操作摘要(资源列表) - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

操作摘要(资源列表)

策略在三个表中概括:策略摘要、服务摘要操作摘要操作摘要 表包含应用至所选操作的资源和相关条件的列表。

阐释这 3 个表以及它们之间关系的策略摘要图。

要查看授予权限的每个操作的操作摘要,请在服务摘要中选择链接。操作摘要表包含资源的详细信息,其中包括资源的 RegionAccount。您还可以查看适用于每个资源的条件。这将显示适用于某些资源而不是其他资源的条件。

了解操作摘要的元素

以下示例是 Amazon S3 服务摘要中 PutObject(写入)操作的操作摘要(请参阅 服务摘要(操作列表))。对于此操作,策略在单个资源上定义多个条件。

“Action summary (操作摘要)”对话框图像

操作摘要页面包含以下信息:

  1. 选择 JSON 可查看有关策略的其他详细信息,如查看适用于这些操作的多个条件。(如果您要查看直接附加到用户的内联策略的操作摘要,步骤则不同。这种情况下要访问 JSON 策略文档,则必须关闭服务摘要对话框并返回到策略摘要。)

  2. 要查看特定资源的摘要,请在搜索框中键入关键字以缩短可用资源列表。

  3. 操作返回箭头旁边显示的是 action name action in service 格式的服务和操作名称(在本例中为 S3 中的 PutObject 操作)。此服务的操作摘要包括在策略中定义的资源列表。

  4. Resource(资源)- 此列将列出策略为所选服务定义的资源。在此示例中,PutObject 操作被允许在所有对象路径上执行,但仅在 developer_bucket Amazon S3 存储桶资源上使用。根据服务提供给 IAM 的信息,您可能会看到一个 ARN(如 arn:aws:s3:::developer_bucket/*),或者您可能会看到定义的资源类型(如 BucketName = developer_bucket, ObjectPath = All)。

  5. Region(区域)- 该列显示在其中定义资源的区域。可以为所有区域或单个区域定义资源。它们不能位于多个特定的区域中。

    • 所有区域 – 与资源关联的操作适用于所有区域。在此示例中,该操作属于一项全球服务 Amazon S3。属于全球服务的操作适用于所有区域。

    • Region text - 与资源关联的操作适用于一个区域。例如,策略可以为资源指定 us-east-2 区域。

  6. Account(账户)- 此列指示与资源相关联的服务或操作是否适用于特定账户。资源可以存在于所有账户中,也可以存在于单个账户中。它们不能存在于多个特定账户中。

    • All accounts(所有账户)- 与资源相关联的操作适用于所有账户。在此示例中,该操作属于一项全球服务 Amazon S3。属于全球服务的操作适用于所有账户。

    • 此账户 – 与资源相关联的操作仅适用于当前账户。

    • Account number - 与该资源相关联的操作适用于一个账户(不是您当前登录的账户)。例如,如果策略为资源指定 123456789012 的账户,则账号将显示在策略摘要中。

  7. Request condition(请求条件)- 此列显示与资源关联的操作是否受条件约束。此示例包含 s3:x-amz-acl = public-read 条件。要了解有关这些条件的更多信息,请选择 JSON 以查看 JSON 策略文档。