AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

操作摘要 (资源列表)

策略在三个表中概括:策略摘要服务摘要和操作摘要。操作摘要 表包含应用至所选操作的资源和相关条件的列表。

 阐释这 3 个表以及它们之间的关系的策略摘要图

要查看授予权限的每个操作的操作摘要,请在服务摘要中选择链接。操作摘要表包含资源的详细信息,其中包括资源的 RegionAccount。您还可以查看适用于每个资源的条件。这将显示适用于某些资源而不是其他资源的条件。

查看操作摘要

您可以在 Users 页面上查看附加到用户的任何策略的操作摘要,在 Roles 页面上查看附加到角色的任何策略的操作摘要,以及在 Policies 页面上查看托管策略的操作摘要。但是,如果您尝试从 Users 页面或 Roles 页面查看托管策略的操作摘要,则将被重定向到 Policies 页面。

查看托管策略的操作摘要

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选择要查看的策略的名称。

  4. 在策略的 Summary 页面上,查看 Permissions 选项卡以查看策略摘要。

  5. 在服务的策略摘要列表中,选择您想要查看的服务的名称。

  6. 在操作的服务摘要列表中,选择您想要查看的操作的名称。

查看附加到用户的策略的操作摘要

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 从导航窗格中选择 Users

  3. 在用户列表中,选择要查看其策略的用户的名称。

  4. 在用户的 Summary 页面上,查看 Permissions 选项卡,以查看直接附加到用户或从组附加到用户的策略列表。

  5. 在用户的策略表中,展开要查看的策略的行。

  6. 在服务的策略摘要列表中,选择您想要查看的服务的名称。

    注意

    如果您选择的策略是直接附加到用户的内联策略,则将显示服务摘要表。如果策略是附加到组的内联策略,则您将看到该组的 JSON 策略文档。如果策略是托管策略,则您将在 Policies 页面中看到该策略的服务摘要。

  7. 在操作的服务摘要列表中,选择您想要查看的操作的名称。

查看附加到角色的策略的操作摘要

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Roles

  3. 在角色列表中,选择要查看其策略的角色的名称。

  4. 在角色的 Summary 页面上,查看 Permissions 选项卡,以查看附加到角色的策略列表。

  5. 在角色的策略表中,展开要查看的策略的行。

  6. 在服务的策略摘要列表中,选择您想要查看的服务的名称。

  7. 在操作的服务摘要列表中,选择您想要查看的操作的名称。

了解操作摘要的元素

下面的示例是 Amazon S3 服务摘要中 PutObject (写入) 操作的操作摘要 (请参阅服务摘要 (操作列表))。对于此操作,策略在单个资源上定义多个条件。

 操作摘要对话框图像

操作摘要页面包含以下信息:

  1. Back 链接旁边显示的是 service: action 格式的服务和操作名称 (在本例中为 S3: PutObject)。此服务的操作摘要包括在策略中定义的资源列表。

  2. 选择 { } JSON 可查看有关策略的其他详细信息,如查看适用于这些操作的多个条件。(如果您正在查看直接附加到用户的内联策略的操作摘要,则步骤有所不同。在这种情况下,要访问 JSON 策略文档,您必须关闭操作摘要对话框并返回到策略摘要。)

  3. 要查看特定资源的摘要,请在搜索框中键入关键字以缩短可用资源列表。

  4. Resource – 此列列出策略为所选服务定义的资源。在本示例中,仅允许对 developer_bucket Amazon S3 存储桶资源上的所有对象路径执行 PutObject 操作。根据服务提供给 IAM 的信息,您可能会看到一个 ARN (例如 arn:aws:s3:::developer_bucket/*),或者您可能会看到定义的资源类型 (例如 BucketName = developer_bucket, ObjectPath = All)。

  5. Region – 此列显示定义资源的区域。资源可以为所有区域定义,或为单个区域定义。它们不能存在于多个特定区域中。

    • All regions – 与该资源相关联的操作适用于所有区域。在此示例中,该操作属于一项全球服务 Amazon S3。属于全球服务的操作适用于所有区域。

    • Region text – 与该资源相关联的操作适用于一个区域。例如,策略可以为资源指定 us-west-2 区域。

  6. Account – 此列指示与资源相关联的服务或操作是否适用于特定账户。资源可以存在于所有账户中,也可以存在于单个账户中。它们不能存在于多个特定账户中。

    • All accounts – 与该资源相关联的操作适用于所有账户。在此示例中,该操作属于一项全球服务 Amazon S3。属于全球服务的操作适用于所有账户。

    • This account – 与该资源相关联的操作仅适用于您当前登录的账户。

    • Account number – 与该资源相关联的操作适用于一个账户 (不是您当前登录的账户)。例如,如果策略为资源指定 123456789012 的账户,则账户编号将显示在策略摘要中。

  7. Request condition – 此列显示与该资源关联的操作是否受条件约束。此示例包含 s3:x-amz-acl = public-read 条件。要了解有关这些条件的更多信息,请选择 { } JSON 以查看 JSON 策略文档。