操作摘要(资源列表)
策略在三个表中概括:策略摘要、服务摘要和操作摘要。操作摘要 表包含应用至所选操作的资源和相关条件的列表。
要查看授予权限的每个操作的操作摘要,请在服务摘要中选择链接。操作摘要表包含资源的详细信息,其中包括资源的 Region 和 Account。您还可以查看适用于每个资源的条件。这将显示适用于某些资源而不是其他资源的条件。
了解操作摘要的元素
以下示例是 Amazon S3 服务摘要中 PutObject
(写入)操作的操作摘要(请参阅 服务摘要(操作列表))。对于此操作,策略在单个资源上定义多个条件。
操作摘要页面包含以下信息:
-
选择 JSON 可查看有关策略的其他详细信息,如查看适用于这些操作的多个条件。(如果您要查看直接附加到用户的内联策略的操作摘要,步骤则不同。这种情况下要访问 JSON 策略文档,则必须关闭服务摘要对话框并返回到策略摘要。)
-
要查看特定资源的摘要,请在搜索框中键入关键字以缩短可用资源列表。
-
操作返回箭头旁边显示的是
action name action in service
格式的服务和操作名称(在本例中为 S3 中的 PutObject 操作)。此服务的操作摘要包括在策略中定义的资源列表。 -
Resource(资源)- 此列将列出策略为所选服务定义的资源。在此示例中,PutObject 操作被允许在所有对象路径上执行,但仅在
developer_bucket
Amazon S3 存储桶资源上使用。根据服务提供给 IAM 的信息,您可能会看到一个 ARN(如arn:aws:s3:::developer_bucket/*
),或者您可能会看到定义的资源类型(如BucketName = developer_bucket, ObjectPath = All
)。 -
Region(区域)- 该列显示在其中定义资源的区域。可以为所有区域或单个区域定义资源。它们不能位于多个特定的区域中。
-
所有区域 – 与资源关联的操作适用于所有区域。在此示例中,该操作属于一项全球服务 Amazon S3。属于全球服务的操作适用于所有区域。
-
Region text - 与资源关联的操作适用于一个区域。例如,策略可以为资源指定
us-east-2
区域。
-
-
Account(账户)- 此列指示与资源相关联的服务或操作是否适用于特定账户。资源可以存在于所有账户中,也可以存在于单个账户中。它们不能存在于多个特定账户中。
-
All accounts(所有账户)- 与资源相关联的操作适用于所有账户。在此示例中,该操作属于一项全球服务 Amazon S3。属于全球服务的操作适用于所有账户。
-
此账户 – 与资源相关联的操作仅适用于当前账户。
-
Account number - 与该资源相关联的操作适用于一个账户(不是您当前登录的账户)。例如,如果策略为资源指定
123456789012
的账户,则账号将显示在策略摘要中。
-
-
Request condition(请求条件)- 此列显示与资源关联的操作是否受条件约束。此示例包含
s3:x-amz-acl = public-read
条件。要了解有关这些条件的更多信息,请选择 JSON 以查看 JSON 策略文档。