AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

服务摘要 (操作列表)

策略在三个表中概括:策略摘要、服务摘要和操作摘要服务摘要表包括由所选服务的策略定义的操作列表和权限摘要。

 阐释这 3 个表以及它们之间的关系的策略摘要图

对于策略摘要中列出的每个授予权限的服务,您都可以查看服务摘要。该表分组为 Uncategorized actionsUncategorized resource types 和访问级别部分。如果该策略包含 IAM 无法识别的操作,则该操作将包含在表的 Uncategorized actions 部分中。如果 IAM 能够识别该操作,则它将包含在表的某个访问级别 (ListReadWritePermissions management) 下。要查看分配给服务中的每个操作的访问级别分类,请参阅

查看服务摘要

您可以在 Policies 页面中查看托管策略的服务摘要,或通过 UsersRoles 页面查看附加到用户或角色的内联和托管策略的服务摘要。但是,如果您从托管策略在 Users 页面和 Roles 页面上选择服务名称,那么您将被重定向到 Policies 页面。必须在 Policies 页面上查看托管策略的服务摘要。

查看托管策略的服务摘要

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选择要查看的策略的名称。

  4. 在策略的 Summary 页面上,查看 Permissions 选项卡以查看策略摘要。

  5. 在服务的策略摘要列表中,选择您想要查看的服务的名称。

查看附加到用户的策略的服务摘要

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 在用户列表中,选择要查看其策略的用户的名称。

  4. 在用户的 Summary 页面上,查看 Permissions 选项卡,以查看直接附加到用户或从组附加到用户的策略列表。

  5. 在用户的策略表中,展开要查看的策略的行。

  6. 在服务的策略摘要列表中,选择您想要查看的服务的名称。

    注意

    如果您选择的策略是直接附加到用户的内联策略,则将显示服务摘要表。如果策略是附加到组的内联策略,则您将看到该组的 JSON 策略文档。如果策略是托管策略,则您将在 Policies 页面中看到该策略的服务摘要。

查看附加到角色的策略的服务摘要

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 从导航窗格中,选择 Roles

  3. 在角色列表中,选择要查看其策略的角色的名称。

  4. 在角色的 Summary 页面上,查看 Permissions 选项卡,以查看附加到角色的策略列表。

  5. 在角色的策略表中,展开要查看的策略的行。

  6. 在服务的策略摘要列表中,选择您想要查看的服务的名称。

了解服务摘要的元素

以下示例是 SummaryAllElements 策略摘要中允许的 Amazon S3 操作的服务摘要 (请参阅SummaryAllElements JSON 策略文档)。此服务的操作按 Uncategorized actionsUncategorized resource types 和访问级别分组。例如,在服务的 29 个可用 Write 操作中定义了两个 Write 操作。

 服务摘要对话框图像

托管策略的服务摘要页面上包含以下信息:

  1. 如果策略未向策略中服务定义的所有操作、资源和条件授予权限,则将在页面顶部显示警告或错误横幅。服务摘要中包含有关该问题的详细信息。要了解策略摘要如何帮助您了解策略授予的权限并进行相关问题排查,请参阅我的策略未授予预期权限

  2. Back 链接旁将显示服务的名称 (在此例中为 S3)。此服务的服务摘要包括在策略中定义的允许的操作列表。如果在服务名称旁显示的是 (Explicitly denied),则服务摘要表中列出的操作将被显式拒绝。

  3. 选择 { } JSON 可查看策略的其他详细信息。您可以执行此操作以查看应用于操作的所有条件。(如果您要查看直接附加到用户的内联策略的服务摘要,则必须关闭服务摘要对话框并返回到策略摘要以访问 JSON 策略文档。)

  4. 要查看特定操作的摘要,请在搜索框中键入关键字以缩短可用操作列表。

  5. Action (2 of 69 actions) – 此列列出在策略中定义的操作,并提供每个操作的资源和条件。如果策略向操作授予权限,则操作名称链接到操作摘要 表。计数表示提供权限的已识别操作的数量。总计是服务的已知操作数量。在此示例中,总共 69 个已知 S3 操作中有 2 个操作提供权限。

  6. Show/Hide remaining 67 – 选择此链接可展开或隐藏该表,以包含已知但未向此服务提供权限的操作。展开链接还将显示未提供权限的任何元素的警告。

  7. Unrecognized resource types – 此策略在服务策略中包含至少一个无法识别的资源类型。您可以使用该警告来检查资源类型是否可能包含拼写错误。如果资源类型正确,则该服务可能不完全支持策略摘要,可能处于预览状态,或者可能是自定义服务。要在公开提供 (GA) 服务中请求对特定资源类型的策略摘要支持,请参阅服务不支持 IAM 策略摘要。在本示例中,autoscling 服务名称缺少一个 a

  8. Unrecognized actions – 此策略在服务策略中包含至少一个无法识别的操作。您可以使用此警告来检查操作是否可能包含拼写错误。如果操作名称正确,则该服务可能不完全支持策略摘要,可能处于预览状态,或者可能是自定义服务。要在公开提供 (GA) 服务中请求对特定操作的策略摘要支持,请参阅服务不支持 IAM 策略摘要。在此示例中是 DeletObject 操作缺少一个 e

    注意

    IAM 将检查支持策略摘要的服务的服务名称、操作和资源类型。但是,您的策略摘要可能包含不存在的资源值或条件。始终通过策略模拟器测试您的策略。

  9. 对于 IAM 能够识别的那些操作,该表将操作分组为至少 1 个、最多 4 个部分,具体取决于策略允许或拒绝的访问权限级别。这些部分是 ListReadWritePermissions management。您还可以查看每个访问权限级别内可用的总操作数以及定义的操作数。要查看分配给服务中的每个操作的访问级别分类,请参阅

  10. 省略号 (…) 表示在页面中包含所有操作,但我们只显示包含此策略相关信息的行。在 AWS 管理控制台中查看此页面时,您将看到服务的所有操作。

  11. (No access) – 此策略包含未提供权限的操作。

  12. 提供权限的操作包含指向操作摘要的链接。

  13. Resource – 此列显示策略为服务定义的资源。IAM 不检查资源是否适用于每个操作。在此示例中,只允许对 developer_bucket Amazon S3 存储桶资源执行 S3 服务中的操作。根据服务提供给 IAM 的信息,您可能会看到一个 ARN (例如 arn:aws:s3:::developer_bucket/*),或者您可能会看到定义的资源类型 (例如 BucketName = developer_bucket)。

    注意

    此列可以包括来自不同服务的资源。如果包含资源的策略语句不包括来自同一服务的操作和资源,则您的策略将包括不匹配的资源。在创建策略或在服务摘要中查看策略时,IAM 不会就不匹配的资源向您发出警告。IAM 也不会指出该操作仅在服务匹配时才应用于资源。如果此列包含不匹配的资源,那么您应该查看策略中是否有错误。为了更好地了解您的策略,请始终使用策略模拟器进行测试。

  14. Resource warning – 对于资源不提供完全权限的操作,您将看到以下警告之一:

    • 此操作不支持资源级权限。This requires a wildcard (*) for the resource. – 这意味着策略包含资源级权限,但必须包含 "Resource": ["*"] 来提供此操作的权限。

    • This action does not have an applicable resource. – 这意味着策略中包含该操作,但没有支持资源。

    • This action does not have an applicable resource and condition. – 这意味着策略中包含该操作,但没有支持资源和支持条件。在这种情况下,策略中还包含用于此服务的条件,但没有适用于此操作的条件。

    对于 ListAllMyBuckets 操作,此策略包含最后一条警告,因为该操作不支持资源级权限,也不支持 s3:x-amz-acl 条件键。如果修复了资源问题或条件问题,详细警告中将显示剩余问题。

  15. Request condition – 此列说明与该资源关联的操作是否受条件约束。要了解有关这些条件的更多信息,请选择 { } JSON 以查看 JSON 策略文档。

  16. Condition warning – 对于条件不提供完全权限的操作,您将看到以下警告之一:

    • <CONDITION_KEY> is not a supported condition key for this action. – 这意味着策略包含此操作不支持的服务条件键。

    • Multiple condition keys are not supported for this action. – 这意味着策略包含此操作不支持的多个服务条件键。

    对于 GetObject,此策略包含 s3:x-amz-acl 条件键,这不适用于此操作。虽然该操作支持资源,但由于条件对于该操作永远为 false,因而策略不为该操作授予任何权限。