AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

了解策略摘要内的访问级别摘要

策略摘要中包括一个访问级别摘要,用于描述为策略中提及的每项服务定义的操作权限。要了解策略摘要,请参阅了解策略授予的权限。访问级别摘要指出在策略中为每个访问级别中的操作 (ListReadWritePermissions management) 定义的是 Full 还是 Limited 权限。要查看属于特定服务的每个操作级别的操作的列表,请参阅按访问权限级别分组的 IAM 策略操作。要查看特定服务的完整操作列表,请参阅可在 IAM 策略中使用的 AWS 服务操作和条件上下文键

下面的示例介绍策略为给定服务提供的访问权限。有关完整 JSON 策略文档及其相关摘要的示例,请参阅策略摘要示例

服务 访问级别 此策略提供:
IAM 完全访问权限 对 IAM 服务内所有操作的访问权限
CloudWatch Full: List List 访问级别中所有 CloudWatch 操作的访问权限,但无权访问 ReadWritePermissions management 访问级别分类的操作
Data Pipeline Limited: List, Read 对于 ListRead 访问级别中至少一项但不是全部 AWS Data Pipeline 操作 (但不是 WritePermissions management 操作) 的访问权限
EC2 Full: List, Read Limited: Write 对所有 Amazon EC2 ListRead 操作的访问权限以及对至少一项但不是全部 Amazon EC2 Write 操作的访问权限,但不具有对于 Permissions management 访问级别分类中的操作的访问权限
S3 Limited:Read、Write、Permissions management 访问至少一个但并非全部 Amazon S3 ReadWritePermissions management 操作
codedploy (empty) 未知访问权限,因为 IAM 无法识别此服务
API 网关 策略中未定义任何访问权限
CodeBuild 未定义任何操作。 没有为服务定义任何操作,因而无法访问。要了解该问题和进行问题排查,请参阅我的策略未授予预期权限

如前所述完全访问权限表示策略提供对服务内所有操作的访问权限。提供对服务内的部分但不是全部操作的访问权限的策略将根据访问级别分类进一步分组。这由下面的其中一个访问级别分组来指示:

  • Full:策略提供对指定访问级别分类中所有操作的访问权限。

  • Limited:策略提供对指定访问级别分类内的一个或多个但不是全部操作的访问权限。

  • None:策略未提供任何访问权限。

  • (空): IAM 无法识别该服务。如果服务名称包含拼写错误,则该策略不允许访问该服务。如果服务名称正确,则服务可能不支持策略摘要或可能正处于预览状态。在这种情况下,策略可能会提供访问权限,但访问权限可能不会显示在策略摘要中。要为公开提供 (GA) 服务请求策略摘要支持,请参阅服务不支持 IAM 策略摘要

包括对操作的部分访问权限的访问级别摘要使用以下访问级别分类进行分组:

  • List:列出服务内的资源以确定某个对象是否存在的权限。此访问权限级别的操作可以列出对象,但是看不到资源的内容。例如,Amazon S3 操作 ListBucket 拥有 List 访问权限级别。

  • Read:读取服务中资源的内容和属性但不对其进行编辑的权限。例如,Amazon S3 操作 GetObjectGetBucketLocation 具有 Read 访问权限级别。

  • Write:在服务中创建、删除或修改资源的权限。例如,Amazon S3 操作 CreateBucketDeleteBucketPutObject 具有 Write 访问权限级别。

  • Permissions management:在服务中授予或修改资源权限的权限。例如,大多数 IAM 和 AWS Organizations 操作以及 PutBucketPolicyDeleteBucketPolicy 之类的 Amazon S3 操作具有 Permissions management 访问权限级别。

    提示

    要提高您的 AWS 账户的安全性,请限制或定期监控具有 Permissions management 访问权限级别类别的策略。