操作摘要(资源列表) - Amazon Identity and Access Management
查看操作摘要了解操作摘要的元素
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

操作摘要(资源列表)

策略在三个表中概括:策略摘要、服务摘要操作摘要操作摘要 表包含应用至所选操作的资源和相关条件的列表。

阐释这 3 个表以及它们之间关系的策略摘要图。

要查看授予权限的每个操作的操作摘要,请在服务摘要中选择链接。操作摘要表包含资源的详细信息,其中包括资源的 RegionAccount。您还可以查看适用于每个资源的条件。这将显示适用于某些资源而不是其他资源的条件。

查看操作摘要

您可以在策略页面上查看管理型策略、任何附加到用户的策略以及任何附加到角色的策略的操作摘要。

查看托管策略的操作摘要

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

  3. 在策略列表中,选择要查看的策略的名称。

  4. 在策略的策略详细信息页面上,查看权限选项卡以查看策略摘要。

  5. 在服务的策略摘要列表中,选择您想要查看的服务的名称。

  6. 在操作的服务摘要列表中,选择您想要查看的操作的名称。

查看附加到用户的策略的操作摘要

  1. 登录 Amazon Web Services Management Console,然后使用以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 从导航窗格中选择 Users

  3. 在用户列表中,选择要查看其策略的用户的名称。

  4. 在用户的 Summary 页面上,查看 Permissions 选项卡,以查看直接附加到用户或从组附加到用户的策略列表。

  5. 在用户的策略表中,选择要查看的策略的名称。

    如果您已打开用户页面,并选择查看附加到该用户的策略的服务摘要,则您会被重定向到策略页面。您只能在策略页面上查看服务摘要。

  6. 在服务的策略摘要列表中,选择您想要查看的服务的名称。

    注意

    如果您选择的策略是直接附加到用户的内联策略,则将显示服务摘要表。如果策略是附加到组的内联策略,则您将看到该组的 JSON 策略文档。如果策略是托管策略,则您将在 Policies 页面中看到该策略的服务摘要。

  7. 在操作的服务摘要列表中,选择您想要查看的操作的名称。

查看附加到角色的策略的操作摘要

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择角色

  3. 在角色列表中,选择要查看其策略的角色的名称。

  4. 在角色的 Summary 页面上,查看 Permissions 选项卡,以查看附加到角色的策略列表。

  5. 在角色的策略表中,选择要查看的策略的名称。

    如果您已打开角色页面,并选择查看附加到该用户的策略的服务摘要,则您会被重定向到策略页面。您只能在策略页面上查看服务摘要。

  6. 在服务的策略摘要列表中,选择您想要查看的服务的名称。

  7. 在操作的服务摘要列表中,选择您想要查看的操作的名称。

了解操作摘要的元素

以下示例是 Amazon S3 服务摘要中 PutObject(写入)操作的操作摘要(请参阅 服务摘要(操作列表))。对于此操作,策略在单个资源上定义多个条件。

“Action summary (操作摘要)”对话框图像

操作摘要页面包含以下信息:

  1. 选择 JSON 可查看有关策略的其他详细信息,如查看适用于这些操作的多个条件。(如果您要查看直接附加到用户的内联策略的操作摘要,步骤则不同。这种情况下要访问 JSON 策略文档,则必须关闭服务摘要对话框并返回到策略摘要。)

  2. 要查看特定资源的摘要,请在搜索框中键入关键字以缩短可用资源列表。

  3. 操作返回箭头旁边显示的是 action name action in service 格式的服务和操作名称(在本例中为 S3 中的 PutObject 操作)。此服务的操作摘要包括在策略中定义的资源列表。

  4. Resource(资源)- 此列将列出策略为所选服务定义的资源。在此示例中,PutObject 操作被允许在所有对象路径上执行,但仅在 developer_bucket Amazon S3 存储桶资源上使用。根据服务提供给 IAM 的信息,您可能会看到一个 ARN(如 arn:aws:s3:::developer_bucket/*),或者您可能会看到定义的资源类型(如 BucketName = developer_bucket, ObjectPath = All)。

  5. Region(区域)- 该列显示在其中定义资源的区域。可以为所有区域或单个区域定义资源。它们不能位于多个特定的区域中。

    • 所有区域 – 与资源关联的操作适用于所有区域。在此示例中,该操作属于一项全球服务 Amazon S3。属于全球服务的操作适用于所有区域。

    • Region text - 与资源关联的操作适用于一个区域。例如,策略可以为资源指定 us-east-2 区域。

  6. Account(账户)- 此列指示与资源相关联的服务或操作是否适用于特定账户。资源可以存在于所有账户中,也可以存在于单个账户中。它们不能存在于多个特定账户中。

    • All accounts(所有账户)- 与资源相关联的操作适用于所有账户。在此示例中,该操作属于一项全球服务 Amazon S3。属于全球服务的操作适用于所有账户。

    • 此账户 – 与资源相关联的操作仅适用于当前账户。

    • Account number - 与该资源相关联的操作适用于一个账户(不是您当前登录的账户)。例如,如果策略为资源指定 123456789012 的账户,则账号将显示在策略摘要中。

  7. Request condition(请求条件)- 此列显示与资源关联的操作是否受条件约束。此示例包含 s3:x-amz-acl = public-read 条件。要了解有关这些条件的更多信息,请选择 JSON 以查看 JSON 策略文档。