本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 服務的動作、資源和條件索引鍵
每個 AWS 服務都可以定義動作、資源和條件內容索引鍵,以用於 IAM 政策。本主題說明記錄為每個服務所提供元素的方式。
每個主題包含的表格提供可用動作、資源和條件索引鍵的清單。
動作表格
動作表格列出可在 IAM 政策陳述式的 Action
元素中使用的所有動作。並不是服務定義的所有 API 操作都可做為 IAM 政策中的動作使用。部分服務包含非直接對應至 API 操作的僅限許可動作。這些動作會以 [permission only] ([僅限許可]) 表示。使用此清單來判斷您可以在 IAM 政策中使用哪些動作。如需 Action
、Resource
或 Condition
元素的詳細資訊,請參閱 IAM JSON 政策元素參考。動作和描述表格欄為自我描述資訊。
-
存取層級欄描述動作的分類方式 (列出、讀取、寫入、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱了解政策摘要中的存取層級摘要。
-
資源類型欄會指出動作是否支援資源層級的許可。如果此欄是空的,表示該動作不支援資源層級許可,而且您必須在政策中指定所有資源 (「*」)。如果此欄包含資源類型,則您可在政策的
Resource
元素中指定資源 ARN。如需資源的詳細資訊,請參閱資源類型表格中的該列。一個陳述式中包含的所有動作和資源必須彼此相容。如果您指定不適用於該動作的資源,任何使用該動作的請求都會失敗,且該陳述式的Effect
不適用。表格中的必要資源會以星號 (*) 表示。如果您在使用此動作的陳述式中指定資源層級許可 ARN,則它必須屬於此類型。某些動作支援多種資源類型。如果此資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種,但不能使用另一種。
-
條件索引鍵欄包含您可以在政策陳述式的
Condition
元素中指定的金鑰。條件索引鍵可支援搭配某個動作或某個動作加上特定資源。請密切注意索引鍵是否與特定資源類型位於同一列。此表格不包含可用於任何動作,或是在不相關情況下可使用的全域條件索引鍵。如需全域條件索引鍵的詳細資訊,請參閱 AWS 全域條件內容索引鍵。 -
相依動作欄會包含除了動作本身的許可,順利呼叫動作應擁有的任何額外許可。如果動作存取多個資源,就可能需要指定此欄。
並非所有情況下都需要相依動作。如需有關為使用者提供精細權限的詳細資訊,請參閱個別服務的文件。
資源類型表
資源類型表格會列出您可以在 Resource
政策元素中指定為 ARN 的所有資源類型。不是每個資源類型都能夠由每個動作指定。某些資源類型僅適用特定動作。如果您在包含某動作的陳述式中指定某個資源類型,但該動作不支援該資源類型,則該陳述式會不允許存取。如需 Resource
元素的詳細資訊,請參閱 IAM JSON 政策元素:Resource。
條件索引鍵表格
條件索引鍵表格會列出您可以在 IAM 政策陳述式 Condition
元素中使用的所有條件內容索引鍵。不是每個索引鍵都能指定所有動作或資源。某些索引鍵只適用於特定類型的動作和資源。如需 Condition
元素的詳細資訊,請參閱 IAM JSON 政策元素:Condition。