AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

IAM 基于身份的策略示例

策略是 AWS 中的对象;在与身份或资源相关联时,策略定义它们的权限。在委托人实体(如用户或角色)发出请求时,AWS 将评估这些策略。策略中的权限确定是允许还是拒绝请求。大多数策略作为附加到 IAM 身份(用户、用户组或角色)的 JSON 文档存储在 AWS 中。基于身份的策略包括 AWS 托管策略、客户托管策略和内联策略。要了解如何使用这些示例 JSON 策略文档创建 IAM 策略,请参阅在“JSON”选项卡上创建策略

默认情况下,所有请求都会被拒绝,因此必须提供相关权限供身份访问服务、操作和资源。如果还需要允许访问以在 IAM 控制台中完成指定的操作,则需要提供额外的权限。

下面的策略库可以帮助您为自己的 IAM 身份定义权限。在找到所需的策略后,请选择查看该策略以查看该策略的 JSON 版本。您可以将该 JSON 策略文档用作自己策略的模板。

注意

如果您愿意提交策略供本参考指南采用,请使用该页面底部的 Feedback 按钮。

示例策略:AWS

  • 允许在特定日期范围内进行访问。(查看该策略。)

  • 允许启用和禁用 AWS 区域。(查看该策略。)

  • 允许经过 MFA 身份验证的用户在 My Security Credentials (我的安全凭证) 页面上管理自己的凭证。(查看该策略。)

  • 允许在特定日期范围内使用 MFA 进行特定访问。(查看该策略。)

  • 允许用户在 My Security Credentials (我的安全凭证) 页面上管理自己的凭证。(查看该策略。)

  • 允许用户在 My Security Credentials (我的安全凭证) 页面上管理自己的 MFA 设备。(查看该策略。)

  • 允许用户在 My Security Credentials (我的安全凭证) 页面上管理自己的密码。(查看该策略。)

  • 允许用户在 My Security Credentials (我的安全凭证) 页面上管理自己的密码、访问密钥和 SSH 公有密钥。(查看该策略。)

  • 根据请求的区域拒绝对 AWS 的访问。(查看该策略。)

  • 基于源 IP 拒绝对 AWS 的访问。(查看该策略。)

示例策略:CodeCommit

  • 允许对 AWS CodeCommit 存储库执行 Git 操作。(查看该策略。)

示例策略:AWS Data Pipeline

示例策略:Amazon DynamoDB

  • 允许访问特定的 Amazon DynamoDB 表(查看该策略。)

  • 允许访问特定的 Amazon DynamoDB 列(查看该策略。)

  • 允许根据 Amazon Cognito ID 对 Amazon DynamoDB 进行行级别访问(查看该策略。)

示例策略:Amazon EC2

  • 允许 Amazon EC2 实例附加或分离卷(查看该策略。)

  • 允许根据标签为 Amazon EC2 实例附加或分离 Amazon EBS 卷(查看该策略。)

  • 允许以编程方式和使用控制台在特定子网中启动 Amazon EC2 实例(查看该策略。)

  • 允许以编程方式和在控制台中管理与特定 VPC 关联的 Amazon EC2 安全组(查看该策略。)

  • 允许以编程方式和在控制台中启动或停止用户标记的 Amazon EC2 实例(查看该策略。)

  • 允许以编程方式和在控制台中根据资源和委托人标签启动或停止 Amazon EC2 实例(查看该策略。)

  • 在资源和委托人标签匹配时,允许启动或停止 Amazon EC2 实例(查看该策略。)

  • 允许以编程方式和使用控制台在特定区域中进行完全 Amazon EC2 访问。(查看该策略。)

  • 允许以编程方式和在控制台中启动或停止特定的 Amazon EC2 实例以及修改特定的安全组(查看该策略。)

  • 拒绝在没有 MFA 的情况下访问特定的 Amazon EC2 操作(查看该策略。)

  • 将要终止的 Amazon EC2 实例限制为特定的 IP 地址范围(查看该策略。)

示例策略:AWS Identity and Access Management (IAM)

  • 允许访问策略模拟器 API(查看该策略。)

  • 允许访问策略模拟器控制台(查看该策略。)

  • 允许以编程方式和在控制台中担任具有特定标签的任何角色(查看该策略。)

  • 允许和拒绝以编程方式和在控制台中访问多个服务(查看该策略。)

  • 允许以编程方式和在控制台中为具有不同的特定标签的 IAM 用户添加特定的标签(查看该策略。)

  • 允许以编程方式和在控制台中为任何 IAM 用户或角色添加特定的标签(查看该策略。)

  • 允许创建仅具有特定标签的新用户(查看该策略。)

  • 允许生成和检索 IAM 凭证报告(查看该策略。)

  • 允许以编程方式和在控制台中管理组的成员资格(查看该策略。)

  • 允许管理特定的标签(查看该策略。)

  • 允许将 IAM 角色传递到特定的服务(查看该策略。)

  • 允许对 IAM 控制台进行只读访问而不生成报告(查看该策略。)

  • 允许对 IAM 控制台进行只读访问(查看该策略。)

  • 允许特定用户以编程方式和在控制台中管理组(查看该策略。)

  • 允许以编程方式和在控制台中设置账户密码要求(查看该策略。)

  • 允许具有特定路径的用户使用策略模拟器 API(查看该策略。)

  • 允许具有特定路径的用户使用策略模拟器控制台(查看该策略。)

  • 允许 IAM 用户自行管理 MFA 设备。(查看该策略。)

  • 允许 IAM 用户以编程方式和在控制台中轮换其凭证。(查看该策略。)

  • 允许在 IAM 控制台中查看 AWS Organizations 策略的上次访问的服务数据。(查看该策略。)

  • 对可应用于 IAM 用户、组或角色的托管策略加以限制(查看该策略。)

示例策略:AWS Lambda

  • 允许 AWS Lambda 函数访问 Amazon DynamoDB 表(查看该策略。)

示例策略:Amazon RDS

  • 允许在特定区域中进行完全 Amazon RDS 数据库访问。(查看该策略。)

  • 允许以编程方式和在控制台中还原 Amazon RDS 数据库(查看该策略。)

  • 允许标签所有者对它们标记的 Amazon RDS 资源进行完全访问(查看该策略。)

示例策略:Amazon S3

  • 允许 Amazon Cognito 用户访问自己的 Amazon S3 存储桶中的对象(查看该策略。)

  • 允许联合身份用户以编程方式和在控制台中访问他们位于 Amazon S3 中的主目录(查看该策略。)

  • 允许完全 S3 访问,但如果管理员在过去的 30 分钟内未使用 MFA 登录,则显式拒绝访问 Production 存储桶(查看该策略。)

  • 允许 IAM 用户以编程方式和在控制台中访问他们位于 Amazon S3 中的主目录(查看该策略。)

  • 允许用户管理单个 Amazon S3 存储桶并拒绝所有其他 AWS 操作和资源(查看该策略。)

  • 允许对特定的 Amazon S3 存储桶进行 ReadWrite 访问(查看该策略。)

  • 允许以编程方式和在控制台中对特定的 Amazon S3 存储桶进行 ReadWrite 访问(查看该策略。)