與使用者相關聯的身分 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListYourObjects",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
]
}
}
},
{
"Sid": "ReadWriteDeleteYourObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
]
}
]
}
```
------
Amazon Cognito 為您的 Web 和行動應用程式提供身分驗證、授權和使用者管理。您的使用者可透過使用者名稱和密碼直接登入,或透過第三方 (例如 Facebook、Amazon 或 Google) 登入。
Amazon Cognito 的兩個主要元件是使用者集區和身分集區。使用者集區是一種使用者目錄,能為應用程式使用者提供註冊和登入的選項。身分集區可讓您授予使用者存取其他 AWS 服務的權限。您可以單獨或一併使用身分集區和使用者集區。
如需有關 Amazon Cognito 的詳細資訊,請參閱 [Amazon Cognito 使用者指南](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html)。
# Amazon S3:允許聯合身分使用者以程式設計方式和在主控台中存取其 Amazon S3 主目錄
此範例說明如何建立身分型政策,允許聯合身分主體在 S3 中存取自己的主目錄儲存貯體物件。主目錄是一個儲存貯體,其中包含 `home` 資料夾和個別聯合身分主體的資料夾。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
此政策中的 `${aws:userid}` 變數會解析成 `role-id:specified-name`。聯合身分主體 ID 的 `role-id` 部分是在建立期間指派給聯合身分主體角色的唯一識別碼。如需詳細資訊,請參閱[唯一識別碼](reference_identifiers.md#identifiers-unique-ids)。`specified-name` 是當聯合身分主體擔任其角色時傳遞至 `AssumeRoleWithWebIdentity` 請求的 [RoleSessionName 參數](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html#API_AssumeRoleWithWebIdentity_RequestParameters)。
您可以使用 AWS CLI 命令 檢視角色 ID`aws iam get-role --role-name specified-name`。例如,假設您指定易讀的名稱 `John` 且 CLI 傳回該角色 ID `AROAXXT2NJT7D3SIQN7Z6`。在這種情況下,聯合身分主體的使用者 ID 為 `AROAXXT2NJT7D3SIQN7Z6:John`。之後,此政策會允許聯合身分主體 John 使用字首 `AROAXXT2NJT7D3SIQN7Z6:John` 存取 Amazon S3 儲存貯體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ConsoleAccess",
"Effect": "Allow",
"Action": [
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "ListObjectsInBucket",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringLike": {
"s3:prefix": [
"",
"home/",
"home/${aws:userid}/*"
]
}
}
},
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}",
"arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}/*"
]
}
]
}
```
------
# Amazon S3:S3 儲存貯體的存取,但生產儲存貯體在沒有最新 MFA 的情況下遭拒
此範例會示範如何建立身分型政策,允許 Amazon S3 管理員存取任何儲存貯體,包括更新、新增和刪除物件。不過,如果使用者沒有在最近三十分鐘內使用[多重要素驗證 (MFA)](id_credentials_mfa.md) 登入,則會明確拒絕 `amzn-s3-demo-bucket-production` 儲存貯體的存取權。此政策會授予在主控台中執行此動作或使用 或 AWS CLI AWS API 以程式設計方式執行此動作所需的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
此政策永遠不會使用長期使用者存取金鑰來允許以程式設計方式存取 `amzn-s3-demo-bucket` 儲存貯體。這是使用 `aws:MultiFactorAuthAge` 條件索引鍵搭配 `NumericGreaterThanIfExists` 條件運算子一起完成。如果 MFA 不存在或 MFA 的存在時間大於 30 分鐘,則此政策條件會傳回 `true`。在這些情況下會拒絕存取。若要以程式設計方式存取 `amzn-s3-demo-bucket-production` 儲存貯體,S3 管理員必須使用過去 30 分鐘內以 [GetSessionToken](id_credentials_temp_request.md#api_getsessiontoken) API 操作產生的臨時憑證。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAllS3Buckets",
"Effect": "Allow",
"Action": ["s3:ListAllMyBuckets"],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "AllowBucketLevelActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "AllowBucketObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::*/*"
},
{
"Sid": "RequireMFAForProductionBucket",
"Effect": "Deny",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket-production/*",
"arn:aws:s3:::amzn-s3-demo-bucket-production"
],
"Condition": {
"NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"}
}
}
]
}
```
------
# Amazon S3:可讓 IAM 使用者以程式設計方式和在主控台存取其 S3 主目錄
此範例會示範如何建立身分型政策,允許 IAM 使用者在 S3 中存取自己的主目錄儲存貯體物件。主目錄是一個儲存貯體,其中包含 `home` 資料夾和個別使用者的資料夾。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
使用 IAM 角色時,此政策將無法運作,因為使用 IAM 角色時無法使用 `aws:username` 變數。如需有關主要鍵值的詳細資訊,請參閱 [主體索引鍵值](reference_policies_variables.md#principaltable)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ConsoleAccess",
"Effect": "Allow",
"Action": [
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "ListObjectsInBucket",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringLike": {
"s3:prefix": [
"",
"home/",
"home/${aws:username}/*"
]
}
}
},
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}",
"arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}/*"
]
}
]
}
```
------
# Amazon S3:限制管理特定的 S3 儲存貯體
此範例會示範如何建立身分型政策,將 Amazon S3 儲存貯體的管理限制到特定儲存貯體。此政策授予執行所有 Amazon S3 動作的許可,但拒絕存取每個 AWS 服務 ,但 Amazon S3 除外。請參閱以下範例。根據此政策,您只能存取可對 S3 儲存貯體或 S3 物件資源執行的 Amazon S3 動作。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
如果此政策與允許此政策拒絕動作的其他政策 (例如 [AmazonS3FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess) 或 [AmazonEC2FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess) AWS 受管政策) 搭配使用,則會拒絕存取。這是因為明確拒絕陳述式的優先順序會在允許陳述式。如需詳細資訊,請參閱[AWS 強制執行程式碼邏輯如何評估允許或拒絕存取的請求](reference_policies_evaluation-logic_policy-eval-denyallow.md)。
**警告**
[`NotAction`](reference_policies_elements_notaction.md) 和 [`NotResource`](reference_policies_elements_notresource.md) 是必須謹慎使用的進階政策元素。此政策拒絕存取除 Amazon S3 以外的每個 AWS 服務。如果您將此政策連接到使用者,則會忽略向其他服務授予許可的任何其他政策,並拒絕存取。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
},
{
"Effect": "Deny",
"NotAction": "s3:*",
"NotResource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
# 對 Amazon S3 儲存貯體物件授予讀取和寫入存取權
此範例會示範如何建立身分型政策,允許 `Read` 和 `Write` 存取特定 Amazon S3 儲存貯體中的物件。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
`s3:*Object` 動作在動作名稱中使用萬用字元。`AllObjectActions` 陳述式允許 `GetObject`、`DeleteObject`、`PutObject` 以及任何其他以字元「Object」結尾的 Amazon S3 動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListObjectsInBucket",
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": ["arn:aws:s3:::bucket-name"]
},
{
"Sid": "AllObjectActions",
"Effect": "Allow",
"Action": "s3:*Object",
"Resource": ["arn:aws:s3:::bucket-name/*"]
}
]
}
```
------
**注意**
若要允許 `Read` 和 `Write` 存取 Amazon S3 儲存貯體中的物件,並包含對主控台的其他存取權限,請參閱 [Amazon S3:允許以程式設計方式和在主控台以讀取和寫入存取 S3 儲存貯體中的物件](reference_policies_examples_s3_rw-bucket-console.md)。
# Amazon S3:允許以程式設計方式和在主控台以讀取和寫入存取 S3 儲存貯體中的物件
此範例會示範如何建立身分型政策,允許 `Read` 和 `Write` 存取特定 S3 儲存貯體中的物件。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。
`s3:*Object` 動作在動作名稱中使用萬用字元。`AllObjectActions` 陳述式允許 `GetObject`、`DeleteObject`、`PutObject` 以及任何其他以字元「Object」結尾的 Amazon S3 動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ConsoleAccess",
"Effect": "Allow",
"Action": [
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "ListObjectsInBucket",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"]
},
{
"Sid": "AllObjectActions",
"Effect": "Allow",
"Action": "s3:*Object",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
}
]
}
```
------
# 管理 IAM 政策
IAM 提供您建立並管理所有 IAM 政策類型的工具 (受管政策與內嵌政策)。若要新增許可到 IAM 身分 (IAM 使用者、群組或角色),您可以建立政策、驗證政策,然後將政策連接至身分。您可以將多個政策連接到身分,而每個政策可以包含多個許可。
**Topics**
+ [其他資源](#access_policies_manage-additional-resources)
+ [使用客戶管理政策定義自訂 IAM 許可](access_policies_create.md)
+ [IAM 政策驗證](access_policies_policy-validator.md)
+ [使用 IAM 政策模擬器測試 IAM 政策](access_policies_testing-policies.md)
+ [新增和移除 IAM 身分許可](access_policies_manage-attach-detach.md)
+ [版本控制 IAM 政策](access_policies_managed-versioning.md)
+ [編輯 IAM 政策](access_policies_manage-edit.md)
+ [刪除 IAM 政策](access_policies_manage-delete.md)
+ [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)
## 其他資源
下列資源可協助您進一步了解 AWS 政策。
+ 如需有關不同 IAM 類型的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)。
+ 如需在 IAM 中使用政策的一般資訊,請參閱 [AWS 資源的存取管理](access.md)。
+ 如需如何使用 IAM Access Analyzer 產生以實體存取活動為基礎之 IAM 政策的詳細資訊,請參閱[產生 IAM Access Analyzer 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)。
+ 如需了解當指定 IAM 身分有多個有效政策時的許可評估方式,請參閱 [政策評估邏輯](reference_policies_evaluation-logic.md)。
+ AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
# 使用客戶管理政策定義自訂 IAM 許可
[政策](access_policies.md)會定義 中身分或資源的許可 AWS。您可以使用 AWS 管理主控台 AWS CLI或 AWS API 在 IAM 中建立*客戶受管政策*。客戶管理政策是獨立的政策,在您自己的 AWS 帳戶中進行管理。然後,您可以將政策連接到 中的身分 (使用者、群組和角色) AWS 帳戶。
*身分型政策*是 IAM 中連接到身分的政策。身分型政策可以包含 AWS 受管政策、客戶受管政策和內嵌政策。受 AWS 管政策是由 建立和管理 AWS,您可以使用它們,但無法管理它們。內嵌政策是您建立並接內嵌至 IAM 使用者群組、使用者或角色的政策。內嵌政策無法在其他身分上重複使用,或在其存在的身分之外進行管理。如需詳細資訊,請參閱[新增和移除 IAM 身分許可](access_policies_manage-attach-detach.md)。
一般而言,最好使用客戶受管政策,而不是內嵌政策或 AWS 受管政策。 AWS 受管政策通常提供廣泛的管理或唯讀許可。為了達到最高安全性,應[授予最低權限](best-practices.md#grant-least-privilege),這表示僅授予執行特定任務工作所需的許可。
當您建立或編輯 IAM 政策時, AWS 可以自動執行政策驗證,以協助您建立最低權限的有效政策。在 中 AWS 管理主控台,IAM 識別 JSON 語法錯誤,而 IAM Access Analyzer 提供額外的政策檢查與建議,以協助您進一步精簡政策。若要進一步了解政策驗證的資訊,請參閱 [IAM 政策驗證](access_policies_policy-validator.md)。若要進一步了解 IAM Access Analyzer 政策檢查和可動作的建議,請參閱 [IAM Access Analyzer 政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
您可以使用 AWS 管理主控台 AWS CLI或 AWS API 在 IAM 中建立客戶受管政策。如需使用 CloudFormation 範本新增或更新政策的詳細資訊,請參閱*CloudFormation 《 使用者指南*》中的[AWS Identity and Access Management 資源類型參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)。
**Topics**
+ [建立 IAM 政策 (主控台)](access_policies_create-console.md)
+ [建立 IAM 政策 (AWS CLI)](access_policies_create-cli.md)
+ [建立 IAM 政策 (AWS API)](access_policies_create-api.md)
# 建立 IAM 政策 (主控台)
[政策](access_policies.md)為一個實體,可定義其所連接的身分或資源的許可。您可以使用 AWS 管理主控台 在 IAM 中建立*客戶受管政策*。客戶管理政策是獨立的政策,在您自己的 AWS 帳戶進行管理。然後,您可以將政策連接到 中的身分 (使用者、群組和角色) AWS 帳戶。
AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
**Topics**
+ [建立 IAM 政策](#access_policies_create-start)
+ [正在使用 JSON 編輯器建立政策](#access_policies_create-json-editor)
+ [使用視覺化編輯器來建立政策](#access_policies_create-visual-editor)
+ [匯入現有的受管政策](#access_policies_create-copy)
## 建立 IAM 政策
您可以使用下列 AWS 管理主控台 其中一種方法,在 中建立客戶受管政策:
+ **[JSON](#access_policies_create-json-editor)** — 貼上並自訂已發布的[以身分為基礎的政策範例](access_policies_examples.md)。
+ **[視覺編輯工具](#access_policies_create-visual-editor)** — 在視覺編輯工具中從零開始建構一個新的政策。若您使用視覺化編輯器,您便無需了解 JSON 語法。
+ **[匯入](#access_policies_create-copy)** — 從帳戶中匯入並自訂受管政策。您可以匯入先前建立的 AWS 受管政策或客戶受管政策。
AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
## 正在使用 JSON 編輯器建立政策
您可以選擇 **JSON** 選項以在 JSON 中輸入或貼上政策。此方法對於複製要在帳戶中使用的[範例政策](access_policies_examples.md)很有幫助。或者,您可以在 JSON 編輯器中輸入自己的 JSON 政策文件。您也可以使用 **JSON** 選項,來在視覺化編輯器與 JSON 之間切換,以比較視圖。
當您建立或編輯 JSON 編輯器中的政策時,IAM 會執行政策驗證以協助您建立有效的政策。IAM 識別 JSON 語法錯誤,而 IAM Access Analyzer 會提供額外的政策檢查及可操作的建議,協助您進一步改良政策。
JSON [政策](access_policies.md) 文件為包含一或多個陳述式。每個陳述式應包含具有相同效果 (`Allow` 或 `Deny`) 並支援相同資源和條件的所有操作。如果一個動作要求指定所有資源 (`"*"`),而另一個動作支援特定資源的 Amazon Resource Name (ARN),則它們必須位於兩個單獨的 JSON 陳述式中。如需關於 ARN 格式的詳細資料,請參閱 *AWS 一般參考 指南*中的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。如需有關 IAM 政策的一般資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)。如需有關 IAM 政策語言的資訊,請參閱 [IAM JSON 政策參考](reference_policies.md)。
**若要使用 JSON 政策編輯器來建立政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
1. 選擇**建立政策**。
1. 在**政策編輯器**中,選擇 **JSON** 選項。
1. 輸入或貼上 JSON 政策文件。如需有關 IAM 政策語言的詳細資訊,請參閱 [IAM JSON 政策參考](reference_policies.md)。
1. 解決[政策驗證](access_policies_policy-validator.md)期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 **Next** (下一步)。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. (選用) 當您在 中建立或編輯政策時 AWS 管理主控台,您可以產生可在 範本中使用的 JSON 或 YAML 政策 CloudFormation 範本。
若要執行此動作,請在**政策編輯器**中選擇**動作**,然後選擇**產生 CloudFormation 範本**。若要進一步了解, CloudFormation 請參閱 AWS CloudFormation 《 使用者指南》中的[AWS Identity and Access Management 資源類型參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)。
1. 將許可新增至政策後,請選擇**下一步**。
1. 在**檢視與建立**頁面上,為您正在建立的政策輸入**政策名稱**與**描述** (選用)。檢視**此政策中定義的許可**,來查看您的政策所授予的許可。
1. (選用) 藉由連接標籤作為鍵值組,將中繼資料新增至政策。如需有關在 IAM 中使用標籤的詳細資訊,請參閱 [AWS Identity and Access Management 資源的標籤](id_tags.md)。
1. 選擇 **Create policy** (建立政策) 儲存您的新政策。
在建立政策之後,即可將它連接至您的群組、使用者或角色。如需詳細資訊,請參閱 [新增和移除 IAM 身分許可](access_policies_manage-attach-detach.md)。
## 使用視覺化編輯器來建立政策
IAM 主控台中的視覺化編輯器將引導您建立政策,而無需編寫 JSON 語法。若要檢視使用視覺化編輯器建立政策的範例,請參閱 [控制對身分的存取](access_controlling.md#access_controlling-identities)。
**若要使用視覺化編輯器來建立政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
1. 選擇**建立政策**。
1. 在**政策編輯器**區段中,尋找**選取服務**區段,然後選擇 AWS 服務。您可用上方的搜尋框來限制服務清單中的結果。您僅可以選擇一項視覺化編輯器許可區塊中的服務。若要授予存取一個以上服務的許可,請選擇**新增更多許可**,來新增多個許可區塊。
1. 在**動作**中,選擇要新增至政策的動作。您可採用以下方式來選擇動作:
+ 選取所有動作的核取方塊。
+ 選擇 **add actions (新增動作)** 來輸入特定動作的名稱。您可以使用萬用字元 (`*`) 來指定多個動作。
+ 選取其中一個 **Access level (存取層級)** 群組,以選擇存取層級的所有動作 (例如,**Read (讀取)**、**Write (寫入)** 或 **List (列出)**)。
+ 展開各個 **Access level** (存取級別) 群組來選擇個別動作。
預設情況下,您建立的政策允許執行選擇的操作。若要拒絕選擇的動作,請選擇 **Switch to deny permissions (切換為拒絕許可)**。由於 [IAM 會根據預設拒絕](reference_policies_evaluation-logic.md),作為安全最佳實務,我們建議您僅允許使用者所需的操作和資源的許可。只有在要覆蓋其他語句或政策單獨允許的許可時,才應建立 JSON 陳述式來拒絕許可。我們建議您將拒絕許可數限制為最低,因為它們可能會增加解決許可問題的難度。
1. 對於 **Resources (資源)**,如果您在先前步驟中選取的服務和動作不支援選擇[特定資源](access_controlling.md#access_controlling-resources),則會允許所有資源,而且您無法編輯此區段。
如果選擇一或多個支援[資源等級許可](access_controlling.md#access_controlling-resources)的動作,視覺化編輯器將列出這些資源。然後,您可以展開 **Resources (資源)** 來為您的政策指定資源。
您可採用以下方式來指定資源:
+ 選擇**新增 ARN**,可根據它們的 Amazon Resource Name (ARN) 來指定資源。您可以使用視覺化 ARN 編輯器或手動列出 ARN。如需 ARN 語法的詳細資訊,請參閱 *AWS 一般參考 指南*中的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。如需使用政策之 `Resource` 元素中 ARN 的詳細資訊,請參閱[IAM JSON 政策元素:Resource](reference_policies_elements_resource.md)。
+ 選擇資源旁的**此帳戶中的任何**,將許可授予該類型的任何資源。
+ 選擇**所有**,可為服務選擇所有資源。
1. (選用) 選擇**請求條件 - *(選用*)**,為您正在建立的政策新增條件。條件可限制 JSON 政策陳述式的效果。例如,您可以指定只有在使用者的請求於特定時間範圍內發生時,使用者才能對資源執行動作。您也可以使用常用的條件,限制使用者必須使用多重要素驗證 (MFA) 裝置進行身分驗證。或者,您可以要求請求必須源自於特定 IP 地址範圍。如需可在政策條件中使用的所有內容金鑰清單,請參閱*《服務授權參考*》中的 [AWS 服務的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
您可採用以下方式來選擇條件:
+ 使用核取方塊來選擇常用條件。
+ 選擇**新增另一個條件**,可指定其他條件。選擇條件的 **Condition Key** (條件金鑰)、**Qualifier** (函式) 以及 **Operator** (運算子),然後輸入一個 **Value** (值)。若要新增超過一個值,請選擇**新增**。您可以將這些值視為藉由邏輯「OR」運算子相連。完成時,請選擇**新增條件**。
若要新增超過一個條件,請再次選擇**新增另一個條件**。視需要重複執行。每項條件僅適用於這一個視覺化編輯器許可區塊。所有條件的許可區塊皆須為 true 才會被視為符合。換句話說,可以將這些條件視為藉由邏輯「AND」運算子相連。
如需有關 **Condition** (條件) 元素的詳細資訊,請參閱 [IAM JSON 政策參考](reference_policies.md) 中的 [IAM JSON 政策元素:Condition](reference_policies_elements_condition.md)。
1. 若要新增更多許可區塊,請選擇**新增更多許可**。針對每個區塊皆重複步驟 2 到 5。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. (選用) 當您在 中建立或編輯政策時 AWS 管理主控台,您可以產生可在 範本中使用的 JSON 或 YAML 政策 CloudFormation 範本。
若要執行此動作,請在**政策編輯器**中選擇**動作**,然後選擇**產生 CloudFormation 範本**。若要進一步了解, CloudFormation 請參閱 AWS CloudFormation 《 使用者指南》中的[AWS Identity and Access Management 資源類型參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)。
1. 將許可新增至政策後,請選擇**下一步**。
1. 在**檢視與建立**頁面上,為您正在建立的政策輸入**政策名稱**與**描述** (選用)。檢視**此政策中定義的許可**,可確認您已授予想要的許可。
1. (選用) 藉由連接標籤作為鍵值組,將中繼資料新增至政策。如需有關在 IAM 中使用標籤的詳細資訊,請參閱 [AWS Identity and Access Management 資源的標籤](id_tags.md)。
1. 選擇 **Create policy** (建立政策) 儲存您的新政策。
在建立政策之後,即可將它連接至您的群組、使用者或角色。如需詳細資訊,請參閱 [新增和移除 IAM 身分許可](access_policies_manage-attach-detach.md)。
## 匯入現有的受管政策
若要建立新的政策,有一種簡單的方法是在您的帳戶中導入至少具有一部分所需許可權的現有受管政策。接著便可以自訂該政策,使其符合您的新要求。
您無法匯入內嵌政策。若要了解受管與內嵌政策之間的差異,請參閱 [受管政策與內嵌政策](access_policies_managed-vs-inline.md)。
**若要在視覺化編輯器中匯入現有的受管政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
1. 選擇**建立政策**。
1. 在**政策編輯器中**,選擇**視覺化**,然後在頁面右側選擇**動作**,再選擇**匯入政策**。
1. 在**匯入政策**視窗中,選擇最符合您想要放入新政策之政策內容的受管政策。您可用上方的搜尋框來限制政策清單中的結果。
1. 選擇**匯入政策**。
匯入的政策新增於政策底部的新許可區塊中。
1. 使用 **Visual editor** (視覺編輯工具) 或選擇 **JSON** 來自訂您的政策。然後選擇**下一步**。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. 在**檢視與建立**頁面上,為您正在建立的政策輸入**政策名稱**與**描述** (選用)。您之後便無法編輯這些設定。檢視**此政策中定義的許可**,然後選擇**建立政策**來儲存您的工作。
**若要在 **JSON** 編輯器中匯入現有的受管政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
1. 選擇**建立政策**。
1. 在**政策編輯器**區段中,選擇 **JSON** 選項,然後在頁面右側選擇**動作**,再選擇**匯入政策**。
1. 在**匯入政策**視窗中,選擇最符合您想要放入新政策之政策內容的受管政策。您可用上方的搜尋框來限制政策清單中的結果。
1. 選擇**匯入政策**。
來自匯入政策的陳述式新增於 JSON 政策底部。
1. 在 JSON 中自訂您的政策。解決[政策驗證](access_policies_policy-validator.md)期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 **Next** (下一步)。或者在 **Visual editor** (視覺編輯工具) 中自訂您的政策。然後選擇**下一步**。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. 在**檢視與建立**頁面上,為您正在建立的政策輸入**政策名稱**與**描述** (選用)。您之後便無法編輯這些內容。檢視政策**此政策中定義的許可**,然後選擇**建立政策**來儲存您的工作。
在建立政策之後,即可將它連接至您的群組、使用者或角色。如需詳細資訊,請參閱[新增和移除 IAM 身分許可](access_policies_manage-attach-detach.md)。
# 建立 IAM 政策 (AWS CLI)
[政策](access_policies.md)為一個實體,可定義其所連接的身分或資源的許可。您可以使用 AWS CLI 在 IAM 中建立*客戶受管政策*。客戶管理政策是獨立的政策,在您自己的 AWS 帳戶進行管理。作為[最佳實務](best-practices.md),我們會建議使用您 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作。透過[驗證政策](access_policies_policy-validator.md),您可以先處理任何錯誤或建議,再將政策連接到您 AWS 帳戶的身分 (使用者、群組及角色)。
AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
## 建立 IAM 政策 (AWS CLI)
您可以使用 AWS Command Line Interface (AWS CLI) 來建立 IAM 客戶受管政策或者內嵌政策。
**若要建立客戶受管政策 (AWS CLI)**
使用下列命令:
+ [: create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)
**為 IAM 身分 (群組、使用者或角色) 建立內嵌政策 (AWS CLI)**
請使用以下其中一個命令:
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
**注意**
您無法使用 IAM 為*[服務連結角色](id_roles.md#iam-term-service-linked-role)*嵌入內嵌政策。
**驗證客戶受管政策 (AWS CLI)**
使用下列 IAM Access Analyzer 指令:
+ [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)
# 建立 IAM 政策 (AWS API)
[政策](access_policies.md)為一個實體,可定義其所連接的身分或資源的許可。您可以使用 AWS API 在 IAM 中建立*客戶受管政策*。客戶管理政策是獨立的政策,在您自己的 AWS 帳戶進行管理。作為[最佳實務](best-practices.md),我們會建議使用您 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作。透過[驗證政策](access_policies_policy-validator.md),您可以先處理任何錯誤或建議,再將政策連接到您 AWS 帳戶的身分 (使用者、群組及角色)。
AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
## 建立 IAM 政策 (AWS API)
您可以使用 AWS API 來建立 IAM 客戶受管政策或者內嵌政策。
**建立客戶受管政策 (AWS API)**
呼叫以下操作:
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)
**為 IAM 身分 (群組、使用者或角色) 建立內嵌政策 (AWS API)**
呼叫以下其中一項操作:
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
**注意**
您無法使用 IAM 為*[服務連結角色](id_roles.md#iam-term-service-linked-role)*嵌入內嵌政策。
**驗證客戶受管政策 (AWS API)**
呼叫下列 IAM Access Analyzer 操作:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)
# IAM 政策驗證
[政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_overview.html)是一種使用 [IAM 政策文法](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html)的 JSON 文件。當您將政策連接到 IAM 實體 (例如使用者、群組或角色) 時,該政策會對該實體授予許可。
當您使用 建立或編輯 IAM 存取控制政策時 AWS 管理主控台, AWS 會自動檢查它們,以確保它們符合 IAM 政策文法。如果 AWS 判斷政策不符合文法,則會提示您修復政策。
IAM Access Analyzer 會提供額外的政策檢查及建議,協助您進一步改良政策。若要進一步了解 IAM Access Analyzer 政策檢查和可動作的建議,請參閱 [IAM Access Analyzer 政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。若要檢視 IAM Access Analyzer 傳回的警告、錯誤和建議清單,請參閱 [IAM Access Analyzer 政策檢查參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)。
**驗證範圍**
AWS 會檢查 JSON 政策語法和文法。同時還會驗證您的 ARN 格式是否適當,以及動作名稱和條件索引鍵是否正確。
**存取政策驗證**
在 AWS 管理主控台中建立 JSON 政策或編輯現有政策時,會自動驗證政策。如果政策語法無效,您將收到通知,並且必須先解決問題,然後才能繼續。 AWS 管理主控台 如果您有 的許可,IAM Access Analyzer 政策驗證的結果會自動在 中傳回`access-analyzer:ValidatePolicy`。您也可以使用 API AWS 或 驗證政策 AWS CLI。
**現有政策**
您可能有無效的現有政策,因為這些政策是在政策引擎的最新更新之前建立或上次儲存的政策。作為[最佳實務](best-practices.md),我們會建議使用您 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作。建議您開啟現有政策,並檢閱所產生的政策驗證結果。如果不修復任何政策語法錯誤,則無法編輯和儲存現有政策。
# 使用 IAM 政策模擬器測試 IAM 政策
如需有關如何以及為什麼要使用 IAM 政策的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)。
**您可前往 [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/) 存取 IAM 政策模擬器主控台**
**重要**
政策模擬器結果可能與您的即時 AWS 環境不同。我們建議您在使用政策模擬器進行測試後,針對即時 AWS 環境檢查您的政策,以確認您擁有所需的結果。如需詳細資訊,請參閱[IAM 政策模擬器的運作方式](#policies_policy-simulator-how-it-works)。
使用 IAM 政策模擬器,您可以測試和疑難排解身分型政策和 IAM 許可界限。以下是您可以使用政策模擬器執行的一些常見作業:
+ 測試連接到您 AWS 帳戶中 IAM 使用者、IAM 群組或角色的身分型政策。如果將多個政策連接到使用者、使用者群組或角色,則可以測試所有政策,或選擇個別政策來測試。您可以測試特定資源選擇的政策所允許或拒絕的動作。
+ 測試和疑難排解[許可界限](access_policies_boundaries.md)對 IAM 實體的效果。您一次只能模擬一個許可界限。
+ 測試連接至 AWS 資源 (例如 Amazon S3 儲存貯體、Amazon SQS 佇列、Amazon SNS 主題或 Amazon Glacier 保存庫) 的 IAM 使用者資源型政策的效果。若要在政策模擬器中為 IAM 使用者使用資源型政策,您必須將資源併入模擬中。您還必須選取核取方塊,以將該資源的政策併入模擬中。
**注意**
IAM 角色不支援資源型政策的模擬。
+ 如果您的 AWS 帳戶 是 中組織的成員[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/),則可以測試服務控制政策 (SCPs) 對身分型政策的影響。
**注意**
政策模擬器不會評估有任何條件的 SCP。
+ 透過輸入或將其複製到政策模擬器中來測試尚未連接到使用者、使用者群組或角色的新身分型政策。這些只用於模擬,不會儲存。您無法將資源型政策輸入或複製到政策模擬器中。
+ 使用選取的服務、動作和資源來測試身分型政策。例如,您可以測試以確保您的政策可讓實體在特定儲存貯體上執行 Amazon S3 服務中的 `ListAllMyBuckets`、`CreateBucket` 和 `DeleteBucket` 動作。
+ 透過提供內容索引鍵來模擬真實世界,這些內容索引鍵包含在測試政策中的 `Condition` 元素,例如 IP 地址或日期。
**注意**
若模擬中的身分型政策沒有會明確檢查標籤的 `Condition` 元素,則政策模擬器不會模擬提供做為輸入的標籤。
+ 識別身分型政策中的特定陳述式導致允許或拒絕存取特定資源或動作。
**Topics**
+ [IAM 政策模擬器的運作方式](#policies_policy-simulator-how-it-works)
+ [使用 IAM 政策模擬器所需的許可](#permissions-required_policy-simulator)
+ [使用 IAM 政策模擬器 (主控台)](#policies_policy-simulator-using)
+ [使用 IAM 政策模擬器 (AWS CLI 和 AWS API)](#policies-simulator-using-api)
## IAM 政策模擬器的運作方式
政策模擬器會評估身分型政策中的陳述式,以及您在模擬期間提供的輸入。政策模擬器的結果可能與您的即時 AWS 環境不同。我們建議您在使用政策模擬器進行測試後,針對即時 AWS 環境檢查您的政策,以確認您擁有所需的結果。
政策模擬器在下列方面與即時 AWS 環境不同:
+ 政策模擬器不會提出實際 AWS 的服務請求,因此您可以安全地測試可能會對即時 AWS 環境進行不必要的變更的請求。政策模擬器不會考慮生產中的真實內容索引鍵值。
+ 由於政策模擬器不會模擬執行中所選動作,因此無法向模擬請求報告任何回應。所請求的動作無論是被允許或是拒絕,只會傳回的唯一結果。
+ 如果您在政策模擬器內編輯政策,這些變更只會影響政策模擬器。中對應的政策 AWS 帳戶 保持不變。
+ 您無法測試具有任何條件的服務控制政策 (SCP)。
+ 政策模擬器不支援資源控制政策 (RCP) 的模擬。
+ 政策模擬器不支援 IAM 角色和跨帳戶存取權使用者的模擬。
**注意**
IAM 政策模擬器不會判定哪些服務支援用於授權的[全域條件索引鍵](reference_policies_condition-keys.md)。例如,政策模擬器不會辨別不支援 [`aws:TagKeys`](reference_policies_condition-keys.md#condition-keys-tagkeys) 的服務。
## 使用 IAM 政策模擬器所需的許可
您可以使用政策模擬器主控台或政策模擬器 API 來測試政策。根據預設,主控台使用者可以透過在政策模擬器中輸入或複製這些政策來測試尚未連接到使用者、使用者群組或角色的政策。這些政策僅用於模擬,不會揭露敏感資訊。API 使用者必須具有測試未連接政策的許可。您可以允許主控台或 API 使用者測試連接到 AWS 帳戶中 IAM 使用者、IAM 群組或角色的政策。若要執行此動作,您必須提供擷取這些政策的許可。為了測試以資源為基礎的政策,使用者必須有擷取資源政策的許可。
有關允許使用者模擬政策的主控台和 API 政策的範例,請參閱[範例政策: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM)。
### 使用政策模擬器主控台所需的許可
您可以允許使用者測試連接到 AWS 帳戶中 IAM 使用者、IAM 群組或角色的政策。若要執行此動作,您必須為使用者提供擷取這些政策的許可。為了測試以資源為基礎的政策,使用者必須有擷取資源政策的許可。
若要查看允許將政策模擬器主控台用於連接至使用者、使用者群組或角色的政策的範例政策,請參閱 [IAM:存取政策模擬器主控台](reference_policies_examples_iam_policy-sim-console.md)。
若要查看僅允許具有特定路徑的使用者使用政策模擬器主控台的範例政策,請參閱 [IAM:根據使用者路徑存取政策模擬器主控台](reference_policies_examples_iam_policy-sim-path-console.md)。
若要建立一個政策,只允許一個類型的實體使用政策模擬器主控台,請使用下列程序。
**若要允許主控台使用者模擬使用者的政策**
在您的政策中包含以下動作:
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetUser`
+ `iam:GetUserPolicy`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListGroupsForUser`
+ `iam:ListGroupPolicies`
+ `iam:ListUserPolicies`
+ `iam:ListUsers`
**若要允許主控台使用者模擬 IAM 群組的政策**
在您的政策中包含以下動作:
+ `iam:GetGroup`
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:ListAttachedGroupPolicies`
+ `iam:ListGroupPolicies`
+ `iam:ListGroups`
**若要允許主控台使用者模擬角色的政策**
在您的政策中包含以下動作:
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRole`
+ `iam:GetRolePolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRolePolicies`
+ `iam:ListRoles`
若要測試以資源為基礎的政策,使用者必須有擷取資源政策的許可。
**若要允許主控台使用者在 Amazon S3 儲存貯體中測試以資源為基礎的政策**
在您的政策中包含以下動作:
+ `s3:GetBucketPolicy`
例如,以下政策使用這些動作,以允許主控台使用者在特定 Amazon S3 儲存貯體中模擬以資源為基礎的政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetBucketPolicy",
"Resource":"arn:aws:s3:::bucket-name/*"
}
]
}
```
------
### 使用政策模擬器 API 所需的許可
政策模擬器 API 操作 [GetContextKeyForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForCustomPolicy.html) 和 [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html) 可允許您測試尚未連接至使用者、使用者群組或角色的政策。若要測試這類政策,您可以將政策當作字串傳遞至 API。這些政策僅用於模擬,不會揭露敏感資訊。您也可以使用 API,來測試連接到 AWS 帳戶中 IAM 使用者、IAM 群組或角色的政策。若要這麼做,您必須為使用者提供呼叫 [GetContextKeyForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForPrincipalPolicy.html) 和 [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html) 的許可。
若要檢視允許將政策模擬器 API 用於目前中已連接和未連接政策的範例政策 AWS 帳戶,請參閱 [IAM:存取政策模擬器 API](reference_policies_examples_iam_policy-sim.md)。
若要建立一個政策,只允許一個類型的政策使用政策模擬器 API,請使用下列程序。
**若要允許 API 使用者去模擬直接以字串傳遞給 API 的政策**
在您的政策中包含以下動作:
+ `iam:GetContextKeysForCustomPolicy`
+ `iam:SimulateCustomPolicy`
**若要允許 API 使用者模擬連接到 IAM 使用者、IAM 群組、角色、或資源的政策**
在您的政策中包含以下動作:
+ `iam:GetContextKeysForPrincipalPolicy`
+ `iam:SimulatePrincipalPolicy`
例如,要授予名為 Bob 的使用者模擬指派給名為 Alice 的使用者的政策的許可,請授予 Bob 存取以下資源的許可:`arn:aws:iam::777788889999:user/alice`。
若要查看僅允許具有特定路徑的使用者使用政策模擬器 API 的範例政策,請參閱 [IAM:根據使用者路徑存取政策模擬器 API](reference_policies_examples_iam_policy-sim-path.md)。
## 使用 IAM 政策模擬器 (主控台)
根據預設,使用者可以透過在政策模擬器主控台中輸入或複製這些政策來測試尚未連接到使用者、使用者群組或角色的政策。這些政策僅用於模擬,不會揭露敏感資訊。
**測試未連接至使用者、使用者群組或角色的政策 (主控台)**
1. 請前往 [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/) 開啟 IAM 政策模擬器主控台。
1. 在頁面頂端的 **Mode:** (模式:) 選單中,選擇 **New Policy** (新政策)。
1. 在 **Policy Sandbox (政策沙盒)** 中,選擇 **Create New Policy (建立新的政策)**。
1. 將政策輸入或複製到政策模擬器,接著使用政策模擬器,如以下步驟所述。
在您擁有使用 IAM 政策模擬器主控台的許可之後,您可以使用政策模擬器來測試 IAM 使用者、使用者群組、角色或資源政策。
**測試連接至使用者、使用者群組或角色的政策 (主控台)**
1. 請前往 [ https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/) 開啟 IAM 政策模擬器主控台。
**注意**
若要以 IAM 使用者的身分登入政策模擬器,請使用唯一的登入 URL 來登入 AWS 管理主控台。然後前往 [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/)。如需有關以 IAM 使用者身分登入的詳細資訊,請參閱 [IAM 使用者如何登入 AWS](id_users_sign-in.md)。
政策模擬器以 **Existing Policies** (現有政策) 模式開啟,並在 **Users, Groups, and Roles** (使用者、群組和角色) 下列出您帳戶中的 IAM 使用者。
1. 選擇適合您的任務的選項:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/access_policies_testing-policies.html)
**秘訣**
若要測試連接到使用者群組的政策,可以直接從 [IAM 主控台](https://console.aws.amazon.com/iam/)啟動 IAM 政策模擬器:在導覽窗格中選擇 **User groups** (使用者群組)。選擇您想要測試政策的群組的名稱,然後選擇 **Permissions (許可)** 標籤。選擇 **Simulate** (模擬)。
若要測試連接到使用者的客戶受管政策:在導覽窗格中,選擇 **Users (使用者)**。選擇要測試政策的使用者的名稱。然後選擇 **Permissions (許可)** 標籤並展開您想要測試的政策。在最右側,選擇 **Simulate policy (模擬政策)**。**IAM Policy Simulator** (IAM 政策模擬器) 將在新視窗中開啟,並在 **Policies** (政策) 窗格中顯示選取的政策。
1. (選用) 如果您的帳戶是 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/) 中組織的成員,則請勾選 **AWS Organizations SCP** 旁的核取方塊,以在您的模擬評估中包含 SCP。SCP 是一種 JSON 政策,負責指定組織或組織單位 (OU) 的最大許可。SCP 會限制成員帳戶中實體的許可。如果 SCP 封鎖服務或動作,則該帳戶中的任何實體都不能存取該服務或執行該動作。即使管理員透過 IAM 或資源政策明確授予對該服務或動作的許可,也是如此。
如果您的帳戶不是組織的成員,則不會出現核取方塊。
1. (選用) 您可以測試設定為[許可界限](access_policies_boundaries.md)的政策,適用於 IAM 實體 (使用者或角色),但不適用於 IAM 群組。如果目前針對實體設定了許可界限政策,則它會出現在 **Policies (政策)** 窗格中。您只能針對一個實體設定一個許可界限。若要測試不同的許可界限,您可以建立自訂許可界限。若要執行此操作,請選擇 **Create New Policy** (建立新政策)。新的 **Policies (政策)** 窗格隨即開啟。在選單中,選擇 **Custom IAM Permissions Boundary Policy** (自訂 IAM 許可界限政策)。輸入新政策的名稱,然後在下方空格中輸入或複製政策。選擇 **Apply (套用)** 以儲存政策。接下來,選擇 **Back (上一步)** 返回原始 **Policies (政策)** 窗格。然後,選取您要用於模擬之許可界限旁邊的核取方塊。
1. (選用) 您只能測試連接至使用者、使用者群組或角色的政策子集。若要這樣做,請在**政策**窗格中清除所要排除之每個政策旁邊的核取方塊。
1. 在 **Policy Simulator (政策模擬器)** 中,選擇 **Select service (選取服務)**,然後選擇該服務來測試。然後選擇 **Select actions (選取動作)** 並選取一或多個動作來測試。雖然選單一次只顯示一項服務的可用選項,但您選取的所有服務和動作都會出現在 **Action Settings and Results** (動作設定和結果) 中。
1. (選用) 如果您在 [Step 2](#polsimstep-selectid) 和 [Step 5](#polsimstep-polsubset) 中選擇的任何政策包含帶有 [AWS* 全域條件索引鍵*](reference_policies_condition-keys.md)的條件,則為這些索引鍵提供值。您可以透過展開 **Global Settings (全域設定)** 部分並為其中顯示的金鑰名稱輸入值來完成此動作。
**警告**
如果將條件索引鍵的值保留為空,則在模擬期間將忽略該索引鍵。在某些情況下,這會產生錯誤,並且無法執行模擬。在其他情況下,模擬會執行,但結果可能不可靠。在這些情況下,模擬不符合包含條件索引鍵或變數的真實世界條件。
1. (選用) 在您實際執行模擬之前,每個選取的動作都會顯示在 **Action Settings and Results (動作設定和結果)** 清單中,**Not simulated (不模擬)** 顯示在 **Permission (許可)** 欄位中。在執行模擬之前,您可以使用資源設定每個動作。若要為特定案例設定個別動作,請選擇箭頭以展開動作的資料列。如果動作支援資源級許可,則可以輸入要測試其存取權的特定資源 [Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns)。在預設情況下,每個資源設為萬用字元 (\$1)。您也可以為任何[條件內容金鑰](reference_policies_actions-resources-contextkeys.html)指定值。如前所述,具有空白值的索引鍵被忽略,這可能會導致模擬失敗或不可靠的結果。
1. 選擇動作名稱旁的箭頭可展開每一列,並設定在您的案例中準確模擬動作所需的任何其他資訊。如果動作需要任何資源級許可,則可以輸入要模擬存取的特定資源 [Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns)。在預設情況下,每個資源設為萬用字元 (\$1)。
1. 如果動作支援資源級許可,但不需要它們,則可以選擇 **Add Resource (新增資源)** 來選取要新增至模擬中的資源類型。
1. 如果任何選取的政策包含參考此動作服務的內容索引鍵的 `Condition` 元素,則該索引鍵名稱將顯示在該動作下。您可以指定適用於模擬指定資源動作時所需使用的值。
**需要不同資源類型群組的動作**
在不同的情況下,某些動作需要不同的資源類型。每一組資源類型都與一個案例相關聯。如果其中一個適用於您的模擬,請選擇它,並且政策模擬器需要適用於該案例的資源類型。下表顯示每個支援案例選項,以及執行模擬時必須定義的資源。
下列每個 Amazon EC2 案例都需要您指定 `instance`、`image` 和 `security-group` 資源。如果您的案例包含 EBS 磁碟區,則必須將該 `volume` 指定為資源。如果 Amazon EC2 案例包含 Virtual Private Cloud (VPC),則必須提供 `network-interface` 資源。如果包含 IP 子網路,則必須指定 `subnet` 資源。如需有關 Amazon EC2 案例選項的詳細資訊,請參閱《Amazon C2 使用者指南》**中的[支援的平台](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-platforms.html)。
+ **EC2-VPC-InstanceStore**
執行個體、影像、安全群組、網路介面
+ **EC2-VPC-InstanceStore-Subnet**
執行個體、影像、安全群組、網路介面、子網路
+ **EC2-VPC-EBS**
執行個體、影像、安全群組、網路介面、磁碟區
+ **EC2-VPC-EBS-Subnet**
執行個體、影像、安全群組、網路介面、子網路、磁碟區
1. (選用) 如果要在模擬中包含以資源為基礎的政策,則必須先在 [Step 6](#polsimstep-service) 中選擇要在該資源上模擬的動作。展開所選動作的資料列,然後使用您想要模擬的政策來輸入資源 ARN。然後選擇 **ARN** 文字方塊旁的 **Include Resource Policy** (包括資源政策)。IAM 政策模擬器目前僅支援下列服務的資源型政策:Amazon S3 (僅限資源型政策;目前不支援 ACL)、Amazon SQS、Amazon SNS 和未鎖定的 Amazon Glacier 保存庫 (目前不支援鎖定的保存庫)。
1. 選擇右上角的 **Run Simulation (執行模擬)**。
**Action Settings and Results (動作設定和結果)** 每行中的 **Permission (許可)** 欄顯示在指定資源上模擬該動作的結果。
1. 若要查看政策中哪些陳述式明確允許或拒絕動作,請選擇 **Permissions** (許可) 欄中的 ***N* matching statement(s)** (相符陳述式) 連結以展開該資料列。然後選擇 **Show statement (顯示陳述式)** 連結。**Policies (政策)** 窗格顯示了相關的政策,並凸顯影響模擬結果的陳述式。
**注意**
如果動作是*隱含*的拒絕 (動作因為沒有明確允許而被拒絕),則不會顯示 **List** (清單) 和 **Show statement** (顯示陳述式) 選項。
### IAM 政策模擬器主控台訊息故障診斷
下表列出使用 IAM 政策模擬器時可能遇到的資訊和警告訊息。該表也提供了解決問題的步驟。
****
| Message | 解決的步驟 |
| --- | --- |
| 已編輯此政策。變更將不會儲存到您的帳戶。 | **不需要採取行動。** 此訊息是資訊性的。如果您在 IAM 政策模擬器中編輯現有政策,則變更不會影響您的 AWS 帳戶。政策模擬器允許您變更僅用於測試的政策。 |
| 無法取得資源政策。原因:詳細的錯誤訊息 | 政策模擬器無法存取所請求的資源型政策。確保指定的資源 ARN 是正確的,並且執行模擬的使用者擁有讀取資源政策的許可。 |
| 一個或多個政策需要模擬設定中的值。如果沒有這些值,模擬可能會失敗。 | 如果您正在測試的政策包含條件金鑰或變數,但您尚未在 **Simulation Settings (模擬設定)** 中為這些金鑰或變數提供任何值,則會顯示此訊息。 若要關閉此訊息,請選擇 **Simulation Settings (模擬設定)**,然後為每個條件金鑰或變數輸入一個值。 |
| 您已變更政策。這些結果不再有效。 | 如果在 **Results (結果)** 窗格中顯示結果時變更了所選政策,則會顯示此訊息。在 **Results (結果)** 窗格中顯示的結果不會動態更新。 若要關閉此訊息,請再次選擇 **Run Simulation (執行模擬)** 以根據在 **Policies (政策)** 窗格中所做的變更顯示新的模擬結果。 |
| 您為此模擬輸入的資源不符合這項服務。 | 如果您在 **Simulation Settings (模擬設定)** 窗格中輸入的 Amazon Resource Name (ARN) 不符合您為目前模擬選擇的服務,則會顯示此訊息。例如,如果您為 Amazon DynamoDB 資源指定了 ARN,但您選擇了 Amazon Redshift 作為要模擬的服務,則會顯示此訊息。 若要關閉此訊息,請執行下列項目之一: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/access_policies_testing-policies.html) |
| 除了資源型政策 (例如 Amazon S3 ACL 或 Amazon Glacier 保存庫鎖定政策) 之外,此動作還屬於支援特殊存取控制機制的服務。政策模擬器不支援這些機制,因此結果可能與您的生產環境不同。 | **不需要採取行動。** 此訊息是資訊性的。在目前版本中,政策模擬器評估連接至使用者和 IAM 群組的政策,並且可以評估 Amazon S3、Amazon SQS、Amazon SNS 和 Amazon Glacier 的資源型政策。政策模擬器不支援其他 AWS 服務所支援的所有存取控制機制。 |
| 目前不支援 DynamoDB FGAC。 | **不需要採取行動。** 此資訊訊息是指*精細存取控制*。精細存取控制可讓您使用 IAM 政策條件,決定誰可以存取 DynamoDB 資料表和索引中的個別資料項目和屬性。它也指可對這些資料表和索引執行的動作。目前版本的 IAM 政策模擬器不支援這種類型的政策條件。如需有關 DynamoDB 精細存取控制的詳細資訊,請參閱[適用於 DynamoDB 的精細存取控制](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/FGAC_DDB.html)。 |
| 您的政策不遵守政策的語法。您可以使用政策驗證程式來檢閱對政策的建議更新。 | 如果您的政策不遵守 IAM 政策語法,則此訊息顯示在政策清單的上方。為了模擬這些政策,請檢閱位於 [IAM 政策驗證](access_policies_policy-validator.md) 的政策驗證選項來識別並修正這些政策。 |
| 此政策必須更新,以遵守最新的政策語法規則。 | 如果您的政策不遵守 IAM 政策語法,則會顯示此訊息。為了模擬這些政策,請檢閱位於 [IAM 政策驗證](access_policies_policy-validator.md) 的政策驗證選項來識別並修正這些政策。 |
## 使用 IAM 政策模擬器 (AWS CLI 和 AWS API)
政策模擬器命令通常需要呼叫 API 操作來執行兩個項目:
1. 評估政策並傳回他們所參考的內容索引鍵清單。您需要知道會參考哪些內容索引鍵,以便在下一步驟中將其提供值。
1. 模擬政策,提供在模擬過程中使用的動作、資源和內容索引鍵的清單。
基於安全考量,API 操作已分成兩組:
+ 只模擬政策的API 操作會被直接以字串傳遞給 API。該組包含 [GetContextKeysForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) 和 [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)。
+ API 操作模擬連接到指定 IAM 使用者、使用者群組、角色或資源的政策。由於這些 API 操作可以顯示指派給其他 IAM 實體的許可的詳細資訊,因此您應該考慮限制對這些 API 操作的存取。該組包含 [GetContextKeysForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html) 和 [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)。如需有關限制存取 API 操作的詳細資訊,請參閱 [範例政策: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM)。
在這兩種情況下,API 操作都會在行動和資源清單上模擬一個或多個政策的效能。每個動作會與每個資源搭配使用,並且模擬會判斷政策是否允許或拒絕該資源的動作。您還可以為政策參考的任何內容鍵索引鍵提供值。您可以透過第一個呼叫 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) 或 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html) 取得政策參考的內容金鑰清單。如果未提供值給內容索引鍵,則該模擬仍會執行。但是,結果可能是不可靠的,因為政策模擬器不能在評估中包含該內容索引鍵。
**取得內容索引鍵清單 (AWS CLI, AWS API)**
使用以下內容評估政策清單,並傳回政策中所使用的內容索引鍵清單。
+ AWS CLI:[https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html) 與 [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html)和 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)
**模擬 IAM 政策 (AWS CLI, AWS API)**
使用以下方法模擬 IAM 政策以判斷使用者的有效許可。
+ AWS CLI:[https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html) 與 [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)和 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)
# 新增和移除 IAM 身分許可
您可以使用政策來定義身分 (使用者、使用者群組或角色) 的許可。您可以使用 AWS 管理主控台、 AWS Command Line Interface (AWS CLI) 或 AWS API 來連接和分離身分的 IAM 政策,以新增和移除許可。您也可以使用相同的方法,利用政策來設定僅適用於實體 (使用者或角色) 的[許可界限](access_policies_boundaries.md)。許可界限是一項進階 AWS 功能,可控制實體可擁有的最大許可。
**Topics**
+ [術語](#attach-detach-etc-terminology)
+ [檢視身分活動](#attach-detach_prerequisites)
+ [新增 IAM 身分許可 (主控台)](#add-policies-console)
+ [移除 IAM 身分許可 (主控台)](#remove-policies-console)
+ [新增 IAM 政策 (AWS CLI)](#add-policy-cli)
+ [移除 IAM 政策 (AWS CLI)](#remove-policy-cli)
+ [新增 IAM 政策 (AWS API)](#add-policy-api)
+ [移除 IAM 政策 (AWS API)](#remove-policy-api)
## 術語
當您將許可政策與身分 (IAM 使用者、IAM 群組和 IAM 角色) 相關聯時,術語和程序會有所不同,具體取決於您使用的是受管政策或內嵌政策:
+ **連接** – 與受管政策一起使用。您將受管政策連接到身分 (使用者、使用者群組或角色)。將在政策中套用許可的政策連接到身分。
+ **Detach** (分開) – 與受管政策一起使用。您從 IAM 身分 (使用者、使用者群組或角色) 分開受管政策。分開政策會從身分中移除其許可。
+ **嵌入** – 與內嵌政策一起使用。在身分中嵌入內嵌政策 (使用者、使用者群組或角色)。將在政策中套用許可的政策嵌入到身分。因為內嵌政策儲存在身分中,所以它是嵌入的而不是連接的,儘管結果是相似的。
**注意**
您只能將*[服務相關角色](id_roles.md#iam-term-service-linked-role)*的內嵌政策嵌入依賴該角色的服務。請參閱服務的 [AWS 文件](https://docs.aws.amazon.com/),確認是否支援此功能。
+ **刪除** – 與內嵌政策一起使用。您從 IAM 身分 (使用者、使用者群組或角色) 刪除內嵌政策。刪除政策會從身分中移除其許可。
**注意**
您只能在依賴於角色的服務中刪除*[服務連結角色](id_roles.md#iam-term-service-linked-role)*的內嵌政策。請參閱服務的 [AWS 文件](https://docs.aws.amazon.com/),確認是否支援此功能。
您可以使用 主控台 AWS CLI或 AWS API 來執行任何這些動作。
### 其他資訊
+ 如需有關受管與內嵌政策之間的差異的詳細資訊,請參閱 [受管政策與內嵌政策](access_policies_managed-vs-inline.md)。
+ 如需有關許可界限的詳細資訊,請參閱 [IAM 實體的許可界限](access_policies_boundaries.md)。
+ 如需有關 IAM 政策的一般資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)。
+ 如需有關驗證 IAM 政策的資訊,請參閱 [IAM 政策驗證](access_policies_policy-validator.md)。
+ AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
## 檢視身分活動
變更身分 (使用者、使用者群組或角色) 的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
## 新增 IAM 身分許可 (主控台)
您可以使用 AWS 管理主控台 將許可新增至身分 (使用者、使用者群組或角色)。若要執行此操作,連接可控制許可的受管政策,或指定可做為[許可界限](access_policies_boundaries.md)的政策。您也可以嵌入內嵌政策。
**將受管政策當做身分的許可政策來使用 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**政策**。
1. 在政策清單中,選取要連接的政策名稱旁的選項按鈕。您可以使用搜尋方塊來篩選政策清單。
1. 選擇 **Actions** (動作),然後選擇 **Attach** (連接)。
1. 選取一或多個身分以將政策連接到。您可使用搜尋方塊來篩選主體實體清單。在選取身分後,選擇 **Attach policy (連接政策)**。
**使用受管政策設定許可界限 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。
1. 在政策詳細資訊頁面上,選擇**連接的實體**索引標籤,然後在必要時,開啟**作為許可界限連接**區段,然後選擇**將該政策設定為許可界限**。
1. 選擇一或多個要套用許可界限政策的使用者或角色。您可使用搜尋方塊來篩選主體實體清單。選取主體之後,選擇**設定許可界限**。
**為使用者或角色嵌入內嵌政策 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在服務導覽窗格中,選擇 **Users (使用者)** 或者 **Roles (角色)**。
1. 在清單中,選擇要內嵌政策的使用者或角色的名稱。
1. 選擇**許可**索引標籤標籤。
1. 選擇**新增許可**,然後選擇**建立內嵌政策**。
**注意**
您不能在 IAM 中的*[服務連結的角色](id_roles.md#iam-term-service-linked-role)*中嵌入內嵌政策。由於連結服務定義您是否可以修改角色的許可,因此您可以從服務主控台、API 或 AWS CLI新增額外的政策。若要查看服務的服務連結角色文件,請參閱 [AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md) 並在服務的 **服務連結角色**欄位中選擇 **Yes (是)**。
1. 選擇下列其中一種方法來檢視建立政策所需的步驟:
+ [匯入現有的受管政策](access_policies_create-console.md#access_policies_create-copy) – 您可以將受管政策匯入帳戶內,然後編輯該政策以依據您的特定要求自訂內容。受管政策可以是您先前建立的 AWS 受管政策或客戶受管政策。
+ [使用視覺化編輯器來建立政策](access_policies_create-console.md#access_policies_create-visual-editor) – 您可以在視覺編輯工具中從零開始建構一個新的政策。若您使用視覺化編輯器,您便無需了解 JSON 語法。
+ [正在使用 JSON 編輯器建立政策](access_policies_create-console.md#access_policies_create-json-editor) – 在 **JSON** 編輯器選項中,您可以使用 JSON 語法來建立政策。您可以輸入新的 JSON 政策文件或者貼上[範例政策](access_policies_examples.md)。
1. 在您建立內嵌政策後,它會自動嵌入您的使用者或角色中。
**為使用者群組嵌入內嵌政策 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **User groups** (使用者群組)。
1. 在清單中,選擇要內嵌政策的使用者群組名稱。
1. 選擇 **Permissions** (許可) 標籤,選擇 **Add permissions** (新增許可),然後選擇 **Attach policy** (連接政策)。
1. 執行以下任意一項:
+ 選擇**視覺化**選項,可建立政策。如需詳細資訊,請參閱[使用視覺化編輯器來建立政策](access_policies_create-console.md#access_policies_create-visual-editor)。
+ 選擇 **JSON** 選項,可建立政策。如需詳細資訊,請參閱[正在使用 JSON 編輯器建立政策](access_policies_create-console.md#access_policies_create-json-editor)。
1. 當您滿意時,選擇 **建立政策**。
**變更一或多個實體的許可界限 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。
1. 在政策詳細資訊頁面上,選擇**連接的實體**索引標籤,然後在必要時,開啟**作為許可界限連接**區段。選取您想要變更其界限的使用者或角色旁的核取方塊,然後選擇**變更**。
1. 選取用於許可界限新政策。您可以使用搜尋方塊來篩選政策清單。在選取政策後,選擇**設定許可界限**。
## 移除 IAM 身分許可 (主控台)
您可以使用 從身分 (使用者、使用者群組或角色) AWS 管理主控台 移除許可。若要執行此操作,請分開可控制許可的受管政策,或移除可做為[許可界限](access_policies_boundaries.md)的政策。您也可以刪除內嵌政策。
**中斷連結當做許可政策來使用的受管政策 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**政策**。
1. 在政策清單中,選取要分開的政策名稱旁的選項按鈕。您可以使用搜尋方塊來篩選政策清單。
1. 選擇 **Actions** (動作),然後選擇 **Detach** (分開)。
1. 選取要從中分開政策的身分。您可以使用搜尋方塊來篩選身分清單。在選取身分後,選擇 **Detach policy (分開政策)**。
**移除許可界限 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。
1. 在政策摘要頁面上,選擇**連接的實體**索引標籤,然後在必要時,開啟**作為許可界限連接**區段,接著選擇要從中移除許可界限的實體。然後選擇**移除界限**。
1. 確認您想要移除界限,然後選擇**移除界限**。
**刪除內嵌政策 (主控台)**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在服務導覽窗格中,選擇 **User groups** (使用者群組)、**Users** (使用者) 或者 **Roles** (角色)。
1. 在清單中,選擇包含要刪除的政策的使用者群組、使用者、或角色的名稱。
1. 選擇 **Permissions (許可)** 標籤。
1. 選取政策旁的核取方塊,然後選擇**移除**。
1. 在確認方塊中,選擇**移除**。
## 新增 IAM 政策 (AWS CLI)
您可以使用 AWS CLI 將許可新增至身分 (使用者、使用者群組或角色)。若要執行此操作,連接可控制許可的受管政策,或指定可做為[許可界限](access_policies_boundaries.md)的政策。您也可以嵌入內嵌政策。
**將受管政策當做實體的許可政策來使用 (AWS CLI)**
1. (選用) 若要檢視受管政策的相關資訊,請執行下列命令:
+ 列出受管政策:[aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
+ 取得關於受管政策的詳細資訊:[get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)
1. 若要將受管政策連接到身分 (使用者、使用者群組或角色),請使用下列其中一項命令:
+ [aws iam attach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)
+ [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
+ [aws iam attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
**使用受管政策設定許可界限 (AWS CLI)**
1. (選用) 若要檢視受管政策的相關資訊,請執行下列命令:
+ 列出受管政策:[aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
+ 取得關於受管政策的詳細資訊:[aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)
1. 若要使用受管政策來為實體 (使用者或角色) 設定許可界限,請使用下列其中一個命令:
+ [aws iam put-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-permissions-boundary.html)
+ [aws iam put-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-permissions-boundary.html)
**嵌入內嵌政策 (AWS CLI)**
若要將內嵌政策嵌入到身分 (非*[服務連結角色](id_roles.md#iam-term-service-linked-role)*的使用者、使用者群組或角色),請使用下列命令:
+ [aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
+ [aws iam put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [aws iam put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
## 移除 IAM 政策 (AWS CLI)
您可以使用 AWS CLI 分離控制許可的受管政策,或移除做為[許可界限](access_policies_boundaries.md)的政策。您也可以刪除內嵌政策。
**中斷連結當做許可政策來使用的受管政策 (AWS CLI)**
1. (選用) 若要檢視關於政策的資訊,請執行下列命令:
+ 列出受管政策:[aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
+ 取得關於受管政策的詳細資訊:[aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)
1. (選用) 如果要了解的政策和身分之間的關係,請執行下列命令:
+ 若要列出受管政策所連接的身分 (IAM 使用者、IAM 群組和 IAM 角色):
+ [aws iam list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
+ 若要列出連接到身分的受管政策 (使用者、使用者群組或角色),請使用下列其中一項命令:
+ [aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
+ [aws iam list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
+ [aws iam list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)
1. 若要從身分中分開受管政策 (使用者、使用者群組或角色),請使用下列其中一項命令:
+ [aws iam detach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
+ [aws iam detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
+ [aws iam detach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)
**移除許可界限 (AWS CLI)**
1. (選用) 若要檢視目前使用哪個受管政策來為使用者或角色設定許可界限,請執行下列命令:
+ [aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)
+ [aws iam get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)
1. (選用) 若要檢視目前在哪些使用者或角色使用受管政策的許可界限,請執行下列命令:
+ [aws iam list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
1. (選用) 若要檢視受管政策的相關資訊,請執行下列命令:
+ 列出受管政策:[aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
+ 取得關於受管政策的詳細資訊:[aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)
1. 若要從使用者或角色移除許可界限,請使用下列其中一個命令:
+ [aws iam delete-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
+ [aws iam delete-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-permissions-boundary.html)
**若要刪除內嵌政策 (AWS CLI)**
1. (選用) 若要列出連接到身分 (使用者、使用者群組或角色) 的所有內嵌政策,請使用下列其中一項命令:
+ [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
+ [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
+ [aws iam list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)
1. (選用) 若要擷取嵌入到身分 (使用者、使用者群組或角色) 中的內嵌政策文件,請使用下列其中一項命令:
+ [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
+ [aws iam get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
+ [aws iam get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)
1. 若要從身分中刪除內嵌政策 (非*[服務連結角色](id_roles.md#iam-term-service-linked-role)*的使用者、使用者群組或角色),請使用下列命令:
+ [aws iam delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
+ [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
+ [aws iam delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)
## 新增 IAM 政策 (AWS API)
您可以使用 AWS API 連接控制許可的受管政策,或指定做為[許可界限](access_policies_boundaries.md)的政策。您也可以嵌入內嵌政策。
**使用受管政策做為實體的許可政策 (AWS API)**
1. (選用) 若要檢視關於政策的資訊,請呼叫下列操作:
+ 列出受管政策:[ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
+ 取得關於受管政策的詳細資訊:[GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)
1. 若要將受管政策連接到身分 (使用者、使用者群組或角色),請呼叫下列其中一項操作:
+ [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
+ [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
+ [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)
**使用受管政策來設定許可界限 (AWS API)**
1. (選用) 若要檢視受管政策的相關資訊,請呼叫下列操作:
+ 列出受管政策:[ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
+ 取得關於受管政策的詳細資訊:[GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)
1. 若要使用受管政策來為實體 (使用者或角色) 設定許可界限,請呼叫下列其中一個操作:
+ [PutUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPermissionsBoundary.html)
+ [PutRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)
**內嵌內嵌政策 (AWS API)**
若要將內嵌政策嵌入在身分 (非*[服務連結角色](id_roles.md#iam-term-service-linked-role)*的使用者、使用者群組或角色),請呼叫下列操作:
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
## 移除 IAM 政策 (AWS API)
您可以使用 AWS API 分離控制許可的受管政策,或移除做為[許可界限](access_policies_boundaries.md)的政策。您也可以刪除內嵌政策。
**分離用作許可政策 (AWS API) 的受管政策**
1. (選用) 若要檢視關於政策的資訊,請呼叫下列操作:
+ 列出受管政策:[ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
+ 取得關於受管政策的詳細資訊:[GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)
1. (選用) 如果要了解的政策和身分之間的關係,請呼叫下列操作:
+ 若要列出受管政策所連接的身分 (IAM 使用者、IAM 群組和 IAM 角色):
+ [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
+ 若要列出連接到身分的受管政策 (使用者、使用者群組或角色),請呼叫下列其中一項操作:
+ [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
+ [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
+ [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)
1. 若要從身分中分開受管政策 (使用者、使用者群組或角色),請呼叫下列其中一項操作:
+ [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)
+ [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
+ [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)
**移除許可界限 (AWS API)**
1. (選用) 若要檢視目前使用哪個受管政策來為使用者或角色設定許可界限,請呼叫下列操作:
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
+ [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. (選用) 若要檢視目前在哪些使用者或角色使用受管政策的許可界限,請呼叫下列操作:
+ [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
1. (選用) 若要檢視受管政策的相關資訊,請呼叫下列操作:
+ 列出受管政策:[ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
+ 取得關於受管政策的詳細資訊:[GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)
1. 若要從使用者或角色移除許可界限,請呼叫下列其中一個操作:
+ [DeleteUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPermissionsBoundary.html)
+ [DeleteRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePermissionsBoundary.html)
**刪除內嵌政策 (AWS API)**
1. (選用) 若要列出連接到身分 (使用者、使用者群組或角色) 的所有內嵌政策,請呼叫下列其中一項操作:
+ [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
+ [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
+ [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)
1. (選用) 若要擷取嵌入到身分 (使用者、使用者群組或角色) 中的內嵌政策文件,請呼叫下列其中一項操作:
+ [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
+ [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
+ [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)
1. 若要從身分中刪除內嵌政策 (非*[服務連結角色](id_roles.md#iam-term-service-linked-role)*的使用者、使用者群組或角色),請呼叫下列操作:
+ [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
+ [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
+ [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)
# 版本控制 IAM 政策
當您變更 IAM 客戶受管政策,以及 AWS 變更 AWS 受管政策時,變更的政策不會覆寫現有的政策。IAM 反而會建立新*版本*的受管政策。IAM 最多可以儲存五個版本的客戶受管政策。IAM 不支援內嵌政策版本控制。
下圖說明客戶受管政策的版本控制。在此範例中,版本 1-4 會進行儲存。您最多可以儲存五個受管政策版本到 IAM。當您編輯建立第六個儲存版本的政策時,您可以選擇任一不再儲存的舊版本。您可以隨時恢復到其他四個儲存版本中的任何一個。
![\[變更受管政策時會變成新版本的政策\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-managed-policies-versions-overview.diagram.png)
政策版本與 `Version` 政策元素不同。`Version` 政策元素是在政策內使用,並定義政策語言的版本。若要進一步了解 `Version` 政策元素,請參閱 [IAM JSON 政策元素:Version](reference_policies_elements_version.md)。
您可以使用版本來追蹤受管政策的變更。例如,您可以變更受管政策,然後發現該變更有各種意外影響。在這種情況下,您可以復原至舊版的受管政策,做法是將舊版本設定為*預設*版本。
以下各主題說明如何使用受管政策的版本控制。
**Topics**
+ [版本限制](#version-limits)
+ [使用版本復原變更](#versions-roll-back)
+ [用於設定預設政策版本的許可](#policy-version-permissions)
+ [設定客戶受管政策的預設版本](#default-version)
## 版本限制
受管政策至多可有 5 個版本。如果您需要從 AWS Command Line Interface或 AWS API 變更超過五個版本的受管政策,您必須先刪除一或多個現有版本。如果您使用 AWS 管理主控台,則不需要在編輯政策之前刪除版本。當您儲存第六個版本,會出現一個對話方塊,提示您刪除一或多個非預設的政策版本。您可以檢視每個版本的 JSON 政策文件,以協助您做決定。如需此對話方塊的詳細資訊,請參閱[編輯 IAM 政策](access_policies_manage-edit.md)。
您可以刪除任何想要的受管政策的版本,除了預設版本以外。當您刪除某個版本,剩餘版本的版本識別碼不會變更。因此,版本識別碼可能不會序列化。例如,若刪除受管政策的版本 v2 和 v4,並新增兩個新版本,剩餘的版本識別碼可能為 v1、v3、v5、v6 和 v7。
## 使用版本復原變更
您可以設定客戶受管政策的預設版本來復原您的變更。例如,考量以下情境:
您建立客戶受管政策,讓使用者能夠使用 AWS 管理主控台管理特定 Amazon S3 儲存貯體。建立後,您的客戶受管政策只有一個版本 (識別為 v1),所以該版本會自動設定為預設值。該政策按預期運作。
之後,您更新政策來新增許可,以管理第二個 Amazon S3 儲存貯體。IAM 建立新版本的政策 (識別為 v2),其中包含您的變更。您設定版本 v2 為預設值,不久後您的使用者報告他們沒有獲得使用 Amazon S3 主控台的許可。在這種情況下,您可以復原到版本 v1 的政策,就是您所知按預期運作的版本。為了這樣做,您設定版本 v1 為預設版本。您的使用者現在可以使用 Amazon S3 主控台來管理原始儲存貯體。
之後,在您判斷出政策的版本 v2 錯誤後,您再次更新政策來新增許可,以管理第二個 Amazon S3 儲存貯體。IAM 建立另一個新版本的政策,識別為 v3。您設定版本 v3 為預設值,而此版本按預期運作。此時,您刪除政策的版本 v2。
## 用於設定預設政策版本的許可
設定預設政策版本所需的許可,對應於任務的 AWS API 操作。您可以使用 `CreatePolicyVersion` 或 `SetDefaultPolicyVersion` API 操作來設定政策的預設版本。若要讓某人設定現有政策的預設政策版本,您可以允許存取 `iam:CreatePolicyVersion` 動作或 `iam:SetDefaultPolicyVersion` 動作。這個 `iam:CreatePolicyVersion` 動作可讓他們建立新版本的政策,並設定該版本為預設值。這個 `iam:SetDefaultPolicyVersion` 動作可讓他們將任何現有的政策版本設定為預設值。
**重要**
若要防止使用者變更政策的預設版本,您必須同時拒絕 `iam:CreatePolicyVersion` 和 `iam:SetDefaultPolicyVersion`。
您可以使用以下政策來拒絕使用者存取變更現有客戶的受管政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"iam:CreatePolicyVersion",
"iam:SetDefaultPolicyVersion"
],
"Resource": "arn:aws:iam::*:policy/POLICY-NAME"
}
]
}
```
------
## 設定客戶受管政策的預設版本
其中一個受管政策版本是設定為*預設*版本。政策的預設版本是生效版本,也就是受管政策所連接的所有主體實體的 (IAM 使用者、IAM 使用者群組和 IAM 角色) 的生效版本。
當您建立客戶受管政策,政策從單一版本 (識別為 v1) 開始。對於只有單一版本的受管政策,該版本會自動設定為預設值。對於具有多個版本的客戶受管政策,您可以選擇將哪個版本設定為預設值。對於 AWS 受管政策,預設版本由 設定 AWS。下圖說明了此概念。
![\[具單一版本的受管政策,其為預設版本\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-one.diagram.png)
![\[客戶受管政策使用三種版本,其中版本 v2 是預設版本。\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-multiple.diagram.png)
您可以設定預設的客戶受管政策版本,以套用該版本到政策連接的每個 IAM 身分 (使用者、使用者群組和角色)。您無法設定 AWS 受管政策或內嵌政策的預設版本。
**設定客戶受管政策的預設版本 (主控台)**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇要設定預設版本的政策的政策名稱。您可以使用搜尋方塊來篩選政策清單。
1. 選擇 **Policy versions (政策版本)** 標籤。選取要設定為預設版本的版本旁的核取方塊,然後選擇 **Set as default (設定為預設)**。
若要了解如何從 AWS Command Line Interface 或 AWS API 設定客戶受管政策的預設版本,請參閱 [編輯 IAM 政策 (AWS CLI)](access_policies_manage-edit-cli.md)。
# 編輯 IAM 政策
[政策](access_policies.md)為一個實體,可定義其所連接的身分或資源的許可。政策會以 JSON 文件 AWS 形式存放在 中,並以*身分型政策*的形式連接到 IAM 中的委託人。您可以將以身分為基礎的政策連接到主體 (或身分),例如 IAM 使用者群組、使用者或角色。身分型政策包括 AWS 受管政策、客戶受管政策和[內嵌政策](access_policies_managed-vs-inline.md)。您可以在 IAM.managed 政策中編輯客戶 AWS 受管政策和內嵌政策無法編輯。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
一般而言,最好使用客戶受管政策,而不是內嵌政策或 AWS 受管政策。 AWS 受管政策通常提供廣泛的管理或唯讀許可。內嵌政策無法在其他身分上重複使用,或在其存在的身分之外進行管理。為了達到最高安全性,應[授予最低權限](best-practices.md#grant-least-privilege),這表示僅授予執行特定任務工作所需的許可。
當您建立或編輯 IAM 政策時, AWS 可以自動執行政策驗證,以協助您建立最低權限的有效政策。在 中 AWS 管理主控台,IAM 識別 JSON 語法錯誤,而 IAM Access Analyzer 提供額外的政策檢查與建議,以協助您進一步精簡政策。若要進一步了解政策驗證的資訊,請參閱 [IAM 政策驗證](access_policies_policy-validator.md)。若要進一步了解 IAM Access Analyzer 政策檢查和可動作的建議,請參閱 [IAM Access Analyzer 政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
您可以使用 AWS CLI AWS 管理主控台或 AWS API 在 IAM 中編輯客戶受管政策和內嵌政策。如需使用 CloudFormation 範本新增或更新政策的詳細資訊,請參閱*CloudFormation 《 使用者指南*》中的[AWS Identity and Access Management 資源類型參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)。
**Topics**
+ [編輯 IAM 政策 (主控台)](access_policies_manage-edit-console.md)
+ [編輯 IAM 政策 (AWS CLI)](access_policies_manage-edit-cli.md)
+ [編輯 IAM 政策 (AWS API)](access_policies_manage-edit-api.md)
# 編輯 IAM 政策 (主控台)
[政策](access_policies.md)為一個實體,可定義其所連接的身分或資源的許可。您可以使用 AWS 管理主控台 編輯*客戶受管政策和* IAM. AWS managed *政策中的內嵌*政策無法編輯。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
如需有關政策結構和語法的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md) 和 [IAM JSON 政策元素參考](reference_policies_elements.md)。
## 先決條件
變更政策的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
## 編輯客戶受管政策 (主控台)
您可以透過 AWS 管理主控台來編輯客戶管理政策,以變更政策中定義的許可。客戶受管政策至多可有 5 個版本。這很重要,因為如果您變更受管政策超過 5 個版本,則 AWS 管理主控台 會提示您決定要刪除的版本。您還可以在編輯之前變更預設版本或或刪除政策版本,以避免出現提示。若要進一步了解版本,請參閱 [版本控制 IAM 政策](access_policies_managed-versioning.md)。
------
#### [ Console ]
**編輯客戶管理政策**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇要編輯的政策的政策名稱。您可以使用搜尋方塊來篩選政策清單。
1. 選擇**許可**索引標籤,然後選擇**編輯**。
1. 執行以下任意一項:
+ 選擇**視覺化**選項可變更政策,且無需了解 JSON 語法。您可以變更政策中每個許可區塊的服務、動作、資源或可選條件。您也可以匯入政策以在政策底部新增其他許可。完成變更後,選擇**下一步**以繼續。
+ 選擇 **JSON** 選項,可透過在 JSON 文字方塊中輸入或貼上文字來修改政策。您也可以匯入政策以在政策底部新增其他許可。解決[政策驗證](access_policies_policy-validator.md)期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 **Next** (下一步)。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. 在**檢視與儲存**頁面上,檢視**此政策中定義的許可**,然後選擇**儲存變更**以儲存工作。
1. 如果受管政策有最多五個版本,選擇**儲存變更**可顯示一個對話方塊。若要儲存新版本,該政策的最舊非預設版本會遭到移除,並以此新版本取代之。您也可以將新版本設定為預設的政策版本。
選擇**儲存變更**,可儲存新的政策版本。
------
## 設定客戶管理政策的預設版本 (主控台)
您可以從 設定客戶受管政策的預設版本 AWS 管理主控台。您可以使用此政策為整個組織中的許可建立一致的基準組態。此政策的所有新附件都會使用此標準化許可集。
------
#### [ Console ]
**設定客戶受管政策的預設版本 (主控台)**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇要設定預設版本的政策的政策名稱。您可以使用搜尋方塊來篩選政策清單。
1. 選擇 **Policy versions (政策版本)** 標籤。選取要設定為預設版本的版本旁的核取方塊,然後選擇 **Set as default (設定為預設)**。
------
## 刪除客戶管理政策的版本 (主控台)
您可能需要刪除客戶管理政策的某個版本,以移除不再需要或存在潛在安全風險的過時或不正確的許可。透過僅維護必要的政策版本,可以協助確保受管政策版本保持在限制的五個以內,為未來的更新和改進留出空間。您可以透過 AWS 管理主控台刪除客戶管理政策的版本。
------
#### [ Console ]
**刪除客戶管理政策的版本**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 選擇具有要刪除的版本的客戶受管政策的名稱。您可以使用搜尋方塊來篩選政策清單。
1. 選擇 **Policy versions (政策版本)** 標籤。選取要刪除的版本旁的核取方塊。然後選擇 **Delete (刪除)**。
1. 確認您要刪除該版本,然後選擇 **Delete (刪除)**。
------
## 編輯內嵌政策 (主控台)
您可能需要編輯客戶管理政策來更新或精簡授予的許可,確保這些許可符合組織不斷變化的安全需求和存取控制需求。您可以透過對政策進行編輯來調整政策的 JSON 文件,以及新增、修改或移除特定動作、資源或條件,以維護最低權限原則,並適應環境或程序中的變更。您可以從 AWS 管理主控台主控台中編輯內嵌政策。
------
#### [ Console ]
**編輯使用者、使用者群組或角色的內嵌政策**
1. 在服務導覽窗格中,選擇 **User** (使用者)、**Users groups** (使用者群組) 或者 **Roles** (角色)。
1. 選擇您要修改的政策的使用者、 使用者群組或角色的名稱。然後選擇 **Permissions (許可)** 標籤並展開政策。
1. 若要編輯內嵌政策,請選擇 **Edit Policy (編輯政策)**。
1. 執行以下任意一項:
+ 選擇**視覺化**選項可變更政策,且無需了解 JSON 語法。您可以變更政策中每個許可區塊的服務、動作、資源或可選條件。您也可以匯入政策以在政策底部新增其他許可。完成變更後,選擇**下一步**以繼續。
+ 選擇 **JSON** 選項,可透過在 JSON 文字方塊中輸入或貼上文字來修改政策。您也可以匯入政策以在政策底部新增其他許可。解決[政策驗證](access_policies_policy-validator.md)期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 **Next** (下一步)。若要儲存變更而不影響目前連接的實體,請清除 **Save as default version (儲存為預設版本)** 的核取方塊。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. 在**檢視**頁面上,查看政策摘要,然後選擇**儲存變更**以儲存您的工作。
------
# 編輯 IAM 政策 (AWS CLI)
[政策](access_policies.md)為一個實體,可定義其所連接的身分或資源的許可。您可以使用 AWS Command Line Interface (AWS CLI) 編輯*客戶受管政策*,且無法編輯 IAM. AWS managed *政策中的內嵌*政策。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
如需有關政策結構和語法的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md) 和 [IAM JSON 政策元素參考](reference_policies_elements.md)。
## 先決條件
變更政策的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
## 編輯客戶受管政策 (AWS CLI)
您可以從 編輯客戶受管政策 AWS CLI。
**注意**
受管政策至多可有 5 個版本。如果您需要變更五個版本以上的客戶受管政策,則必須先刪除一個或多個現有版本。
**若要編輯客戶受管政策 (AWS CLI)**
1. (選用) 若要檢視關於政策的資訊,請執行下列命令:
+ 列出受管政策:[list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
+ 取得關於受管政策的詳細資訊:[get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)
1. (選用) 如果要了解的政策和身分之間的關係,請執行下列命令:
+ 若要列出受管政策所連接的身分 (IAM 使用者、IAM 群組和 IAM 角色):
+ [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
+ 列出連接到身分的受管政策 (使用者、使用者群組或角色):
+ [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
+ [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
+ [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)
1. 若要編輯客戶受管政策,請執行下列命令:
+ [create-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy-version.html)
1. (選用) 若要驗證客戶受管政策,請執行下列 IAM Access Analyzer 命令:
+ [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)
## 設定客戶管理政策的預設版本 (AWS CLI)
您可以從 設定客戶受管政策的預設版本 AWS CLI。
**若要設定客戶受管政策的預設版本 (AWS CLI)**
1. (選用) 若要列出受管政策,請執行下列命令:
+ [: list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
1. 若要設定客戶受管政策的預設版本,請執行下列命令:
+ [set-default-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/set-default-policy-version.html)
## 刪除客戶管理政策的版本 (AWS CLI)
您可以透過 AWS CLI刪除客戶管理政策的版本。
**若要刪除客戶受管政策的版本 (AWS CLI)**
1. (選用) 若要列出受管政策,請執行下列命令:
+ [: list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
1. 若要刪除客戶受管政策,請執行下列命令:
+ [delete-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy-version.html)
## 編輯內嵌政策 (AWS CLI)
您可以從 AWS CLI主控台中編輯內嵌政策。
**若要編輯內嵌政策 (AWS CLI)**
1. (選用) 若要檢視關於政策的資訊,請執行下列命令:
+ 若要列出與身分 (使用者、使用者群組或角色) 相關聯的內嵌政策:
+ [list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
+ [list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)
+ [list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
+ 若要取得關於內嵌政策的詳細資訊:
+ [get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
+ [get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)
+ [get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
1. 若要編輯內嵌政策,請執行下列命令:
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
1. (選用) 若要驗證內嵌政策,請執行下列 IAM Access Analyzer 命令:
+ [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)
# 編輯 IAM 政策 (AWS API)
[政策](access_policies.md)為一個實體,可定義其所連接的身分或資源的許可。您可以使用 AWS API 編輯*客戶受管政策*,且無法編輯 IAM. AWS managed *政策中的內嵌*政策。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
如需有關政策結構和語法的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md) 和 [IAM JSON 政策元素參考](reference_policies_elements.md)。
## 先決條件
變更政策的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
## 編輯客戶受管政策 (AWS API)
您可以使用 AWS API 編輯客戶受管政策。
**注意**
受管政策至多可有 5 個版本。如果您需要變更五個版本以上的客戶受管政策,則必須先刪除一個或多個現有版本。
**編輯客戶受管政策 (AWS API)**
1. (選用) 若要檢視關於政策的資訊,請呼叫下列操作:
+ 列出受管政策:[ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
+ 取得關於受管政策的詳細資訊:[GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)
1. (選用) 如果要了解的政策和身分之間的關係,請呼叫下列操作:
+ 若要列出受管政策所連接的身分 (IAM 使用者、IAM 群組和 IAM 角色):
+ [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
+ 列出連接到身分的受管政策 (使用者、使用者群組或角色):
+ [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
+ [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
+ [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)
1. 若要編輯客戶受管政策,請呼叫下列操作:
+ [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)
1. (選用) 若要驗證客戶受管政策,請呼叫下列 IAM Access Analyzer 操作:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)
## 設定客戶受管政策 (AWS API) 的預設版本
您可以從 AWS API 設定客戶受管政策的預設版本。
**設定客戶受管政策 (AWS API) 的預設版本**
1. (選用) 若要列出受管政策,請呼叫下列操作:
+ [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
1. 若要設定客戶受管政策的預設版本,請呼叫下列操作:
+ [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)
## 刪除客戶受管政策 (AWS API) 的版本
您可以從 AWS API 刪除客戶受管政策的版本。
**刪除客戶受管政策 (AWS API) 的版本**
1. (選用) 若要列出受管政策,請呼叫下列操作:
+ [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
1. 若要刪除客戶受管政策,請呼叫下列操作:
+ [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)
## 編輯內嵌政策 (AWS API)
您可以從 AWS API 編輯內嵌政策。
**編輯內嵌政策 (AWS API)**
1. (選用) 若要檢視關於內嵌政策的資訊,請執行下列操作:
+ 若要列出與身分 (使用者、使用者群組或角色) 相關聯的內嵌政策:
+ [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
+ [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)
+ [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
+ 若要取得關於內嵌政策的詳細資訊:
+ [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
+ [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)
+ [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
1. 若要編輯內嵌政策,請執行下列操作:
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
1. (選用) 若要驗證內嵌政策,請執行下列 IAM Access Analyzer 操作:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)
# 刪除 IAM 政策
您可以使用 AWS 管理主控台、 AWS Command Line Interface (AWS CLI) 或 API 刪除 IAM AWS 政策。
**注意**
刪除 IAM 政策的動作具有永久性。刪除政策後,將無法復原。
如需有關 IAM 政策結構和語法的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)和 [IAM JSON 政策元素參考](reference_policies_elements.md)。
如需有關受管與內嵌政策之間的差異的詳細資訊,請參閱 [受管政策與內嵌政策](access_policies_managed-vs-inline.md)。
AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
**Topics**
+ [刪除 IAM 政策 (主控台)](access_policies_manage-delete-console.md)
+ [刪除 IAM 政策 (AWS CLI)](access_policies_manage-delete-cli.md)
+ [刪除 IAM 政策 (AWS API)](access_policies_manage-delete-api.md)
# 刪除 IAM 政策 (主控台)
您可以使用 AWS 管理主控台 刪除 IAM 中的*客戶受管政策和**內嵌政策*。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
**注意**
刪除 IAM 政策的動作具有永久性。刪除政策後,將無法復原。
如需有關 IAM 政策結構和語法的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)和 [IAM JSON 政策元素參考](reference_policies_elements.md)。
如需有關受管與內嵌政策之間的差異的詳細資訊,請參閱 [受管政策與內嵌政策](access_policies_managed-vs-inline.md)。
## 先決條件
刪除政策之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
## 刪除 IAM 政策 (主控台)
當客戶管理政策已過時或不再符合組織的安全需求和存取控制需求時,您可能需要將其刪除。刪除不必要的政策可以降低與過時或未使用政策相關聯的潛在安全風險。您可以從 AWS 帳戶移除客戶管理政策。您無法刪除 AWS 受管政策。
------
#### [ Console ]
**刪除客戶管理政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**政策**。
1. 選擇您要刪除的客戶管理政策旁的選項按鈕。您可以使用搜尋方塊來篩選政策清單。
1. 選擇 **動作**,然後選擇 **刪除**。
1. 遵循說明以確認您要刪除政策,然後選擇**刪除**。
------
## 刪除內嵌政策 (主控台)
當與某個內嵌政策直接連接的 IAM 使用者、群組或角色不再需要其授予的特定許可時,您可能需要刪除該內嵌政策。刪除不必要的內嵌政策有助於降低意外存取的風險,尤其是出於內嵌政策無法像受管政策那樣重複使用或跨多個身分共用的原因時。您可以刪除內嵌政策,將其從 中移除 AWS 帳戶。您無法刪除 AWS 受管政策。
------
#### [ Console ]
**刪除 IAM 使用者、群組或角色的內嵌政策**
1. 在服務導覽窗格中,選擇 **User groups** (使用者群組)、**Users** (使用者) 或者 **Roles** (角色)。
1. 選擇您要透過政策來刪除的使用者群組、使用者、或角色的名稱。然後選擇 **許可** 標籤。
1. 選取要刪除的政策旁的核取方塊,然後選擇**移除**。然後,在確認對話方塊中,確認移除和刪除該政策。
+ 若要刪除**使用者**或**角色**中的內嵌原則,請選擇**移除**以確認刪除。
+ 如果您要刪除 **使用者群組** 中的單一內嵌政策,請輸入政策的名稱,然後選擇 **刪除** 。如果您要刪除 **使用者群組** 中的多項內嵌政策,請輸入您要刪除的政策數量,後接 **inline policies**,然後選擇 **刪除** 。例如,如果您要刪除三個內嵌政策,請輸入 **3 inline policies**。
------
# 刪除 IAM 政策 (AWS CLI)
您可以使用 AWS Command Line Interface (AWS CLI) 在 IAM 中刪除*客戶受管政策和**內嵌政策*。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
**注意**
刪除 IAM 政策的動作具有永久性。刪除政策後,將無法復原。
如需有關 IAM 政策結構和語法的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)和 [IAM JSON 政策元素參考](reference_policies_elements.md)。
如需有關受管與內嵌政策之間的差異的詳細資訊,請參閱 [受管政策與內嵌政策](access_policies_managed-vs-inline.md)。
## 先決條件
刪除政策之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
## 刪除客戶管理政策 (AWS CLI)
您可以從 AWS Command Line Interface刪除客戶受管政策。
**刪除客戶受管政策 (AWS CLI)**
1. (選用) 若要檢視關於政策的資訊,請執行下列命令:
+ 列出受管政策:[list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
+ 取得關於受管政策的詳細資訊:[get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)
1. (選用) 如果要了解的政策和身分之間的關係,請執行下列命令:
+ 若要列出受管政策所連接的身分 (IAM 使用者、IAM 群組和 IAM 角色),請執行以下命令:
+ [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
+ 若要列出連接到身分 (使用者、使用者群組或角色) 的受管政策,請執行下列其中一項命令:
+ [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
+ [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
+ [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)
1. 若要刪除客戶受管政策,請執行下列命令:
+ [: delete-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy.html)
## 刪除內嵌政策 (AWS CLI)
您可以從 AWS CLI刪除內嵌政策。
**若要刪除內嵌政策 (AWS CLI)**
1. (選用) 若要列出連接到身分 (使用者、使用者群組或角色) 的所有內嵌政策,請使用下列其中一項命令:
+ [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
+ [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
+ [aws iam list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)
1. (選用) 若要擷取嵌入到身分 (使用者、使用者群組或角色) 中的內嵌政策文件,請使用下列其中一項命令:
+ [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
+ [aws iam get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
+ [aws iam get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)
1. 若要從身分中刪除內嵌政策 (非*[服務連結角色](id_roles.md#iam-term-service-linked-role)*的使用者、使用者群組或角色),請使用下列命令:
+ [aws iam delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
+ [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
+ [aws iam delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)
# 刪除 IAM 政策 (AWS API)
您可以使用 AWS API 在 IAM 中刪除*客戶受管政策和**內嵌政策*。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
**注意**
刪除 IAM 政策的動作具有永久性。刪除政策後,將無法復原。
如需有關 IAM 政策結構和語法的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)和 [IAM JSON 政策元素參考](reference_policies_elements.md)。
如需有關受管與內嵌政策之間的差異的詳細資訊,請參閱 [受管政策與內嵌政策](access_policies_managed-vs-inline.md)。
## 先決條件
刪除政策之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
## 刪除客戶受管政策 (AWS API)
您可以使用 AWS API 刪除客戶受管政策。
**刪除客戶受管政策 (AWS API)**
1. (選用) 若要檢視關於政策的資訊,請呼叫下列操作:
+ 列出受管政策:[ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
+ 取得關於受管政策的詳細資訊:[GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)
1. (選用) 如果要了解的政策和身分之間的關係,請呼叫下列操作:
+ 若要列出受管政策所連接的身分 (IAM 使用者、IAM 群組和 IAM 角色),請呼叫以下操作:
+ [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
+ 若要列出連接到身分的受管政策 (使用者、使用者群組或角色),請呼叫下列其中一項操作:
+ [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
+ [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
+ [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)
1. 若要刪除客戶受管政策,請呼叫下列操作:
+ [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)
## 刪除內嵌政策 (AWS API)
您可以使用 AWS API 刪除內嵌政策。
**刪除內嵌政策 (AWS API)**
1. (選用) 若要列出連接到身分 (使用者、使用者群組或角色) 的所有內嵌政策,請呼叫下列其中一項操作:
+ [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
+ [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
+ [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)
1. (選用) 若要擷取嵌入到身分 (使用者、使用者群組或角色) 中的內嵌政策文件,請呼叫下列其中一項操作:
+ [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
+ [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
+ [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)
1. 若要從身分中刪除內嵌政策 (非*[服務連結角色](id_roles.md#iam-term-service-linked-role)*的使用者、使用者群組或角色),請呼叫下列操作:
+ [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
+ [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
+ [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)
# AWS 使用上次存取的資訊在 中精簡許可
身為管理員,您可能會為 IAM 資源 (角色、使用者、使用者群組或政策) 授予超出其所需範圍的許可。IAM 會提供上次存取的資訊,協助您識別未使用的許可,以便您移除這些許可。您可以使用上次存取的資訊來精細化政策,並僅允許存取 IAM 身分和政策所使用的服務和動作。這有助於您更加符合[最低許可的最佳實務。](best-practices.md#grant-least-privilege)您可以檢視 IAM 或 AWS Organizations中存在的身分或政策上次存取的資訊。
您可以透過未使用的存取權分析器持續監控上次存取的資訊。如需詳細資訊,請參閱[外部和未使用的存取權調查結果](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html)。
**Topics**
+ [IAM 上次存取的資訊類型](#access_policies_last-accessed-data-types)
+ [的上次存取資訊 AWS Organizations](#access_policies_last-accessed-orgs)
+ [關於上次存取資訊的注意事項](#access_policies_last-accessed-know)
+ [必要許可](#access_policies_last-accessed-permissions)
+ [IAM 和 AWS Organizations 實體的活動疑難排解](#access_policies_last-accessed-troubleshooting)
+ [其中 會 AWS 追蹤上次存取的資訊](#last-accessed_tracking-period)
+ [檢視 IAM 上次存取的資訊](access_policies_last-accessed-view-data.md)
+ [檢視 的上次存取資訊 AWS Organizations](access_policies_last-accessed-view-data-orgs.md)
+ [使用上次存取資訊的範例案例](access_policies_last-accessed-example-scenarios.md)
+ [IAM 動作最近存取的資訊服務和動作](access_policies_last-accessed-action-last-accessed.md)
## IAM 上次存取的資訊類型
您可以檢視 IAM 身分上次存取的兩種類型資訊:允許的 AWS 服務資訊和允許的動作資訊。該資訊包含嘗試存取 AWS API 的日期和時間。對於動作,上次存取的資訊會報告服務管理動作。管理動作包括建立、刪除和修改動作。若要進一步了解如何檢視上次存取 IAM 的資訊,請參閱 [檢視 IAM 上次存取的資訊](access_policies_last-accessed-view-data.md)。
如需有關使用上次存取的資訊以決定您授予 IAM 身分許可的案例,請參閱 [使用上次存取資訊的範例案例](access_policies_last-accessed-example-scenarios.md)。
若要深入瞭解如何提供管理動作資訊,請參閱[關於上次存取資訊的注意事項](#access_policies_last-accessed-know)。
## 的上次存取資訊 AWS Organizations
如果您使用管理帳戶登入資料登入,您可以檢視組織中 AWS Organizations 實體或政策的服務上次存取資訊。 AWS Organizations 實體包括組織根目錄、組織單位 OUs) 或帳戶。的上次存取資訊 AWS Organizations 包含服務控制政策 (SCP) 允許之服務的相關資訊。這些資訊會指出組織或帳戶中哪些主體 (根使用者、IAM 使用者或角色) 上次嘗試存取服務,以及何時存取服務。若要進一步了解報告以及如何檢視 的上次存取資訊 AWS Organizations,請參閱 [檢視 的上次存取資訊 AWS Organizations](access_policies_last-accessed-view-data-orgs.md)。
如需使用上次存取資訊來決定您授予 AWS Organizations 實體之許可的範例案例,請參閱 [使用上次存取資訊的範例案例](access_policies_last-accessed-example-scenarios.md)。
## 關於上次存取資訊的注意事項
在您使用報告上次存取的資訊來變更 IAM 身分或 AWS Organizations 實體的許可之前,請檢閱下列有關資訊的詳細資訊。
+ **追蹤期** – 最近的活動會在四小時內顯示在 IAM 主控台中。服務資訊的追蹤期至少為 400 天,具體視服務何時開始追蹤動作資訊而定。Amazon S3 動作資訊的追蹤期從 2020 年 4 月 12 日開始。Amazon EC2、IAM 和 Lambda 行動追蹤期由 2021 年 4 月 7 日開始。所有其他服務的追蹤期從 2023 年 5 月 23 日開始。如需檢視可使用動作上次存取資訊的服務清單,請參閱 [IAM 動作最近存取的資訊服務和動作](access_policies_last-accessed-action-last-accessed.md)。如需有關哪些區域提供動作上次存取資訊的更多資訊,請參閱 [其中 會 AWS 追蹤上次存取的資訊](#last-accessed_tracking-period)。
+ **報告的嘗試**次數 – 服務上次存取的資料包括存取 AWS API 的所有嘗試次數,而不只是成功嘗試次數。這包括使用 AWS 管理主控台、透過任何 SDKs AWS 的 API,或任何命令列工具進行的所有嘗試。在上次存取的服務相關資料中看到未預期的項目並不表示您的帳戶資訊洩露,因為請求可能已遭拒。請參閱您的 CloudTrail 日誌並將其作為有關所有 API 呼叫以及它們是成功還是被拒絕的存取的資訊的權威來源。
+ **PassRole** – 系統不會追蹤 `iam:PassRole` 動作,也不會將其包含在 IAM 動作上次存取的資訊中。
+ **動作上次存取的資訊** – 動作上次存取的資訊適用於由 IAM 身分存取的服務管理動作。檢視動作上次存取的報告資訊的[服務及其動作清單](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-action-last-accessed.html#access_policies_last-accessed-action-last-accessed-supported-actions)。
**注意**
動作上次存取的資訊無法用於所有資料平面事件。
+ **管理事件** – IAM 為 CloudTrail 記錄的服務管理事件提供動作資訊。有時候,CloudTrail 管理事件也被稱為控制平面操作或控制平面事件。管理事件可讓您了解在 資源上執行的管理操作 AWS 帳戶。若要深入了解 CloudTrail 中的管理事件,請參閱《AWS CloudTrail 使用者指南》**中的[記錄管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html)。
+ **報告擁有者** – 只有產生報告的主體才可以檢視報告詳細資訊。這表示當您檢視 中的資訊時 AWS 管理主控台,您可能需要等待它產生和載入。如果您使用 AWS CLI 或 AWS API 取得報告詳細資訊,您的登入資料必須符合產生報告的委託人登入資料。如果您使用角色或 AWS STS 聯合身分使用者主體的臨時登入資料,則必須在相同工作階段期間產生和擷取報告。如需有關擔任角色工作階段主體的詳細資訊,請參閱 [AWS JSON 政策元素: Principal](reference_policies_elements_principal.md)。
+ **IAM 資源** – IAM 上次存取的資訊,包括您的帳戶中的 IAM 資源 (角色、使用者、IAM 群組和政策)。的上次存取資訊 AWS Organizations 包括指定 AWS Organizations 實體中的主體 (IAM 使用者、IAM 角色或 AWS 帳戶根使用者)。上次存取的資訊不包括未驗證的嘗試。
+ **IAM 政策類型** – IAM 上次存取的資訊包含由 IAM 身分的政策所許可的服務。這些政策連接至角色或者直接或透過群組連接至使用者。您的報告不包含其他政策類型允許的存取。排除的政策類型包括以資源為基礎的政策、存取控制清單、 AWS Organizations SCP、IAM 許可邊界,以及工作階段政策。服務連結角色所提供的許可是由它們連結的服務所定義,而且無法在 IAM 中修改。若要進一步了解服務連結角色,請參閱[建立服務連結角色](id_roles_create-service-linked-role.md) 若要了解如何評估不同原則類型以允許或拒絕存取,請參閱[政策評估邏輯](reference_policies_evaluation-logic.md)。
+ **AWS Organizations 政策類型** – 的資訊僅 AWS Organizations 包含 AWS Organizations 實體的繼承服務控制政策 (SCPs) 允許的服務。SCP 是連接到根帳戶、OU 或帳戶的政策。您的報告不包含其他政策類型允許的存取。排除的政策類型包含身分類型政策、資源類型政策、存取控制清單、IAM 許可邊界,以及工作階段政策。若要了解如何評估不同的政策類型以允許或拒絕存取,請參閱[政策評估邏輯](reference_policies_evaluation-logic.md)。
+ **指定政策 ID** – 當您使用 AWS CLI 或 AWS API 為 中上次存取的資訊產生報告時 AWS Organizations,您可以選擇指定政策 ID。產生的報告包含僅由該政策允許的服務資訊。此資訊包含指定 AWS Organizations 實體或實體子項中最新的帳戶活動。如需詳細資訊,請參閱 [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) 或 [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)。
+ **AWS Organizations 管理帳戶** – 您必須登入組織的管理帳戶,才能檢視服務上次存取的資訊。您可以選擇使用 IAM 主控台 AWS CLI、 或 AWS API 檢視管理帳戶的資訊。產生的報告會列出所有 AWS 服務,因為管理帳戶不受 SCPs限制。如果您指定的政策 ID 位於 CLI 或 API 中,便會忽略該政策。對於每個服務,報告包含僅適用於管理帳戶的資訊。不過,其他 AWS Organizations 實體的報告不會傳回管理帳戶中活動的資訊。
+ **AWS Organizations 設定** – 管理員必須在[組織根目錄中啟用 SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root),然後才能為 產生資料 AWS Organizations。
## 必要許可
若要在 中檢視上次存取的資訊 AWS 管理主控台,您必須擁有授予必要許可的政策。
### IAM 資訊的許可
若要使用 IAM 主控台檢視 IAM 使用者、角色或政策的上次存取資訊,您必須擁有一個包含下列動作的政策:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:Get*`
+ `iam:List*`
這些許可允許使用者檢視下列項目:
+ 哪些使用者、群組或角色連接至[受管政策](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#managed_policy)
+ 使用者或角色可以存取哪些服務
+ 他們上一次存取該服務的時間
+ 他們上次嘗試使用特定的 Amazon EC2、IAM、Lambda 或 Amazon S3 動作的時間
若要使用 AWS CLI 或 AWS API 來檢視 IAM 的上次存取資訊,您必須具有符合您要使用之操作的許可:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetailsWithEntities`
+ `iam:ListPoliciesGrantingServiceAccess`
此範例會示範如何建立身分型政策,允許檢視 IAM 上次存取的資訊。此外,還允許對所有 IAM 的唯讀存取。此政策定義了程式設計和主控台存取的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:GenerateServiceLastAccessedDetails",
"iam:Get*",
"iam:List*"
],
"Resource": "*"
}
}
```
------
### AWS Organizations 資訊的許可
若要使用 IAM 主控台檢視 AWS Organizations中根、組織單位或帳戶實體的報告,您必須具有一個包含下列動作的政策:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`
若要使用 AWS CLI 或 AWS API 來檢視 的服務上次存取資訊 AWS Organizations,您必須擁有包含下列動作的政策:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`
此範例示範如何建立身分型政策,允許檢視 的服務上次存取資訊 AWS Organizations。此外,它允許唯讀存取所有 AWS Organizations。此政策定義了程式設計和主控台存取的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
}
}
```
------
您也可以使用 [iam:OrganizationsPolicyId](reference_policies_iam-condition-keys.md#ck_OrganizationsPolicyId) 條件金鑰,僅允許針對特定 AWS Organizations 政策產生報告。如需政策範例,請參閱 [IAM:檢視 AWS Organizations 政策的服務上次存取資訊](reference_policies_examples_iam_service-accessed-data-orgs.md)。
## IAM 和 AWS Organizations 實體的活動疑難排解
在某些情況下,您 AWS 管理主控台 上次存取的資訊表可能空白。或者,您的 AWS CLI 或 AWS API 請求會傳回空的資訊集或 null 欄位。在這些情況下,檢閱下列問題:
+ 對於上次存取的動作資訊,清單中可能不會傳回您預期看到的動作。這可能是因為 IAM 身分沒有 動作的許可,或 AWS 尚未追蹤上次存取資訊的動作。
+ 對於 IAM 使用者,請確定該使用者至少連接一個內嵌或受管政策,無論是直接或透過群組成員資格連接。
+ 對於 IAM 群組,請確認群組至少連接一個內嵌或受管政策。
+ 對於 IAM 群組,報告只會傳回使用群組的政策存取服務之成員的服務上次存取資訊。若要了解成員是否使用了其他政策,請檢閱該使用者的上次存取資訊。
+ 對於 IAM 角色,請確認角色至少連接一個內嵌或受管政策。
+ 對於 IAM 實體 (使用者或角色),請檢閱可能影響該實體之許可的其他政策類型。其中包括資源型政策、存取控制清單、 AWS Organizations 政策、IAM 許可界限或工作階段政策。如需詳細資訊,請參閱[政策類型](access_policies.md#access_policy-types)或[單一帳戶中請求的政策評估](reference_policies_evaluation-logic_policy-eval-basics.md)。
+ 對於 IAM 政策,請確定指定的受管政策已連接到至少一個使用者、內含成員的群組,或角色。
+ 對於 AWS Organizations 實體 (根、OU 或帳戶),請確定您使用 AWS Organizations 管理帳戶登入資料進行簽署。
+ 確定已在組織根目錄中啟用 [SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root)。
+ 動作上次存取的資訊僅適用於 [IAM 動作最近存取的資訊服務和動作](access_policies_last-accessed-action-last-accessed.md) 中列出的動作。
當您進行變更時,請等待至少 4 小時,活動才會顯示在您的 IAM 主控台報告中。如果您使用 AWS CLI 或 AWS API,則必須產生新的報告來檢視更新的資訊。
## 其中 會 AWS 追蹤上次存取的資訊
AWS 會收集標準 AWS 區域的上次存取資訊。當 AWS 新增其他區域時,這些區域會新增至下表,包括每個區域中 AWS 開始追蹤資訊的日期。
+ **服務資訊**:服務追蹤期至少為 400 天,如果區域在過去 400 天內開始追蹤此功能,則服務追蹤期會更短。
+ **動作資訊** – Amazon S3 管理動作的追蹤期從 2020 年 4 月 12 日開始。Amazon EC2、IAM 和 Lambda 管理行動追蹤期由 2021 年 4 月 7 日開始。所有其他服務的管理動作追蹤期從 2023 年 5 月 23 日開始。如果某區域的追蹤日期遲於 2023 年 5 月 23 日,則該區域的動作上次存取資訊將從較遲的日期開始。
| 區域名稱 | 區域 | 追蹤開始日期 |
| --- | --- | --- |
| 美國東部 (俄亥俄) | us-east-2 | 2017 年 10 月 27 日 |
| 美國東部 (維吉尼亞北部) | us-east-1 | 2015 年 10 月 1 日 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 2015 年 10 月 1 日 |
| 美國西部 (奧勒岡) | us-west-2 | 2015 年 10 月 1 日 |
| Africa (Cape Town) | af-south-1 | 2020 年 4 月 22 日 |
| 亞太地區 (香港) | ap-east-1 | 2019 年 4 月 24 日 |
| 亞太地區 (海德拉巴) | ap-south-2 | 2022 年 11 月 22 日 |
| 亞太地區 (雅加達) | ap-southeast-3 | 2021 年 12 月 13 日 |
| 亞太地區 (墨爾本) | ap-southeast-4 | 2023 年 1 月 23 日 |
| 亞太區域 (孟買) | ap-south-1 | 2016 年 6 月 27 日 |
| 亞太地區 (大阪) | ap-northeast-3 | 2018 年 2 月 11 日 |
| 亞太區域 (首爾) | ap-northeast-2 | 2016 年 1 月 6 日 |
| 亞太區域 (新加坡) | ap-southeast-1 | 2015 年 10 月 1 日 |
| 亞太區域 (雪梨) | ap-southeast-2 | 2015 年 10 月 1 日 |
| 亞太區域 (東京) | ap-northeast-1 | 2015 年 10 月 1 日 |
| 加拿大 (中部) | ca-central-1 | 2017 年 10 月 28 日 |
| 歐洲 (法蘭克福) | eu-central-1 | 2015 年 10 月 1 日 |
| 歐洲 (愛爾蘭) | eu-west-1 | 2015 年 10 月 1 日 |
| 歐洲 (倫敦) | eu-west-2 | 2017 年 10 月 28 日 |
| 歐洲 (米蘭) | eu-south-1 | 2020 年 4 月 28 日 |
| Europe (Paris) | eu-west-3 | 2017 年 12 月 18 日 |
| 歐洲 (西班牙) | eu-south-2 | 2022 年 11 月 15 日 |
| Europe (Stockholm) | eu-north-1 | 2018 年 12 月 12 日 |
| 歐洲 (蘇黎世) | eu-central-2 | 2022 年 11 月 8 日 |
| 以色列 (特拉維夫) | il-central-1 | 2023 年 8 月 1 日 |
| Middle East (Bahrain) | me-south-1 | 2019 年 7 月 29 日 |
| 中東 (阿拉伯聯合大公國) | me-central-1 | 2022 年 8 月 30 日 |
| 南美洲 (聖保羅) | sa-east-1 | 2015 年 12 月 11 日 |
| AWS GovCloud (美國東部) | us-gov-east-1 | 2023 年 7 月 1 日 |
| AWS GovCloud (美國西部) | us-gov-west-1 | 2023 年 7 月 1 日 |
如果某個區域未在上表中列出,則表示此區域尚不提供上次存取的相關資訊。
AWS 區域是地理區域中的 AWS 資源集合。區域會分組成分割區。標準區域是屬於該 `aws` 分區的區域。如需有關不同分割區的詳細資訊,請參閱 AWS 一般參考中的 [Amazon Resource Name (ARN) 格式](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax)。如需區域的詳細資訊,請參閱 中的[關於 AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#region-what-is) AWS 一般參考。
# 檢視 IAM 上次存取的資訊
您可以使用 AWS 管理主控台 AWS CLI、 或 AWS API 檢視 IAM 的上次存取資訊。檢視顯示上次存取資訊的[服務及其動作清單](access_policies_last-accessed-action-last-accessed.md)。如需有關上次存取的資訊的詳細資訊,請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
您可以在 IAM 中檢視下列資源類型的資訊。在每個案例中,資訊涵蓋指定報告期間允許的服務:
+ **使用者** – 檢視使用者上一次嘗試存取每個允許服務的時間。
+ **使用者群組** – 檢視有關上一次使用者群組成員嘗試存取每個允許服務的資訊。此報告也包含曾嘗試存取的成員總數。
+ **角色** – 檢視上一次有人使用該角色嘗試存取每個允許服務的時間。
+ **政策** – 檢視有關上一次使用者或角色嘗試存取每個允許服務的資訊。此報告也包含曾嘗試存取的實體總數。
**注意**
在檢視 IAM 中的資源的存取資訊之前,請確定您了解報告期間、報告的實體,以及您資訊的評估政策類型。如需詳細資訊,請參閱 [關於上次存取資訊的注意事項](access_policies_last-accessed.md#access_policies_last-accessed-know)。
## 檢視 IAM 的資訊 (主控台)
您可以在 IAM 主控台的**上次存取**索引標籤上檢視 IAM 上次存取的資訊。
**檢視 IAM 的資訊 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**使用者群組**、**使用者**、**角色**或**政策**。
1. 選擇任意使用者、使用者群組、角色或政策名稱以開啟其**摘要**頁面,然後選擇**上次存取**索引標籤。根據您選擇的資源,檢視下列資訊:
+ **使用者群組** – 檢視使用者群組成員可存取的服務清單。您也可以檢視成員上次存取服務的時間、他們使用的使用者群組政策,以及提出要求的使用者群組成員。選擇政策的名稱以了解其為受管政策或內嵌使用者群組政策。選擇使用者群組成員的名稱以檢視該使用者群組的所有成員,以及他們上次存取該服務的時間。
+ **使用者** – 檢視使用者可存取的服務清單。您也可以檢視他們上次存取服務的時間,以及目前與該名使用者關聯的政策有哪些。選擇政策的名稱,以了解該政策是受管政策、內嵌使用者政策還是使用者群組的內嵌政策。
+ **角色** – 檢視角色可存取的服務清單、角色上次存取該服務的時間,以及他們使用哪些政策。選擇政策的名稱以了解其為受管政策還是內嵌角色政策。
+ **政策** – 檢視政策中包含允許動作的服務清單。您也可以檢視上次使用政策來存取服務的時間,以及使用政策的實體 (使用者或角色)。**上次存取**日期也包含透過其他政策授予此政策存取權的時間。選擇實體的名稱以了解哪些實體有連接政策,以及它們上次存取服務的時間。
1. 在表格的**服務**欄中,選擇[其中一項包含動作上次存取資訊的服務](access_policies_last-accessed-action-last-accessed.md)之名稱,以檢視 IAM 實體嘗試存取的管理動作清單。您可以檢視 AWS 區域 和時間戳記,顯示上次有人嘗試執行動作的時間。
1. 針對[包含動作上次存取資訊的服務](access_policies_last-accessed-action-last-accessed.md),將為其服務和管理動作顯示**上次存取**欄。檢閱此欄中傳回的下列可能結果。這些結果取決於是否允許、是否存取服務或動作,以及是否由 追蹤 AWS 上次存取的資訊。
** 天前**
自追蹤期間內使用服務或動作之後的天數。服務的追蹤期為過去 400 天。Amazon S3 動作的追蹤期由 2020 年 4 月 12 日開始。Amazon EC2、IAM 和 Lambda 行動追蹤期由 2021 年 4 月 7 日開始。所有其他服務的追蹤期從 2023 年 5 月 23 日開始。若要進一步了解每個追蹤開始日期 AWS 區域,請參閱 [其中 會 AWS 追蹤上次存取的資訊](access_policies_last-accessed.md#last-accessed_tracking-period)。
**在追蹤期內未存取**
追蹤的服務或動作尚未由實體在追蹤期間內使用。
您可以擁有清單中未出現的動作許可。如果 AWS目前不包含動作的追蹤資訊,就可能發生這種情況。您不應該只根據有沒有追蹤資訊來決定許可。相反地,建議您使用此資訊來告知並支援授予最低權限的整體策略。檢查您的政策以確認存取層級是否適當。
## 檢視 IAM 的資訊 (AWS CLI)
您可以使用 AWS CLI 擷取上次使用 IAM 資源嘗試存取 AWS 服務和 Amazon S3、Amazon EC2、IAM 和 Lambda 動作的相關資訊。IAM 資源可以是使用者、使用者群組、角色或政策。
**檢視 IAM 的資訊 (AWS CLI)**
1. 產生報告。此請求必須包含您需要報告的 IAM 資源 (使用者、使用者群組、角色或政策) 的 ARN。您可以在報告中指定要產生的資料粒度層級,以檢視任一服務或同時檢視服務和動作的存取詳細資訊。它會傳回 `job-id`,然後您可將它用於 `get-service-last-accessed-details` 和 `get-service-last-accessed-details-with-entities` 操作以監控 `job-status`,直到任務完成。
+ [aws iam generate-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)
1. 使用上個步驟的 `job-id` 參數來擷取報告的詳細資訊。
+ [aws iam get-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)
根據您在 `generate-service-last-accessed-details` 操作中請求的資源類型與精細程度,此操作會傳回以下資訊:
+ **使用者** – 傳回指定的使用者可存取的服務清單。對於每個服務,此操作會傳回使用者最後一次嘗試的日期與時間,以及該使用者的 ARN。
+ **使用者群組** – 傳回指定使用者群組的成員可使用連接至該使用者群組的政策進行存取的服務清單。對於每個服務,此操作會傳回任何使用者群組成員最後一次嘗試的日期與時間。它也會傳回該使用者的 ARN 以及曾嘗試存取服務的使用者群組成員總數。使用 [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) 操作來擷取所有成員的清單。
+ **角色** – 傳回指定的角色可存取的服務清單。對於每個服務,此操作會傳回角色最後一次嘗試的日期與時間,以及該角色的 ARN。
+ **政策** – 傳回指定的政策允許存取的服務清單。對於每個服務,此操作會傳回實體 (使用者或角色) 上次使用政策來嘗試存取服務的日期和時間。它也會傳回實體的 ARN 以及嘗試存取的實體總數。
1. 進一步了解在嘗試存取特定服務時使用使用者群組或政策許可的實體。此操作會傳回實體清單,包括各實體的 ARN、ID、名稱、路徑、類型 (使用者或角色),以及它們最後一次嘗試存取服務的時間。您也可以針對使用者和角色使用此操作,但只會傳回有關該實體的資訊。
+ [aws iam get-service-last-accessed-details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html)
1. 進一步了解有關身分 (使用者、使用者群組或角色) 在嘗試存取特定服務時使用之以身分為基礎的政策。當您指定身分和服務時,此操作會傳回實體可用於存取指定服務的許可政策清單。此操作可提供政策的目前狀態,而且不倚賴產生的報告。它也不會傳回其他政策類型,例如以資源為基礎的政策、存取控制清單、 AWS Organizations 政策、IAM 許可邊界,或工作階段政策。如需詳細資訊,請參閱[政策類型](access_policies.md#access_policy-types)或[單一帳戶中請求的政策評估](reference_policies_evaluation-logic_policy-eval-basics.md)。
+ [aws iam list-policies-granting-service-access](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html)
## 檢視 IAM (AWS API) 的資訊
您可以使用 AWS API 擷取上次使用 IAM 資源嘗試存取 AWS 服務和 Amazon S3、Amazon EC2、IAM 和 Lambda 動作的相關資訊。IAM 資源可以是使用者、使用者群組、角色或政策。您可以在報告中指定要產生的資料細微層級,以檢視任一服務或同時檢視服務和動作的詳細資訊。
**檢視 IAM (AWS API) 的資訊**
1. 產生報告。此請求必須包含您需要報告的 IAM 資源 (使用者、使用者群組、角色或政策) 的 ARN。它會傳回 `JobId`,然後您可將它用於 `GetServiceLastAccessedDetails` 和 `GetServiceLastAccessedDetailsWithEntities` 操作以監控 `JobStatus`,直到任務完成。
+ [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html)
1. 使用上個步驟的 `JobId` 參數來擷取報告的詳細資訊。
+ [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html)
根據您在 `GenerateServiceLastAccessedDetails` 操作中請求的資源類型與精細程度,此操作會傳回以下資訊:
+ **使用者** – 傳回指定的使用者可存取的服務清單。對於每個服務,此操作會傳回使用者最後一次嘗試的日期與時間,以及該使用者的 ARN。
+ **使用者群組** – 傳回指定使用者群組的成員可使用連接至該使用者群組的政策進行存取的服務清單。對於每個服務,此操作會傳回任何使用者群組成員最後一次嘗試的日期與時間。它也會傳回該使用者的 ARN 以及曾嘗試存取服務的使用者群組成員總數。使用 [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) 操作來擷取所有成員的清單。
+ **角色** – 傳回指定的角色可存取的服務清單。對於每個服務,此操作會傳回角色最後一次嘗試的日期與時間,以及該角色的 ARN。
+ **政策** – 傳回指定的政策允許存取的服務清單。對於每個服務,此操作會傳回實體 (使用者或角色) 上次使用政策來嘗試存取服務的日期和時間。它也會傳回實體的 ARN 以及嘗試存取的實體總數。
1. 進一步了解在嘗試存取特定服務時使用使用者群組或政策許可的實體。此操作會傳回實體清單,包括各實體的 ARN、ID、名稱、路徑、類型 (使用者或角色),以及它們最後一次嘗試存取服務的時間。您也可以針對使用者和角色使用此操作,但只會傳回有關該實體的資訊。
+ [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)
1. 進一步了解有關身分 (使用者、使用者群組或角色) 在嘗試存取特定服務時使用之以身分為基礎的政策。當您指定身分和服務時,此操作會傳回實體可用於存取指定服務的許可政策清單。此操作可提供政策的目前狀態,而且不倚賴產生的報告。它也不會傳回其他政策類型,例如以資源為基礎的政策、存取控制清單、 AWS Organizations 政策、IAM 許可邊界,或工作階段政策。如需詳細資訊,請參閱[政策類型](access_policies.md#access_policy-types)或[單一帳戶中請求的政策評估](reference_policies_evaluation-logic_policy-eval-basics.md)。
+ [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)
# 檢視 的上次存取資訊 AWS Organizations
您可以使用 IAM AWS Organizations 主控台 AWS CLI或 AWS API 檢視服務上次存取的資訊。如需關於資料、必要許可、疑難排解及支援區域的重要資訊,請參閱[AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
當您使用 AWS Organizations 管理帳戶登入資料登入 IAM 主控台時,您可以檢視組織中任何實體的資訊。 AWS Organizations 實體包括組織根目錄、組織單位 OUs) 和帳戶。您也可以使用 IAM 主控台來檢視組織中任何服務控制政策 (SCP) 的資訊。IAM 會顯示套用至實體的 SCP 所允許的服務清單。對於每個服務,您可以檢視所選 AWS Organizations 實體或實體子系的最新帳戶活動資訊。
當您使用 AWS CLI 或 AWS API 搭配管理帳戶登入資料時,您可以為組織中的任何實體或政策產生報告。實體的程式設計報告包含套用至實體之任何 SCP 所允許的服務清單。對於每個服務,報告包含指定 AWS Organizations 實體或實體子目錄中的最新帳戶活動。
當您產生政策的程式設計報告時,您必須指定 AWS Organizations 實體。這份報告包含指定 SCP 所允許的服務清單。對於每個服務,其包含由政策授予許可之實體或實體子系的最新帳戶活動。如需詳細資訊,請參閱 [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) 或 [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)。
檢視報告之前,請確認您了解管理帳戶需求和資訊、報告期間、回報實體和評估的政策類型。如需詳細資訊,請參閱 [關於上次存取資訊的注意事項](access_policies_last-accessed.md#access_policies_last-accessed-know)。
## 了解 AWS Organizations 實體路徑
當您使用 AWS CLI 或 AWS API 產生 AWS Organizations 存取報告時,您必須指定實體路徑。路徑是 AWS Organizations 實體結構的文字表示。
您可以使用組織已知的結構來建立實體路徑。例如,假設您在其中具有下列組織結構 AWS Organizations。
![\[組織路徑結構\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/ou-path-diagram.png)
**開發人員管理員** OU 的路徑是使用組織 ID、根目錄和路徑中所有的 OU 包含 OU。
```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
```
**生產** OU 中帳戶的路徑是使用組織、根、OU 和帳戶號碼的 ID 建立的。
```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
```
**注意**
組織 ID 是全域唯一,但 OU ID 和根 ID 只有在組織內是唯一。這表示沒有兩個組織共用相同的組織 ID。不過,另一個組織的 OU 或根可能與您的 ID 相同。我們建議您在指定 OU 或根時,一律包含組織 ID。
## 檢視 AWS Organizations (主控台) 的資訊
您可以使用 IAM 主控台檢視您的根目錄、OU、帳戶或政策的上次存取資訊。
**檢視根目錄的資訊 (主控台)**
1. AWS 管理主控台 使用 AWS Organizations 管理帳戶登入資料登入 ,然後開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格的 **Access reports (存取報告)** 區段下方,選擇 **Organization activity (組織活動)**。
1. 在 **Organization activity** (組織活動) 頁面,選擇 **Root** (根)。
1. 在 **Details and activity** (詳細資訊與活動) 索引標籤上檢視 **Service access report** (服務存取報告) 部分。該資訊包含直接連接至根目錄之政策所允許的服務清單。該資訊會為您顯示服務上次存取哪個帳戶的服務,以及存取時間。如需關於哪個主體存取服務的詳細資訊,請以該帳戶的管理員身分登入帳戶並[檢視 IAM 上次存取資訊](access_policies_last-accessed-view-data.md)。
1. 選擇 **Attached SCPs** (連接的 SCP) 索引標籤,檢視連接至根目錄的服務控制政策 (SCP) 清單。IAM 會顯示與每個政策連接的目標實體數量。您可以使用此資訊來決定要檢閱哪些 SCP。
1. 選擇 SCP 的名稱,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。
1. 選擇在 **中編輯 AWS Organizations**以檢視其他詳細資訊,並在 AWS Organizations 主控台中編輯 SCP。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy)。
**檢視 OU 或帳戶的資訊 (主控台)**
1. AWS 管理主控台 使用 AWS Organizations 管理帳戶登入資料登入 ,然後開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格的 **Access reports (存取報告)** 區段下方,選擇 **Organization activity (組織活動)**。
1. 在 **Organization activity (組織活動)**頁面,展開組織的結構。然後,選擇 OU 或您要檢視任何帳戶的名稱 (管理帳戶除外)。
1. 在 **Details and activity** (詳細資訊與活動) 索引標籤上檢視 **Service access report** (服務存取報告) 部分。該資訊包含 SCP 允許的服務清單,而且這些 SCP 都連接至 OU 或帳戶*及其*所有父系。該資訊會為您顯示服務上次存取哪個帳戶的服務,以及存取時間。如需關於哪個主體存取服務的詳細資訊,請以該帳戶的管理員身分登入帳戶並[檢視 IAM 上次存取資訊](access_policies_last-accessed-view-data.md)。
1. 選擇 **Attached SCPs** (連接的 SCP) 索引標籤,檢視直接連接至 OU 或帳戶的服務控制政策 (SCP) 清單。IAM 會顯示與每個政策連接的目標實體數量。您可以使用此資訊來決定要檢閱哪些 SCP。
1. 選擇 SCP 的名稱,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。
1. 選擇在 **中編輯 AWS Organizations**以檢視其他詳細資訊,並在 AWS Organizations 主控台中編輯 SCP。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy)。
**檢視管理帳戶的資訊 (主控台)**
1. AWS 管理主控台 使用 AWS Organizations 管理帳戶登入資料登入 ,然後開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格的 **Access reports (存取報告)** 區段下方,選擇 **Organization activity (組織活動)**。
1. 在 **Organization activity** (組織活動) 頁面,展開組織的結構,然後選擇管理帳戶的名稱。
1. 在 **Details and activity** (詳細資訊與活動) 索引標籤上檢視 **Service access report** (服務存取報告) 部分。這些資訊包括所有 AWS 服務的清單。管理帳戶不受 SCP 限制。該資訊會為您顯示帳戶上次是否存取服務,以及存取的時間。如需關於哪個主體存取服務的詳細資訊,請以該帳戶的管理員身分登入帳戶並[檢視 IAM 上次存取資訊](access_policies_last-accessed-view-data.md)。
1. 選擇 **Attached SCPs** (連接的 SCP) 索引標籤,以確認沒有任何連接的 SCP,因為帳戶就是管理帳戶。
**檢視政策的資訊 (主控台)**
1. AWS 管理主控台 使用 AWS Organizations 管理帳戶登入資料登入 ,然後開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格的 **Access reports (存取報告)** 區段下方,選擇 **Service control policies (SCPs) (服務控制政策 (SCP))**。
1. 在**Service control policies (SCPs) (服務控制政策 (SCP))** 頁面上,檢視組織的政策清單。您可以檢視每個政策連接的目標實體數量。
1. 選擇 SCP 的名稱,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。
1. 選擇在 **中編輯 AWS Organizations**以檢視其他詳細資訊,並在 AWS Organizations 主控台中編輯 SCP。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy)。
## 檢視 AWS Organizations (AWS CLI) 的資訊
您可以使用 AWS CLI 來擷取 AWS Organizations 根、OU、帳戶或政策的服務上次存取資訊。
**檢視 AWS Organizations 服務上次存取的資訊 (AWS CLI)**
1. 使用您的 AWS Organizations 管理帳戶登入資料搭配必要的 IAM 和 AWS Organizations 許可,並確認已為您的根目錄啟用 SCPs。如需詳細資訊,請參閱[關於上次存取資訊的注意事項](access_policies_last-accessed.md#access_policies_last-accessed-know)。
1. 產生報告。請求必須包含您想要報告之 AWS Organizations 實體 (根、OU 或帳戶) 的路徑。您可以選擇包含 `organization-policy-id` 參數,以檢視特定政策的報告。命令會傳回 `job-id`,然後您可將它用於 `get-organizations-access-report` 命令以監控 `job-status`,直到任務完成為止。
+ [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html)
1. 使用上個步驟的 `job-id` 參數來擷取報告的詳細資訊。
+ [aws iam get-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/get-organizations-access-report.html)
此命令會傳回實體成員可以存取的服務清單。對於每個服務,命令會傳回帳戶成員上次嘗試存取的日期及時間,以及帳戶的實體路徑。它還會傳回可用來存取的服務數量,以及並未存取的服務數量。如果您指定選用的 `organizations-policy-id` 參數,則可存取的服務就是指定政策允許的服務。
## 檢視 AWS Organizations (AWS API) 的資訊
您可以使用 AWS API 來擷取根 AWS Organizations 、OU、帳戶或政策的服務上次存取資訊。
**檢視 AWS Organizations 服務上次存取資訊 (AWS API)**
1. 使用您的 AWS Organizations 管理帳戶登入資料搭配必要的 IAM 和 AWS Organizations 許可,並確認已為您的根目錄啟用 SCPs。如需詳細資訊,請參閱[關於上次存取資訊的注意事項](access_policies_last-accessed.md#access_policies_last-accessed-know)。
1. 產生報告。請求必須包含您想要報告之 AWS Organizations 實體 (根、OU 或帳戶) 的路徑。您可以選擇包含 `OrganizationsPolicyId` 參數,以檢視特定政策的報告。操作會傳回 `JobId`,您可將它用於 `GetOrganizationsAccessReport` 操作以監控 `JobStatus`,直到任務完成為止。
+ [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)
1. 使用上個步驟的 `JobId` 參數來擷取報告的詳細資訊。
+ [GetOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOrganizationsAccessReport.html)
此操作會傳回實體成員可以存取的服務清單。對於每個服務,操作會傳回帳戶成員上次嘗試存取的日期及時間,以及帳戶的實體路徑。它還會傳回可用來存取的服務數量,以及並未存取的服務數量。如果您指定選用的 `OrganizationsPolicyId` 參數,則可存取的服務就是指定政策允許的服務。
# 使用上次存取資訊的範例案例
您可以使用上次存取的資訊,對您授予 IAM 實體的許可做出決策 AWS Organizations 。如需詳細資訊,請參閱[AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
**注意**
在 IAM 或 中檢視實體或政策的存取資訊之前 AWS Organizations,請確定您了解資料的報告期間、報告的實體和評估的政策類型。如需詳細資訊,請參閱 [關於上次存取資訊的注意事項](access_policies_last-accessed.md#access_policies_last-accessed-know)。
身為管理員的您,可以在可存取性與最低權限取得平衡,以符合您公司的需求。
## 使用資訊減少 IAM 群組的許可
您可以使用上次存取資訊以減少 IAM 群組許可,使其僅包含您的使用者所需要的服務。此方法在服務等級的[授予最低權限](best-practices.md#grant-least-privilege)中是一個重要的步驟。
例如,Paulo Santos 是負責定義 Example Corp AWS 使用者許可的管理員。 此公司剛開始使用 AWS,軟體開發團隊尚未定義他們將使用 AWS 的服務。Paulo 打算僅提供該團隊所需服務的存取許可,但由於尚未定義相關服務,因此 Paulo 暫時提供該團隊進階使用者許可。然後,他會使用上次存取的資訊來減少群組的許可。
Paulo 使用以下 JSON 文字建立一個名為 `ExampleDevelopment` 的受管政策。然後,他將其連接至名為 `Development` 的群組,並將所有開發人員新增至該群組。
**注意**
Paulo 的進階使用者可能需要 `iam:CreateServiceLinkedRole` 許可才能使用某些服務和功能。他了解新增此許可會允許使用者建立任何服務連結的角色。他接受其進階使用者的這種風險。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FullAccessToAllServicesExceptPeopleManagement",
"Effect": "Allow",
"NotAction": [
"iam:*",
"organizations:*"
],
"Resource": "*"
},
{
"Sid": "RequiredIamAndOrgsActions",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:ListRoles",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
Paulo 決定在他[檢視上次存取資訊](access_policies_last-accessed-view-data.md#access_policies_last-accessed-viewing)前等待 90 天,然後讓 `Development` 群組使用 AWS 管理主控台。他檢視群組成員曾經存取的服務清單。他得知使用者在過去一週內存取了五個服務: AWS CloudTrail Amazon CloudWatch Logs AWS KMS、Amazon EC2 和 Amazon S3。他們在第一次評估時存取了其他一些服務 AWS,但之後卻無法存取。
Paulo 決定減少政策許可,只包含這五個服務以及必要的 IAM 和 AWS Organizations 動作。他使用以下 JSON 文字編輯 `ExampleDevelopment` 政策。
**注意**
Paulo 的進階使用者可能需要 `iam:CreateServiceLinkedRole` 許可才能使用某些服務和功能。他了解新增此許可會允許使用者建立任何服務連結的角色。他接受其進階使用者的這種風險。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FullAccessToListedServices",
"Effect": "Allow",
"Action": [
"s3:*",
"kms:*",
"cloudtrail:*",
"logs:*",
"ec2:*"
],
"Resource": "*"
},
{
"Sid": "RequiredIamAndOrgsActions",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:ListRoles",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
若要進一步減少許可,Paulo 可在 AWS CloudTrail **Event history (事件歷程記錄)** 中檢視帳戶的事件。他可在此檢視詳細的事件資訊,以用於減少政策的許可,使其僅包含開發人員需要的動作和資源。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》**中的[在 CloudTrail 主控台中檢視 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html)。
## 使用資訊減少 IAM 使用者的許可
您可以使用上次存取資訊,以減少個別 IAM 使用者的許可。
例如,Martha Rivera 是 IT 管理員,負責確保其公司中的人員沒有多餘的 AWS 許可。在定期安全性檢查中,她會檢查所有 IAM 使用者的許可。在這些使用者中,有一位名為 Nikhil Jayashankar 的應用程式開發人員,過去曾經擔任安全工程師。因為任務需求的變更,Nikhil 同時是 `app-dev` 群組和 `security-team` 群組的成員。`app-dev` 群組為其新任務授予多項服務的許可,包括 Amazon EC2、Amazon EBS、Auto Scaling、Amazon S3、Route 53 和 Elastic Transcoder。他的舊任務的 `security-team` 群組授予 IAM 與 CloudTrail 的許可。
作為管理員,Martha 登入 IAM 主控台,依序選擇**使用者**、名稱 `nikhilj`,然後選擇**上次存取**索引標籤。
Martha 會檢閱**上次存取的資料**欄,並注意到 Nikhil 最近未存取 IAM、CloudTrail、Route 53、Amazon Elastic Transcoder 和許多 AWS 其他服務。Nikhil 已經存取 Amazon S3。Martha 從服務清單中選擇 **S3**,並得知 Nikhil 在過去兩週內執行了一些 Amazon S3 `List` 動作。Martha 確認 Nikhil 在她的公司中不再需要存取 IAM 與 CloudTrail,因為他不再是內部安全團隊的成員。
Martha 現在已經準備好對服務採取行動,並採取行動上次存取的資訊。不過,不同於先前範例中的群組,像是 `nikhilj` 這樣的 IAM 使用者可能會受到多個政策的約束,並且可能是多個群組的成員。Martha 必須小心處理以避免不慎中斷 `nikhilj` 或其他群組成員的存取。除了了解 Nikhil 應有哪些存取,她也必須判斷 Nikhil 應*如何*接收這些許可。
Martha 選擇 **Permissions (許可)** 標籤,她檢視哪些政策直接連接至 `nikhilj`,以及從群組連接的政策。她展開每個政策並檢視政策摘要,以了解哪個政策允許 Nikhil 存取他沒有在使用的服務:
+ IAM – `IAMFullAccess` AWS 受管政策會直接連接至 `nikhilj` 群組`security-team`。
+ CloudTrail – `AWS CloudTrailReadOnlyAccess` AWS 受管政策會連接到 `security-team`群組。
+ Route 53 – `App-Dev-Route53` 客戶受管政策連接至 `app-dev` 群組。
+ Elastic Transcoder – `App-Dev-ElasticTranscoder` 客戶受管政策連接至 `app-dev` 群組。
Martha 決定移除直接連接到 的`IAMFullAccess` AWS 受管政策`nikhilj`。她也移除 Nikhil 的 `security-team` 群組成員資格。這兩個動作移除了不必要的 IAM 與 CloudTrail 存取。
Nikhil 存取 Route 53 和 Elastic Transcoder 的許可是由 `app-dev` 群組所授予。雖然 Nikhil 沒有使用這些服務,但群組的其他成員可能會使用。Martha 會檢閱 `app-dev` 群組上次存取的資訊,並得知多位成員最近存取 Route 53 和 Amazon S3。但在去年沒有任何群組成員存取過 Elastic Transcoder。她從群組移除 `App-Dev-ElasticTranscoder` 客戶受管政策。
然後,Martha 檢閱了 `App-Dev-ElasticTranscoder` 客戶受管政策的上次存取資訊。她發現該政策未連接至任何其他 IAM 身分。她在公司內部進行調查以確定未來不需要此政策,然後將此政策刪除。
## 刪除 IAM 資源前使用資訊
您可以在刪除 IAM 資源之前使用上次存取資訊,以確保在最後一次有人使用該資源之後已經過一段特定的時間。這適用於使用者、群組、角色及政策。若要進一步了解這些動作的詳細資訊,請參閱下列主題:
+ **IAM 使用者** – [移除或停用 IAM 使用者](id_users_remove.md)
+ **群組** – [刪除 IAM 群組](id_groups_manage_delete.md)
+ **角色** – [刪除角色或執行個體設定檔](id_roles_manage_delete.md)
+ **政策** – [刪除 IAM 政策 (這也會從身分中分開政策)](access_policies_manage-delete.md)
## 編輯 IAM 政策前使用資訊
您可以在編輯會影響該資源的政策之前,檢閱上次存取資訊中的 IAM 身分 (使用者、群組或角色) 或 IAM 政策。這是重要的,因為您不會想要移除使用該政策者的存取權。
例如,Arnav Desai 是 Example Corp. 的開發人員和 AWS 管理員。 當他的團隊開始使用 時 AWS,他們會授予所有開發人員進階使用者存取權,讓他們能夠完整存取 IAM 和 以外的所有服務 AWS Organizations。做為[授予最低權限](best-practices.md#grant-least-privilege)的第一步,Arnav 希望使用 AWS CLI 檢閱其帳戶中的受管政策。
因此,Arnav 首先列出其帳戶中連接至身分的客戶受管許可政策,他使用下列命令:
```
aws iam list-policies --scope Local --only-attached --policy-usage-filter PermissionsPolicy
```
他從回應中擷取每個政策的 ARN。然後,Arnav 使用下列命令,為每個政策產生上次存取資訊的報告。
```
aws iam generate-service-last-accessed-details --arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```
從回應中,他從 `JobId` 欄位擷取所產生報告的 ID。然後,Arnav 輪詢下列命令,直到 `JobStatus` 欄位傳回 `COMPLETED` 或 `FAILED` 值。如果任務失敗,他將會擷取錯誤。
```
aws iam get-service-last-accessed-details --job-id 98a765b4-3cde-2101-2345-example678f9
```
當任務的狀態為 `COMPLETED` 時,Arnav 剖析 JSON 格式 `ServicesLastAccessed` 陣列的內容。
```
"ServicesLastAccessed": [
{
"TotalAuthenticatedEntities": 1,
"LastAuthenticated": 2018-11-01T21:24:33.222Z,
"ServiceNamespace": "dynamodb",
"LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/IAMExampleUser",
"ServiceName": "Amazon DynamoDB"
},
{
"TotalAuthenticatedEntities": 0,
"ServiceNamespace": "ec2",
"ServiceName": "Amazon EC2"
},
{
"TotalAuthenticatedEntities": 3,
"LastAuthenticated": 2018-08-25T15:29:51.156Z,
"ServiceNamespace": "s3",
"LastAuthenticatedEntity": "arn:aws:iam::123456789012:role/IAMExampleRole",
"ServiceName": "Amazon S3"
}
]
```
Arnav 透過此資訊發現 `ExamplePolicy1` 政策允許存取三項服務、Amazon DynamoDB、Amazon S3 和 Amazon EC2。名為 `IAMExampleUser` 的 IAM 使用者與 11 月 1 日最後一次嘗試存取 DynamoDB,另有某人於 8 月 25 日使用了 `IAMExampleRole` 角色嘗試存取 Amazon S3。另有兩個實體在過去一年嘗試存取 Amazon S3。不過,過去一年無人嘗試存取 Amazon EC2。
這表示 Arnav 可以安全地從政策中移除 Amazon EC2 動作。Arnav 想要檢閱該政策目前的 JSON 文件。首先,他必須使用以下命令判斷政策的版本號碼。
```
aws iam list-policy-versions --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```
Arnav 從回應中的 `Versions` 陣列收集到目前的預設版本號碼。然後,他使用該版本號碼 (`v2`) 以及以下命令請求 JSON 政策文件。
```
aws iam get-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --version-id v2
```
Arnav 將傳回的 JSON 政策文件存放於 `Document` 陣列的 `PolicyVersion` 欄位。在政策文件中,Arnav 搜尋 `ec2` 命名空間中的動作。如果政策中沒有來自其他命名空間的動作,他將會分開政策與受影響的身分 (使用者、群組和角色)。而後他會刪除政策。在這種情況下,政策並包含 Amazon DynamoDB 與 Amazon S3 服務。因此,Arnav 會從文件中移除 Amazon EC2 動作,並儲存變更。然後,他使用下列命令來更新使用新文件版本的政策,然後將該版本設定為預設的政策版本。
```
aws iam create-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --policy-document file://UpdatedPolicy.json --set-as-default
```
`ExamplePolicy1` 政策現在已更新,以移除不必要 Amazon EC2 服務的存取權。
## 其他 IAM 案例
有關 IAM 資源 (使用者、群組、角色或政策) 上次嘗試存取服務時間的資訊,可在您完成下列任一項任務時提供協助:
+ **政策** – [編輯現有的客戶受管政策或內嵌政策以移除許可](access_policies_manage-edit.md)
+ **政策** – [將內嵌政策轉換為受管政策,然後刪除它](access_policies-convert-inline-to-managed.md)
+ **政策** – [將明確拒絕新增至現有的政策](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md)
+ **政策** – [從身分 (使用者、群組或角色) 分開受管政策](access_policies_manage-attach-detach.md#detach-managed-policy-console)
+ **實體** – [設定許可界限以控制實體 (使用者或角色) 可擁有的最大許可](access_policies_manage-attach-detach.md)
+ **群組** – [從群組移除使用者](id_groups_manage_add-remove-users.md)
## 使用資訊來調整組織單位的許可
您可以使用上次存取資訊,以強化 AWS Organizations中組織單位 (OU) 的許可。
例如,John Stiles 是 AWS Organizations 管理員。他負責確保公司中的人員 AWS 帳戶 沒有多餘的許可。在定期安全稽核中,他會檢查其組織的許可。他的 `Development` OU 包含帳戶,這類帳戶經常用於測試新的 AWS 服務。John 決定要定期檢查超過 180 天未存取的服務報告。然後,他的 OU 成員會移除存取那些服務的許可。
John 使用自己的管理帳戶憑證登入 IAM 主控台。在 IAM 主控台中,他找到 OU `Development` AWS Organizations 的資料。他檢閱**服務存取報告**表 AWS ,並看到兩個服務在超過他偏好的 180 天期間內未被存取。他記得新增許可,讓開發團隊存取 Amazon Lex 和 AWS Database Migration Service。John 聯絡開發團隊,並確認他們不再有測試這些服務的商業需求。
Martha 現在已經準備好對上次存取的資訊採取行動。他選擇 **Edit in AWS Organizations** (在 AWS Organizations中編輯),而且收到提醒,表示已將 SCP 連接至多個實體。他選擇 **Continue (繼續)**。在 中 AWS Organizations,他會檢閱目標,以了解 SCP 連接到哪些 AWS Organizations 實體。所有實體都位於 `Development` OU 內。
John 決定拒絕存取 Amazon Lex 和 `NewServiceTest` SCP 中的 AWS Database Migration Service 動作。這個動作移除了不必要的服務存取。
# IAM 動作最近存取的資訊服務和動作
下表列出顯示 [IAM 動作上次存取資訊](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html) AWS 的服務。如需每個服務的動作清單,請參閱《服務授權參考》中的[AWS 服務的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
AWS 提供 JSON 格式的動作上次存取資訊,以簡化政策管理工作流程的自動化。使用 服務參考資訊,您可以存取動作上次 AWS 服務 從機器可讀取檔案跨 存取的資訊。如需詳細資訊,請參閱 Service Authorization Reference 中的 [Simplified AWS 服務 information for programmatic access](https://docs.aws.amazon.com/service-authorization/latest/reference/service-reference.html)。
| **服務** | **服務前綴** |
| --- | --- |
| [AWS Identity and Access Management 和 Access Analyzer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html) | access-analyzer |
| [AWS 帳戶管理](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsaccountmanagement.html) | 帳戶 |
| [AWS Certificate Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscertificatemanager.html) | acm |
| [Amazon Managed Workflows for Apache Airflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedworkflowsforapacheairflow.html) | airflow |
| [AWS Amplify](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplify.html) | mplify |
| [AWS Amplify UI Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplifyuibuilder.html) | amplifyuibuilder |
| [Amazon AppIntegrations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappintegrations.html) | app-integrations |
| [AWS AppConfig](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappconfig.html) | appconfig |
| [Amazon AppFlow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappflow.html) | appflow |
| [AWS 應用程式成本分析器](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationcostprofilerservice.html) | application-cost-profiler |
| [Amazon CloudWatch Application Insights](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html) | applicationinsights |
| [AWS App Mesh](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappmesh.html) | appmesh |
| [Amazon WorkSpaces 應用程式](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappstream2.0.html) | appstream |
| [AWS AppSync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html) | appsync |
| [Amazon Managed Service for Prometheus](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedserviceforprometheus.html) | aps |
| [Amazon Athena](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html) | athena |
| [AWS Audit Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsauditmanager.html) | auditmanager |
| [AWS Auto Scaling](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsautoscaling.html) | 自動擴展 |
| [AWS Marketplace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplace.html) | aws-marketplace |
| [AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html) | 備份 |
| [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html) | 批次 |
| [Amazon Braket](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbraket.html) | braket |
| [AWS Budgets](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbudgetservice.html) | 預算 |
| [AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloud9.html) | Cloud9 |
| [AWS CloudFormation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html) | cloudformation |
| [Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html) | cloudfront |
| [AWS CloudHSM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudhsm.html) | cloudhsm |
| [Amazon CloudSearch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudsearch.html) | cloudsearch |
| [AWS CloudTrail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudtrail.html) | cloudtrail |
| [Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatch.html) | cloudwatch |
| [AWS CodeArtifact](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodeartifact.html) | codeartifact |
| [AWS CodeDeploy](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodedeploy.html) | codedeploy |
| [Amazon CodeGuru Profiler](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodeguruprofiler.html) | codeguru-profiler |
| [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodegurureviewer.html) | codeguru-reviewer |
| [AWS CodePipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodepipeline.html) | codepipeline |
| [AWS CodeStar](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestar.html) | codestar |
| [AWS CodeStar 通知](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestarnotifications.html) | codestar-notifications |
| [Amazon Cognito 身分](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitoidentity.html) | cognito-identity |
| [Amazon Cognito 使用者集區](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitouserpools.html) | cognito-idp |
| [Amazon Cognito Sync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitosync.html) | cognito-sync |
| [Amazon Comprehend Medical](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html) | comprehendmedical |
| [AWS Compute Optimizer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html) | compute-optimizer |
| [AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html) | config |
| [Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html) | connect |
| [AWS Cost and Usage Report](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostandusagereport.html) | cur |
| [AWS Glue DataBrew](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgluedatabrew.html) | databrew |
| [AWS Data Exchange](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdataexchange.html) | dataexchange |
| [AWS Data Pipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatapipeline.html) | datapipeline |
| [DynamoDB Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodbacceleratordax.html) | dax |
| [AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html) | devicefarm |
| [Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html) | devops-guru |
| [AWS Direct Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdirectconnect.html) | directconnect |
| [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondatalifecyclemanager.html) | dlm |
| [AWS Database Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatabasemigrationservice.html) | dms |
| [Amazon DocumentDB Elastic Clusters](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html) | docdb-elastic |
| [Amazon DynamoDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodb.html) | dynamodb |
| [Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html) | ebs |
| [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html) | ec2 |
| [Amazon Elastic Container Registry](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html) | ecr |
| [Amazon Elastic Container Registry Public](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistrypublic.html) | ecr-public |
| [Amazon Elastic Container Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html) | ecs |
| [Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html) | eks |
| [Amazon ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html) | elasticache |
| [AWS Elastic Beanstalk](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselasticbeanstalk.html) | elasticbeanstalk |
| [Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html) | elasticfilesystem |
| [Elastic Load Balancing](https://docs.aws.amazon.com/service-authorization/latest/reference/list_elasticloadbalancing.html) | elasticloadbalancing |
| [Amazon Elastic Transcoder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastictranscoder.html) | elastictranscoder |
| [Amazon EMR on EKS (EMR 容器)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemroneksemrcontainers.html) | emr-containers |
| [Amazon EMR Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemrserverless.html) | emr-serverless |
| [Amazon OpenSearch Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html) | es |
| [Amazon EventBridge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridge.html) | events |
| [Amazon CloudWatch Evidently](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchevidently.html) | evidently |
| [Amazon FinSpace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfinspace.html) | finspace |
| [Amazon Data Firehose](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html) | firehose |
| [AWS Fault Injection Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionsimulator.html) | fis |
| [AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html) | fms |
| [Amazon Fraud Detector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector) | frauddetector |
| [Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx) | fsx |
| [Amazon GameLift 伺服器](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift) | gamelift |
| [Amazon Location Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html) | geo |
| [Amazon Glacier](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3glacier.html) | glacier |
| [Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html) | grafana |
| [AWS IoT Greengrass](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotgreengrass.html) | greengrass |
| [AWS Ground Station](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgroundstation.html) | groundstation |
| [Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html) | guardduty |
| [AWS HealthLake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhealthlake.html) | healthlake |
| [Amazon Honeycode](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhoneycode.html) | honeycode |
| [AWS Identity and Access Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_identityandaccessmanagement.html) | iam |
| [AWS 身分存放區](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentitystore.html) | identitystore |
| [EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html) | imagebuilder |
| [Amazon Inspector Classic](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector.html) | inspector |
| [Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html) | inspector2 |
| [AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html) | iot |
| [AWS IoT Analytics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotanalytics.html) | iotanalytics |
| [AWS IoT Core Device Advisor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotcoredeviceadvisor.html) | iotdeviceadvisor |
| [AWS IoT Events](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotevents.html) | iotevents |
| [AWS IoT Fleet Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleethubfordevicemanagement.html) | iotfleethub |
| [AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html) | iotsitewise |
| [AWS IoT TwinMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiottwinmaker.html) | iottwinmaker |
| [AWS IoT Wireless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html) | iotwireless |
| [Amazon Interactive Video Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservice.html) | ivs |
| [Amazon Interactive Video Service Chat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservicechat.html) | ivschat |
| [Amazon Managed Streaming for Apache Kafka](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforapachekafka.html) | kafka |
| [Amazon Managed Streaming for Kafka Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforkafkaconnect.html) | kafkaconnect |
| [Amazon Kendra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkendra.html) | kendra |
| [Amazon Kinesis](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesis.html) | kinesis |
| [Amazon Kinesis Analytics V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalyticsv2.html) | kinesisanalytics |
| [AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html) | kms |
| [AWS Lambda](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html) | lambda |
| [Amazon Lex](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlexv2.html) | lex |
| [AWS License Manager Linux 訂閱管理員](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslicensemanagerlinuxsubscriptionsmanager.html) | license-manager-linux-subscriptions |
| [Amazon Lightsail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlightsail.html) | lightsail |
| [Amazon CloudWatch Logs](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html) | 日誌 |
| [Amazon Lookout for Equipment](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforequipment.html) | lookoutequipment |
| [Amazon Lookout for Metrics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutformetrics.html) | lookoutmetrics |
| [Amazon Lookout for Vision](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforvision.html) | lookoutvision |
| [AWS Mainframe Modernization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmainframemodernizationservice.html) | m2 |
| [Amazon Managed Blockchain](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedblockchain.html) | managedblockchain |
| [AWS Elemental MediaConnect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconnect.html) | mediaconnect |
| [AWS Elemental MediaConvert](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconvert.html) | mediaconvert |
| [AWS Elemental MediaLive](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmedialive.html) | medialive |
| [AWS Elemental MediaStore](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediastore.html) | mediastore |
| [AWS Elemental MediaTailor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediatailor.html) | mediatailor |
| [Amazon MemoryDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmemorydb.html) | memorydb |
| [AWS Application Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationmigrationservice.html) | mgn |
| [AWS Migration Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhub.html) | mgh |
| [AWS Migration Hub 策略建議](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubstrategyrecommendations.html) | migrationhub-strategy |
| [Amazon Pinpoint](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpoint.html) | mobiletargeting |
| [Amazon MQ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmq.html) | mq |
| [AWS Network Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsnetworkmanager.html) | networkmanager |
| [Amazon Nimble Studio](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonnimblestudio.html) | nimble |
| [AWS HealthOmics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html) | omics |
| [AWS OpsWorks](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworks.html) | opsworks |
| [AWS OpsWorks CM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworksconfigurationmanagement) | opsworks-cm |
| [AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html) | outposts |
| [AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html) | 組織 |
| [AWS Panorama](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html) | panorama |
| [AWS Performance Insights](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsperformanceinsights.html) | pi |
| [Amazon EventBridge Pipes](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgepipes.html) | pipes |
| [Amazon Polly](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html) | polly |
| [Amazon Connect Customer Profiles](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectcustomerprofiles.html) | profile |
| [Amazon QLDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonqldb.html) | qldb |
| [AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html) | ram |
| [AWS 資源回收筒](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html) | rbin |
| [Amazon Relational Database Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html) | rds |
| [Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html) | redshift |
| [Amazon Redshift 資料 API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshiftdataapi.html) | redshift-data |
| [AWS Migration Hub Refactor Spaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubrefactorspaces.html) | refactor-spaces |
| [Amazon Rekognition](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html) | rekognition |
| [AWS Resilience Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresiliencehub.html) | resiliencehub |
| [AWS 資源總管](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html) | resource-explorer-2 |
| [AWS Resource Groups](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourcegroups.html) | resource-groups |
| [AWS RoboMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrobomaker.html) | robomaker |
| [AWS Identity and Access Management Roles Anywhere](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementrolesanywhere.html) | rolesanywhere |
| [Amazon Route 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html) | route53 |
| [Amazon Route 53 Recovery Controls](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) | route53-recovery-control-config |
| [Amazon Route 53 Recovery Readiness](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoveryreadiness.html) | route53-recovery-readiness |
| [Amazon Route 53 Resolver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html) | route53resolver |
| [AWS CloudWatch RUM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudwatchrum.html) | rum |
| [Amazon Simple Storage Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) | s3 |
| [Amazon S3 on Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html) | s3-outposts |
| [Amazon SageMaker AI 地理空間功能](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html) | sagemaker-geospatial |
| [Savings Plans](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssavingsplans.html) | savingsplans |
| [Amazon EventBridge Schemas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgeschemas.html) | schemas |
| [Amazon SimpleDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpledb.html) | sdb |
| [AWS Secrets Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html) | secretsmanager |
| [AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html) | securityhub |
| [Amazon Security Lake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsecuritylake.html) | securitylake |
| [AWS Serverless Application Repository](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsserverlessapplicationrepository.html) | serverlessrepo |
| [AWS Service Catalog](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservicecatalog.html) | servicecatalog |
| [AWS Cloud Map](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html) | servicediscovery |
| [Service Quotas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html) | servicequotas |
| [Amazon Simple Email Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonses.html) | ses |
| [AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html) | shield |
| [AWS Signer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssigner.html) | signer |
| [AWS SimSpace Weaver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html) | simspaceweaver |
| [AWS Server Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservermigrationservice.html) | sms |
| [Amazon Pinpoint 簡訊和語音服務](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpointsmsandvoiceservice.html) | sms-voice |
| [AWS Snowball Edge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html) | snowball |
| [Amazon Simple Queue Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html) | sqs |
| [AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html) | ssm |
| [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanager.html) | ssm-incidents |
| [適用於 SAP 的 AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerforsap.html) | ssm-sap |
| [AWS Step Functions](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstepfunctions.html) | states |
| [AWS Security Token Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecuritytokenservice.html) | sts |
| [Amazon Simple Workflow Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpleworkflowservice.html) | swf |
| [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchsynthetics.html) | synthetics |
| [AWS Resource Groups Tagging API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonresourcegrouptaggingapi.html) | 標籤 |
| [Amazon Textract](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html) | textract |
| [Amazon Timestream](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestream.html) | timestream |
| [AWS 電信網路建置器](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstelconetworkbuilder.html) | tnb |
| [Amazon Transcribe](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html) | transcribe |
| [AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html) | 傳輸 |
| [Amazon Translate](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranslate.html) | translate |
| [Amazon Connect Voice ID](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectvoiceid.html) | voiceid |
| [Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html) | vpc-lattice |
| [AWS WAFV2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html) | wafv2 |
| [AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html) | wellarchitected |
| [Amazon Connect Wisdom](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectwisdom.html) | wisdom |
| [Amazon WorkLink](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworklink.html) | worklink |
| [Amazon WorkSpaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworkspaces.html) | 工作區 |
| [AWS X-Ray](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsx-ray.html) | xray |
## 用於動作最近存取資訊的動作
下表會列出可使用動作最近存取資訊的動作。
**重要**
`iam:UpdateAccountName` 動作將於 2026 年 4 月 22 日棄用。2026 年 4 月 22 日之後,僅 `[account:PutAccountName](https://docs.aws.amazon.com/accounts/latest/reference/API_PutAccountName.html)` 許可能夠控制帳戶名稱更新存取權。我們強烈建議您更新所有控制帳戶名稱更新的[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html),以便使用 `account:PutAccountName` 許可。
| **服務前綴** | **動作** |
| --- | --- |
| access-analyzer | access-analyzer:ApplyArchiveRule access-analyzer:CancelPolicyGeneration access-analyzer:CheckAccessNotGranted access-analyzer:CheckNoNewAccess access-analyzer:CheckNoPublicAccess access-analyzer:CreateAccessPreview access-analyzer:CreateAnalyzer access-analyzer:CreateArchiveRule access-analyzer:DeleteAnalyzer access-analyzer:DeleteArchiveRule access-analyzer:GenerateFindingRecommendation access-analyzer:GetAccessPreview access-analyzer:GetAnalyzedResource access-analyzer:GetAnalyzer access-analyzer:GetArchiveRule access-analyzer:GetFinding access-analyzer:GetFindingRecommendation access-analyzer:GetFindingsStatistics access-analyzer:GetGeneratedPolicy access-analyzer:ListAccessPreviewFindings access-analyzer:ListAccessPreviews access-analyzer:ListAnalyzedResources access-analyzer:ListAnalyzers access-analyzer:ListArchiveRules access-analyzer:ListFindings access-analyzer:ListPolicyGenerations access-analyzer:StartPolicyGeneration access-analyzer:StartResourceScan access-analyzer:UpdateAnalyzer access-analyzer:UpdateArchiveRule access-analyzer:UpdateFindings access-analyzer:ValidatePolicy |
| 帳戶 | account:AcceptPrimaryEmailUpdate account:DeleteAlternateContact account:DisableRegion account:EnableRegion account:GetAccountInformation account:GetAlternateContact account:GetContactInformation account:GetGovCloudAccountInformation account:GetPrimaryEmail account:GetRegionOptStatus account:ListRegions account:PutAccountName account:PutAlternateContact account:PutContactInformation account:StartPrimaryEmailUpdate |
| acm | acm:DeleteCertificate acm:DescribeCertificate acm:ExportCertificate acm:GetAccountConfiguration acm:GetCertificate acm:ImportCertificate acm:ListCertificates acm:PutAccountConfiguration acm:RenewCertificate acm:RequestCertificate acm:ResendValidationEmail acm:UpdateCertificateOptions |
| airflow | airflow:CreateCliToken airflow:CreateEnvironment airflow:CreateWebLoginToken airflow:DeleteEnvironment airflow:GetEnvironment airflow:ListEnvironments airflow:PublishMetrics airflow:UpdateEnvironment |
| mplify | amplify:CreateApp amplify:CreateBackendEnvironment amplify:CreateBranch amplify:CreateDeployment amplify:CreateDomainAssociation amplify:CreateWebHook amplify:DeleteApp amplify:DeleteBackendEnvironment amplify:DeleteBranch amplify:DeleteDomainAssociation amplify:DeleteJob amplify:DeleteWebHook amplify:GenerateAccessLogs amplify:GetApp amplify:GetArtifactUrl amplify:GetBackendEnvironment amplify:GetBranch amplify:GetDomainAssociation amplify:GetJob amplify:GetWebHook amplify:ListApps amplify:ListArtifacts amplify:ListBackendEnvironments amplify:ListBranches amplify:ListDomainAssociations amplify:ListJobs amplify:ListWebHooks amplify:StartDeployment amplify:StartJob amplify:StopJob amplify:UpdateApp amplify:UpdateBranch amplify:UpdateDomainAssociation amplify:UpdateWebHook |
| amplifyuibuilder | amplifyuibuilder:CreateComponent amplifyuibuilder:CreateForm amplifyuibuilder:CreateTheme amplifyuibuilder:DeleteComponent amplifyuibuilder:DeleteForm amplifyuibuilder:DeleteTheme amplifyuibuilder:ExportComponents amplifyuibuilder:ExportThemes amplifyuibuilder:GetCodegenJob amplifyuibuilder:ListCodegenJobs amplifyuibuilder:ListComponents amplifyuibuilder:ListForms amplifyuibuilder:ListThemes amplifyuibuilder:ResetMetadataFlag amplifyuibuilder:StartCodegenJob amplifyuibuilder:UpdateComponent amplifyuibuilder:UpdateForm amplifyuibuilder:UpdateTheme |
| app-integrations | app-integrations:CreateApplication app-integrations:CreateDataIntegration app-integrations:CreateDataIntegrationAssociation app-integrations:CreateEventIntegration app-integrations:DeleteApplication app-integrations:DeleteDataIntegration app-integrations:DeleteEventIntegration app-integrations:GetApplication app-integrations:GetDataIntegration app-integrations:GetEventIntegration app-integrations:ListApplicationAssociations app-integrations:ListApplications app-integrations:ListDataIntegrationAssociations app-integrations:ListDataIntegrations app-integrations:ListEventIntegrationAssociations app-integrations:ListEventIntegrations app-integrations:UpdateApplication app-integrations:UpdateDataIntegration app-integrations:UpdateDataIntegrationAssociation app-integrations:UpdateEventIntegration |
| appconfig | appconfig:CreateApplication appconfig:CreateConfigurationProfile appconfig:CreateDeploymentStrategy appconfig:CreateEnvironment appconfig:CreateExtension appconfig:CreateExtensionAssociation appconfig:CreateHostedConfigurationVersion appconfig:DeleteApplication appconfig:DeleteConfigurationProfile appconfig:DeleteDeploymentStrategy appconfig:DeleteEnvironment appconfig:DeleteExtension appconfig:DeleteExtensionAssociation appconfig:DeleteHostedConfigurationVersion appconfig:GetAccountSettings appconfig:GetApplication appconfig:GetConfiguration appconfig:GetConfigurationProfile appconfig:GetDeployment appconfig:GetDeploymentStrategy appconfig:GetEnvironment appconfig:GetExtension appconfig:GetExtensionAssociation appconfig:GetHostedConfigurationVersion appconfig:ListApplications appconfig:ListConfigurationProfiles appconfig:ListDeploymentStrategies appconfig:ListDeployments appconfig:ListEnvironments appconfig:ListExtensionAssociations appconfig:ListExtensions appconfig:ListHostedConfigurationVersions appconfig:StartDeployment appconfig:StopDeployment appconfig:UpdateAccountSettings appconfig:UpdateApplication appconfig:UpdateConfigurationProfile appconfig:UpdateDeploymentStrategy appconfig:UpdateEnvironment appconfig:UpdateExtension appconfig:UpdateExtensionAssociation appconfig:ValidateConfiguration |
| appflow | appflow:CancelFlowExecutions appflow:CreateConnectorProfile appflow:CreateFlow appflow:DeleteConnectorProfile appflow:DeleteFlow appflow:DescribeConnector appflow:DescribeConnectorEntity appflow:DescribeConnectorProfiles appflow:DescribeConnectors appflow:DescribeFlow appflow:DescribeFlowExecutionRecords appflow:ListConnectorEntities appflow:ListConnectors appflow:ListFlows appflow:RegisterConnector appflow:ResetConnectorMetadataCache appflow:StartFlow appflow:StopFlow appflow:UnRegisterConnector appflow:UpdateConnectorProfile appflow:UpdateConnectorRegistration appflow:UpdateFlow |
| applicationinsights | applicationinsights:AddWorkload applicationinsights:CreateApplication applicationinsights:CreateComponent applicationinsights:CreateLogPattern applicationinsights:DeleteApplication applicationinsights:DeleteComponent applicationinsights:DeleteLogPattern applicationinsights:DescribeApplication applicationinsights:DescribeComponent applicationinsights:DescribeComponentConfiguration applicationinsights:DescribeComponentConfigurationRecommendation applicationinsights:DescribeLogPattern applicationinsights:DescribeObservation applicationinsights:DescribeProblem applicationinsights:DescribeProblemObservations applicationinsights:DescribeWorkload applicationinsights:ListApplications applicationinsights:ListComponents applicationinsights:ListConfigurationHistory applicationinsights:ListLogPatternSets applicationinsights:ListLogPatterns applicationinsights:ListProblems applicationinsights:ListWorkloads applicationinsights:RemoveWorkload applicationinsights:UpdateApplication applicationinsights:UpdateComponent applicationinsights:UpdateComponentConfiguration applicationinsights:UpdateLogPattern applicationinsights:UpdateWorkload |
| appmesh | appmesh:CreateGatewayRoute appmesh:CreateMesh appmesh:CreateRoute appmesh:CreateVirtualGateway appmesh:CreateVirtualNode appmesh:CreateVirtualRouter appmesh:CreateVirtualService appmesh:DeleteGatewayRoute appmesh:DeleteMesh appmesh:DeleteRoute appmesh:DeleteVirtualGateway appmesh:DeleteVirtualNode appmesh:DeleteVirtualRouter appmesh:DeleteVirtualService appmesh:DescribeGatewayRoute appmesh:DescribeMesh appmesh:DescribeRoute appmesh:DescribeVirtualGateway appmesh:DescribeVirtualNode appmesh:DescribeVirtualRouter appmesh:DescribeVirtualService appmesh:ListGatewayRoutes appmesh:ListMeshes appmesh:ListRoutes appmesh:ListVirtualGateways appmesh:ListVirtualNodes appmesh:ListVirtualRouters appmesh:ListVirtualServices appmesh:StreamAggregatedResources appmesh:UpdateGatewayRoute appmesh:UpdateMesh appmesh:UpdateRoute appmesh:UpdateVirtualGateway appmesh:UpdateVirtualNode appmesh:UpdateVirtualRouter appmesh:UpdateVirtualService |
| appstream | appstream:AssociateAppBlockBuilderAppBlock appstream:AssociateApplicationFleet appstream:AssociateApplicationToEntitlement appstream:AssociateFleet appstream:AssociateSoftwareToImageBuilder appstream:BatchAssociateUserStack appstream:BatchDisassociateUserStack appstream:CopyImage appstream:CreateAppBlock appstream:CreateAppBlockBuilder appstream:CreateAppBlockBuilderStreamingURL appstream:CreateApplication appstream:CreateDirectoryConfig appstream:CreateEntitlement appstream:CreateFleet appstream:CreateImageBuilder appstream:CreateImageBuilderStreamingURL appstream:CreateStack appstream:CreateStreamingURL appstream:CreateThemeForStack appstream:CreateUpdatedImage appstream:CreateUsageReportSubscription appstream:CreateUser appstream:DeleteAppBlock appstream:DeleteAppBlockBuilder appstream:DeleteApplication appstream:DeleteDirectoryConfig appstream:DeleteEntitlement appstream:DeleteFleet appstream:DeleteImage appstream:DeleteImageBuilder appstream:DeleteImagePermissions appstream:DeleteStack appstream:DeleteThemeForStack appstream:DeleteUsageReportSubscription appstream:DeleteUser appstream:DescribeAppBlockBuilderAppBlockAssociations appstream:DescribeAppBlockBuilders appstream:DescribeAppBlocks appstream:DescribeAppLicenseUsage appstream:DescribeApplicationFleetAssociations appstream:DescribeApplications appstream:DescribeDirectoryConfigs appstream:DescribeEntitlements appstream:DescribeFleets appstream:DescribeImageBuilders appstream:DescribeImagePermissions appstream:DescribeImages appstream:DescribeSessions appstream:DescribeStacks appstream:DescribeThemeForStack appstream:DescribeUsageReportSubscriptions appstream:DescribeUserStackAssociations appstream:DescribeUsers appstream:DisableUser appstream:DisassociateAppBlockBuilderAppBlock appstream:DisassociateApplicationFleet appstream:DisassociateApplicationFromEntitlement appstream:DisassociateFleet appstream:DisassociateSoftwareFromImageBuilder appstream:EnableUser appstream:ExpireSession appstream:GetExportImageTask appstream:ListAssociatedFleets appstream:ListAssociatedStacks appstream:ListEntitledApplications appstream:ListExportImageTasks appstream:StartAppBlockBuilder appstream:StartFleet appstream:StartImageBuilder appstream:StartSoftwareDeploymentToImageBuilder appstream:StopAppBlockBuilder appstream:StopFleet appstream:StopImageBuilder appstream:UpdateAppBlockBuilder appstream:UpdateApplication appstream:UpdateDirectoryConfig appstream:UpdateEntitlement appstream:UpdateFleet appstream:UpdateImagePermissions appstream:UpdateStack appstream:UpdateThemeForStack |
| appsync | appsync:AssociateApi appsync:AssociateMergedGraphqlApi appsync:AssociateSourceGraphqlApi appsync:AssociateWebACL appsync:CreateApi appsync:CreateApiCache appsync:CreateApiKey appsync:CreateChannelNamespace appsync:CreateDataSource appsync:CreateDomainName appsync:CreateFunction appsync:CreateGraphqlApi appsync:CreateResolver appsync:CreateType appsync:DeleteApi appsync:DeleteApiCache appsync:DeleteApiKey appsync:DeleteChannelNamespace appsync:DeleteDataSource appsync:DeleteDomainName appsync:DeleteFunction appsync:DeleteGraphqlApi appsync:DeleteResolver appsync:DeleteType appsync:DisassociateApi appsync:DisassociateMergedGraphqlApi appsync:DisassociateSourceGraphqlApi appsync:DisassociateWebACL appsync:EvaluateCode appsync:EvaluateMappingTemplate appsync:FlushApiCache appsync:GetApi appsync:GetApiAssociation appsync:GetApiCache appsync:GetChannelNamespace appsync:GetDataSource appsync:GetDataSourceIntrospection appsync:GetDomainName appsync:GetFunction appsync:GetGraphqlApi appsync:GetGraphqlApiEnvironmentVariables appsync:GetIntrospectionSchema appsync:GetResolver appsync:GetSchemaCreationStatus appsync:GetSourceApiAssociation appsync:GetType appsync:GetWebACLForResource appsync:ListApiKeys appsync:ListApis appsync:ListChannelNamespaces appsync:ListDataSources appsync:ListDomainNames appsync:ListFunctions appsync:ListGraphqlApis appsync:ListResolvers appsync:ListResolversByFunction appsync:ListResourcesForWebACL appsync:ListSourceApiAssociations appsync:ListTypes appsync:ListTypesByAssociation appsync:PutGraphqlApiEnvironmentVariables appsync:StartDataSourceIntrospection appsync:StartSchemaCreation appsync:StartSchemaMerge appsync:UpdateApi appsync:UpdateApiCache appsync:UpdateApiKey appsync:UpdateChannelNamespace appsync:UpdateDataSource appsync:UpdateDomainName appsync:UpdateFunction appsync:UpdateGraphqlApi appsync:UpdateResolver appsync:UpdateSourceApiAssociation appsync:UpdateType |
| aps | aps:CreateAlertManagerDefinition aps:CreateAnomalyDetector aps:CreateLoggingConfiguration aps:CreateQueryLoggingConfiguration aps:CreateRuleGroupsNamespace aps:CreateWorkspace aps:DeleteAlertManagerDefinition aps:DeleteAnomalyDetector aps:DeleteLoggingConfiguration aps:DeleteQueryLoggingConfiguration aps:DeleteResourcePolicy aps:DeleteRuleGroupsNamespace aps:DeleteScraper aps:DeleteScraperLoggingConfiguration aps:DeleteWorkspace aps:DescribeAlertManagerDefinition aps:DescribeAnomalyDetector aps:DescribeLoggingConfiguration aps:DescribeQueryLoggingConfiguration aps:DescribeResourcePolicy aps:DescribeRuleGroupsNamespace aps:DescribeScraper aps:DescribeScraperLoggingConfiguration aps:DescribeWorkspace aps:DescribeWorkspaceConfiguration aps:GetDefaultScraperConfiguration aps:ListAnomalyDetectors aps:ListRuleGroupsNamespaces aps:ListScrapers aps:ListWorkspaces aps:PutAlertManagerDefinition aps:PutAnomalyDetector aps:PutResourcePolicy aps:PutRuleGroupsNamespace aps:UpdateLoggingConfiguration aps:UpdateQueryLoggingConfiguration aps:UpdateScraper aps:UpdateScraperLoggingConfiguration aps:UpdateWorkspaceAlias aps:UpdateWorkspaceConfiguration |
| athena | athena:BatchGetNamedQuery athena:BatchGetPreparedStatement athena:BatchGetQueryExecution athena:CancelCapacityReservation athena:CreateCapacityReservation athena:CreateDataCatalog athena:CreateNamedQuery athena:CreateNotebook athena:CreatePreparedStatement athena:CreatePresignedNotebookUrl athena:CreateWorkGroup athena:DeleteCapacityReservation athena:DeleteDataCatalog athena:DeleteNamedQuery athena:DeleteNotebook athena:DeletePreparedStatement athena:DeleteWorkGroup athena:ExportNotebook athena:GetCalculationExecution athena:GetCalculationExecutionCode athena:GetCalculationExecutionStatus athena:GetCapacityAssignmentConfiguration athena:GetCapacityReservation athena:GetDataCatalog athena:GetDatabase athena:GetNamedQuery athena:GetNotebookMetadata athena:GetPreparedStatement athena:GetQueryExecution athena:GetQueryResults athena:GetQueryResultsStream athena:GetQueryRuntimeStatistics athena:GetResourceDashboard athena:GetSession athena:GetSessionEndpoint athena:GetSessionStatus athena:GetTableMetadata athena:GetWorkGroup athena:ImportNotebook athena:ListApplicationDPUSizes athena:ListCalculationExecutions athena:ListCapacityReservations athena:ListDataCatalogs athena:ListDatabases athena:ListEngineVersions athena:ListExecutors athena:ListNamedQueries athena:ListNotebookMetadata athena:ListNotebookSessions athena:ListPreparedStatements athena:ListQueryExecutions athena:ListSessions athena:ListTableMetadata athena:ListWorkGroups athena:PutCapacityAssignmentConfiguration athena:StartCalculationExecution athena:StartQueryExecution athena:StartSession athena:StopCalculationExecution athena:StopQueryExecution athena:TerminateSession athena:UpdateCapacityReservation athena:UpdateDataCatalog athena:UpdateNamedQuery athena:UpdateNotebook athena:UpdateNotebookMetadata athena:UpdatePreparedStatement athena:UpdateWorkGroup |
| auditmanager | auditmanager:AssociateAssessmentReportEvidenceFolder auditmanager:BatchAssociateAssessmentReportEvidence auditmanager:BatchCreateDelegationByAssessment auditmanager:BatchDeleteDelegationByAssessment auditmanager:BatchDisassociateAssessmentReportEvidence auditmanager:BatchImportEvidenceToAssessmentControl auditmanager:CreateAssessment auditmanager:CreateAssessmentFramework auditmanager:CreateAssessmentReport auditmanager:CreateControl auditmanager:DeleteAssessment auditmanager:DeleteAssessmentFramework auditmanager:DeleteAssessmentFrameworkShare auditmanager:DeleteAssessmentReport auditmanager:DeleteControl auditmanager:DeregisterAccount auditmanager:DeregisterOrganizationAdminAccount auditmanager:DisassociateAssessmentReportEvidenceFolder auditmanager:GetAccountStatus auditmanager:GetAssessment auditmanager:GetAssessmentFramework auditmanager:GetAssessmentReportUrl auditmanager:GetChangeLogs auditmanager:GetControl auditmanager:GetDelegations auditmanager:GetEvidence auditmanager:GetEvidenceByEvidenceFolder auditmanager:GetEvidenceFileUploadUrl auditmanager:GetEvidenceFolder auditmanager:GetEvidenceFoldersByAssessment auditmanager:GetEvidenceFoldersByAssessmentControl auditmanager:GetInsights auditmanager:GetInsightsByAssessment auditmanager:GetOrganizationAdminAccount auditmanager:GetServicesInScope auditmanager:GetSettings auditmanager:ListAssessmentControlInsightsByControlDomain auditmanager:ListAssessmentFrameworkShareRequests auditmanager:ListAssessmentFrameworks auditmanager:ListAssessmentReports auditmanager:ListAssessments auditmanager:ListControlDomainInsights auditmanager:ListControlDomainInsightsByAssessment auditmanager:ListControlInsightsByControlDomain auditmanager:ListControls auditmanager:ListKeywordsForDataSource auditmanager:ListNotifications auditmanager:RegisterAccount auditmanager:RegisterOrganizationAdminAccount auditmanager:StartAssessmentFrameworkShare auditmanager:UpdateAssessment auditmanager:UpdateAssessmentControl auditmanager:UpdateAssessmentControlSetStatus auditmanager:UpdateAssessmentFramework auditmanager:UpdateAssessmentFrameworkShare auditmanager:UpdateAssessmentStatus auditmanager:UpdateControl auditmanager:UpdateSettings auditmanager:ValidateAssessmentReportIntegrity |
| 自動擴展 | autoscaling:AttachInstances autoscaling:AttachLoadBalancerTargetGroups autoscaling:AttachLoadBalancers autoscaling:AttachTrafficSources autoscaling:BatchDeleteScheduledAction autoscaling:BatchPutScheduledUpdateGroupAction autoscaling:CancelInstanceRefresh autoscaling:CompleteLifecycleAction autoscaling:CreateAutoScalingGroup autoscaling:CreateLaunchConfiguration autoscaling:DeleteAutoScalingGroup autoscaling:DeleteLaunchConfiguration autoscaling:DeleteLifecycleHook autoscaling:DeleteNotificationConfiguration autoscaling:DeletePolicy autoscaling:DeleteScheduledAction autoscaling:DeleteWarmPool autoscaling:DescribeAccountLimits autoscaling:DescribeAdjustmentTypes autoscaling:DescribeAutoScalingGroups autoscaling:DescribeAutoScalingInstances autoscaling:DescribeAutoScalingNotificationTypes autoscaling:DescribeInstanceRefreshes autoscaling:DescribeLaunchConfigurations autoscaling:DescribeLifecycleHookTypes autoscaling:DescribeLifecycleHooks autoscaling:DescribeLoadBalancerTargetGroups autoscaling:DescribeLoadBalancers autoscaling:DescribeMetricCollectionTypes autoscaling:DescribeNotificationConfigurations autoscaling:DescribePolicies autoscaling:DescribeScalingActivities autoscaling:DescribeScalingProcessTypes autoscaling:DescribeScheduledActions autoscaling:DescribeTerminationPolicyTypes autoscaling:DescribeTrafficSources autoscaling:DescribeWarmPool autoscaling:DetachInstances autoscaling:DetachLoadBalancerTargetGroups autoscaling:DetachLoadBalancers autoscaling:DetachTrafficSources autoscaling:DisableMetricsCollection autoscaling:EnableMetricsCollection autoscaling:EnterStandby autoscaling:ExecutePolicy autoscaling:ExitStandby autoscaling:GetPredictiveScalingForecast autoscaling:PutLifecycleHook autoscaling:PutNotificationConfiguration autoscaling:PutScalingPolicy autoscaling:PutScheduledUpdateGroupAction autoscaling:PutWarmPool autoscaling:RecordLifecycleActionHeartbeat autoscaling:ResumeProcesses autoscaling:RollbackInstanceRefresh autoscaling:SetDesiredCapacity autoscaling:SetInstanceHealth autoscaling:SetInstanceProtection autoscaling:StartInstanceRefresh autoscaling:SuspendProcesses autoscaling:TerminateInstanceInAutoScalingGroup autoscaling:UpdateAutoScalingGroup |
| aws-marketplace | aws-marketplace:GetEntitlements |
| 備份 | backup:CancelLegalHold backup:CreateBackupPlan backup:CreateBackupSelection backup:CreateBackupVault backup:CreateFramework backup:CreateLegalHold backup:CreateLogicallyAirGappedBackupVault backup:CreateReportPlan backup:CreateRestoreAccessBackupVault backup:CreateRestoreTestingPlan backup:CreateRestoreTestingSelection 備份:CreateTieringConfiguration backup:DeleteBackupPlan backup:DeleteBackupSelection backup:DeleteBackupVault backup:DeleteBackupVaultAccessPolicy backup:DeleteBackupVaultLockConfiguration backup:DeleteBackupVaultNotifications backup:DeleteFramework backup:DeleteRecoveryPoint backup:DeleteReportPlan backup:DeleteRestoreTestingPlan backup:DeleteRestoreTestingSelection 備份:DeleteTieringConfiguration backup:DescribeBackupJob backup:DescribeBackupVault backup:DescribeCopyJob backup:DescribeFramework backup:DescribeGlobalSettings backup:DescribeProtectedResource backup:DescribeRecoveryPoint backup:DescribeRegionSettings backup:DescribeReportJob backup:DescribeReportPlan backup:DescribeRestoreJob 備份:DescribeScanJob backup:DisassociateRecoveryPoint backup:DisassociateRecoveryPointFromParent backup:ExportBackupPlanTemplate backup:GetBackupPlan backup:GetBackupPlanFromJSON backup:GetBackupPlanFromTemplate backup:GetBackupSelection backup:GetBackupVaultAccessPolicy backup:GetBackupVaultNotifications backup:GetLegalHold backup:GetRecoveryPointRestoreMetadata backup:GetRestoreJobMetadata backup:GetRestoreTestingInferredMetadata backup:GetRestoreTestingPlan backup:GetRestoreTestingSelection backup:GetSupportedResourceTypes 備份:GetTieringConfiguration backup:ListBackupJobSummaries backup:ListBackupJobs backup:ListBackupPlanTemplates backup:ListBackupPlanVersions backup:ListBackupPlans backup:ListBackupSelections backup:ListBackupVaults backup:ListCopyJobSummaries backup:ListCopyJobs backup:ListFrameworks backup:ListIndexedRecoveryPoints backup:ListLegalHolds backup:ListProtectedResources backup:ListRecoveryPointsByBackupVault backup:ListRecoveryPointsByLegalHold backup:ListRecoveryPointsByResource backup:ListReportJobs backup:ListReportPlans backup:ListRestoreAccessBackupVaults backup:ListRestoreJobSummaries backup:ListRestoreJobs backup:ListRestoreJobsByProtectedResource backup:ListRestoreTestingPlans backup:ListRestoreTestingSelections 備份:ListScanJobSummaries 備份:ListScanJobs 備份:ListTieringConfigurations backup:PutBackupVaultAccessPolicy backup:PutBackupVaultLockConfiguration backup:PutBackupVaultNotifications backup:PutRestoreValidationResult backup:StartBackupJob backup:StartCopyJob backup:StartReportJob backup:StartRestoreJob backup:StopBackupJob backup:UpdateBackupPlan backup:UpdateFramework backup:UpdateGlobalSettings backup:UpdateRecoveryPointLifecycle backup:UpdateRegionSettings backup:UpdateReportPlan backup:UpdateRestoreTestingPlan backup:UpdateRestoreTestingSelection 備份:UpdateTieringConfiguration |
| 批次 | batch:CancelJob batch:CreateComputeEnvironment batch:CreateConsumableResource batch:CreateJobQueue batch:CreateSchedulingPolicy batch:CreateServiceEnvironment batch:DeleteComputeEnvironment batch:DeleteConsumableResource batch:DeleteJobQueue batch:DeleteSchedulingPolicy batch:DeleteServiceEnvironment batch:DeregisterJobDefinition batch:DescribeComputeEnvironments batch:DescribeConsumableResource batch:DescribeJobDefinitions batch:DescribeJobQueues batch:DescribeJobs batch:DescribeSchedulingPolicies batch:DescribeServiceEnvironments batch:DescribeServiceJob batch:GetJobQueueSnapshot batch:ListConsumableResources batch:ListJobs batch:ListJobsByConsumableResource batch:ListSchedulingPolicies batch:ListServiceJobs batch:RegisterJobDefinition batch:SubmitJob batch:SubmitServiceJob batch:TerminateJob batch:TerminateServiceJob batch:UpdateComputeEnvironment batch:UpdateConsumableResource batch:UpdateJobQueue batch:UpdateSchedulingPolicy batch:UpdateServiceEnvironment |
| braket | braket:CancelJob braket:CancelQuantumTask braket:CreateJob braket:CreateQuantumTask braket:CreateSpendingLimit braket:GetDevice braket:GetJob braket:GetQuantumTask braket:SearchDevices braket:SearchJobs braket:SearchQuantumTasks braket:SearchSpendingLimits |
| 預算 | budgets:CreateBudgetAction budgets:DeleteBudgetAction budgets:DescribeBudgetAction budgets:DescribeBudgetActionHistories budgets:DescribeBudgetActionsForAccount budgets:DescribeBudgetActionsForBudget budgets:ExecuteBudgetAction budgets:ModifyBudget budgets:UpdateBudgetAction budgets:ViewBudget |
| Cloud9 | cloud9:CreateEnvironmentEC2 cloud9:CreateEnvironmentMembership cloud9:DeleteEnvironment cloud9:DeleteEnvironmentMembership cloud9:DescribeEnvironmentMemberships cloud9:DescribeEnvironmentStatus cloud9:DescribeEnvironments cloud9:ListEnvironments cloud9:UpdateEnvironment cloud9:UpdateEnvironmentMembership |
| cloudformation | cloudformation:BatchDescribeTypeConfigurations cloudformation:CancelUpdateStack cloudformation:ContinueUpdateRollback cloudformation:CreateChangeSet cloudformation:CreateGeneratedTemplate cloudformation:CreateStack cloudformation:CreateStackInstances cloudformation:CreateStackSet cloudformation:DeactivateType cloudformation:DeleteChangeSet cloudformation:DeleteGeneratedTemplate cloudformation:DeleteStack cloudformation:DeleteStackInstances cloudformation:DeleteStackSet cloudformation:DeregisterType cloudformation:DescribeAccountLimits cloudformation:DescribeChangeSet cloudformation:DescribeChangeSetHooks cloudformation:DescribeEvents cloudformation:DescribeGeneratedTemplate cloudformation:DescribeOrganizationsAccess cloudformation:DescribePublisher cloudformation:DescribeResourceScan cloudformation:DescribeStackDriftDetectionStatus cloudformation:DescribeStackEvents cloudformation:DescribeStackInstance cloudformation:DescribeStackResource cloudformation:DescribeStackResourceDrifts cloudformation:DescribeStackResources cloudformation:DescribeStackSet cloudformation:DescribeStackSetOperation cloudformation:DescribeStacks cloudformation:DescribeType cloudformation:DescribeTypeRegistration cloudformation:DetectStackDrift cloudformation:DetectStackResourceDrift cloudformation:DetectStackSetDrift cloudformation:EstimateTemplateCost cloudformation:ExecuteChangeSet cloudformation:GetGeneratedTemplate cloudformation:GetHookResult cloudformation:GetStackPolicy cloudformation:GetTemplate cloudformation:GetTemplateSummary cloudformation:ImportStacksToStackSet cloudformation:ListChangeSets cloudformation:ListExports cloudformation:ListGeneratedTemplates cloudformation:ListHookResults cloudformation:ListImports cloudformation:ListResourceScanRelatedResources cloudformation:ListResourceScanResources cloudformation:ListResourceScans cloudformation:ListStackInstanceResourceDrifts cloudformation:ListStackInstances cloudformation:ListStackRefactors cloudformation:ListStackResources cloudformation:ListStackSetAutoDeploymentTargets cloudformation:ListStackSetOperationResults cloudformation:ListStackSetOperations cloudformation:ListStackSets cloudformation:ListTypeRegistrations cloudformation:ListTypeVersions cloudformation:ListTypes cloudformation:PublishType cloudformation:RecordHandlerProgress cloudformation:RegisterPublisher cloudformation:RegisterType cloudformation:RollbackStack cloudformation:SetStackPolicy cloudformation:SetTypeConfiguration cloudformation:SetTypeDefaultVersion cloudformation:SignalResource cloudformation:StartResourceScan cloudformation:StopStackSetOperation cloudformation:TestType cloudformation:UpdateGeneratedTemplate cloudformation:UpdateStack cloudformation:UpdateStackInstances cloudformation:UpdateStackSet cloudformation:UpdateTerminationProtection cloudformation:ValidateTemplate |
| cloudfront | cloudfront:AssociateAlias cloudfront:AssociateDistributionTenantWebACL cloudfront:AssociateDistributionWebACL cloudfront:CreateCachePolicy cloudfront:CreateCloudFrontOriginAccessIdentity cloudfront:CreateConnectionFunction cloudfront:CreateContinuousDeploymentPolicy cloudfront:CreateDistributionTenant cloudfront:CreateFieldLevelEncryptionConfig cloudfront:CreateFieldLevelEncryptionProfile cloudfront:CreateFunction cloudfront:CreateInvalidation cloudfront:CreateKeyGroup cloudfront:CreateKeyValueStore cloudfront:CreateMonitoringSubscription cloudfront:CreateOriginAccessControl cloudfront:CreateOriginRequestPolicy cloudfront:CreatePublicKey cloudfront:CreateRealtimeLogConfig cloudfront:CreateResponseHeadersPolicy cloudfront:CreateTrustStore cloudfront:DeleteAnycastIpList cloudfront:DeleteCachePolicy cloudfront:DeleteCloudFrontOriginAccessIdentity cloudfront:DeleteConnectionFunction cloudfront:DeleteConnectionGroup cloudfront:DeleteContinuousDeploymentPolicy cloudfront:DeleteDistribution cloudfront:DeleteDistributionTenant cloudfront:DeleteFieldLevelEncryptionConfig cloudfront:DeleteFieldLevelEncryptionProfile cloudfront:DeleteFunction cloudfront:DeleteKeyGroup cloudfront:DeleteKeyValueStore cloudfront:DeleteMonitoringSubscription cloudfront:DeleteOriginAccessControl cloudfront:DeleteOriginRequestPolicy cloudfront:DeletePublicKey cloudfront:DeleteRealtimeLogConfig cloudfront:DeleteResponseHeadersPolicy cloudfront:DeleteStreamingDistribution cloudfront:DeleteTrustStore cloudfront:DeleteVpcOrigin cloudfront:DescribeFunction cloudfront:DescribeKeyValueStore cloudfront:DisassociateDistributionTenantWebACL cloudfront:DisassociateDistributionWebACL cloudfront:GetAnycastIpList cloudfront:GetCachePolicy cloudfront:GetCachePolicyConfig cloudfront:GetCloudFrontOriginAccessIdentity cloudfront:GetCloudFrontOriginAccessIdentityConfig cloudfront:GetContinuousDeploymentPolicy cloudfront:GetContinuousDeploymentPolicyConfig cloudfront:GetDistributionConfig cloudfront:GetFieldLevelEncryption cloudfront:GetFieldLevelEncryptionConfig cloudfront:GetFieldLevelEncryptionProfile cloudfront:GetFieldLevelEncryptionProfileConfig cloudfront:GetFunction cloudfront:GetInvalidation cloudfront:GetInvalidationForDistributionTenant cloudfront:GetKeyGroup cloudfront:GetKeyGroupConfig cloudfront:GetMonitoringSubscription cloudfront:GetOriginAccessControl cloudfront:GetOriginAccessControlConfig cloudfront:GetOriginRequestPolicy cloudfront:GetOriginRequestPolicyConfig cloudfront:GetPublicKey cloudfront:GetPublicKeyConfig cloudfront:GetRealtimeLogConfig cloudfront:GetResponseHeadersPolicy cloudfront:GetResponseHeadersPolicyConfig cloudfront:GetStreamingDistribution cloudfront:GetStreamingDistributionConfig cloudfront:GetVpcOrigin cloudfront:ListAnycastIpLists cloudfront:ListCachePolicies cloudfront:ListCloudFrontOriginAccessIdentities cloudfront:ListConflictingAliases cloudfront:ListConnectionFunctions cloudfront:ListConnectionGroups cloudfront:ListContinuousDeploymentPolicies cloudfront:ListDistributionTenants cloudfront:ListDistributionTenantsByCustomization cloudfront:ListDistributions cloudfront:ListDistributionsByAnycastIpListId cloudfront:ListDistributionsByCachePolicyId cloudfront:ListDistributionsByConnectionMode cloudfront:ListDistributionsByKeyGroup cloudfront:ListDistributionsByOriginRequestPolicyId cloudfront:ListDistributionsByRealtimeLogConfig cloudfront:ListDistributionsByResponseHeadersPolicyId cloudfront:ListDistributionsByVpcOriginId cloudfront:ListDistributionsByWebACLId cloudfront:ListFieldLevelEncryptionConfigs cloudfront:ListFieldLevelEncryptionProfiles cloudfront:ListFunctions cloudfront:ListInvalidations cloudfront:ListInvalidationsForDistributionTenant cloudfront:ListKeyGroups cloudfront:ListKeyValueStores cloudfront:ListOriginAccessControls cloudfront:ListOriginRequestPolicies cloudfront:ListPublicKeys cloudfront:ListRealtimeLogConfigs cloudfront:ListResponseHeadersPolicies cloudfront:ListStreamingDistributions cloudfront:ListTrustStores cloudfront:PublishConnectionFunction cloudfront:PublishFunction cloudfront:TestConnectionFunction cloudfront:TestFunction cloudfront:UpdateAnycastIpList cloudfront:UpdateCachePolicy cloudfront:UpdateCloudFrontOriginAccessIdentity cloudfront:UpdateConnectionFunction cloudfront:UpdateConnectionGroup cloudfront:UpdateContinuousDeploymentPolicy cloudfront:UpdateDistribution cloudfront:UpdateDistributionTenant cloudfront:UpdateFieldLevelEncryptionConfig cloudfront:UpdateFieldLevelEncryptionProfile cloudfront:UpdateFunction cloudfront:UpdateKeyGroup cloudfront:UpdateKeyValueStore cloudfront:UpdateOriginAccessControl cloudfront:UpdateOriginRequestPolicy cloudfront:UpdatePublicKey cloudfront:UpdateRealtimeLogConfig cloudfront:UpdateResponseHeadersPolicy cloudfront:UpdateTrustStore |
| cloudhsm | cloudhsm:CreateHsm cloudhsm:DeleteBackup cloudhsm:DeleteHsm cloudhsm:DeleteResourcePolicy cloudhsm:DescribeBackups cloudhsm:DescribeClusters cloudhsm:GetResourcePolicy cloudhsm:InitializeCluster cloudhsm:ModifyBackupAttributes cloudhsm:ModifyCluster cloudhsm:PutResourcePolicy cloudhsm:RestoreBackup |
| cloudsearch | cloudsearch:BuildSuggesters cloudsearch:CreateDomain cloudsearch:DefineAnalysisScheme cloudsearch:DefineExpression cloudsearch:DefineIndexField cloudsearch:DefineSuggester cloudsearch:DeleteAnalysisScheme cloudsearch:DeleteDomain cloudsearch:DeleteExpression cloudsearch:DeleteIndexField cloudsearch:DeleteSuggester cloudsearch:DescribeAnalysisSchemes cloudsearch:DescribeAvailabilityOptions cloudsearch:DescribeDomainEndpointOptions cloudsearch:DescribeDomains cloudsearch:DescribeExpressions cloudsearch:DescribeIndexFields cloudsearch:DescribeScalingParameters cloudsearch:DescribeServiceAccessPolicies cloudsearch:DescribeSuggesters cloudsearch:IndexDocuments cloudsearch:ListDomainNames cloudsearch:UpdateAvailabilityOptions cloudsearch:UpdateDomainEndpointOptions cloudsearch:UpdateScalingParameters cloudsearch:UpdateServiceAccessPolicies |
| cloudtrail | cloudtrail:CancelQuery cloudtrail:CreateChannel cloudtrail:CreateDashboard cloudtrail:CreateEventDataStore cloudtrail:CreateTrail cloudtrail:DeleteChannel cloudtrail:DeleteDashboard cloudtrail:DeleteEventDataStore cloudtrail:DeleteResourcePolicy cloudtrail:DeleteTrail cloudtrail:DeregisterOrganizationDelegatedAdmin cloudtrail:DescribeQuery cloudtrail:DescribeTrails cloudtrail:DisableFederation cloudtrail:GenerateQuery cloudtrail:GetChannel cloudtrail:GetDashboard cloudtrail:GetEventConfiguration cloudtrail:GetEventDataStore cloudtrail:GetEventDataStoreData cloudtrail:GetEventSelectors cloudtrail:GetImport cloudtrail:GetInsightSelectors cloudtrail:GetResourcePolicy cloudtrail:GetTrail cloudtrail:GetTrailStatus cloudtrail:ListChannels cloudtrail:ListDashboards cloudtrail:ListEventDataStores cloudtrail:ListImportFailures cloudtrail:ListImports cloudtrail:ListInsightsData cloudtrail:ListPublicKeys cloudtrail:ListQueries cloudtrail:ListTrails cloudtrail:LookupEvents cloudtrail:PutEventConfiguration cloudtrail:PutEventSelectors cloudtrail:PutInsightSelectors cloudtrail:PutResourcePolicy cloudtrail:RegisterOrganizationDelegatedAdmin cloudtrail:RestoreEventDataStore cloudtrail:SearchSampleQueries cloudtrail:StartEventDataStoreIngestion cloudtrail:StartImport cloudtrail:StartLogging cloudtrail:StartQuery cloudtrail:StopEventDataStoreIngestion cloudtrail:StopImport cloudtrail:StopLogging cloudtrail:UpdateChannel cloudtrail:UpdateDashboard cloudtrail:UpdateEventDataStore cloudtrail:UpdateTrail |
| cloudwatch | cloudwatch:DeleteAlarms cloudwatch:DeleteAnomalyDetector cloudwatch:DeleteDashboards cloudwatch:DeleteInsightRules cloudwatch:DeleteMetricStream cloudwatch:DescribeAlarmHistory cloudwatch:DescribeAlarms cloudwatch:DescribeAlarmsForMetric cloudwatch:DescribeAnomalyDetectors cloudwatch:DescribeInsightRules cloudwatch:DisableAlarmActions cloudwatch:DisableInsightRules cloudwatch:EnableAlarmActions cloudwatch:EnableInsightRules cloudwatch:GetDashboard cloudwatch:GetInsightRuleReport cloudwatch:GetMetricStatistics cloudwatch:GetMetricStream cloudwatch:ListDashboards cloudwatch:ListManagedInsightRules cloudwatch:ListMetricStreams cloudwatch:PutAnomalyDetector cloudwatch:PutCompositeAlarm cloudwatch:PutDashboard cloudwatch:PutInsightRule cloudwatch:PutManagedInsightRules cloudwatch:PutMetricAlarm cloudwatch:PutMetricStream cloudwatch:SetAlarmState cloudwatch:StartMetricStreams cloudwatch:StopMetricStreams |
| codeartifact | codeartifact:AssociateExternalConnection codeartifact:CopyPackageVersions codeartifact:CreateDomain codeartifact:CreateRepository codeartifact:DeleteDomain codeartifact:DeleteDomainPermissionsPolicy codeartifact:DeletePackage codeartifact:DeletePackageVersions codeartifact:DeleteRepository codeartifact:DeleteRepositoryPermissionsPolicy codeartifact:DescribeDomain codeartifact:DescribePackage codeartifact:DescribePackageVersion codeartifact:DescribeRepository codeartifact:DisassociateExternalConnection codeartifact:DisposePackageVersions codeartifact:GetAssociatedPackageGroup codeartifact:GetAuthorizationToken codeartifact:GetDomainPermissionsPolicy codeartifact:GetPackageVersionAsset codeartifact:GetPackageVersionReadme codeartifact:GetRepositoryEndpoint codeartifact:GetRepositoryPermissionsPolicy codeartifact:ListDomains codeartifact:ListPackageGroups codeartifact:ListPackageVersionAssets codeartifact:ListPackageVersionDependencies codeartifact:ListPackageVersions codeartifact:ListPackages codeartifact:ListRepositories codeartifact:ListRepositoriesInDomain codeartifact:PublishPackageVersion codeartifact:PutDomainPermissionsPolicy codeartifact:PutPackageMetadata codeartifact:PutPackageOriginConfiguration codeartifact:PutRepositoryPermissionsPolicy codeartifact:ReadFromRepository codeartifact:UpdatePackageVersionsStatus codeartifact:UpdateRepository |
| codedeploy | codedeploy:BatchGetApplicationRevisions codedeploy:BatchGetApplications codedeploy:BatchGetDeploymentGroups codedeploy:BatchGetDeploymentInstances codedeploy:BatchGetDeploymentTargets codedeploy:BatchGetDeployments codedeploy:BatchGetOnPremisesInstances codedeploy:ContinueDeployment codedeploy:CreateApplication codedeploy:CreateDeployment codedeploy:CreateDeploymentConfig codedeploy:CreateDeploymentGroup codedeploy:DeleteApplication codedeploy:DeleteDeploymentConfig codedeploy:DeleteDeploymentGroup codedeploy:DeleteGitHubAccountToken codedeploy:DeleteResourcesByExternalId codedeploy:DeregisterOnPremisesInstance codedeploy:GetApplication codedeploy:GetApplicationRevision codedeploy:GetDeployment codedeploy:GetDeploymentConfig codedeploy:GetDeploymentGroup codedeploy:GetDeploymentInstance codedeploy:GetDeploymentTarget codedeploy:GetOnPremisesInstance codedeploy:ListApplicationRevisions codedeploy:ListApplications codedeploy:ListDeploymentConfigs codedeploy:ListDeploymentGroups codedeploy:ListDeploymentInstances codedeploy:ListDeploymentTargets codedeploy:ListDeployments codedeploy:ListGitHubAccountTokenNames codedeploy:ListOnPremisesInstances codedeploy:PutLifecycleEventHookExecutionStatus codedeploy:RegisterApplicationRevision codedeploy:RegisterOnPremisesInstance codedeploy:SkipWaitTimeForInstanceTermination codedeploy:StopDeployment codedeploy:UpdateApplication codedeploy:UpdateDeploymentGroup |
| codeguru-profiler | codeguru-profiler:AddNotificationChannels codeguru-profiler:BatchGetFrameMetricData codeguru-profiler:CreateProfilingGroup codeguru-profiler:DeleteProfilingGroup codeguru-profiler:DescribeProfilingGroup codeguru-profiler:GetFindingsReportAccountSummary codeguru-profiler:GetNotificationConfiguration codeguru-profiler:GetPolicy codeguru-profiler:GetProfile codeguru-profiler:GetRecommendations codeguru-profiler:ListFindingsReports codeguru-profiler:ListProfileTimes codeguru-profiler:ListProfilingGroups codeguru-profiler:PutPermission codeguru-profiler:RemoveNotificationChannel codeguru-profiler:RemovePermission codeguru-profiler:SubmitFeedback codeguru-profiler:UpdateProfilingGroup |
| codeguru-reviewer | codeguru-reviewer:AssociateRepository codeguru-reviewer:CreateCodeReview codeguru-reviewer:DescribeCodeReview codeguru-reviewer:DescribeRecommendationFeedback codeguru-reviewer:DescribeRepositoryAssociation codeguru-reviewer:DisassociateRepository codeguru-reviewer:ListCodeReviews codeguru-reviewer:ListRecommendationFeedback codeguru-reviewer:ListRecommendations codeguru-reviewer:ListRepositoryAssociations codeguru-reviewer:PutRecommendationFeedback |
| codepipeline | codepipeline:AcknowledgeJob codepipeline:AcknowledgeThirdPartyJob codepipeline:CreateCustomActionType codepipeline:CreatePipeline codepipeline:DeleteCustomActionType codepipeline:DeletePipeline codepipeline:DeleteWebhook codepipeline:DeregisterWebhookWithThirdParty codepipeline:GetActionType codepipeline:GetJobDetails codepipeline:GetPipeline codepipeline:GetPipelineExecution codepipeline:GetPipelineState codepipeline:GetThirdPartyJobDetails codepipeline:ListActionExecutions codepipeline:ListActionTypes codepipeline:ListPipelineExecutions codepipeline:ListPipelines codepipeline:ListRuleExecutions codepipeline:ListRuleTypes codepipeline:ListWebhooks codepipeline:OverrideStageCondition codepipeline:PollForJobs codepipeline:PollForThirdPartyJobs codepipeline:PutActionRevision codepipeline:PutApprovalResult codepipeline:PutJobFailureResult codepipeline:PutJobSuccessResult codepipeline:PutThirdPartyJobFailureResult codepipeline:PutThirdPartyJobSuccessResult codepipeline:PutWebhook codepipeline:RegisterWebhookWithThirdParty codepipeline:RollbackStage codepipeline:StartPipelineExecution codepipeline:StopPipelineExecution codepipeline:UpdateActionType codepipeline:UpdatePipeline |
| codestar | codestar:AssociateTeamMember codestar:CreateProject codestar:CreateUserProfile codestar:DeleteProject codestar:DeleteUserProfile codestar:DescribeProject codestar:DescribeUserProfile codestar:DisassociateTeamMember codestar:ListProjects codestar:ListResources codestar:ListTeamMembers codestar:ListUserProfiles codestar:UpdateProject codestar:UpdateTeamMember codestar:UpdateUserProfile |
| codestar-notifications | codestar-notifications:CreateNotificationRule codestar-notifications:DeleteNotificationRule codestar-notifications:DeleteTarget codestar-notifications:DescribeNotificationRule codestar-notifications:ListEventTypes codestar-notifications:ListNotificationRules codestar-notifications:ListTargets codestar-notifications:Subscribe codestar-notifications:Unsubscribe codestar-notifications:UpdateNotificationRule |
| cognito-identity | cognito-identity:CreateIdentityPool cognito-identity:DeleteIdentities cognito-identity:DeleteIdentityPool cognito-identity:DescribeIdentity cognito-identity:DescribeIdentityPool cognito-identity:GetIdentityPoolRoles cognito-identity:ListIdentities cognito-identity:ListIdentityPools cognito-identity:LookupDeveloperIdentity cognito-identity:MergeDeveloperIdentities cognito-identity:SetIdentityPoolRoles cognito-identity:UnlinkDeveloperIdentity cognito-identity:UpdateIdentityPool |
| cognito-idp | cognito-idp:AddCustomAttributes cognito-idp:AdminAddUserToGroup cognito-idp:AdminConfirmSignUp cognito-idp:AdminCreateUser cognito-idp:AdminDeleteUser cognito-idp:AdminDeleteUserAttributes cognito-idp:AdminDisableProviderForUser cognito-idp:AdminDisableUser cognito-idp:AdminEnableUser cognito-idp:AdminForgetDevice cognito-idp:AdminGetDevice cognito-idp:AdminGetUser cognito-idp:AdminInitiateAuth cognito-idp:AdminLinkProviderForUser cognito-idp:AdminListDevices cognito-idp:AdminListGroupsForUser cognito-idp:AdminListUserAuthEvents cognito-idp:AdminRemoveUserFromGroup cognito-idp:AdminResetUserPassword cognito-idp:AdminRespondToAuthChallenge cognito-idp:AdminSetUserMFAPreference cognito-idp:AdminSetUserPassword cognito-idp:AdminSetUserSettings cognito-idp:AdminUpdateAuthEventFeedback cognito-idp:AdminUpdateDeviceStatus cognito-idp:AdminUpdateUserAttributes cognito-idp:AdminUserGlobalSignOut cognito-idp:AssociateSoftwareToken cognito-idp:ChangePassword cognito-idp:ConfirmDevice cognito-idp:ConfirmForgotPassword cognito-idp:ConfirmSignUp cognito-idp:CreateGroup cognito-idp:CreateIdentityProvider cognito-idp:CreateManagedLoginBranding cognito-idp:CreateResourceServer cognito-idp:CreateTerms cognito-idp:CreateUserImportJob cognito-idp:CreateUserPool cognito-idp:CreateUserPoolClient cognito-idp:CreateUserPoolDomain cognito-idp:DeleteGroup cognito-idp:DeleteIdentityProvider cognito-idp:DeleteManagedLoginBranding cognito-idp:DeleteResourceServer cognito-idp:DeleteTerms cognito-idp:DeleteUser cognito-idp:DeleteUserAttributes cognito-idp:DeleteUserPool cognito-idp:DeleteUserPoolClient cognito-idp:DeleteUserPoolDomain cognito-idp:DescribeIdentityProvider cognito-idp:DescribeManagedLoginBranding cognito-idp:DescribeManagedLoginBrandingByClient cognito-idp:DescribeResourceServer cognito-idp:DescribeRiskConfiguration cognito-idp:DescribeTerms cognito-idp:DescribeUserImportJob cognito-idp:DescribeUserPool cognito-idp:DescribeUserPoolClient cognito-idp:DescribeUserPoolDomain cognito-idp:ForgetDevice cognito-idp:ForgotPassword cognito-idp:GetCSVHeader cognito-idp:GetDevice cognito-idp:GetGroup cognito-idp:GetIdentityProviderByIdentifier cognito-idp:GetLogDeliveryConfiguration cognito-idp:GetSigningCertificate cognito-idp:GetUICustomization cognito-idp:GetUser cognito-idp:GetUserAttributeVerificationCode cognito-idp:GetUserPoolMfaConfig cognito-idp:GlobalSignOut cognito-idp:InitiateAuth cognito-idp:ListDevices cognito-idp:ListGroups cognito-idp:ListIdentityProviders cognito-idp:ListResourceServers cognito-idp:ListTerms cognito-idp:ListUserImportJobs cognito-idp:ListUserPoolClients cognito-idp:ListUserPools cognito-idp:ListUsers cognito-idp:ListUsersInGroup cognito-idp:ResendConfirmationCode cognito-idp:RespondToAuthChallenge cognito-idp:RevokeToken cognito-idp:SetLogDeliveryConfiguration cognito-idp:SetRiskConfiguration cognito-idp:SetUICustomization cognito-idp:SetUserMFAPreference cognito-idp:SetUserPoolMfaConfig cognito-idp:SetUserSettings cognito-idp:SignUp cognito-idp:StartUserImportJob cognito-idp:StopUserImportJob cognito-idp:UpdateAuthEventFeedback cognito-idp:UpdateDeviceStatus cognito-idp:UpdateGroup cognito-idp:UpdateIdentityProvider cognito-idp:UpdateResourceServer cognito-idp:UpdateTerms cognito-idp:UpdateUserAttributes cognito-idp:UpdateUserPool cognito-idp:UpdateUserPoolClient cognito-idp:UpdateUserPoolDomain cognito-idp:VerifySoftwareToken cognito-idp:VerifyUserAttribute |
| cognito-sync | cognito-sync:BulkPublish cognito-sync:DeleteDataset cognito-sync:DescribeDataset cognito-sync:DescribeIdentityPoolUsage cognito-sync:DescribeIdentityUsage cognito-sync:GetBulkPublishDetails cognito-sync:GetCognitoEvents cognito-sync:GetIdentityPoolConfiguration cognito-sync:ListDatasets cognito-sync:ListIdentityPoolUsage cognito-sync:ListRecords cognito-sync:RegisterDevice cognito-sync:SetCognitoEvents cognito-sync:SetIdentityPoolConfiguration cognito-sync:SubscribeToDataset cognito-sync:UnsubscribeFromDataset cognito-sync:UpdateRecords |
| comprehendmedical | comprehendmedical:DescribeEntitiesDetectionV2Job comprehendmedical:DescribeICD10CMInferenceJob comprehendmedical:DescribePHIDetectionJob comprehendmedical:DescribeRxNormInferenceJob comprehendmedical:DescribeSNOMEDCTInferenceJob comprehendmedical:DetectEntitiesV2 comprehendmedical:DetectPHI comprehendmedical:InferICD10CM comprehendmedical:InferRxNorm comprehendmedical:InferSNOMEDCT comprehendmedical:ListEntitiesDetectionV2Jobs comprehendmedical:ListICD10CMInferenceJobs comprehendmedical:ListPHIDetectionJobs comprehendmedical:ListRxNormInferenceJobs comprehendmedical:ListSNOMEDCTInferenceJobs comprehendmedical:StartEntitiesDetectionV2Job comprehendmedical:StartICD10CMInferenceJob comprehendmedical:StartPHIDetectionJob comprehendmedical:StartRxNormInferenceJob comprehendmedical:StartSNOMEDCTInferenceJob comprehendmedical:StopEntitiesDetectionV2Job comprehendmedical:StopICD10CMInferenceJob comprehendmedical:StopPHIDetectionJob comprehendmedical:StopRxNormInferenceJob comprehendmedical:StopSNOMEDCTInferenceJob |
| compute-optimizer | compute-optimizer:DeleteRecommendationPreferences compute-optimizer:DescribeRecommendationExportJobs compute-optimizer:ExportAutoScalingGroupRecommendations compute-optimizer:ExportEBSVolumeRecommendations compute-optimizer:ExportEC2InstanceRecommendations compute-optimizer:ExportECSServiceRecommendations compute-optimizer:ExportIdleRecommendations compute-optimizer:ExportLambdaFunctionRecommendations compute-optimizer:ExportLicenseRecommendations compute-optimizer:ExportRDSDatabaseRecommendations compute-optimizer:GetEC2RecommendationProjectedMetrics compute-optimizer:GetECSServiceRecommendationProjectedMetrics compute-optimizer:GetEffectiveRecommendationPreferences compute-optimizer:GetEnrollmentStatus compute-optimizer:GetEnrollmentStatusesForOrganization compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics compute-optimizer:GetRecommendationPreferences compute-optimizer:GetRecommendationSummaries compute-optimizer:PutRecommendationPreferences compute-optimizer:UpdateEnrollmentStatus |
| config | config:BatchGetResourceConfig config:DeleteAggregationAuthorization config:DeleteConfigRule config:DeleteConfigurationAggregator config:DeleteConfigurationRecorder config:DeleteConformancePack config:DeleteDeliveryChannel config:DeleteEvaluationResults config:DeleteOrganizationConfigRule config:DeleteOrganizationConformancePack config:DeletePendingAggregationRequest config:DeleteRemediationConfiguration config:DeleteRemediationExceptions config:DeleteResourceConfig config:DeleteRetentionConfiguration config:DeleteStoredQuery config:DeliverConfigSnapshot config:DescribeAggregateComplianceByConfigRules config:DescribeAggregateComplianceByConformancePacks config:DescribeAggregationAuthorizations config:DescribeComplianceByConfigRule config:DescribeComplianceByResource config:DescribeConfigRuleEvaluationStatus config:DescribeConfigRules config:DescribeConfigurationAggregatorSourcesStatus config:DescribeConfigurationAggregators config:DescribeConfigurationRecorderStatus config:DescribeConfigurationRecorders config:DescribeConformancePackCompliance config:DescribeConformancePackStatus config:DescribeConformancePacks config:DescribeDeliveryChannelStatus config:DescribeDeliveryChannels config:DescribeOrganizationConfigRuleStatuses config:DescribeOrganizationConfigRules config:DescribeOrganizationConformancePackStatuses config:DescribeOrganizationConformancePacks config:DescribePendingAggregationRequests config:DescribeRemediationConfigurations config:DescribeRemediationExceptions config:DescribeRemediationExecutionStatus config:DescribeRetentionConfigurations config:GetComplianceDetailsByConfigRule config:GetComplianceDetailsByResource config:GetComplianceSummaryByConfigRule config:GetComplianceSummaryByResourceType config:GetConformancePackComplianceDetails config:GetConformancePackComplianceSummary config:GetCustomRulePolicy config:GetDiscoveredResourceCounts config:GetOrganizationConfigRuleDetailedStatus config:GetOrganizationConformancePackDetailedStatus config:GetOrganizationCustomRulePolicy config:GetResourceConfigHistory config:GetResourceEvaluationSummary config:GetStoredQuery config:ListConfigurationRecorders config:ListConformancePackComplianceScores config:ListDiscoveredResources config:ListResourceEvaluations config:ListStoredQueries config:PutConfigRule config:PutConfigurationAggregator config:PutConfigurationRecorder config:PutConformancePack config:PutDeliveryChannel config:PutEvaluations config:PutExternalEvaluation config:PutOrganizationConfigRule config:PutOrganizationConformancePack config:PutRemediationConfigurations config:PutRemediationExceptions config:PutResourceConfig config:PutRetentionConfiguration config:PutStoredQuery config:SelectResourceConfig config:StartConfigRulesEvaluation config:StartConfigurationRecorder config:StartRemediationExecution config:StartResourceEvaluation config:StopConfigurationRecorder |
| connect | connect:ActivateEvaluationForm connect:AssociateAnalyticsDataSet connect:AssociateApprovedOrigin connect:AssociateBot connect:AssociateContactWithUser connect:AssociateDefaultVocabulary connect:AssociateEmailAddressAlias connect:AssociateFlow connect:AssociateInstanceStorageConfig connect:AssociateLambdaFunction connect:AssociateLexBot connect:AssociatePhoneNumberContactFlow connect:AssociateQueueQuickConnects connect:AssociateRoutingProfileQueues connect:AssociateSecurityKey connect:AssociateUserProficiencies connect:BatchAssociateAnalyticsDataSet connect:BatchCreateDataTableValue connect:BatchDeleteDataTableValue connect:BatchDescribeDataTableValue connect:BatchDisassociateAnalyticsDataSet connect:BatchGetFlowAssociation connect:BatchPutContact connect:BatchUpdateDataTableValue connect:ClaimPhoneNumber connect:CreateAgentStatus connect:CreateContact connect:CreateContactFlow connect:CreateContactFlowModule connect:CreateContactFlowModuleAlias connect:CreateContactFlowModuleVersion connect:CreateContactFlowVersion connect:CreateDataTable connect:CreateDataTableAttribute connect:CreateEmailAddress connect:CreateEvaluationForm connect:CreateHoursOfOperation connect:CreateInstance connect:CreateIntegrationAssociation connect:CreateParticipant connect:CreatePersistentContactAssociation connect:CreatePredefinedAttribute connect:CreatePrompt connect:CreatePushNotificationRegistration connect:CreateQueue connect:CreateQuickConnect connect:CreateRoutingProfile connect:CreateRule connect:CreateSecurityProfile connect:CreateTaskTemplate connect:CreateTrafficDistributionGroup connect:CreateUseCase connect:CreateUser connect:CreateUserHierarchyGroup connect:CreateView connect:CreateViewVersion connect:CreateVocabulary connect:CreateWorkspace connect:DeactivateEvaluationForm connect:DeleteContactEvaluation connect:DeleteContactFlow connect:DeleteContactFlowModule connect:DeleteContactFlowModuleAlias connect:DeleteContactFlowModuleVersion connect:DeleteContactFlowVersion connect:DeleteDataTable connect:DeleteDataTableAttribute connect:DeleteEmailAddress connect:DeleteEvaluationForm connect:DeleteHoursOfOperation connect:DeleteHoursOfOperationOverride connect:DeleteInstance connect:DeleteIntegrationAssociation connect:DeletePredefinedAttribute connect:DeletePrompt connect:DeletePushNotificationRegistration connect:DeleteQueue connect:DeleteQuickConnect connect:DeleteRoutingProfile connect:DeleteRule connect:DeleteSecurityProfile connect:DeleteTaskTemplate connect:DeleteTrafficDistributionGroup connect:DeleteUseCase connect:DeleteUser connect:DeleteUserHierarchyGroup connect:DeleteView connect:DeleteVocabulary connect:DeleteWorkspace connect:DeleteWorkspaceMedia connect:DescribeAuthenticationProfile connect:DescribeContactFlowModuleAlias connect:DescribeDataTableAttribute connect:DescribeHoursOfOperationOverride connect:DescribeInstanceAttribute connect:DescribeInstanceStorageConfig connect:DescribePhoneNumber connect:DescribeRule connect:DescribeTrafficDistributionGroup connect:DescribeUserHierarchyStructure connect:DescribeVocabulary connect:DisassociateAnalyticsDataSet connect:DisassociateApprovedOrigin connect:DisassociateBot connect:DisassociateEmailAddressAlias connect:DisassociateFlow connect:DisassociateInstanceStorageConfig connect:DisassociateLambdaFunction connect:DisassociateLexBot connect:DisassociatePhoneNumberContactFlow connect:DisassociateQueueQuickConnects connect:DisassociateRoutingProfileQueues connect:DisassociateSecurityKey connect:DisassociateUserProficiencies connect:DismissUserContact connect:EvaluateDataTableValues connect:GetContactAttributes connect:GetContactMetrics connect:GetCurrentMetricData connect:GetCurrentUserData connect:GetEffectiveHoursOfOperations connect:GetFederationToken connect:GetFlowAssociation connect:GetMetricData connect:GetMetricDataV2 connect:GetPromptFile connect:GetTaskTemplate connect:GetTrafficDistribution connect:ImportPhoneNumber connect:ImportWorkspaceMedia connect:ListAnalyticsDataAssociations connect:ListAnalyticsDataLakeDataSets connect:ListApprovedOrigins connect:ListAssociatedContacts connect:ListAuthenticationProfiles connect:ListBots connect:ListContactEvaluations connect:ListContactFlowModuleAliases connect:ListContactFlowModuleVersions connect:ListContactFlowModules connect:ListContactFlowVersions connect:ListContactFlows connect:ListContactReferences connect:ListDataTableAttributes connect:ListDataTablePrimaryValues connect:ListDataTableValues connect:ListDataTables connect:ListDefaultVocabularies connect:ListEvaluationFormVersions connect:ListEvaluationForms connect:ListFlowAssociations connect:ListHoursOfOperations connect:ListInstanceAttributes connect:ListInstanceStorageConfigs connect:ListIntegrationAssociations connect:ListLambdaFunctions connect:ListLexBots connect:ListPhoneNumbers connect:ListPhoneNumbersV2 connect:ListPredefinedAttributes connect:ListPrompts connect:ListQueueQuickConnects connect:ListQueues connect:ListQuickConnects connect:ListRealtimeContactAnalysisSegmentsV2 connect:ListRoutingProfileManualAssignmentQueues connect:ListRoutingProfileQueues connect:ListRoutingProfiles connect:ListRules connect:ListSecurityKeys connect:ListSecurityProfileApplications connect:ListSecurityProfileFlowModules connect:ListSecurityProfilePermissions connect:ListSecurityProfiles connect:ListTaskTemplates connect:ListTrafficDistributionGroups connect:ListUseCases connect:ListUserHierarchyGroups connect:ListUsers connect:ListViewVersions connect:ListViews connect:ListWorkspaceMedia connect:ListWorkspacePages connect:ListWorkspaces connect:MonitorContact connect:PauseContact connect:PutUserStatus connect:ReleasePhoneNumber connect:ReplicateInstance connect:ResumeContact connect:ResumeContactRecording connect:SearchAgentStatuses connect:SearchAvailablePhoneNumbers connect:SearchContactEvaluations connect:SearchContactFlowModules connect:SearchContactFlows connect:SearchContacts connect:SearchDataTables connect:SearchEmailAddresses connect:SearchEvaluationForms connect:SearchHoursOfOperations connect:SearchPredefinedAttributes connect:SearchPrompts connect:SearchQueues connect:SearchQuickConnects connect:SearchRoutingProfiles connect:SearchSecurityProfiles connect:SearchUserHierarchyGroups connect:SearchViews connect:SearchVocabularies connect:SearchWorkspaceAssociations connect:SearchWorkspaces connect:SendChatIntegrationEvent connect:SendOutboundEmail connect:StartChatContact connect:StartContactEvaluation connect:StartContactMediaProcessing connect:StartContactRecording connect:StartContactStreaming connect:StartEmailContact connect:StartOutboundChatContact connect:StartOutboundEmailContact connect:StartOutboundVoiceContact connect:StartScreenSharing connect:StartTaskContact connect:StartWebRTCContact connect:StopContact connect:StopContactMediaProcessing connect:StopContactRecording connect:StopContactStreaming connect:SubmitContactEvaluation connect:SuspendContactRecording connect:TransferContact connect:UpdateAgentStatus connect:UpdateAuthenticationProfile connect:UpdateContact connect:UpdateContactAttributes connect:UpdateContactEvaluation connect:UpdateContactFlowContent connect:UpdateContactFlowMetadata connect:UpdateContactFlowModuleAlias connect:UpdateContactFlowModuleContent connect:UpdateContactFlowModuleMetadata connect:UpdateContactFlowName connect:UpdateContactRoutingData connect:UpdateContactSchedule connect:UpdateDataTableAttribute connect:UpdateDataTableMetadata connect:UpdateDataTablePrimaryValues connect:UpdateEmailAddressMetadata connect:UpdateEvaluationForm connect:UpdateHoursOfOperation connect:UpdateHoursOfOperationOverride connect:UpdateInstanceAttribute connect:UpdateInstanceStorageConfig connect:UpdateParticipantAuthentication connect:UpdateParticipantRoleConfig connect:UpdatePhoneNumber connect:UpdatePhoneNumberMetadata connect:UpdatePredefinedAttribute connect:UpdatePrompt connect:UpdateQueueHoursOfOperation connect:UpdateQueueMaxContacts connect:UpdateQueueName connect:UpdateQueueOutboundCallerConfig connect:UpdateQueueOutboundEmailConfig connect:UpdateQueueStatus connect:UpdateQuickConnectConfig connect:UpdateQuickConnectName connect:UpdateRoutingProfileAgentAvailabilityTimer connect:UpdateRoutingProfileConcurrency connect:UpdateRoutingProfileDefaultOutboundQueue connect:UpdateRoutingProfileName connect:UpdateRoutingProfileQueues connect:UpdateRule connect:UpdateSecurityProfile connect:UpdateTaskTemplate connect:UpdateTrafficDistribution connect:UpdateUserHierarchy connect:UpdateUserHierarchyGroupName connect:UpdateUserHierarchyStructure connect:UpdateUserIdentityInfo connect:UpdateUserPhoneConfig connect:UpdateUserProficiencies connect:UpdateUserRoutingProfile connect:UpdateUserSecurityProfiles connect:UpdateViewContent connect:UpdateViewMetadata connect:UpdateWorkspaceMetadata connect:UpdateWorkspaceTheme connect:UpdateWorkspaceVisibility |
| cur | cur:DeleteReportDefinition cur:DescribeReportDefinitions cur:ModifyReportDefinition cur:PutReportDefinition |
| databrew | databrew:BatchDeleteRecipeVersion databrew:CreateDataset databrew:CreateProfileJob databrew:CreateProject databrew:CreateRecipe databrew:CreateRecipeJob databrew:CreateRuleset databrew:CreateSchedule databrew:DeleteDataset databrew:DeleteJob databrew:DeleteProject databrew:DeleteRecipeVersion databrew:DeleteRuleset databrew:DeleteSchedule databrew:DescribeDataset databrew:DescribeJob databrew:DescribeJobRun databrew:DescribeProject databrew:DescribeRecipe databrew:DescribeRuleset databrew:DescribeSchedule databrew:ListDatasets databrew:ListJobRuns databrew:ListJobs databrew:ListProjects databrew:ListRecipeVersions databrew:ListRecipes databrew:ListRulesets databrew:ListSchedules databrew:PublishRecipe databrew:SendProjectSessionAction databrew:StartJobRun databrew:StartProjectSession databrew:StopJobRun databrew:UpdateDataset databrew:UpdateProfileJob databrew:UpdateProject databrew:UpdateRecipe databrew:UpdateRecipeJob databrew:UpdateRuleset databrew:UpdateSchedule |
| dataexchange | dataexchange:AcceptDataGrant dataexchange:CancelJob dataexchange:CreateDataGrant dataexchange:CreateDataSet dataexchange:CreateEventAction dataexchange:CreateJob dataexchange:CreateRevision dataexchange:DeleteAsset dataexchange:DeleteDataGrant dataexchange:DeleteEventAction dataexchange:DeleteRevision dataexchange:GetDataGrant dataexchange:GetEventAction dataexchange:GetJob dataexchange:GetReceivedDataGrant dataexchange:ListDataGrants dataexchange:ListDataSetRevisions dataexchange:ListDataSets dataexchange:ListEventActions dataexchange:ListJobs dataexchange:ListReceivedDataGrants dataexchange:ListRevisionAssets dataexchange:RevokeRevision dataexchange:SendDataSetNotification dataexchange:StartJob dataexchange:UpdateAsset dataexchange:UpdateDataSet dataexchange:UpdateEventAction dataexchange:UpdateRevision |
| datapipeline | datapipeline:ActivatePipeline datapipeline:CreatePipeline datapipeline:DeactivatePipeline datapipeline:DeletePipeline datapipeline:DescribeObjects datapipeline:DescribePipelines datapipeline:EvaluateExpression datapipeline:GetPipelineDefinition datapipeline:ListPipelines datapipeline:PollForTask datapipeline:PutPipelineDefinition datapipeline:QueryObjects datapipeline:ReportTaskProgress datapipeline:ReportTaskRunnerHeartbeat datapipeline:SetStatus datapipeline:SetTaskStatus datapipeline:ValidatePipelineDefinition |
| dax | dax:CreateCluster dax:DecreaseReplicationFactor dax:DeleteCluster dax:DeleteParameterGroup dax:DeleteSubnetGroup dax:DescribeClusters dax:DescribeDefaultParameters dax:DescribeEvents dax:DescribeParameterGroups dax:DescribeParameters dax:DescribeSubnetGroups dax:IncreaseReplicationFactor dax:RebootNode dax:UpdateCluster dax:UpdateParameterGroup dax:UpdateSubnetGroup |
| devicefarm | devicefarm:CreateDevicePool devicefarm:CreateInstanceProfile devicefarm:CreateNetworkProfile devicefarm:CreateProject devicefarm:CreateRemoteAccessSession devicefarm:CreateTestGridProject devicefarm:CreateTestGridUrl devicefarm:CreateUpload devicefarm:CreateVPCEConfiguration devicefarm:DeleteDevicePool devicefarm:DeleteInstanceProfile devicefarm:DeleteNetworkProfile devicefarm:DeleteProject devicefarm:DeleteRemoteAccessSession devicefarm:DeleteRun devicefarm:DeleteTestGridProject devicefarm:DeleteUpload devicefarm:DeleteVPCEConfiguration devicefarm:GetAccountSettings devicefarm:GetDevice devicefarm:GetDeviceInstance devicefarm:GetDevicePool devicefarm:GetDevicePoolCompatibility devicefarm:GetInstanceProfile devicefarm:GetJob devicefarm:GetNetworkProfile devicefarm:GetOfferingStatus devicefarm:GetProject devicefarm:GetRemoteAccessSession devicefarm:GetRun devicefarm:GetSuite devicefarm:GetTest devicefarm:GetTestGridProject devicefarm:GetTestGridSession devicefarm:GetUpload devicefarm:GetVPCEConfiguration devicefarm:ListArtifacts devicefarm:ListDeviceInstances devicefarm:ListDevicePools devicefarm:ListDevices devicefarm:ListInstanceProfiles devicefarm:ListJobs devicefarm:ListNetworkProfiles devicefarm:ListOfferingPromotions devicefarm:ListOfferingTransactions devicefarm:ListOfferings devicefarm:ListProjects devicefarm:ListRemoteAccessSessions devicefarm:ListRuns devicefarm:ListSamples devicefarm:ListSuites devicefarm:ListTestGridProjects devicefarm:ListTestGridSessionActions devicefarm:ListTestGridSessionArtifacts devicefarm:ListTestGridSessions devicefarm:ListTests devicefarm:ListUniqueProblems devicefarm:ListUploads devicefarm:ListVPCEConfigurations devicefarm:PurchaseOffering devicefarm:RenewOffering devicefarm:ScheduleRun devicefarm:StopJob devicefarm:StopRemoteAccessSession devicefarm:StopRun devicefarm:UpdateDeviceInstance devicefarm:UpdateDevicePool devicefarm:UpdateInstanceProfile devicefarm:UpdateNetworkProfile devicefarm:UpdateProject devicefarm:UpdateTestGridProject devicefarm:UpdateUpload devicefarm:UpdateVPCEConfiguration |
| devops-guru | devops-guru:AddNotificationChannel devops-guru:DeleteInsight devops-guru:DescribeAccountHealth devops-guru:DescribeAccountOverview devops-guru:DescribeAnomaly devops-guru:DescribeEventSourcesConfig devops-guru:DescribeFeedback devops-guru:DescribeInsight devops-guru:DescribeOrganizationHealth devops-guru:DescribeOrganizationOverview devops-guru:DescribeOrganizationResourceCollectionHealth devops-guru:DescribeResourceCollectionHealth devops-guru:DescribeServiceIntegration devops-guru:GetCostEstimation devops-guru:GetResourceCollection devops-guru:ListAnomaliesForInsight devops-guru:ListAnomalousLogGroups devops-guru:ListEvents devops-guru:ListInsights devops-guru:ListMonitoredResources devops-guru:ListNotificationChannels devops-guru:ListOrganizationInsights devops-guru:ListRecommendations devops-guru:PutFeedback devops-guru:RemoveNotificationChannel devops-guru:SearchInsights devops-guru:SearchOrganizationInsights devops-guru:StartCostEstimation devops-guru:UpdateEventSourcesConfig devops-guru:UpdateResourceCollection devops-guru:UpdateServiceIntegration |
| directconnect | directconnect:AcceptDirectConnectGatewayAssociationProposal directconnect:AllocateConnectionOnInterconnect directconnect:AllocateHostedConnection directconnect:AllocatePrivateVirtualInterface directconnect:AllocatePublicVirtualInterface directconnect:AllocateTransitVirtualInterface directconnect:AssociateConnectionWithLag directconnect:AssociateHostedConnection directconnect:AssociateMacSecKey directconnect:AssociateVirtualInterface directconnect:ConfirmConnection directconnect:ConfirmCustomerAgreement directconnect:ConfirmPrivateVirtualInterface directconnect:ConfirmPublicVirtualInterface directconnect:ConfirmTransitVirtualInterface directconnect:CreateBGPPeer directconnect:CreateConnection directconnect:CreateDirectConnectGateway directconnect:CreateDirectConnectGatewayAssociation directconnect:CreateDirectConnectGatewayAssociationProposal directconnect:CreateInterconnect directconnect:CreateLag directconnect:CreatePrivateVirtualInterface directconnect:CreatePublicVirtualInterface directconnect:CreateTransitVirtualInterface directconnect:DeleteBGPPeer directconnect:DeleteConnection directconnect:DeleteDirectConnectGateway directconnect:DeleteDirectConnectGatewayAssociation directconnect:DeleteDirectConnectGatewayAssociationProposal directconnect:DeleteInterconnect directconnect:DeleteLag directconnect:DeleteVirtualInterface directconnect:DescribeConnectionLoa directconnect:DescribeConnections directconnect:DescribeConnectionsOnInterconnect directconnect:DescribeCustomerMetadata directconnect:DescribeDirectConnectGatewayAssociationProposals directconnect:DescribeDirectConnectGatewayAssociations directconnect:DescribeDirectConnectGatewayAttachments directconnect:DescribeDirectConnectGateways directconnect:DescribeHostedConnections directconnect:DescribeInterconnectLoa directconnect:DescribeInterconnects directconnect:DescribeLags directconnect:DescribeLoa directconnect:DescribeLocations directconnect:DescribeRouterConfiguration directconnect:DescribeVirtualGateways directconnect:DescribeVirtualInterfaces directconnect:DisassociateConnectionFromLag directconnect:DisassociateMacSecKey directconnect:ListVirtualInterfaceTestHistory directconnect:StartBgpFailoverTest directconnect:StopBgpFailoverTest directconnect:UpdateConnection directconnect:UpdateDirectConnectGateway directconnect:UpdateDirectConnectGatewayAssociation directconnect:UpdateLag directconnect:UpdateVirtualInterfaceAttributes |
| dlm | dlm:CreateLifecyclePolicy dlm:DeleteLifecyclePolicy dlm:GetLifecyclePolicies dlm:GetLifecyclePolicy dlm:UpdateLifecyclePolicy |
| dms | dms:ApplyPendingMaintenanceAction dms:AssociateExtensionPack dms:BatchStartRecommendations dms:CancelMetadataModelCreation dms:CancelReplicationTaskAssessmentRun dms:CreateDataProvider dms:CreateEndpoint dms:CreateEventSubscription dms:CreateInstanceProfile dms:CreateMigrationProject dms:CreateReplicationConfig dms:CreateReplicationInstance dms:CreateReplicationSubnetGroup dms:CreateReplicationTask dms:DeleteCertificate dms:DeleteConnection dms:DeleteDataMigration dms:DeleteDataProvider dms:DeleteEndpoint dms:DeleteEventSubscription dms:DeleteFleetAdvisorCollector dms:DeleteFleetAdvisorDatabases dms:DeleteInstanceProfile dms:DeleteMigrationProject dms:DeleteReplicationConfig dms:DeleteReplicationInstance dms:DeleteReplicationSubnetGroup dms:DeleteReplicationTask dms:DeleteReplicationTaskAssessmentRun dms:DescribeAccountAttributes dms:DescribeApplicableIndividualAssessments dms:DescribeCertificates dms:DescribeConnections dms:DescribeDataMigrations dms:DescribeEndpointSettings dms:DescribeEndpointTypes dms:DescribeEndpoints dms:DescribeEngineVersions dms:DescribeEventCategories dms:DescribeEventSubscriptions dms:DescribeEvents dms:DescribeFleetAdvisorCollectors dms:DescribeFleetAdvisorDatabases dms:DescribeFleetAdvisorLsaAnalysis dms:DescribeFleetAdvisorSchemaObjectSummary dms:DescribeFleetAdvisorSchemas dms:DescribeMetadataModel dms:DescribeMetadataModelChildren dms:DescribeMetadataModelCreations dms:DescribeMetadataModelImports dms:DescribeOrderableReplicationInstances dms:DescribePendingMaintenanceActions dms:DescribeRecommendationLimitations dms:DescribeRecommendations dms:DescribeRefreshSchemasStatus dms:DescribeReplicationConfigs dms:DescribeReplicationInstanceTaskLogs dms:DescribeReplicationInstances dms:DescribeReplicationSubnetGroups dms:DescribeReplicationTableStatistics dms:DescribeReplicationTaskAssessmentResults dms:DescribeReplicationTaskAssessmentRuns dms:DescribeReplicationTaskIndividualAssessments dms:DescribeReplicationTasks dms:DescribeReplications dms:DescribeSchemas dms:DescribeTableStatistics dms:ExportMetadataModelAssessment dms:ImportCertificate dms:ListDataProviders dms:ListExtensionPacks dms:ListInstanceProfiles dms:ListMetadataModelAssessments dms:ListMetadataModelConversions dms:ListMetadataModelExports dms:ListMigrationProjects dms:ModifyDataMigration dms:ModifyEndpoint dms:ModifyEventSubscription dms:ModifyReplicationConfig dms:ModifyReplicationInstance dms:ModifyReplicationSubnetGroup dms:ModifyReplicationTask dms:MoveReplicationTask dms:RebootReplicationInstance dms:RefreshSchemas dms:ReloadReplicationTables dms:ReloadTables dms:RunFleetAdvisorLsaAnalysis dms:StartMetadataModelAssessment dms:StartMetadataModelConversion dms:StartMetadataModelCreation dms:StartMetadataModelExportAsScripts dms:StartMetadataModelExportToTarget dms:StartRecommendations dms:StartReplication dms:StartReplicationTask dms:StartReplicationTaskAssessment dms:StopDataMigration dms:StopReplicationTask dms:TestConnection dms:UpdateConversionConfiguration dms:UpdateDataProvider dms:UpdateInstanceProfile dms:UpdateMigrationProject dms:UpdateSubscriptionsToEventBridge |
| docdb-elastic | docdb-elastic:ApplyPendingMaintenanceAction docdb-elastic:CopyClusterSnapshot docdb-elastic:DeleteCluster docdb-elastic:DeleteClusterSnapshot docdb-elastic:GetCluster docdb-elastic:GetClusterSnapshot docdb-elastic:GetPendingMaintenanceAction docdb-elastic:ListClusterSnapshots docdb-elastic:ListClusters docdb-elastic:ListPendingMaintenanceActions docdb-elastic:RestoreClusterFromSnapshot docdb-elastic:StartCluster docdb-elastic:StopCluster docdb-elastic:UpdateCluster |
| dynamodb | dynamodb:AssociateTableReplica dynamodb:CreateBackup dynamodb:CreateGlobalTable dynamodb:CreateTable dynamodb:DeleteBackup dynamodb:DeleteTable dynamodb:DescribeBackup dynamodb:DescribeContinuousBackups dynamodb:DescribeContributorInsights dynamodb:DescribeEndpoints dynamodb:DescribeExport dynamodb:DescribeGlobalTable dynamodb:DescribeGlobalTableSettings dynamodb:DescribeImport dynamodb:DescribeKinesisStreamingDestination dynamodb:DescribeLimits dynamodb:DescribeStream dynamodb:DescribeTable dynamodb:DescribeTableReplicaAutoScaling dynamodb:DescribeTimeToLive dynamodb:DisableKinesisStreamingDestination dynamodb:EnableKinesisStreamingDestination dynamodb:ExportTableToPointInTime dynamodb:GetResourcePolicy dynamodb:ImportTable dynamodb:ListBackups dynamodb:ListContributorInsights dynamodb:ListExports dynamodb:ListGlobalTables dynamodb:ListImports dynamodb:ListStreams dynamodb:ListTables dynamodb:ReadDataForReplication dynamodb:ReplicateSettings dynamodb:RestoreTableFromBackup dynamodb:RestoreTableToPointInTime dynamodb:UpdateContinuousBackups dynamodb:UpdateContributorInsights dynamodb:UpdateGlobalTable dynamodb:UpdateGlobalTableSettings dynamodb:UpdateKinesisStreamingDestination dynamodb:UpdateTable dynamodb:UpdateTableReplicaAutoScaling dynamodb:UpdateTimeToLive dynamodb:WriteDataForReplication |
| ebs | ebs:CompleteSnapshot ebs:StartSnapshot |
| ec2 | ec2:AcceptAddressTransfer ec2:AcceptCapacityReservationBillingOwnership ec2:AcceptReservedInstancesExchangeQuote ec2:AcceptTransitGatewayMulticastDomainAssociations ec2:AcceptTransitGatewayPeeringAttachment ec2:AcceptTransitGatewayVpcAttachment ec2:AcceptVpcEndpointConnections ec2:AcceptVpcPeeringConnection ec2:AdvertiseByoipCidr ec2:AllocateAddress ec2:AllocateHosts ec2:AllocateIpamPoolCidr ec2:ApplySecurityGroupsToClientVpnTargetNetwork ec2:AssignIpv6Addresses ec2:AssignPrivateIpAddresses ec2:AssignPrivateNatGatewayAddress ec2:AssociateAddress ec2:AssociateCapacityReservationBillingOwner ec2:AssociateClientVpnTargetNetwork ec2:AssociateDhcpOptions ec2:AssociateEnclaveCertificateIamRole ec2:AssociateIamInstanceProfile ec2:AssociateInstanceEventWindow ec2:AssociateIpamByoasn ec2:AssociateIpamResourceDiscovery ec2:AssociateNatGatewayAddress ec2:AssociateRouteServer ec2:AssociateRouteTable ec2:AssociateSecurityGroupVpc ec2:AssociateSubnetCidrBlock ec2:AssociateTransitGatewayMulticastDomain ec2:AssociateTransitGatewayPolicyTable ec2:AssociateTransitGatewayRouteTable ec2:AssociateTrunkInterface ec2:AssociateVpcCidrBlock ec2:AttachClassicLinkVpc ec2:AttachInternetGateway ec2:AttachNetworkInterface ec2:AttachVerifiedAccessTrustProvider ec2:AttachVolume ec2:AttachVpnGateway ec2:AuthorizeClientVpnIngress ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:BundleInstance ec2:CancelBundleTask ec2:CancelCapacityReservation ec2:CancelCapacityReservationFleets ec2:CancelConversionTask ec2:CancelDeclarativePoliciesReport ec2:CancelExportTask ec2:CancelImageLaunchPermission ec2:CancelImportTask ec2:CancelReservedInstancesListing ec2:CancelSpotFleetRequests ec2:CancelSpotInstanceRequests ec2:ConfirmProductInstance ec2:CopyFpgaImage ec2:CopyImage ec2:CopySnapshot ec2:CopyVolumes ec2:CreateCapacityManagerDataExport ec2:CreateCapacityReservation ec2:CreateCapacityReservationBySplitting ec2:CreateCapacityReservationFleet ec2:CreateCarrierGateway ec2:CreateClientVpnEndpoint ec2:CreateClientVpnRoute ec2:CreateCoipCidr ec2:CreateCoipPool ec2:CreateCustomerGateway ec2:CreateDefaultSubnet ec2:CreateDefaultVpc ec2:CreateDelegateMacVolumeOwnershipTask ec2:CreateDhcpOptions ec2:CreateEgressOnlyInternetGateway ec2:CreateFleet ec2:CreateFlowLogs ec2:CreateFpgaImage ec2:CreateImage ec2:CreateImageUsageReport ec2:CreateInstanceConnectEndpoint ec2:CreateInstanceEventWindow ec2:CreateInstanceExportTask ec2:CreateInternetGateway ec2:CreateInterruptibleCapacityReservationAllocation ec2:CreateIpam ec2:CreateIpamExternalResourceVerificationToken ec2:CreateIpamPolicy ec2:CreateIpamPool ec2:CreateIpamPrefixListResolver ec2:CreateIpamPrefixListResolverTarget ec2:CreateIpamResourceDiscovery ec2:CreateIpamScope ec2:CreateKeyPair ec2:CreateLaunchTemplateVersion ec2:CreateLocalGatewayRoute ec2:CreateLocalGatewayRouteTable ec2:CreateLocalGatewayRouteTableVirtualInterfaceGroupAssociation ec2:CreateLocalGatewayRouteTableVpcAssociation ec2:CreateLocalGatewayVirtualInterface ec2:CreateLocalGatewayVirtualInterfaceGroup ec2:CreateMacSystemIntegrityProtectionModificationTask ec2:CreateManagedPrefixList ec2:CreateNatGateway ec2:CreateNetworkAcl ec2:CreateNetworkAclEntry ec2:CreateNetworkInsightsAccessScope ec2:CreateNetworkInsightsPath ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreatePlacementGroup ec2:CreatePublicIpv4Pool ec2:CreateReplaceRootVolumeTask ec2:CreateReservedInstancesListing ec2:CreateRestoreImageTask ec2:CreateRoute ec2:CreateRouteServer ec2:CreateRouteServerEndpoint ec2:CreateRouteServerPeer ec2:CreateRouteTable ec2:CreateSecurityGroup ec2:CreateSnapshots ec2:CreateSpotDatafeedSubscription ec2:CreateStoreImageTask ec2:CreateSubnet ec2:CreateSubnetCidrReservation ec2:CreateTrafficMirrorFilter ec2:CreateTrafficMirrorFilterRule ec2:CreateTrafficMirrorSession ec2:CreateTrafficMirrorTarget ec2:CreateTransitGateway ec2:CreateTransitGatewayConnect ec2:CreateTransitGatewayConnectPeer ec2:CreateTransitGatewayMeteringPolicy ec2:CreateTransitGatewayMeteringPolicyEntry ec2:CreateTransitGatewayMulticastDomain ec2:CreateTransitGatewayPeeringAttachment ec2:CreateTransitGatewayPolicyTable ec2:CreateTransitGatewayPrefixListReference ec2:CreateTransitGatewayRoute ec2:CreateTransitGatewayRouteTable ec2:CreateTransitGatewayRouteTableAnnouncement ec2:CreateTransitGatewayVpcAttachment ec2:CreateVerifiedAccessEndpoint ec2:CreateVerifiedAccessGroup ec2:CreateVerifiedAccessInstance ec2:CreateVerifiedAccessTrustProvider ec2:CreateVolume ec2:CreateVpc ec2:CreateVpcBlockPublicAccessExclusion ec2:CreateVpcEncryptionControl ec2:CreateVpcEndpoint ec2:CreateVpcEndpointConnectionNotification ec2:CreateVpcEndpointServiceConfiguration ec2:CreateVpcPeeringConnection ec2:CreateVpnConcentrator ec2:CreateVpnConnection ec2:CreateVpnConnectionRoute ec2:CreateVpnGateway ec2:DeleteCapacityManagerDataExport ec2:DeleteCarrierGateway ec2:DeleteClientVpnEndpoint ec2:DeleteClientVpnRoute ec2:DeleteCoipCidr ec2:DeleteCoipPool ec2:DeleteCustomerGateway ec2:DeleteDhcpOptions ec2:DeleteEgressOnlyInternetGateway ec2:DeleteFleets ec2:DeleteFlowLogs ec2:DeleteFpgaImage ec2:DeleteImageUsageReport ec2:DeleteInstanceConnectEndpoint ec2:DeleteInstanceEventWindow ec2:DeleteInternetGateway ec2:DeleteIpam ec2:DeleteIpamExternalResourceVerificationToken ec2:DeleteIpamPolicy ec2:DeleteIpamPool ec2:DeleteIpamPrefixListResolver ec2:DeleteIpamPrefixListResolverTarget ec2:DeleteIpamResourceDiscovery ec2:DeleteIpamScope ec2:DeleteKeyPair ec2:DeleteLaunchTemplate ec2:DeleteLaunchTemplateVersions ec2:DeleteLocalGatewayRoute ec2:DeleteLocalGatewayRouteTable ec2:DeleteLocalGatewayRouteTableVirtualInterfaceGroupAssociation ec2:DeleteLocalGatewayRouteTableVpcAssociation ec2:DeleteLocalGatewayVirtualInterface ec2:DeleteLocalGatewayVirtualInterfaceGroup ec2:DeleteManagedPrefixList ec2:DeleteNatGateway ec2:DeleteNetworkAcl ec2:DeleteNetworkAclEntry ec2:DeleteNetworkInsightsAccessScope ec2:DeleteNetworkInsightsAccessScopeAnalysis ec2:DeleteNetworkInsightsAnalysis ec2:DeleteNetworkInsightsPath ec2:DeleteNetworkInterface ec2:DeleteNetworkInterfacePermission ec2:DeletePlacementGroup ec2:DeletePublicIpv4Pool ec2:DeleteQueuedReservedInstances ec2:DeleteRoute ec2:DeleteRouteServer ec2:DeleteRouteServerEndpoint ec2:DeleteRouteServerPeer ec2:DeleteRouteTable ec2:DeleteSecurityGroup ec2:DeleteSpotDatafeedSubscription ec2:DeleteSubnet ec2:DeleteSubnetCidrReservation ec2:DeleteTrafficMirrorFilter ec2:DeleteTrafficMirrorFilterRule ec2:DeleteTrafficMirrorSession ec2:DeleteTrafficMirrorTarget ec2:DeleteTransitGateway ec2:DeleteTransitGatewayConnect ec2:DeleteTransitGatewayConnectPeer ec2:DeleteTransitGatewayMeteringPolicy ec2:DeleteTransitGatewayMeteringPolicyEntry ec2:DeleteTransitGatewayMulticastDomain ec2:DeleteTransitGatewayPeeringAttachment ec2:DeleteTransitGatewayPolicyTable ec2:DeleteTransitGatewayPrefixListReference ec2:DeleteTransitGatewayRoute ec2:DeleteTransitGatewayRouteTable ec2:DeleteTransitGatewayRouteTableAnnouncement ec2:DeleteTransitGatewayVpcAttachment ec2:DeleteVerifiedAccessEndpoint ec2:DeleteVerifiedAccessGroup ec2:DeleteVerifiedAccessInstance ec2:DeleteVerifiedAccessTrustProvider ec2:DeleteVolume ec2:DeleteVpc ec2:DeleteVpcBlockPublicAccessExclusion ec2:DeleteVpcEncryptionControl ec2:DeleteVpcEndpointConnectionNotifications ec2:DeleteVpcEndpointServiceConfigurations ec2:DeleteVpcEndpoints ec2:DeleteVpcPeeringConnection ec2:DeleteVpnConcentrator ec2:DeleteVpnConnection ec2:DeleteVpnConnectionRoute ec2:DeleteVpnGateway ec2:DeprovisionByoipCidr ec2:DeprovisionIpamByoasn ec2:DeprovisionIpamPoolCidr ec2:DeprovisionPublicIpv4PoolCidr ec2:DeregisterImage ec2:DeregisterInstanceEventNotificationAttributes ec2:DeregisterTransitGatewayMulticastGroupMembers ec2:DeregisterTransitGatewayMulticastGroupSources ec2:DescribeAccountAttributes ec2:DescribeAddressTransfers ec2:DescribeAddresses ec2:DescribeAddressesAttribute ec2:DescribeAggregateIdFormat ec2:DescribeAvailabilityZones ec2:DescribeAwsNetworkPerformanceMetricSubscriptions ec2:DescribeBundleTasks ec2:DescribeByoipCidrs ec2:DescribeCapacityBlockExtensionHistory ec2:DescribeCapacityBlockExtensionOfferings ec2:DescribeCapacityBlockStatus ec2:DescribeCapacityBlocks ec2:DescribeCapacityManagerDataExports ec2:DescribeCapacityReservationBillingRequests ec2:DescribeCapacityReservationFleets ec2:DescribeCapacityReservationTopology ec2:DescribeCapacityReservations ec2:DescribeCarrierGateways ec2:DescribeClassicLinkInstances ec2:DescribeClientVpnAuthorizationRules ec2:DescribeClientVpnConnections ec2:DescribeClientVpnEndpoints ec2:DescribeClientVpnRoutes ec2:DescribeClientVpnTargetNetworks ec2:DescribeCoipPools ec2:DescribeConversionTasks ec2:DescribeCustomerGateways ec2:DescribeDeclarativePoliciesReports ec2:DescribeDhcpOptions ec2:DescribeEgressOnlyInternetGateways ec2:DescribeElasticGpus ec2:DescribeExportImageTasks ec2:DescribeExportTasks ec2:DescribeFastLaunchImages ec2:DescribeFastSnapshotRestores ec2:DescribeFleetHistory ec2:DescribeFleetInstances ec2:DescribeFleets ec2:DescribeFlowLogs ec2:DescribeFpgaImageAttribute ec2:DescribeFpgaImages ec2:DescribeHostReservationOfferings ec2:DescribeHostReservations ec2:DescribeHosts ec2:DescribeIamInstanceProfileAssociations ec2:DescribeIdFormat ec2:DescribeIdentityIdFormat ec2:DescribeImageAttribute ec2:DescribeImageReferences ec2:DescribeImageUsageReportEntries ec2:DescribeImageUsageReports ec2:DescribeImportImageTasks ec2:DescribeImportSnapshotTasks ec2:DescribeInstanceConnectEndpoints ec2:DescribeInstanceCreditSpecifications ec2:DescribeInstanceEventNotificationAttributes ec2:DescribeInstanceEventWindows ec2:DescribeInstanceImageMetadata ec2:DescribeInstanceSqlHaHistoryStates ec2:DescribeInstanceSqlHaStates ec2:DescribeInstanceTopology ec2:DescribeInstanceTypes ec2:DescribeInternetGateways ec2:DescribeIpamByoasn ec2:DescribeIpamExternalResourceVerificationTokens ec2:DescribeIpamPolicies ec2:DescribeIpamPools ec2:DescribeIpamPrefixListResolverTargets ec2:DescribeIpamPrefixListResolvers ec2:DescribeIpamResourceDiscoveries ec2:DescribeIpamResourceDiscoveryAssociations ec2:DescribeIpamScopes ec2:DescribeIpams ec2:DescribeIpv6Pools ec2:DescribeKeyPairs ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations ec2:DescribeLocalGatewayRouteTableVpcAssociations ec2:DescribeLocalGatewayRouteTables ec2:DescribeLocalGatewayVirtualInterfaceGroups ec2:DescribeLocalGatewayVirtualInterfaces ec2:DescribeLocalGateways ec2:DescribeLockedSnapshots ec2:DescribeMacHosts ec2:DescribeMacModificationTasks ec2:DescribeManagedPrefixLists ec2:DescribeMovingAddresses ec2:DescribeNatGateways ec2:DescribeNetworkAcls ec2:DescribeNetworkInsightsAccessScopeAnalyses ec2:DescribeNetworkInsightsAccessScopes ec2:DescribeNetworkInsightsAnalyses ec2:DescribeNetworkInsightsPaths ec2:DescribeNetworkInterfaceAttribute ec2:DescribeNetworkInterfacePermissions ec2:DescribeNetworkInterfaces ec2:DescribeOutpostLags ec2:DescribePlacementGroups ec2:DescribePrefixLists ec2:DescribePrincipalIdFormat ec2:DescribePublicIpv4Pools ec2:DescribeRegions ec2:DescribeReplaceRootVolumeTasks ec2:DescribeReservedInstances ec2:DescribeReservedInstancesListings ec2:DescribeReservedInstancesModifications ec2:DescribeReservedInstancesOfferings ec2:DescribeRouteServerEndpoints ec2:DescribeRouteServerPeers ec2:DescribeRouteServers ec2:DescribeRouteTables ec2:DescribeScheduledInstanceAvailability ec2:DescribeScheduledInstances ec2:DescribeSecurityGroupReferences ec2:DescribeSecurityGroupRules ec2:DescribeSecurityGroupVpcAssociations ec2:DescribeSecurityGroups ec2:DescribeServiceLinkVirtualInterfaces ec2:DescribeSnapshotAttribute ec2:DescribeSnapshotTierStatus ec2:DescribeSpotDatafeedSubscription ec2:DescribeSpotFleetInstances ec2:DescribeSpotFleetRequestHistory ec2:DescribeSpotFleetRequests ec2:DescribeSpotInstanceRequests ec2:DescribeSpotPriceHistory ec2:DescribeStaleSecurityGroups ec2:DescribeStoreImageTasks ec2:DescribeTrafficMirrorFilterRules ec2:DescribeTrafficMirrorFilters ec2:DescribeTrafficMirrorSessions ec2:DescribeTrafficMirrorTargets ec2:DescribeTransitGatewayAttachments ec2:DescribeTransitGatewayConnectPeers ec2:DescribeTransitGatewayConnects ec2:DescribeTransitGatewayMeteringPolicies ec2:DescribeTransitGatewayMulticastDomains ec2:DescribeTransitGatewayPeeringAttachments ec2:DescribeTransitGatewayPolicyTables ec2:DescribeTransitGatewayRouteTableAnnouncements ec2:DescribeTransitGatewayRouteTables ec2:DescribeTransitGatewayVpcAttachments ec2:DescribeTransitGateways ec2:DescribeTrunkInterfaceAssociations ec2:DescribeVerifiedAccessEndpoints ec2:DescribeVerifiedAccessGroups ec2:DescribeVerifiedAccessInstanceLoggingConfigurations ec2:DescribeVerifiedAccessInstances ec2:DescribeVerifiedAccessTrustProviders ec2:DescribeVolumeAttribute ec2:DescribeVolumeStatus ec2:DescribeVolumes ec2:DescribeVolumesModifications ec2:DescribeVpcAttribute ec2:DescribeVpcBlockPublicAccessExclusions ec2:DescribeVpcBlockPublicAccessOptions ec2:DescribeVpcClassicLink ec2:DescribeVpcClassicLinkDnsSupport ec2:DescribeVpcEncryptionControls ec2:DescribeVpcEndpointAssociations ec2:DescribeVpcEndpointConnectionNotifications ec2:DescribeVpcEndpointConnections ec2:DescribeVpcEndpointServiceConfigurations ec2:DescribeVpcEndpointServicePermissions ec2:DescribeVpcEndpointServices ec2:DescribeVpcEndpoints ec2:DescribeVpcPeeringConnections ec2:DescribeVpcs ec2:DescribeVpnConcentrators ec2:DescribeVpnConnections ec2:DescribeVpnGateways ec2:DetachClassicLinkVpc ec2:DetachInternetGateway ec2:DetachNetworkInterface ec2:DetachVerifiedAccessTrustProvider ec2:DetachVolume ec2:DetachVpnGateway ec2:DisableAddressTransfer ec2:DisableAllowedImagesSettings ec2:DisableAwsNetworkPerformanceMetricSubscription ec2:DisableCapacityManager ec2:DisableEbsEncryptionByDefault ec2:DisableFastLaunch ec2:DisableFastSnapshotRestores ec2:DisableImage ec2:DisableImageBlockPublicAccess ec2:DisableImageDeprecation ec2:DisableImageDeregistrationProtection ec2:DisableInstanceSqlHaStandbyDetections ec2:DisableIpamOrganizationAdminAccount ec2:DisableIpamPolicy ec2:DisableRouteServerPropagation ec2:DisableSerialConsoleAccess ec2:DisableSnapshotBlockPublicAccess ec2:DisableTransitGatewayRouteTablePropagation ec2:DisableVgwRoutePropagation ec2:DisableVpcClassicLink ec2:DisableVpcClassicLinkDnsSupport ec2:DisassociateAddress ec2:DisassociateCapacityReservationBillingOwner ec2:DisassociateClientVpnTargetNetwork ec2:DisassociateEnclaveCertificateIamRole ec2:DisassociateIamInstanceProfile ec2:DisassociateInstanceEventWindow ec2:DisassociateIpamByoasn ec2:DisassociateIpamResourceDiscovery ec2:DisassociateNatGatewayAddress ec2:DisassociateRouteServer ec2:DisassociateRouteTable ec2:DisassociateSecurityGroupVpc ec2:DisassociateSubnetCidrBlock ec2:DisassociateTransitGatewayMulticastDomain ec2:DisassociateTransitGatewayPolicyTable ec2:DisassociateTransitGatewayRouteTable ec2:DisassociateTrunkInterface ec2:DisassociateVpcCidrBlock ec2:EnableAddressTransfer ec2:EnableAllowedImagesSettings ec2:EnableAwsNetworkPerformanceMetricSubscription ec2:EnableCapacityManager ec2:EnableEbsEncryptionByDefault ec2:EnableFastLaunch ec2:EnableFastSnapshotRestores ec2:EnableImage ec2:EnableImageBlockPublicAccess ec2:EnableImageDeprecation ec2:EnableImageDeregistrationProtection ec2:EnableInstanceSqlHaStandbyDetections ec2:EnableIpamOrganizationAdminAccount ec2:EnableIpamPolicy ec2:EnableReachabilityAnalyzerOrganizationSharing ec2:EnableRouteServerPropagation ec2:EnableSerialConsoleAccess ec2:EnableSnapshotBlockPublicAccess ec2:EnableTransitGatewayRouteTablePropagation ec2:EnableVgwRoutePropagation ec2:EnableVolumeIO ec2:EnableVpcClassicLink ec2:EnableVpcClassicLinkDnsSupport ec2:ExportClientVpnClientCertificateRevocationList ec2:ExportClientVpnClientConfiguration ec2:ExportImage ec2:ExportTransitGatewayRoutes ec2:ExportVerifiedAccessInstanceClientConfiguration ec2:GetActiveVpnTunnelStatus ec2:GetAllowedImagesSettings ec2:GetAssociatedEnclaveCertificateIamRoles ec2:GetAssociatedIpv6PoolCidrs ec2:GetAwsNetworkPerformanceData ec2:GetCapacityManagerAttributes ec2:GetCapacityManagerMetricData ec2:GetCapacityManagerMetricDimensions ec2:GetCapacityReservationUsage ec2:GetCoipPoolUsage ec2:GetConsoleOutput ec2:GetConsoleScreenshot ec2:GetDeclarativePoliciesReportSummary ec2:GetDefaultCreditSpecification ec2:GetEbsDefaultKmsKeyId ec2:GetEbsEncryptionByDefault ec2:GetEnabledIpamPolicy ec2:GetFlowLogsIntegrationTemplate ec2:GetGroupsForCapacityReservation ec2:GetHostReservationPurchasePreview ec2:GetImageAncestry ec2:GetImageBlockPublicAccessState ec2:GetInstanceMetadataDefaults ec2:GetInstanceTpmEkPub ec2:GetInstanceTypesFromInstanceRequirements ec2:GetInstanceUefiData ec2:GetIpamAddressHistory ec2:GetIpamDiscoveredAccounts ec2:GetIpamDiscoveredPublicAddresses ec2:GetIpamDiscoveredResourceCidrs ec2:GetIpamPolicyAllocationRules ec2:GetIpamPolicyOrganizationTargets ec2:GetIpamPoolAllocations ec2:GetIpamPoolCidrs ec2:GetIpamPrefixListResolverRules ec2:GetIpamPrefixListResolverVersionEntries ec2:GetIpamPrefixListResolverVersions ec2:GetIpamResourceCidrs ec2:GetLaunchTemplateData ec2:GetManagedPrefixListAssociations ec2:GetManagedPrefixListEntries ec2:GetNetworkInsightsAccessScopeAnalysisFindings ec2:GetNetworkInsightsAccessScopeContent ec2:GetPasswordData ec2:GetReservedInstancesExchangeQuote ec2:GetRouteServerAssociations ec2:GetRouteServerPropagations ec2:GetRouteServerRoutingDatabase ec2:GetSecurityGroupsForVpc ec2:GetSerialConsoleAccessStatus ec2:GetSnapshotBlockPublicAccessState ec2:GetSpotPlacementScores ec2:GetSubnetCidrReservations ec2:GetTransitGatewayAttachmentPropagations ec2:GetTransitGatewayMeteringPolicyEntries ec2:GetTransitGatewayMulticastDomainAssociations ec2:GetTransitGatewayPolicyTableAssociations ec2:GetTransitGatewayPolicyTableEntries ec2:GetTransitGatewayPrefixListReferences ec2:GetTransitGatewayRouteTableAssociations ec2:GetTransitGatewayRouteTablePropagations ec2:GetVerifiedAccessEndpointPolicy ec2:GetVerifiedAccessEndpointTargets ec2:GetVerifiedAccessGroupPolicy ec2:GetVpcResourcesBlockingEncryptionEnforcement ec2:GetVpnConnectionDeviceSampleConfiguration ec2:GetVpnConnectionDeviceTypes ec2:GetVpnTunnelReplacementStatus ec2:ImportClientVpnClientCertificateRevocationList ec2:ImportImage ec2:ImportInstance ec2:ImportKeyPair ec2:ImportSnapshot ec2:ImportVolume ec2:InjectVolumeIOLatency ec2:ListImagesInRecycleBin ec2:ListSnapshotsInRecycleBin ec2:ListVolumesInRecycleBin ec2:LockSnapshot ec2:ModifyAddressAttribute ec2:ModifyAvailabilityZoneGroup ec2:ModifyCapacityReservation ec2:ModifyCapacityReservationFleet ec2:ModifyClientVpnEndpoint ec2:ModifyDefaultCreditSpecification ec2:ModifyEbsDefaultKmsKeyId ec2:ModifyFleet ec2:ModifyFpgaImageAttribute ec2:ModifyHosts ec2:ModifyIdFormat ec2:ModifyIdentityIdFormat ec2:ModifyImageAttribute ec2:ModifyInstanceAttribute ec2:ModifyInstanceCapacityReservationAttributes ec2:ModifyInstanceConnectEndpoint ec2:ModifyInstanceCpuOptions ec2:ModifyInstanceCreditSpecification ec2:ModifyInstanceEventStartTime ec2:ModifyInstanceEventWindow ec2:ModifyInstanceMaintenanceOptions ec2:ModifyInstanceMetadataDefaults ec2:ModifyInstanceMetadataOptions ec2:ModifyInstanceNetworkPerformanceOptions ec2:ModifyInstancePlacement ec2:ModifyIpam ec2:ModifyIpamPolicyAllocationRules ec2:ModifyIpamPool ec2:ModifyIpamPrefixListResolver ec2:ModifyIpamPrefixListResolverTarget ec2:ModifyIpamResourceCidr ec2:ModifyIpamResourceDiscovery ec2:ModifyIpamScope ec2:ModifyLaunchTemplate ec2:ModifyLocalGatewayRoute ec2:ModifyManagedPrefixList ec2:ModifyNetworkInterfaceAttribute ec2:ModifyPrivateDnsNameOptions ec2:ModifyPublicIpDnsNameOptions ec2:ModifyReservedInstances ec2:ModifyRouteServer ec2:ModifySecurityGroupRules ec2:ModifySnapshotAttribute ec2:ModifySnapshotTier ec2:ModifySpotFleetRequest ec2:ModifySubnetAttribute ec2:ModifyTrafficMirrorFilterNetworkServices ec2:ModifyTrafficMirrorFilterRule ec2:ModifyTrafficMirrorSession ec2:ModifyTransitGateway ec2:ModifyTransitGatewayMeteringPolicy ec2:ModifyTransitGatewayPrefixListReference ec2:ModifyTransitGatewayVpcAttachment ec2:ModifyVerifiedAccessEndpoint ec2:ModifyVerifiedAccessEndpointPolicy ec2:ModifyVerifiedAccessGroup ec2:ModifyVerifiedAccessGroupPolicy ec2:ModifyVerifiedAccessInstance ec2:ModifyVerifiedAccessInstanceLoggingConfiguration ec2:ModifyVerifiedAccessTrustProvider ec2:ModifyVolume ec2:ModifyVolumeAttribute ec2:ModifyVpcAttribute ec2:ModifyVpcBlockPublicAccessExclusion ec2:ModifyVpcBlockPublicAccessOptions ec2:ModifyVpcEncryptionControl ec2:ModifyVpcEndpoint ec2:ModifyVpcEndpointConnectionNotification ec2:ModifyVpcEndpointServiceConfiguration ec2:ModifyVpcEndpointServicePayerResponsibility ec2:ModifyVpcEndpointServicePermissions ec2:ModifyVpcPeeringConnectionOptions ec2:ModifyVpcTenancy ec2:ModifyVpnConnection ec2:ModifyVpnConnectionOptions ec2:ModifyVpnTunnelCertificate ec2:ModifyVpnTunnelOptions ec2:MonitorInstances ec2:MoveAddressToVpc ec2:MoveByoipCidrToIpam ec2:MoveCapacityReservationInstances ec2:ProvisionByoipCidr ec2:ProvisionIpamByoasn ec2:ProvisionIpamPoolCidr ec2:ProvisionPublicIpv4PoolCidr ec2:PurchaseCapacityBlockExtension ec2:PurchaseHostReservation ec2:PurchaseReservedInstancesOffering ec2:PurchaseScheduledInstances ec2:RebootInstances ec2:RegisterImage ec2:RegisterInstanceEventNotificationAttributes ec2:RegisterTransitGatewayMulticastGroupMembers ec2:RegisterTransitGatewayMulticastGroupSources ec2:RejectCapacityReservationBillingOwnership ec2:RejectTransitGatewayMulticastDomainAssociations ec2:RejectTransitGatewayPeeringAttachment ec2:RejectTransitGatewayVpcAttachment ec2:RejectVpcEndpointConnections ec2:RejectVpcPeeringConnection ec2:ReleaseAddress ec2:ReleaseHosts ec2:ReleaseIpamPoolAllocation ec2:ReplaceIamInstanceProfileAssociation ec2:ReplaceImageCriteriaInAllowedImagesSettings ec2:ReplaceNetworkAclAssociation ec2:ReplaceNetworkAclEntry ec2:ReplaceRoute ec2:ReplaceRouteTableAssociation ec2:ReplaceTransitGatewayRoute ec2:ReplaceVpnTunnel ec2:ReportInstanceStatus ec2:RequestSpotFleet ec2:RequestSpotInstances ec2:ResetAddressAttribute ec2:ResetEbsDefaultKmsKeyId ec2:ResetFpgaImageAttribute ec2:ResetImageAttribute ec2:ResetInstanceAttribute ec2:ResetNetworkInterfaceAttribute ec2:ResetSnapshotAttribute ec2:RestoreAddressToClassic ec2:RestoreImageFromRecycleBin ec2:RestoreManagedPrefixListVersion ec2:RestoreSnapshotFromRecycleBin ec2:RestoreSnapshotTier ec2:RestoreVolumeFromRecycleBin ec2:RevokeClientVpnIngress ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress ec2:RunInstances ec2:RunScheduledInstances ec2:SearchLocalGatewayRoutes ec2:SearchTransitGatewayMulticastGroups ec2:SearchTransitGatewayRoutes ec2:SendDiagnosticInterrupt ec2:StartDeclarativePoliciesReport ec2:StartInstances ec2:StartNetworkInsightsAccessScopeAnalysis ec2:StartNetworkInsightsAnalysis ec2:StartVpcEndpointServicePrivateDnsVerification ec2:TerminateClientVpnConnections ec2:UnassignIpv6Addresses ec2:UnassignPrivateIpAddresses ec2:UnassignPrivateNatGatewayAddress ec2:UnlockSnapshot ec2:UnmonitorInstances ec2:UpdateCapacityManagerOrganizationsAccess ec2:UpdateInterruptibleCapacityReservationAllocation ec2:UpdateSecurityGroupRuleDescriptionsEgress ec2:UpdateSecurityGroupRuleDescriptionsIngress ec2:WithdrawByoipCidr |
| ecr | ecr:BatchCheckLayerAvailability ecr:BatchDeleteImage ecr:BatchGetImage ecr:BatchGetRepositoryScanningConfiguration ecr:CompleteLayerUpload ecr:CreatePullThroughCacheRule ecr:CreateRepositoryCreationTemplate ecr:DeleteLifecyclePolicy ecr:DeletePullThroughCacheRule ecr:DeleteRegistryPolicy ecr:DeleteRepository ecr:DeleteRepositoryCreationTemplate ecr:DeleteRepositoryPolicy ecr:DeleteSigningConfiguration ecr:DescribeImageReplicationStatus ecr:DescribeImageScanFindings ecr:DescribeImages ecr:DescribePullThroughCacheRules ecr:DescribeRegistry ecr:DescribeRepositories ecr:DescribeRepositoryCreationTemplates ecr:GetAccountSetting ecr:GetAuthorizationToken ecr:GetDownloadUrlForLayer ecr:GetLifecyclePolicy ecr:GetLifecyclePolicyPreview ecr:GetRegistryPolicy ecr:GetRegistryScanningConfiguration ecr:GetRepositoryPolicy ecr:GetSigningConfiguration ecr:InitiateLayerUpload ecr:ListImages ecr:ListPullTimeUpdateExclusions ecr:PutAccountSetting ecr:PutImage ecr:PutImageScanningConfiguration ecr:PutRegistryPolicy ecr:PutRegistryScanningConfiguration ecr:PutReplicationConfiguration ecr:StartImageScan ecr:StartLifecyclePolicyPreview ecr:UpdatePullThroughCacheRule ecr:UpdateRepositoryCreationTemplate ecr:UploadLayerPart ecr:ValidatePullThroughCacheRule |
| ecr-public | ecr-public:BatchCheckLayerAvailability ecr-public:BatchDeleteImage ecr-public:CompleteLayerUpload ecr-public:CreateRepository ecr-public:DeleteRepository ecr-public:DeleteRepositoryPolicy ecr-public:DescribeImages ecr-public:DescribeRegistries ecr-public:DescribeRepositories ecr-public:GetAuthorizationToken ecr-public:GetRegistryCatalogData ecr-public:GetRepositoryCatalogData ecr-public:GetRepositoryPolicy ecr-public:InitiateLayerUpload ecr-public:PutImage ecr-public:PutRegistryCatalogData ecr-public:PutRepositoryCatalogData ecr-public:SetRepositoryPolicy ecr-public:UploadLayerPart |
| ecs | ecs:CreateCapacityProvider ecs:CreateCluster ecs:CreateService ecs:CreateTaskSet ecs:DeleteAccountSetting ecs:DeleteAttributes ecs:DeleteCapacityProvider ecs:DeleteCluster ecs:DeleteExpressGatewayService ecs:DeleteService ecs:DeleteTaskDefinitions ecs:DeleteTaskSet ecs:DeregisterContainerInstance ecs:DeregisterTaskDefinition ecs:DescribeCapacityProviders ecs:DescribeClusters ecs:DescribeContainerInstances ecs:DescribeExpressGatewayService ecs:DescribeServiceDeployments ecs:DescribeServiceRevisions ecs:DescribeServices ecs:DescribeTaskDefinition ecs:DescribeTaskSets ecs:DescribeTasks ecs:DiscoverPollEndpoint ecs:ExecuteCommand ecs:GetTaskProtection ecs:ListAccountSettings ecs:ListAttributes ecs:ListClusters ecs:ListContainerInstances ecs:ListServiceDeployments ecs:ListServices ecs:ListServicesByNamespace ecs:ListTaskDefinitionFamilies ecs:ListTaskDefinitions ecs:ListTasks ecs:PutAccountSetting ecs:PutAccountSettingDefault ecs:PutAttributes ecs:PutClusterCapacityProviders ecs:RegisterContainerInstance ecs:RunTask ecs:StartTask ecs:StopServiceDeployment ecs:StopTask ecs:SubmitAttachmentStateChanges ecs:SubmitContainerStateChange ecs:SubmitTaskStateChange ecs:UpdateCapacityProvider ecs:UpdateCluster ecs:UpdateClusterSettings ecs:UpdateContainerAgent ecs:UpdateContainerInstancesState ecs:UpdateExpressGatewayService ecs:UpdateService ecs:UpdateServicePrimaryTaskSet ecs:UpdateTaskProtection ecs:UpdateTaskSet |
| eks | eks:AssociateAccessPolicy eks:AssociateEncryptionConfig eks:AssociateIdentityProviderConfig eks:CreateAccessEntry eks:CreateAddon eks:CreateCluster eks:CreateEksAnywhereSubscription eks:CreateFargateProfile eks:CreateNodegroup eks:DeleteAccessEntry eks:DeleteAddon eks:DeleteCapability eks:DeleteCluster eks:DeleteEksAnywhereSubscription eks:DeleteFargateProfile eks:DeleteNodegroup eks:DeletePodIdentityAssociation eks:DeregisterCluster eks:DescribeAccessEntry eks:DescribeAddon eks:DescribeAddonConfiguration eks:DescribeAddonVersions eks:DescribeCapability eks:DescribeCluster eks:DescribeClusterVersions eks:DescribeEksAnywhereSubscription eks:DescribeFargateProfile eks:DescribeIdentityProviderConfig eks:DescribeInsight eks:DescribeInsightsRefresh eks:DescribeNodegroup eks:DescribePodIdentityAssociation eks:DescribeUpdate eks:DisassociateAccessPolicy eks:DisassociateIdentityProviderConfig eks:ListAccessEntries eks:ListAccessPolicies eks:ListAddons eks:ListAssociatedAccessPolicies eks:ListCapabilities eks:ListClusters eks:ListEksAnywhereSubscriptions eks:ListFargateProfiles eks:ListIdentityProviderConfigs eks:ListInsights eks:ListNodegroups eks:ListPodIdentityAssociations eks:ListUpdates eks:RegisterCluster eks:StartInsightsRefresh eks:UpdateAccessEntry eks:UpdateAddon eks:UpdateCapability eks:UpdateClusterConfig eks:UpdateClusterVersion eks:UpdateEksAnywhereSubscription eks:UpdateNodegroupConfig eks:UpdateNodegroupVersion eks:UpdatePodIdentityAssociation |
| elasticache | elasticache:AuthorizeCacheSecurityGroupIngress elasticache:BatchApplyUpdateAction elasticache:BatchStopUpdateAction elasticache:CompleteMigration elasticache:CopyServerlessCacheSnapshot elasticache:CopySnapshot elasticache:CreateCacheCluster elasticache:CreateCacheParameterGroup elasticache:CreateCacheSecurityGroup elasticache:CreateCacheSubnetGroup elasticache:CreateGlobalReplicationGroup elasticache:CreateReplicationGroup elasticache:CreateServerlessCache elasticache:CreateServerlessCacheSnapshot elasticache:CreateSnapshot elasticache:CreateUser elasticache:CreateUserGroup elasticache:DecreaseNodeGroupsInGlobalReplicationGroup elasticache:DecreaseReplicaCount elasticache:DeleteCacheCluster elasticache:DeleteCacheParameterGroup elasticache:DeleteCacheSecurityGroup elasticache:DeleteCacheSubnetGroup elasticache:DeleteGlobalReplicationGroup elasticache:DeleteReplicationGroup elasticache:DeleteServerlessCache elasticache:DeleteServerlessCacheSnapshot elasticache:DeleteSnapshot elasticache:DeleteUser elasticache:DeleteUserGroup elasticache:DescribeCacheClusters elasticache:DescribeCacheEngineVersions elasticache:DescribeCacheParameterGroups elasticache:DescribeCacheParameters elasticache:DescribeCacheSecurityGroups elasticache:DescribeCacheSubnetGroups elasticache:DescribeEngineDefaultParameters elasticache:DescribeEvents elasticache:DescribeGlobalReplicationGroups elasticache:DescribeReplicationGroups elasticache:DescribeReservedCacheNodes elasticache:DescribeReservedCacheNodesOfferings elasticache:DescribeServerlessCacheSnapshots elasticache:DescribeServerlessCaches elasticache:DescribeServiceUpdates elasticache:DescribeSnapshots elasticache:DescribeUpdateActions elasticache:DescribeUserGroups elasticache:DescribeUsers elasticache:DisassociateGlobalReplicationGroup elasticache:ExportServerlessCacheSnapshot elasticache:FailoverGlobalReplicationGroup elasticache:IncreaseNodeGroupsInGlobalReplicationGroup elasticache:IncreaseReplicaCount elasticache:ListAllowedNodeTypeModifications elasticache:ModifyCacheCluster elasticache:ModifyCacheParameterGroup elasticache:ModifyCacheSubnetGroup elasticache:ModifyGlobalReplicationGroup elasticache:ModifyReplicationGroup elasticache:ModifyReplicationGroupShardConfiguration elasticache:ModifyServerlessCache elasticache:ModifyUser elasticache:ModifyUserGroup elasticache:PurchaseReservedCacheNodesOffering elasticache:RebalanceSlotsInGlobalReplicationGroup elasticache:RebootCacheCluster elasticache:ResetCacheParameterGroup elasticache:RevokeCacheSecurityGroupIngress elasticache:StartMigration elasticache:TestFailover elasticache:TestMigration |
| elasticbeanstalk | elasticbeanstalk:AbortEnvironmentUpdate elasticbeanstalk:ApplyEnvironmentManagedAction elasticbeanstalk:AssociateEnvironmentOperationsRole elasticbeanstalk:CheckDNSAvailability elasticbeanstalk:ComposeEnvironments elasticbeanstalk:CreateApplication elasticbeanstalk:CreateApplicationVersion elasticbeanstalk:CreateConfigurationTemplate elasticbeanstalk:CreateEnvironment elasticbeanstalk:CreatePlatformVersion elasticbeanstalk:CreateStorageLocation elasticbeanstalk:DeleteApplication elasticbeanstalk:DeleteApplicationVersion elasticbeanstalk:DeleteConfigurationTemplate elasticbeanstalk:DeleteEnvironmentConfiguration elasticbeanstalk:DeletePlatformVersion elasticbeanstalk:DescribeAccountAttributes elasticbeanstalk:DescribeApplicationVersions elasticbeanstalk:DescribeApplications elasticbeanstalk:DescribeConfigurationOptions elasticbeanstalk:DescribeConfigurationSettings elasticbeanstalk:DescribeEnvironmentHealth elasticbeanstalk:DescribeEnvironmentManagedActionHistory elasticbeanstalk:DescribeEnvironmentManagedActions elasticbeanstalk:DescribeEnvironmentResources elasticbeanstalk:DescribeEnvironments elasticbeanstalk:DescribeEvents elasticbeanstalk:DescribeInstancesHealth elasticbeanstalk:DescribePlatformVersion elasticbeanstalk:DisassociateEnvironmentOperationsRole elasticbeanstalk:ListAvailableSolutionStacks elasticbeanstalk:ListPlatformBranches elasticbeanstalk:ListPlatformVersions elasticbeanstalk:RebuildEnvironment elasticbeanstalk:RequestEnvironmentInfo elasticbeanstalk:RestartAppServer elasticbeanstalk:RetrieveEnvironmentInfo elasticbeanstalk:SwapEnvironmentCNAMEs elasticbeanstalk:TerminateEnvironment elasticbeanstalk:UpdateApplication elasticbeanstalk:UpdateApplicationResourceLifecycle elasticbeanstalk:UpdateApplicationVersion elasticbeanstalk:UpdateConfigurationTemplate elasticbeanstalk:UpdateEnvironment elasticbeanstalk:ValidateConfigurationSettings |
| elasticfilesystem | elasticfilesystem:CreateAccessPoint elasticfilesystem:CreateFileSystem elasticfilesystem:CreateMountTarget elasticfilesystem:CreateReplicationConfiguration elasticfilesystem:DeleteAccessPoint elasticfilesystem:DeleteFileSystem elasticfilesystem:DeleteFileSystemPolicy elasticfilesystem:DeleteMountTarget elasticfilesystem:DeleteReplicationConfiguration elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeAccountPreferences elasticfilesystem:DescribeBackupPolicy elasticfilesystem:DescribeFileSystemPolicy elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeLifecycleConfiguration elasticfilesystem:DescribeMountTargetSecurityGroups elasticfilesystem:DescribeMountTargets elasticfilesystem:DescribeReplicationConfigurations elasticfilesystem:ModifyMountTargetSecurityGroups elasticfilesystem:PutAccountPreferences elasticfilesystem:PutBackupPolicy elasticfilesystem:PutFileSystemPolicy elasticfilesystem:PutLifecycleConfiguration elasticfilesystem:UpdateFileSystem elasticfilesystem:UpdateFileSystemProtection |
| elasticloadbalancing | elasticloadbalancing:AddListenerCertificates elasticloadbalancing:AddTrustStoreRevocations elasticloadbalancing:ApplySecurityGroupsToLoadBalancer elasticloadbalancing:AttachLoadBalancerToSubnets elasticloadbalancing:ConfigureHealthCheck elasticloadbalancing:CreateAppCookieStickinessPolicy elasticloadbalancing:CreateLBCookieStickinessPolicy elasticloadbalancing:CreateListener elasticloadbalancing:CreateLoadBalancer elasticloadbalancing:CreateLoadBalancerListeners elasticloadbalancing:CreateLoadBalancerPolicy elasticloadbalancing:CreateRule elasticloadbalancing:CreateTargetGroup elasticloadbalancing:CreateTrustStore elasticloadbalancing:CreateWebACLAssociation elasticloadbalancing:DeleteListener elasticloadbalancing:DeleteLoadBalancer elasticloadbalancing:DeleteLoadBalancerListeners elasticloadbalancing:DeleteLoadBalancerPolicy elasticloadbalancing:DeleteRule elasticloadbalancing:DeleteSharedTrustStoreAssociation elasticloadbalancing:DeleteTargetGroup elasticloadbalancing:DeleteTrustStore elasticloadbalancing:DeleteWebACLAssociation elasticloadbalancing:DeregisterInstancesFromLoadBalancer elasticloadbalancing:DeregisterTargets elasticloadbalancing:DescribeAccountLimits elasticloadbalancing:DescribeCapacityReservation elasticloadbalancing:DescribeInstanceHealth elasticloadbalancing:DescribeListenerAttributes elasticloadbalancing:DescribeListenerCertificates elasticloadbalancing:DescribeListeners elasticloadbalancing:DescribeLoadBalancerAttributes elasticloadbalancing:DescribeLoadBalancerPolicies elasticloadbalancing:DescribeLoadBalancerPolicyTypes elasticloadbalancing:DescribeLoadBalancers elasticloadbalancing:DescribeRules elasticloadbalancing:DescribeSSLPolicies elasticloadbalancing:DescribeTargetGroupAttributes elasticloadbalancing:DescribeTargetGroups elasticloadbalancing:DescribeTargetHealth elasticloadbalancing:DescribeTrustStoreAssociations elasticloadbalancing:DescribeTrustStoreRevocations elasticloadbalancing:DescribeTrustStores elasticloadbalancing:DescribeWebACLAssociation elasticloadbalancing:DetachLoadBalancerFromSubnets elasticloadbalancing:DisableAvailabilityZonesForLoadBalancer elasticloadbalancing:EnableAvailabilityZonesForLoadBalancer elasticloadbalancing:GetLoadBalancerWebACL elasticloadbalancing:GetResourcePolicy elasticloadbalancing:GetTrustStoreCaCertificatesBundle elasticloadbalancing:GetTrustStoreRevocationContent elasticloadbalancing:ModifyCapacityReservation elasticloadbalancing:ModifyIpPools elasticloadbalancing:ModifyListener elasticloadbalancing:ModifyLoadBalancerAttributes elasticloadbalancing:ModifyRule elasticloadbalancing:ModifyTargetGroup elasticloadbalancing:ModifyTargetGroupAttributes elasticloadbalancing:ModifyTrustStore elasticloadbalancing:RegisterInstancesWithLoadBalancer elasticloadbalancing:RegisterTargets elasticloadbalancing:RemoveListenerCertificates elasticloadbalancing:RemoveTrustStoreRevocations elasticloadbalancing:SetIpAddressType elasticloadbalancing:SetLoadBalancerListenerSSLCertificate elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer elasticloadbalancing:SetLoadBalancerPoliciesOfListener elasticloadbalancing:SetRulePriorities elasticloadbalancing:SetSecurityGroups elasticloadbalancing:SetSubnets |
| elastictranscoder | elastictranscoder:CancelJob elastictranscoder:CreateJob elastictranscoder:CreatePipeline elastictranscoder:CreatePreset elastictranscoder:DeletePipeline elastictranscoder:DeletePreset elastictranscoder:ListJobsByPipeline elastictranscoder:ListJobsByStatus elastictranscoder:ListPipelines elastictranscoder:ListPresets elastictranscoder:ReadJob elastictranscoder:ReadPipeline elastictranscoder:ReadPreset elastictranscoder:TestRole elastictranscoder:UpdatePipeline elastictranscoder:UpdatePipelineNotifications elastictranscoder:UpdatePipelineStatus |
| emr-containers | emr-containers:CancelJobRun emr-containers:CreateJobTemplate emr-containers:CreateManagedEndpoint emr-containers:CreateSecurityConfiguration emr-containers:CreateVirtualCluster emr-containers:DeleteJobTemplate emr-containers:DeleteManagedEndpoint emr-containers:DeleteVirtualCluster emr-containers:DescribeJobRun emr-containers:DescribeJobTemplate emr-containers:DescribeManagedEndpoint emr-containers:DescribeSecurityConfiguration emr-containers:DescribeVirtualCluster emr-containers:GetManagedEndpointSessionCredentials emr-containers:ListJobRuns emr-containers:ListJobTemplates emr-containers:ListManagedEndpoints emr-containers:ListSecurityConfigurations emr-containers:ListVirtualClusters emr-containers:StartJobRun |
| emr-serverless | emr-serverless:CancelJobRun emr-serverless:CreateApplication emr-serverless:DeleteApplication emr-serverless:GetApplication emr-serverless:GetDashboardForJobRun emr-serverless:GetJobRun emr-serverless:ListApplications emr-serverless:ListJobRunAttempts emr-serverless:ListJobRuns emr-serverless:StartApplication emr-serverless:StartJobRun emr-serverless:StopApplication emr-serverless:UpdateApplication |
| es | es:AcceptInboundConnection es:AcceptInboundCrossClusterSearchConnection es:AssociatePackage es:AuthorizeVpcEndpointAccess es:CancelElasticsearchServiceSoftwareUpdate es:CancelServiceSoftwareUpdate es:CreateDomain es:CreateElasticsearchDomain es:CreateIndex es:CreateOutboundConnection es:CreateOutboundCrossClusterSearchConnection es:CreatePackage es:CreateVpcEndpoint es:DeleteDomain es:DeleteElasticsearchDomain es:DeleteElasticsearchServiceRole es:DeleteInboundConnection es:DeleteInboundCrossClusterSearchConnection es:DeleteIndex es:DeleteOutboundConnection es:DeleteOutboundCrossClusterSearchConnection es:DeletePackage es:DeleteVpcEndpoint es:DescribeDomain es:DescribeDomainAutoTunes es:DescribeDomainChangeProgress es:DescribeDomainConfig es:DescribeDomainHealth es:DescribeDomainNodes es:DescribeDomains es:DescribeDryRunProgress es:DescribeElasticsearchDomain es:DescribeElasticsearchDomainConfig es:DescribeElasticsearchDomains es:DescribeElasticsearchInstanceTypeLimits es:DescribeInboundConnections es:DescribeInboundCrossClusterSearchConnections es:DescribeInstanceTypeLimits es:DescribeOutboundConnections es:DescribeOutboundCrossClusterSearchConnections es:DescribePackages es:DescribeReservedElasticsearchInstanceOfferings es:DescribeReservedElasticsearchInstances es:DescribeReservedInstanceOfferings es:DescribeReservedInstances es:DescribeVpcEndpoints es:DissociatePackage es:DissociatePackages es:GetCompatibleElasticsearchVersions es:GetCompatibleVersions es:GetDataSource es:GetDomainMaintenanceStatus es:GetPackageVersionHistory es:GetUpgradeHistory es:GetUpgradeStatus es:ListDataSources es:ListDomainNames es:ListDomainsForPackage es:ListElasticsearchInstanceTypes es:ListElasticsearchVersions es:ListInstanceTypeDetails es:ListPackagesForDomain es:ListScheduledActions es:ListVersions es:ListVpcEndpointAccess es:ListVpcEndpoints es:ListVpcEndpointsForDomain es:PurchaseReservedElasticsearchInstanceOffering es:PurchaseReservedInstanceOffering es:RejectInboundConnection es:RejectInboundCrossClusterSearchConnection es:RevokeVpcEndpointAccess es:StartDomainMaintenance es:StartElasticsearchServiceSoftwareUpdate es:StartServiceSoftwareUpdate es:UpdateDataSource es:UpdateDomainConfig es:UpdateElasticsearchDomainConfig es:UpdateIndex es:UpdatePackage es:UpdatePackageScope es:UpdateScheduledAction es:UpdateVpcEndpoint es:UpgradeDomain es:UpgradeElasticsearchDomain |
| events | events:ActivateEventSource events:CancelReplay events:CreateApiDestination events:CreateArchive events:CreateConnection events:CreateEndpoint events:CreateEventBus events:CreatePartnerEventSource events:DeactivateEventSource events:DeauthorizeConnection events:DeleteApiDestination events:DeleteArchive events:DeleteConnection events:DeleteEndpoint events:DeleteEventBus events:DeletePartnerEventSource events:DeleteRule events:DescribeApiDestination events:DescribeArchive events:DescribeConnection events:DescribeEndpoint events:DescribeEventBus events:DescribeEventSource events:DescribePartnerEventSource events:DescribeReplay events:DescribeRule events:DisableRule events:EnableRule events:ListApiDestinations events:ListArchives events:ListConnections events:ListEndpoints events:ListEventBuses events:ListEventSources events:ListPartnerEventSourceAccounts events:ListPartnerEventSources events:ListReplays events:ListRuleNamesByTarget events:ListRules events:ListTargetsByRule events:PutPermission events:PutRule events:PutTargets events:RemovePermission events:RemoveTargets events:StartReplay events:TestEventPattern events:UpdateApiDestination events:UpdateArchive events:UpdateConnection events:UpdateEndpoint events:UpdateEventBus |
| evidently | evidently:CreateExperiment evidently:CreateFeature evidently:CreateLaunch evidently:CreateProject evidently:CreateSegment evidently:DeleteExperiment evidently:DeleteFeature evidently:DeleteLaunch evidently:DeleteProject evidently:DeleteSegment evidently:GetExperiment evidently:GetExperimentResults evidently:GetFeature evidently:GetLaunch evidently:GetProject evidently:GetSegment evidently:ListExperiments evidently:ListFeatures evidently:ListLaunches evidently:ListProjects evidently:ListSegmentReferences evidently:ListSegments evidently:StartExperiment evidently:StartLaunch evidently:StopExperiment evidently:StopLaunch evidently:TestSegmentPattern evidently:UpdateExperiment evidently:UpdateFeature evidently:UpdateLaunch evidently:UpdateProject evidently:UpdateProjectDataDelivery |
| finspace | finspace:CreateEnvironment finspace:CreateKxChangeset finspace:CreateKxCluster finspace:CreateKxDatabase finspace:CreateKxDataview finspace:CreateKxEnvironment finspace:CreateKxScalingGroup finspace:CreateKxUser finspace:CreateKxVolume finspace:CreateUser finspace:DeleteEnvironment finspace:DeleteKxCluster finspace:DeleteKxClusterNode finspace:DeleteKxDatabase finspace:DeleteKxDataview finspace:DeleteKxEnvironment finspace:DeleteKxScalingGroup finspace:DeleteKxUser finspace:DeleteKxVolume finspace:GetEnvironment finspace:GetKxChangeset finspace:GetKxCluster finspace:GetKxConnectionString finspace:GetKxDatabase finspace:GetKxDataview finspace:GetKxEnvironment finspace:GetKxScalingGroup finspace:GetKxUser finspace:GetKxVolume finspace:GetLoadSampleDataSetGroupIntoEnvironmentStatus finspace:GetUser finspace:ListEnvironments finspace:ListKxChangesets finspace:ListKxClusterNodes finspace:ListKxClusters finspace:ListKxDatabases finspace:ListKxDataviews finspace:ListKxEnvironments finspace:ListKxScalingGroups finspace:ListKxUsers finspace:ListKxVolumes finspace:ListUsers finspace:LoadSampleDataSetGroupIntoEnvironment finspace:ResetUserPassword finspace:UpdateEnvironment finspace:UpdateKxClusterCodeConfiguration finspace:UpdateKxClusterDatabases finspace:UpdateKxDatabase finspace:UpdateKxDataview finspace:UpdateKxEnvironment finspace:UpdateKxEnvironmentNetwork finspace:UpdateKxUser finspace:UpdateKxVolume finspace:UpdateUser |
| firehose | firehose:CreateDeliveryStream firehose:DeleteDeliveryStream firehose:DescribeDeliveryStream firehose:ListDeliveryStreams firehose:StartDeliveryStreamEncryption firehose:StopDeliveryStreamEncryption firehose:UpdateDestination |
| fis | fis:CreateExperimentTemplate fis:CreateTargetAccountConfiguration fis:DeleteExperimentTemplate fis:DeleteTargetAccountConfiguration fis:GetAction fis:GetExperiment fis:GetExperimentTargetAccountConfiguration fis:GetExperimentTemplate fis:GetSafetyLever fis:GetTargetAccountConfiguration fis:GetTargetResourceType fis:ListActions fis:ListExperimentResolvedTargets fis:ListExperimentTargetAccountConfigurations fis:ListExperimentTemplates fis:ListExperiments fis:ListTargetAccountConfigurations fis:ListTargetResourceTypes fis:StartExperiment fis:StopExperiment fis:UpdateExperimentTemplate fis:UpdateSafetyLeverState fis:UpdateTargetAccountConfiguration |
| fms | fms:AssociateAdminAccount fms:AssociateThirdPartyFirewall fms:BatchAssociateResource fms:BatchDisassociateResource fms:DeleteAppsList fms:DeleteNotificationChannel fms:DeletePolicy fms:DeleteProtocolsList fms:DeleteResourceSet fms:DisassociateAdminAccount fms:DisassociateThirdPartyFirewall fms:GetAdminAccount fms:GetAdminScope fms:GetAppsList fms:GetComplianceDetail fms:GetNotificationChannel fms:GetPolicy fms:GetProtectionStatus fms:GetProtocolsList fms:GetResourceSet fms:GetThirdPartyFirewallAssociationStatus fms:GetViolationDetails fms:ListAdminAccountsForOrganization fms:ListAdminsManagingAccount fms:ListAppsLists fms:ListComplianceStatus fms:ListDiscoveredResources fms:ListMemberAccounts fms:ListPolicies fms:ListProtocolsLists fms:ListResourceSetResources fms:ListResourceSets fms:ListThirdPartyFirewallFirewallPolicies fms:PutAdminAccount fms:PutAppsList fms:PutNotificationChannel fms:PutPolicy fms:PutProtocolsList fms:PutResourceSet |
| frauddetector | frauddetector:BatchCreateVariable frauddetector:BatchGetVariable frauddetector:CancelBatchImportJob frauddetector:CancelBatchPredictionJob frauddetector:CreateBatchImportJob frauddetector:CreateBatchPredictionJob frauddetector:CreateDetectorVersion frauddetector:CreateList frauddetector:CreateModel frauddetector:CreateModelVersion frauddetector:CreateRule frauddetector:CreateVariable frauddetector:DeleteBatchImportJob frauddetector:DeleteBatchPredictionJob frauddetector:DeleteDetector frauddetector:DeleteDetectorVersion frauddetector:DeleteEntityType frauddetector:DeleteEvent frauddetector:DeleteEventType frauddetector:DeleteEventsByEventType frauddetector:DeleteExternalModel frauddetector:DeleteLabel frauddetector:DeleteList frauddetector:DeleteModel frauddetector:DeleteModelVersion frauddetector:DeleteOutcome frauddetector:DeleteRule frauddetector:DeleteVariable frauddetector:DescribeDetector frauddetector:DescribeModelVersions frauddetector:GetBatchImportJobs frauddetector:GetBatchPredictionJobs frauddetector:GetDeleteEventsByEventTypeStatus frauddetector:GetDetectorVersion frauddetector:GetDetectors frauddetector:GetEntityTypes frauddetector:GetEvent frauddetector:GetEventPrediction frauddetector:GetEventPredictionMetadata frauddetector:GetEventTypes frauddetector:GetExternalModels frauddetector:GetKMSEncryptionKey frauddetector:GetLabels frauddetector:GetListElements frauddetector:GetListsMetadata frauddetector:GetModelVersion frauddetector:GetModels frauddetector:GetOutcomes frauddetector:GetRules frauddetector:GetVariables frauddetector:ListEventPredictions frauddetector:PutDetector frauddetector:PutEntityType frauddetector:PutEventType frauddetector:PutExternalModel frauddetector:PutKMSEncryptionKey frauddetector:PutLabel frauddetector:PutOutcome frauddetector:SendEvent frauddetector:UpdateDetectorVersion frauddetector:UpdateDetectorVersionMetadata frauddetector:UpdateDetectorVersionStatus frauddetector:UpdateEventLabel frauddetector:UpdateList frauddetector:UpdateModel frauddetector:UpdateModelVersion frauddetector:UpdateModelVersionStatus frauddetector:UpdateRuleMetadata frauddetector:UpdateRuleVersion frauddetector:UpdateVariable |
| fsx | fsx:AssociateFileSystemAliases fsx:CancelDataRepositoryTask fsx:CopyBackup fsx:CreateDataRepositoryTask fsx:CreateFileCache fsx:CreateFileSystem fsx:CreateFileSystemFromBackup fsx:CreateSnapshot fsx:CreateStorageVirtualMachine fsx:CreateVolume fsx:CreateVolumeFromBackup fsx:DeleteBackup fsx:DeleteFileCache fsx:DeleteFileSystem fsx:DeleteSnapshot fsx:DeleteStorageVirtualMachine fsx:DeleteVolume fsx:DescribeBackups fsx:DescribeDataRepositoryAssociations fsx:DescribeDataRepositoryTasks fsx:DescribeFileCaches fsx:DescribeFileSystemAliases fsx:DescribeFileSystems fsx:DescribeS3AccessPointAttachments fsx:DescribeSharedVpcConfiguration fsx:DescribeSnapshots fsx:DescribeStorageVirtualMachines fsx:DescribeVolumes fsx:DetachAndDeleteS3AccessPoint fsx:DisassociateFileSystemAliases fsx:ReleaseFileSystemNfsV3Locks fsx:RestoreVolumeFromSnapshot fsx:StartMisconfiguredStateRecovery fsx:UpdateDataRepositoryAssociation fsx:UpdateFileCache fsx:UpdateFileSystem fsx:UpdateSharedVpcConfiguration fsx:UpdateSnapshot fsx:UpdateStorageVirtualMachine fsx:UpdateVolume |
| gamelift | gamelift:AcceptMatch gamelift:ClaimGameServer gamelift:CreateAlias gamelift:CreateBuild gamelift:CreateContainerGroupDefinition gamelift:CreateFleet gamelift:CreateFleetLocations gamelift:CreateGameServerGroup gamelift:CreateGameSession gamelift:CreateGameSessionQueue gamelift:CreateLocation gamelift:CreateMatchmakingConfiguration gamelift:CreateMatchmakingRuleSet gamelift:CreatePlayerSession gamelift:CreatePlayerSessions gamelift:CreateScript gamelift:CreateVpcPeeringAuthorization gamelift:CreateVpcPeeringConnection gamelift:DeleteAlias gamelift:DeleteBuild gamelift:DeleteContainerGroupDefinition gamelift:DeleteFleet gamelift:DeleteFleetLocations gamelift:DeleteGameServerGroup gamelift:DeleteGameSessionQueue gamelift:DeleteLocation gamelift:DeleteMatchmakingConfiguration gamelift:DeleteMatchmakingRuleSet gamelift:DeleteScalingPolicy gamelift:DeleteScript gamelift:DeleteVpcPeeringAuthorization gamelift:DeleteVpcPeeringConnection gamelift:DeregisterCompute gamelift:DeregisterGameServer gamelift:DescribeAlias gamelift:DescribeBuild gamelift:DescribeCompute gamelift:DescribeContainerFleet gamelift:DescribeContainerGroupDefinition gamelift:DescribeEC2InstanceLimits gamelift:DescribeFleetAttributes gamelift:DescribeFleetCapacity gamelift:DescribeFleetEvents gamelift:DescribeFleetLocationAttributes gamelift:DescribeFleetLocationCapacity gamelift:DescribeFleetLocationUtilization gamelift:DescribeFleetPortSettings gamelift:DescribeFleetUtilization gamelift:DescribeGameServer gamelift:DescribeGameServerGroup gamelift:DescribeGameServerInstances gamelift:DescribeGameSessionDetails gamelift:DescribeGameSessionPlacement gamelift:DescribeGameSessionQueues gamelift:DescribeGameSessions gamelift:DescribeInstances gamelift:DescribeMatchmaking gamelift:DescribeMatchmakingConfigurations gamelift:DescribeMatchmakingRuleSets gamelift:DescribePlayerSessions gamelift:DescribeRuntimeConfiguration gamelift:DescribeScalingPolicies gamelift:DescribeScript gamelift:DescribeVpcPeeringAuthorizations gamelift:DescribeVpcPeeringConnections gamelift:GetComputeAccess gamelift:GetComputeAuthToken gamelift:GetGameSessionLogUrl gamelift:GetInstanceAccess gamelift:ListAliases gamelift:ListBuilds gamelift:ListCompute gamelift:ListContainerFleets gamelift:ListContainerGroupDefinitionVersions gamelift:ListContainerGroupDefinitions gamelift:ListFleetDeployments gamelift:ListFleets gamelift:ListGameServerGroups gamelift:ListGameServers gamelift:ListLocations gamelift:ListScripts gamelift:PutScalingPolicy gamelift:RegisterCompute gamelift:RegisterGameServer gamelift:RequestUploadCredentials gamelift:ResolveAlias gamelift:ResumeGameServerGroup gamelift:SearchGameSessions gamelift:StartFleetActions gamelift:StartGameSessionPlacement gamelift:StartMatchBackfill gamelift:StartMatchmaking gamelift:StopFleetActions gamelift:StopGameSessionPlacement gamelift:StopMatchmaking gamelift:SuspendGameServerGroup gamelift:TerminateGameSession gamelift:UpdateAlias gamelift:UpdateBuild gamelift:UpdateContainerGroupDefinition gamelift:UpdateFleetAttributes gamelift:UpdateFleetCapacity gamelift:UpdateFleetPortSettings gamelift:UpdateGameServer gamelift:UpdateGameServerGroup gamelift:UpdateGameSession gamelift:UpdateGameSessionQueue gamelift:UpdateMatchmakingConfiguration gamelift:UpdateRuntimeConfiguration gamelift:UpdateScript gamelift:ValidateMatchmakingRuleSet |
| geo | geo:AssociateTrackerConsumer geo:BatchDeleteDevicePositionHistory geo:BatchDeleteGeofence geo:BatchEvaluateGeofences geo:BatchGetDevicePosition geo:BatchPutGeofence geo:BatchUpdateDevicePosition geo:CalculateRoute geo:CalculateRouteMatrix geo:CreateGeofenceCollection geo:CreateMap geo:CreatePlaceIndex geo:CreateRouteCalculator geo:CreateTracker geo:DeleteGeofenceCollection geo:DeleteKey geo:DeleteMap geo:DeletePlaceIndex geo:DeleteRouteCalculator geo:DeleteTracker geo:DescribeGeofenceCollection geo:DescribeKey geo:DescribeMap geo:DescribePlaceIndex geo:DescribeRouteCalculator geo:DescribeTracker geo:DisassociateTrackerConsumer geo:ForecastGeofenceEvents geo:GetDevicePosition geo:GetDevicePositionHistory geo:GetGeofence geo:GetMapGlyphs geo:GetMapSprites geo:GetMapStyleDescriptor geo:GetMapTile geo:GetPlace geo:ListDevicePositions geo:ListGeofenceCollections geo:ListGeofences geo:ListKeys geo:ListMaps geo:ListPlaceIndexes geo:ListRouteCalculators geo:ListTrackerConsumers geo:ListTrackers geo:PutGeofence geo:SearchPlaceIndexForPosition geo:SearchPlaceIndexForSuggestions geo:SearchPlaceIndexForText geo:UpdateGeofenceCollection geo:UpdateKey geo:UpdateMap geo:UpdatePlaceIndex geo:UpdateRouteCalculator geo:UpdateTracker geo:VerifyDevicePosition |
| glacier | glacier:AbortMultipartUpload glacier:AbortVaultLock glacier:CompleteMultipartUpload glacier:CompleteVaultLock glacier:CreateVault glacier:DeleteArchive glacier:DeleteVault glacier:DeleteVaultAccessPolicy glacier:DeleteVaultNotifications glacier:DescribeJob glacier:DescribeVault glacier:GetDataRetrievalPolicy glacier:GetJobOutput glacier:GetVaultAccessPolicy glacier:GetVaultLock glacier:GetVaultNotifications glacier:InitiateJob glacier:InitiateMultipartUpload glacier:InitiateVaultLock glacier:ListJobs glacier:ListMultipartUploads glacier:ListParts glacier:ListProvisionedCapacity glacier:ListVaults glacier:PurchaseProvisionedCapacity glacier:SetDataRetrievalPolicy glacier:SetVaultAccessPolicy glacier:SetVaultNotifications glacier:UploadArchive glacier:UploadMultipartPart |
| grafana | grafana:AssociateLicense grafana:CreateWorkspace grafana:CreateWorkspaceApiKey grafana:CreateWorkspaceServiceAccount grafana:CreateWorkspaceServiceAccountToken grafana:DeleteWorkspace grafana:DeleteWorkspaceApiKey grafana:DeleteWorkspaceServiceAccount grafana:DeleteWorkspaceServiceAccountToken grafana:DescribeWorkspace grafana:DescribeWorkspaceAuthentication grafana:DescribeWorkspaceConfiguration grafana:DisassociateLicense grafana:ListPermissions grafana:ListVersions grafana:ListWorkspaceServiceAccountTokens grafana:ListWorkspaceServiceAccounts grafana:ListWorkspaces grafana:UpdatePermissions grafana:UpdateWorkspace grafana:UpdateWorkspaceAuthentication grafana:UpdateWorkspaceConfiguration |
| greengrass | greengrass:AssociateRoleToGroup greengrass:AssociateServiceRoleToAccount greengrass:BatchAssociateClientDeviceWithCoreDevice greengrass:BatchDisassociateClientDeviceFromCoreDevice greengrass:CancelDeployment greengrass:CreateComponentVersion greengrass:CreateConnectorDefinition greengrass:CreateConnectorDefinitionVersion greengrass:CreateCoreDefinition greengrass:CreateCoreDefinitionVersion greengrass:CreateDeployment greengrass:CreateDeviceDefinition greengrass:CreateDeviceDefinitionVersion greengrass:CreateFunctionDefinition greengrass:CreateFunctionDefinitionVersion greengrass:CreateGroup greengrass:CreateGroupCertificateAuthority greengrass:CreateGroupVersion greengrass:CreateLoggerDefinition greengrass:CreateLoggerDefinitionVersion greengrass:CreateResourceDefinition greengrass:CreateResourceDefinitionVersion greengrass:CreateSoftwareUpdateJob greengrass:CreateSubscriptionDefinition greengrass:CreateSubscriptionDefinitionVersion greengrass:DeleteComponent greengrass:DeleteConnectorDefinition greengrass:DeleteCoreDefinition greengrass:DeleteCoreDevice greengrass:DeleteDeployment greengrass:DeleteDeviceDefinition greengrass:DeleteFunctionDefinition greengrass:DeleteGroup greengrass:DeleteLoggerDefinition greengrass:DeleteResourceDefinition greengrass:DeleteSubscriptionDefinition greengrass:DescribeComponent greengrass:DisassociateRoleFromGroup greengrass:DisassociateServiceRoleFromAccount greengrass:GetAssociatedRole greengrass:GetBulkDeploymentStatus greengrass:GetComponent greengrass:GetComponentVersionArtifact greengrass:GetConnectivityInfo greengrass:GetConnectorDefinition greengrass:GetConnectorDefinitionVersion greengrass:GetCoreDefinition greengrass:GetCoreDefinitionVersion greengrass:GetCoreDevice greengrass:GetDeployment greengrass:GetDeploymentStatus greengrass:GetDeviceDefinition greengrass:GetDeviceDefinitionVersion greengrass:GetFunctionDefinition greengrass:GetFunctionDefinitionVersion greengrass:GetGroup greengrass:GetGroupCertificateAuthority greengrass:GetGroupCertificateConfiguration greengrass:GetGroupVersion greengrass:GetLoggerDefinition greengrass:GetLoggerDefinitionVersion greengrass:GetResourceDefinition greengrass:GetResourceDefinitionVersion greengrass:GetServiceRoleForAccount greengrass:GetSubscriptionDefinition greengrass:GetSubscriptionDefinitionVersion greengrass:GetThingRuntimeConfiguration greengrass:ListBulkDeploymentDetailedReports greengrass:ListBulkDeployments greengrass:ListClientDevicesAssociatedWithCoreDevice greengrass:ListComponentVersions greengrass:ListComponents greengrass:ListConnectorDefinitionVersions greengrass:ListConnectorDefinitions greengrass:ListCoreDefinitionVersions greengrass:ListCoreDefinitions greengrass:ListCoreDevices greengrass:ListDeployments greengrass:ListDeviceDefinitionVersions greengrass:ListDeviceDefinitions greengrass:ListEffectiveDeployments greengrass:ListFunctionDefinitionVersions greengrass:ListFunctionDefinitions greengrass:ListGroupCertificateAuthorities greengrass:ListGroupVersions greengrass:ListGroups greengrass:ListInstalledComponents greengrass:ListLoggerDefinitionVersions greengrass:ListLoggerDefinitions greengrass:ListResourceDefinitionVersions greengrass:ListResourceDefinitions greengrass:ListSubscriptionDefinitionVersions greengrass:ListSubscriptionDefinitions greengrass:ResetDeployments greengrass:StartBulkDeployment greengrass:StopBulkDeployment greengrass:UpdateConnectivityInfo greengrass:UpdateConnectorDefinition greengrass:UpdateCoreDefinition greengrass:UpdateDeviceDefinition greengrass:UpdateFunctionDefinition greengrass:UpdateGroup greengrass:UpdateGroupCertificateConfiguration greengrass:UpdateLoggerDefinition greengrass:UpdateResourceDefinition greengrass:UpdateSubscriptionDefinition greengrass:UpdateThingRuntimeConfiguration |
| groundstation | groundstation:CancelContact groundstation:CreateConfig groundstation:CreateDataflowEndpointGroup groundstation:CreateDataflowEndpointGroupV2 groundstation:CreateEphemeris groundstation:CreateMissionProfile groundstation:DeleteConfig groundstation:DeleteDataflowEndpointGroup groundstation:DeleteEphemeris groundstation:DeleteMissionProfile groundstation:DescribeContact groundstation:DescribeEphemeris groundstation:GetConfig groundstation:GetDataflowEndpointGroup groundstation:GetMinuteUsage groundstation:GetMissionProfile groundstation:GetSatellite groundstation:ListConfigs groundstation:ListContacts groundstation:ListDataflowEndpointGroups groundstation:ListEphemerides groundstation:ListGroundStations groundstation:ListMissionProfiles groundstation:ListSatellites groundstation:RegisterAgent groundstation:ReserveContact groundstation:UpdateAgentStatus groundstation:UpdateConfig groundstation:UpdateEphemeris groundstation:UpdateMissionProfile |
| guardduty | guardduty:AcceptAdministratorInvitation guardduty:AcceptInvitation guardduty:ArchiveFindings guardduty:CreateDetector guardduty:CreateFilter guardduty:CreateIPSet guardduty:CreateMalwareProtectionPlan guardduty:CreateMembers guardduty:CreatePublishingDestination guardduty:CreateSampleFindings guardduty:CreateThreatEntitySet guardduty:CreateThreatIntelSet guardduty:CreateTrustedEntitySet guardduty:DeclineInvitations guardduty:DeleteDetector guardduty:DeleteFilter guardduty:DeleteIPSet guardduty:DeleteInvitations guardduty:DeleteMalwareProtectionPlan guardduty:DeleteMembers guardduty:DeletePublishingDestination guardduty:DeleteThreatEntitySet guardduty:DeleteThreatIntelSet guardduty:DeleteTrustedEntitySet guardduty:DescribeMalwareScans guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:DisableOrganizationAdminAccount guardduty:DisassociateFromAdministratorAccount guardduty:DisassociateFromMasterAccount guardduty:DisassociateMembers guardduty:EnableOrganizationAdminAccount guardduty:GetAdministratorAccount guardduty:GetCoverageStatistics guardduty:GetDetector guardduty:GetFilter guardduty:GetFindings guardduty:GetFindingsStatistics guardduty:GetIPSet guardduty:GetInvitationsCount guardduty:GetMalwareProtectionPlan guardduty:GetMalwareScan guardduty:GetMalwareScanSettings guardduty:GetMasterAccount guardduty:GetMemberDetectors guardduty:GetMembers guardduty:GetOrganizationStatistics guardduty:GetRemainingFreeTrialDays guardduty:GetThreatEntitySet guardduty:GetThreatIntelSet guardduty:GetTrustedEntitySet guardduty:GetUsageStatistics guardduty:InviteMembers guardduty:ListCoverage guardduty:ListDetectors guardduty:ListFilters guardduty:ListFindings guardduty:ListIPSets guardduty:ListInvitations guardduty:ListMalwareProtectionPlans guardduty:ListMalwareScans guardduty:ListMembers guardduty:ListOrganizationAdminAccounts guardduty:ListPublishingDestinations guardduty:ListThreatEntitySets guardduty:ListThreatIntelSets guardduty:ListTrustedEntitySets guardduty:StartMalwareScan guardduty:StartMonitoringMembers guardduty:StopMonitoringMembers guardduty:UnarchiveFindings guardduty:UpdateDetector guardduty:UpdateFilter guardduty:UpdateFindingsFeedback guardduty:UpdateIPSet guardduty:UpdateMalwareProtectionPlan guardduty:UpdateMalwareScanSettings guardduty:UpdateMemberDetectors guardduty:UpdateOrganizationConfiguration guardduty:UpdatePublishingDestination guardduty:UpdateThreatEntitySet guardduty:UpdateThreatIntelSet guardduty:UpdateTrustedEntitySet |
| healthlake | healthlake:CancelFHIRExportJobWithDelete healthlake:CreateFHIRDatastore healthlake:CreateResource healthlake:DeleteFHIRDatastore healthlake:DeleteResource healthlake:DescribeFHIRDatastore healthlake:DescribeFHIRExportJob healthlake:DescribeFHIRExportJobWithGet healthlake:DescribeFHIRImportJob healthlake:GetCapabilities healthlake:ListFHIRDatastores healthlake:ListFHIRExportJobs healthlake:ListFHIRImportJobs healthlake:ReadResource healthlake:SearchEverything healthlake:SearchWithGet healthlake:SearchWithPost healthlake:StartFHIRExportJob healthlake:StartFHIRExportJobWithPost healthlake:StartFHIRImportJob healthlake:UpdateResource |
| honeycode | honeycode:BatchCreateTableRows honeycode:BatchDeleteTableRows honeycode:BatchUpdateTableRows honeycode:BatchUpsertTableRows honeycode:DescribeTableDataImportJob honeycode:GetScreenData honeycode:InvokeScreenAutomation honeycode:ListTableColumns honeycode:ListTableRows honeycode:ListTables honeycode:QueryTableRows honeycode:StartTableDataImportJob |
| iam | iam:AddClientIDToOpenIDConnectProvider iam:AddRoleToInstanceProfile iam:AddUserToGroup iam:AttachGroupPolicy iam:AttachRolePolicy iam:AttachUserPolicy iam:ChangePassword iam:CreateAccessKey iam:CreateAccountAlias iam:CreateGroup iam:CreateInstanceProfile iam:CreateLoginProfile iam:CreateOpenIDConnectProvider iam:CreatePolicy iam:CreatePolicyVersion iam:CreateRole iam:CreateSAMLProvider iam:CreateServiceLinkedRole iam:CreateServiceSpecificCredential iam:CreateUser iam:CreateVirtualMFADevice iam:DeactivateMFADevice iam:DeleteAccessKey iam:DeleteAccountAlias iam:DeleteAccountPasswordPolicy iam:DeleteCloudFrontPublicKey iam:DeleteGroup iam:DeleteGroupPolicy iam:DeleteInstanceProfile iam:DeleteLoginProfile iam:DeleteOpenIDConnectProvider iam:DeletePolicy iam:DeletePolicyVersion iam:DeleteRole iam:DeleteRolePermissionsBoundary iam:DeleteRolePolicy iam:DeleteSAMLProvider iam:DeleteSSHPublicKey iam:DeleteServerCertificate iam:DeleteServiceLinkedRole iam:DeleteServiceSpecificCredential iam:DeleteSigningCertificate iam:DeleteUser iam:DeleteUserPermissionsBoundary iam:DeleteUserPolicy iam:DeleteVirtualMFADevice iam:DetachGroupPolicy iam:DetachRolePolicy iam:DetachUserPolicy iam:DisableOrganizationsRootCredentialsManagement iam:DisableOrganizationsRootSessions iam:DisableOutboundWebIdentityFederation iam:EnableMFADevice iam:EnableOrganizationsRootCredentialsManagement iam:EnableOrganizationsRootSessions iam:EnableOutboundWebIdentityFederation iam:GenerateCredentialReport iam:GenerateOrganizationsAccessReport iam:GenerateServiceLastAccessedDetails iam:GetAccessKeyLastUsed iam:GetAccountAuthorizationDetails iam:GetAccountEmailAddress iam:GetAccountName iam:GetAccountPasswordPolicy iam:GetAccountSummary iam:GetCloudFrontPublicKey iam:GetContextKeysForCustomPolicy iam:GetContextKeysForPrincipalPolicy iam:GetCredentialReport iam:GetGroup iam:GetGroupPolicy iam:GetInstanceProfile iam:GetLoginProfile iam:GetMFADevice iam:GetOpenIDConnectProvider iam:GetOrganizationsAccessReport iam:GetOutboundWebIdentityFederationInfo iam:GetPolicy iam:GetPolicyVersion iam:GetRole iam:GetRolePolicy iam:GetSAMLProvider iam:GetSSHPublicKey iam:GetServerCertificate iam:GetServiceLastAccessedDetails iam:GetServiceLastAccessedDetailsWithEntities iam:GetServiceLinkedRoleDeletionStatus iam:GetUser iam:GetUserPolicy iam:ListAccessKeys iam:ListAccountAliases iam:ListAttachedGroupPolicies iam:ListAttachedRolePolicies iam:ListAttachedUserPolicies iam:ListCloudFrontPublicKeys iam:ListDelegationRequests iam:ListEntitiesForPolicy iam:ListGroupPolicies iam:ListGroups iam:ListGroupsForUser iam:ListInstanceProfiles iam:ListInstanceProfilesForRole iam:ListMFADevices iam:ListOpenIDConnectProviders iam:ListOrganizationsFeatures iam:ListPolicies iam:ListPoliciesGrantingServiceAccess iam:ListPolicyVersions iam:ListRolePolicies iam:ListRoles iam:ListSAMLProviders iam:ListSSHPublicKeys iam:ListSTSRegionalEndpointsStatus iam:ListServerCertificates iam:ListServiceSpecificCredentials iam:ListSigningCertificates iam:ListUserPolicies iam:ListUsers iam:ListVirtualMFADevices iam:PutGroupPolicy iam:PutRolePermissionsBoundary iam:PutRolePolicy iam:PutUserPermissionsBoundary iam:PutUserPolicy iam:RemoveClientIDFromOpenIDConnectProvider iam:RemoveRoleFromInstanceProfile iam:RemoveUserFromGroup iam:ResetServiceSpecificCredential iam:ResyncMFADevice iam:SetDefaultPolicyVersion iam:SetSTSRegionalEndpointStatus iam:SetSecurityTokenServicePreferences iam:SimulateCustomPolicy iam:SimulatePrincipalPolicy iam:UpdateAccessKey iam:UpdateAccountEmailAddress iam:UpdateAccountName iam:UpdateAccountPasswordPolicy iam:UpdateAssumeRolePolicy iam:UpdateCloudFrontPublicKey iam:UpdateGroup iam:UpdateLoginProfile iam:UpdateOpenIDConnectProviderThumbprint iam:UpdateRole iam:UpdateRoleDescription iam:UpdateSAMLProvider iam:UpdateSSHPublicKey iam:UpdateServerCertificate iam:UpdateServiceSpecificCredential iam:UpdateSigningCertificate iam:UpdateUser iam:UploadCloudFrontPublicKey iam:UploadSSHPublicKey iam:UploadServerCertificate iam:UploadSigningCertificate |
| identitystore | identitystore:CreateGroup identitystore:CreateGroupMembership identitystore:CreateUser identitystore:DeleteGroup identitystore:DeleteGroupMembership identitystore:DeleteUser identitystore:DescribeGroup identitystore:DescribeGroupMembership identitystore:DescribeUser identitystore:GetGroupId identitystore:GetGroupMembershipId identitystore:GetUserId identitystore:IsMemberInGroups identitystore:ListGroupMemberships identitystore:ListGroupMembershipsForMember identitystore:ListGroups identitystore:ListUsers identitystore:UpdateGroup identitystore:UpdateUser |
| imagebuilder | imagebuilder:CancelImageCreation imagebuilder:CancelLifecycleExecution imagebuilder:CreateComponent imagebuilder:CreateContainerRecipe imagebuilder:CreateDistributionConfiguration imagebuilder:CreateImage imagebuilder:CreateImagePipeline imagebuilder:CreateImageRecipe imagebuilder:CreateInfrastructureConfiguration imagebuilder:CreateLifecyclePolicy imagebuilder:CreateWorkflow imagebuilder:DeleteComponent imagebuilder:DeleteContainerRecipe imagebuilder:DeleteDistributionConfiguration imagebuilder:DeleteImage imagebuilder:DeleteImagePipeline imagebuilder:DeleteImageRecipe imagebuilder:DeleteInfrastructureConfiguration imagebuilder:DeleteLifecyclePolicy imagebuilder:DeleteWorkflow imagebuilder:DistributeImage imagebuilder:GetComponentPolicy imagebuilder:GetContainerRecipePolicy imagebuilder:GetImagePolicy imagebuilder:GetImageRecipePolicy imagebuilder:GetLifecycleExecution imagebuilder:GetLifecyclePolicy imagebuilder:GetMarketplaceResource imagebuilder:GetWorkflowExecution imagebuilder:GetWorkflowStepExecution imagebuilder:ImportComponent imagebuilder:ImportDiskImage imagebuilder:ImportVmImage imagebuilder:ListComponentBuildVersions imagebuilder:ListComponents imagebuilder:ListContainerRecipes imagebuilder:ListDistributionConfigurations imagebuilder:ListImageBuildVersions imagebuilder:ListImagePackages imagebuilder:ListImagePipelineImages imagebuilder:ListImagePipelines imagebuilder:ListImageRecipes imagebuilder:ListImageScanFindingAggregations imagebuilder:ListImageScanFindings imagebuilder:ListImages imagebuilder:ListInfrastructureConfigurations imagebuilder:ListLifecycleExecutionResources imagebuilder:ListLifecycleExecutions imagebuilder:ListLifecyclePolicies imagebuilder:ListWaitingWorkflowSteps imagebuilder:ListWorkflowExecutions imagebuilder:ListWorkflowStepExecutions imagebuilder:ListWorkflows imagebuilder:PutComponentPolicy imagebuilder:PutContainerRecipePolicy imagebuilder:PutImagePolicy imagebuilder:PutImageRecipePolicy imagebuilder:RetryImage imagebuilder:SendWorkflowStepAction imagebuilder:StartImagePipelineExecution imagebuilder:StartResourceStateUpdate imagebuilder:UpdateDistributionConfiguration imagebuilder:UpdateImagePipeline imagebuilder:UpdateInfrastructureConfiguration |
| inspector | inspector:AddAttributesToFindings inspector:CreateAssessmentTarget inspector:CreateAssessmentTemplate inspector:CreateExclusionsPreview inspector:CreateResourceGroup inspector:DeleteAssessmentRun inspector:DeleteAssessmentTarget inspector:DeleteAssessmentTemplate inspector:DescribeAssessmentRuns inspector:DescribeAssessmentTargets inspector:DescribeAssessmentTemplates inspector:DescribeCrossAccountAccessRole inspector:DescribeExclusions inspector:DescribeFindings inspector:DescribeResourceGroups inspector:DescribeRulesPackages inspector:GetAssessmentReport inspector:GetExclusionsPreview inspector:GetTelemetryMetadata inspector:ListAssessmentRunAgents inspector:ListAssessmentRuns inspector:ListAssessmentTargets inspector:ListAssessmentTemplates inspector:ListEventSubscriptions inspector:ListExclusions inspector:ListFindings inspector:ListRulesPackages inspector:PreviewAgents inspector:RegisterCrossAccountAccessRole inspector:RemoveAttributesFromFindings inspector:StartAssessmentRun inspector:StopAssessmentRun inspector:SubscribeToEvent inspector:UnsubscribeFromEvent inspector:UpdateAssessmentTarget |
| inspector2 | inspector2:AssociateMember inspector2:BatchGetAccountStatus inspector2:BatchGetCodeSnippet inspector2:BatchGetFindingDetails inspector2:BatchGetFreeTrialInfo inspector2:BatchGetMemberEc2DeepInspectionStatus inspector2:BatchUpdateMemberEc2DeepInspectionStatus inspector2:CancelFindingsReport inspector2:CancelSbomExport inspector2:CreateCisScanConfiguration inspector2:CreateCodeSecurityIntegration inspector2:CreateFilter inspector2:CreateFindingsReport inspector2:CreateSbomExport inspector2:DeleteCisScanConfiguration inspector2:DeleteCodeSecurityIntegration inspector2:DeleteFilter inspector2:DescribeOrganizationConfiguration inspector2:Disable inspector2:DisableDelegatedAdminAccount inspector2:DisassociateMember inspector2:Enable inspector2:EnableDelegatedAdminAccount inspector2:GetCisScanReport inspector2:GetCisScanResultDetails inspector2:GetClustersForImage inspector2:GetCodeSecurityIntegration inspector2:GetCodeSecurityScan inspector2:GetConfiguration inspector2:GetDelegatedAdminAccount inspector2:GetEc2DeepInspectionConfiguration inspector2:GetEncryptionKey inspector2:GetFindingsReportStatus inspector2:GetMember inspector2:GetSbomExport inspector2:ListAccountPermissions inspector2:ListCisScanConfigurations inspector2:ListCisScanResultsAggregatedByChecks inspector2:ListCisScanResultsAggregatedByTargetResource inspector2:ListCisScans inspector2:ListCodeSecurityIntegrations inspector2:ListCodeSecurityScanConfigurations inspector2:ListCoverage inspector2:ListCoverageStatistics inspector2:ListDelegatedAdminAccounts inspector2:ListFilters inspector2:ListFindingAggregations inspector2:ListFindings inspector2:ListMembers inspector2:ListUsageTotals inspector2:ResetEncryptionKey inspector2:SearchVulnerabilities inspector2:SendCisSessionHealth inspector2:SendCisSessionTelemetry inspector2:StartCisSession inspector2:StartCodeSecurityScan inspector2:StopCisSession inspector2:UpdateCisScanConfiguration inspector2:UpdateCodeSecurityIntegration inspector2:UpdateConfiguration inspector2:UpdateEc2DeepInspectionConfiguration inspector2:UpdateEncryptionKey inspector2:UpdateFilter inspector2:UpdateOrgEc2DeepInspectionConfiguration inspector2:UpdateOrganizationConfiguration |
| iot | iot:AcceptCertificateTransfer iot:AddThingToBillingGroup iot:AddThingToThingGroup iot:AssociateSbomWithPackageVersion iot:AssociateTargetsWithJob iot:AttachPolicy iot:AttachPrincipalPolicy iot:AttachSecurityProfile iot:AttachThingPrincipal iot:CancelAuditMitigationActionsTask iot:CancelAuditTask iot:CancelCertificateTransfer iot:CancelDetectMitigationActionsTask iot:CancelJob iot:CancelJobExecution iot:ClearDefaultAuthorizer iot:ConfirmTopicRuleDestination iot:CreateAuditSuppression iot:CreateAuthorizer iot:CreateBillingGroup iot:CreateCertificateFromCsr iot:CreateCertificateProvider iot:CreateCommand iot:CreateCustomMetric iot:CreateDimension iot:CreateDomainConfiguration iot:CreateDynamicThingGroup iot:CreateFleetMetric iot:CreateJob iot:CreateJobTemplate iot:CreateKeysAndCertificate iot:CreateMitigationAction iot:CreateOTAUpdate iot:CreatePackage iot:CreatePackageVersion iot:CreatePolicy iot:CreatePolicyVersion iot:CreateProvisioningClaim iot:CreateProvisioningTemplate iot:CreateProvisioningTemplateVersion iot:CreateRoleAlias iot:CreateScheduledAudit iot:CreateSecurityProfile iot:CreateStream iot:CreateThing iot:CreateThingGroup iot:CreateThingType iot:CreateTopicRule iot:CreateTopicRuleDestination iot:DeleteAccountAuditConfiguration iot:DeleteAuditSuppression iot:DeleteAuthorizer iot:DeleteBillingGroup iot:DeleteCACertificate iot:DeleteCertificate iot:DeleteCertificateProvider iot:DeleteCommand iot:DeleteCustomMetric iot:DeleteDimension iot:DeleteDomainConfiguration iot:DeleteDynamicThingGroup iot:DeleteFleetMetric iot:DeleteJob iot:DeleteJobExecution iot:DeleteJobTemplate iot:DeleteMitigationAction iot:DeleteOTAUpdate iot:DeletePackage iot:DeletePackageVersion iot:DeletePolicy iot:DeletePolicyVersion iot:DeleteProvisioningTemplate iot:DeleteProvisioningTemplateVersion iot:DeleteRegistrationCode iot:DeleteRoleAlias iot:DeleteScheduledAudit iot:DeleteSecurityProfile iot:DeleteStream iot:DeleteThing iot:DeleteThingGroup iot:DeleteThingType iot:DeleteTopicRule iot:DeleteTopicRuleDestination iot:DeleteV2LoggingLevel iot:DeprecateThingType iot:DescribeAccountAuditConfiguration iot:DescribeAuditFinding iot:DescribeAuditMitigationActionsTask iot:DescribeAuditSuppression iot:DescribeAuditTask iot:DescribeAuthorizer iot:DescribeBillingGroup iot:DescribeCACertificate iot:DescribeCertificate iot:DescribeCertificateProvider iot:DescribeCustomMetric iot:DescribeDefaultAuthorizer iot:DescribeDetectMitigationActionsTask iot:DescribeDimension iot:DescribeDomainConfiguration iot:DescribeEncryptionConfiguration iot:DescribeEndpoint iot:DescribeEventConfigurations iot:DescribeFleetMetric iot:DescribeIndex iot:DescribeJob iot:DescribeJobExecution iot:DescribeJobTemplate iot:DescribeManagedJobTemplate iot:DescribeMitigationAction iot:DescribeProvisioningTemplate iot:DescribeProvisioningTemplateVersion iot:DescribeRoleAlias iot:DescribeScheduledAudit iot:DescribeSecurityProfile iot:DescribeStream iot:DescribeThing iot:DescribeThingGroup iot:DescribeThingRegistrationTask iot:DescribeThingType iot:DetachPolicy iot:DetachPrincipalPolicy iot:DetachSecurityProfile iot:DetachThingPrincipal iot:DisableTopicRule iot:DisassociateSbomFromPackageVersion iot:EnableTopicRule iot:GetBehaviorModelTrainingSummaries iot:GetBucketsAggregation iot:GetCardinality iot:GetCommand iot:GetEffectivePolicies iot:GetJobDocument iot:GetLoggingOptions iot:GetOTAUpdate iot:GetPackage iot:GetPackageConfiguration iot:GetPackageVersion iot:GetPercentiles iot:GetPolicy iot:GetPolicyVersion iot:GetRegistrationCode iot:GetStatistics iot:GetThingConnectivityData iot:GetTopicRule iot:GetTopicRuleDestination iot:GetV2LoggingOptions iot:ListActiveViolations iot:ListAttachedPolicies iot:ListAuditFindings iot:ListAuditMitigationActionsExecutions iot:ListAuditMitigationActionsTasks iot:ListAuditSuppressions iot:ListAuditTasks iot:ListAuthorizers iot:ListBillingGroups iot:ListCACertificates iot:ListCertificateProviders iot:ListCertificates iot:ListCertificatesByCA iot:ListCommands iot:ListCustomMetrics iot:ListDetectMitigationActionsExecutions iot:ListDetectMitigationActionsTasks iot:ListDimensions iot:ListDomainConfigurations iot:ListFleetMetrics iot:ListIndices iot:ListJobExecutionsForJob iot:ListJobExecutionsForThing iot:ListJobTemplates iot:ListJobs iot:ListManagedJobTemplates iot:ListMetricValues iot:ListMitigationActions iot:ListOTAUpdates iot:ListOutgoingCertificates iot:ListPackageVersions iot:ListPackages iot:ListPolicies iot:ListPolicyPrincipals iot:ListPolicyVersions iot:ListPrincipalPolicies iot:ListPrincipalThings iot:ListPrincipalThingsV2 iot:ListProvisioningTemplateVersions iot:ListProvisioningTemplates iot:ListRelatedResourcesForAuditFinding iot:ListRoleAliases iot:ListSbomValidationResults iot:ListScheduledAudits iot:ListSecurityProfiles iot:ListSecurityProfilesForTarget iot:ListStreams iot:ListTargetsForPolicy iot:ListTargetsForSecurityProfile iot:ListThingGroups iot:ListThingGroupsForThing iot:ListThingPrincipals iot:ListThingPrincipalsV2 iot:ListThingRegistrationTaskReports iot:ListThingRegistrationTasks iot:ListThingTypes iot:ListThings iot:ListThingsInBillingGroup iot:ListThingsInThingGroup iot:ListTopicRuleDestinations iot:ListTopicRules iot:ListV2LoggingLevels iot:ListViolationEvents iot:PutVerificationStateOnViolation iot:RegisterCACertificate iot:RegisterCertificate iot:RegisterCertificateWithoutCA iot:RegisterThing iot:RejectCertificateTransfer iot:RemoveThingFromBillingGroup iot:RemoveThingFromThingGroup iot:ReplaceTopicRule iot:SearchIndex iot:SetDefaultAuthorizer iot:SetDefaultPolicyVersion iot:SetLoggingOptions iot:SetV2LoggingLevel iot:SetV2LoggingOptions iot:StartAuditMitigationActionsTask iot:StartDetectMitigationActionsTask iot:StartOnDemandAuditTask iot:StartThingRegistrationTask iot:StopThingRegistrationTask iot:TestAuthorization iot:TestInvokeAuthorizer iot:TransferCertificate iot:UpdateAccountAuditConfiguration iot:UpdateAuditSuppression iot:UpdateAuthorizer iot:UpdateBillingGroup iot:UpdateCACertificate iot:UpdateCertificate iot:UpdateCertificateProvider iot:UpdateCommand iot:UpdateCustomMetric iot:UpdateDimension iot:UpdateDomainConfiguration iot:UpdateDynamicThingGroup iot:UpdateEncryptionConfiguration iot:UpdateEventConfigurations iot:UpdateFleetMetric iot:UpdateIndexingConfiguration iot:UpdateJob iot:UpdateMitigationAction iot:UpdatePackage iot:UpdatePackageConfiguration iot:UpdatePackageVersion iot:UpdateProvisioningTemplate iot:UpdateRoleAlias iot:UpdateScheduledAudit iot:UpdateSecurityProfile iot:UpdateStream iot:UpdateThing iot:UpdateThingGroup iot:UpdateThingGroupsForThing iot:UpdateThingType iot:UpdateTopicRuleDestination iot:ValidateSecurityProfileBehaviors |
| iotanalytics | iotanalytics:CancelPipelineReprocessing iotanalytics:CreateChannel iotanalytics:CreateDataset iotanalytics:CreateDatasetContent iotanalytics:CreateDatastore iotanalytics:CreatePipeline iotanalytics:DeleteChannel iotanalytics:DeleteDataset iotanalytics:DeleteDatasetContent iotanalytics:DeleteDatastore iotanalytics:DeletePipeline iotanalytics:DescribeChannel iotanalytics:DescribeDataset iotanalytics:DescribeDatastore iotanalytics:DescribeLoggingOptions iotanalytics:DescribePipeline iotanalytics:GetDatasetContent iotanalytics:ListChannels iotanalytics:ListDatasetContents iotanalytics:ListDatasets iotanalytics:ListDatastores iotanalytics:ListPipelines iotanalytics:PutLoggingOptions iotanalytics:RunPipelineActivity iotanalytics:SampleChannelData iotanalytics:StartPipelineReprocessing iotanalytics:UpdateChannel iotanalytics:UpdateDataset iotanalytics:UpdateDatastore iotanalytics:UpdatePipeline |
| iotdeviceadvisor | iotdeviceadvisor:CreateSuiteDefinition iotdeviceadvisor:DeleteSuiteDefinition iotdeviceadvisor:GetEndpoint iotdeviceadvisor:GetSuiteDefinition iotdeviceadvisor:GetSuiteRun iotdeviceadvisor:GetSuiteRunReport iotdeviceadvisor:ListSuiteDefinitions iotdeviceadvisor:ListSuiteRuns iotdeviceadvisor:StartSuiteRun iotdeviceadvisor:StopSuiteRun iotdeviceadvisor:UpdateSuiteDefinition |
| iotevents | iotevents:BatchAcknowledgeAlarm iotevents:BatchDeleteDetector iotevents:BatchDisableAlarm iotevents:BatchEnableAlarm iotevents:BatchResetAlarm iotevents:BatchSnoozeAlarm iotevents:BatchUpdateDetector iotevents:CreateAlarmModel iotevents:CreateDetectorModel iotevents:CreateInput iotevents:DeleteAlarmModel iotevents:DeleteDetectorModel iotevents:DeleteInput iotevents:DescribeAlarm iotevents:DescribeAlarmModel iotevents:DescribeDetector iotevents:DescribeDetectorModel iotevents:DescribeDetectorModelAnalysis iotevents:DescribeInput iotevents:DescribeLoggingOptions iotevents:GetDetectorModelAnalysisResults iotevents:ListAlarmModelVersions iotevents:ListAlarmModels iotevents:ListAlarms iotevents:ListDetectorModelVersions iotevents:ListDetectorModels iotevents:ListDetectors iotevents:ListInputRoutings iotevents:ListInputs iotevents:PutLoggingOptions iotevents:StartDetectorModelAnalysis iotevents:UpdateAlarmModel iotevents:UpdateDetectorModel iotevents:UpdateInput |
| iotfleethub | iotfleethub:CreateApplication iotfleethub:DeleteApplication iotfleethub:DescribeApplication iotfleethub:ListApplications iotfleethub:UpdateApplication |
| iotsitewise | iotsitewise:AssociateAssets iotsitewise:AssociateTimeSeriesToAssetProperty iotsitewise:BatchAssociateProjectAssets iotsitewise:BatchDisassociateProjectAssets iotsitewise:CreateAccessPolicy iotsitewise:CreateAsset iotsitewise:CreateAssetModel iotsitewise:CreateAssetModelCompositeModel iotsitewise:CreateBulkImportJob iotsitewise:CreateComputationModel iotsitewise:CreateDashboard iotsitewise:CreateDataset iotsitewise:CreateGateway iotsitewise:CreatePortal iotsitewise:CreateProject iotsitewise:DeleteAccessPolicy iotsitewise:DeleteAsset iotsitewise:DeleteAssetModel iotsitewise:DeleteAssetModelCompositeModel iotsitewise:DeleteComputationModel iotsitewise:DeleteDashboard iotsitewise:DeleteDataset iotsitewise:DeleteGateway iotsitewise:DeletePortal iotsitewise:DeleteProject iotsitewise:DeleteTimeSeries iotsitewise:DescribeAccessPolicy iotsitewise:DescribeAsset iotsitewise:DescribeAssetCompositeModel iotsitewise:DescribeAssetModel iotsitewise:DescribeAssetModelCompositeModel iotsitewise:DescribeAssetModelInterfaceRelationship iotsitewise:DescribeAssetProperty iotsitewise:DescribeBulkImportJob iotsitewise:DescribeComputationModel iotsitewise:DescribeComputationModelExecutionSummary iotsitewise:DescribeDashboard iotsitewise:DescribeDataset iotsitewise:DescribeDefaultEncryptionConfiguration iotsitewise:DescribeExecution iotsitewise:DescribeGateway iotsitewise:DescribeGatewayCapabilityConfiguration iotsitewise:DescribeLoggingOptions iotsitewise:DescribePortal iotsitewise:DescribeProject iotsitewise:DescribeStorageConfiguration iotsitewise:DescribeTimeSeries iotsitewise:DisassociateAssets iotsitewise:DisassociateTimeSeriesFromAssetProperty iotsitewise:ExecuteAction iotsitewise:ExecuteQuery iotsitewise:ListAccessPolicies iotsitewise:ListActions iotsitewise:ListAssetModelCompositeModels iotsitewise:ListAssetModelProperties iotsitewise:ListAssetModels iotsitewise:ListAssetProperties iotsitewise:ListAssetRelationships iotsitewise:ListAssets iotsitewise:ListAssociatedAssets iotsitewise:ListBulkImportJobs iotsitewise:ListCompositionRelationships iotsitewise:ListComputationModelDataBindingUsages iotsitewise:ListComputationModelResolveToResources iotsitewise:ListComputationModels iotsitewise:ListDashboards iotsitewise:ListDatasets iotsitewise:ListExecutions iotsitewise:ListGateways iotsitewise:ListInterfaceRelationships iotsitewise:ListPortals iotsitewise:ListProjectAssets iotsitewise:ListProjects iotsitewise:ListTimeSeries iotsitewise:PutDefaultEncryptionConfiguration iotsitewise:PutLoggingOptions iotsitewise:PutStorageConfiguration iotsitewise:UpdateAccessPolicy iotsitewise:UpdateAsset iotsitewise:UpdateAssetModel iotsitewise:UpdateAssetModelCompositeModel iotsitewise:UpdateAssetProperty iotsitewise:UpdateComputationModel iotsitewise:UpdateDashboard iotsitewise:UpdateDataset iotsitewise:UpdateGateway iotsitewise:UpdateGatewayCapabilityConfiguration iotsitewise:UpdatePortal iotsitewise:UpdateProject |
| iottwinmaker | iottwinmaker:CancelMetadataTransferJob iottwinmaker:CreateComponentType iottwinmaker:CreateEntity iottwinmaker:CreateMetadataTransferJob iottwinmaker:CreateScene iottwinmaker:CreateSyncJob iottwinmaker:CreateWorkspace iottwinmaker:DeleteComponentType iottwinmaker:DeleteEntity iottwinmaker:DeleteScene iottwinmaker:DeleteSyncJob iottwinmaker:DeleteWorkspace iottwinmaker:ExecuteQuery iottwinmaker:GetMetadataTransferJob iottwinmaker:GetPricingPlan iottwinmaker:GetScene iottwinmaker:GetSyncJob iottwinmaker:ListComponentTypes iottwinmaker:ListComponents iottwinmaker:ListEntities iottwinmaker:ListMetadataTransferJobs iottwinmaker:ListProperties iottwinmaker:ListScenes iottwinmaker:ListSyncJobs iottwinmaker:ListSyncResources iottwinmaker:ListWorkspaces iottwinmaker:UpdateComponentType iottwinmaker:UpdateEntity iottwinmaker:UpdatePricingPlan iottwinmaker:UpdateScene iottwinmaker:UpdateWorkspace |
| iotwireless | iotwireless:AssociateAwsAccountWithPartnerAccount iotwireless:AssociateMulticastGroupWithFuotaTask iotwireless:AssociateWirelessDeviceWithFuotaTask iotwireless:AssociateWirelessDeviceWithMulticastGroup iotwireless:AssociateWirelessDeviceWithThing iotwireless:AssociateWirelessGatewayWithCertificate iotwireless:AssociateWirelessGatewayWithThing iotwireless:CancelMulticastGroupSession iotwireless:CreateDestination iotwireless:CreateDeviceProfile iotwireless:CreateFuotaTask iotwireless:CreateMulticastGroup iotwireless:CreateNetworkAnalyzerConfiguration iotwireless:CreateServiceProfile iotwireless:CreateWirelessDevice iotwireless:CreateWirelessGateway iotwireless:CreateWirelessGatewayTask iotwireless:CreateWirelessGatewayTaskDefinition iotwireless:DeleteDestination iotwireless:DeleteDeviceProfile iotwireless:DeleteFuotaTask iotwireless:DeleteMulticastGroup iotwireless:DeleteNetworkAnalyzerConfiguration iotwireless:DeleteQueuedMessages iotwireless:DeleteServiceProfile iotwireless:DeleteWirelessDevice iotwireless:DeleteWirelessDeviceImportTask iotwireless:DeleteWirelessGateway iotwireless:DeleteWirelessGatewayTask iotwireless:DeleteWirelessGatewayTaskDefinition iotwireless:DeregisterWirelessDevice iotwireless:DisassociateAwsAccountFromPartnerAccount iotwireless:DisassociateMulticastGroupFromFuotaTask iotwireless:DisassociateWirelessDeviceFromFuotaTask iotwireless:DisassociateWirelessDeviceFromMulticastGroup iotwireless:DisassociateWirelessDeviceFromThing iotwireless:DisassociateWirelessGatewayFromCertificate iotwireless:DisassociateWirelessGatewayFromThing iotwireless:GetDestination iotwireless:GetDeviceProfile iotwireless:GetEventConfigurationByResourceTypes iotwireless:GetFuotaTask iotwireless:GetLogLevelsByResourceTypes iotwireless:GetMetricConfiguration iotwireless:GetMetrics iotwireless:GetMulticastGroup iotwireless:GetMulticastGroupSession iotwireless:GetNetworkAnalyzerConfiguration iotwireless:GetPartnerAccount iotwireless:GetPosition iotwireless:GetPositionConfiguration iotwireless:GetPositionEstimate iotwireless:GetResourceEventConfiguration iotwireless:GetResourceLogLevel iotwireless:GetResourcePosition iotwireless:GetServiceEndpoint iotwireless:GetServiceProfile iotwireless:GetWirelessDevice iotwireless:GetWirelessDeviceImportTask iotwireless:GetWirelessDeviceStatistics iotwireless:GetWirelessGateway iotwireless:GetWirelessGatewayCertificate iotwireless:GetWirelessGatewayFirmwareInformation iotwireless:GetWirelessGatewayStatistics iotwireless:GetWirelessGatewayTask iotwireless:GetWirelessGatewayTaskDefinition iotwireless:ListDestinations iotwireless:ListDeviceProfiles iotwireless:ListDevicesForWirelessDeviceImportTask iotwireless:ListEventConfigurations iotwireless:ListFuotaTasks iotwireless:ListMulticastGroups iotwireless:ListMulticastGroupsByFuotaTask iotwireless:ListNetworkAnalyzerConfigurations iotwireless:ListPartnerAccounts iotwireless:ListPositionConfigurations iotwireless:ListQueuedMessages iotwireless:ListServiceProfiles iotwireless:ListWirelessDeviceImportTasks iotwireless:ListWirelessDevices iotwireless:ListWirelessGatewayTaskDefinitions iotwireless:ListWirelessGateways iotwireless:PutPositionConfiguration iotwireless:PutResourceLogLevel iotwireless:ResetAllResourceLogLevels iotwireless:ResetResourceLogLevel iotwireless:SendDataToMulticastGroup iotwireless:SendDataToWirelessDevice iotwireless:StartBulkAssociateWirelessDeviceWithMulticastGroup iotwireless:StartBulkDisassociateWirelessDeviceFromMulticastGroup iotwireless:StartFuotaTask iotwireless:StartMulticastGroupSession iotwireless:StartNetworkAnalyzerStream iotwireless:StartSingleWirelessDeviceImportTask iotwireless:StartWirelessDeviceImportTask iotwireless:TestWirelessDevice iotwireless:UpdateDestination iotwireless:UpdateEventConfigurationByResourceTypes iotwireless:UpdateFuotaTask iotwireless:UpdateLogLevelsByResourceTypes iotwireless:UpdateMetricConfiguration iotwireless:UpdateMulticastGroup iotwireless:UpdateNetworkAnalyzerConfiguration iotwireless:UpdatePartnerAccount iotwireless:UpdatePosition iotwireless:UpdateResourceEventConfiguration iotwireless:UpdateResourcePosition iotwireless:UpdateWirelessDevice iotwireless:UpdateWirelessDeviceImportTask iotwireless:UpdateWirelessGateway |
| ivs | ivs:BatchGetChannel ivs:BatchGetStreamKey ivs:BatchStartViewerSessionRevocation ivs:CreateChannel ivs:CreateEncoderConfiguration ivs:CreateIngestConfiguration ivs:CreateParticipantToken ivs:CreatePlaybackRestrictionPolicy ivs:CreateRecordingConfiguration ivs:CreateStorageConfiguration ivs:CreateStreamKey ivs:DeleteChannel ivs:DeleteEncoderConfiguration ivs:DeleteIngestConfiguration ivs:DeletePlaybackKeyPair ivs:DeletePlaybackRestrictionPolicy ivs:DeletePublicKey ivs:DeleteRecordingConfiguration ivs:DeleteStorageConfiguration ivs:DeleteStreamKey ivs:DisconnectParticipant ivs:GetChannel ivs:GetComposition ivs:GetEncoderConfiguration ivs:GetIngestConfiguration ivs:GetParticipant ivs:GetPlaybackKeyPair ivs:GetPlaybackRestrictionPolicy ivs:GetPublicKey ivs:GetRecordingConfiguration ivs:GetStorageConfiguration ivs:GetStream ivs:GetStreamKey ivs:GetStreamSession ivs:ImportPlaybackKeyPair ivs:ImportPublicKey ivs:ListChannels ivs:ListCompositions ivs:ListEncoderConfigurations ivs:ListIngestConfigurations ivs:ListParticipantEvents ivs:ListParticipantReplicas ivs:ListParticipants ivs:ListPlaybackKeyPairs ivs:ListPlaybackRestrictionPolicies ivs:ListPublicKeys ivs:ListRecordingConfigurations ivs:ListStorageConfigurations ivs:ListStreamKeys ivs:ListStreamSessions ivs:ListStreams ivs:PutMetadata ivs:StartComposition ivs:StartViewerSessionRevocation ivs:StopComposition ivs:StopStream ivs:UpdateChannel ivs:UpdateIngestConfiguration ivs:UpdatePlaybackRestrictionPolicy |
| ivschat | ivschat:CreateChatToken ivschat:CreateLoggingConfiguration ivschat:CreateRoom ivschat:DeleteLoggingConfiguration ivschat:DeleteMessage ivschat:DeleteRoom ivschat:DisconnectUser ivschat:GetLoggingConfiguration ivschat:GetRoom ivschat:ListLoggingConfigurations ivschat:ListRooms ivschat:SendEvent ivschat:UpdateLoggingConfiguration ivschat:UpdateRoom |
| kafka | kafka:BatchAssociateScramSecret kafka:BatchDisassociateScramSecret kafka:CreateCluster kafka:CreateClusterV2 kafka:CreateConfiguration kafka:CreateReplicator kafka:CreateVpcConnection kafka:DeleteCluster kafka:DeleteClusterPolicy kafka:DeleteConfiguration kafka:DeleteReplicator kafka:DeleteVpcConnection kafka:DescribeCluster kafka:DescribeClusterOperation kafka:DescribeClusterOperationV2 kafka:DescribeClusterV2 kafka:DescribeConfiguration kafka:DescribeConfigurationRevision kafka:DescribeVpcConnection kafka:GetBootstrapBrokers kafka:GetClusterPolicy kafka:GetCompatibleKafkaVersions kafka:ListClientVpcConnections kafka:ListClusterOperations kafka:ListClusterOperationsV2 kafka:ListClusters kafka:ListClustersV2 kafka:ListConfigurationRevisions kafka:ListConfigurations kafka:ListKafkaVersions kafka:ListNodes kafka:ListReplicators kafka:ListScramSecrets kafka:ListVpcConnections kafka:PutClusterPolicy kafka:RebootBroker kafka:RejectClientVpcConnection kafka:UpdateBrokerCount kafka:UpdateBrokerStorage kafka:UpdateBrokerType kafka:UpdateClusterConfiguration kafka:UpdateClusterKafkaVersion kafka:UpdateConfiguration kafka:UpdateConnectivity kafka:UpdateMonitoring kafka:UpdateRebalancing kafka:UpdateReplicationInfo kafka:UpdateSecurity kafka:UpdateStorage |
| kafkaconnect | kafkaconnect:CreateConnector kafkaconnect:CreateCustomPlugin kafkaconnect:CreateWorkerConfiguration kafkaconnect:DeleteConnector kafkaconnect:DeleteCustomPlugin kafkaconnect:DeleteWorkerConfiguration kafkaconnect:DescribeConnector kafkaconnect:DescribeCustomPlugin kafkaconnect:DescribeWorkerConfiguration kafkaconnect:ListConnectorOperations kafkaconnect:ListConnectors kafkaconnect:ListCustomPlugins kafkaconnect:ListWorkerConfigurations kafkaconnect:UpdateConnector |
| kendra | kendra:AssociateEntitiesToExperience kendra:AssociatePersonasToEntities kendra:BatchDeleteDocument kendra:BatchDeleteFeaturedResultsSet kendra:BatchGetDocumentStatus kendra:BatchPutDocument kendra:ClearQuerySuggestions kendra:CreateAccessControlConfiguration kendra:CreateDataSource kendra:CreateExperience kendra:CreateFaq kendra:CreateFeaturedResultsSet kendra:CreateIndex kendra:CreateQuerySuggestionsBlockList kendra:CreateThesaurus kendra:DeleteDataSource kendra:DeleteExperience kendra:DeleteFaq kendra:DeleteIndex kendra:DeletePrincipalMapping kendra:DeleteQuerySuggestionsBlockList kendra:DeleteThesaurus kendra:DescribeAccessControlConfiguration kendra:DescribeDataSource kendra:DescribeExperience kendra:DescribeFaq kendra:DescribeFeaturedResultsSet kendra:DescribeIndex kendra:DescribePrincipalMapping kendra:DescribeQuerySuggestionsBlockList kendra:DescribeQuerySuggestionsConfig kendra:DescribeThesaurus kendra:DisassociateEntitiesFromExperience kendra:DisassociatePersonasFromEntities kendra:GetQuerySuggestions kendra:GetSnapshots kendra:ListAccessControlConfigurations kendra:ListDataSourceSyncJobs kendra:ListDataSources kendra:ListEntityPersonas kendra:ListExperienceEntities kendra:ListExperiences kendra:ListFaqs kendra:ListFeaturedResultsSets kendra:ListGroupsOlderThanOrderingId kendra:ListIndices kendra:ListQuerySuggestionsBlockLists kendra:ListThesauri kendra:PutPrincipalMapping kendra:Query kendra:Retrieve kendra:StartDataSourceSyncJob kendra:StopDataSourceSyncJob kendra:SubmitFeedback kendra:UpdateDataSource kendra:UpdateExperience kendra:UpdateFeaturedResultsSet kendra:UpdateIndex kendra:UpdateQuerySuggestionsBlockList kendra:UpdateQuerySuggestionsConfig kendra:UpdateThesaurus |
| kinesis | kinesis:CreateStream kinesis:DecreaseStreamRetentionPeriod kinesis:DeleteStream kinesis:DeregisterStreamConsumer kinesis:DescribeAccountSettings kinesis:DescribeLimits kinesis:DescribeStream kinesis:DescribeStreamConsumer kinesis:DescribeStreamSummary kinesis:DisableEnhancedMonitoring kinesis:EnableEnhancedMonitoring kinesis:IncreaseStreamRetentionPeriod kinesis:ListShards kinesis:ListStreamConsumers kinesis:ListStreams kinesis:MergeShards kinesis:RegisterStreamConsumer kinesis:SplitShard kinesis:StartStreamEncryption kinesis:StopStreamEncryption kinesis:UpdateAccountSettings kinesis:UpdateShardCount kinesis:UpdateStreamMode |
| kinesisanalytics | kinesisanalytics:AddApplicationCloudWatchLoggingOption kinesisanalytics:AddApplicationInput kinesisanalytics:AddApplicationInputProcessingConfiguration kinesisanalytics:AddApplicationOutput kinesisanalytics:AddApplicationReferenceDataSource kinesisanalytics:AddApplicationVpcConfiguration kinesisanalytics:CreateApplication kinesisanalytics:CreateApplicationPresignedUrl kinesisanalytics:CreateApplicationSnapshot kinesisanalytics:DeleteApplication kinesisanalytics:DeleteApplicationCloudWatchLoggingOption kinesisanalytics:DeleteApplicationInputProcessingConfiguration kinesisanalytics:DeleteApplicationOutput kinesisanalytics:DeleteApplicationReferenceDataSource kinesisanalytics:DeleteApplicationSnapshot kinesisanalytics:DeleteApplicationVpcConfiguration kinesisanalytics:DescribeApplication kinesisanalytics:DescribeApplicationOperation kinesisanalytics:DescribeApplicationSnapshot kinesisanalytics:DescribeApplicationVersion kinesisanalytics:DiscoverInputSchema kinesisanalytics:ListApplicationOperations kinesisanalytics:ListApplicationSnapshots kinesisanalytics:ListApplicationVersions kinesisanalytics:ListApplications kinesisanalytics:RollbackApplication kinesisanalytics:StartApplication kinesisanalytics:StopApplication kinesisanalytics:UpdateApplication kinesisanalytics:UpdateApplicationMaintenanceConfiguration |
| kms | kms:CancelKeyDeletion kms:ConnectCustomKeyStore kms:CreateAlias kms:CreateCustomKeyStore kms:創建權限 kms:CreateKey kms:解密 kms:DeleteAlias kms:DeleteCustomKeyStore kms:DeleteImportedKeyMaterial kms:DeriveSharedSecret kms:DescribeCustomKeyStores kms:描述金鑰 kms:DisableKey kms:DisableKeyRotation kms:DisconnectCustomKeyStore kms:EnableKey kms:EnableKeyRotation kms:Encrypt kms:產生資料金鑰 kms:GenerateDataKeyPair kms:GenerateDataKeyPairWithoutPlaintext kms:GenerateDataKeyWithoutPlaintext kms:GenerateMac kms:GenerateRandom kms:GetKeyPolicy kms:GetKeyRotationStatus kms:GetParametersForImport kms:GetPublicKey kms:ImportKeyMaterial kms:ListAliases kms:ListGrants kms:ListKeyPolicies kms:ListKeyRotations kms:ListKeys kms:ListRetirableGrants kms:ReplicateKey kms:RetireGrant kms:RevokeGrant kms:RotateKeyOnDemand kms:ScheduleKeyDeletion kms:Sign kms:UpdateAlias kms:UpdateCustomKeyStore kms:UpdateKeyDescription kms:UpdatePrimaryRegion kms:Verify kms:VerifyMac |
| lambda | lambda:AddLayerVersionPermission lambda:AddPermission lambda:CreateAlias lambda:CreateCodeSigningConfig lambda:CreateEventSourceMapping lambda:CreateFunction lambda:CreateFunctionUrlConfig lambda:DeleteAlias lambda:DeleteCapacityProvider lambda:DeleteCodeSigningConfig lambda:DeleteEventSourceMapping lambda:DeleteFunction lambda:DeleteFunctionCodeSigningConfig lambda:DeleteFunctionConcurrency lambda:DeleteFunctionEventInvokeConfig lambda:DeleteFunctionUrlConfig lambda:DeleteLayerVersion lambda:DeleteProvisionedConcurrencyConfig lambda:GetAccountSettings lambda:GetAlias lambda:GetCapacityProvider lambda:GetCodeSigningConfig lambda:GetEventSourceMapping lambda:GetFunction lambda:GetFunctionCodeSigningConfig lambda:GetFunctionConcurrency lambda:GetFunctionConfiguration lambda:GetFunctionEventInvokeConfig lambda:GetFunctionRecursionConfig lambda:GetFunctionScalingConfig lambda:GetFunctionUrlConfig lambda:GetLayerVersion lambda:GetLayerVersionPolicy lambda:GetPolicy lambda:GetProvisionedConcurrencyConfig lambda:GetRuntimeManagementConfig lambda:ListAliases lambda:ListCapacityProviders lambda:ListCodeSigningConfigs lambda:ListDurableExecutionsByFunction lambda:ListEventSourceMappings lambda:ListFunctionEventInvokeConfigs lambda:ListFunctionUrlConfigs lambda:ListFunctions lambda:ListFunctionsByCodeSigningConfig lambda:ListLayerVersions lambda:ListLayers lambda:ListProvisionedConcurrencyConfigs lambda:ListVersionsByFunction lambda:PublishLayerVersion lambda:PublishVersion lambda:PutFunctionCodeSigningConfig lambda:PutFunctionConcurrency lambda:PutFunctionEventInvokeConfig lambda:PutFunctionRecursionConfig lambda:PutFunctionScalingConfig lambda:PutProvisionedConcurrencyConfig lambda:PutRuntimeManagementConfig lambda:RemoveLayerVersionPermission lambda:RemovePermission lambda:UpdateAlias lambda:UpdateCapacityProvider lambda:UpdateCodeSigningConfig lambda:UpdateEventSourceMapping lambda:UpdateFunctionCode lambda:UpdateFunctionConfiguration lambda:UpdateFunctionEventInvokeConfig lambda:UpdateFunctionUrlConfig |
| lex | lex:BatchCreateCustomVocabularyItem lex:BatchDeleteCustomVocabularyItem lex:BatchUpdateCustomVocabularyItem lex:BuildBotLocale lex:CreateBotAlias lex:CreateBotReplica lex:CreateBotVersion lex:CreateExport lex:CreateIntentVersion lex:CreateResourcePolicy lex:CreateSlotTypeVersion lex:CreateTestSetDiscrepancyReport lex:CreateUploadUrl lex:DeleteBot lex:DeleteBotChannelAssociation lex:DeleteBotReplica lex:DeleteExport lex:DeleteImport lex:DeleteIntentVersion lex:DeleteResourcePolicy lex:DeleteSlotTypeVersion lex:DeleteTestSet lex:DeleteUtterances lex:DescribeBotAlias lex:DescribeBotRecommendation lex:DescribeBotReplica lex:DescribeBotResourceGeneration lex:DescribeBotVersion lex:DescribeCustomVocabularyMetadata lex:DescribeExport lex:DescribeImport lex:DescribeResourcePolicy lex:DescribeTestExecution lex:DescribeTestSet lex:DescribeTestSetDiscrepancyReport lex:DescribeTestSetGeneration lex:GenerateBotElement lex:GetBot lex:GetBotAlias lex:GetBotAliases lex:GetBotChannelAssociation lex:GetBotChannelAssociations lex:GetBotVersions lex:GetBots lex:GetBuiltinIntent lex:GetBuiltinIntents lex:GetBuiltinSlotTypes lex:GetExport lex:GetImport lex:GetIntent lex:GetIntentVersions lex:GetIntents lex:GetMigration lex:GetMigrations lex:GetSlotType lex:GetSlotTypeVersions lex:GetSlotTypes lex:GetTestExecutionArtifactsUrl lex:GetUtterancesView lex:ListBotAliasReplicas lex:ListBotAliases lex:ListBotRecommendations lex:ListBotReplicas lex:ListBotResourceGenerations lex:ListBotVersionReplicas lex:ListBotVersions lex:ListBots lex:ListBuiltInIntents lex:ListBuiltInSlotTypes lex:ListCustomVocabularyItems lex:ListExports lex:ListImports lex:ListIntentMetrics lex:ListIntentPaths lex:ListRecommendedIntents lex:ListSessionAnalyticsData lex:ListSessionMetrics lex:ListTestExecutionResultItems lex:ListTestExecutions lex:ListTestSets lex:PutBot lex:PutBotAlias lex:PutIntent lex:PutSlotType lex:SearchAssociatedTranscripts lex:StartBotRecommendation lex:StartImport lex:StartMigration lex:StartTestExecution lex:StartTestSetGeneration lex:StopBotRecommendation lex:UpdateBotAlias lex:UpdateBotRecommendation lex:UpdateExport lex:UpdateResourcePolicy |
| license-manager-linux-subscriptions | license-manager-linux-subscriptions:DeregisterSubscriptionProvider license-manager-linux-subscriptions:GetRegisteredSubscriptionProvider license-manager-linux-subscriptions:GetServiceSettings license-manager-linux-subscriptions:ListLinuxSubscriptionInstances license-manager-linux-subscriptions:ListLinuxSubscriptions license-manager-linux-subscriptions:ListRegisteredSubscriptionProviders license-manager-linux-subscriptions:RegisterSubscriptionProvider license-manager-linux-subscriptions:UpdateServiceSettings |
| lightsail | lightsail:AllocateStaticIp lightsail:AttachCertificateToDistribution lightsail:AttachDisk lightsail:AttachInstancesToLoadBalancer lightsail:AttachLoadBalancerTlsCertificate lightsail:AttachStaticIp lightsail:CloseInstancePublicPorts lightsail:CopySnapshot lightsail:CreateBucket lightsail:CreateBucketAccessKey lightsail:CreateCertificate lightsail:CreateCloudFormationStack lightsail:CreateContactMethod lightsail:CreateContainerService lightsail:CreateContainerServiceDeployment lightsail:CreateContainerServiceRegistryLogin lightsail:CreateDisk lightsail:CreateDiskFromSnapshot lightsail:CreateDiskSnapshot lightsail:CreateDistribution lightsail:CreateDomain lightsail:CreateGUISessionAccessDetails lightsail:CreateInstanceSnapshot lightsail:CreateInstances lightsail:CreateInstancesFromSnapshot lightsail:CreateKeyPair lightsail:CreateLoadBalancer lightsail:CreateLoadBalancerTlsCertificate lightsail:CreateRelationalDatabase lightsail:CreateRelationalDatabaseFromSnapshot lightsail:CreateRelationalDatabaseSnapshot lightsail:DeleteAlarm lightsail:DeleteAutoSnapshot lightsail:DeleteBucket lightsail:DeleteBucketAccessKey lightsail:DeleteCertificate lightsail:DeleteContactMethod lightsail:DeleteContainerImage lightsail:DeleteContainerService lightsail:DeleteDisk lightsail:DeleteDiskSnapshot lightsail:DeleteDistribution lightsail:DeleteDomain lightsail:DeleteDomainEntry lightsail:DeleteInstance lightsail:DeleteInstanceSnapshot lightsail:DeleteKeyPair lightsail:DeleteKnownHostKeys lightsail:DeleteLoadBalancer lightsail:DeleteLoadBalancerTlsCertificate lightsail:DeleteRelationalDatabase lightsail:DeleteRelationalDatabaseSnapshot lightsail:DetachCertificateFromDistribution lightsail:DetachDisk lightsail:DetachInstancesFromLoadBalancer lightsail:DetachStaticIp lightsail:DisableAddOn lightsail:DownloadDefaultKeyPair lightsail:EnableAddOn lightsail:ExportSnapshot lightsail:GetActiveNames lightsail:GetAlarms lightsail:GetAutoSnapshots lightsail:GetBlueprints lightsail:GetBucketAccessKeys lightsail:GetBucketBundles lightsail:GetBucketMetricData lightsail:GetBuckets lightsail:GetBundles lightsail:GetCertificates lightsail:GetCloudFormationStackRecords lightsail:GetContactMethods lightsail:GetContainerAPIMetadata lightsail:GetContainerImages lightsail:GetContainerLog lightsail:GetContainerServiceDeployments lightsail:GetContainerServiceMetricData lightsail:GetContainerServicePowers lightsail:GetContainerServices lightsail:GetCostEstimate lightsail:GetDisk lightsail:GetDiskSnapshot lightsail:GetDiskSnapshots lightsail:GetDisks lightsail:GetDistributionBundles lightsail:GetDistributionLatestCacheReset lightsail:GetDistributionMetricData lightsail:GetDistributions lightsail:GetDomain lightsail:GetExportSnapshotRecords lightsail:GetInstance lightsail:GetInstanceMetricData lightsail:GetInstancePortStates lightsail:GetInstanceSnapshot lightsail:GetInstanceSnapshots lightsail:GetInstanceState lightsail:GetInstances lightsail:GetKeyPair lightsail:GetKeyPairs lightsail:GetLoadBalancer lightsail:GetLoadBalancerMetricData lightsail:GetLoadBalancerTlsCertificates lightsail:GetLoadBalancerTlsPolicies lightsail:GetLoadBalancers lightsail:GetOperation lightsail:GetOperations lightsail:GetOperationsForResource lightsail:GetRegions lightsail:GetRelationalDatabase lightsail:GetRelationalDatabaseBlueprints lightsail:GetRelationalDatabaseBundles lightsail:GetRelationalDatabaseEvents lightsail:GetRelationalDatabaseLogEvents lightsail:GetRelationalDatabaseLogStreams lightsail:GetRelationalDatabaseMasterUserPassword lightsail:GetRelationalDatabaseMetricData lightsail:GetRelationalDatabaseParameters lightsail:GetRelationalDatabaseSnapshot lightsail:GetRelationalDatabaseSnapshots lightsail:GetRelationalDatabases lightsail:GetSetupHistory lightsail:GetStaticIp lightsail:GetStaticIps lightsail:ImportKeyPair lightsail:IsVpcPeered lightsail:OpenInstancePublicPorts lightsail:PeerVpc lightsail:PutAlarm lightsail:PutInstancePublicPorts lightsail:RebootInstance lightsail:RebootRelationalDatabase lightsail:RegisterContainerImage lightsail:ReleaseStaticIp lightsail:ResetDistributionCache lightsail:SendContactMethodVerification lightsail:SetIpAddressType lightsail:SetResourceAccessForBucket lightsail:SetupInstanceHttps lightsail:StartGUISession lightsail:StartInstance lightsail:StartRelationalDatabase lightsail:StopGUISession lightsail:StopInstance lightsail:StopRelationalDatabase lightsail:TestAlarm lightsail:UnpeerVpc lightsail:UpdateBucket lightsail:UpdateBucketBundle lightsail:UpdateContainerService lightsail:UpdateDistribution lightsail:UpdateDistributionBundle lightsail:UpdateDomainEntry lightsail:UpdateInstanceMetadataOptions lightsail:UpdateLoadBalancerAttribute lightsail:UpdateRelationalDatabase lightsail:UpdateRelationalDatabaseParameters |
| 日誌 | logs:AssociateKmsKey log:AssociateSourceToS3TableIntegration logs:CancelExportTask log:CancelImportTask logs:CreateDelivery logs:CreateExportTask logs:CreateLogAnomalyDetector logs:CreateLogGroup logs:CreateLogStream logs:DeleteDataProtectionPolicy logs:DeleteDelivery logs:DeleteDeliveryDestination logs:DeleteDeliveryDestinationPolicy logs:DeleteDeliverySource logs:DeleteDestination logs:DeleteIndexPolicy logs:DeleteIntegration logs:DeleteLogAnomalyDetector logs:DeleteLogGroup logs:DeleteLogStream logs:DeleteMetricFilter logs:DeleteQueryDefinition logs:DeleteResourcePolicy logs:DeleteRetentionPolicy log:DeleteScheduledQuery logs:DeleteSubscriptionFilter logs:DeleteTransformer logs:DescribeAccountPolicies logs:DescribeConfigurationTemplates logs:DescribeDeliveries logs:DescribeDeliveryDestinations logs:DescribeDeliverySources logs:DescribeDestinations logs:DescribeExportTasks logs:DescribeFieldIndexes log:DescribeImportTaskBatches log:DescribeImportTasks logs:DescribeIndexPolicies logs:DescribeLogGroups logs:DescribeLogStreams logs:DescribeMetricFilters logs:DescribeQueries logs:DescribeQueryDefinitions logs:DescribeResourcePolicies logs:DescribeSubscriptionFilters logs:DisassociateKmsKey log:DisassociateSourceFromS3TableIntegration logs:GetDataProtectionPolicy logs:GetDelivery logs:GetDeliveryDestination logs:GetDeliveryDestinationPolicy logs:GetDeliverySource logs:GetIntegration logs:GetLogAnomalyDetector log:GetLogFields logs:GetLogGroupFields logs:GetLogRecord logs:GetQueryResults log:GetScheduledQuery log:GetScheduledQueryHistory logs:GetTransformer log:IntegrateWithS3Table logs:ListAnomalies logs:ListIntegrations logs:ListLogAnomalyDetectors logs:ListLogGroupsForQuery log:ListScheduledQueries log:ListSourcesForS3TableIntegration log:ProcessWithPipeline logs:PutDataProtectionPolicy logs:PutDeliveryDestination logs:PutDeliveryDestinationPolicy logs:PutDeliverySource logs:PutDestination logs:PutDestinationPolicy logs:PutIndexPolicy logs:PutIntegration log:PutLogGroupDeletionProtection logs:PutMetricFilter logs:PutQueryDefinition logs:PutResourcePolicy logs:PutRetentionPolicy logs:PutSubscriptionFilter logs:PutTransformer logs:StartLiveTail logs:StartQuery logs:StopQuery logs:TestMetricFilter logs:TestTransformer logs:UpdateAnomaly logs:UpdateDeliveryConfiguration logs:UpdateLogAnomalyDetector |
| lookoutequipment | lookoutequipment:CreateDataset lookoutequipment:CreateInferenceScheduler lookoutequipment:CreateLabel lookoutequipment:CreateLabelGroup lookoutequipment:CreateModel lookoutequipment:DeleteDataset lookoutequipment:DeleteInferenceScheduler lookoutequipment:DeleteLabel lookoutequipment:DeleteLabelGroup lookoutequipment:DeleteModel lookoutequipment:DeleteResourcePolicy lookoutequipment:DeleteRetrainingScheduler lookoutequipment:DescribeDataIngestionJob lookoutequipment:DescribeDataset lookoutequipment:DescribeInferenceScheduler lookoutequipment:DescribeLabelGroup lookoutequipment:DescribeModel lookoutequipment:DescribeModelVersion lookoutequipment:DescribeResourcePolicy lookoutequipment:DescribeRetrainingScheduler lookoutequipment:Describelabel lookoutequipment:ImportDataset lookoutequipment:ImportModelVersion lookoutequipment:ListDataIngestionJobs lookoutequipment:ListDatasets lookoutequipment:ListInferenceEvents lookoutequipment:ListInferenceExecutions lookoutequipment:ListInferenceSchedulers lookoutequipment:ListLabelGroups lookoutequipment:ListLabels lookoutequipment:ListModelVersions lookoutequipment:ListModels lookoutequipment:ListRetrainingSchedulers lookoutequipment:ListSensorStatistics lookoutequipment:PutResourcePolicy lookoutequipment:StartDataIngestionJob lookoutequipment:StartInferenceScheduler lookoutequipment:StartRetrainingScheduler lookoutequipment:StopInferenceScheduler lookoutequipment:StopRetrainingScheduler lookoutequipment:UpdateActiveModelVersion lookoutequipment:UpdateInferenceScheduler lookoutequipment:UpdateLabelGroup lookoutequipment:UpdateModel lookoutequipment:UpdateRetrainingScheduler |
| lookoutmetrics | lookoutmetrics:ActivateAnomalyDetector lookoutmetrics:BackTestAnomalyDetector lookoutmetrics:CreateAlert lookoutmetrics:CreateAnomalyDetector lookoutmetrics:CreateMetricSet lookoutmetrics:DeactivateAnomalyDetector lookoutmetrics:DeleteAlert lookoutmetrics:DeleteAnomalyDetector lookoutmetrics:DescribeAlert lookoutmetrics:DescribeAnomalyDetectionExecutions lookoutmetrics:DescribeAnomalyDetector lookoutmetrics:DescribeMetricSet lookoutmetrics:DetectMetricSetConfig lookoutmetrics:GetAnomalyGroup lookoutmetrics:GetDataQualityMetrics lookoutmetrics:GetFeedback lookoutmetrics:GetSampleData lookoutmetrics:ListAlerts lookoutmetrics:ListAnomalyDetectors lookoutmetrics:ListAnomalyGroupRelatedMetrics lookoutmetrics:ListAnomalyGroupSummaries lookoutmetrics:ListAnomalyGroupTimeSeries lookoutmetrics:ListMetricSets lookoutmetrics:PutFeedback lookoutmetrics:UpdateAlert lookoutmetrics:UpdateAnomalyDetector lookoutmetrics:UpdateMetricSet |
| lookoutvision | lookoutvision:CreateDataset lookoutvision:CreateModel lookoutvision:CreateProject lookoutvision:DeleteDataset lookoutvision:DeleteModel lookoutvision:DeleteProject lookoutvision:DescribeDataset lookoutvision:DescribeModel lookoutvision:DescribeModelPackagingJob lookoutvision:DescribeProject lookoutvision:DetectAnomalies lookoutvision:ListDatasetEntries lookoutvision:ListModelPackagingJobs lookoutvision:ListModels lookoutvision:ListProjects lookoutvision:StartModel lookoutvision:StartModelPackagingJob lookoutvision:StopModel lookoutvision:UpdateDatasetEntries |
| m2 | m2:CancelBatchJobExecution m2:CreateApplication m2:CreateDataSetExportTask m2:CreateDataSetImportTask m2:CreateDeployment m2:CreateEnvironment m2:DeleteApplication m2:DeleteApplicationFromEnvironment m2:DeleteEnvironment m2:GetApplication m2:GetApplicationVersion m2:GetBatchJobExecution m2:GetDataSetDetails m2:GetDataSetExportTask m2:GetDataSetImportTask m2:GetDeployment m2:GetEnvironment m2:GetSignedBluinsightsUrl m2:ListApplicationVersions m2:ListApplications m2:ListBatchJobDefinitions m2:ListBatchJobExecutions m2:ListBatchJobRestartPoints m2:ListDataSetExportHistory m2:ListDataSetImportHistory m2:ListDataSets m2:ListDeployments m2:ListEngineVersions m2:ListEnvironments m2:StartApplication m2:StartBatchJob m2:StopApplication m2:UpdateApplication m2:UpdateEnvironment |
| managedblockchain | managedblockchain:CreateAccessor managedblockchain:CreateMember managedblockchain:CreateNetwork managedblockchain:CreateNode managedblockchain:CreateProposal managedblockchain:DeleteAccessor managedblockchain:DeleteMember managedblockchain:DeleteNode managedblockchain:GetAccessor managedblockchain:GetMember managedblockchain:GetNetwork managedblockchain:GetNode managedblockchain:GetProposal managedblockchain:InvokeRpcPolygonMainnet managedblockchain:InvokeRpcPolygonMumbaiTestnet managedblockchain:ListAccessors managedblockchain:ListInvitations managedblockchain:ListMembers managedblockchain:ListNetworks managedblockchain:ListNodes managedblockchain:ListProposalVotes managedblockchain:ListProposals managedblockchain:RejectInvitation managedblockchain:UpdateMember managedblockchain:UpdateNode managedblockchain:VoteOnProposal |
| mediaconnect | mediaconnect:AddBridgeOutputs mediaconnect:AddBridgeSources mediaconnect:AddFlowMediaStreams mediaconnect:AddFlowOutputs mediaconnect:AddFlowSources mediaconnect:AddFlowVpcInterfaces mediaconnect:CreateBridge mediaconnect:CreateFlow mediaconnect:CreateGateway mediaconnect:DeleteBridge mediaconnect:DeleteFlow mediaconnect:DeleteGateway mediaconnect:DeleteRouterInput mediaconnect:DeleteRouterNetworkInterface mediaconnect:DeleteRouterOutput mediaconnect:DeregisterGatewayInstance mediaconnect:DescribeBridge mediaconnect:DescribeFlow mediaconnect:DescribeFlowSourceMetadata mediaconnect:DescribeFlowSourceThumbnail mediaconnect:DescribeGateway mediaconnect:DescribeGatewayInstance mediaconnect:DescribeOffering mediaconnect:DescribeReservation mediaconnect:GetRouterInput mediaconnect:GetRouterInputSourceMetadata mediaconnect:GetRouterInputThumbnail mediaconnect:GetRouterNetworkInterface mediaconnect:GetRouterOutput mediaconnect:GrantFlowEntitlements mediaconnect:ListBridges mediaconnect:ListEntitlements mediaconnect:ListFlows mediaconnect:ListGatewayInstances mediaconnect:ListGateways mediaconnect:ListOfferings mediaconnect:ListReservations mediaconnect:ListRouterInputs mediaconnect:ListRouterNetworkInterfaces mediaconnect:ListRouterOutputs mediaconnect:PurchaseOffering mediaconnect:RemoveBridgeOutput mediaconnect:RemoveBridgeSource mediaconnect:RemoveFlowMediaStream mediaconnect:RemoveFlowOutput mediaconnect:RemoveFlowSource mediaconnect:RemoveFlowVpcInterface mediaconnect:RestartRouterInput mediaconnect:RestartRouterOutput mediaconnect:RevokeFlowEntitlement mediaconnect:StartFlow mediaconnect:StartRouterInput mediaconnect:StartRouterOutput mediaconnect:StopFlow mediaconnect:StopRouterInput mediaconnect:StopRouterOutput mediaconnect:TakeRouterInput mediaconnect:UpdateBridge mediaconnect:UpdateBridgeOutput mediaconnect:UpdateBridgeSource mediaconnect:UpdateBridgeState mediaconnect:UpdateFlow mediaconnect:UpdateFlowEntitlement mediaconnect:UpdateFlowMediaStream mediaconnect:UpdateGatewayInstance |
| mediaconvert | mediaconvert:AssociateCertificate mediaconvert:CancelJob mediaconvert:CreateJob mediaconvert:CreateJobTemplate mediaconvert:CreatePreset mediaconvert:CreateQueue mediaconvert:CreateResourceShare mediaconvert:DeleteJobTemplate mediaconvert:DeletePolicy mediaconvert:DeletePreset mediaconvert:DeleteQueue mediaconvert:DescribeEndpoints mediaconvert:DisassociateCertificate mediaconvert:GetJob mediaconvert:GetJobTemplate mediaconvert:GetPolicy mediaconvert:GetPreset mediaconvert:GetQueue mediaconvert:ListJobTemplates mediaconvert:ListJobs mediaconvert:ListPresets mediaconvert:ListQueues mediaconvert:ListVersions mediaconvert:Probe mediaconvert:PutPolicy mediaconvert:SearchJobs mediaconvert:UpdateJobTemplate mediaconvert:UpdatePreset mediaconvert:UpdateQueue |
| medialive | medialive:AcceptInputDeviceTransfer medialive:BatchDelete medialive:BatchStart medialive:BatchStop medialive:BatchUpdateSchedule medialive:CancelInputDeviceTransfer medialive:ClaimDevice medialive:CreateChannel medialive:CreateChannelPlacementGroup medialive:CreateCloudWatchAlarmTemplate medialive:CreateCloudWatchAlarmTemplateGroup medialive:CreateCluster medialive:CreateEventBridgeRuleTemplate medialive:CreateEventBridgeRuleTemplateGroup medialive:CreateInput medialive:CreateInputSecurityGroup medialive:CreateMultiplex medialive:CreateMultiplexProgram medialive:CreateNetwork medialive:CreateNode medialive:CreateNodeRegistrationScript medialive:CreatePartnerInput medialive:CreateSdiSource medialive:CreateSignalMap medialive:DeleteChannel medialive:DeleteChannelPlacementGroup medialive:DeleteCloudWatchAlarmTemplate medialive:DeleteCloudWatchAlarmTemplateGroup medialive:DeleteCluster medialive:DeleteEventBridgeRuleTemplate medialive:DeleteEventBridgeRuleTemplateGroup medialive:DeleteInput medialive:DeleteInputSecurityGroup medialive:DeleteMultiplex medialive:DeleteMultiplexProgram medialive:DeleteNetwork medialive:DeleteNode medialive:DeleteReservation medialive:DeleteSchedule medialive:DeleteSdiSource medialive:DeleteSignalMap medialive:DescribeAccountConfiguration medialive:DescribeChannel medialive:DescribeChannelPlacementGroup medialive:DescribeCluster medialive:DescribeInput medialive:DescribeInputDevice medialive:DescribeInputDeviceThumbnail medialive:DescribeInputSecurityGroup medialive:DescribeMultiplex medialive:DescribeMultiplexProgram medialive:DescribeNetwork medialive:DescribeNode medialive:DescribeOffering medialive:DescribeReservation medialive:DescribeSchedule medialive:DescribeSdiSource medialive:DescribeThumbnails medialive:GetCloudWatchAlarmTemplate medialive:GetCloudWatchAlarmTemplateGroup medialive:GetEventBridgeRuleTemplate medialive:GetEventBridgeRuleTemplateGroup medialive:GetSignalMap medialive:ListAlerts medialive:ListChannelPlacementGroups medialive:ListChannels medialive:ListCloudWatchAlarmTemplateGroups medialive:ListCloudWatchAlarmTemplates medialive:ListClusterAlerts medialive:ListClusters medialive:ListEventBridgeRuleTemplateGroups medialive:ListEventBridgeRuleTemplates medialive:ListInputDeviceTransfers medialive:ListInputDevices medialive:ListInputSecurityGroups medialive:ListInputs medialive:ListMultiplexAlerts medialive:ListMultiplexPrograms medialive:ListMultiplexes medialive:ListNetworks medialive:ListNodes medialive:ListOfferings medialive:ListReservations medialive:ListSdiSources medialive:ListSignalMaps medialive:ListVersions medialive:PurchaseOffering medialive:RebootInputDevice medialive:RejectInputDeviceTransfer medialive:RestartChannelPipelines medialive:StartChannel medialive:StartDeleteMonitorDeployment medialive:StartInputDevice medialive:StartInputDeviceMaintenanceWindow medialive:StartMonitorDeployment medialive:StartMultiplex medialive:StartUpdateSignalMap medialive:StopChannel medialive:StopInputDevice medialive:StopMultiplex medialive:TransferInputDevice medialive:UpdateAccountConfiguration medialive:UpdateChannel medialive:UpdateChannelClass medialive:UpdateChannelPlacementGroup medialive:UpdateCloudWatchAlarmTemplate medialive:UpdateCloudWatchAlarmTemplateGroup medialive:UpdateCluster medialive:UpdateEventBridgeRuleTemplate medialive:UpdateEventBridgeRuleTemplateGroup medialive:UpdateInput medialive:UpdateInputDevice medialive:UpdateInputSecurityGroup medialive:UpdateMultiplex medialive:UpdateMultiplexProgram medialive:UpdateNetwork medialive:UpdateNode medialive:UpdateNodeState medialive:UpdateReservation medialive:UpdateSdiSource |
| mediastore | mediastore:CreateContainer mediastore:DeleteContainer mediastore:DeleteContainerPolicy mediastore:DeleteCorsPolicy mediastore:DeleteLifecyclePolicy mediastore:DeleteMetricPolicy mediastore:DescribeContainer mediastore:GetContainerPolicy mediastore:GetCorsPolicy mediastore:GetLifecyclePolicy mediastore:GetMetricPolicy mediastore:ListContainers mediastore:PutContainerPolicy mediastore:PutCorsPolicy mediastore:PutLifecyclePolicy mediastore:PutMetricPolicy mediastore:StartAccessLogging mediastore:StopAccessLogging |
| mediatailor | mediatailor:ConfigureLogsForPlaybackConfiguration mediatailor:CreateChannel mediatailor:CreateLiveSource mediatailor:CreatePrefetchSchedule mediatailor:CreateProgram mediatailor:CreateSourceLocation mediatailor:CreateVodSource mediatailor:DeleteChannel mediatailor:DeleteChannelPolicy mediatailor:DeleteLiveSource mediatailor:DeletePlaybackConfiguration mediatailor:DeletePrefetchSchedule mediatailor:DeleteProgram mediatailor:DeleteSourceLocation mediatailor:DeleteVodSource mediatailor:DescribeChannel mediatailor:DescribeLiveSource mediatailor:DescribeProgram mediatailor:DescribeSourceLocation mediatailor:DescribeVodSource mediatailor:GetChannelPolicy mediatailor:GetChannelSchedule mediatailor:GetPlaybackConfiguration mediatailor:GetPrefetchSchedule mediatailor:ListAlerts mediatailor:ListChannels mediatailor:ListLiveSources mediatailor:ListPlaybackConfigurations mediatailor:ListPrefetchSchedules mediatailor:ListSourceLocations mediatailor:ListVodSources mediatailor:PutChannelPolicy mediatailor:PutPlaybackConfiguration mediatailor:StartChannel mediatailor:StopChannel mediatailor:UpdateChannel mediatailor:UpdateLiveSource mediatailor:UpdateProgram mediatailor:UpdateSourceLocation mediatailor:UpdateVodSource |
| memorydb | memorydb:BatchUpdateCluster memorydb:CopySnapshot memorydb:CreateAcl memorydb:CreateCluster memorydb:CreateMultiRegionCluster memorydb:CreateParameterGroup memorydb:CreateSnapshot memorydb:CreateSubnetGroup memorydb:CreateUser memorydb:DeleteAcl memorydb:DeleteCluster memorydb:DeleteMultiRegionCluster memorydb:DeleteParameterGroup memorydb:DeleteSnapshot memorydb:DeleteSubnetGroup memorydb:DeleteUser memorydb:DescribeAcls memorydb:DescribeClusters memorydb:DescribeEngineVersions memorydb:DescribeEvents memorydb:DescribeMultiRegionClusters memorydb:DescribeMultiRegionParameterGroups memorydb:DescribeMultiRegionParameters memorydb:DescribeParameterGroups memorydb:DescribeParameters memorydb:DescribeReservedNodes memorydb:DescribeReservedNodesOfferings memorydb:DescribeServiceUpdates memorydb:DescribeSnapshots memorydb:DescribeSubnetGroups memorydb:DescribeUsers memorydb:FailoverShard memorydb:ListAllowedMultiRegionClusterUpdates memorydb:ListAllowedNodeTypeUpdates memorydb:PurchaseReservedNodesOffering memorydb:ResetParameterGroup memorydb:UpdateAcl memorydb:UpdateCluster memorydb:UpdateMultiRegionCluster memorydb:UpdateParameterGroup memorydb:UpdateSubnetGroup memorydb:UpdateUser |
| mgh | mgh:AssociateCreatedArtifact mgh:AssociateDiscoveredResource mgh:AssociateSourceResource mgh:CreateHomeRegionControl mgh:CreateProgressUpdateStream mgh:DeleteHomeRegionControl mgh:DeleteProgressUpdateStream mgh:DescribeApplicationState mgh:DescribeHomeRegionControls mgh:DescribeMigrationTask mgh:DisassociateCreatedArtifact mgh:DisassociateDiscoveredResource mgh:DisassociateSourceResource mgh:GetHomeRegion mgh:ImportMigrationTask mgh:ListApplicationStates mgh:ListCreatedArtifacts mgh:ListDiscoveredResources mgh:ListMigrationTaskUpdates mgh:ListMigrationTasks mgh:ListProgressUpdateStreams mgh:ListSourceResources mgh:NotifyApplicationState mgh:NotifyMigrationTaskState mgh:PutResourceAttributes |
| mgn | mgn:ArchiveApplication mgn:ArchiveWave mgn:AssociateApplications mgn:AssociateSourceServers mgn:ChangeServerLifeCycleState mgn:CreateApplication mgn:CreateConnector mgn:CreateLaunchConfigurationTemplate mgn:CreateReplicationConfigurationTemplate mgn:CreateWave mgn:DeleteApplication mgn:DeleteConnector mgn:DeleteJob mgn:DeleteLaunchConfigurationTemplate mgn:DeleteReplicationConfigurationTemplate mgn:DeleteSourceServer mgn:DeleteVcenterClient mgn:DeleteWave mgn:DescribeJobLogItems mgn:DescribeJobs mgn:DescribeLaunchConfigurationTemplates mgn:DescribeReplicationConfigurationTemplates mgn:DescribeVcenterClients mgn:DisassociateApplications mgn:DisassociateSourceServers mgn:DisconnectFromService mgn:FinalizeCutover mgn:GetReplicationConfiguration mgn:InitializeService mgn:ListConnectors mgn:ListExportErrors mgn:ListExports mgn:ListImportErrors mgn:ListImports mgn:ListManagedAccounts mgn:ListSourceServerActions mgn:ListTemplateActions mgn:MarkAsArchived mgn:PauseReplication mgn:PutSourceServerAction mgn:PutTemplateAction mgn:RemoveSourceServerAction mgn:RemoveTemplateAction mgn:ResumeReplication mgn:RetryDataReplication mgn:StartCutover mgn:StartExport mgn:StartImport mgn:StartReplication mgn:StartTest mgn:StopReplication mgn:TerminateTargetInstances mgn:UnarchiveApplication mgn:UnarchiveWave mgn:UpdateApplication mgn:UpdateConnector mgn:UpdateLaunchConfigurationTemplate mgn:UpdateReplicationConfiguration mgn:UpdateReplicationConfigurationTemplate mgn:UpdateSourceServer mgn:UpdateSourceServerReplicationType mgn:UpdateWave |
| migrationhub-strategy | migrationhub-strategy:GetAntiPattern migrationhub-strategy:GetApplicationComponentDetails migrationhub-strategy:GetApplicationComponentStrategies migrationhub-strategy:GetAssessment migrationhub-strategy:GetImportFileTask migrationhub-strategy:GetLatestAssessmentId migrationhub-strategy:GetMessage migrationhub-strategy:GetPortfolioPreferences migrationhub-strategy:GetPortfolioSummary migrationhub-strategy:GetRecommendationReportDetails migrationhub-strategy:GetServerDetails migrationhub-strategy:GetServerStrategies migrationhub-strategy:ListAnalyzableServers migrationhub-strategy:ListAntiPatterns migrationhub-strategy:ListApplicationComponents migrationhub-strategy:ListCollectors migrationhub-strategy:ListImportFileTask migrationhub-strategy:ListJarArtifacts migrationhub-strategy:ListServers migrationhub-strategy:PutLogData migrationhub-strategy:PutMetricData migrationhub-strategy:PutPortfolioPreferences migrationhub-strategy:RegisterCollector migrationhub-strategy:SendMessage migrationhub-strategy:StartAssessment migrationhub-strategy:StartImportFileTask migrationhub-strategy:StartRecommendationReportGeneration migrationhub-strategy:StopAssessment migrationhub-strategy:UpdateApplicationComponentConfig migrationhub-strategy:UpdateCollectorConfiguration migrationhub-strategy:UpdateServerConfig |
| mobiletargeting | mobiletargeting:CreateApp mobiletargeting:CreateCampaign mobiletargeting:CreateEmailTemplate mobiletargeting:CreateExportJob mobiletargeting:CreateImportJob mobiletargeting:CreateInAppTemplate mobiletargeting:CreateJourney mobiletargeting:CreatePushTemplate mobiletargeting:CreateRecommenderConfiguration mobiletargeting:CreateSegment mobiletargeting:CreateSmsTemplate mobiletargeting:CreateVoiceTemplate mobiletargeting:DeleteAdmChannel mobiletargeting:DeleteApnsChannel mobiletargeting:DeleteApnsSandboxChannel mobiletargeting:DeleteApnsVoipChannel mobiletargeting:DeleteApnsVoipSandboxChannel mobiletargeting:DeleteApp mobiletargeting:DeleteBaiduChannel mobiletargeting:DeleteCampaign mobiletargeting:DeleteEmailChannel mobiletargeting:DeleteEmailTemplate mobiletargeting:DeleteEndpoint mobiletargeting:DeleteEventStream mobiletargeting:DeleteGcmChannel mobiletargeting:DeleteInAppTemplate mobiletargeting:DeleteJourney mobiletargeting:DeletePushTemplate mobiletargeting:DeleteRecommenderConfiguration mobiletargeting:DeleteSegment mobiletargeting:DeleteSmsChannel mobiletargeting:DeleteSmsTemplate mobiletargeting:DeleteUserEndpoints mobiletargeting:DeleteVoiceChannel mobiletargeting:DeleteVoiceTemplate mobiletargeting:GetAdmChannel mobiletargeting:GetApnsChannel mobiletargeting:GetApnsSandboxChannel mobiletargeting:GetApnsVoipChannel mobiletargeting:GetApnsVoipSandboxChannel mobiletargeting:GetApp mobiletargeting:GetApplicationDateRangeKpi mobiletargeting:GetApplicationSettings mobiletargeting:GetApps mobiletargeting:GetBaiduChannel mobiletargeting:GetCampaign mobiletargeting:GetCampaignActivities mobiletargeting:GetCampaignDateRangeKpi mobiletargeting:GetCampaignVersion mobiletargeting:GetCampaignVersions mobiletargeting:GetCampaigns mobiletargeting:GetChannels mobiletargeting:GetEmailChannel mobiletargeting:GetEmailTemplate mobiletargeting:GetEndpoint mobiletargeting:GetEventStream mobiletargeting:GetExportJob mobiletargeting:GetExportJobs mobiletargeting:GetGcmChannel mobiletargeting:GetImportJob mobiletargeting:GetImportJobs mobiletargeting:GetInAppMessages mobiletargeting:GetInAppTemplate mobiletargeting:GetJourney mobiletargeting:GetJourneyDateRangeKpi mobiletargeting:GetJourneyExecutionActivityMetrics mobiletargeting:GetJourneyExecutionMetrics mobiletargeting:GetJourneyRunExecutionActivityMetrics mobiletargeting:GetJourneyRunExecutionMetrics mobiletargeting:GetJourneyRuns mobiletargeting:GetPushTemplate mobiletargeting:GetRecommenderConfiguration mobiletargeting:GetRecommenderConfigurations mobiletargeting:GetSegment mobiletargeting:GetSegmentExportJobs mobiletargeting:GetSegmentImportJobs mobiletargeting:GetSegmentVersion mobiletargeting:GetSegmentVersions mobiletargeting:GetSegments mobiletargeting:GetSmsChannel mobiletargeting:GetSmsTemplate mobiletargeting:GetUserEndpoints mobiletargeting:GetVoiceChannel mobiletargeting:GetVoiceTemplate mobiletargeting:ListJourneys mobiletargeting:ListTemplateVersions mobiletargeting:ListTemplates mobiletargeting:PhoneNumberValidate mobiletargeting:PutEventStream mobiletargeting:RemoveAttributes mobiletargeting:UpdateAdmChannel mobiletargeting:UpdateApnsChannel mobiletargeting:UpdateApnsSandboxChannel mobiletargeting:UpdateApnsVoipChannel mobiletargeting:UpdateApnsVoipSandboxChannel mobiletargeting:UpdateApplicationSettings mobiletargeting:UpdateBaiduChannel mobiletargeting:UpdateCampaign mobiletargeting:UpdateEmailChannel mobiletargeting:UpdateEmailTemplate mobiletargeting:UpdateEndpoint mobiletargeting:UpdateEndpointsBatch mobiletargeting:UpdateGcmChannel mobiletargeting:UpdateInAppTemplate mobiletargeting:UpdateJourney mobiletargeting:UpdateJourneyState mobiletargeting:UpdatePushTemplate mobiletargeting:UpdateRecommenderConfiguration mobiletargeting:UpdateSegment mobiletargeting:UpdateSmsChannel mobiletargeting:UpdateSmsTemplate mobiletargeting:UpdateTemplateActiveVersion mobiletargeting:UpdateVoiceChannel mobiletargeting:UpdateVoiceTemplate mobiletargeting:VerifyOTPMessage |
| mq | mq:CreateBroker mq:CreateConfiguration mq:CreateUser mq:DeleteBroker mq:DeleteConfiguration mq:DeleteUser mq:DescribeBroker mq:DescribeBrokerEngineTypes mq:DescribeBrokerInstanceOptions mq:DescribeConfiguration mq:DescribeConfigurationRevision mq:DescribeUser mq:ListBrokers mq:ListConfigurationRevisions mq:ListConfigurations mq:ListUsers mq:Promote mq:RebootBroker mq:UpdateBroker mq:UpdateConfiguration mq:UpdateUser |
| networkmanager | networkmanager:AcceptAttachment networkmanager:AssociateConnectPeer networkmanager:AssociateCustomerGateway networkmanager:AssociateLink networkmanager:AssociateTransitGatewayConnectPeer networkmanager:CreateConnectAttachment networkmanager:CreateConnectPeer networkmanager:CreateConnection networkmanager:CreateCoreNetwork networkmanager:CreateDevice networkmanager:CreateDirectConnectGatewayAttachment networkmanager:CreateGlobalNetwork networkmanager:CreateLink networkmanager:CreateSite networkmanager:CreateSiteToSiteVpnAttachment networkmanager:CreateTransitGatewayPeering networkmanager:CreateTransitGatewayRouteTableAttachment networkmanager:CreateVpcAttachment networkmanager:DeleteAttachment networkmanager:DeleteConnectPeer networkmanager:DeleteConnection networkmanager:DeleteCoreNetwork networkmanager:DeleteCoreNetworkPolicyVersion networkmanager:DeleteDevice networkmanager:DeleteGlobalNetwork networkmanager:DeleteLink networkmanager:DeletePeering networkmanager:DeleteResourcePolicy networkmanager:DeleteSite networkmanager:DeregisterTransitGateway networkmanager:DescribeGlobalNetworks networkmanager:DisassociateConnectPeer networkmanager:DisassociateCustomerGateway networkmanager:DisassociateLink networkmanager:DisassociateTransitGatewayConnectPeer networkmanager:ExecuteCoreNetworkChangeSet networkmanager:GetConnectAttachment networkmanager:GetConnectPeer networkmanager:GetConnectPeerAssociations networkmanager:GetConnections networkmanager:GetCoreNetwork networkmanager:GetCoreNetworkChangeEvents networkmanager:GetCoreNetworkChangeSet networkmanager:GetCoreNetworkPolicy networkmanager:GetCustomerGatewayAssociations networkmanager:GetDevices networkmanager:GetLinkAssociations networkmanager:GetLinks networkmanager:GetNetworkResourceCounts networkmanager:GetNetworkResourceRelationships networkmanager:GetNetworkResources networkmanager:GetNetworkRoutes networkmanager:GetNetworkTelemetry networkmanager:GetResourcePolicy networkmanager:GetRouteAnalysis networkmanager:GetSiteToSiteVpnAttachment networkmanager:GetSites networkmanager:GetTransitGatewayConnectPeerAssociations networkmanager:GetTransitGatewayPeering networkmanager:GetTransitGatewayRegistrations networkmanager:GetTransitGatewayRouteTableAttachment networkmanager:GetVpcAttachment networkmanager:ListAttachmentRoutingPolicyAssociations networkmanager:ListAttachments networkmanager:ListConnectPeers networkmanager:ListCoreNetworkPolicyVersions networkmanager:ListCoreNetworkPrefixListAssociations networkmanager:ListCoreNetworkRoutingInformation networkmanager:ListCoreNetworks networkmanager:ListOrganizationServiceAccessStatus networkmanager:ListPeerings networkmanager:PutAttachmentRoutingPolicyLabel networkmanager:PutCoreNetworkPolicy networkmanager:PutResourcePolicy networkmanager:RegisterTransitGateway networkmanager:RejectAttachment networkmanager:RemoveAttachmentRoutingPolicyLabel networkmanager:RestoreCoreNetworkPolicyVersion networkmanager:StartOrganizationServiceAccessUpdate networkmanager:StartRouteAnalysis networkmanager:UpdateConnection networkmanager:UpdateCoreNetwork networkmanager:UpdateDevice networkmanager:UpdateDirectConnectGatewayAttachment networkmanager:UpdateGlobalNetwork networkmanager:UpdateLink networkmanager:UpdateNetworkResourceMetadata networkmanager:UpdateSite networkmanager:UpdateVpcAttachment |
| nimble | nimble:AcceptEulas nimble:CreateLaunchProfile nimble:CreateStreamingImage nimble:CreateStreamingSession nimble:CreateStreamingSessionStream nimble:CreateStudio nimble:CreateStudioComponent nimble:DeleteLaunchProfile nimble:DeleteLaunchProfileMember nimble:DeleteStreamingImage nimble:DeleteStreamingSession nimble:DeleteStudio nimble:DeleteStudioComponent nimble:DeleteStudioMember nimble:GetEula nimble:GetLaunchProfileDetails nimble:GetStreamingImage nimble:GetStreamingSession nimble:GetStreamingSessionBackup nimble:GetStreamingSessionStream nimble:GetStudio nimble:GetStudioComponent nimble:GetStudioMember nimble:ListEulas nimble:ListLaunchProfileMembers nimble:ListLaunchProfiles nimble:ListStreamingImages nimble:ListStreamingSessionBackups nimble:ListStreamingSessions nimble:ListStudioComponents nimble:ListStudioMembers nimble:ListStudios nimble:PutLaunchProfileMembers nimble:PutStudioMembers nimble:StartStreamingSession nimble:StartStudioSSOConfigurationRepair nimble:StopStreamingSession nimble:UpdateLaunchProfile nimble:UpdateLaunchProfileMember nimble:UpdateStreamingImage nimble:UpdateStudio nimble:UpdateStudioComponent |
| omics | omics:AbortMultipartReadSetUpload omics:AcceptShare omics:BatchDeleteReadSet omics:CancelAnnotationImportJob omics:CancelRun omics:CancelVariantImportJob omics:CompleteMultipartReadSetUpload omics:CreateAnnotationStore omics:CreateAnnotationStoreVersion omics:CreateMultipartReadSetUpload omics:CreateReferenceStore omics:CreateRunGroup omics:CreateSequenceStore omics:CreateShare omics:CreateVariantStore omics:CreateWorkflow omics:CreateWorkflowVersion omics:DeleteAnnotationStore omics:DeleteAnnotationStoreVersions omics:DeleteReference omics:DeleteReferenceStore omics:DeleteRun omics:DeleteRunGroup omics:DeleteSequenceStore omics:DeleteShare omics:DeleteVariantStore omics:DeleteWorkflow omics:DeleteWorkflowVersion omics:GetAnnotationImportJob omics:GetAnnotationStore omics:GetAnnotationStoreVersion omics:GetReadSet omics:GetReadSetActivationJob omics:GetReadSetExportJob omics:GetReadSetImportJob omics:GetReadSetMetadata omics:GetReference omics:GetReferenceImportJob omics:GetReferenceMetadata omics:GetReferenceStore omics:GetRun omics:GetRunGroup omics:GetRunTask omics:GetSequenceStore omics:GetShare omics:GetVariantImportJob omics:GetVariantStore omics:GetWorkflow omics:GetWorkflowVersion omics:ListAnnotationImportJobs omics:ListAnnotationStoreVersions omics:ListAnnotationStores omics:ListMultipartReadSetUploads omics:ListReadSetActivationJobs omics:ListReadSetExportJobs omics:ListReadSetImportJobs omics:ListReadSetUploadParts omics:ListReadSets omics:ListReferenceImportJobs omics:ListReferenceStores omics:ListReferences omics:ListRunGroups omics:ListRunTasks omics:ListRuns omics:ListSequenceStores omics:ListShares omics:ListVariantImportJobs omics:ListVariantStores omics:ListWorkflowVersions omics:ListWorkflows omics:StartAnnotationImportJob omics:StartReadSetActivationJob omics:StartReadSetExportJob omics:StartReadSetImportJob omics:StartReferenceImportJob omics:StartRun omics:StartVariantImportJob omics:UpdateAnnotationStore omics:UpdateAnnotationStoreVersion omics:UpdateRunGroup omics:UpdateVariantStore omics:UpdateWorkflow omics:UpdateWorkflowVersion omics:UploadReadSetPart |
| opsworks | opsworks:AssignInstance opsworks:AssignVolume opsworks:AssociateElasticIp opsworks:AttachElasticLoadBalancer opsworks:CloneStack opsworks:CreateApp opsworks:CreateDeployment opsworks:CreateInstance opsworks:CreateLayer opsworks:CreateStack opsworks:CreateUserProfile opsworks:DeleteApp opsworks:DeleteInstance opsworks:DeleteLayer opsworks:DeleteStack opsworks:DeleteUserProfile opsworks:DeregisterEcsCluster opsworks:DeregisterElasticIp opsworks:DeregisterInstance opsworks:DeregisterRdsDbInstance opsworks:DeregisterVolume opsworks:DescribeAgentVersions opsworks:DescribeApps opsworks:DescribeCommands opsworks:DescribeDeployments opsworks:DescribeEcsClusters opsworks:DescribeElasticIps opsworks:DescribeElasticLoadBalancers opsworks:DescribeInstances opsworks:DescribeLayers opsworks:DescribeLoadBasedAutoScaling opsworks:DescribeMyUserProfile opsworks:DescribeOperatingSystems opsworks:DescribePermissions opsworks:DescribeRaidArrays opsworks:DescribeRdsDbInstances opsworks:DescribeServiceErrors opsworks:DescribeStackProvisioningParameters opsworks:DescribeStackSummary opsworks:DescribeStacks opsworks:DescribeTimeBasedAutoScaling opsworks:DescribeUserProfiles opsworks:DescribeVolumes opsworks:DetachElasticLoadBalancer opsworks:DisassociateElasticIp opsworks:GetHostnameSuggestion opsworks:GrantAccess opsworks:RebootInstance opsworks:RegisterEcsCluster opsworks:RegisterElasticIp opsworks:RegisterInstance opsworks:RegisterRdsDbInstance opsworks:RegisterVolume opsworks:SetLoadBasedAutoScaling opsworks:SetPermission opsworks:SetTimeBasedAutoScaling opsworks:StartInstance opsworks:StartStack opsworks:StopInstance opsworks:StopStack opsworks:UnassignInstance opsworks:UnassignVolume opsworks:UpdateApp opsworks:UpdateElasticIp opsworks:UpdateInstance opsworks:UpdateLayer opsworks:UpdateMyUserProfile opsworks:UpdateRdsDbInstance opsworks:UpdateStack opsworks:UpdateUserProfile opsworks:UpdateVolume |
| opsworks-cm | opsworks-cm:AssociateNode opsworks-cm:CreateBackup opsworks-cm:CreateServer opsworks-cm:DeleteBackup opsworks-cm:DeleteServer opsworks-cm:DescribeAccountAttributes opsworks-cm:DescribeBackups opsworks-cm:DescribeEvents opsworks-cm:DescribeNodeAssociationStatus opsworks-cm:DescribeServers opsworks-cm:DisassociateNode opsworks-cm:ExportServerEngineAttribute opsworks-cm:RestoreServer opsworks-cm:StartMaintenance opsworks-cm:UpdateServer opsworks-cm:UpdateServerEngineAttributes |
| 組織 | organizations:AcceptHandshake organizations:AttachPolicy organizations:CancelHandshake organizations:CloseAccount organizations:CreateAccount organizations:CreateGovCloudAccount organizations:CreateOrganization organizations:CreateOrganizationalUnit organizations:CreatePolicy organizations:DeclineHandshake organizations:DeleteOrganization organizations:DeleteOrganizationalUnit organizations:DeletePolicy organizations:DeleteResourcePolicy organizations:DeregisterDelegatedAdministrator organizations:DescribeAccount organizations:DescribeCreateAccountStatus organizations:DescribeEffectivePolicy organizations:DescribeHandshake organizations:DescribeOrganization organizations:DescribeOrganizationalUnit organizations:DescribePolicy organizations:DescribeResourcePolicy organizations:DescribeResponsibilityTransfer organizations:DetachPolicy organizations:DisableAWSServiceAccess organizations:DisablePolicyType organizations:EnableAWSServiceAccess organizations:EnableAllFeatures organizations:EnablePolicyType organizations:InviteAccountToOrganization organizations:LeaveOrganization organizations:ListAWSServiceAccessForOrganization organizations:ListAccounts organizations:ListAccountsForParent organizations:ListAccountsWithInvalidEffectivePolicy organizations:ListChildren organizations:ListCreateAccountStatus organizations:ListDelegatedAdministrators organizations:ListDelegatedServicesForAccount organizations:ListHandshakesForAccount organizations:ListHandshakesForOrganization organizations:ListInboundResponsibilityTransfers organizations:ListOrganizationalUnitsForParent organizations:ListOutboundResponsibilityTransfers organizations:ListParents organizations:ListPolicies organizations:ListPoliciesForTarget organizations:ListRoots organizations:ListTargetsForPolicy organizations:MoveAccount organizations:PutResourcePolicy organizations:RegisterDelegatedAdministrator organizations:RemoveAccountFromOrganization organizations:TerminateResponsibilityTransfer organizations:UpdateOrganizationalUnit organizations:UpdatePolicy organizations:UpdateResponsibilityTransfer |
| outposts | outposts:CancelCapacityTask outposts:CancelOrder outposts:CreateOrder outposts:CreateOutpost outposts:CreatePrivateConnectivityConfig outposts:CreateSite outposts:DeleteOutpost outposts:DeleteSite outposts:GetCapacityTask outposts:GetCatalogItem outposts:GetConnection outposts:GetOrder outposts:GetOutpost outposts:GetOutpostBillingInformation outposts:GetOutpostInstanceTypes outposts:GetOutpostSupportedInstanceTypes outposts:GetPrivateConnectivityConfig outposts:GetSite outposts:GetSiteAddress outposts:ListAssetInstances outposts:ListAssets outposts:ListBlockingInstancesForCapacityTask outposts:ListCapacityTasks outposts:ListCatalogItems outposts:ListOrders outposts:ListOutposts outposts:ListSites outposts:StartCapacityTask outposts:StartConnection outposts:UpdateOutpost outposts:UpdateSite outposts:UpdateSiteAddress outposts:UpdateSiteRackPhysicalProperties |
| panorama | panorama:CreateApplicationInstance panorama:CreateJobForDevices panorama:CreateNodeFromTemplateJob panorama:CreatePackage panorama:CreatePackageImportJob panorama:DeleteDevice panorama:DeletePackage panorama:DeregisterPackageVersion panorama:DescribeApplicationInstance panorama:DescribeApplicationInstanceDetails panorama:DescribeDevice panorama:DescribeDeviceJob panorama:DescribeNode panorama:DescribeNodeFromTemplateJob panorama:DescribePackage panorama:DescribePackageImportJob panorama:DescribePackageVersion panorama:ListApplicationInstanceDependencies panorama:ListApplicationInstanceNodeInstances panorama:ListApplicationInstances panorama:ListDevices panorama:ListDevicesJobs panorama:ListNodeFromTemplateJobs panorama:ListNodes panorama:ListPackageImportJobs panorama:ListPackages panorama:ProvisionDevice panorama:RegisterPackageVersion panorama:RemoveApplicationInstance panorama:SignalApplicationInstanceNodeInstances panorama:UpdateDeviceMetadata |
| pi | pi:CreatePerformanceAnalysisReport pi:DeletePerformanceAnalysisReport pi:DescribeDimensionKeys pi:GetDimensionKeyDetails pi:GetPerformanceAnalysisReport pi:GetResourceMetadata pi:GetResourceMetrics pi:ListAvailableResourceDimensions pi:ListAvailableResourceMetrics pi:ListPerformanceAnalysisReports |
| pipes | pipes:CreatePipe pipes:DeletePipe pipes:DescribePipe pipes:ListPipes pipes:StartPipe pipes:StopPipe pipes:UpdatePipe |
| polly | polly:DeleteLexicon polly:DescribeVoices polly:GetLexicon polly:GetSpeechSynthesisTask polly:ListLexicons polly:ListSpeechSynthesisTasks polly:PutLexicon polly:StartSpeechSynthesisTask polly:SynthesizeSpeech |
| profile | profile:AddProfileKey profile:BatchGetCalculatedAttributeForProfile profile:BatchGetProfile profile:CreateCalculatedAttributeDefinition profile:CreateDomain profile:CreateEventStream profile:CreateProfile profile:CreateRecommender profile:CreateSegmentDefinition profile:CreateSegmentEstimate profile:CreateSegmentSnapshot profile:CreateUploadJob profile:DeleteCalculatedAttributeDefinition profile:DeleteDomain profile:DeleteDomainObjectType profile:DeleteEventStream profile:DeleteIntegration profile:DeleteProfile profile:DeleteProfileKey profile:DeleteProfileObject profile:DeleteProfileObjectType profile:DeleteRecommender profile:DeleteSegmentDefinition profile:DeleteWorkflow profile:DetectProfileObjectType profile:GetAutoMergingPreview profile:GetCalculatedAttributeDefinition profile:GetCalculatedAttributeForProfile profile:GetDomain profile:GetDomainObjectType profile:GetEventStream profile:GetIdentityResolutionJob profile:GetIntegration profile:GetMatches profile:GetObjectTypeAttributeStatistics profile:GetProfileObjectType profile:GetProfileObjectTypeTemplate profile:GetProfileRecommendations profile:GetRecommender profile:GetSegmentDefinition profile:GetSegmentEstimate profile:GetSegmentMembership profile:GetSegmentSnapshot profile:GetSimilarProfiles profile:GetUploadJob profile:GetUploadJobPath profile:GetWorkflow profile:GetWorkflowSteps profile:ListAccountIntegrations profile:ListCalculatedAttributeDefinitions profile:ListCalculatedAttributesForProfile profile:ListDomainLayouts profile:ListDomainObjectTypes profile:ListDomains profile:ListEventStreams profile:ListIdentityResolutionJobs profile:ListIntegrations profile:ListObjectTypeAttributeValues profile:ListObjectTypeAttributes profile:ListProfileAttributeValues profile:ListProfileObjectTypeTemplates profile:ListProfileObjectTypes profile:ListProfileObjects profile:ListRecommenderRecipes profile:ListRecommenders profile:ListRuleBasedMatches profile:ListSegmentDefinitions profile:ListUploadJobs profile:ListWorkflows profile:MergeProfiles profile:PutDomainObjectType profile:PutIntegration profile:PutProfileObject profile:PutProfileObjectType profile:SearchProfiles profile:StartRecommender profile:StartUploadJob profile:StopRecommender profile:StopUploadJob profile:UpdateCalculatedAttributeDefinition profile:UpdateDomain profile:UpdateProfile profile:UpdateRecommender |
| qldb | qldb:CancelJournalKinesisStream qldb:CreateLedger qldb:DeleteLedger qldb:DescribeJournalKinesisStream qldb:DescribeJournalS3Export qldb:DescribeLedger qldb:ExportJournalToS3 qldb:GetBlock qldb:GetDigest qldb:GetRevision qldb:ListJournalKinesisStreamsForLedger qldb:ListJournalS3Exports qldb:ListJournalS3ExportsForLedger qldb:ListLedgers qldb:StreamJournalToKinesis qldb:UpdateLedger qldb:UpdateLedgerPermissionsMode |
| ram | ram:AcceptResourceShareInvitation ram:AssociateResourceShare ram:AssociateResourceSharePermission ram:CreatePermission ram:CreatePermissionVersion ram:CreateResourceShare ram:DeletePermission ram:DeletePermissionVersion ram:DeleteResourceShare ram:DisassociateResourceShare ram:DisassociateResourceSharePermission ram:EnableSharingWithAwsOrganization ram:GetPermission ram:GetResourcePolicies ram:GetResourceShareAssociations ram:GetResourceShareInvitations ram:GetResourceShares ram:ListPendingInvitationResources ram:ListPermissionAssociations ram:ListPermissionVersions ram:ListPermissions ram:ListPrincipals ram:ListReplacePermissionAssociationsWork ram:ListResourceSharePermissions ram:ListResourceTypes ram:ListResources ram:PromotePermissionCreatedFromPolicy ram:PromoteResourceShareCreatedFromPolicy ram:RejectResourceShareInvitation ram:ReplacePermissionAssociations ram:SetDefaultPermissionVersion ram:UpdateResourceShare |
| rbin | rbin:CreateRule rbin:DeleteRule rbin:GetRule rbin:ListRules rbin:LockRule rbin:UnlockRule rbin:UpdateRule |
| rds | rds:AddRoleToDBCluster rds:AddRoleToDBInstance rds:AddSourceIdentifierToSubscription rds:ApplyPendingMaintenanceAction rds:AuthorizeDBSecurityGroupIngress rds:BacktrackDBCluster rds:CancelExportTask rds:CopyDBClusterParameterGroup rds:CopyDBClusterSnapshot rds:CopyDBParameterGroup rds:CopyDBSnapshot rds:CopyOptionGroup rds:CreateCustomDBEngineVersion rds:CreateDBClusterParameterGroup rds:CreateDBParameterGroup rds:CreateDBProxy rds:CreateDBProxyEndpoint rds:CreateDBSecurityGroup rds:CreateDBSubnetGroup rds:CreateEventSubscription rds:CreateGlobalCluster rds:CreateOptionGroup rds:DeleteBlueGreenDeployment rds:DeleteDBClusterAutomatedBackup rds:DeleteDBClusterParameterGroup rds:DeleteDBClusterSnapshot rds:DeleteDBInstanceAutomatedBackup rds:DeleteDBParameterGroup rds:DeleteDBProxy rds:DeleteDBProxyEndpoint rds:DeleteDBSecurityGroup rds:DeleteDBSnapshot rds:DeleteDBSubnetGroup rds:DeleteEventSubscription rds:DeleteGlobalCluster rds:DeleteOptionGroup rds:DeregisterDBProxyTargets rds:DescribeAccountAttributes rds:DescribeBlueGreenDeployments rds:DescribeCertificates rds:DescribeDBClusterAutomatedBackups rds:DescribeDBClusterBacktracks rds:DescribeDBClusterEndpoints rds:DescribeDBClusterParameterGroups rds:DescribeDBClusterParameters rds:DescribeDBClusterSnapshotAttributes rds:DescribeDBClusterSnapshots rds:DescribeDBClusters rds:DescribeDBEngineVersions rds:DescribeDBInstanceAutomatedBackups rds:DescribeDBInstances rds:DescribeDBLogFiles rds:DescribeDBMajorEngineVersions rds:DescribeDBParameterGroups rds:DescribeDBParameters rds:DescribeDBProxies rds:DescribeDBProxyEndpoints rds:DescribeDBProxyTargetGroups rds:DescribeDBProxyTargets rds:DescribeDBRecommendations rds:DescribeDBSecurityGroups rds:DescribeDBSnapshotAttributes rds:DescribeDBSnapshotTenantDatabases rds:DescribeDBSnapshots rds:DescribeDBSubnetGroups rds:DescribeEngineDefaultClusterParameters rds:DescribeEngineDefaultParameters rds:DescribeEventCategories rds:DescribeEventSubscriptions rds:DescribeEvents rds:DescribeExportTasks rds:DescribeGlobalClusters rds:DescribeIntegrations rds:DescribeOptionGroupOptions rds:DescribeOptionGroups rds:DescribeOrderableDBInstanceOptions rds:DescribePendingMaintenanceActions rds:DescribeReservedDBInstances rds:DescribeReservedDBInstancesOfferings rds:DescribeSourceRegions rds:DescribeTenantDatabases rds:DescribeValidDBInstanceModifications rds:DownloadCompleteDBLogFile rds:DownloadDBLogFilePortion rds:FailoverDBCluster rds:FailoverGlobalCluster rds:ModifyActivityStream rds:ModifyCertificates rds:ModifyCurrentDBClusterCapacity rds:ModifyDBClusterEndpoint rds:ModifyDBClusterParameterGroup rds:ModifyDBClusterSnapshotAttribute rds:ModifyDBParameterGroup rds:ModifyDBProxy rds:ModifyDBProxyEndpoint rds:ModifyDBProxyTargetGroup rds:ModifyDBRecommendation rds:ModifyDBSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBSubnetGroup rds:ModifyEventSubscription rds:ModifyGlobalCluster rds:ModifyOptionGroup rds:ModifyTenantDatabase rds:PurchaseReservedDBInstancesOffering rds:RebootDBCluster rds:RegisterDBProxyTargets rds:RemoveFromGlobalCluster rds:RemoveRoleFromDBCluster rds:RemoveRoleFromDBInstance rds:RemoveSourceIdentifierFromSubscription rds:ResetDBClusterParameterGroup rds:ResetDBParameterGroup rds:RestoreDBClusterFromS3 rds:RestoreDBClusterFromSnapshot rds:RestoreDBClusterToPointInTime rds:RestoreDBInstanceFromDBSnapshot rds:RestoreDBInstanceFromS3 rds:RestoreDBInstanceToPointInTime rds:RevokeDBSecurityGroupIngress rds:StartActivityStream rds:StartDBCluster rds:StartDBInstance rds:StartDBInstanceAutomatedBackupsReplication rds:StartExportTask rds:StopActivityStream rds:StopDBCluster rds:StopDBInstance rds:StopDBInstanceAutomatedBackupsReplication rds:SwitchoverBlueGreenDeployment rds:SwitchoverGlobalCluster rds:SwitchoverReadReplica |
| redshift | redshift:AcceptReservedNodeExchange redshift:AddPartner redshift:AssociateDataShareConsumer redshift:AuthorizeClusterSecurityGroupIngress redshift:AuthorizeDataShare redshift:AuthorizeEndpointAccess redshift:AuthorizeSnapshotAccess redshift:BatchDeleteClusterSnapshots redshift:BatchModifyClusterSnapshots redshift:CancelQuery redshift:CancelResize redshift:CopyClusterSnapshot redshift:CreateAuthenticationProfile redshift:CreateCluster redshift:CreateClusterParameterGroup redshift:CreateClusterSecurityGroup redshift:CreateClusterSnapshot redshift:CreateClusterSubnetGroup redshift:CreateCustomDomainAssociation redshift:CreateEndpointAccess redshift:CreateEventSubscription redshift:CreateHsmClientCertificate redshift:CreateHsmConfiguration redshift:CreateIntegration redshift:CreateRedshiftIdcApplication redshift:CreateScheduledAction redshift:CreateSnapshotCopyGrant redshift:CreateSnapshotSchedule redshift:CreateUsageLimit redshift:DeauthorizeDataShare redshift:DeleteAuthenticationProfile redshift:DeleteCluster redshift:DeleteClusterParameterGroup redshift:DeleteClusterSecurityGroup redshift:DeleteClusterSnapshot redshift:DeleteClusterSubnetGroup redshift:DeleteCustomDomainAssociation redshift:DeleteEndpointAccess redshift:DeleteEventSubscription redshift:DeleteHsmClientCertificate redshift:DeleteHsmConfiguration redshift:DeletePartner redshift:DeleteRedshiftIdcApplication redshift:DeleteResourcePolicy redshift:DeleteScheduledAction redshift:DeleteSnapshotCopyGrant redshift:DeleteSnapshotSchedule redshift:DeleteUsageLimit redshift:DeregisterNamespace redshift:DescribeAccountAttributes redshift:DescribeAuthenticationProfiles redshift:DescribeClusterDbRevisions redshift:DescribeClusterParameterGroups redshift:DescribeClusterParameters redshift:DescribeClusterSecurityGroups redshift:DescribeClusterSnapshots redshift:DescribeClusterSubnetGroups redshift:DescribeClusterTracks redshift:DescribeClusterVersions redshift:DescribeClusters redshift:DescribeCustomDomainAssociations redshift:DescribeDataShares redshift:DescribeDataSharesForConsumer redshift:DescribeDataSharesForProducer redshift:DescribeDefaultClusterParameters redshift:DescribeEndpointAccess redshift:DescribeEndpointAuthorization redshift:DescribeEventCategories redshift:DescribeEventSubscriptions redshift:DescribeEvents redshift:DescribeHsmClientCertificates redshift:DescribeHsmConfigurations redshift:DescribeInboundIntegrations redshift:DescribeIntegrations redshift:DescribeLoggingStatus redshift:DescribeNodeConfigurationOptions redshift:DescribeOrderableClusterOptions redshift:DescribePartners redshift:DescribeRedshiftIdcApplications redshift:DescribeReservedNodeExchangeStatus redshift:DescribeReservedNodeOfferings redshift:DescribeReservedNodes redshift:DescribeResize redshift:DescribeScheduledActions redshift:DescribeSnapshotCopyGrants redshift:DescribeSnapshotSchedules redshift:DescribeStorage redshift:DescribeTableRestoreStatus redshift:DescribeUsageLimits redshift:DisableLogging redshift:DisableSnapshotCopy redshift:DisassociateDataShareConsumer redshift:EnableLogging redshift:EnableSnapshotCopy redshift:FailoverPrimaryCompute redshift:GetClusterCredentials redshift:GetClusterCredentialsWithIAM redshift:GetIdentityCenterAuthToken redshift:GetReservedNodeExchangeConfigurationOptions redshift:GetReservedNodeExchangeOfferings redshift:GetResourcePolicy redshift:ListRecommendations redshift:ModifyAquaConfiguration redshift:ModifyAuthenticationProfile redshift:ModifyCluster redshift:ModifyClusterDbRevision redshift:ModifyClusterIamRoles redshift:ModifyClusterMaintenance redshift:ModifyClusterParameterGroup redshift:ModifyClusterSnapshot redshift:ModifyClusterSnapshotSchedule redshift:ModifyClusterSubnetGroup redshift:ModifyCustomDomainAssociation redshift:ModifyEndpointAccess redshift:ModifyEventSubscription redshift:ModifyRedshiftIdcApplication redshift:ModifyScheduledAction redshift:ModifySnapshotCopyRetentionPeriod redshift:ModifySnapshotSchedule redshift:ModifyUsageLimit redshift:PauseCluster redshift:PurchaseReservedNodeOffering redshift:PutResourcePolicy redshift:RebootCluster redshift:RegisterNamespace redshift:RejectDataShare redshift:ResetClusterParameterGroup redshift:ResizeCluster redshift:RestoreFromClusterSnapshot redshift:RestoreTableFromClusterSnapshot redshift:ResumeCluster redshift:RevokeClusterSecurityGroupIngress redshift:RevokeEndpointAccess redshift:RevokeSnapshotAccess redshift:RotateEncryptionKey redshift:UpdatePartnerStatus |
| redshift-data | redshift-data:BatchExecuteStatement redshift-data:CancelStatement redshift-data:DescribeStatement redshift-data:DescribeTable redshift-data:ExecuteStatement redshift-data:GetStatementResult redshift-data:ListDatabases redshift-data:ListSchemas redshift-data:ListStatements redshift-data:ListTables |
| refactor-spaces | refactor-spaces:CreateApplication refactor-spaces:CreateEnvironment refactor-spaces:CreateRoute refactor-spaces:CreateService refactor-spaces:DeleteApplication refactor-spaces:DeleteEnvironment refactor-spaces:DeleteResourcePolicy refactor-spaces:DeleteRoute refactor-spaces:DeleteService refactor-spaces:GetApplication refactor-spaces:GetEnvironment refactor-spaces:GetResourcePolicy refactor-spaces:GetRoute refactor-spaces:GetService refactor-spaces:ListApplications refactor-spaces:ListEnvironmentVpcs refactor-spaces:ListEnvironments refactor-spaces:ListRoutes refactor-spaces:ListServices refactor-spaces:PutResourcePolicy refactor-spaces:UpdateRoute |
| rekognition | rekognition:AssociateFaces rekognition:CompareFaces rekognition:CopyProjectVersion rekognition:CreateCollection rekognition:CreateDataset rekognition:CreateFaceLivenessSession rekognition:CreateProject rekognition:CreateProjectVersion rekognition:CreateStreamProcessor rekognition:CreateUser rekognition:DeleteCollection rekognition:DeleteDataset rekognition:DeleteFaces rekognition:DeleteProject rekognition:DeleteProjectPolicy rekognition:DeleteProjectVersion rekognition:DeleteStreamProcessor rekognition:DeleteUser rekognition:DescribeCollection rekognition:DescribeDataset rekognition:DescribeProjectVersions rekognition:DescribeProjects rekognition:DescribeStreamProcessor rekognition:DetectCustomLabels rekognition:DetectFaces rekognition:DetectLabels rekognition:DetectModerationLabels rekognition:DetectProtectiveEquipment rekognition:DetectText rekognition:DisassociateFaces rekognition:DistributeDatasetEntries rekognition:GetCelebrityInfo rekognition:GetCelebrityRecognition rekognition:GetContentModeration rekognition:GetFaceDetection rekognition:GetFaceLivenessSessionResults rekognition:GetFaceSearch rekognition:GetLabelDetection rekognition:GetMediaAnalysisJob rekognition:GetPersonTracking rekognition:GetSegmentDetection rekognition:GetTextDetection rekognition:IndexFaces rekognition:ListCollections rekognition:ListDatasetEntries rekognition:ListDatasetLabels rekognition:ListFaces rekognition:ListMediaAnalysisJobs rekognition:ListProjectPolicies rekognition:ListStreamProcessors rekognition:ListUsers rekognition:PutProjectPolicy rekognition:RecognizeCelebrities rekognition:SearchFaces rekognition:SearchFacesByImage rekognition:SearchUsers rekognition:SearchUsersByImage rekognition:StartCelebrityRecognition rekognition:StartContentModeration rekognition:StartFaceDetection rekognition:StartFaceLivenessSession rekognition:StartFaceSearch rekognition:StartLabelDetection rekognition:StartMediaAnalysisJob rekognition:StartPersonTracking rekognition:StartProjectVersion rekognition:StartSegmentDetection rekognition:StartStreamProcessor rekognition:StartTextDetection rekognition:StopProjectVersion rekognition:StopStreamProcessor rekognition:UpdateDatasetEntries rekognition:UpdateStreamProcessor |
| resiliencehub | resiliencehub:AcceptResourceGroupingRecommendations resiliencehub:AddDraftAppVersionResourceMappings resiliencehub:BatchUpdateRecommendationStatus resiliencehub:CreateApp resiliencehub:CreateAppVersionAppComponent resiliencehub:CreateAppVersionResource resiliencehub:CreateRecommendationTemplate resiliencehub:CreateResiliencyPolicy resiliencehub:DeleteApp resiliencehub:DeleteAppAssessment resiliencehub:DeleteAppInputSource resiliencehub:DeleteAppVersionAppComponent resiliencehub:DeleteAppVersionResource resiliencehub:DeleteRecommendationTemplate resiliencehub:DeleteResiliencyPolicy resiliencehub:DescribeApp resiliencehub:DescribeAppAssessment resiliencehub:DescribeAppVersion resiliencehub:DescribeAppVersionAppComponent resiliencehub:DescribeAppVersionResource resiliencehub:DescribeAppVersionResourcesResolutionStatus resiliencehub:DescribeAppVersionTemplate resiliencehub:DescribeDraftAppVersionResourcesImportStatus resiliencehub:DescribeMetricsExport resiliencehub:DescribeResiliencyPolicy resiliencehub:DescribeResourceGroupingRecommendationTask resiliencehub:ImportResourcesToDraftAppVersion resiliencehub:ListAlarmRecommendations resiliencehub:ListAppAssessmentComplianceDrifts resiliencehub:ListAppAssessmentResourceDrifts resiliencehub:ListAppAssessments resiliencehub:ListAppComponentCompliances resiliencehub:ListAppComponentRecommendations resiliencehub:ListAppInputSources resiliencehub:ListAppVersionAppComponents resiliencehub:ListAppVersionResourceMappings resiliencehub:ListAppVersionResources resiliencehub:ListAppVersions resiliencehub:ListApps resiliencehub:ListMetrics resiliencehub:ListRecommendationTemplates resiliencehub:ListResiliencyPolicies resiliencehub:ListResourceGroupingRecommendations resiliencehub:ListSopRecommendations resiliencehub:ListSuggestedResiliencyPolicies resiliencehub:ListTestRecommendations resiliencehub:ListUnsupportedAppVersionResources resiliencehub:PublishAppVersion resiliencehub:PutDraftAppVersionTemplate resiliencehub:RejectResourceGroupingRecommendations resiliencehub:RemoveDraftAppVersionResourceMappings resiliencehub:ResolveAppVersionResources resiliencehub:StartAppAssessment resiliencehub:StartResourceGroupingRecommendationTask resiliencehub:UpdateApp resiliencehub:UpdateAppVersion resiliencehub:UpdateAppVersionAppComponent resiliencehub:UpdateAppVersionResource resiliencehub:UpdateResiliencyPolicy |
| resource-explorer-2 | resource-explorer-2:AssociateDefaultView resource-explorer-2:BatchGetView resource-explorer-2:CreateIndex resource-explorer-2:CreateResourceExplorerSetup resource-explorer-2:CreateView resource-explorer-2:DeleteIndex resource-explorer-2:DeleteResourceExplorerSetup resource-explorer-2:DeleteView resource-explorer-2:DisassociateDefaultView resource-explorer-2:GetAccountLevelServiceConfiguration resource-explorer-2:GetDefaultView resource-explorer-2:GetIndex resource-explorer-2:GetManagedView resource-explorer-2:GetResourceExplorerSetup resource-explorer-2:GetServiceIndex resource-explorer-2:GetServiceView resource-explorer-2:ListIndexes resource-explorer-2:ListIndexesForMembers resource-explorer-2:ListManagedViews resource-explorer-2:ListServiceIndexes resource-explorer-2:ListServiceViews resource-explorer-2:ListStreamingAccessForServices resource-explorer-2:ListSupportedResourceTypes resource-explorer-2:ListViews resource-explorer-2:Search resource-explorer-2:UpdateIndexType resource-explorer-2:UpdateView |
| resource-groups | resource-groups:CancelTagSyncTask resource-groups:GetAccountSettings resource-groups:GetGroup resource-groups:GetGroupConfiguration resource-groups:GetGroupQuery resource-groups:GetTagSyncTask resource-groups:GroupResources resource-groups:ListGroupResources resource-groups:ListGroupingStatuses resource-groups:ListGroups resource-groups:ListTagSyncTasks resource-groups:PutGroupConfiguration resource-groups:SearchResources resource-groups:StartTagSyncTask resource-groups:UngroupResources resource-groups:UpdateAccountSettings resource-groups:UpdateGroup resource-groups:UpdateGroupQuery |
| robomaker | robomaker:BatchDeleteWorlds robomaker:BatchDescribeSimulationJob robomaker:CancelDeploymentJob robomaker:CancelSimulationJob robomaker:CancelSimulationJobBatch robomaker:CancelWorldExportJob robomaker:CancelWorldGenerationJob robomaker:CreateDeploymentJob robomaker:CreateFleet robomaker:CreateRobot robomaker:CreateRobotApplication robomaker:CreateRobotApplicationVersion robomaker:CreateSimulationApplication robomaker:CreateSimulationApplicationVersion robomaker:CreateSimulationJob robomaker:CreateWorldExportJob robomaker:CreateWorldGenerationJob robomaker:CreateWorldTemplate robomaker:DeleteFleet robomaker:DeleteRobot robomaker:DeleteRobotApplication robomaker:DeleteSimulationApplication robomaker:DeleteWorldTemplate robomaker:DeregisterRobot robomaker:DescribeDeploymentJob robomaker:DescribeFleet robomaker:DescribeRobot robomaker:DescribeRobotApplication robomaker:DescribeSimulationApplication robomaker:DescribeSimulationJob robomaker:DescribeSimulationJobBatch robomaker:DescribeWorld robomaker:DescribeWorldExportJob robomaker:DescribeWorldGenerationJob robomaker:DescribeWorldTemplate robomaker:GetWorldTemplateBody robomaker:ListDeploymentJobs robomaker:ListFleets robomaker:ListRobotApplications robomaker:ListRobots robomaker:ListSimulationApplications robomaker:ListSimulationJobBatches robomaker:ListSimulationJobs robomaker:ListWorldExportJobs robomaker:ListWorldGenerationJobs robomaker:ListWorldTemplates robomaker:ListWorlds robomaker:RegisterRobot robomaker:RestartSimulationJob robomaker:StartSimulationJobBatch robomaker:SyncDeploymentJob robomaker:UpdateRobotApplication robomaker:UpdateSimulationApplication robomaker:UpdateWorldTemplate |
| rolesanywhere | rolesanywhere:CreateProfile rolesanywhere:CreateTrustAnchor rolesanywhere:DeleteAttributeMapping rolesanywhere:DeleteCrl rolesanywhere:DeleteProfile rolesanywhere:DeleteTrustAnchor rolesanywhere:DisableCrl rolesanywhere:DisableProfile rolesanywhere:DisableTrustAnchor rolesanywhere:EnableCrl rolesanywhere:EnableProfile rolesanywhere:EnableTrustAnchor rolesanywhere:GetCrl rolesanywhere:GetProfile rolesanywhere:GetSubject rolesanywhere:GetTrustAnchor rolesanywhere:ImportCrl rolesanywhere:ListCrls rolesanywhere:ListProfiles rolesanywhere:ListSubjects rolesanywhere:ListTrustAnchors rolesanywhere:PutAttributeMapping rolesanywhere:PutNotificationSettings rolesanywhere:ResetNotificationSettings rolesanywhere:UpdateCrl rolesanywhere:UpdateProfile rolesanywhere:UpdateTrustAnchor |
| route53 | route53:ActivateKeySigningKey route53:AssociateVPCWithHostedZone route53:ChangeCidrCollection route53:ChangeResourceRecordSets route53:CreateCidrCollection route53:CreateHealthCheck route53:CreateHostedZone route53:CreateKeySigningKey route53:CreateQueryLoggingConfig route53:CreateReusableDelegationSet route53:CreateTrafficPolicy route53:CreateTrafficPolicyInstance route53:CreateTrafficPolicyVersion route53:CreateVPCAssociationAuthorization route53:DeactivateKeySigningKey route53:DeleteCidrCollection route53:DeleteHealthCheck route53:DeleteHostedZone route53:DeleteKeySigningKey route53:DeleteQueryLoggingConfig route53:DeleteReusableDelegationSet route53:DeleteTrafficPolicy route53:DeleteTrafficPolicyInstance route53:DeleteVPCAssociationAuthorization route53:DisableHostedZoneDNSSEC route53:DisassociateVPCFromHostedZone route53:EnableHostedZoneDNSSEC route53:GetAccountLimit route53:GetChange route53:GetCheckerIpRanges route53:GetDNSSEC route53:GetGeoLocation route53:GetHealthCheck route53:GetHealthCheckCount route53:GetHealthCheckLastFailureReason route53:GetHealthCheckStatus route53:GetHostedZone route53:GetHostedZoneCount route53:GetHostedZoneLimit route53:GetQueryLoggingConfig route53:GetReusableDelegationSet route53:GetReusableDelegationSetLimit route53:GetTrafficPolicy route53:GetTrafficPolicyInstance route53:GetTrafficPolicyInstanceCount route53:ListCidrBlocks route53:ListCidrCollections route53:ListCidrLocations route53:ListGeoLocations route53:ListHealthChecks route53:ListHostedZones route53:ListHostedZonesByName route53:ListHostedZonesByVPC route53:ListQueryLoggingConfigs route53:ListResourceRecordSets route53:ListReusableDelegationSets route53:ListTrafficPolicies route53:ListTrafficPolicyInstances route53:ListTrafficPolicyInstancesByHostedZone route53:ListTrafficPolicyInstancesByPolicy route53:ListTrafficPolicyVersions route53:ListVPCAssociationAuthorizations route53:TestDNSAnswer route53:UpdateHealthCheck route53:UpdateHostedZoneComment route53:UpdateTrafficPolicyComment route53:UpdateTrafficPolicyInstance |
| route53-recovery-control-config | route53-recovery-control-config:CreateCluster route53-recovery-control-config:CreateControlPanel route53-recovery-control-config:CreateRoutingControl route53-recovery-control-config:CreateSafetyRule route53-recovery-control-config:DeleteCluster route53-recovery-control-config:DeleteControlPanel route53-recovery-control-config:DeleteRoutingControl route53-recovery-control-config:DeleteSafetyRule route53-recovery-control-config:DescribeCluster route53-recovery-control-config:DescribeControlPanel route53-recovery-control-config:DescribeRoutingControl route53-recovery-control-config:DescribeSafetyRule route53-recovery-control-config:GetResourcePolicy route53-recovery-control-config:ListAssociatedRoute53HealthChecks route53-recovery-control-config:ListClusters route53-recovery-control-config:ListControlPanels route53-recovery-control-config:ListRoutingControls route53-recovery-control-config:ListSafetyRules route53-recovery-control-config:UpdateCluster route53-recovery-control-config:UpdateControlPanel route53-recovery-control-config:UpdateRoutingControl route53-recovery-control-config:UpdateSafetyRule |
| route53-recovery-readiness | route53-recovery-readiness:CreateCell route53-recovery-readiness:CreateCrossAccountAuthorization route53-recovery-readiness:CreateReadinessCheck route53-recovery-readiness:CreateRecoveryGroup route53-recovery-readiness:CreateResourceSet route53-recovery-readiness:DeleteCell route53-recovery-readiness:DeleteCrossAccountAuthorization route53-recovery-readiness:DeleteReadinessCheck route53-recovery-readiness:DeleteRecoveryGroup route53-recovery-readiness:DeleteResourceSet route53-recovery-readiness:GetArchitectureRecommendations route53-recovery-readiness:GetCell route53-recovery-readiness:GetCellReadinessSummary route53-recovery-readiness:GetReadinessCheck route53-recovery-readiness:GetReadinessCheckResourceStatus route53-recovery-readiness:GetReadinessCheckStatus route53-recovery-readiness:GetRecoveryGroup route53-recovery-readiness:GetRecoveryGroupReadinessSummary route53-recovery-readiness:GetResourceSet route53-recovery-readiness:ListCells route53-recovery-readiness:ListCrossAccountAuthorizations route53-recovery-readiness:ListReadinessChecks route53-recovery-readiness:ListRecoveryGroups route53-recovery-readiness:ListResourceSets route53-recovery-readiness:ListRules route53-recovery-readiness:UpdateCell route53-recovery-readiness:UpdateReadinessCheck route53-recovery-readiness:UpdateRecoveryGroup route53-recovery-readiness:UpdateResourceSet |
| route53resolver | route53resolver:AssociateFirewallRuleGroup route53resolver:AssociateResolverEndpointIpAddress route53resolver:AssociateResolverQueryLogConfig route53resolver:AssociateResolverRule route53resolver:CreateFirewallDomainList route53resolver:CreateFirewallRule route53resolver:CreateFirewallRuleGroup route53resolver:CreateResolverEndpoint route53resolver:CreateResolverQueryLogConfig route53resolver:CreateResolverRule route53resolver:DeleteFirewallDomainList route53resolver:DeleteFirewallRule route53resolver:DeleteFirewallRuleGroup route53resolver:DeleteOutpostResolver route53resolver:DeleteResolverEndpoint route53resolver:DeleteResolverQueryLogConfig route53resolver:DeleteResolverRule route53resolver:DisassociateFirewallRuleGroup route53resolver:DisassociateResolverEndpointIpAddress route53resolver:DisassociateResolverQueryLogConfig route53resolver:DisassociateResolverRule route53resolver:GetFirewallConfig route53resolver:GetFirewallDomainList route53resolver:GetFirewallRuleGroup route53resolver:GetFirewallRuleGroupAssociation route53resolver:GetFirewallRuleGroupPolicy route53resolver:GetOutpostResolver route53resolver:GetResolverConfig route53resolver:GetResolverDnssecConfig route53resolver:GetResolverEndpoint route53resolver:GetResolverQueryLogConfig route53resolver:GetResolverQueryLogConfigAssociation route53resolver:GetResolverQueryLogConfigPolicy route53resolver:GetResolverRule route53resolver:GetResolverRuleAssociation route53resolver:GetResolverRulePolicy route53resolver:ImportFirewallDomains route53resolver:ListFirewallConfigs route53resolver:ListFirewallDomainLists route53resolver:ListFirewallDomains route53resolver:ListFirewallRuleGroupAssociations route53resolver:ListFirewallRuleGroups route53resolver:ListFirewallRules route53resolver:ListOutpostResolvers route53resolver:ListResolverConfigs route53resolver:ListResolverDnssecConfigs route53resolver:ListResolverEndpointIpAddresses route53resolver:ListResolverEndpoints route53resolver:ListResolverQueryLogConfigAssociations route53resolver:ListResolverQueryLogConfigs route53resolver:ListResolverRuleAssociations route53resolver:ListResolverRules route53resolver:PutFirewallRuleGroupPolicy route53resolver:PutResolverQueryLogConfigPolicy route53resolver:UpdateFirewallConfig route53resolver:UpdateFirewallDomains route53resolver:UpdateFirewallRule route53resolver:UpdateFirewallRuleGroupAssociation route53resolver:UpdateOutpostResolver route53resolver:UpdateResolverConfig route53resolver:UpdateResolverDnssecConfig route53resolver:UpdateResolverEndpoint route53resolver:UpdateResolverRule |
| rum | rum:BatchCreateRumMetricDefinitions rum:BatchDeleteRumMetricDefinitions rum:BatchGetRumMetricDefinitions rum:CreateAppMonitor rum:DeleteAppMonitor rum:DeleteResourcePolicy rum:DeleteRumMetricsDestination rum:GetAppMonitor rum:GetAppMonitorData rum:GetResourcePolicy rum:ListAppMonitors rum:ListRumMetricsDestinations rum:PutResourcePolicy rum:PutRumMetricsDestination rum:UpdateAppMonitor rum:UpdateRumMetricDefinition |
| s3 | s3:AssociateAccessGrantsIdentityCenter s3:CreateAccessGrant s3:CreateAccessGrantsInstance s3:CreateAccessGrantsLocation s3:CreateAccessPoint s3:CreateAccessPointForObjectLambda s3:CreateBucket s3:CreateBucketMetadataTableConfiguration s3:CreateJob s3:CreateMultiRegionAccessPoint s3:DeleteAccessGrant s3:DeleteAccessGrantsInstance s3:DeleteAccessGrantsInstanceResourcePolicy s3:DeleteAccessGrantsLocation s3:DeleteAccessPoint s3:DeleteAccessPointForObjectLambda s3:DeleteAccessPointPolicy s3:DeleteAccessPointPolicyForObjectLambda s3:DeleteBucket s3:DeleteBucketMetadataTableConfiguration s3:DeleteBucketPolicy s3:DeleteBucketWebsite s3:DeleteMultiRegionAccessPoint s3:DeleteStorageLensConfiguration s3:DescribeJob s3:DescribeMultiRegionAccessPointOperation s3:DissociateAccessGrantsIdentityCenter s3:GetAccelerateConfiguration s3:GetAccessGrant s3:GetAccessGrantsInstance s3:GetAccessGrantsInstanceForPrefix s3:GetAccessGrantsInstanceResourcePolicy s3:GetAccessGrantsLocation s3:GetAccessPoint s3:GetAccessPointConfigurationForObjectLambda s3:GetAccessPointForObjectLambda s3:GetAccessPointPolicy s3:GetAccessPointPolicyForObjectLambda s3:GetAccessPointPolicyStatus s3:GetAccessPointPolicyStatusForObjectLambda s3:GetAccountPublicAccessBlock s3:GetAnalyticsConfiguration s3:GetBucketAbac s3:GetBucketAcl s3:GetBucketCORS s3:GetBucketLocation s3:GetBucketLogging s3:GetBucketNotification s3:GetBucketObjectLockConfiguration s3:GetBucketOwnershipControls s3:GetBucketPolicy s3:GetBucketPolicyStatus s3:GetBucketPublicAccessBlock s3:GetBucketRequestPayment s3:GetBucketVersioning s3:GetBucketWebsite s3:GetDataAccess s3:GetEncryptionConfiguration s3:GetIntelligentTieringConfiguration s3:GetInventoryConfiguration s3:GetLifecycleConfiguration s3:GetMetricsConfiguration s3:GetMultiRegionAccessPoint s3:GetMultiRegionAccessPointPolicy s3:GetMultiRegionAccessPointPolicyStatus s3:GetMultiRegionAccessPointRoutes s3:GetReplicationConfiguration s3:GetStorageLensConfiguration s3:GetStorageLensDashboard s3:ListAccessGrants s3:ListAccessGrantsInstances s3:ListAccessGrantsLocations s3:ListAccessPoints s3:ListAccessPointsForObjectLambda s3:ListAllMyBuckets s3:ListBucketMultipartUploads s3:ListCallerAccessGrants s3:ListJobs s3:ListMultiRegionAccessPoints s3:ListStorageLensConfigurations s3:PutAccelerateConfiguration s3:PutAccessGrantsInstanceResourcePolicy s3:PutAccessPointConfigurationForObjectLambda s3:PutAccessPointPolicy s3:PutAccessPointPolicyForObjectLambda s3:PutAccountPublicAccessBlock s3:PutAnalyticsConfiguration s3:PutBucketAbac s3:PutBucketAcl s3:PutBucketCORS s3:PutBucketLogging s3:PutBucketNotification s3:PutBucketObjectLockConfiguration s3:PutBucketOwnershipControls s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutBucketRequestPayment s3:PutBucketVersioning s3:PutBucketWebsite s3:PutEncryptionConfiguration s3:PutIntelligentTieringConfiguration s3:PutInventoryConfiguration s3:PutLifecycleConfiguration s3:PutMetricsConfiguration s3:PutMultiRegionAccessPointPolicy s3:PutReplicationConfiguration s3:PutStorageLensConfiguration s3:SubmitMultiRegionAccessPointRoutes s3:UpdateAccessGrantsLocation s3:UpdateBucketMetadataJournalTableConfiguration s3:UpdateJobPriority s3:UpdateJobStatus |
| s3-outposts | s3-outposts:CreateEndpoint s3-outposts:DeleteEndpoint s3-outposts:ListEndpoints s3-outposts:ListOutpostsWithS3 s3-outposts:ListSharedEndpoints |
| sagemaker-geospatial | sagemaker-geospatial:DeleteEarthObservationJob sagemaker-geospatial:DeleteVectorEnrichmentJob sagemaker-geospatial:ExportEarthObservationJob sagemaker-geospatial:ExportVectorEnrichmentJob sagemaker-geospatial:GetEarthObservationJob sagemaker-geospatial:GetRasterDataCollection sagemaker-geospatial:GetTile sagemaker-geospatial:GetVectorEnrichmentJob sagemaker-geospatial:ListEarthObservationJobs sagemaker-geospatial:ListRasterDataCollections sagemaker-geospatial:ListVectorEnrichmentJobs sagemaker-geospatial:SearchRasterDataCollection sagemaker-geospatial:StartEarthObservationJob sagemaker-geospatial:StartVectorEnrichmentJob sagemaker-geospatial:StopEarthObservationJob sagemaker-geospatial:StopVectorEnrichmentJob |
| savingsplans | savingsplans:CreateSavingsPlan savingsplans:DeleteQueuedSavingsPlan savingsplans:DescribeSavingsPlanRates savingsplans:DescribeSavingsPlans savingsplans:DescribeSavingsPlansOfferingRates savingsplans:DescribeSavingsPlansOfferings savingsplans:ReturnSavingsPlan |
| schemas | schemas:CreateDiscoverer schemas:CreateRegistry schemas:CreateSchema schemas:DeleteDiscoverer schemas:DeleteRegistry schemas:DeleteResourcePolicy schemas:DeleteSchema schemas:DeleteSchemaVersion schemas:DescribeCodeBinding schemas:DescribeDiscoverer schemas:DescribeRegistry schemas:DescribeSchema schemas:ExportSchema schemas:GetCodeBindingSource schemas:GetDiscoveredSchema schemas:GetResourcePolicy schemas:ListDiscoverers schemas:ListRegistries schemas:ListSchemaVersions schemas:ListSchemas schemas:PutCodeBinding schemas:PutResourcePolicy schemas:SearchSchemas schemas:StartDiscoverer schemas:StopDiscoverer schemas:UpdateDiscoverer schemas:UpdateRegistry schemas:UpdateSchema |
| sdb | sdb:CreateDomain sdb:DeleteDomain sdb:DomainMetadata sdb:ListDomains |
| secretsmanager | secretsmanager:CancelRotateSecret secretsmanager:CreateSecret secretsmanager:DeleteResourcePolicy secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:GetResourcePolicy secretsmanager:GetSecretValue secretsmanager:ListSecretVersionIds secretsmanager:ListSecrets secretsmanager:PutResourcePolicy secretsmanager:PutSecretValue secretsmanager:RemoveRegionsFromReplication secretsmanager:ReplicateSecretToRegions secretsmanager:RestoreSecret secretsmanager:RotateSecret secretsmanager:StopReplicationToReplica secretsmanager:UpdateSecret secretsmanager:ValidateResourcePolicy |
| securityhub | securityhub:AcceptAdministratorInvitation securityhub:AcceptInvitation securityhub:BatchDeleteAutomationRules securityhub:BatchDisableStandards securityhub:BatchEnableStandards securityhub:BatchGetAutomationRules securityhub:BatchGetConfigurationPolicyAssociations securityhub:BatchGetSecurityControls securityhub:BatchGetStandardsControlAssociations securityhub:BatchImportFindings securityhub:BatchUpdateAutomationRules securityhub:BatchUpdateFindings securityhub:BatchUpdateStandardsControlAssociations securityhub:ConnectorRegistrationsV2 securityhub:CreateActionTarget securityhub:CreateAggregatorV2 securityhub:CreateAutomationRule securityhub:CreateAutomationRuleV2 securityhub:CreateConfigurationPolicy securityhub:CreateConnectorV2 securityhub:CreateFindingAggregator securityhub:CreateInsight securityhub:CreateMembers securityhub:CreateTicketV2 securityhub:DeclineInvitations securityhub:DeleteActionTarget securityhub:DeleteAggregatorV2 securityhub:DeleteAutomationRuleV2 securityhub:DeleteConfigurationPolicy securityhub:DeleteConnectorV2 securityhub:DeleteFindingAggregator securityhub:DeleteInsight securityhub:DeleteInvitations securityhub:DeleteMembers securityhub:DescribeActionTargets securityhub:DescribeHub securityhub:DescribeOrganizationConfiguration securityhub:DescribeProducts securityhub:DescribeSecurityHubV2 securityhub:DescribeStandards securityhub:DisableImportFindingsForProduct securityhub:DisableOrganizationAdminAccount securityhub:DisableSecurityHub securityhub:DisableSecurityHubV2 securityhub:DisassociateFromAdministratorAccount securityhub:DisassociateFromMasterAccount securityhub:DisassociateMembers securityhub:EnableImportFindingsForProduct securityhub:EnableOrganizationAdminAccount securityhub:EnableSecurityHub securityhub:GetAdministratorAccount securityhub:GetAggregatorV2 securityhub:GetAutomationRuleV2 securityhub:GetConfigurationPolicy securityhub:GetConfigurationPolicyAssociation securityhub:GetConnectorV2 securityhub:GetEnabledStandards securityhub:GetFindingAggregator securityhub:GetFindingHistory securityhub:GetFindings securityhub:GetInsightResults securityhub:GetInsights securityhub:GetInvitationsCount securityhub:GetMasterAccount securityhub:GetMembers securityhub:GetSecurityControlDefinition securityhub:InviteMembers securityhub:ListAggregatorsV2 securityhub:ListAutomationRules securityhub:ListAutomationRulesV2 securityhub:ListConfigurationPolicies securityhub:ListConfigurationPolicyAssociations securityhub:ListConnectorsV2 securityhub:ListEnabledProductsForImport securityhub:ListFindingAggregators securityhub:ListInvitations securityhub:ListMembers securityhub:ListOrganizationAdminAccounts securityhub:ListSecurityControlDefinitions securityhub:ListStandardsControlAssociations securityhub:StartConfigurationPolicyAssociation securityhub:StartConfigurationPolicyDisassociation securityhub:UpdateActionTarget securityhub:UpdateAggregatorV2 securityhub:UpdateAutomationRuleV2 securityhub:UpdateConfigurationPolicy securityhub:UpdateConnectorV2 securityhub:UpdateFindingAggregator securityhub:UpdateFindings securityhub:UpdateInsight securityhub:UpdateOrganizationConfiguration securityhub:UpdateSecurityControl securityhub:UpdateSecurityHubConfiguration |
| securitylake | securitylake:CreateAwsLogSource securitylake:CreateCustomLogSource securitylake:CreateDataLakeExceptionSubscription securitylake:CreateDataLakeOrganizationConfiguration securitylake:CreateSubscriber securitylake:CreateSubscriberNotification securitylake:DeleteAwsLogSource securitylake:DeleteCustomLogSource securitylake:DeleteDataLakeExceptionSubscription securitylake:DeleteDataLakeOrganizationConfiguration securitylake:DeleteSubscriber securitylake:DeleteSubscriberNotification securitylake:DeregisterDataLakeDelegatedAdministrator securitylake:GetDataLakeExceptionSubscription securitylake:GetDataLakeOrganizationConfiguration securitylake:GetDataLakeSources securitylake:GetSubscriber securitylake:ListDataLakes securitylake:ListLogSources securitylake:ListSubscribers securitylake:RegisterDataLakeDelegatedAdministrator securitylake:UpdateDataLakeExceptionSubscription securitylake:UpdateSubscriber securitylake:UpdateSubscriberNotification |
| serverlessrepo | serverlessrepo:CreateApplication serverlessrepo:CreateApplicationVersion serverlessrepo:CreateCloudFormationChangeSet serverlessrepo:CreateCloudFormationTemplate serverlessrepo:DeleteApplication serverlessrepo:GetApplication serverlessrepo:GetApplicationPolicy serverlessrepo:GetCloudFormationTemplate serverlessrepo:ListApplicationDependencies serverlessrepo:ListApplicationVersions serverlessrepo:ListApplications serverlessrepo:PutApplicationPolicy serverlessrepo:UnshareApplication serverlessrepo:UpdateApplication |
| servicecatalog | servicecatalog:AcceptPortfolioShare servicecatalog:AssociateBudgetWithResource servicecatalog:AssociatePrincipalWithPortfolio servicecatalog:AssociateProductWithPortfolio servicecatalog:AssociateServiceActionWithProvisioningArtifact servicecatalog:BatchAssociateServiceActionWithProvisioningArtifact servicecatalog:BatchDisassociateServiceActionFromProvisioningArtifact servicecatalog:CopyProduct servicecatalog:CreateAttributeGroup servicecatalog:CreateConstraint servicecatalog:CreatePortfolio servicecatalog:CreatePortfolioShare servicecatalog:CreateProduct servicecatalog:CreateProvisionedProductPlan servicecatalog:CreateProvisioningArtifact servicecatalog:CreateServiceAction servicecatalog:DeleteAttributeGroup servicecatalog:DeleteConstraint servicecatalog:DeletePortfolio servicecatalog:DeletePortfolioShare servicecatalog:DeleteProduct servicecatalog:DeleteProvisionedProductPlan servicecatalog:DeleteProvisioningArtifact servicecatalog:DeleteServiceAction servicecatalog:DescribeConstraint servicecatalog:DescribeCopyProductStatus servicecatalog:DescribePortfolio servicecatalog:DescribePortfolioShareStatus servicecatalog:DescribePortfolioShares servicecatalog:DescribeProduct servicecatalog:DescribeProductAsAdmin servicecatalog:DescribeProductView servicecatalog:DescribeProvisionedProduct servicecatalog:DescribeProvisionedProductPlan servicecatalog:DescribeProvisioningArtifact servicecatalog:DescribeProvisioningParameters servicecatalog:DescribeRecord servicecatalog:DescribeServiceAction servicecatalog:DescribeServiceActionExecutionParameters servicecatalog:DisableAWSOrganizationsAccess servicecatalog:DisassociateBudgetFromResource servicecatalog:DisassociatePrincipalFromPortfolio servicecatalog:DisassociateProductFromPortfolio servicecatalog:DisassociateServiceActionFromProvisioningArtifact servicecatalog:EnableAWSOrganizationsAccess servicecatalog:ExecuteProvisionedProductPlan servicecatalog:ExecuteProvisionedProductServiceAction servicecatalog:GetAWSOrganizationsAccessStatus servicecatalog:GetProvisionedProductOutputs servicecatalog:ImportAsProvisionedProduct servicecatalog:ListAcceptedPortfolioShares servicecatalog:ListAttributeGroups servicecatalog:ListBudgetsForResource servicecatalog:ListConstraintsForPortfolio servicecatalog:ListLaunchPaths servicecatalog:ListOrganizationPortfolioAccess servicecatalog:ListPortfolioAccess servicecatalog:ListPortfolios servicecatalog:ListPortfoliosForProduct servicecatalog:ListPrincipalsForPortfolio servicecatalog:ListProvisionedProductPlans servicecatalog:ListProvisioningArtifacts servicecatalog:ListProvisioningArtifactsForServiceAction servicecatalog:ListRecordHistory servicecatalog:ListServiceActions servicecatalog:ListServiceActionsForProvisioningArtifact servicecatalog:ListStackInstancesForProvisionedProduct servicecatalog:NotifyProvisionProductEngineWorkflowResult servicecatalog:NotifyTerminateProvisionedProductEngineWorkflowResult servicecatalog:NotifyUpdateProvisionedProductEngineWorkflowResult servicecatalog:ProvisionProduct servicecatalog:RejectPortfolioShare servicecatalog:ScanProvisionedProducts servicecatalog:SearchProducts servicecatalog:SearchProductsAsAdmin servicecatalog:SearchProvisionedProducts servicecatalog:TerminateProvisionedProduct servicecatalog:UpdateConstraint servicecatalog:UpdatePortfolio servicecatalog:UpdatePortfolioShare servicecatalog:UpdateProduct servicecatalog:UpdateProvisionedProduct servicecatalog:UpdateProvisionedProductProperties servicecatalog:UpdateProvisioningArtifact servicecatalog:UpdateServiceAction |
| servicediscovery | servicediscovery:CreateHttpNamespace servicediscovery:CreatePrivateDnsNamespace servicediscovery:CreatePublicDnsNamespace servicediscovery:CreateService servicediscovery:DeleteNamespace servicediscovery:DeleteService servicediscovery:DeleteServiceAttributes servicediscovery:DeregisterInstance servicediscovery:GetInstance servicediscovery:GetInstancesHealthStatus servicediscovery:GetNamespace servicediscovery:GetOperation servicediscovery:GetService servicediscovery:ListInstances servicediscovery:ListNamespaces servicediscovery:ListOperations servicediscovery:ListServices servicediscovery:RegisterInstance servicediscovery:UpdateHttpNamespace servicediscovery:UpdateInstanceCustomHealthStatus servicediscovery:UpdatePrivateDnsNamespace servicediscovery:UpdatePublicDnsNamespace servicediscovery:UpdateService servicediscovery:UpdateServiceAttributes |
| servicequotas | servicequotas:AssociateServiceQuotaTemplate servicequotas:CreateSupportCase servicequotas:DeleteServiceQuotaIncreaseRequestFromTemplate servicequotas:DisassociateServiceQuotaTemplate servicequotas:GetAWSDefaultServiceQuota servicequotas:GetAssociationForServiceQuotaTemplate servicequotas:GetAutoManagementConfiguration servicequotas:GetQuotaUtilizationReport servicequotas:GetRequestedServiceQuotaChange servicequotas:GetServiceQuota servicequotas:GetServiceQuotaIncreaseRequestFromTemplate servicequotas:ListAWSDefaultServiceQuotas servicequotas:ListRequestedServiceQuotaChangeHistory servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota servicequotas:ListServiceQuotaIncreaseRequestsInTemplate servicequotas:ListServiceQuotas servicequotas:ListServices servicequotas:PutServiceQuotaIncreaseRequestIntoTemplate servicequotas:RequestServiceQuotaIncrease servicequotas:StartAutoManagement servicequotas:StartQuotaUtilizationReport servicequotas:StopAutoManagement servicequotas:UpdateAutoManagement |
| ses | ses:BatchGetMetricData ses:CloneReceiptRuleSet ses:CreateAddonInstance ses:CreateAddonSubscription ses:CreateAddressList ses:CreateAddressListImportJob ses:CreateArchive ses:CreateConfigurationSet ses:CreateConfigurationSetEventDestination ses:CreateConfigurationSetTrackingOptions ses:CreateContact ses:CreateContactList ses:CreateCustomVerificationEmailTemplate ses:CreateDedicatedIpPool ses:CreateDeliverabilityTestReport ses:CreateEmailIdentity ses:CreateEmailIdentityPolicy ses:CreateEmailTemplate ses:CreateImportJob ses:CreateIngressPoint ses:CreateMultiRegionEndpoint ses:CreateReceiptFilter ses:CreateReceiptRule ses:CreateReceiptRuleSet ses:CreateRelay ses:CreateRuleSet ses:CreateTemplate ses:CreateTenant ses:CreateTenantResourceAssociation ses:CreateTrafficPolicy ses:DeleteAddonInstance ses:DeleteAddonSubscription ses:DeleteAddressList ses:DeleteArchive ses:DeleteConfigurationSet ses:DeleteConfigurationSetEventDestination ses:DeleteConfigurationSetTrackingOptions ses:DeleteContact ses:DeleteContactList ses:DeleteCustomVerificationEmailTemplate ses:DeleteDedicatedIpPool ses:DeleteEmailIdentity ses:DeleteEmailIdentityPolicy ses:DeleteEmailTemplate ses:DeleteIdentity ses:DeleteIdentityPolicy ses:DeleteIngressPoint ses:DeleteMultiRegionEndpoint ses:DeleteReceiptFilter ses:DeleteReceiptRule ses:DeleteReceiptRuleSet ses:DeleteRelay ses:DeleteRuleSet ses:DeleteSuppressedDestination ses:DeleteTemplate ses:DeleteTenant ses:DeleteTenantResourceAssociation ses:DeleteTrafficPolicy ses:DeleteVerifiedEmailAddress ses:DeregisterMemberFromAddressList ses:DescribeActiveReceiptRuleSet ses:DescribeConfigurationSet ses:DescribeReceiptRule ses:DescribeReceiptRuleSet ses:GetAccount ses:GetAccountSendingEnabled ses:GetAddonInstance ses:GetAddonSubscription ses:GetAddressList ses:GetArchive ses:GetArchiveExport ses:GetArchiveMessage ses:GetArchiveMessageContent ses:GetArchiveSearch ses:GetArchiveSearchResults ses:GetBlacklistReports ses:GetConfigurationSet ses:GetConfigurationSetEventDestinations ses:GetContact ses:GetContactList ses:GetCustomVerificationEmailTemplate ses:GetDedicatedIp ses:GetDedicatedIpPool ses:GetDedicatedIps ses:GetDeliverabilityDashboardOptions ses:GetDeliverabilityTestReport ses:GetDomainDeliverabilityCampaign ses:GetDomainStatisticsReport ses:GetEmailAddressInsights ses:GetEmailIdentity ses:GetEmailIdentityPolicies ses:GetEmailTemplate ses:GetIdentityDkimAttributes ses:GetIdentityMailFromDomainAttributes ses:GetIdentityNotificationAttributes ses:GetIdentityPolicies ses:GetIdentityVerificationAttributes ses:GetImportJob ses:GetIngressPoint ses:GetMemberOfAddressList ses:GetMessageInsights ses:GetMultiRegionEndpoint ses:GetRelay ses:GetRuleSet ses:GetSendQuota ses:GetSendStatistics ses:GetSuppressedDestination ses:GetTemplate ses:GetTenant ses:GetTrafficPolicy ses:ListAddonInstances ses:ListAddonSubscriptions ses:ListAddressListImportJobs ses:ListAddressLists ses:ListArchiveExports ses:ListArchiveSearches ses:ListArchives ses:ListConfigurationSets ses:ListContactLists ses:ListContacts ses:ListCustomVerificationEmailTemplates ses:ListDedicatedIpPools ses:ListDeliverabilityTestReports ses:ListDomainDeliverabilityCampaigns ses:ListEmailIdentities ses:ListEmailTemplates ses:ListExportJobs ses:ListIdentities ses:ListIdentityPolicies ses:ListImportJobs ses:ListIngressPoints ses:ListMembersOfAddressList ses:ListMultiRegionEndpoints ses:ListReceiptFilters ses:ListReceiptRuleSets ses:ListRecommendations ses:ListRelays ses:ListReputationEntities ses:ListResourceTenants ses:ListRuleSets ses:ListSuppressedDestinations ses:ListTemplates ses:ListTenantResources ses:ListTenants ses:ListTrafficPolicies ses:ListVerifiedEmailAddresses ses:PutAccountDedicatedIpWarmupAttributes ses:PutAccountDetails ses:PutAccountSendingAttributes ses:PutAccountSuppressionAttributes ses:PutAccountVdmAttributes ses:PutConfigurationSetArchivingOptions ses:PutConfigurationSetDeliveryOptions ses:PutConfigurationSetReputationOptions ses:PutConfigurationSetSendingOptions ses:PutConfigurationSetSuppressionOptions ses:PutConfigurationSetTrackingOptions ses:PutConfigurationSetVdmOptions ses:PutDedicatedIpInPool ses:PutDedicatedIpPoolScalingAttributes ses:PutDedicatedIpWarmupAttributes ses:PutDeliverabilityDashboardOption ses:PutEmailIdentityConfigurationSetAttributes ses:PutEmailIdentityDkimAttributes ses:PutEmailIdentityDkimSigningAttributes ses:PutEmailIdentityFeedbackAttributes ses:PutEmailIdentityMailFromAttributes ses:PutIdentityPolicy ses:PutSuppressedDestination ses:RegisterMemberToAddressList ses:ReorderReceiptRuleSet ses:SendBounce ses:SendCustomVerificationEmail ses:SetActiveReceiptRuleSet ses:SetIdentityDkimEnabled ses:SetIdentityFeedbackForwardingEnabled ses:SetIdentityHeadersInNotificationsEnabled ses:SetIdentityMailFromDomain ses:SetIdentityNotificationTopic ses:SetReceiptRulePosition ses:StartArchiveExport ses:StartArchiveSearch ses:StopArchiveExport ses:StopArchiveSearch ses:TestRenderEmailTemplate ses:TestRenderTemplate ses:UpdateAccountSendingEnabled ses:UpdateArchive ses:UpdateConfigurationSetEventDestination ses:UpdateConfigurationSetReputationMetricsEnabled ses:UpdateConfigurationSetSendingEnabled ses:UpdateConfigurationSetTrackingOptions ses:UpdateContact ses:UpdateContactList ses:UpdateCustomVerificationEmailTemplate ses:UpdateEmailIdentityPolicy ses:UpdateEmailTemplate ses:UpdateIngressPoint ses:UpdateReceiptRule ses:UpdateRelay ses:UpdateRuleSet ses:UpdateTemplate ses:UpdateTrafficPolicy ses:VerifyDomainDkim ses:VerifyDomainIdentity ses:VerifyEmailAddress ses:VerifyEmailIdentity |
| shield | shield:AssociateDRTLogBucket shield:AssociateHealthCheck shield:AssociateProactiveEngagementDetails shield:CreateProtection shield:CreateProtectionGroup shield:CreateSubscription shield:DeleteProtection shield:DeleteProtectionGroup shield:DeleteSubscription shield:DescribeAttack shield:DescribeAttackStatistics shield:DescribeDRTAccess shield:DescribeEmergencyContactSettings shield:DescribeProtection shield:DescribeProtectionGroup shield:DescribeSubscription shield:DisableApplicationLayerAutomaticResponse shield:DisableProactiveEngagement shield:DisassociateDRTLogBucket shield:DisassociateDRTRole shield:DisassociateHealthCheck shield:EnableApplicationLayerAutomaticResponse shield:EnableProactiveEngagement shield:GetSubscriptionState shield:ListAttacks shield:ListProtectionGroups shield:ListProtections shield:ListResourcesInProtectionGroup shield:UpdateApplicationLayerAutomaticResponse shield:UpdateEmergencyContactSettings shield:UpdateProtectionGroup shield:UpdateSubscription |
| signer | signer:AddProfilePermission signer:CancelSigningProfile signer:DescribeSigningJob signer:GetSigningPlatform signer:GetSigningProfile signer:ListProfilePermissions signer:ListSigningJobs signer:ListSigningPlatforms signer:ListSigningProfiles signer:PutSigningProfile signer:RemoveProfilePermission signer:RevokeSignature signer:RevokeSigningProfile signer:SignPayload signer:StartSigningJob |
| simspaceweaver | simspaceweaver:CreateSnapshot simspaceweaver:DeleteApp simspaceweaver:DeleteSimulation simspaceweaver:DescribeApp simspaceweaver:DescribeSimulation simspaceweaver:ListApps simspaceweaver:ListSimulations simspaceweaver:StartApp simspaceweaver:StartClock simspaceweaver:StartSimulation simspaceweaver:StopApp simspaceweaver:StopClock simspaceweaver:StopSimulation |
| sms | sms:CreateApp sms:CreateReplicationJob sms:DeleteApp sms:DeleteAppLaunchConfiguration sms:DeleteAppReplicationConfiguration sms:DeleteAppValidationConfiguration sms:DeleteReplicationJob sms:DeleteServerCatalog sms:DisassociateConnector sms:GenerateChangeSet sms:GenerateTemplate sms:GetApp sms:GetAppLaunchConfiguration sms:GetAppReplicationConfiguration sms:GetAppValidationConfiguration sms:GetAppValidationOutput sms:GetConnectors sms:GetReplicationJobs sms:GetReplicationRuns sms:GetServers sms:ImportAppCatalog sms:ImportServerCatalog sms:LaunchApp sms:ListApps sms:NotifyAppValidationOutput sms:PutAppLaunchConfiguration sms:PutAppReplicationConfiguration sms:PutAppValidationConfiguration sms:StartAppReplication sms:StartOnDemandAppReplication sms:StartOnDemandReplicationRun sms:StopAppReplication sms:TerminateApp sms:UpdateApp sms:UpdateReplicationJob |
| sms-voice | sms-voice:AssociateProtectConfiguration sms-voice:CreateConfigurationSet sms-voice:CreateConfigurationSetEventDestination sms-voice:CreateEventDestination sms-voice:CreateOptOutList sms-voice:CreatePool sms-voice:CreateProtectConfiguration sms-voice:CreateRegistration sms-voice:CreateRegistrationAssociation sms-voice:CreateRegistrationAttachment sms-voice:CreateRegistrationVersion sms-voice:CreateVerifiedDestinationNumber sms-voice:DeleteAccountDefaultProtectConfiguration sms-voice:DeleteConfigurationSet sms-voice:DeleteConfigurationSetEventDestination sms-voice:DeleteDefaultMessageType sms-voice:DeleteDefaultSenderId sms-voice:DeleteEventDestination sms-voice:DeleteKeyword sms-voice:DeleteMediaMessageSpendLimitOverride sms-voice:DeleteOptOutList sms-voice:DeleteOptedOutNumber sms-voice:DeletePool sms-voice:DeleteProtectConfiguration sms-voice:DeleteProtectConfigurationRuleSetNumberOverride sms-voice:DeleteRegistration sms-voice:DeleteRegistrationAttachment sms-voice:DeleteResourcePolicy sms-voice:DeleteTextMessageSpendLimitOverride sms-voice:DeleteVerifiedDestinationNumber sms-voice:DeleteVoiceMessageSpendLimitOverride sms-voice:DescribeAccountAttributes sms-voice:DescribeAccountLimits sms-voice:DescribeConfigurationSets sms-voice:DescribeKeywords sms-voice:DescribeOptOutLists sms-voice:DescribeOptedOutNumbers sms-voice:DescribePhoneNumbers sms-voice:DescribePools sms-voice:DescribeProtectConfigurations sms-voice:DescribeRegistrationAttachments sms-voice:DescribeRegistrationFieldDefinitions sms-voice:DescribeRegistrationFieldValues sms-voice:DescribeRegistrationSectionDefinitions sms-voice:DescribeRegistrationTypeDefinitions sms-voice:DescribeRegistrationVersions sms-voice:DescribeRegistrations sms-voice:DescribeSenderIds sms-voice:DescribeSpendLimits sms-voice:DescribeVerifiedDestinationNumbers sms-voice:DisassociateOriginationIdentity sms-voice:DisassociateProtectConfiguration sms-voice:DiscardRegistrationVersion sms-voice:GetConfigurationSetEventDestinations sms-voice:GetProtectConfigurationCountryRuleSet sms-voice:GetResourcePolicy sms-voice:ListConfigurationSets sms-voice:ListPoolOriginationIdentities sms-voice:ListProtectConfigurationRuleSetNumberOverrides sms-voice:ListRegistrationAssociations sms-voice:PutKeyword sms-voice:PutOptedOutNumber sms-voice:PutProtectConfigurationRuleSetNumberOverride sms-voice:PutResourcePolicy sms-voice:ReleasePhoneNumber sms-voice:ReleaseSenderId sms-voice:RequestPhoneNumber sms-voice:RequestSenderId sms-voice:SendDestinationNumberVerificationCode sms-voice:SetAccountDefaultProtectConfiguration sms-voice:SetDefaultMessageFeedbackEnabled sms-voice:SetDefaultMessageType sms-voice:SetDefaultSenderId sms-voice:SetMediaMessageSpendLimitOverride sms-voice:SetTextMessageSpendLimitOverride sms-voice:SetVoiceMessageSpendLimitOverride sms-voice:SubmitRegistrationVersion sms-voice:UpdateConfigurationSetEventDestination sms-voice:UpdateEventDestination sms-voice:UpdatePhoneNumber sms-voice:UpdatePool sms-voice:UpdateProtectConfiguration sms-voice:UpdateProtectConfigurationCountryRuleSet sms-voice:UpdateSenderId |
| snowball | snowball:CancelCluster snowball:CancelJob snowball:CreateAddress snowball:CreateCluster snowball:CreateJob snowball:CreateLongTermPricing snowball:CreateReturnShippingLabel snowball:DescribeAddress snowball:DescribeAddresses snowball:DescribeCluster snowball:DescribeJob snowball:DescribeReturnShippingLabel snowball:GetJobManifest snowball:GetJobUnlockCode snowball:GetSnowballUsage snowball:GetSoftwareUpdates snowball:ListClusterJobs snowball:ListClusters snowball:ListCompatibleImages snowball:ListJobs snowball:ListLongTermPricing snowball:ListPickupLocations snowball:ListServiceVersions snowball:UpdateCluster snowball:UpdateJob snowball:UpdateJobShipmentState snowball:UpdateLongTermPricing |
| sqs | sqs:AddPermission sqs:CancelMessageMoveTask sqs:CreateQueue sqs:DeleteQueue sqs:PurgeQueue sqs:RemovePermission sqs:SetQueueAttributes |
| ssm | ssm:AssociateOpsItemRelatedItem ssm:CancelCommand ssm:CancelMaintenanceWindowExecution ssm:CreateActivation ssm:CreateAssociation ssm:CreateAssociationBatch ssm:CreateDocument ssm:CreateMaintenanceWindow ssm:CreateOpsItem ssm:CreateOpsMetadata ssm:CreatePatchBaseline ssm:CreateResourceDataSync ssm:DeleteActivation ssm:DeleteAssociation ssm:DeleteDocument ssm:DeleteInventory ssm:DeleteMaintenanceWindow ssm:DeleteOpsItem ssm:DeleteOpsMetadata ssm:DeleteParameter ssm:DeleteParameters ssm:DeletePatchBaseline ssm:DeleteResourceDataSync ssm:DeleteResourcePolicy ssm:DeregisterManagedInstance ssm:DeregisterPatchBaselineForPatchGroup ssm:DeregisterTargetFromMaintenanceWindow ssm:DeregisterTaskFromMaintenanceWindow ssm:DescribeActivations ssm:DescribeAssociation ssm:DescribeAssociationExecutionTargets ssm:DescribeAssociationExecutions ssm:DescribeAutomationExecutions ssm:DescribeAutomationStepExecutions ssm:DescribeAvailablePatches ssm:DescribeDocument ssm:DescribeDocumentParameters ssm:DescribeDocumentPermission ssm:DescribeEffectiveInstanceAssociations ssm:DescribeEffectivePatchesForPatchBaseline ssm:DescribeInstanceAssociationsStatus ssm:DescribeInstanceInformation ssm:DescribeInstancePatchStates ssm:DescribeInstancePatchStatesForPatchGroup ssm:DescribeInstancePatches ssm:DescribeInstanceProperties ssm:DescribeInventoryDeletions ssm:DescribeMaintenanceWindowExecutionTaskInvocations ssm:DescribeMaintenanceWindowExecutionTasks ssm:DescribeMaintenanceWindowExecutions ssm:DescribeMaintenanceWindowSchedule ssm:DescribeMaintenanceWindowTargets ssm:DescribeMaintenanceWindowTasks ssm:DescribeMaintenanceWindows ssm:DescribeMaintenanceWindowsForTarget ssm:DescribeOpsItems ssm:DescribeParameters ssm:DescribePatchBaselines ssm:DescribePatchGroupState ssm:DescribePatchGroups ssm:DescribePatchProperties ssm:DescribeSessions ssm:DisassociateOpsItemRelatedItem ssm:GetAccessToken ssm:GetAutomationExecution ssm:GetCalendarState ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:GetDefaultPatchBaseline ssm:GetDeployablePatchSnapshotForInstance ssm:GetDocument ssm:GetExecutionPreview ssm:GetInventory ssm:GetInventorySchema ssm:GetMaintenanceWindow ssm:GetMaintenanceWindowExecution ssm:GetMaintenanceWindowExecutionTask ssm:GetMaintenanceWindowExecutionTaskInvocation ssm:GetMaintenanceWindowTask ssm:GetOpsItem ssm:GetOpsMetadata ssm:GetOpsSummary ssm:GetParameter ssm:GetParameterHistory ssm:GetParameters ssm:GetParametersByPath ssm:GetPatchBaseline ssm:GetPatchBaselineForPatchGroup ssm:GetResourcePolicies ssm:GetServiceSetting ssm:LabelParameterVersion ssm:ListAssociationVersions ssm:ListAssociations ssm:ListCommandInvocations ssm:ListCommands ssm:ListComplianceItems ssm:ListComplianceSummaries ssm:ListDocumentMetadataHistory ssm:ListDocumentVersions ssm:ListDocuments ssm:ListInstanceAssociations ssm:ListInventoryEntries ssm:ListNodes ssm:ListNodesSummary ssm:ListOpsItemEvents ssm:ListOpsItemRelatedItems ssm:ListOpsMetadata ssm:ListResourceComplianceSummaries ssm:ListResourceDataSync ssm:ModifyDocumentPermission ssm:PutComplianceItems ssm:PutInventory ssm:PutParameter ssm:PutResourcePolicy ssm:RegisterDefaultPatchBaseline ssm:RegisterManagedInstance ssm:RegisterPatchBaselineForPatchGroup ssm:RegisterTargetWithMaintenanceWindow ssm:RegisterTaskWithMaintenanceWindow ssm:ResetServiceSetting ssm:ResumeSession ssm:SendAutomationSignal ssm:SendCommand ssm:StartAssociationsOnce ssm:StartAutomationExecution ssm:StartChangeRequestExecution ssm:StartSession ssm:StopAutomationExecution ssm:TerminateSession ssm:UnlabelParameterVersion ssm:UpdateAssociation ssm:UpdateAssociationStatus ssm:UpdateDocument ssm:UpdateDocumentDefaultVersion ssm:UpdateDocumentMetadata ssm:UpdateInstanceInformation ssm:UpdateMaintenanceWindow ssm:UpdateMaintenanceWindowTarget ssm:UpdateMaintenanceWindowTask ssm:UpdateManagedInstanceRole ssm:UpdateOpsItem ssm:UpdateOpsMetadata ssm:UpdatePatchBaseline ssm:UpdateResourceDataSync ssm:UpdateServiceSetting |
| ssm-incidents | ssm-incidents:BatchGetIncidentFindings ssm-incidents:CreateReplicationSet ssm-incidents:CreateResponsePlan ssm-incidents:CreateTimelineEvent ssm-incidents:DeleteIncidentRecord ssm-incidents:DeleteReplicationSet ssm-incidents:DeleteResourcePolicy ssm-incidents:DeleteResponsePlan ssm-incidents:DeleteTimelineEvent ssm-incidents:GetIncidentRecord ssm-incidents:GetReplicationSet ssm-incidents:GetResourcePolicies ssm-incidents:GetResponsePlan ssm-incidents:GetTimelineEvent ssm-incidents:ListIncidentFindings ssm-incidents:ListIncidentRecords ssm-incidents:ListRelatedItems ssm-incidents:ListReplicationSets ssm-incidents:ListResponsePlans ssm-incidents:ListTimelineEvents ssm-incidents:PutResourcePolicy ssm-incidents:StartIncident ssm-incidents:UpdateDeletionProtection ssm-incidents:UpdateIncidentRecord ssm-incidents:UpdateRelatedItems ssm-incidents:UpdateReplicationSet ssm-incidents:UpdateResponsePlan ssm-incidents:UpdateTimelineEvent |
| ssm-sap | ssm-sap:BackupDatabase ssm-sap:DeleteResourcePermission ssm-sap:DeregisterApplication ssm-sap:GetApplication ssm-sap:GetComponent ssm-sap:GetConfigurationCheckOperation ssm-sap:GetDatabase ssm-sap:GetOperation ssm-sap:GetResourcePermission ssm-sap:ListApplications ssm-sap:ListComponents ssm-sap:ListConfigurationCheckDefinitions ssm-sap:ListConfigurationCheckOperations ssm-sap:ListDatabases ssm-sap:ListOperationEvents ssm-sap:ListOperations ssm-sap:ListSubCheckResults ssm-sap:ListSubCheckRuleResults ssm-sap:PutResourcePermission ssm-sap:RegisterApplication ssm-sap:RestoreDatabase ssm-sap:StartApplication ssm-sap:StartApplicationRefresh ssm-sap:StartConfigurationChecks ssm-sap:StopApplication ssm-sap:UpdateApplicationSettings ssm-sap:UpdateHANABackupSettings |
| states | states:CreateActivity states:CreateStateMachine states:CreateStateMachineAlias states:DeleteActivity states:DeleteStateMachine states:DeleteStateMachineAlias states:DeleteStateMachineVersion states:DescribeActivity states:DescribeExecution states:DescribeMapRun states:DescribeStateMachine states:DescribeStateMachineAlias states:DescribeStateMachineForExecution states:GetExecutionHistory states:ListActivities states:ListExecutions states:ListMapRuns states:ListStateMachineAliases states:ListStateMachineVersions states:ListStateMachines states:SendTaskFailure states:SendTaskHeartbeat states:SendTaskSuccess states:StartExecution states:StopExecution states:UpdateMapRun states:UpdateStateMachine states:UpdateStateMachineAlias states:ValidateStateMachineDefinition |
| sts | sts:AssumeRole sts:AssumeRoleWithSAML sts:AssumeRoleWithWebIdentity sts:DecodeAuthorizationMessage sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetSessionToken sts:GetWebIdentityToken |
| swf | swf:DeleteActivityType swf:DeleteWorkflowType swf:DeprecateActivityType swf:DeprecateDomain swf:DeprecateWorkflowType swf:DescribeActivityType swf:DescribeDomain swf:DescribeWorkflowType swf:ListActivityTypes swf:ListDomains swf:ListWorkflowTypes swf:RegisterActivityType swf:RegisterDomain swf:RegisterWorkflowType swf:UndeprecateActivityType swf:UndeprecateDomain swf:UndeprecateWorkflowType |
| synthetics | synthetics:AssociateResource synthetics:CreateCanary synthetics:CreateGroup synthetics:DeleteCanary synthetics:DeleteGroup synthetics:DescribeCanaries synthetics:DescribeCanariesLastRun synthetics:DescribeRuntimeVersions synthetics:DisassociateResource synthetics:GetCanary synthetics:GetCanaryRuns synthetics:GetGroup synthetics:ListAssociatedGroups synthetics:ListGroupResources synthetics:ListGroups synthetics:StartCanary synthetics:StartCanaryDryRun synthetics:StopCanary synthetics:UpdateCanary |
| 標籤 | tag:DescribeReportCreation tag:GetComplianceSummary tag:GetResources tag:StartReportCreation |
| textract | textract:AnalyzeDocument textract:AnalyzeExpense textract:AnalyzeID textract:CreateAdapter textract:CreateAdapterVersion textract:DeleteAdapter textract:DeleteAdapterVersion textract:DetectDocumentText textract:GetAdapter textract:GetAdapterVersion textract:GetDocumentAnalysis textract:GetDocumentTextDetection textract:GetExpenseAnalysis textract:GetLendingAnalysis textract:GetLendingAnalysisSummary textract:ListAdapterVersions textract:ListAdapters textract:StartDocumentAnalysis textract:StartDocumentTextDetection textract:StartExpenseAnalysis textract:StartLendingAnalysis textract:UpdateAdapter |
| timestream | timestream:CancelQuery timestream:CreateDatabase timestream:CreateScheduledQuery timestream:CreateTable timestream:DeleteDatabase timestream:DeleteScheduledQuery timestream:DeleteTable timestream:DescribeAccountSettings timestream:DescribeDatabase timestream:DescribeScheduledQuery timestream:DescribeTable timestream:ExecuteScheduledQuery timestream:ListBatchLoadTasks timestream:ListDatabases timestream:ListScheduledQueries timestream:ListTables timestream:PrepareQuery timestream:UpdateAccountSettings timestream:UpdateDatabase timestream:UpdateScheduledQuery timestream:UpdateTable |
| tnb | tnb:CancelSolNetworkOperation tnb:CreateSolFunctionPackage tnb:CreateSolNetworkInstance tnb:CreateSolNetworkPackage tnb:DeleteSolFunctionPackage tnb:DeleteSolNetworkInstance tnb:DeleteSolNetworkPackage tnb:GetSolFunctionInstance tnb:GetSolFunctionPackage tnb:GetSolFunctionPackageContent tnb:GetSolFunctionPackageDescriptor tnb:GetSolNetworkInstance tnb:GetSolNetworkOperation tnb:GetSolNetworkPackage tnb:GetSolNetworkPackageContent tnb:GetSolNetworkPackageDescriptor tnb:InstantiateSolNetworkInstance tnb:ListSolFunctionInstances tnb:ListSolFunctionPackages tnb:ListSolNetworkInstances tnb:ListSolNetworkOperations tnb:ListSolNetworkPackages tnb:PutSolFunctionPackageContent tnb:PutSolNetworkPackageContent tnb:TerminateSolNetworkInstance tnb:UpdateSolFunctionPackage tnb:UpdateSolNetworkInstance tnb:UpdateSolNetworkPackage tnb:ValidateSolFunctionPackageContent tnb:ValidateSolNetworkPackageContent |
| transcribe | transcribe:CreateCallAnalyticsCategory transcribe:CreateLanguageModel transcribe:CreateMedicalVocabulary transcribe:CreateVocabulary transcribe:CreateVocabularyFilter transcribe:DeleteCallAnalyticsCategory transcribe:DeleteCallAnalyticsJob transcribe:DeleteLanguageModel transcribe:DeleteMedicalScribeJob transcribe:DeleteMedicalTranscriptionJob transcribe:DeleteMedicalVocabulary transcribe:DeleteTranscriptionJob transcribe:DeleteVocabulary transcribe:DeleteVocabularyFilter transcribe:DescribeLanguageModel transcribe:GetCallAnalyticsCategory transcribe:GetCallAnalyticsJob transcribe:GetMedicalScribeJob transcribe:GetMedicalTranscriptionJob transcribe:GetMedicalVocabulary transcribe:GetTranscriptionJob transcribe:GetVocabulary transcribe:GetVocabularyFilter transcribe:ListCallAnalyticsCategories transcribe:ListCallAnalyticsJobs transcribe:ListLanguageModels transcribe:ListMedicalScribeJobs transcribe:ListMedicalTranscriptionJobs transcribe:ListMedicalVocabularies transcribe:ListTranscriptionJobs transcribe:ListVocabularies transcribe:ListVocabularyFilters transcribe:StartCallAnalyticsJob transcribe:StartCallAnalyticsStreamTranscription transcribe:StartCallAnalyticsStreamTranscriptionWebSocket transcribe:StartMedicalScribeJob transcribe:StartMedicalStreamTranscription transcribe:StartMedicalStreamTranscriptionWebSocket transcribe:StartMedicalTranscriptionJob transcribe:StartStreamTranscription transcribe:StartStreamTranscriptionWebSocket transcribe:StartTranscriptionJob transcribe:UpdateCallAnalyticsCategory transcribe:UpdateMedicalVocabulary transcribe:UpdateVocabulary transcribe:UpdateVocabularyFilter |
| 傳輸 | transfer:CreateAccess transfer:CreateAgreement transfer:CreateConnector transfer:CreateProfile transfer:CreateServer transfer:CreateUser transfer:CreateWebApp transfer:CreateWorkflow transfer:DeleteAccess transfer:DeleteAgreement transfer:DeleteCertificate transfer:DeleteConnector transfer:DeleteHostKey transfer:DeleteProfile transfer:DeleteServer transfer:DeleteSshPublicKey transfer:DeleteUser transfer:DeleteWebApp transfer:DeleteWebAppCustomization transfer:DeleteWorkflow transfer:DescribeAccess transfer:DescribeAgreement transfer:DescribeCertificate transfer:DescribeConnector transfer:DescribeExecution transfer:DescribeHostKey transfer:DescribeProfile transfer:DescribeSecurityPolicy transfer:DescribeServer transfer:DescribeUser transfer:DescribeWebApp transfer:DescribeWebAppCustomization transfer:DescribeWorkflow transfer:ImportCertificate transfer:ImportHostKey transfer:ImportSshPublicKey transfer:ListAccesses transfer:ListCertificates transfer:ListConnectors transfer:ListExecutions transfer:ListFileTransferResults transfer:ListHostKeys transfer:ListProfiles transfer:ListSecurityPolicies transfer:ListServers transfer:ListUsers transfer:ListWebApps transfer:ListWorkflows transfer:SendWorkflowStepState transfer:StartDirectoryListing transfer:StartFileTransfer transfer:StartRemoteDelete transfer:StartRemoteMove transfer:StartServer transfer:StopServer transfer:TestConnection transfer:TestIdentityProvider transfer:UpdateAccess transfer:UpdateAgreement transfer:UpdateCertificate transfer:UpdateConnector transfer:UpdateHostKey transfer:UpdateProfile transfer:UpdateServer transfer:UpdateUser transfer:UpdateWebApp transfer:UpdateWebAppCustomization |
| translate | translate:CreateParallelData translate:DeleteParallelData translate:DeleteTerminology translate:DescribeTextTranslationJob translate:GetParallelData translate:GetTerminology translate:ImportTerminology translate:ListLanguages translate:ListParallelData translate:ListTerminologies translate:ListTextTranslationJobs translate:StartTextTranslationJob translate:StopTextTranslationJob translate:TranslateDocument translate:TranslateText translate:UpdateParallelData |
| voiceid | voiceid:AssociateFraudster voiceid:CreateDomain voiceid:CreateWatchlist voiceid:DeleteDomain voiceid:DeleteFraudster voiceid:DeleteSpeaker voiceid:DeleteWatchlist voiceid:DescribeDomain voiceid:DescribeFraudster voiceid:DescribeFraudsterRegistrationJob voiceid:DescribeSpeaker voiceid:DescribeSpeakerEnrollmentJob voiceid:DescribeWatchlist voiceid:DisassociateFraudster voiceid:EvaluateSession voiceid:ListDomains voiceid:ListFraudsterRegistrationJobs voiceid:ListFraudsters voiceid:ListSpeakerEnrollmentJobs voiceid:ListSpeakers voiceid:ListWatchlists voiceid:OptOutSpeaker voiceid:StartFraudsterRegistrationJob voiceid:StartSpeakerEnrollmentJob voiceid:UpdateDomain voiceid:UpdateWatchlist |
| vpc-lattice | vpc-lattice:CreateAccessLogSubscription vpc-lattice:CreateListener vpc-lattice:CreateResourceConfiguration vpc-lattice:CreateResourceGateway vpc-lattice:CreateRule vpc-lattice:CreateService vpc-lattice:CreateServiceNetwork vpc-lattice:CreateServiceNetworkResourceAssociation vpc-lattice:CreateServiceNetworkServiceAssociation vpc-lattice:CreateServiceNetworkVpcAssociation vpc-lattice:CreateTargetGroup vpc-lattice:DeleteAccessLogSubscription vpc-lattice:DeleteAuthPolicy vpc-lattice:DeleteDomainVerification vpc-lattice:DeleteListener vpc-lattice:DeleteResourceConfiguration vpc-lattice:DeleteResourceEndpointAssociation vpc-lattice:DeleteResourceGateway vpc-lattice:DeleteResourcePolicy vpc-lattice:DeleteRule vpc-lattice:DeleteService vpc-lattice:DeleteServiceNetwork vpc-lattice:DeleteServiceNetworkResourceAssociation vpc-lattice:DeleteServiceNetworkServiceAssociation vpc-lattice:DeleteServiceNetworkVpcAssociation vpc-lattice:DeleteTargetGroup vpc-lattice:DeregisterTargets vpc-lattice:GetAccessLogSubscription vpc-lattice:GetAuthPolicy vpc-lattice:GetDomainVerification vpc-lattice:GetListener vpc-lattice:GetResourceConfiguration vpc-lattice:GetResourceGateway vpc-lattice:GetResourcePolicy vpc-lattice:GetRule vpc-lattice:GetService vpc-lattice:GetServiceNetwork vpc-lattice:GetServiceNetworkResourceAssociation vpc-lattice:GetServiceNetworkServiceAssociation vpc-lattice:GetServiceNetworkVpcAssociation vpc-lattice:GetTargetGroup vpc-lattice:ListAccessLogSubscriptions vpc-lattice:ListDomainVerifications vpc-lattice:ListListeners vpc-lattice:ListResourceConfigurations vpc-lattice:ListResourceEndpointAssociations vpc-lattice:ListResourceGateways vpc-lattice:ListRules vpc-lattice:ListServiceNetworkResourceAssociations vpc-lattice:ListServiceNetworkServiceAssociations vpc-lattice:ListServiceNetworkVpcAssociations vpc-lattice:ListServiceNetworkVpcEndpointAssociations vpc-lattice:ListServiceNetworks vpc-lattice:ListServices vpc-lattice:ListTargetGroups vpc-lattice:ListTargets vpc-lattice:PutAuthPolicy vpc-lattice:PutResourcePolicy vpc-lattice:RegisterTargets vpc-lattice:StartDomainVerification vpc-lattice:UpdateAccessLogSubscription vpc-lattice:UpdateListener vpc-lattice:UpdateResourceConfiguration vpc-lattice:UpdateResourceGateway vpc-lattice:UpdateRule vpc-lattice:UpdateService vpc-lattice:UpdateServiceNetwork vpc-lattice:UpdateServiceNetworkVpcAssociation vpc-lattice:UpdateTargetGroup |
| wafv2 | wafv2:AssociateWebACL wafv2:CheckCapacity wafv2:CreateAPIKey wafv2:CreateIPSet wafv2:CreateRegexPatternSet wafv2:CreateRuleGroup wafv2:CreateWebACL wafv2:DeleteAPIKey wafv2:DeleteFirewallManagerRuleGroups wafv2:DeleteIPSet wafv2:DeleteLoggingConfiguration wafv2:DeletePermissionPolicy wafv2:DeleteRegexPatternSet wafv2:DeleteRuleGroup wafv2:DeleteWebACL wafv2:DescribeAllManagedProducts wafv2:DescribeManagedProductsByVendor wafv2:DescribeManagedRuleGroup wafv2:DisassociateWebACL wafv2:GenerateMobileSdkReleaseUrl wafv2:GetDecryptedAPIKey wafv2:GetIPSet wafv2:GetLoggingConfiguration wafv2:GetManagedRuleSet wafv2:GetMobileSdkRelease wafv2:GetRateBasedStatementManagedKeys wafv2:GetRegexPatternSet wafv2:GetRuleGroup wafv2:GetSampledRequests wafv2:GetWebACLForResource wafv2:ListAPIKeys wafv2:ListAvailableManagedRuleGroupVersions wafv2:ListAvailableManagedRuleGroups wafv2:ListIPSets wafv2:ListLoggingConfigurations wafv2:ListManagedRuleSets wafv2:ListMobileSdkReleases wafv2:ListRegexPatternSets wafv2:ListResourcesForWebACL wafv2:ListRuleGroups wafv2:ListWebACLs wafv2:PutLoggingConfiguration wafv2:PutManagedRuleSetVersions wafv2:UpdateIPSet wafv2:UpdateManagedRuleSetVersionExpiryDate wafv2:UpdateRegexPatternSet wafv2:UpdateRuleGroup wafv2:UpdateWebACL |
| wellarchitected | wellarchitected:AssociateLenses wellarchitected:AssociateProfiles wellarchitected:CreateLensShare wellarchitected:CreateLensVersion wellarchitected:CreateMilestone wellarchitected:CreateProfile wellarchitected:CreateProfileShare wellarchitected:CreateReviewTemplate wellarchitected:CreateWorkload wellarchitected:CreateWorkloadShare wellarchitected:DeleteLens wellarchitected:DeleteLensShare wellarchitected:DeleteProfile wellarchitected:DeleteProfileShare wellarchitected:DeleteReviewTemplate wellarchitected:DeleteTemplateShare wellarchitected:DeleteWorkload wellarchitected:DeleteWorkloadShare wellarchitected:DisassociateLenses wellarchitected:DisassociateProfiles wellarchitected:ExportLens wellarchitected:GetAnswer wellarchitected:GetConsolidatedReport wellarchitected:GetGlobalSettings wellarchitected:GetLens wellarchitected:GetLensReview wellarchitected:GetLensReviewReport wellarchitected:GetLensVersionDifference wellarchitected:GetMilestone wellarchitected:GetProfile wellarchitected:GetProfileTemplate wellarchitected:GetReviewTemplate wellarchitected:GetReviewTemplateAnswer wellarchitected:GetReviewTemplateLensReview wellarchitected:GetWorkload wellarchitected:ImportLens wellarchitected:ListAnswers wellarchitected:ListCheckDetails wellarchitected:ListCheckSummaries wellarchitected:ListLensReviewImprovements wellarchitected:ListLensReviews wellarchitected:ListLensShares wellarchitected:ListLenses wellarchitected:ListMilestones wellarchitected:ListNotifications wellarchitected:ListProfileNotifications wellarchitected:ListProfileShares wellarchitected:ListProfiles wellarchitected:ListReviewTemplateAnswers wellarchitected:ListReviewTemplates wellarchitected:ListShareInvitations wellarchitected:ListTemplateShares wellarchitected:ListWorkloadShares wellarchitected:ListWorkloads wellarchitected:UpdateAnswer wellarchitected:UpdateGlobalSettings wellarchitected:UpdateIntegration wellarchitected:UpdateLensReview wellarchitected:UpdateProfile wellarchitected:UpdateReviewTemplate wellarchitected:UpdateReviewTemplateLensReview wellarchitected:UpdateShareInvitation wellarchitected:UpdateWorkload wellarchitected:UpdateWorkloadShare wellarchitected:UpgradeLensReview wellarchitected:UpgradeProfileVersion wellarchitected:UpgradeReviewTemplateLensReview |
| wisdom | wisdom:CreateAssistant wisdom:CreateAssistantAssociation wisdom:CreateContent wisdom:CreateKnowledgeBase wisdom:CreateQuickResponse wisdom:CreateSession wisdom:DeleteAssistant wisdom:DeleteAssistantAssociation wisdom:DeleteContent wisdom:DeleteImportJob wisdom:DeleteKnowledgeBase wisdom:DeleteQuickResponse wisdom:GetAssistant wisdom:GetAssistantAssociation wisdom:GetContent wisdom:GetContentAssociation wisdom:GetContentSummary wisdom:GetImportJob wisdom:GetKnowledgeBase wisdom:GetRecommendations wisdom:GetSession wisdom:ListAssistantAssociations wisdom:ListAssistants wisdom:ListContentAssociations wisdom:ListContents wisdom:ListImportJobs wisdom:ListKnowledgeBases wisdom:ListQuickResponses wisdom:NotifyRecommendationsReceived wisdom:QueryAssistant wisdom:RemoveKnowledgeBaseTemplateUri wisdom:SearchContent wisdom:SearchQuickResponses wisdom:SearchSessions wisdom:StartContentUpload wisdom:StartImportJob wisdom:UpdateContent wisdom:UpdateKnowledgeBaseTemplateUri wisdom:UpdateQuickResponse wisdom:UpdateSession |
| worklink | worklink:AssociateDomain worklink:AssociateWebsiteAuthorizationProvider worklink:AssociateWebsiteCertificateAuthority worklink:CreateFleet worklink:DeleteFleet worklink:DescribeAuditStreamConfiguration worklink:DescribeCompanyNetworkConfiguration worklink:DescribeDevice worklink:DescribeDevicePolicyConfiguration worklink:DescribeDomain worklink:DescribeFleetMetadata worklink:DescribeIdentityProviderConfiguration worklink:DescribeWebsiteCertificateAuthority worklink:DisassociateDomain worklink:DisassociateWebsiteAuthorizationProvider worklink:DisassociateWebsiteCertificateAuthority worklink:ListDevices worklink:ListDomains worklink:ListFleets worklink:ListWebsiteAuthorizationProviders worklink:ListWebsiteCertificateAuthorities worklink:RestoreDomainAccess worklink:RevokeDomainAccess worklink:SignOutUser worklink:UpdateAuditStreamConfiguration worklink:UpdateCompanyNetworkConfiguration worklink:UpdateDevicePolicyConfiguration worklink:UpdateDomainMetadata worklink:UpdateFleetMetadata worklink:UpdateIdentityProviderConfiguration |
| 工作區 | workspaces:AcceptAccountLinkInvitation workspaces:AssociateConnectionAlias workspaces:AssociateIpGroups workspaces:AssociateWorkspaceApplication workspaces:CopyWorkspaceImage workspaces:CreateAccountLinkInvitation workspaces:CreateConnectClientAddIn workspaces:CreateConnectionAlias workspaces:CreateIpGroup workspaces:CreateStandbyWorkspaces workspaces:CreateUpdatedWorkspaceImage workspaces:CreateWorkspaceBundle workspaces:CreateWorkspaceImage workspaces:CreateWorkspaces workspaces:CreateWorkspacesPool workspaces:DeleteAccountLinkInvitation workspaces:DeleteClientBranding workspaces:DeleteConnectClientAddIn workspaces:DeleteConnectionAlias workspaces:DeleteIpGroup workspaces:DeleteWorkspaceBundle workspaces:DeleteWorkspaceImage workspaces:DeployWorkspaceApplications workspaces:DeregisterWorkspaceDirectory workspaces:DescribeAccount workspaces:DescribeAccountModifications workspaces:DescribeApplicationAssociations workspaces:DescribeApplications workspaces:DescribeBundleAssociations workspaces:DescribeClientBranding workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddIns workspaces:DescribeConnectionAliasPermissions workspaces:DescribeConnectionAliases workspaces:DescribeCustomWorkspaceImageImport workspaces:DescribeImageAssociations workspaces:DescribeIpGroups workspaces:DescribeWorkspaceAssociations workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaceImagePermissions workspaces:DescribeWorkspaceSnapshots workspaces:DescribeWorkspaces workspaces:DescribeWorkspacesConnectionStatus workspaces:DescribeWorkspacesPoolSessions workspaces:DescribeWorkspacesPools workspaces:DisassociateConnectionAlias workspaces:DisassociateIpGroups workspaces:DisassociateWorkspaceApplication workspaces:GetAccountLink workspaces:ImportClientBranding workspaces:ImportWorkspaceImage workspaces:ListAccountLinks workspaces:ListAvailableManagementCidrRanges workspaces:MigrateWorkspace workspaces:ModifyAccount workspaces:ModifyCertificateBasedAuthProperties workspaces:ModifyClientProperties workspaces:ModifyEndpointEncryptionMode workspaces:ModifySamlProperties workspaces:ModifySelfservicePermissions workspaces:ModifyStreamingProperties workspaces:ModifyWorkspaceAccessProperties workspaces:ModifyWorkspaceCreationProperties workspaces:ModifyWorkspaceProperties workspaces:ModifyWorkspaceState workspaces:RebootWorkspaces workspaces:RebuildWorkspaces workspaces:RegisterWorkspaceDirectory workspaces:RejectAccountLinkInvitation workspaces:RestoreWorkspace workspaces:StartWorkspaces workspaces:StartWorkspacesPool workspaces:StopWorkspaces workspaces:StopWorkspacesPool workspaces:TerminateWorkspaces workspaces:TerminateWorkspacesPool workspaces:TerminateWorkspacesPoolSession workspaces:UpdateConnectClientAddIn workspaces:UpdateConnectionAliasPermission workspaces:UpdateWorkspaceBundle workspaces:UpdateWorkspaceImagePermission workspaces:UpdateWorkspacesPool |
| xray | xray:CreateGroup xray:CreateSamplingRule xray:DeleteGroup xray:DeleteResourcePolicy xray:DeleteSamplingRule xray:GetEncryptionConfig xray:GetGroup xray:GetGroups xray:GetInsight xray:GetInsightEvents xray:GetInsightImpactGraph xray:GetInsightSummaries xray:GetSamplingRules xray:ListResourcePolicies xray:PutEncryptionConfig xray:PutResourcePolicy xray:UpdateGroup xray:UpdateSamplingRule |
# 政策摘要
IAM 主控台中提供了*政策摘要*表,這些表總結政策中對每個服務允許或拒絕的存取級別、資源和條件。政策摘要列於三個表中:[政策摘要](access_policies_understand-policy-summary.md)、[服務摘要](access_policies_understand-service-summary.md)以及[動作摘要](access_policies_understand-action-summary.md)。*政策摘要*表中包含服務清單。選擇其中一個服務來查看*服務摘要*。此摘要表包含所選服務的動作與相關許可的清單。您可以選擇該表中的動作以查看*動作摘要*。此表格包含所選動作的資源和條件清單。
![\[政策摘要圖表圖片描繪出 3 個表格與各自的關係\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policy_summaries-diagram.png)
您可以在 **Users (使用者)** 頁面或 **Roles (角色)** 頁面上查看連接到該使用者的所有政策 (受管和內嵌) 的政策摘要。在 **Policies (政策)** 頁面上檢視所有受管政策的摘要。受管政策包括 AWS 受管政策、受 AWS 管任務職能政策和客戶受管政策。您可以在 **Policies (政策)** 頁面上查看這些政策的摘要,無論它們是連接到使用者或其他 IAM 身分。
您可以使用政策摘要中的資訊來了解政策允許或拒絕的許可。政策摘要可協助您[排除故障](troubleshoot_policies.md)並修復未提供您預期的許可的政策。
**Topics**
+ [政策摘要 (服務清單)](access_policies_understand-policy-summary.md)
+ [政策摘要中的存取層級](access_policies_understand-policy-summary-access-level-summaries.md)
+ [服務摘要 (動作清單)](access_policies_understand-service-summary.md)
+ [動作摘要 (資源清單)](access_policies_understand-action-summary.md)
+ [政策摘要的範例](access_policies_policy-summary-examples.md)
# 政策摘要 (服務清單)
政策摘要列於三個表中:政策摘要、[服務摘要](access_policies_understand-service-summary.md)以及[動作摘要](access_policies_understand-action-summary.md)。*政策摘要*表包括由所選政策定義的服務清單和許可摘要。
![\[政策摘要圖表圖片描繪出 3 個表格與各自的關係\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policy_summaries-pol-sum.png)
政策摘要表格是分成一或多個 **Uncategorized services** (未分類服務)、**Explicit deny** (明確拒絕)、以及 **Allow** (允許) 等部分。如果政策包含 IAM 無法辨識的服務,則該服務將包含在表格的 **Uncategorized services** (未分類服務) 部分中。如果 IAM 能夠辨識該服務,則它將包含在表格的 **Explicit deny** (明確拒絕) 或 **Allow** (允許) 部分中,取決於政策的效果 (`Deny` 或 `Allow`)。
## 了解政策摘要的元素
在下列政策詳細資訊頁面範例中,**SummaryAllElements** 政策為直接連接到使用者的受管政策 (客戶管理政策)。此政策已展開並顯示了政策摘要。
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-user-page-dialog.png)
在上圖中,政策摘要在**政策**頁面顯示:
1. **許可**索引標籤包括政策中定義的許可。
1. 如果政策未授予許可給政策中定義的所有操作、資源和條件,則將在頁面頂部顯示警告或錯誤橫幅。政策摘要中包含關於問題的詳細資訊。若要了解政策摘可如何協助您了解政策授予的許權並進行相關問題故障排除,請參閱[我的政策未授與預期的許可](troubleshoot_policies.md#policy-summary-not-grant-permissions).。
1. 使用**摘要**和 **JSON** 按鈕,可在政策摘要和 JSON 政策文件之間切換。
1. 使用**搜尋**方塊,可減少服務清單並查詢特定服務。
1. 展開的視圖顯示了 **SummaryAllElements** 政策的更多詳細資訊。
下面的政策摘要表圖像顯示了在政策詳細資訊頁面上已展開的 **SummaryAllElements** 政策。
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-table-dialog.png)
在上圖中,政策摘要在**政策**頁面顯示:
1. 對於 IAM 辨識的那些服務,它根據政策是允許還是明確拒絕使用該服務來安排服務。在此範例中,政策包含用於 Amazon S3 服務的 `Deny` 陳述式,以及用於帳單、CodeDeploy 和 Amazon EC2 服務的 `Allow` 陳述式。
1. **Service** (服務) – 此欄列出在政策內定義的服務並提供每項服務的詳細資訊。政策摘要表中的每個服務名稱都是指向*服務摘要*表的一個連結,[服務摘要 (動作清單)](access_policies_understand-service-summary.md) 中對其進行了說明。在此範例中,為 Amazon S3、帳單、CodeDeploy 和 Amazon EC2 服務定義了許可。
1. **存取層級** – 此欄指出了在每個存取級別中的動作 (`List`、`Read`、`Write`、`Permission Management` 以及 `Tagging`) 是擁有 `Full` 許可還是政策中定義的 `Limited` 許可。有關存取許可級別摘要的更多詳細資訊和範例,請參閱 [政策摘要中的存取層級](access_policies_understand-policy-summary-access-level-summaries.md)。
+ **Full access** (完整存取) – 此項目顯示服務對於該服務可用的全部四個存取層級中的所有動作都擁有存取許可。
+ 如果該項不包含 **Full access** (完整存取),則服務可以存取部分但不是全部用於該服務的動作。然後,根據每個存取級別分類 (`List`、`Read`、`Write`、`Permission Management` 以及 `Tagging`) 的說明,來定義存取許可:
**Full** (完整):政策提供對列出的每個存取級別分類中的所有動作的存取許可。在此範例中,政策提供對所有帳單 `Read` 操作的存取許可。
**Limited** (限制):政策提供對所列每個存取級別分類內的一或多個但非全部動作的存取許可。在此範例中,政策提供對部分帳單 `Write` 操作的存取許可。
1. **Resource** (資源) – 此欄顯示政策為每項服務指定的資源。
+ **Multiple** (多個) – 政策包含服務內的多項資源,但並非全部。在此範例中,明確拒絕對多個 Amazon S3 資源的存取權限。
+ **所有資源** – 為服務內的所有資源而定義政策。在此範例中,政策允許對所有帳單資源執行列出的操作。
+ 資源文字 – 該政策包含服務內的一個資源。在此範例中,只允許對 `DeploymentGroupName` CodeDeploy 資源執行列出的動作。根據服務提供給 IAM 的資訊,您可能會看到一個 ARN,或者可能會看到定義的資源類型。
**注意**
此欄位可能包含不同服務的資源。如果包含資源的政策陳述式,不包含來自相同服務的動作和資源,則您的政策包含不相符的資源。在建立政策或在政策摘要中查看政策時,IAM 不會警告您關於無法配對的資源。如果此欄位包含不相符的資源,則您應該檢閱您的政策錯誤。若要更全面了解您的政策,請一律以[政策模擬器](access_policies_testing-policies.md)來測試。
1. **Request condition** (請求條件) – 此欄顯示與資源關聯的服務或動作是否受條件約束。
+ **None** (無) – 政策對服務不包含任何條件。在此範例中,沒有條件適用於 Amazon S3 服務中拒絕的操作。
+ 條件文字 – 政策包含服務的一項條件。在此範例中,僅當來源的 IP 地址與 `203.0.113.0/24` 匹配時,列出的帳單動作才會獲允許。
+ **Multiple** (多項) – 政策包含服務的多項條件。若要檢視政策多項條件中的每一項條件,請選擇 **JSON** 來檢視政策文件。
1. **顯示剩餘的服務** – 切換此按鈕可展開資料表,以包括政策未定義的服務。這些服務在該政策中被*隱含拒絕* (或根據預設拒絕)。但是,另一政策中的陳述中可能仍然允許或明確拒絕使用該服務。政策摘要匯總了單一政策的許可。若要了解 AWS 服務如何決定是否應允許或拒絕特定請求,請參閱 [政策評估邏輯](reference_policies_evaluation-logic.md)。
當政策或政策中的元素未授予許可時,IAM 在政策摘要中提供額外的警告和資訊。下面的政策摘要表顯示了在 **SummaryAllElements** 政策詳細資訊頁面上展開的**顯示剩餘的服務**,並附上可能的警告。
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-table-showremaining-dialog.png)
在上圖中,您可以看到包含沒有許可的已定義操作、資源或條件的所有服務:
1. **Resource warnings** (資源警告) – 對於沒有為所有包含的動作或資源提供許可的服務,您將在資料表的 **Resource** (資源) 欄中看到以下警告之一:
+ **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 未定義資源。**– 這表示該服務具有已定義的動作,但政策中不包含支援的資源。
+ **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一或多個動作沒有適用資源。**– 表示該服務具有已定義的動作,但其中一些動作沒有支援的資源。
+ **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一或多個資源沒有適用動作。**– 表示該服務具有已定義的資源,但其中一些資源沒有支援的動作。
如果服務同時包含沒有適用資源的動作和沒有適用資源的資源,系統只會顯示**一個或多個資源沒有適用的動作**警告。這是因為當您查看服務的服務摘要時,不會顯示不適用於任何動作的資源。對於 `ListAllMyBuckets` 動作,此政策包含最後一條警告,因為該動作不支援資源級許可,也不支援 `s3:x-amz-acl` 條件索引鍵。如果您修復資源問題或條件問題,剩餘的問題會出現在詳細的警告中。
1. **Request condition warnings** (請求條件警告) – 對於沒有為所有包含的條件提供許可的服務,您將在資料表的 **Request condition** (請求條件) 欄中看到以下警告之一:
+ **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一或多個動作沒有適用條件。**– 表示該服務具有已定義的動作,但其中一些動作沒有支援的條件。
+ **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一或多個條件沒有適用動作。**– 表示該服務具有已定義的條件,但其中一些條件沒有支援的動作。
1. **Multiple (多個) \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一或多個動作沒有適用資源。**– Amazon S3 的 `Deny` 陳述式包含一個以上的資源。它還包含多個動作,但其中一些動作支援資源,一些不支援。若要查看此政策,請參閱 [**SummaryAllElements** JSON 政策文件](#policy-summary-example-json)。在這種情況下,政策包含所有 Amazon S3 動作,只會拒絕可在儲存貯體或儲存貯體物件上執行的動作。
1. **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) No resources are defined** (未定義資源) – 服務具有已定義的動作,但政策中不包含支援的資源,因此服務不提供任何許可。在這種情況下,政策包含 CodeCommit 動作,但沒有 CodeCommit 資源。
1. **DeploymentGroupName \$1 類似的字串 \$1 全部、區域 \$1 類似的字串 \$1 us-west-2 \$1![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一個或多個動作沒有適用的資源。**– 服務具有定義的動作,且至少有額外一個沒有支援資源的動作。
1. **無 \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一個或多個條件沒有適用的動作。**– 服務具有至少一個沒有支援動作的條件索引鍵。
## **SummaryAllElements** JSON 政策文件
**SummaryAllElements** 政策不適用於在帳戶中定義許可。包含它的目的在於說明您在查看政策摘要時可能會遇到的錯誤和警告。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:Get*",
"payments:List*",
"payments:Update*",
"account:Get*",
"account:List*",
"cur:GetUsage*"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0/24"
}
}
},
{
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::customer",
"arn:aws:s3:::customer/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:GetConsoleScreenshots"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"codedploy:*",
"codecommit:*"
],
"Resource": [
"arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
"arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:DeletObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": [
"public-read"
],
"s3:prefix": [
"custom",
"other"
]
}
}
}
]
}
```
------
# 檢視政策摘要
您可以檢視連接到 IAM 使用者或角色的任何政策的政策摘要。對於受管政策,您可以在**政策**頁面上檢視政策摘要。如果您的政策不包含政策摘要,請參閱 [缺少政策摘要](troubleshoot_policies.md#missing-policy-summary) 以了解原因。
## 從**政策**頁面檢視政策摘要
您可以在 **Policies** (政策) 頁面上檢視受管政策的政策摘要。
**從 **Policies** (政策) 頁面查看政策摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇您要檢視的政策名稱。
1. 在政策的**政策詳細資訊**頁面上,檢視**許可**索引標籤,可查看政策摘要。
## 檢視連接到使用者的政策的政策摘要
您可以檢視連接到 IAM 使用者的任何政策的政策摘要。
**查看連接到使用者的政策摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 從導覽窗格選擇 **Users** (使用者)。
1. 在使用者清單中,選擇要檢視其政策的使用者的名稱。
1. 在使用者的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到使用者或從群組連接的政策清單。
1. 在使用者的政策表中,展開您要檢視的政策列。
## 檢視連接到角色的政策的政策摘要
您可以檢視連接到角色的任何政策的政策摘要。
**查看連接到角色的政策摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Roles** (角色)。
1. 在角色清單中,選擇要檢視其政策的角色名稱。
1. 在角色的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到角色的政策清單。
1. 在角色的政策表中,展開您要檢視的政策列。
## 編輯政策以修正警告
在查看政策摘要時,您可能會發現拼寫錯誤,或者注意到政策未提供所需的許可。您無法直接編輯政策摘要。不過,您可以使用視覺化政策編輯器編輯客戶託管政策,該編輯器會捕捉政策摘要報告中許多相同的錯誤和警告。然後,您可以在政策摘要中查看更改以確認已修正所有問題。若要了解如何編輯內嵌政策,請參閱 [編輯 IAM 政策](access_policies_manage-edit.md)。您無法編輯 AWS 受管政策。
您可以使用**視覺化**選項來編輯政策摘要的政策。
**使用**視覺化**選項可編輯政策摘要的政策**
1. 按照上述步驟中的說明開啟政策摘要。
1. 選擇**編輯**。
如果您已打開 **Users (使用者)** 頁面,並選擇編輯連接到該使用者的客戶受管政策,系統會將您重新引導 **Policies (政策)** 頁面。您只能在 **Policies (政策)** 頁面上編輯客戶受管政策。
1. 選擇**視覺化**選項可檢視您的政策之可編輯視覺化形式。IAM 可能會調整您的政策結構以針對視覺化編輯器進行最佳化,並使您更輕鬆地查詢和解決任何問題。頁面上的警告和錯誤訊息可以引導您解決政策中的任何問題。如需有關 IAM 重新建構這些政策的詳細資訊,請參閱 [政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. 編輯您的政策,然後選擇**下一步**,可查看已在政策摘要中反映的變更。如果仍出現問題,請選擇 **Previous** (上一步) 以返回到編輯螢幕。
1. 選擇**儲存變更**,以儲存您所做的變更。
您可以使用 **JSON** 選項來編輯政策摘要的政策。
**若要使用 **JSON** 選項編輯政策摘要的政策**
1. 按照上述步驟中的說明開啟政策摘要。
1. 您可以使用**摘要**和 **JSON** 按鈕,將政策摘要與 JSON 政策文件進行比較。您可以使用該資訊來決定要更改政策文件中的哪些行。
1. 選擇**編輯**,然後選擇 **JSON** 選項,以編輯 JSON 政策文件。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器選項中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
如果您已打開 **Users (使用者)** 頁面,並選擇編輯連接到該使用者的客戶受管政策,系統會將您重新引導 **Policies (政策)** 頁面。您只能在 **Policies (政策)** 頁面上編輯客戶受管政策。
1. 編輯政策。解決[政策驗證](access_policies_policy-validator.md)期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 **Next** (下一步)。如果仍出現問題,請選擇 **Previous** (上一步) 以返回到編輯螢幕。
1. 選擇**儲存變更**,以儲存您所做的變更。
# 政策摘要中的存取層級
## AWS 存取層級摘要
政策摘要包括說明針對政策中所提及的每項服務定義的動作許可的存取層級摘要。若要進一步了解政策摘要,請參閱[政策摘要](access_policies_understand.md)。從存取層級摘要可知政策中是否已為每個存取層級中的動作 (`List`、`Read`、`Tagging`、`Write` 和 `Permissions management`) 定義 `Full` 或 `Limited` 許可。若要檢視指派給服務中每個動作的存取層級分類,請參閱 [AWS 服務的動作、資源和條件金鑰](reference_policies_actions-resources-contextkeys.html)。
以下範例說明針對特定服務政策所提供的存取權。如需完整的 JSON 政策文件及其相關摘要的範例,請參閱[政策摘要的範例](access_policies_policy-summary-examples.md)。
****
| 服務 | 存取層級 | 此政策提供下列 |
| --- | --- | --- |
| IAM | 完整存取 | 存取 IAM 服務內的所有動作 |
| CloudWatch | 完整:清單 | 存取 List 存取層級中的所有 CloudWatch 動作,但是無法存取具 Read、Write 或 Permissions management 存取層級分類的動作。 |
| Data Pipeline | 有限:清單、讀取 | 存取 List和 存取Read層級中至少一個但並非所有 AWS Data Pipeline 動作,但無法存取 Write或 Permissions management動作。 |
| EC2 | 完整:清單、讀取有限:寫入 | 存取所有 Amazon EC2 List 和 Read 動作,以及存取至少一個但並非所有 Amazon EC2 Write 動作,但是無法存取具 Permissions management 存取層級分類的動作。 |
| S3 | 有限:讀取、寫入、許可管理 | 存取至少一個但並非所有 Amazon S3 Read、Write 和 Permissions management 動作。 |
| codedploy | (空白) | 未知存取,因為 IAM 無法辨識此服務。 |
| API Gateway | 無 | 政策中未定義任何存取權。 |
| CodeBuild | ![\[a white exclamation point on an orange triangle background\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png)未定義任何動作。 | 無法存取,因為未針對服務定義任何動作。若要了解如何了解和故障排除此問題,請參閱[我的政策未授與預期的許可](troubleshoot_policies.md#policy-summary-not-grant-permissions)。 |
在政策摘要中,**完整存取**表示政策提供服務內所有動作的存取權。政策提供存取服務內部分但非所有動作,並會進一步根據存取層級分類分組。這是根據下列存取層級的群組指出:
+ **Full (完整)**:政策提供對指定的存取層級分類中的所有動作的存取權。
+ **Limited (有限)**:政策提供指定存取層級分類內的一或多個但非全部動作的存取權。
+ **None (無)**:政策不提供存取權。
+ (空):IAM 無法辨識此服務。如果服務名稱包含錯別字,則政策不提供服務的存取權。如果服務名稱正確,則該服務可能不支援政策摘要,或者可能處於預覽狀態。在這種情況下,政策可能會提供存取權,但無法顯示在政策摘要內。若請求全面供應 (GA) 服務的政策摘要支援,請參閱 [服務不支援 IAM 政策摘要](troubleshoot_policies.md#unsupported-services-actions)。
包含有限 (部分) 動作存取的存取層級摘要會使用 AWS 存取層級分類 `List`、`Read`、`Tagging`、 `Write`或 進行分組`Permissions management`。
## AWS 存取層級
AWS 會為服務中的動作定義下列存取層級分類:
+ **List (清單)**:列出服務內資源的許可,以判斷物件是否存在。具有此層級存取權的動作,可以列出物件,但無法查看資源的內容。例如,Amazon S3 動作 `ListBucket` 具有 **List** (清單) 存取層級。
+ **Read (讀取)**:可讀取但無法編輯服務內資源的內容和屬性的許可。例如,Amazon S3 動作 `GetObject` 和 `GetBucketLocation` 具有 **Read** (讀取) 存取層級。
+ **Tagging (標記)**:執行僅變更資源標籤狀態之動作的許可。例如,IAM 動作 `TagRole` 及 `UntagRole` 具有 **Tagging** (標記) 存取層級,因為它們只允許標記或取消標記角色。不過,當您建立該角色時,`CreateRole` 動作允許標記角色資源。由於動作不會僅新增標籤,所以它具有 `Write` 存取層級。
+ **Write (寫入)**:可建立、刪除或修改服務內資源的許可。例如,Amazon S3 動作 `CreateBucket`、`DeleteBucket` 及 `PutObject` 具有 **Write** (寫入) 存取層級。`Write` 動作可能也允許修改資源標籤。不過,動作僅允許變更具有 `Tagging` 存取層級的標籤。
+ **許可管理**:許可管理是指控制內部存取的動作 AWS 服務,包括 IAM 和非 IAM 身分許可,但排除安全群組等網路層級存取控制。例如,大多數 IAM 和 AWS Organizations 動作,以及 Amazon S3 動作`PutBucketPolicy`,且`DeleteBucketPolicy`具有**許可管理**存取層級。
**秘訣**
為了改善 的安全性 AWS 帳戶,請限制或定期監控包含**許可管理**存取層級分類的政策。
若要檢視服務中所有動作的存取層級分類,請參閱 [AWS 服務的動作、資源和條件金鑰](reference_policies_actions-resources-contextkeys.html)。
# 服務摘要 (動作清單)
政策摘要列於三個表中:政策摘要、[服務摘要](access_policies_understand-policy-summary.md)以及[動作摘要](access_policies_understand-action-summary.md)。*服務摘要*表包括動作清單和由政策針對所選服務定義的許可摘要。
![\[政策摘要圖表圖片描繪出 3 個表格與各自的關係\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policy_summaries-svc-sum.png)
您可以檢視授予許可的政策摘要中,所列的每個服務的服務摘要。該表已分組為 **Uncategorized actions (未分類的動作)**、**Uncategorized resource types (未分類的資源類型)** 和存取層級區段。如果政策包含 IAM 無法辨識的動作,則該動作將包含在資料表的 **Uncategorized actions** (未分類的動作) 區段中。如果 IAM 識別出動作,則該動作會包含在資料表的其中一個存取層級 (**列出**、**讀取**、**寫入**和**許可管理)** 區段下。若要檢視指派給服務中每個動作的存取層級分類,請參閱 [AWS 服務的動作、資源和條件金鑰](reference_policies_actions-resources-contextkeys.html)。
## 了解服務摘要的元素
以下範例是從政策摘要中允許的 Amazon S3 動作之服務摘要。此服務的動作會按照存取層級分組。例如,在可供服務使用的總計 52 個**讀取**動作中,有 35 個**讀取**動作已定義。
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-dialog.png)
受管政策的服務摘要頁面包含以下資訊:
1. 如果政策未授予許可給政策中為服務定義的所有操作、資源和條件,則將在頁面頂部顯示警告橫幅。服務摘要中包含關於問題的詳細資訊。若要了解政策摘可如何協助您了解政策授予的許權並進行相關問題故障排除,請參閱[我的政策未授與預期的許可](troubleshoot_policies.md#policy-summary-not-grant-permissions).。
1. 若要查看政策的其他詳細資訊,請選擇 **JSON**。您可以執行此操作,來查看套用到動作的所有條件。(如果您正在檢視直接連接到使用者的內嵌政策的服務摘要,您必須關閉服務摘要對話方塊並返回政策摘要,以存取 JSON 政策文件)。
1. 若要檢視特定動作的摘要,請在**搜尋**方塊中輸入關鍵字,以縮短可用動作清單。
1. 在**服務**返回箭頭旁邊,將顯示服務的名稱 (在此案例中,為 **S3**)。這項服務的服務摘要包含政策中定義的允許或拒絕之動作清單。如果服務出現在**許可**索引標籤上的** (明確拒絕) **下,系統會明確拒絕服務摘要表中列出的動作。如果服務出現在**許可**索引標籤上的**允許**下,系統會允許服務摘要表中列出的動作。
1. **動作** – 此欄位會列出在政策中定義的動作,並提供每個動作的資源和條件。如果政策授予或拒絕授予許可給動作,動作名稱會連結到*[動作摘要](access_policies_understand-action-summary.md)*資料表。表格會根據政策允許或拒絕的存取層級,將這些動作分組到至少一個或多達五個區段。區段為**列出**、**讀取**、**寫入**、**許可管理**以及**標記**。計數表示在每個存取層級內提供許可的已認可動作。總計是服務的已知動作數。在這個範例中,在總計 52 個已知 Amazon S3 **讀取**動作中,有 35 個動作提供許可。若要檢視指派給服務中每個動作的存取層級分類,請參閱 [AWS 服務的動作、資源和條件金鑰](reference_policies_actions-resources-contextkeys.html)。
1. **顯示剩餘的動作** – 切換此按鈕可展開或隱藏資料表,以包含已知但不提供此服務的許可之動作。切換該按鈕也會針對不提供許可的任何元素顯示警告。
1. **Resource** (資源) – 此欄位顯示政策為服務定義的資源。IAM 不會檢查資源是否適用於每個動作。在此範例中,Amazon S3 服務中的動作只允許對 `developer_bucket` Amazon S3 儲存貯體資源執行。根據服務提供給 IAM 的資訊,您可能會看到一個 ARN (例如 `arn:aws:s3:::developer_bucket/*`),或者您可能會看到定義的資源類型 (例如 `BucketName = developer_bucket`)。
**注意**
此欄位可能包含不同服務的資源。如果包含資源的政策陳述式,不包含來自相同服務的動作和資源,則您的政策包含不相符的資源。在建立政策或在服務摘要中查看政策時,IAM 不會警告您關於不相符的資源。IAM 也不會指出動作是否適用於資源或者服務是否相符。如果此欄位包含不相符的資源,則您應該檢閱您的政策錯誤。若要更全面了解您的政策,請一律以[政策模擬器](access_policies_testing-policies.md)來測試。
1. **Request condition** (請求條件) – 此欄指出與資源關聯的動作是否受條件約束。若要進一步了解相關條件,請選擇 **JSON** 以檢視 JSON 政策文件。
1. **(No access)** (沒有存取) – 此政策包含不提供許可的動作。
1. **Resource warning** (資源警告) – 對於不提供完整許可的資源動作,請參閱以下其中一個警告:
+ **This action does not support resource-level permissions. This requires a wildcard (\$1) for the resource. (此動作不支援資源層級的許可,這需要對資源使用萬用字元 **(\$1))。– 這表示政策包含資源層級許可,但必須包含 `"Resource": ["*"]` 才能提供此動作的許可。
+ **This action does not have an applicable resource. (此動作沒有適用的資源)**。– 這表示動作包含在政策內,而無支援的資源。
+ **This action does not have an applicable resource and condition. (此動作沒有適用的資源和條件)**。– 這表示動作包含在政策內,而無支援的資源,也無支援的條件。在這種情況下,此服務的政策內也包含條件,但沒有適用此動作的條件。
1. 提供許可的動作包含連到動作摘要的連結。
# 檢視服務摘要
您可以檢視授予許可的政策摘要中,所列的每個服務的服務摘要。
## 從**政策**頁面檢視服務摘要
您可以在**政策**頁面上檢視受管政策的動作摘要。
**若要檢視受管政策的服務摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇您要檢視的政策名稱。
1. 在政策的**政策詳細資訊**頁面上,檢視**許可**索引標籤,可查看政策摘要。
1. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。
## 檢視連接到使用者的政策的服務摘要
您可以檢視連接到 IAM 使用者的任何政策的服務摘要。
**若要檢視連接到使用者的政策服務摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Users** (使用者)。
1. 在使用者清單中,選擇要檢視其政策的使用者的名稱。
1. 在使用者的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到使用者或從群組連接的政策清單。
1. 在使用者的政策表中,選擇您要檢視的政策名稱。
如果您已打開**使用者**頁面,並選擇檢視連接到該使用者的政策服務摘要,系統會將您重新引導至**政策**頁面。您只能在**政策**頁面上檢視服務摘要。
1. 選擇**摘要**。在服務的政策摘要清單中,選擇您要檢視的服務名稱。
**注意**
如果您選擇的政策是直接連接到使用者的內嵌政策,就會顯示服務摘要表。如果政策是從群組連接過來的內嵌政策,您會被帶引到 JSON 政策文件中的該群組。如果政策是受管政策,那麼您會被帶引到 **Policies (政策)** 頁面上該政策的服務摘要。
## 檢視連接到角色的政策的服務摘要
您可以檢視連接到角色的任何政策的政策摘要。
**若要檢視連接到角色的政策服務摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 從導覽窗格選擇 **Roles** (角色)。
1. 在角色清單中,選擇要檢視其政策的角色名稱。
1. 在角色的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到角色的政策清單。
1. 在角色的政策表中,選擇您要檢視的政策名稱。
如果您已打開**角色**頁面,並選擇檢視連接到該使用者的政策服務摘要,系統會將您重新引導至**政策**頁面。您只能在**政策**頁面上檢視服務摘要。
1. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。
# 動作摘要 (資源清單)
政策摘要列於三個表中:政策摘要、[服務摘要](access_policies_understand-policy-summary.md)以及[動作摘要](access_policies_understand-service-summary.md)。*動作摘要*表中包含一份資源清單,以及適用於所選動作的關聯條件。
![\[政策摘要圖表描繪出 3 個表格與各自的關係\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policy_summaries-action-sum.png)
若要檢視每個授予許可的動作摘要,請選擇服務摘要中的連結。動作摘要表包含關於資源的詳細資訊,包括其 **Region (區域)** 和 **Account (帳戶)**。您也可以檢視套用到各個資源的條件。這會顯示適用某些資源,但不適用其他資源的條件。
## 了解動作摘要的元素
以下範例是來自 Amazon S3 服務摘要的 `PutObject` (寫入) 動作的動作摘要 (請參閱 [服務摘要 (動作清單)](access_policies_understand-service-summary.md))。對於此動作,政策在單一資源定義多個條件。
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-dialog.png)
動作摘要頁面包含以下資訊:
1. 選擇 **JSON**,可查看其他有關政策的詳細資訊,例如檢視套用到動作的多個條件。(如果您正在檢視直接連接到使用者的內嵌政策的動作摘要,則步驟有所不同。在這種情況下,您必須關閉動作摘要對話方塊並返回政策摘要,才能存取 JSON 政策文件)。
1. 若要檢視特定資源的摘要,請在**搜尋方塊**中輸入關鍵字,以減少可用資源清單。
1. 在**動作**返回箭頭旁邊,將以格式 `action name action in service` 顯示服務和動作的名稱 (在此案例中為 **S3 中的 PutObject 動作**)。這項服務的動作摘要包含政策中定義的資源清單。
1. **Resource (資源)** – 此欄列示政策為所選服務定義的資源。在此範例中,所有物件路徑都允許 **PutObject** 動作,但只有 `developer_bucket` Amazon S3 儲存貯體資源除外。根據服務提供給 IAM 的資訊,您可能會看到一個 ARN (例如 `arn:aws:s3:::developer_bucket/*`),或者您可能會看到定義的資源類型 (例如 `BucketName = developer_bucket, ObjectPath = All`)。
1. **Region** (區域) – 此欄顯示定義資源的區域。可針對所有區域或單一區域定義資源。它們無法存在於一個以上的特定區域。
+ **所有區域** – 與資源關聯的動作適用於所有區域。在這個範例中,動作屬於全球服務 Amazon S3。屬於全球服務的動作適用於所有區域。
+ Region text (區域文字) – 與資源關聯的動作適用於一個區域。例如,政策可以指定資源的 `us-east-2` 區域。
1. **Account** (帳戶) – 此欄顯示與資源關聯的服務或動作是否套用於特定帳戶。資源可以存在於所有帳戶或單一帳戶。它們無法存在於一個以上的特定帳戶。
+ **All accounts** (所有帳戶) – 與資源關聯的動作適用於所有帳戶。在這個範例中,動作屬於全球服務 Amazon S3。屬於全球服務的動作適用於所有帳戶。
+ **這個帳戶** – 與資源關聯的動作只適用於目前的帳戶。
+ Account number (帳戶編號) – 與資源關聯的動作,套用於一個帳戶 (您目前未登入的帳戶)。例如,如果政策指定 `123456789012` 帳戶供資源使用,則帳號會出現在政策摘要中。
1. **Request condition** (請求條件) – 此欄顯示與資源關聯的動作是否受條件約束。此範例包含 `s3:x-amz-acl = public-read` 條件。若要進一步了解相關條件,請選擇 **JSON** 以檢視 JSON 政策文件。
# 檢視動作摘要
您可以檢視授予許可的政策摘要中所列的每個動作的動作摘要。
## 從**政策**頁面檢視動作摘要
您可以檢視受管政策的動作摘要。
**檢視受管政策的動作摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇您要檢視的政策名稱。
1. 在政策的**政策詳細資訊**頁面上,檢視**許可**索引標籤,可查看政策摘要。
1. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。
1. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。
## 檢視連接到使用者的政策的動作摘要
您可以檢視連接到使用者的任何政策的動作摘要。
**檢視連接到使用者的政策動作摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 從導覽窗格選擇 **Users** (使用者)。
1. 在使用者清單中,選擇要檢視其政策的使用者的名稱。
1. 在使用者的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到使用者或從群組連接的政策清單。
1. 在使用者的政策表中,選擇您要檢視的政策名稱。
如果您已打開**使用者**頁面,並選擇檢視連接到該使用者的政策服務摘要,系統會將您重新引導至**政策**頁面。您只能在**政策**頁面上檢視服務摘要。
1. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。
**注意**
如果您選擇的政策是直接連接到使用者的內嵌政策,就會顯示服務摘要表。如果政策是從群組連接過來的內嵌政策,您會被帶引到 JSON 政策文件中的該群組。如果政策是受管政策,那麼您會被帶引到 **Policies (政策)** 頁面上該政策的服務摘要。
1. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。
## 檢視連接到角色的政策的動作摘要
您可以檢視連接到角色的任何政策的動作摘要。
**檢視連接到角色的政策動作摘要**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇 **Roles** (角色)。
1. 在角色清單中,選擇要檢視其政策的角色名稱。
1. 在角色的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到角色的政策清單。
1. 在角色的政策表中,選擇您要檢視的政策名稱。
如果您已打開**角色**頁面,並選擇檢視連接到該使用者的政策服務摘要,系統會將您重新引導至**政策**頁面。您只能在**政策**頁面上檢視服務摘要。
1. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。
1. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。
# 政策摘要的範例
以下範例包括將 JSON 政策加入關聯的[政策摘要](access_policies_understand-policy-summary.md)、[服務摘要](access_policies_understand-service-summary.md)、以及[動作摘要](access_policies_understand-action-summary.md),以協助您了解透過政策提供的許可。
## 政策 1:DenyCustomerBucket
此政策示範對相同服務的允許和拒絕。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FullAccess",
"Effect": "Allow",
"Action": ["s3:*"],
"Resource": ["*"]
},
{
"Sid": "DenyCustomerBucket",
"Action": ["s3:*"],
"Effect": "Deny",
"Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ]
}
]
}
```
------
***DenyCustomerBucket** 政策摘要:*
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-example1-dialog.png)
***DenyCustomerBucket S3 (明確拒絕)** 服務摘要:*
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-example1-dialog.png)
***GetObject (讀取)** 動作摘要:*
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-example1-dialog.png)
## 政策 2:DynamoDbRowCognitoID
此政策根據使用者的 Amazon Cognito ID 提供對 Amazon DynamoDB 的低層級存取權限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:DeleteItem",
"dynamodb:GetItem",
"dynamodb:PutItem",
"dynamodb:UpdateItem"
],
"Resource": [
"arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"
],
"Condition": {
"ForAllValues:StringEquals": {
"dynamodb:LeadingKeys": [
"${cognito-identity.amazonaws.com:sub}"
]
}
}
}
]
}
```
------
***DynamoDbRowCognitoID** 政策摘要:*
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-example2-dialog.png)
***DynamoDbRowCognitoID DynamoDB (允許)** 服務摘要:*
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-example2-dialog.png)
***GetItem (清單)** 動作摘要:*
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-example2-dialog.png)
## 政策 3:MultipleResourceCondition
此政策包含多個資源和條件。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": ["arn:aws:s3:::Apple_bucket/*"],
"Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": ["arn:aws:s3:::Orange_bucket/*"],
"Condition": {"StringEquals": {
"s3:x-amz-acl": ["custom"],
"s3:x-amz-grant-full-control": ["1234"]
}}
}
]
}
```
------
***MultipleResourceCondition** 政策摘要:*
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-example3-dialog.png)
***MultipleResourceCondition S3 (允許)** 服務摘要:*
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-example3-dialog.png)
***PutObject (寫入)** 動作摘要:*
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-example3-dialog.png)
## 政策 4:EC2\$1troubleshoot
以下政策可讓使用者取得執行中的 Amazon EC2 執行個體螢幕截圖,可協助執行 EC2 故障排除。此政策也允許檢視 Amazon S3 開發人員儲存貯體中項目的相關資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:GetConsoleScreenshot"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::developer"
]
}
]
}
```
------
***EC2\$1Troubleshoot** 政策摘要:*
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-example4-dialog.png)
***EC2\$1Troubleshoot S3 (允許)** 服務摘要:*
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-example4-dialog.png)
***ListBucket (清單)** 動作摘要:*
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-example4-dialog.png)
## 政策 5:CodeBuild\$1CodeCommit\$1CodeDeploy
此政策提供對特定 CodeBuild、CodeCommit 以及 CodeDeploy 的存取。由於這些資源對於每個服務來說都是專有的,因此只會在對應服務中顯示。如果您在 `Action` 元素中加入不符合任何服務的資源,那麼資源會顯示在所有動作摘要中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1487980617000",
"Effect": "Allow",
"Action": [
"codebuild:*",
"codecommit:*",
"codedeploy:*"
],
"Resource": [
"arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project",
"arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
"arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App",
"arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*"
]
}
]
}
```
------
***CodeBuild\$1CodeCommit\$1CodeDeploy** 政策摘要:*
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-example6-dialog.png)
***CodeBuild\$1CodeCommit\$1CodeDeploy CodeBuild (允許)** 服務摘要:*
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-example6-dialog.png)
***CodeBuild\$1CodeCommit\$1CodeDeploy StartBuild (寫入)** 動作摘要:*
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-example6-dialog.png)
# 存取 IAM 資源所需的許可
*資源*是服務中的物件。IAM 資源包括群組、使用者、角色和政策。如果您使用 AWS 帳戶根使用者 登入資料登入,則沒有管理 IAM 登入資料或 IAM 資源的限制。但是,必須明確授予 IAM 使用者管理憑證或 IAM 資源的許可。您可以透過將以身分為基礎的政策連接到使用者來執行此操作。
**注意**
在整個 AWS 文件中,當我們參考 IAM 政策而不提及任何特定類別時,我們指的是以身分為基礎的客戶受管政策。如需政策類別的詳細資訊,請參閱[中的政策和許可 AWS Identity and Access Management](access_policies.md)。
## 管理 IAM 身分的許可
管理 IAM 群組、使用者、角色和憑證所需的許可通常對應於任務的 API 動作。例如,若要建立 IAM 使用者,您必須擁有具有對應的 API 命令的 `iam:CreateUser` 許可:[https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html)。若要允許 IAM 使用者建立其他 IAM 使用者,您可以將 IAM 政策 (如下所示) 連接到該使用者:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "iam:CreateUser",
"Resource": "*"
}
}
```
------
在政策中,`Resource` 元素的值取決於動作以及動作可以影響的資源。在上述範例中,政策可讓使用者建立任何使用者 (`*` 是符合所有字串的萬用字元)。反之,允許使用者僅更改自己的存取金鑰 (API 動作 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) 和 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)) 的政策通常具有 `Resource` 元素。在這種情況下,ARN 包含一個變數 (`${aws:username}`),其解析至目前使用者名稱,如以下範例所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListUsersForConsole",
"Effect": "Allow",
"Action": "iam:ListUsers",
"Resource": "arn:aws:iam::*:*"
},
{
"Sid": "ViewAndUpdateAccessKeys",
"Effect": "Allow",
"Action": [
"iam:UpdateAccessKey",
"iam:CreateAccessKey",
"iam:ListAccessKeys"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
在上述範例中,`${aws:username}` 是一個解析為目前使用者的使用者名稱的變數。如需有關政策變數的詳細資訊,請參閱 [IAM 政策元素:變數與標籤](reference_policies_variables.md)。
在動作名稱中使用萬用字元 (`*`) 通常可讓您更輕鬆地授予許可給與特定任務相關的所有動作。例如,若要允許使用者執行任何 IAM 動作,您可以使用 `iam:*` 執行動作。為了允許使用者能夠執行只與存取金鑰相關的任何動作,您可以在政策陳述式的 `iam:*AccessKey*` 元素中使用 `Action`。如此可提供使用者許可來執行 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)、[https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)、[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)、[https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 和 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 動作。(如果動作新增到未來具有「AccessKey」的 IAM 中,則對 `iam:*AccessKey*` 元素使用 `Action` 也將授予使用者對該新動作的許可)。下列範例顯示的政策可讓使用者執行與其自己的存取金鑰相關的所有動作 (`account-id`以您的 AWS 帳戶 ID 取代):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "iam:*AccessKey*",
"Resource": "arn:aws:iam::111122223333:user/${aws:username}"
}
}
```
------
有些任務 (例如刪除群組) 涉及多個動作:您必須先從群組中移除使用者,然後分開或刪除群組的政策,然後實際刪除該群組。如果您希望使用者能夠刪除群組,則必須確保授予使用者執行所有相關動作的許可。
## 在 中工作的許可 AWS 管理主控台
上述範例顯示允許使用者使用 [AWS CLI](https://aws.amazon.com/cli/) 或 [AWS 開發套件](https://aws.amazon.com/tools/)執行動作的政策。
當使用者使用主控台,主控台會向 IAM 發出請求,以列出群組、使用者、角色和政策,並獲得與群組、使用者或角色關聯的政策。主控台也會發出請求,以取得有關委託人 AWS 帳戶 的資訊和資訊。主體是使用者在主控台中提出請求。
一般而言,要執行動作,您必須擁有只包含在政策中的符合動作。要建立使用者,您需要有呼叫 `CreateUser` 動作的許可。通常,當您使用主控台來執行動作時,您必須具有在主控台中顯示、列出、取得或以其他方式查看資源的許可。這是必要的,以便您可以在主控台中導覽以執行指定的動作。例如,如果使用者 Jorge 想要使用主控台來變更自己的存取金鑰,他會進入 IAM 主控台並選擇 **Users** (使用者)。此動作會導致主控台發出 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) 請求。如果 Jorge 沒有 `iam:ListUsers` 動作的許可,則在嘗試列出使用者時,主控台將被拒絕存取。因此,Jorge 無法取得自己的名稱和自己的存取金鑰,即使他擁有 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) 和 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 動作的許可。
如果您想要授予使用者使用 管理群組、使用者、角色、政策和登入資料的許可 AWS 管理主控台,您需要包含主控台執行之動作的許可。如需可以用來授予使用者許可的一些政策範例,請參閱[管理 IAM 資源的政策範例](id_credentials_delegate-permissions_examples.md)。
## 跨 AWS 帳戶授予許可
您可以直接向自己帳戶中的 IAM 使用者授予對您的資源的存取權限。如果其他帳戶中的使用者需要存取您的資源,您可以建立 IAM 角色,該角色是一個擁有許可的實體,但不與特定使用者相關聯。然後,其他帳戶中的使用者可以使用該角色,並根據您為該角色分配的許可存取資源。如需詳細資訊,請參閱 [在您擁有的另一個 IAM 使用者中 AWS 帳戶 存取](id_roles_common-scenarios_aws-accounts.md)。
**注意**
部分服務支援以資源為基礎的政策,如 [以身分為基礎和以資源為基礎的政策](access_policies_identity-vs-resource.md) (例如 Amazon S3、Amazon SNS 和 Amazon SQS) 中所述。對於這些服務,使用角色的替代方法是將政策連接到您要共用的資源 (儲存貯體、主題或佇列)。以資源為基礎的政策可以指定具有資源存取許可 AWS 的帳戶。
## 由一個服務來存取另一個服務的許可
許多 AWS 服務會存取其他 AWS 服務。例如,幾個 AWS 服務 (包括 Amazon EMR、Elastic Load Balancing 和 Amazon EC2 Auto Scaling) 管理 Amazon EC2 執行個體。 AWS 其他服務會使用 Amazon S3 儲存貯體、Amazon SNS 主題、Amazon SQS 佇列等。
在這些情況下管理許可的方案因服務而異。以下是一些如何處理不同服務許可的範例:
+ 在 Amazon EC2 Auto Scaling 中,使用者必須具有使用 Auto Scaling 的許可,但不需要明確授予管理 Amazon EC2 執行個體的許可。
+ 在 中 AWS Data Pipeline,IAM 角色會決定管道可以執行的動作;使用者需要許可才能擔任該角色。(有關詳細資訊,請參閱在*《AWS Data Pipeline 開發人員指南》*中的[使用 IAM 授予管道許可](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html))。
如需如何正確設定許可的詳細資訊,以便 AWS 服務能夠完成您想要的任務,請參閱您正在呼叫之服務的文件。若要了解如何為服務建立角色的詳細資訊,請參閱[建立角色以將許可委派給 AWS 服務](id_roles_create_for-service.md)。
**設定具有 IAM 角色的服務以代表您的工作**
當您想要將 AWS 服務設定為代表您工作時,通常會為 IAM 角色提供 ARN,以定義允許服務執行的動作。 AWS 會檢查 ,以確保您具有將角色傳遞給服務的許可。如需詳細資訊,請參閱[授予使用者將角色傳遞至 AWS 服務的許可](id_roles_use_passrole.md)。
## 必要的動作
動作是您可以對資源執行的動作,例如查看、建立、編輯和刪除該資源。動作由每個 AWS 服務定義。
若要允許某人執行動作,您必須在適用於呼叫身分或受影響資源的政策中包含必要的動作。一般而言,要提供執行動作所需的許可,您必須在政策中包含該動作。例如,要建立使用者,您需要將 CreateUser 動作新增到政策中。
在某些情況下,動作可能要求您在政策中包含其他相關動作。例如,若要提供某人許可,使其可以使用 AWS Directory Service 操作在 `ds:CreateDirectory` 中建立目錄,您必須在其政策中包含下列動作:
+ `ds:CreateDirectory`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:AuthorizeSecurityGroupEgress`
使用視覺化編輯器建立或編輯政策時,會收到警告和提示,以幫助您選擇政策的所有必需操作。
如需在 中建立目錄所需許可的詳細資訊 AWS Directory Service,請參閱[範例 2:允許使用者建立目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/IAM_Auth_Access_IdentityBased.html#IAMPolicyExamples_DS_create_directory)。
# 管理 IAM 資源的政策範例
以下 IAM 政策範例允許使用者執行與管理 IAM 使用者、群組和憑證相關的任務。這包括允許使用者管理自己的密碼、存取金鑰和多重要素驗證 (MFA) 裝置的政策。
如需允許使用者使用其他 AWS 服務執行任務的政策範例,例如 Amazon S3、Amazon EC2 和 DynamoDB,請參閱 [以身分為基礎的 IAM 政策範例](access_policies_examples.md)。
**Topics**
+ [允許使用者列出帳戶的群組、使用者、政策等,以供報告之用](#iampolicy-example-userlistall)
+ [允許使用者管理群組的成員資格](#iampolicy-example-usermanagegroups)
+ [允許使用者管理 IAM 使用者](#creds-policies-users)
+ [允許使用者設定帳戶密碼政策](#creds-policies-set-password-policy)
+ [允許使用者產生和擷取 IAM 憑證報告](#iampolicy-generate-credential-report)
+ [允許所有 IAM 動作 (管理員存取)](#creds-policies-all-iam)
## 允許使用者列出帳戶的群組、使用者、政策等,以供報告之用
以下政策允許使用者呼叫以字串 `Get` 或 `List` 開頭的任何 IAM 動作來產生報告。若要檢視範例政策,請參閱 [IAM:允許對 IAM 主控台的唯讀存取權](reference_policies_examples_iam_read-only-console.md)。
## 允許使用者管理群組的成員資格
以下政策允許使用者更新名為 *MarketingGroup* 群組的成員資格。若要檢視範例政策,請參閱 [IAM:允許以程式設計方式及在主控台中管理群組的成員資格](reference_policies_examples_iam_manage-group-membership.md)。
## 允許使用者管理 IAM 使用者
以下政策允許使用者執行所有與管理 IAM 使用者相關的任務,但是不允許對其他實體執行操作,如建立群組或政策。允許的動作包括:
+ 建立使用者 ([https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html) 動作)。
+ 刪除使用者。此任務需要許可以執行下列動作:[https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)、[https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)、[https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) 和 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html)。
+ 列出帳戶和群組中的使用者 ([https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)、[https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) 和 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html) 動作)。
+ 列出並移除使用者的政策 ([https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)、[https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)、[https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)、[https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html) 動作)
+ 更改或變更使用者路徑 ([https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html) 動作)。`Resource` 元素必須包含涵蓋來源路徑和目標路徑的 ARN。如需有關路徑的詳細資訊,請參閱 [易用名稱和路徑](reference_identifiers.md#identifiers-friendly-names)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUsersToPerformUserActions",
"Effect": "Allow",
"Action": [
"iam:ListPolicies",
"iam:GetPolicy",
"iam:UpdateUser",
"iam:AttachUserPolicy",
"iam:ListEntitiesForPolicy",
"iam:DeleteUserPolicy",
"iam:DeleteUser",
"iam:ListUserPolicies",
"iam:CreateUser",
"iam:RemoveUserFromGroup",
"iam:AddUserToGroup",
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:PutUserPolicy",
"iam:ListAttachedUserPolicies",
"iam:ListUsers",
"iam:GetUser",
"iam:DetachUserPolicy"
],
"Resource": "*"
},
{
"Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
"Effect": "Allow",
"Action": [
"iam:GetAccount*",
"iam:ListAccount*"
],
"Resource": "*"
}
]
}
```
------
前述政策中包含的多個許可,允許使用者在 AWS 管理主控台中執行任務。從 [AWS CLI](https://aws.amazon.com/cli/)、[AWS 開發套件](https://aws.amazon.com/tools/)或 IAM HTTP 查詢 API 執行使用者相關任務的使用者可能不需要特定許可。例如,如果使用者已知道從使用者取消連接的 ARN,則不需要 `iam:ListAttachedUserPolicies` 許可。使用者所需許可的確切清單取決於使用者管理其他使用者時必須執行的任務。
以下政策中的許可允許透過 AWS 管理主控台存取使用者任務:
+ `iam:GetAccount*`
+ `iam:ListAccount*`
## 允許使用者設定帳戶密碼政策
您可以授予某些使用者取得和更新您 AWS 帳戶[密碼政策](id_credentials_passwords_account-policy.md)的許可。若要檢視範例政策,請參閱 [IAM:允許以程式設計方式在主控台中設定帳戶密碼要求](reference_policies_examples_iam_set-account-pass-policy.md)。
## 允許使用者產生和擷取 IAM 憑證報告
您可以授予使用者許可,以產生和下載列出您 中所有使用者的報告 AWS 帳戶。此報告也會列出各種使用者憑證的狀態,包括密碼、存取金鑰、MFA 裝置和簽章憑證。如需有關憑證報告的詳細資訊,請參閱 [為您的 產生登入資料報告 AWS 帳戶](id_credentials_getting-report.md)。若要檢視範例政策,請參閱 [IAM:產生和擷取 IAM 憑證報告](reference_policies_examples_iam-credential-report.md)。
## 允許所有 IAM 動作 (管理員存取)
您可以授予某些使用者在 IAM 中執行所有操作的管理員許可,包括管理密碼、存取金鑰、MFA 裝置和使用者憑證。以下範例政策授予這些許可。
**警告**
當您授予使用者 IAM 的完全存取權時,對於使用者可以向自己或他人授予的許可則沒有限制。使用者可以建立新的 IAM 實體 (使用者或角色) 並授予這些實體對您 AWS 帳戶中所有資源的完全存取權限。您授予使用者對 IAM 的完全存取權限時,實際上是授予使用者對您的 AWS 帳戶中所有資源的完全存取權限。這包括可刪除所有資源的許可。您應只將這些許可授予信任的管理員,也應該對這些管理員強制採用多重要素驗證 (MFA)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "iam:*",
"Resource": "*"
}
}
```
------
# IAM 暫時委派
## 概觀
暫時委派可加速加入,並簡化 Amazon 和 AWS 合作夥伴產品與 AWS 您的帳戶整合的管理。您可以委派暫時的有限許可,讓產品提供者透過自動化部署工作流程,在幾分鐘內代表您完成設定任務,而不是手動設定多個 AWS 服務。您可以維護具有核准要求和許可界限的管理控制,而產品提供者許可會在核准的持續時間後自動過期,而不需要手動清除。如果產品需要持續存取以進行持續操作,提供者可以使用暫時委派來建立具有定義角色最大許可之許可界限的 IAM 角色。所有產品提供者活動都會透過 AWS CloudTrail 進行追蹤,以進行合規和安全監控。
**注意**
暫時委派請求只能由已完成功能加入程序的 Amazon 產品和合格 AWS 合作夥伴建立。客戶會檢閱並核准這些請求,但無法直接建立這些請求。如果您是希望將 IAM 臨時委派整合到您的產品的 AWS 合作夥伴,請參閱 [合作夥伴整合指南](access_policies-temporary-delegation-partner-guide.md)中的入門和整合說明。
## 暫時委派的運作方式
暫時委派可讓 Amazon 和 AWS 合作夥伴請求暫時、有限存取您的帳戶。在您核准後,他們可以使用委派的許可代表您執行動作。委派請求會定義產品提供者在 AWS 帳戶中部署或設定資源所需的 AWS 服務和動作的特定許可。這些許可僅在有限時間內可用,並在請求中指定的持續時間後自動過期。
**注意**
委派存取的持續時間上限為 12 小時。不過,根使用者只能核准持續時間為 4 小時或更短的委派請求。如果請求指定超過 4 小時,您必須使用非根身分來核准請求。如需詳細資訊,請參閱[許可模擬測試版功能](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation)。
對於持續進行的任務,例如從 Amazon S3 儲存貯體讀取,委派請求可以包括建立 IAM 角色,允許在暫時存取過期後繼續存取資源和動作。產品提供者必須將許可界限連接至透過暫時委派建立的任何 IAM 角色。許可界限會限制角色的最大許可,但不會自行授予許可。您可以在核准許可界限之前,在請求中檢閱許可界限。如需詳細資訊,請參閱[許可界限](access_policies_boundaries.md)。
程序的運作方式如下:
1. 您登入 Amazon 或 AWS 合作夥伴產品,將其與您的 AWS 環境整合。
1. 產品提供者會代表您啟動委派請求,並將您重新導向至 AWS 管理主控台。
1. 您可以檢閱請求的許可,並決定是否核准、拒絕或轉送請求給管理員。
1. 一旦您或您的管理員核准請求,產品提供者就可以取得核准者的臨時登入資料來執行必要的任務。
1. 產品提供者存取會在指定的時段後自動過期。不過,透過暫時委派請求建立的任何 IAM 角色會保留超過此期間,可讓產品提供者繼續存取持續管理任務的資源和動作。
![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/delegation-flow.png)
**注意**
只有在您擁有暫時委派請求中包含的服務和動作的許可時,才能將許可委派給產品提供者。如果您無法存取請求的服務和動作,當您核准請求時,產品提供者不會收到這些許可。
如果許可檢查顯示可能成功,您可以核准暫時委派請求並繼續工作流程。
如果許可檢查顯示您可能沒有足夠的許可,請將請求轉送給管理員以進行核准。我們建議您使用您偏好的方法來通知管理員此請求,例如電子郵件或票證。
管理員核准請求後,接下來會發生什麼情況取決於產品提供者的組態:
+ 如果產品提供者請求立即存取,他們會自動收到暫時許可,且存取持續時間開始。
+ 如果產品提供者請求擁有者 (初始收件人) 發行,您必須在存取期間開始之前返回請求以明確共用臨時帳戶存取。當產品提供者需要額外輸入時,例如資源選擇或組態詳細資訊,通常會使用此選項來完成必要的任務。
# 啟動暫時委派請求
您只能從支援的 Amazon 或 AWS 合作夥伴產品啟動暫時委派請求。在支援暫時委派的工作流程期間,系統會提示您授予產品提供者暫時、有限的許可,以設定帳戶中的必要 AWS 資源。這種自動化方法讓您無需手動設定這些資源,即可提供更簡化的體驗。
您可以在授予存取權之前檢閱委派請求詳細資訊,例如產品提供者所需的特定 IAM 角色、政策和 AWS 服務。如果您有足夠的許可,您可以自行核准請求,或將請求轉送給帳戶管理員進行核准。所有產品提供者存取都有時間限制,並可視需要進行監控和撤銷。
**啟動暫時委派請求**
1. 從 Amazon 或需要與 AWS 您的帳戶整合的 AWS 合作夥伴導覽至支援產品的主控台。
1. 選取*使用 IAM 暫時委派部署*。請注意,選項名稱可能因支援的產品而異。如需詳細資訊,請參閱產品供應商的文件。
**注意**
如果您尚未登入 AWS 管理主控台, AWS 登入頁面會開啟新視窗。我們建議您先登入 AWS 您的帳戶,再從產品主控台啟動暫時委派請求。如需如何根據您的使用者類型和您要存取 AWS 的資源登入的詳細資訊,請參閱 [AWS 登入使用者指南](docs---aws.amazon.com.rproxy.goskope.comsignin/latest/userguide/what-is-sign-in.html)。
1. 檢閱請求詳細資訊以確認產品提供者的產品名稱和 AWS 帳戶。您也可以檢閱產品提供者將用來代表您執行動作的 AWS 身分。
1. 檢閱透過核准此請求暫時委派之許可的*存取詳細資訊*。
+ *許可摘要*區段提供 AI 產生的高階概觀,可協助您了解 AWS 可存取的服務類別,以及可在每個服務中執行的動作類型。
+ 選擇*檢視 JSON* 以檢閱產品提供者在 AWS 帳戶中部署所需的特定許可,包括存取範圍和資源限制。
+ 如果產品提供者在暫時委派請求中建立 IAM 角色,則必須將許可界限連接到角色。這些 IAM 角色具有許可,可在請求的存取期間過期後,繼續允許存取資源和動作。選擇*檢視詳細資訊*以檢閱許可界限,這會定義角色可擁有的最大許可。在定義其實際許可的建立期間,產品提供者會將其他政策套用至角色。這些政策看起來可能比界限更窄或更寬,具體取決於產品提供者如何定義它們。不過,許可界限保證角色的有效許可永遠不會超過您在請求核准期間看到的許可,無論哪些政策連接到角色。如需詳細資訊,請參閱[許可界限](access_policies_boundaries.md)。
1. 檢閱許可模擬結果。許可模擬功能會自動針對請求中包含的許可來評估您的身分許可。根據此分析,會顯示建議,指出要使用您目前的身分核准請求,還是將請求轉送給管理員。如需詳細資訊,請參閱[許可模擬 Beta 版功能](#temporary-delegation-permission-simulation)。
1. 在對話方塊中,選取您要繼續的方式。
+ 當您的身分具有足夠的許可,以允許產品提供者代表您執行加入程序時,請選取*允許存取*。當您選取此選項時,產品提供者的存取持續時間會在您提供存取權後開始。
+ 如果您的身分沒有足夠的許可,以允許產品提供者代表您執行加入程序,請選取*請求核准*。然後,選擇*建立核准請求*。當您選取此選項時,系統會建立暫時委派請求連結,供您與帳戶管理員共用。您的管理員可以存取 AWS 管理主控台,或使用存取連結來檢閱暫時委派請求,以核准請求並與請求者共用暫時存取權。
**注意**
授予產品提供者存取權需要兩個動作:接受委派請求 (`AcceptDelegationRequest`) 和釋出交換字符 (`SendDelegatedToken`)。當您核准請求時, AWS 管理主控台會自動執行這兩個步驟。如果您使用 AWS CLI 或 API,則必須分別執行這兩個步驟。
## 許可模擬功能 - Beta
當您收到暫時委派請求時,您可以自行核准,或將其轉送給帳戶管理員進行核准。只有在您擁有暫時委派請求中包含的服務和動作的許可時,才能將許可委派給產品提供者。如果您無法存取請求的服務和動作,即使這些許可包含在請求中,產品提供者也不會收到這些許可。
例如,暫時委派請求需要能夠建立 Amazon S3 儲存貯體、在 Amazon EC2 中啟動和停止執行個體,以及擔任 IAM 角色。核准請求的身分可以啟動和停止 Amazon EC2 中的執行個體,並擔任 IAM 角色,但沒有建立 Amazon S3 儲存貯體的許可。當此身分核准請求時,即使暫時委派請求中包含這些許可,產品提供者仍無法建立 Amazon S3 儲存貯體。
由於您只能委派您已擁有的許可,因此在核准之前評估您是否擁有請求的許可至關重要。許可模擬測試版功能透過將您的許可與請求中包含的許可進行比較,協助進行此評估。評估指出您是否可以使用目前的身分核准請求,或需要將其轉送給管理員。如果分析無法驗證您是否有足夠的許可,請將請求轉送給管理員以供檢閱。此評估是以模擬許可分析為基礎,可能與您的即時 AWS 環境不同,因此請在繼續之前仔細檢閱請求的許可。
## 後續步驟
啟動暫時委派請求後,您可以在請求的生命週期中管理和監控請求。下列程序可協助您追蹤、核准和控制暫時存取:
+ [檢閱暫時委派請求](temporary-delegation-review-requests.md) – 監控存取請求的狀態,並檢視核准或拒絕暫時委派請求的詳細資訊。
+ [撤銷暫時委派存取權](temporary-delegation-revoke-access.md) – 在工作階段自然過期之前立即終止作用中的暫時委派工作階段。
# 檢閱暫時委派請求
啟動暫時委派請求後,您可以在 IAM 主控台中監控、核准和拒絕請求。暫時委派請求頁面提供所有請求的集中檢視,包括待核准、已完成或拒絕的請求。身為管理員,您可以檢閱這些請求,以授予產品提供者對 AWS 資源的存取權,或根據您組織的安全政策、業務需求或合規標準拒絕這些請求。此可見性可協助您追蹤產品提供者存取的生命週期,並維持暫時許可的監督。
**注意**
您必須擁有 iam:AcceptDelegationRequest 許可,才能核准暫時委派請求。
**核准暫時委派請求**
1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。
1. 在左側導覽窗格中,選擇*暫時委派請求*。
1. 主頁面會顯示暫時委派請求的清單,其中包含下列資訊:
+ *請求 ID* – 請求的唯一識別符
+ *狀態* – 目前狀態 (待定、已核准、已拒絕、已共用、已過期)
+ *請求者* - 與請求相關聯的產品提供者
+ *由 -* 帳戶中發起產品提供者請求的 IAM 主體啟動
+ *已建立請求* – 提交請求時
+ *請求過期* – 請求過期或即將過期時
1. (選用) 使用篩選條件選項依狀態檢視請求:
+ *所有請求* – 檢視所有請求,無論狀態為何
+ *待處理* – 檢視等待管理員核准的請求
+ *已核准* – 檢視已核准的請求
+ *共用* – 檢視已共用存取權的請求
+ *已拒絕* – 檢視具有拒絕原因的已拒絕請求
1. 若要檢視特定請求的詳細資訊或檢閱待核准請求,請選擇請求 ID。
1. 檢閱詳細的請求資訊:
+ 產品提供者資訊
+ 請求原因和理由
+ 請求的持續時間
+ 請求的 AWS 許可
1. 如果您是檢閱待定請求的管理員,請選擇下列其中一個選項:
+ 若要核准請求,請選擇*核准*。在核准對話方塊中,您可以檢視許可模擬的結果。如需詳細資訊,請參閱[許可模擬 Beta 版功能](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation)。在確認存取持續時間和 AWS 您的身分後,選擇*核准*以授予存取權。如果產品提供者請求立即存取,他們會自動收到暫時許可,且存取持續時間開始。否則,請通知啟動請求的人員將存取權釋出給產品提供者。
+ 若要拒絕請求,請選擇*拒絕*。
+ 在拒絕對話方塊中,提供拒絕的明確原因,以協助請求者了解拒絕其請求的原因。
+ 選擇*拒絕*以拒絕存取。
1. 請求清單會自動重新整理以顯示最新的狀態資訊。您也可以手動重新整理頁面,以檢查狀態更新。
# 撤銷暫時委派存取權
雖然產品提供者存取工作階段的設計會在核准持續時間後自動過期,但在某些情況下,您可能需要立即終止存取。當出現安全問題、產品提供者的工作提早完成或業務需求變更時,撤銷作用中的產品提供者存取可提供緊急控制機制。請求啟動者和管理員都可以撤銷存取,以維護安全和操作控制。
**撤銷暫時委派存取權**
1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。
1. 在左側導覽窗格中,選擇*暫時委派請求*。
1. 找到您要撤銷之存取工作階段的請求 ID。
1. 選擇*動作*,然後選擇*撤銷存取權*。
1. 在對話方塊中,選擇*撤銷存取權*,以確認您想要立即終止存取工作階段。
撤銷存取權後,產品提供者將無法再存取您的 AWS 資源。撤銷會記錄在 AWS CloudTrail 中以供稽核之用。
**重要**
撤銷存取權會立即終止產品提供者存取工作階段。任何使用 存取的進行中工作或程序都會中斷。確保撤銷不會中斷關鍵操作。
**注意**
您無法撤銷使用根使用者核准之請求的存取權。 AWS 建議您避免使用根使用者核准委派請求。請改用具有適當許可的 IAM 角色。
## 管理委派請求的許可
管理員可以授予 IAM 主體許可,以管理來自產品提供者的委派請求。當您想要將核准授權委派給組織中的特定使用者或團隊,或需要控制誰可以對委派請求執行特定動作時,這會很有用。
下列 IAM 許可可用於管理委派請求:
| 權限 | Description |
| --- | --- |
| iam:AssociateDelegationRequest | 將未指派的委派請求與 AWS 您的帳戶建立關聯 |
| iam:GetDelegationRequest | 檢視委派請求的詳細資訊 |
| iam:UpdateDelegationRequest | 將委派請求轉送給管理員以進行核准 |
| iam:AcceptDelegationRequest | 核准委派請求 |
| iam:SendDelegationToken | 核准後將交換字符釋出給產品供應商 |
| iam:RejectDelegationRequest | 拒絕委派請求 |
| iam:ListDelegationRequests | 列出您帳戶的委派請求 |
**注意**
根據預設,啟動委派請求的 IAM 主體會自動獲得管理該特定請求的許可。他們可以將其與其帳戶建立關聯、檢視請求詳細資訊、拒絕請求、將其轉送給管理員進行核准、在管理員核准後將交換字符釋出給產品提供者,以及列出他們擁有的委派請求。
# 通知
IAM 暫時委派與 AWS 使用者通知整合,協助您隨時掌握委派請求狀態變更的相關資訊。對於需要檢閱和核准委派請求的管理員來說,通知特別有用。
透過 AWS 使用者通知,您可以設定要透過多個管道傳送的提醒,包括電子郵件、Amazon Simple Notification Service (SNS)、適用於 Slack 或 Microsoft Teams 的 AWS Chatbot,以及 AWS 主控台行動應用程式。這可確保適當的人員在正確的時間收到通知,以便更快速回應待核准或了解存取變更。您也可以根據組織的需求和安全需求,自訂哪些事件觸發通知。
## 可用的通知事件
您可以訂閱以接收下列 IAM 暫時委派事件的通知:
+ 已建立 IAM 暫時委派請求
+ 指派的 IAM 暫時委派請求
+ IAM 暫時委派請求待核准
+ IAM 暫時委派請求遭拒
+ 已接受 IAM 暫時委派請求
+ IAM 暫時委派請求已完成
+ IAM 暫時委派請求已過期
## 設定 通知
若要設定 IAM 暫時委派事件的通知:
1. 開啟 AWS 使用者通知主控台
1. 建立或更新通知組態
1. 選取 AWS IAM 做為服務
1. 選擇您要收到通知的委派請求事件
1. 設定您的交付管道 (電子郵件、 AWS Chatbot 等)
如需設定 AWS 使用者通知的詳細指示,包括設定交付管道和管理通知規則,請參閱 AWS 使用者通知文件。
# CloudTrail
產品提供者使用暫時委派存取執行的所有動作都會自動記錄在 AWS CloudTrail 中。這可讓您帳戶中產品提供者活動的完整可見性和可稽核性 AWS 。您可以識別產品提供者所採取的動作、發生的時間,以及執行這些動作的產品提供者帳戶。
為了協助您區分您自己的 IAM 主體所採取的動作,以及具有委派存取權的產品提供者所採取的動作,CloudTrail 事件會在 `userIdentity`元素`invokedByDelegate`下包含名為 的新欄位。此欄位包含產品提供者 AWS 的帳戶 ID,讓您輕鬆篩選和稽核所有委派的動作。
## CloudTrail 事件結構
下列範例顯示產品提供者使用暫時委派存取所執行動作的 CloudTrail 事件:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
"accountId": "111122223333",
"accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-09-09T17:50:16Z",
"mfaAuthenticated": "false"
}
},
"invokedByDelegate": {
"accountId": "444455556666"
}
},
"eventTime": "2024-09-09T17:51:44Z",
"eventSource": "iam.amazonaws.com",
"eventName": "GetUserPolicy",
"awsRegion": "us-east-1",
"requestParameters": {
"userName": "ExampleIAMUserName",
"policyName": "ExamplePolicyName"
},
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
`invokedByDelegate` 欄位包含使用委派存取執行動作之產品提供者 AWS 的帳戶 ID。在此範例中,帳戶 444455556666 (產品提供者) 在帳戶 111122223333 (客戶帳戶) 中執行動作。
# AWS 合作夥伴的 IAM 暫時委派
## 概觀
IAM 暫時委派可讓 AWS 客戶透過互動式引導式工作流程,順暢地將 AWS 合作夥伴產品加入和/或整合到其 AWS 環境中。客戶可以授予 AWS 合作夥伴有限的暫時存取權,以設定所需的 AWS 服務、減少加入摩擦並加速實現價值的時間。
IAM 暫時委派可讓合作夥伴:
+ 透過自動化資源佈建簡化客戶加入
+ 消除手動組態步驟,降低整合複雜性
+ 透過透明、客戶核准的許可建立信任
+ 使用許可界限啟用具有長期存取模式的持續操作
## 運作方式
1. *合作夥伴建立委派請求* - 合作夥伴建立請求,指定他們需要的許可以及持續多久
1. * AWS 主控台中的客戶評論* - 客戶查看合作夥伴正在請求的許可以及原因
1. *客戶核准* - 客戶核准請求並釋出交換字符。權杖會在此指定的 SNS 主題上傳送給合作夥伴。
1. *合作夥伴收到臨時登入*資料 - 合作夥伴將字符交換為臨時 AWS 登入資料
1. *合作夥伴設定資源* - 合作夥伴使用登入資料來設定客戶帳戶中的必要資源
## 合作夥伴資格
若要符合暫時委派整合的資格,合作夥伴必須符合下列要求:
+ *ISV Accelerate 參與* – 您必須註冊 [ISV Accelerate (ISVA)](https://aws.amazon.com/partners/programs/isv-accelerate/) 計畫。
+ *AWS Marketplace 清單* – 您的產品必須在 AWS Marketplace 中以「部署上 AWS」徽章列出。
## 加入程序
完成下列步驟,將暫時委派整合到您的產品中:
1. *步驟 1:檢閱需求*
檢閱本文件以了解資格要求,並完成下方的合作夥伴問卷。
1. *步驟 2:提交您的加入請求*
傳送電子郵件至 aws-iam-partner-onboarding@amazon.com 或聯絡您的 AWS 代表。將您完成的合作夥伴問卷包含下表中的所有必要欄位。
1. *步驟 3: AWS 驗證和檢閱*
AWS 將:
+ 驗證您是否符合資格條件
+ 檢閱您的政策範本和許可界限
+ 針對您提交的成品提供意見回饋
1. *步驟 4:精簡您的政策*
回應 AWS 意見回饋,並視需要提交更新的政策範本或許可界限。
1. *步驟 5:完成註冊*
核准後, AWS 將:
+ 為指定的帳戶啟用 API 存取
+ 共用政策範本和許可界限ARNs (如適用)
加入完成時,您會收到確認。然後,您可以從您的註冊帳戶存取暫時委派 APIs、CreateDelegationRequest 和 GetDelegatedAccessToken,並開始將委派請求工作流程整合至您的產品。
## 合作夥伴問卷
下表列出加入合作夥伴所需的資訊:
| 資訊 | Description | 必要 |
| --- | --- | --- |
| Partner Central AccountID | 您在 [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login) 上註冊 AWS 帳戶的帳戶 ID。 | 是 |
| PartnerId | Partner [AWS Central 提供的合作夥伴](https://partnercentral.awspartner.com/partnercentral2/s/login) ID。 | 否 |
| AWS Marketplace 產品 ID | [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login) 提供的產品 ID。 | 是 |
| AWS accountIDs | 您要用來呼叫暫時委派 APIs AWS 的帳戶 ID 清單。 IDs 這應該包括您的生產和非生產/測試帳戶。 | 是 |
| 合作夥伴名稱 | 當客戶檢閱您的暫時委派請求時,此名稱會顯示在 AWS 管理主控台中。 | 是 |
| 聯絡電子郵件 (s) | 一或多個電子郵件地址,我們可用來就整合事宜與您聯絡。 | 是 |
| 請求者網域 | 您的網域 (例如 www.example.com) | 是 |
| 整合描述 | 您想要使用此功能解決的使用案例簡短描述。您可以包含文件或其他公有資料的參考連結。 | 是 |
| 架構圖 | 架構圖說明您的整合使用案例 (s)。 | 否 |
| 政策範本 | 您必須為此功能註冊至少一個政策範本。政策範本會定義您想要在客戶 AWS 帳戶中請求的暫時許可。如需詳細資訊,請參閱政策範本一節。 | 是 |
| 政策範本名稱 | 您要註冊的政策範本名稱。 | 是 |
| 許可界限 | 如果您想要使用暫時許可在客戶的帳戶中建立 IAM 角色,則必須向 IAM 註冊許可界限。許可界限會連接到您建立的 IAM 角色,以限制角色的最大許可。您可以使用選取的 AWS 受管政策做為許可界限,或註冊新的自訂許可界限 (JSON)。如需詳細資訊,請參閱許可界限一節。 | 否 |
| 許可邊界名稱 | 許可界限的名稱。格式為:arn:aws:iam::partner:policy/permission\$1boundary//\$1 政策名稱必須包含建立日期做為尾碼。建立許可界限後,就無法更新名稱。如果您使用的是現有的 AWS 受管政策,請改為提供 受管政策 ARN。 | 否 |
| 許可界限描述 | 許可界限的說明。建立許可界限後,就無法更新此描述。 | 否 |
# 了解您的整合
完成加入程序後,您可以建立與 IAM 臨時委派的整合。完整的整合通常涉及三個主要的工作類別:
## 1. 使用者體驗和工作流程設計
在合作夥伴應用程式中建立前端體驗,引導客戶完成暫時委派工作流程。合作夥伴應用程式應該:
+ 提供明確的加入或組態流程,讓客戶可以授予暫時存取權。清楚標記此動作,例如「使用 IAM 暫時委派進行部署」。
+ 將客戶重新導向至 AWS 管理主控台,以使用 CreateDelegationRequest API 傳回的主控台連結來檢閱和核准委派請求
+ 提供有關請求哪些許可及其原因的適當訊息。客戶可以在委派請求詳細資訊頁面上看到此訊息。
+ 在客戶完成核准後,處理客戶傳回至您的應用程式 AWS。
## 2. API 整合
使用 IAM 暫時委派 APIs來傳送和管理委派請求。註冊 AWS 帳戶後,您就可以存取下列 APIs:
+ *IAM CreateDelegationRequest* – 為客戶 AWS 的帳戶建立委派請求。此 API 會傳回主控台連結,您可以將客戶重新導向至 ,以檢閱和核准請求。
+ *AWS STS GetDelegatedAccessToken* – 在客戶核准委派請求後擷取臨時 AWS 憑證。使用這些登入資料在客戶的帳戶中執行動作。
您的整合應處理委派請求的完整生命週期,包括建立請求、監控其狀態,以及在核准時擷取臨時憑證。
## 3. 資源組態和協調
取得臨時登入資料後,請協調必要的工作流程,以設定客戶 AWS 帳戶中的資源。這可能包括:
+ 直接呼叫 AWS 服務 APIs以建立和設定資源
+ 使用 AWS CloudFormation 範本部署基礎設施
+ 建立持續存取的 IAM 角色 (需要使用許可界限)
您的協同運作邏輯應該是等冪的,並正常處理失敗,因為客戶可能需要重試或修改其委派核准。
# 了解許可
作為功能加入程序的一部分,您需要向 IAM 註冊政策,以定義您想要在客戶 AWS 帳戶中請求的許可。註冊程序為客戶提供更一致的體驗,並有助於避免政策撰寫中的常見陷阱。
在註冊期間, 會根據一組驗證 AWS 來評估您的政策。這些驗證旨在標準化政策格式和結構,並針對已知的反模式提供基本保護。驗證也會降低提升權限、意外跨帳戶存取,以及廣泛存取客戶帳戶中高價值資源的風險。
## 許可類型
AWS 會考慮兩種類型的許可:暫時和長期。
### 暫時許可
暫時許可會限制指派給任何暫時委派存取工作階段的許可。暫時許可會在套用至委派工作階段的政策範本中說明。範本支援您在建立委派請求時提供的參數。這些參數值接著會繫結至工作階段。暫時許可的運作方式與 AWS STS 目前提供的工作階段政策相同:政策會限制基礎使用者的功能,但不授予任何其他存取權。如需詳細資訊,請參閱工作階段政策 AWS STS 的文件。
### 長期許可
長期許可會限制透過暫時存取建立或管理之任何角色的許可。長期許可會實作為 IAM 許可界限。您可以在加入 AWS 時向 提交一或多個許可界限。核准後, AWS 將與您共用政策 ARN,供您在政策中參考。
這些界限政策有兩個值得注意的功能。首先,它們是不可變的。如果您想要更新許可,您可以註冊新的許可界限。然後,您可以透過傳送新的委派請求,將新的許可界限連接到客戶的角色。其次,政策不會建立範本。由於相同的界限政策是全域共用的,因此無法針對每位客戶修改。
**重要**
許可界限的大小上限為 6,144 個字元。
**注意**
如果您想要更新許可界限或政策範本,請透過 aws-iam-partner-onboarding@amazon.com 聯絡 IAM。註冊新的許可界限後,您就可以傳送委派請求給客戶,以更新 IAM 角色並連接新註冊的許可界限。如需詳細資訊,請參閱範例一節。
## 範例使用案例:資料處理工作負載
考慮在客戶帳戶中執行資料處理工作負載的產品供應商。供應商需要在初始加入期間設定基礎設施,但也需要持續存取才能操作工作負載。
*暫時許可 (用於初始設定):*
+ 建立 Amazon EC2 執行個體、VPC 和安全群組
+ 為已處理的資料建立 Amazon S3 儲存貯體
+ 建立持續操作的 IAM 角色
+ 將許可界限連接至 IAM 角色
*長期許可 (具有持續操作許可界限的 IAM 角色):*
+ 啟動和停止 Amazon EC2 執行個體以執行處理任務
+ 從 Amazon S3 儲存貯體讀取輸入資料
+ 將處理的結果寫入 Amazon S3 儲存貯體
臨時許可會在加入期間使用一次,以設定基礎設施。在此過程中建立的 IAM 角色具有許可界限,其最大許可僅限於持續工作負載管理所需的操作。這可確保即使修改角色的政策,也不能超過邊界中定義的許可。
# 政策評估準則
AWS 會根據一組準則來評估您提交的政策。相同的評估準則同時適用於政策範本和許可界限,並在適當時記下細微差異。
基於評估目的,我們會將服務分成不同的群組。最重要的區別在於管理存取、登入資料和金鑰的安全敏感服務。授予這些服務存取權的政策需要專注於已完成的工作。安全敏感服務包括下列項目: AWS Identity and Access Management (IAM)、 AWS Key Management Service (KMS)、 AWS Resource Access Manager (RAM)、 AWS IAM Identity Center、 AWS Organizations 和 AWS Secrets Manager。
次要區別是可以跨帳戶邊界存取資料的 服務。這些服務的政策必須包含保護,以防止意外的跨帳戶存取。
## 常見驗證
所有政策陳述式都必須遵循下列準則:
+ 所有陳述式都必須依該順序包含效果、動作 (或 NotAction)、資源和條件欄位
+ 單一陳述式中的所有動作都必須依字母順序列出
+ 政策中包含的所有 ARNs 必須遵循相關服務的公有文件中定義的語法
+ NotAction 欄位只能用於拒絕陳述式
+ 允許陳述式中的動作必須包含服務代碼。不允許一般萬用字元 ("\$1")
## 安全敏感的服務限制
下列限制適用於上述對安全敏感的服務:
+ 允許陳述式中的動作必須比 【服務】:\$1 更具體
+ 暫時存取政策範本的允許陳述式中的動作不得包含萬用字元
+ 如 iam:PassRole 或 iam:CreateServiceLinkedRole 等敏感動作需要額外範圍,例如特定資源或條件式檢查。這些動作包括:
+ IAM 角色傳遞
+ IAM 角色修改動作
+ IAM 政策修改動作
+ AWS KMS 寫入或密碼編譯操作
+ AWS RAM 寫入或共用操作
+ AWS 擷取或修改秘密或修改資源政策的 Secrets Manager 操作
+ 其他動作可能會使用萬用字元資源,例如 iam:ListUsers 或 iam:GetPolicy
+ 會封鎖管理登入資料的動作,例如 iam:CreateAccessKey
## IAM 特定限制
對於 IAM:
+ IAM 角色和政策只允許有限的寫入操作。您無法請求其他 IAM 資源的許可,例如使用者、群組和憑證。
+ 政策連接或內嵌政策管理動作僅限於具有許可界限的角色。許可界限必須是合作夥伴提供的,或在允許的 AWS 受管政策清單中。如果未授予高權限或管理許可,則可能允許受 AWS 管政策。例如,可接受特定工作職能或 SecurityAudit 政策的 AWS 受管政策。 AWS 將在加入程序期間case-by-case每個 AWS 受管政策。
+ 政策管理僅適用於具有合作夥伴特定路徑的政策:arn:aws:iam::@\$1AccountId\$1:policy/partner\$1domain.com/【feature】\$1
+ 標籤只能在資源建立期間套用,且僅適用於角色和政策
+ iam:PassRole 檢查必須符合特定名稱或路徑字首
## AWS STS特定限制
對於 AWS STS:
+ sts:AssumeRole 必須範圍限定為特定角色 ARN、角色 ARN 字首,或限制為一組帳戶或組織 ID/組織單位
## IAM Identity Center 限制
對於 AWS IAM Identity Center,會封鎖下列動作:
+ 處理許可管理的所有動作 (例如,sso:AttachCustomerManagedPolicyReferenceToPermissionSet)
+ AWS Identity Store 的使用者、群組和成員資格修改
+ 標籤管理
## AWS Organizations 限制
對於 AWS Organizations,僅允許讀取動作。
## 其他服務特定的驗證
+ 取得秘密或登入資料的動作,例如 glue:GetConnection 或 redshift:GetClusterCredentials,必須具有符合完整 ARNs、ARN 字首或標籤的條件
+ 對於 Amazon Redshift:僅允許在特定資料庫名稱上使用 redshift:GetClusterCredentials,且僅允許在特定工作群組名稱上使用 redshift:GetClusterCredentialsWithIAM
**注意**
管理帳戶中的 IAM 資源時,建議使用指出您名稱的路徑,例如 arn:aws:iam::111122223333:role/partner.com/rolename。這將有助於區分與您的整合相關聯的資源,讓客戶更容易探索、稽核和分析。
## 跨帳戶存取要求
可能允許跨帳戶存取的陳述式必須至少包含下列其中一項:
+ 為資源指定帳戶或組織的條件 (例如,aws:ResourceOrgId 符合一或多個預期值)
+ 包含特定帳戶的資源欄位 (例如 arn:aws:sqs:\$1:111122223333:\$1)
+ 包含非萬用字元帳戶和完整資源名稱的資源欄位 (例如 arn:aws:s3::full-bucket-name)
**注意**
跨帳戶存取是一種敏感功能,需要明確的業務理由。 AWS 將在加入過程中仔細審查跨帳戶存取的需求。
# 政策範本
政策範本是一種新的 IAM 建構,旨在定義合作夥伴在客戶帳戶中請求的暫時許可。與一般 IAM 政策一樣,它們使用具有效果、動作、資源和條件元素的陳述式來定義許可。關鍵差異在於政策範本包含參數 (例如 @\$1bucketName\$1),這些參數會在您建立委派請求時以實際值取代。
## 政策範本的運作方式
在加入程序中,您會向 註冊政策範本 AWS。 AWS 會為每個範本指派唯一的 ARN,供您在建立委派請求時參考。
當您建立委派請求時,您可以指定:
+ 政策範本 ARN
+ 要取代為範本的參數值
AWS 會將 範本與您的參數值合併,以產生標準 IAM 政策。客戶在核准委派請求時檢閱此最終轉譯政策,並查看將授予哪些許可。
**注意**
最終轉譯政策的大小上限為 2048 個字元。
以下是示範範本替換如何運作的簡單範例。
政策範本:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::@{bucketName}/*"
}
]
}
```
委派請求中提供的參數:
```
{
"Name": "bucketName",
"Values": ["customer-data-bucket"],
"Type": "String"
}
```
最終轉譯政策 (客戶看到的內容):
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::customer-data-bucket/*"
}
]
}
```
## 範本語法
政策範本使用兩個主要功能來提供彈性:參數替換和條件式陳述式。參數替換可讓您在範本中定義預留位置,這些預留位置會在建立委派請求時以實際值取代。條件式陳述式可讓您根據參數值包含或排除整個政策陳述式。
### 參數替代和類型
使用 @\$1parameterName\$1 語法來定義政策範本中的參數。建立委派請求時,您必須指定每個參數的類型。
#### String
直接替換為範本的單一值。
範本:
```
"Resource": "arn:aws:s3:::@{bucketName}/*"
```
參數:
```
{
"Name": "bucketName",
"Values": ["my-bucket"],
"Type": "String"
}
```
轉譯的結果:
```
"Resource": "arn:aws:s3:::my-bucket/*"
```
#### StringList
產生多個資源項目的多個值。在資源 ARN 中使用 StringList 參數時,它會展開以為每個值建立個別的資源項目。
範本:
```
"Resource": "arn:aws:s3:::@{bucketNames}/*"
```
參數:
```
{
"Name": "bucketNames",
"Values": ["bucket-1", "bucket-2"],
"Type": "StringList"
}
```
轉譯的結果:
```
"Resource": [
"arn:aws:s3:::bucket-1/*",
"arn:aws:s3:::bucket-2/*"
]
```
#### 跨產品行為
在相同的資源 ARN 中使用多個參數時,StringList 參數會建立所有組合的跨產品。
範本:
```
"Resource": "arn:aws:s3:::@{bucketNames}/@{prefix}/*"
```
參數:
```
[
{
"Name": "bucketNames",
"Values": ["bucket-1", "bucket-2"],
"Type": "StringList"
},
{
"Name": "prefix",
"Values": ["data"],
"Type": "String"
}
]
```
轉譯的結果:
```
"Resource": [
"arn:aws:s3:::bucket-1/data/*",
"arn:aws:s3:::bucket-2/data/*"
]
```
### 條件式陳述式
使用 @Enabled 指令,根據參數值有條件地包含或排除整個陳述式。
語法:
+ @Enabled: "parameterName" - 當參數值為 "True" 時包含陳述式
+ @Enabled: "!parameterName" - 當參數值不是 "True" (否定) 時包含陳述式
範本:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:GetObject"],
"Resource": "*"
},
{
"@Enabled": "ENABLE_S3_WRITE",
"Effect": "Allow",
"Action": ["s3:PutObject"],
"Resource": "arn:aws:s3:::@{bucketName}/*"
}
]
}
```
參數 (當 ENABLE\$1S3\$1WRITE 為 "True" 時):
```
[
{
"Name": "bucketName",
"Values": ["my-bucket"],
"Type": "String"
},
{
"Name": "ENABLE_S3_WRITE",
"Values": ["True"],
"Type": "String"
}
]
```
轉譯的結果:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:GetObject"],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["s3:PutObject"],
"Resource": "arn:aws:s3:::my-bucket/*"
}
]
}
```
參數 (當 ENABLE\$1S3\$1WRITE 為 "False" 時):
```
[
{
"Name": "bucketName",
"Values": ["my-bucket"],
"Type": "String"
},
{
"Name": "ENABLE_S3_WRITE",
"Values": ["False"],
"Type": "String"
}
]
```
轉譯的結果:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:GetObject"],
"Resource": "*"
}
]
}
```
當 ENABLE\$1S3\$1WRITE 設為 "True" 時,會包含條件式陳述式。設定為 "False" 時,陳述式會從轉譯政策中排除。
## 其他範例
下列範例示範在暫時委派中使用政策範本的常見模式。他們專注於建立具有長期存取許可界限的 IAM 角色,並顯示將許可範圍限定到特定資源的不同策略。這些範例說明如何使用 ARN 字首、資源標記和許可界限更新等技術,在彈性與安全性之間取得平衡。
### 範例 1:授予特定資源的長期存取權
下列許可界限會提交為 "partner.com" 的 "SQSAccessorBoundary":
```
{
"Effect": "Allow",
"Action": [
"sqs:DeleteMessage",
"sqs:ReceiveMessage",
"sqs:SendMessage"
],
"Resource": "arn:aws:sqs:*:*:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
```
**注意**
這包括相同的帳戶條件,以避免將存取權授予具有開啟資源政策的其他帳戶中的佇列。無法包含客戶帳戶 ID 的直接參考,因為邊界會跨所有客戶共用,且無法進行範本化。
由於這是此政策的第一個版本,其 ARN 為 arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary\$12025\$101\$115
提交下列政策範本以取得臨時存取許可:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sqs:ListQueues"
],
"Resource": "arn:aws:sqs:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
"Condition": {
"StringEquals": {
"iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
}
}
}
]
}
```
### 範例 2:使用 ARN 字首
許可界限可以指定資源 ARN 字首來限制存取:
```
"Resource": "arn:aws:sqs:*:@{AccountId}:PartnerPrefix*"
```
這只會限制存取具有該字首的資源,從而減少可存取資源的範圍。
### 範例 3:使用標籤進行資源存取控制
您可以在暫時委派存取期間標記資源,並依賴這些標籤進行長期存取控制。
允許存取已標記資源的許可界限:
```
{
"Effect": "Allow",
"Action": [
"sqs:DeleteMessage",
"sqs:ReceiveMessage",
"sqs:SendMessage"
],
"Resource": "arn:aws:sqs:*:*:*",
"Condition": {
"Null": {
"aws:ResourceTag/ManagedByPartnerDotCom": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
```
在建立時標記新佇列的政策範本:
```
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:TagQueue"
],
"Resource": "arn:aws:sqs:*:*:*",
"Condition": {
"Null": {
"aws:RequestTag/ManagedByPartnerDotCom": "false"
}
}
}
```
標記預先存在佇列並建立角色的政策範本:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sqs:TagQueue"
],
"Resource": "arn:aws:sqs:*:@{AccountId}:@{QueueName}",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": "ManagedByPartnerDotCom"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
"Condition": {
"StringEquals": {
"iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
}
}
}
]
}
```
此方法可讓客戶明確確認可以長期存取哪些特定資源。
### 範例 4:更新許可界限
若要更新許可界限,請使用新的日期尾碼註冊新版本,並請求替換許可。
使用其他許可更新許可界限:
```
{
"Effect": "Allow",
"Action": [
"sqs:DeleteMessage",
"sqs:PurgeQueue",
"sqs:ReceiveMessage",
"sqs:SendMessage"
],
"Resource": "arn:aws:sqs:*:*:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
```
做為第二個版本,此政策具有 ARN:arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary\$12025\$101\$120
更新現有角色許可界限的政策範本:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PutRolePermissionsBoundary"
],
"Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
"Condition": {
"StringEquals": {
"iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_20"
}
}
}
]
}
```
客戶必須核准此委派請求,才能更新現有角色的許可界限。
# 建置您的整合
## 了解請求生命週期
在建置整合之前,請務必了解委派請求從建立到完成的進度。
### 請求狀態
委派請求會進行下列狀態:
| State | Description |
| --- | --- |
| 未指派 | 已建立請求,但尚未與客戶帳戶和 IAM 主體建立關聯。可能已建立請求,但未指定目標帳戶,或使用目標帳戶 ID,但尚未由帳戶擁有者宣告。 |
| 已指派 | 與客戶帳戶相關聯並等待審核的請求 |
| 待核准 | 客戶已將請求轉送給管理員進行核准 |
| 已接受 | 請求已由客戶核准,但交換字符尚未發佈 |
| 完成 | 發佈給產品提供者的 Exchange 權杖。委派期間 (交換字符有效性) 會在請求達到完成狀態時開始 |
| 已拒絕 | 客戶拒絕的請求 |
| 已過期 | 請求因閒置或逾時而過期 |
### 狀態轉換
*正常流程 (核准路徑)*
+ 未指派 → 已指派:客戶將請求與其帳戶建立關聯
+ 已指派 → 已接受或已指派 → 待核准:客戶直接核准請求,或轉送給管理員以供檢閱
+ 待核准 → 已接受:管理員核准請求
+ 已接受 → 已完成:客戶發行交換字符
*拒絕路徑*
+ 已指派 → 已拒絕:客戶拒絕請求
+ 待核准 → 已拒絕:管理員拒絕請求
+ 已接受 → 已拒絕:客戶在釋出權杖之前撤銷核准
*過期路徑*
如果在指定的時間範圍內未採取任何動作,請求會自動過期:
+ 未指派 → 已過期 (1 天)
+ 指派 → 已過期 (7 天)
+ 待核准 → 已過期 (7 天)
+ 已接受 → 已過期 (7 天)
+ 拒絕 → 已過期 (7 天)
+ 完成 → 已過期 (7 天)
*終端機狀態*
下列狀態為終端機 (沒有進一步轉換):
+ 完成:已傳送 Exchange Token
+ 拒絕:請求遭拒
+ 已過期:請求逾時或委派期間已結束
過期的請求最終會在保留期間之後從系統中刪除。
### 管理應用程式中的委派請求狀態
身為合作夥伴,您必須追蹤系統中的委派請求狀態,並將其呈現給客戶。當您收到狀態變更的 SNS 通知時,請將這些更新存放在後端,並在面向客戶的 UI 中反映這些更新。請特別注意待核准狀態 - 當客戶轉送請求給管理員以供檢閱時, 會 AWS 傳送待核准通知給您。請求可以保持此狀態長達 7 天,同時等待管理員動作。在此期間,向客戶顯示他們的請求正在等待您應用程式中的管理員核准。考慮提供深入的 AWS 主控台連結,客戶可以在其中檢查請求狀態或追蹤管理員。正確處理後端中的狀態機器,並在每個階段向客戶提供正確的狀態資訊,對於良好的整合體驗至關重要。
![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/delegation-states.png)
## 設定 通知
IAM 使用 Amazon Simple Notification Service (SNS) 將委派請求狀態變更傳達給您。建立委派請求時,您必須從已註冊的 AWS 帳戶提供 SNS 主題 ARN。IAM 會將重要事件的訊息發佈至此主題,包括客戶核准或拒絕請求的時間,以及交換字符何時準備就緒。
**注意**
SNS 主題不能位於選擇加入 AWS 區域。您的 SNS 主題必須位於預設啟用 AWS 的區域。如需選擇加入區域的清單,請參閱 AWS 帳戶管理指南中的管理 AWS 區域。
### SNS 主題組態
若要接收委派請求通知,您必須設定 SNS 主題,以授予 IAM 發佈訊息的許可。將下列政策陳述式新增至 SNS 主題政策:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMServiceToPublish",
"Effect": "Allow",
"Principal": {
"Service": "iam.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:REGION:ACCOUNT-ID:TOPIC-NAME"
}
]
}
```
**重要**
SNS 主題必須位於其中一個已註冊 AWS 帳戶中。IAM 不接受來自其他帳戶的 SNS 主題。如果主題政策未正確設定,您將不會收到狀態變更通知或交換字符。
### 通知類型
IAM 傳送兩種類型的通知:
*StateChange 通知*
當委派請求轉換為新狀態 (已指派、待核准、已接受、已完成、已拒絕、已過期) 時傳送。
*ExchangeToken 通知*
當客戶釋出委派字符 (狀態完成) 時傳送。此通知包含您取得憑證所需的交換字符。
### 通知狀態
您將會收到下列委派請求狀態的通知:
| State | 通知類型 | Description |
| --- | --- | --- |
| 已指派 | 狀態變更 | 請求已與客戶帳戶相關聯 |
| 等待核准 | 狀態變更 | 客戶已將請求轉送給管理員進行核准 |
| 接受 | 狀態變更 | 客戶已核准請求,但尚未釋出字符 |
| 完成 | 狀態變更 | 客戶已釋出交換字符 |
| 完成 | ExchangeToken | 此通知包含 Exchange Token |
| REJECTED | 狀態變更 | 客戶已拒絕請求 |
| 已過期 | 狀態變更 | 請求在完成之前已過期 |
### 通知訊息格式
IAM 會發佈標準 SNS 通知。委派請求資訊包含在訊息欄位中,做為 JSON 字串。
*常見欄位 (所有通知)*
| 欄位 | Type | 說明 |
| --- | --- | --- |
| Type | String | "StateChange" 或 "ExchangeToken" |
| RequestId | String | IAM 委派請求 ID |
| RequestorWorkflowId | String | 您在建立請求時提供的工作流程 ID |
| State | String | 請求的目前狀態 |
| OwnerAccountId | String | 客戶的 AWS 帳戶 ID |
| UpdatedAt | String | 狀態變更時的時間戳記 (ISO 8601 格式) |
*其他欄位 (僅限 ExchangeToken 通知)*
| 欄位 | Type | 說明 |
| --- | --- | --- |
| ExchangeToken | String | 使用 AWS STS GetDelegatedAccessToken API 交換登入資料的字符 |
| ExpiresAt | String | 委派存取過期時 (ISO 8601 格式) |
### 範例通知
*StateChange 通知*
```
{
"Type": "Notification",
"MessageId": "61ee8ad4-6eec-56b5-8f3d-eba57556aa13",
"TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
"Message": "{\"RequestorWorkflowId\":\"workflow-12345\",\"Type\":\"StateChange\",\"RequestId\":\"dr-abc123\",\"State\":\"ACCEPTED\",\"OwnerAccountId\":\"111122223333\",\"UpdatedAt\":\"2025-01-15T10:30:00.123Z\"}",
"Timestamp": "2025-01-15T10:30:00.456Z",
"SignatureVersion": "1",
"Signature": "...",
"SigningCertURL": "...",
"UnsubscribeURL": "..."
}
```
*ExchangeToken 通知*
```
{
"Type": "Notification",
"MessageId": "e44e5435-c72c-5333-aba3-354406782f5b",
"TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
"Message": "{\"RequestId\":\"dr-abc123\",\"RequestorWorkflowId\":\"workflow-12345\",\"State\":\"FINALIZED\",\"OwnerAccountId\":\"111122223333\",\"ExchangeToken\":\"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...\",\"ExpiresAt\":\"2025-01-15T18:30:00.123Z\",\"UpdatedAt\":\"2025-01-15T10:30:00.456Z\",\"Type\":\"ExchangeToken\"}",
"Timestamp": "2025-01-15T10:30:00.789Z",
"SignatureVersion": "1",
"Signature": "...",
"SigningCertURL": "...",
"UnsubscribeURL": "..."
}
```
## 交換字符
當客戶接受並完成委派請求時,IAM 會發出交換字符或權杖的交易。產品提供者使用此交換或權杖交易來呼叫 AWS AWS STS GetDelegatedAccessToken API,以取得具有客戶核准許可的臨時 AWS 登入資料。交換字符本身不會授予 AWS 資源的存取權;必須透過 AWS STS 交換實際登入資料。
交換字符只能由建立委派請求的產品提供者帳戶兌換。請求帳戶內嵌在字符中,確保只有授權的產品提供者可以取得登入資料來存取客戶帳戶。
### 存取持續時間
委派期間會在客戶釋出交換字符時開始,而不是產品提供者兌換權杖時。一旦客戶釋出字符:
+ 產品提供者透過 SNS 通知接收字符
+ 他們可以立即將其交換為登入資料
+ 登入資料過期時間:發行時間 \$1 核准的持續時間
+ 產品提供者可以在過期前多次交換字符,以在需要時取得新的登入資料
### 多個兌換
產品提供者可以在有效期間多次交換字符,以取得新的登入資料。不過,從相同交換字符取得的所有登入資料都會同時過期,取決於您何時釋出字符。
範例:如果您核准 2 小時委派請求,並在上午 10:00 釋出權杖:
| 權杖發行時間 | 字符交換時間 | 登入資料過期 | 可用時間 |
| --- | --- | --- | --- |
| 上午 10:00 | 上午 10:00 | 12:00 PM | 2 小時 |
| 上午 10:00 | 上午 10:20 | 12:00 PM | 1 小時 40 分鐘 |
| 上午 10:00 | 上午 11:40 | 12:00 PM | 20 分鐘 |
| 上午 10:00 | 中午 12:10 | 失敗 (權杖過期) | 0 分鐘 |
如表格所示,稍後在有效期間交換字符會導致產品供應商的可用時間變少。