了解策略摘要内的访问级别摘要 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

了解策略摘要内的访问级别摘要

Amazon 访问级别摘要

策略摘要中包括一个访问级别摘要,用于描述为策略中提及的每项服务定义的操作权限。要了解策略摘要,请参阅了解策略授予的权限。访问级别摘要指出在策略中为每个访问级别中的操作(ListReadTaggingWritePermissions management)定义的是 Full 还是 Limited 权限。要查看分配给服务中每个操作的访问级别分类,请参阅 Amazon 服务的操作、资源和条件键

下面的示例介绍策略为给定服务提供的访问权限。有关完整 JSON 策略文档及其相关摘要的示例,请参阅策略摘要示例

服务 访问级别 此策略提供以下访问权限
IAM 完全 访问 对 IAM 服务内所有操作的访问权限。
CloudWatch Full: List List 访问级别中所有 CloudWatch 操作的访问权限,但无权访问 ReadWritePermissions management 访问级别分类的操作。
Data Pipeline Limited: List, Read 对于 ListRead 访问级别中至少一项但不是全部 Amazon Data Pipeline 操作(但不是 WritePermissions management 操作)的访问权限。
EC2 Full: List, Read Limited: Write 对所有 Amazon EC2ListRead 操作的访问权限以及对至少一项但不是全部 Amazon EC2 Write 操作的访问权限,但不具有对于 Permissions management 访问级别分类中的操作的访问权限。
S3 Limited:Read、Write、Permissions management 访问至少一个但并非全部 Amazon S3 ReadWritePermissions management 操作。
CodeDeploy (空) 未知访问权限,因为 IAM 无法识别此服务。
API Gateway 策略中未定义任何访问权限。
CodeBuild 未定义任何操作。 没有为服务定义任何操作,因而无法访问。要了解该问题和进行问题排查,请参阅我的策略未授予预期权限

如前所述完全访问权限表示策略提供对服务内所有操作的访问权限。提供对服务内的部分但不是全部操作的访问权限的策略将根据访问级别分类进一步分组。这由下面的其中一个访问级别分组来指示:

  • Full:策略提供对指定访问级别分类中所有操作的访问权限。

  • Limited:策略提供对指定访问级别分类内的一个或多个但不是全部操作的访问权限。

  • None:策略未提供任何访问权限。

  • (空):IAM 无法识别该服务。如果服务名称包含拼写错误,则该策略不允许访问该服务。如果服务名称正确,则服务可能不支持策略摘要或可能正处于预览状态。在这种情况下,策略可能会提供访问权限,但访问权限可能不会显示在策略摘要中。要为公开提供 (GA) 服务请求策略摘要支持,请参阅服务不支持 IAM policy 摘要

包括对操作的有限(部分)访问权限的访问级别摘要使用 Amazon 服务级别分类 ListReadTaggingWritePermissions management 进行分组。

Amazon 访问级别

Amazon 为服务中的操作定义以下访问级别分类:

  • List (列出):列出服务内的资源以确定某个对象是否存在的权限。此访问权限级别的操作可以列出对象,但是看不到资源的内容。例如,Amazon S3 操作 ListBucket 具有 List(列出)访问级别。

  • Read (读取):读取服务中资源的内容和属性但不对其进行编辑的权限。例如,Amazon S3 操作 GetObjectGetBucketLocation 具有 Read(读取)访问权限级别。

  • 标记:执行仅更改资源标签状态的操作的权限。例如,IAM 操作 TagRoleUntagRole 具有标记访问级别,因为它们仅允许标记或取消标记角色。不过,CreateRole 操作允许在创建角色时标记该角色资源。由于该操作并非仅添加标签,因此,它具有 Write 访问级别。

  • Write (写入):在服务中创建、删除或修改资源的权限。例如,Amazon S3 操作 CreateBucketDeleteBucketPutObject 具有写入访问级别。Write 操作可能还允许修改资源标签。不过,仅允许更改标签的操作具有 Tagging 访问级别。

  • Permissions management (权限管理):在服务中授予或修改资源权限的权限。例如,大多数 IAM 和 Amazon Organizations 操作以及 PutBucketPolicyDeleteBucketPolicy 之类的 Amazon S3 操作具有 Permissions(权限管理)访问级别。

    提示

    要提高您的 Amazon Web Services 账户 的安全性,请限制或定期监控具有 Permissions management(权限管理)访问级别分类的策略。

要查看分配给服务中每个操作的访问级别分类,请参阅 Amazon 服务的操作、资源和条件键