本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

IAM 政策結構

下列主題說明 IAM 政策的結構。

政策語法

IAM 政策是由一或多個陳述式組成的JSON文件。每個陳述式的結構如下所示。

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
    "key":"value"
    }
      }
    }
  ]
}

陳述式由四個主要元素組成：

如需 IAM政策陳述式範例的詳細資訊 AWS Batch，請參閱 資源： 的政策範例 AWS Batch。

API 的 動作 AWS Batch

在IAM政策陳述式中，您可以從支援 的任何服務指定任何API動作IAM。對於 AWS Batch，請使用下列字首搭配API動作的名稱： batch:（例如， batch:SubmitJob和 batch:CreateComputeEnvironment)。

若要在單一陳述式中指定多個動作，請以逗號分隔每個動作。

"Action": ["batch:action1", "batch:action2"]

您也可以透過包含萬用字元 (*) 來指定多個動作。例如，您可以指定名稱開頭為 "Describe" 的所有動作。

"Action": "batch:Describe*"

若要指定所有 AWS Batch API動作，請包含萬用字元 (*)。

"Action": "batch:*"

如需 AWS Batch 動作清單，請參閱 AWS Batch API參考中的動作。

的 Amazon Resource Name AWS Batch

每個IAM政策陳述式都適用於您使用其 Amazon Resource Names () 指定的資源ARNs。

Amazon Resource Name (ARN) 具有下列一般語法：

arn:aws:[service]:[region]:[account]:resourceType/resourcePath

AWS Batch API 操作目前支援多項API操作的資源層級許可。如需詳細資訊，請參閱動作 AWS Batch API支援的資源層級許可。若要指定所有資源，或如果特定API動作不支援 ARNs，請在 Resource元素中包含萬用字元 (*)。

"Resource": "*"

確認使用者具有所需的許可

在您將IAM政策投入生產之前，請確定政策授予使用者使用他們所需特定API動作和資源的許可。

若要這樣做，請先建立使用者以供測試之用，並將IAM政策連接至測試使用者。接著，以測試使用者的身分提出請求。您可以在主控台或 AWS CLI中提出測試請求。

如果政策未授予使用者預期的許可，或授予過多許可，您可以視需要調整政策並重新測試。重新測試，直到您取得所要的結果。

如果授權檢查失敗，請求將傳回包含診斷資訊的編碼訊息。您可使用 DecodeAuthorizationMessage 動作將訊息解碼。如需詳細資訊，請參閱 AWS Security Token Service API 參考DecodeAuthorizationMessage中的 和 AWS CLI 命令參考decode-authorization-message中的 。