# 服务摘要（操作列表）
<a name="access_policies_understand-service-summary"></a>

策略在三个表中概括：策略摘要、[服务摘要](access_policies_understand-policy-summary.md)和[操作摘要](access_policies_understand-action-summary.md)。*服务摘要*表包括由所选服务的策略定义的操作列表和权限摘要。

![\[阐释这 3 个表以及它们之间关系的策略摘要图\]](http://docs.amazonaws.cn/IAM/latest/UserGuide/images/policy_summaries-svc-sum.png)


对于策略摘要中列出的每个授予权限的服务，您都可以查看服务摘要。该表分组为 **Uncategorized actions**、**Uncategorized resource types** 和访问级别部分。如果策略包含 IAM 无法识别的操作，则该操作将包含在表的 **Uncategorized actions**（无法识别的操作）部分中。如果 IAM 能够识别该操作，则它将包含在表的某个访问级别（**List**（列出）、**Read**（读取）、**Write**（写入）和 **Permissions management**（权限管理））部分下。要查看分配给服务中每个操作的访问级别分类，请参阅 [Amazon 服务的操作、资源和条件键](reference_policies_actions-resources-contextkeys.html)。

## 了解服务摘要的元素
<a name="understanding-elements-service-summary"></a>

下面的示例是策略摘要许可的 Amazon S3 操作的服务摘要。此服务的操作按访问级别分组。例如，在服务可用的总计 52 个**读取**操作之中，定义了 35 个**读取**操作。

![\[“Service summary (服务摘要)”对话框图像\]](http://docs.amazonaws.cn/IAM/latest/UserGuide/images/policies-summary-action-dialog.png)


托管策略的服务摘要页面上包含以下信息：

1. 如果策略未向策略中服务定义的所有操作、资源和条件授予权限，则将在页面顶部显示警告或错误横幅。服务摘要中包含有关该问题的详细信息。要了解策略摘要如何帮助您了解策略授予的权限并进行相关问题排查，请参阅[我的策略未授予预期权限](troubleshoot_policies.md#policy-summary-not-grant-permissions)。

1. 选择 **JSON** 可查看策略的其他详细信息。您可以执行此操作以查看应用于操作的所有条件。(如果您要查看直接附加到用户的内联策略的服务摘要，则必须关闭服务摘要对话框并返回到策略摘要以访问 JSON 策略文档。)

1. 要查看特定操作的摘要，请在**搜索**框中键入关键字以缩短可用操作列表。

1. 在**服务**返回箭头旁将显示服务的名称（在此例中为 **S3**）。此服务的服务摘要包括在策略中定义的允许或拒绝的操作的列表。如果服务显示在**权限**选项卡的**（显式拒绝）**下，则服务摘要表中列出的操作将被明确拒绝。如果服务出现在**权限**选项卡的**允许**下，则服务摘要表中列出的操作将被允许。

1. **操作** – 此列将列出在策略中定义的操作，并提供每个操作的资源和条件。如果策略向操作授予或拒绝权限，则操作名称链接到*[操作摘要](access_policies_understand-action-summary.md)*表。该表将操作分组为至少 1 个或最多 5 个部分，具体取决于策略允许或拒绝的访问权限级别。这些部分是**列表**、**读取**、**写入**、**权限管理**和**标记**。计数表示每个访问级别内提供权限的已识别操作的数量。总计是服务的已知操作数量。在此示例中，总共 52 个已知 Amazon S3 **读取**操作，有 35 个操作提供权限。要查看分配给服务中每个操作的访问级别分类，请参阅 [Amazon 服务的操作、资源和条件键](reference_policies_actions-resources-contextkeys.html)。

1. **显示剩余操作** – 切换此按钮可展开或隐藏该表，以包含已知但未向此服务提供权限的操作。切换按钮还将显示未提供权限的任何元素的警告。

1. **Resource**（资源）- 此列显示策略为服务定义的资源。IAM 不检查资源是否适用于每个操作。在此示例中，只允许对 `developer_bucket` Amazon S3 桶资源执行 Amazon S3 服务中的操作。根据服务提供给 IAM 的信息，您可能会看到一个 ARN（如 `arn:aws:s3:::developer_bucket/*`），或者您可能会看到定义的资源类型（如 `BucketName = developer_bucket`）。
**注意**  
此列可以包括来自不同服务的资源。如果包含资源的策略语句不包括来自同一服务的操作和资源，则您的策略将包括不匹配的资源。在创建策略或在服务摘要中查看策略时，IAM 不会就不匹配的资源向您发出警告。IAM 也不会指示操作是否适用于资源，仅会指示服务是否匹配。如果此列包含不匹配的资源，那么您应该查看策略中是否有错误。为了更好地了解您的策略，请始终使用[策略模拟器](access_policies_testing-policies.md)进行测试。

1. **Request condition**（请求条件）- 此列指出与资源关联的操作是否受条件约束。要了解有关这些条件的更多信息，请选择 **JSON** 以查看 JSON 策略文档。

1. **(No access）**（无权访问）- 此策略包含未提供权限的操作。

1. **Resource warning**（资源警告）对于资源不提供完全权限的操作，您将看到以下警告之一：
   + **此操作不支持资源级权限。这需要为资源提供通配符 (\$1)。**- 这意味着策略包含资源级权限，但必须包含 `"Resource": ["*"]` 来提供此操作的权限。
   + **此操作没有适用的资源。**- 这意味着策略中包含该操作，但没有支持资源。
   + **This action does not have an applicable resource and condition. (此操作没有适用的资源和条件。)** - 这意味着策略中包含该操作，但没有支持资源和支持条件。在这种情况下，策略中还包含用于此服务的条件，但没有适用于此操作的条件。

1. 提供权限的操作包含指向操作摘要的链接。