AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon EC2 的操作、资源和条件键

Amazon EC2(服务前缀:ec2)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon EC2 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源列指示每个操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AcceptReservedInstancesExchangeQuote 接受 GetReservedInstancesExchangeQuote 调用中描述的可转换预留实例交换引用。 写入
AcceptTransitGatewayVpcAttachment 接受将 VPC 连接到中转网关的请求 写入

transit-gateway-attachment*

ec2:Region

ec2:ResourceTag/${TagKey}

AcceptVpcEndpointConnections 接受到 VPC 终端节点服务的一个或多个接口 VPC 终端节点连接。 写入
AcceptVpcPeeringConnection 接受 VPC 对等连接请求。 写入

vpc*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Tenancy

vpc-peering-connection*

ec2:AccepterVpc

ec2:Region

ec2:RequesterVpc

ec2:ResourceTag/${TagKey}

AdvertiseByoipCidr 发布通过自带 IP 地址 (BYOIP) 预置的用于 AWS 资源的 IPv4 地址范围 写入
AllocateAddress 获取弹性 IP 地址。 写入
AllocateHosts 将专用主机分配到您的账户。 写入
ApplySecurityGroupsToClientVpnTargetNetwork 将安全组应用于目标网络和客户端 VPN 终端节点之间的关联。 写入

client-vpn-endpoint*

ec2:Region

ec2:ResourceTag/${TagKey}

security-group*

ec2:Region

ec2:ResourceTag/${TagKey}

vpc*

ec2:Region

ec2:ResourceTag/${TagKey}

AssignIpv6Addresses 将一个或多个 IPv6 地址分配给指定网络接口。 写入
AssignPrivateIpAddresses 将一个或多个辅助私有 IP 地址分配给指定网络接口。 写入
AssociateAddress 将弹性 IP 地址与实例或网络接口关联起来。 写入
AssociateClientVpnTargetNetwork 将目标网络与客户端 VPN 终端节点相关联。 写入

client-vpn-endpoint*

ec2:Region

ec2:ResourceTag/${TagKey}

subnet*

ec2:Region

ec2:ResourceTag/${TagKey}

AssociateDhcpOptions 将一组 DHCP 选项(您先前创建的)与指定的 VPC 关联,或不将任何 DHCP 选项与 VPC 关联。 写入
AssociateIamInstanceProfile 将 IAM 实例配置文件与正在运行或已停止的实例关联。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

iam:PassRole

AssociateRouteTable 将子网与路由表关联。 写入
AssociateSubnetCidrBlock 将 CIDR 块与子网关联。 写入
AssociateTransitGatewayRouteTable 将指定的连接与指定的中转网关路由表相关联 写入

transit-gateway-attachment*

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

AssociateVpcCidrBlock 将 CIDR 块与 VPC 关联。 写入
AttachClassicLinkVpc 通过 VPC 的一个或多个安全组将 EC2-Classic 实例链接至已启用 ClassicLink 的 VPC。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

security-group*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

vpc*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Tenancy

AttachInternetGateway 将 Internet 网关连接到 VPC,启用 Internet 与 VPC 之间的连接。 写入
AttachNetworkInterface 将网络接口连接至实例。 写入
AttachVolume 将 EBS 卷附加到正在运行或已停止的实例,然后将其公开给具有指定设备名称的实例。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

volume*

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

AttachVpnGateway 将虚拟专用网关连接到 VPC。 写入
AuthorizeClientVpnIngress 将传入授权规则添加到客户端 VPN 终端节点中。 写入

client-vpn-endpoint*

ec2:Region

ec2:ResourceTag/${TagKey}

AuthorizeSecurityGroupEgress [仅限 EC2-VPC] 向安全组添加一个或多个用于 VPC 的传出规则。 写入

security-group*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

AuthorizeSecurityGroupIngress 向安全组添加一个或多个传入规则。 写入

security-group*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

BundleInstance 捆绑 Amazon 实例存储支持的 Windows 实例。 写入
CancelBundleTask 取消对实例存储支持的 Windows 实例的捆绑操作。 写入
CancelCapacityReservation 取消指定的容量预留,释放预留的容量,并将容量预留的状态更改为“已取消”。 写入

capacity-reservation*

ec2:Region

ec2:ResourceTag/${TagKey}

CancelConversionTask 取消活动的转换任务。 写入
CancelExportTask 取消活动的导出任务。 写入
CancelImportTask 取消正在进行的导入虚拟机或导入快照任务。 写入
CancelReservedInstancesListing 在预留实例市场中取消指定的预留实例列表。 写入
CancelSpotFleetRequests 取消指定的 Spot 队列请求。 写入
CancelSpotInstanceRequests 取消一个或多个 Spot 实例请求。 写入
ConfirmProductInstance 确定产品代码是否与实例关联。 写入
CopyFpgaImage 启动从指定源区域向当前区域复制 Amazon FPGA 映像 (AFI) 的过程。 写入
CopyImage 启动从指定源区域向当前区域复制 AMI 的过程。 写入
CopySnapshot 复制 EBS 卷的时间点快照并将其存储到 Amazon S3 中。 写入
CreateCapacityReservation 使用指定的属性创建新的容量预留。 写入
CreateClientVpnEndpoint 创建客户端 VPN 终端节点。 写入

client-vpn-endpoint*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

CreateClientVpnRoute 将网络路由添加到客户端 VPN 终端节点中。 写入

client-vpn-endpoint*

ec2:Region

ec2:ResourceTag/${TagKey}

subnet*

ec2:Region

ec2:ResourceTag/${TagKey}

CreateCustomerGateway 向 AWS 提供有关您的 VPN 客户网关设备的信息。 写入
CreateDefaultSubnet 在默认 VPC 的指定可用区中创建具有 /20 IPv4 CIDR 块的默认子网。 写入
CreateDefaultVpc 在每个可用区中创建具有 /16 IPv4 CIDR 块的默认 VPC 和默认子网。 写入
CreateDhcpOptions 为您的 VPC 创建 DHCP 选项集。 写入
CreateEgressOnlyInternetGateway 为您的 VPC 创建仅出口 Internet 网关。 写入
CreateFleet 启动 EC2 队列。 写入
CreateFlowLogs 创建一个或多个流日志,以捕获特定网络接口、子网或 VPC 的 IP 流量。 写入
CreateFpgaImage 从指定的设计检查点 (DCP) 创建 Amazon FPGA 映像 (AFI)。 写入
CreateImage 从正在运行或已停止的由 Amazon EBS 支持的实例创建由 Amazon EBS 支持的 AMI。 写入
CreateInstanceExportTask 将正在运行或停止的实例导出到 S3 存储桶。 写入
CreateInternetGateway 创建一个与 VPC 配合使用的 Internet 网关。 写入
CreateKeyPair 创建具有指定名称的 2048 位 RSA 密钥对。 写入
CreateLaunchTemplate 创建新的启动模板。 写入
CreateLaunchTemplateVersion 创建指定启动模板的新版本。 写入

launch-template*

ec2:Region

ec2:ResourceTag/${TagKey}

CreateNatGateway 在指定的子网中创建 NAT 网关。 写入
CreateNetworkAcl 在 VPC 中创建网络 ACL。 写入
CreateNetworkAclEntry 使用指定的规则编号在网络 ACL 中创建条目(规则)。 写入
CreateNetworkInterface 在指定的子网中创建网络接口。 写入
CreateNetworkInterfacePermission 创建网络接口的权限,以向其他授权用户授予某些操作的权限。 写入

network-interface*

ec2:AuthorizedUser

ec2:AvailabilityZone

ec2:Permission

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Subnet

ec2:Vpc

ec2:AuthorizedService

CreatePlacementGroup 创建可将集群实例启动到的置放群组。 写入
CreateReservedInstancesListing 创建要在预留实例市场出售的 Amazon EC2 标准预留实例的列表。 写入
CreateRoute 在 VPC 中的路由表内创建路由。 写入

route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

CreateRouteTable 为指定的 VPC 创建路由表。 写入
CreateSecurityGroup 创建安全组 写入
CreateSnapshot 创建 EBS 卷的快照并将其存储到 Amazon S3 中。 写入

snapshot*

aws:TagKeys

aws:RequestTag/${TagKey}

ec2:ParentVolume

ec2:Region

volume*

ec2:Encrypted

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

CreateSnapshots 创建附加到 EC2 实例的 EBS 卷的快照,并将其存储在 Amazon S3 中。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

snapshot*

aws:TagKeys

aws:RequestTag/${TagKey}

ec2:ParentVolume

ec2:Region

volume*

ec2:Encrypted

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

CreateSpotDatafeedSubscription 为 Spot 实例创建数据源,使您能够查看 Spot 实例使用日志。您可以为每个 AWS 账户创建一个数据源。 写入
CreateSubnet 可在现有 VPC 中创建子网。 写入
CreateTags 添加或覆盖指定 Amazon EC2 资源的一个或多个标签。 标记

capacity-reservation

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

client-vpn-endpoint

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

dhcp-options

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

fpga-image

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Owner

ec2:Public

ec2:Region

ec2:ResourceTag/${TagKey}

image

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:ImageType

ec2:Owner

ec2:Public

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

instance

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

internet-gateway

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

network-acl

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

network-interface

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Subnet

ec2:Vpc

reserved-instances

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:InstanceType

ec2:Region

ec2:ReservedInstancesOfferingType

ec2:ResourceTag/${TagKey}

ec2:Tenancy

route-table

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

security-group

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

snapshot

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Owner

ec2:ParentVolume

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:SnapshotTime

ec2:VolumeSize

spot-instance-request

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

subnet

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

transit-gateway

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-attachment

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-route-table

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

volume

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

vpc

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Tenancy

vpn-connection

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

vpn-gateway

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:CreateAction

CreateTransitGateway 创建中转网关。 写入

transit-gateway*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

CreateTransitGatewayRoute 为指定的转换网关路由表创建静态路由。 写入

transit-gateway-route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-attachment

ec2:Region

ec2:ResourceTag/${TagKey}

CreateTransitGatewayRouteTable 为指定的中转网关创建路由表。 写入

transit-gateway*

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-route-table*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

CreateTransitGatewayVpcAttachment 将指定的 VPC 连接到指定的中转网关。 写入

transit-gateway*

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-attachment*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

vpc*

ec2:Region

ec2:ResourceTag/${TagKey}

subnet

ec2:Region

ec2:ResourceTag/${TagKey}

CreateVolume 创建可以附加到同一可用区中实例的 EBS 卷。 写入

volume*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

CreateVpc 创建具有指定 CIDR 块的 VPC。 写入
CreateVpcEndpoint 为指定的 AWS 服务创建一个 VPC 终端节点。 写入

route53:AssociateVPCWithHostedZone

CreateVpcEndpointConnectionNotification 为指定的 VPC 终端节点或 VPC 终端节点服务创建连接通知。 写入
CreateVpcEndpointServiceConfiguration 创建服务使用者(AWS 账户、IAM 用户和 IAM 角色)可以连接到的 VPC 终端节点服务配置。 写入
CreateVpcPeeringConnection 在两个 VPC 之间请求 VPC 对等连接:一个是您拥有的请求者 VPC,一个是要与其建立连接的对等 VPC。 写入

vpc*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Tenancy

vpc-peering-connection*

ec2:AccepterVpc

ec2:Region

ec2:RequesterVpc

CreateVpnConnection 在现有虚拟专用网关和 VPN 客户网关之间创建 VPN 连接。 写入
CreateVpnConnectionRoute 创建与现有虚拟私有网关和 VPN 客户网关之间的 VPN 连接关联的静态路由。 写入
CreateVpnGateway 创建虚拟专用网关。 写入
DeleteClientVpnEndpoint 删除指定的客户端 VPN 终端节点。 写入

client-vpn-endpoint*

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteClientVpnRoute 从客户端 VPN 终端节点中删除路由。 写入

client-vpn-endpoint*

ec2:Region

ec2:ResourceTag/${TagKey}

subnet

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteCustomerGateway 删除指定的客户网关。 写入

customer-gateway*

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteDhcpOptions 删除指定的 DHCP 选项集。 写入

dhcp-options*

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteEgressOnlyInternetGateway 删除指定的仅出口 Internet 网关。 写入
DeleteFleets 删除指定的 EC2 队列。 写入
DeleteFlowLogs 删除一个或多个流日志。 写入
DeleteFpgaImage 删除指定的 Amazon FPGA 映像 (AFI)。 写入
DeleteInternetGateway 删除指定的 Internet 网关。 写入

internet-gateway*

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteKeyPair 通过从 Amazon EC2 中移除公钥来删除指定的密钥对。 写入
DeleteLaunchTemplate 删除指定的启动模板和所有关联的版本。 写入

launch-template*

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteLaunchTemplateVersions 删除指定启动模板的指定版本。 写入

launch-template*

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteNatGateway 删除指定的 NAT 网关。 写入
DeleteNetworkAcl 删除指定的网络 ACL。 写入

network-acl*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

DeleteNetworkAclEntry 从指定的网络 ACL 中删除指定的传入或传出条目(规则)。 写入

network-acl*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

DeleteNetworkInterface 删除指定的网络接口。要删除网络接口,必须先将其分离。 写入
DeleteNetworkInterfacePermission 删除与网络接口相关联的权限。 写入
DeletePlacementGroup 删除指定的置放群组。 写入
DeleteRoute 从指定路由表中删除指定路由。 写入

route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

DeleteRouteTable 删除指定的路由表。 写入

route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

DeleteSecurityGroup 删除安全组。 写入

security-group*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

DeleteSnapshot 删除指定的快照。 写入

snapshot*

ec2:Owner

ec2:ParentVolume

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:SnapshotTime

ec2:VolumeSize

DeleteSpotDatafeedSubscription 删除 Spot 实例的数据源。 写入
DeleteSubnet 删除指定的子网。 写入
DeleteTags 从指定的资源集中删除指定的标签集。 标记

capacity-reservation

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

client-vpn-endpoint

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

dhcp-options

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

fpga-image

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

image

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

instance

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

internet-gateway

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

network-acl

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

network-interface

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

reserved-instances

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

route-table

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

security-group

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

snapshot

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

spot-instance-request

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

subnet

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-attachment

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-route-table

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

volume

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

vpc

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

vpn-connection

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

vpn-gateway

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteTransitGateway 删除指定的中转网关。 写入

transit-gateway*

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteTransitGatewayRoute 从指定的中转网关路由表中删除指定的路由。 写入

transit-gateway-route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteTransitGatewayRouteTable 删除指定的中转网关路由表。 写入

transit-gateway-route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteTransitGatewayVpcAttachment 删除指定的 VPC 连接。 写入

transit-gateway-attachment*

ec2:Region

ec2:ResourceTag/${TagKey}

DeleteVolume 删除指定的 EBS 卷。 写入

volume*

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

DeleteVpc 删除指定的 VPC。必须先分离或删除与 VPC 关联的所有网关和资源,然后才能删除该 VPC。 写入
DeleteVpcEndpointConnectionNotifications 删除一个或多个 VPC 终端节点连接通知。 写入
DeleteVpcEndpointServiceConfigurations 删除您账户中的一个或多个 VPC 终端节点服务配置。 写入
DeleteVpcEndpoints 删除一个或多个指定的 VPC 终端节点。 写入
DeleteVpcPeeringConnection DeleteVpcPeeringConnection 的描述 写入

vpc-peering-connection*

ec2:AccepterVpc

ec2:Region

ec2:RequesterVpc

ec2:ResourceTag/${TagKey}

DeleteVpnConnection 删除 VPC 对等连接。 写入
DeleteVpnConnectionRoute 删除与现有虚拟专用网关和 VPN 客户网关之间的 VPN 连接相关联的指定静态路由。 写入
DeleteVpnGateway 删除指定的虚拟专用网关。 写入
DeprovisionByoipCidr 释放通过自带 IP 地址 (BYOIP) 预置的用于 AWS 资源的指定地址范围,并删除相应的地址池。 写入
DeregisterImage 注销指定的 AMI。 写入
DescribeAccountAttributes 描述 AWS 账户的属性。 List
DescribeAddresses 描述您的一个或多个弹性 IP 地址。 List
DescribeAggregateIdFormat 描述特定区域中的所有资源类型的较长 ID 格式设置。 List
DescribeAvailabilityZones 描述一个或多个可供您使用的可用区。 List
DescribeBundleTasks 描述您的一个或多个捆绑任务。 List
DescribeByoipCidrs 描述在 ProvisionByoipCidr 调用中指定的 IP 地址范围。 List
DescribeCapacityReservations 描述一个或多个容量预留。 List
DescribeClassicLinkInstances 描述您的一个或多个链接的 EC2-Classic 实例。 List
DescribeClientVpnAuthorizationRules 描述指定客户端 VPN 终端节点的授权规则。 List
DescribeClientVpnConnections 描述指定客户端 VPN 终端节点的活动客户端连接以及在过去 60 分钟内终止的连接。 List
DescribeClientVpnEndpoints 描述账户中的一个或多个客户端 VPN 终端节点。 List
DescribeClientVpnRoutes 描述指定客户端 VPN 终端节点的路由。 List
DescribeClientVpnTargetNetworks 描述与指定客户端 VPN 终端节点关联的目标网络。 List
DescribeConversionTasks 描述您的一个或多个转换任务。 List
DescribeCustomerGateways 描述您的一个或多个 VPN 客户网关。 List
DescribeDhcpOptions 描述您的一个或多个 DHCP 选项集。 List
DescribeEgressOnlyInternetGateways 描述您的一个或多个仅出口 Internet 网关。 List
DescribeElasticGpus 描述与您的实例关联的 Elastic GPU。 Read
DescribeExportTasks 描述您的一个或多个导出任务。 List
DescribeFleetHistory 描述指定 EC2 队列在指定时间内的事件。 List
DescribeFleetInstances 描述指定 EC2 队列的运行实例。 List
DescribeFleets 描述一个或多个 EC2 队列。 List
DescribeFlowLogs 描述一个或多个流日志。 List
DescribeFpgaImageAttribute 描述指定 Amazon FPGA 映像 (AFI) 的指定属性。 List
DescribeFpgaImages 描述可供您使用的一个或多个 Amazon FPGA 映像 (AFI)。 List
DescribeHostReservationOfferings 描述可供购买的专用主机预留。 List
DescribeHostReservations 描述与您账户中的专用主机关联的专用主机预留。 List
DescribeHosts 描述您的一个或多个专用主机。 List
DescribeIamInstanceProfileAssociations 描述您的 IAM 实例配置文件关联。 List
DescribeIdFormat 按区域描述资源的 ID 格式设置,例如,查看为较长的 ID 启用了哪些资源类型。 List
DescribeIdentityIdFormat 描述指定的 IAM 用户、IAM 角色或根用户的资源的 ID 格式设置。 List
DescribeImageAttribute 描述指定 AMI 的指定属性。 List
DescribeImages 描述可供您使用的一个或多个映像(AMI、AKI 和 ARI)。 List
DescribeImportImageTasks 显示有关已创建的导入虚拟机或导入快照任务的详细信息。 List
DescribeImportSnapshotTasks 描述您的导入快照任务。 List
DescribeInstanceAttribute 描述指定实例的指定属性。 List
DescribeInstanceCreditSpecifications 描述用于一个或多个实例的 CPU 使用率的积分选项。 List
DescribeInstanceStatus 描述一个或多个实例的状态。 List
DescribeInstances 描述您的一个或多个实例。 List
DescribeInternetGateways 描述您的一个或多个 Internet 网关。 List
DescribeKeyPairs 描述您的一个或多个密钥对。 List
DescribeLaunchTemplateVersions 描述您的一个或多个启动模板版本。 List
DescribeLaunchTemplates 描述您的一个或多个启动模板。 List
DescribeMovingAddresses 描述正移至 EC2-VPC 平台或正还原到 EC2-Classic 平台的弹性 IP 地址。 List
DescribeNatGateways 描述您的一个或多个 NAT 网关。 List
DescribeNetworkAcls 描述一项或多项您的网络 ACL。 List
DescribeNetworkInterfaceAttribute 描述网络接口属性。一次只能指定一个属性。 List
DescribeNetworkInterfacePermissions 描述与网络接口相关联的权限。 List
DescribeNetworkInterfaces 描述您的一个或多个网络接口。 List
DescribePlacementGroups 描述您的一个或多个置放群组。 List
DescribePrefixLists 以前缀列表格式描述可用的 AWS 服务,其中包括服务的前缀列表名称和前缀列表 ID 以及服务的 IP 地址范围。 List
DescribePrincipalIdFormat 描述根用户以及显式指定较长 ID(17 字符 ID)首选项的所有 IAM 角色和 IAM 用户的 ID 格式设置。 List
DescribePublicIpv4Pools 描述指定的 IPv4 地址池。 List
DescribeRegions 描述当前可供您使用的一个或多个区域。 List
DescribeReservedInstances 描述您已购买的一个或多个预留实例。 List
DescribeReservedInstancesListings 描述您账户在预留实例市场中的预留实例列表。 List
DescribeReservedInstancesModifications 描述对您的预留实例所做的修改。 List
DescribeReservedInstancesOfferings 描述可供购买的预留实例产品。 List
DescribeRouteTables 描述您的一项或多项路由表 List
DescribeScheduledInstanceAvailability 查找符合指定条件的可用计划。 Read
DescribeScheduledInstances 描述您的一个或多个计划实例。 Read
DescribeSecurityGroupReferences [仅限 EC2-VPC] 描述 VPC 对等连接另一端的 VPC,这些 VPC 引用您在此请求中指定的安全组。 List
DescribeSecurityGroups 描述您的一个或多个安全组。 List
DescribeSnapshotAttribute 描述指定快照的指定属性。 List
DescribeSnapshots 描述可供您使用的一个或多个 EBS 快照。 List
DescribeSpotDatafeedSubscription 描述 Spot 实例的数据源。 List
DescribeSpotFleetInstances 描述用于指定 Spot 队列的正在运行的实例。 List
DescribeSpotFleetRequestHistory 描述在指定时间内用于指定 Spot 队列请求的事件。 List
DescribeSpotFleetRequests 描述您的 Spot 队列请求。 List
DescribeSpotInstanceRequests 描述属于您的账户的 Spot 实例请求。 List
DescribeSpotPriceHistory 描述 Spot 价格历史记录。 List
DescribeStaleSecurityGroups [仅限 EC2-VPC] 描述指定 VPC 中用于安全组的过时安全组规则。 List
DescribeSubnets 描述您的一个或多个子网。 List
DescribeTags 描述您的 EC2 资源的一个或多个标签。 Read
DescribeTransitGatewayAttachments 描述资源和中转网关之间的一个或多个连接。 List
DescribeTransitGatewayRouteTables 描述一个或多个中转网关路由表。 List
DescribeTransitGatewayVpcAttachments 描述一个或多个 VPC 连接。 List
DescribeTransitGateways 描述一个或多个中转网关。 List
DescribeVolumeAttribute 描述指定卷的指定属性。 List
DescribeVolumeStatus 描述指定卷的状态。 List
DescribeVolumes 描述指定的 EBS 卷。 List
DescribeVolumesModifications 报告 EBS 卷的当前修改状态。 Read
DescribeVpcAttribute 描述指定 VPC 的指定属性。 List
DescribeVpcClassicLink 描述一个或多个 VPC 的 ClassicLink 状态。 List
DescribeVpcClassicLinkDnsSupport 描述一个或多个 VPC 的 ClassicLink DNS 支持状态。 List
DescribeVpcEndpointConnectionNotifications 描述 VPC 终端节点和 VPC 终端节点服务的连接通知。 List
DescribeVpcEndpointConnections 描述到 VPC 终端节点服务的 VPC 终端节点连接,包括等待您接受的任何终端节点。 List
DescribeVpcEndpointServiceConfigurations 描述您账户(您的服务)中的 VPC 终端节点服务配置。 List
DescribeVpcEndpointServicePermissions 描述允许发现 VPC 终端节点服务的委托人(服务使用者)。 List
DescribeVpcEndpointServices 描述可在创建 VPC 终端节点时指定的所有受支持的 AWS 服务。 List
DescribeVpcEndpoints 描述您的一个或多个 VPC 终端节点。 List
DescribeVpcPeeringConnections 描述您的一个或多个 VPC 对等连接。 List
DescribeVpcs 描述您的一个或多个 VPC。 List
DescribeVpnConnections 描述您的一个或多个 VPN 连接。 Read
DescribeVpnGateways 描述您的一个或多个虚拟专用网关。 List
DetachClassicLinkVpc 从 VPC 取消链接(分离)已链接的 EC2-Classic 实例。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

vpc*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Tenancy

DetachInternetGateway 从 VPC 中分离 Internet 网关,禁用 Internet 与 VPC 之间的连接。 写入
DetachNetworkInterface 将网络接口与实例分离。 写入
DetachVolume 从实例中分离 EBS 卷。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

volume*

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

DetachVpnGateway 将虚拟专用网关与 VPC 断开连接。 写入
DisableEbsEncryptionByDefault 在当前区域中为您的账户禁用默认启用的 EBS 加密 写入
DisableTransitGatewayRouteTablePropagation 禁止指定的资源连接将路由传播到指定的传播路由表。 写入

transit-gateway-attachment*

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

DisableVgwRoutePropagation 禁用虚拟专用网关 (VGW) 将路由传播至 VPC 的指定路由表。 写入
DisableVpcClassicLink 为 VPC 禁用 ClassicLink。 写入

vpc*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Tenancy

DisableVpcClassicLinkDnsSupport 为 VPC 禁用 ClassicLink DNS 支持。 写入
DisassociateAddress 取消弹性 IP 地址与所关联实例或网络接口的关联。 写入
DisassociateClientVpnTargetNetwork 将目标网络与指定的客户端 VPN 终端节点取消关联。 写入

client-vpn-endpoint*

ec2:Region

ec2:ResourceTag/${TagKey}

DisassociateIamInstanceProfile 取消 IAM 实例配置文件与正在运行或已停止的实例之间的关联。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

DisassociateRouteTable 解除子网与路由表的关联。 写入
DisassociateSubnetCidrBlock 取消 CIDR 块与子网的关联。 写入
DisassociateTransitGatewayRouteTable 将资源连接与中转网关路由表取消关联。 写入

transit-gateway-attachment*

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

DisassociateVpcCidrBlock 取消 CIDR 块与 VPC 的关联。 写入
EnableEbsEncryptionByDefault 在当前区域中为您的账户默认启用 EBS 加密 写入
EnableTransitGatewayRouteTablePropagation 允许指定的连接将路由传播到指定的传播路由表。 写入

transit-gateway-attachment*

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

EnableVgwRoutePropagation 启用虚拟专用网关 (VGW) 以将路由传播至 VPC 的指定路由表。 写入
EnableVolumeIO 启用已禁用 I/O 操作的卷的 I/O 操作,因为该卷上的数据可能不一致。 写入
EnableVpcClassicLink 为 ClassicLink 启用 VPC 写入

vpc*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Tenancy

EnableVpcClassicLinkDnsSupport 启用 VPC,以支持用于 ClassicLink 的 DNS 主机名解析。 写入
ExportClientVpnClientCertificateRevocationList 下载指定客户端 VPN 终端节点的客户端证书吊销列表。 List
ExportClientVpnClientConfiguration 下载指定客户端 VPN 终端节点的客户端 VPN 终端节点配置文件内容。 List
ExportTransitGatewayRoutes 将指定中转网关路由表中的路由导出到指定的 S3 存储桶。 写入
GetConsoleOutput 获取指定实例的控制台输出。 Read
GetConsoleScreenshot 检索正在运行实例的 JPG 格式的屏幕截图,以帮助排查问题。 Read

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

GetEbsDefaultKmsKeyId 获取 EBS 默认 KMS 密钥 ID Read
GetEbsEncryptionByDefault 描述是否在当前区域中为您的账户默认启用 EBS 加密 Read
GetHostReservationPurchasePreview 预览配置与专用主机配置匹配的预留购买。 Read
GetLaunchTemplateData 检索指定实例的配置数据。 Read
GetPasswordData 为运行 Windows 的实例检索加密的管理员密码。 Read
GetReservedInstancesExchangeQuote 返回指定的可转换预留实例的值和期限的详细信息。 Read
GetTransitGatewayAttachmentPropagations 列出指定的资源连接将路由传播到的路由表。 List
GetTransitGatewayRouteTableAssociations 获取有关指定中转网关路由表的关联的信息。 List
GetTransitGatewayRouteTablePropagations 获取有关指定中转网关路由表的路由表传播的信息。 List
ImportClientVpnClientCertificateRevocationList 将客户端证书吊销列表上传到指定的客户端 VPN 终端节点中。 写入

client-vpn-endpoint*

ec2:Region

ec2:ResourceTag/${TagKey}

ImportImage 将单个或多个卷磁盘映像或 EBS 快照导入 Amazon 系统映像 (AMI)。 写入
ImportInstance 使用指定磁盘映像中的元数据创建导入实例任务。 写入
ImportKeyPair 从您用第三方工具创建的 RSA 密钥对导入公有密钥。 写入
ImportSnapshot 将磁盘导入 EBS 快照。 写入
ImportVolume 使用指定磁盘映像中的元数据创建导入卷任务。 写入
ModifyCapacityReservation 修改容量预留的容量以及释放容量的条件。 写入

capacity-reservation*

ec2:Region

ec2:ResourceTag/${TagKey}

ModifyClientVpnEndpoint 修改指定的客户端 VPN 终端节点。 写入

client-vpn-endpoint*

ec2:Region

ec2:ResourceTag/${TagKey}

ModifyEbsDefaultKmsKeyId 在该区域中为您的账户默认更改 EBS 加密的默认客户主密钥 (CMK) 写入
ModifyFleet 修改指定的 EC2 队列。 写入
ModifyFpgaImageAttribute 修改指定 Amazon FPGA 映像 (AFI) 的指定属性。 写入
ModifyHosts 修改专用主机的自动置放设置。 写入
ModifyIdFormat 按区域修改指定资源的 ID 格式。 写入
ModifyIdentityIdFormat 为账户的 IAM 用户、IAM 角色或根用户修改资源的 ID 格式;或为账户的所有 IAM 用户、IAM 角色和根用户修改资源的 ID 格式。 写入
ModifyImageAttribute 修改指定 AMI 的指定属性。 写入
ModifyInstanceAttribute 修改指定实例的指定属性。 写入
ModifyInstanceCapacityReservationAttributes 修改停止的实例的容量预留设置。 写入
ModifyInstanceCreditSpecification 修改用于实例 CPU 使用率的积分选项。 写入
ModifyInstanceEventStartTime 修改计划的 EC2 实例事件的开始时间。 写入

instance*

ec2:Region

ModifyInstancePlacement 为特定的已停止实例修改实例关联值并修改实例租期设置。 写入
ModifyLaunchTemplate 修改指定的启动模板。 写入

launch-template*

ec2:Region

ec2:ResourceTag/${TagKey}

ModifyNetworkInterfaceAttribute 修改指定的网络接口属性。一次只能指定一个属性。 写入
ModifyReservedInstances 修改标准预留实例的可用区、实例计数、实例类型或网络平台(EC2-Classic 或 EC2-VPC)。 写入
ModifySnapshotAttribute 添加或删除指定快照的权限设置。 写入

snapshot*

ec2:Owner

ec2:ParentVolume

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:SnapshotTime

ec2:VolumeSize

ModifySpotFleetRequest 修改指定的 Spot 队列请求。 写入
ModifySubnetAttribute 修改子网属性。 写入
ModifyTransitGatewayVpcAttachment 修改指定的 VPC 连接。 写入

transit-gateway-attachment*

ec2:Region

ec2:ResourceTag/${TagKey}

subnet

ec2:Region

ec2:ResourceTag/${TagKey}

ModifyVolume 可以修改现有 EBS 卷的若干个参数,包括卷大小、卷类型和 IOPS 容量。 写入
ModifyVolumeAttribute 修改卷属性。 写入
ModifyVpcAttribute 修改指定 VPC 的指定属性。 写入
ModifyVpcEndpoint 修改指定的 VPC 终端节点的属性。 写入
ModifyVpcEndpointConnectionNotification 修改用于 VPC 终端节点或 VPC 终端节点服务的连接通知。 写入
ModifyVpcEndpointServiceConfiguration 修改 VPC 终端节点服务配置的属性。 写入
ModifyVpcEndpointServicePermissions 修改 VPC 终端节点服务的权限。 写入
ModifyVpcPeeringConnectionOptions 修改在 VPC 对等连接一侧的 VPC 对等连接选项。 写入
ModifyVpcTenancy 修改指定 VPC 的实例租期属性。 写入
ModifyVpnConnection 修改 AWS 站点到站点 VPN 连接的目标网关 写入
MonitorInstances 为正在运行的实例启用详细监控。 写入
MoveAddressToVpc 将弹性 IP 地址从 EC2-Classic 平台移动到 EC2-VPC 平台。 写入
ProvisionByoipCidr 通过自带 IP 地址 (BYOIP) 预置用于 AWS 资源的地址范围,并创建相应的地址池。 写入
PurchaseHostReservation 购买配置与专用主机配置匹配的预留。 写入
PurchaseReservedInstancesOffering 购买用于您的账户的预留实例。 写入
PurchaseScheduledInstances 购买一个或多个具有指定计划的计划实例。 写入
RebootInstances 请求重新引导一个或多个实例。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

RegisterImage 注册 AMI。 写入
RejectTransitGatewayVpcAttachment 拒绝将 VPC 连接到中转网关的请求。 写入

transit-gateway-attachment*

ec2:Region

ec2:ResourceTag/${TagKey}

RejectVpcEndpointConnections 拒绝到 VPC 终端节点服务的一个或多个 VPC 终端节点请求。 写入
RejectVpcPeeringConnection 拒绝 VPC 对等连接请求。 写入

vpc-peering-connection*

ec2:AccepterVpc

ec2:Region

ec2:RequesterVpc

ec2:ResourceTag/${TagKey}

ReleaseAddress 释放指定的弹性 IP 地址。 写入
ReleaseHosts 当您不再想使用按需专用主机时,则可将其释放 写入
ReplaceIamInstanceProfileAssociation 替换指定实例的 IAM 实例配置文件。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

iam:PassRole

ReplaceNetworkAclAssociation 更改与子网相关联的网络 ACL。 写入
ReplaceNetworkAclEntry 替换网络 ACL 中的条目(规则)。 写入
ReplaceRoute 替换 VPC 的路由表中的现有路由。 写入

route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

ReplaceRouteTableAssociation 更改与 VPC 中的给定子网关联的路由表。 写入
ReplaceTransitGatewayRoute 替换指定中转网关路由表中的指定路由。 写入

transit-gateway-route-table*

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-attachment

ec2:Region

ec2:ResourceTag/${TagKey}

ReportInstanceStatus 提交有关实例状态的反馈 写入
RequestSpotFleet 创建 Spot 队列请求 写入
RequestSpotInstances 创建 Spot 实例请求 写入
ResetEbsDefaultKmsKeyId 将您的账户在该区域中的 EBS 加密的默认客户主密钥 (CMK) 重置为适用于 EBS 的 AWS 托管 CMK 写入
ResetFpgaImageAttribute 将 Amazon FPGA 映像 (AFI) 的属性重置为默认值。 写入
ResetImageAttribute 将 AMI 的属性重置为默认值 写入
ResetInstanceAttribute 将实例的属性重置为默认值 写入
ResetNetworkInterfaceAttribute 重置网络接口属性。一次只能指定一个属性。 写入
ResetSnapshotAttribute 重置指定快照的权限设置。 写入
RestoreAddressToClassic 将以前移动到 EC2-VPC 平台的弹性 IP 地址还原到 EC2-Classic 平台。 写入
RevokeClientVpnIngress 从客户端 VPN 终端节点中删除传入授权规则。 写入

client-vpn-endpoint*

ec2:Region

ec2:ResourceTag/${TagKey}

RevokeSecurityGroupEgress [仅限 EC2-VPC] 从 EC2-VPC 的安全组中删除一个或多个传出规则。此操作不适用于在 EC2-Classic 中使用的安全组。 写入

security-group*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

RevokeSecurityGroupIngress 从安全组中删除一个或多个传入规则。 写入

security-group*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

RunInstances 使用 AMI 启动您拥有权限的指定数量的实例。 标记

image*

ec2:ImageType

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Owner

ec2:Public

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

instance*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:PlacementGroup

ec2:Region

ec2:RootDeviceType

ec2:Tenancy

network-interface*

ec2:AvailabilityZone

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:ResourceTag/

ec2:Subnet

ec2:Vpc

security-group*

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

subnet*

ec2:AvailabilityZone

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

volume*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:Encrypted

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:ParentSnapshot

ec2:Region

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

key-pair

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

launch-template

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Region

placement-group

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:PlacementGroupStrategy

ec2:Region

snapshot

ec2:IsLaunchTemplateResource

ec2:LaunchTemplate

ec2:Owner

ec2:ParentVolume

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:SnapshotTime

ec2:VolumeSize

方案:EC2-Classic-EBS

image*

instance*

security-group*

volume*

key-pair

placement-group

snapshot

方案:EC2-Classic-InstanceStore

image*

instance*

security-group*

key-pair

placement-group

snapshot

方案:EC2-VPC-EBS

image*

instance*

network-interface*

security-group*

volume*

key-pair

placement-group

snapshot

方案:EC2-VPC-EBS-Subnet

image*

instance*

network-interface*

security-group*

subnet*

volume*

key-pair

placement-group

snapshot

方案:EC2-VPC-InstanceStore

image*

instance*

network-interface*

security-group*

key-pair

placement-group

snapshot

方案:EC2-VPC-InstanceStore-Subnet

image*

instance*

network-interface*

security-group*

subnet*

key-pair

placement-group

snapshot

RunScheduledInstances 启动指定的计划实例。 写入
SearchTransitGatewayRoutes 在指定的中转网关路由表中搜索路由。 List
StartInstances 启动您之前已停止的由 Amazon EBS 支持的 AMI。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

StopInstances 停止 Amazon EBS 支持的实例。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

TerminateClientVpnConnections 终止活动客户端 VPN 终端节点连接。 写入

client-vpn-endpoint*

ec2:Region

ec2:ResourceTag/${TagKey}

TerminateInstances 关闭一个或多个实例。 写入

instance*

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

UnassignIpv6Addresses 从指定网络接口取消分配一个或多个 IPv6 地址。 写入
UnassignPrivateIpAddresses 从网络接口取消分配一个或多个辅助私有 IP 地址。 写入
UnmonitorInstances 为正在运行的实例禁用详细监控。 写入
UpdateSecurityGroupRuleDescriptionsEgress [仅限 EC2-VPC] 更新安全组的一个或多个传出规则的描述。此操作不适用于在 EC2-Classic 中使用的安全组。 写入

security-group*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

UpdateSecurityGroupRuleDescriptionsIngress 更新安全组的一个或多个传入规则的描述。 写入

security-group*

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

WithdrawByoipCidr 停止发布预置为地址池的 IPv4 地址范围。 写入

Amazon EC2 定义的资源

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
capacity-reservation arn:${Partition}:ec2:${Region}:${Account}:capacity-reservation/${CapacityReservationId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

client-vpn-endpoint arn:${Partition}:ec2:${Region}:${Account}:client-vpn-endpoint/${ClientVpnEndpointId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

customer-gateway arn:${Partition}:ec2:${Region}:${Account}:customer-gateway/${CustomerGatewayId}

ec2:Region

ec2:ResourceTag/${TagKey}

dhcp-options arn:${Partition}:ec2:${Region}:${Account}:dhcp-options/${DhcpOptionsId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

elastic-gpu arn:${Partition}:ec2:${Region}:${Account}:elasticGpu/${ElasticGpuId}
fpga-image arn:${Partition}:ec2:${Region}::fpga-image/${FpgaImageId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Owner

ec2:Public

ec2:Region

ec2:ResourceTag/${TagKey}

image arn:${Partition}:ec2:${Region}::image/${ImageId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:ImageType

ec2:Owner

ec2:Public

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

instance arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:EbsOptimized

ec2:InstanceProfile

ec2:InstanceType

ec2:PlacementGroup

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:RootDeviceType

ec2:Tenancy

internet-gateway arn:${Partition}:ec2:${Region}:${Account}:internet-gateway/${InternetGatewayId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

key-pair arn:${Partition}:ec2:${Region}:${Account}:key-pair/${KeyPairName}

ec2:Region

launch-template arn:${Partition}:ec2:${Region}:${Account}:launch-template/${LaunchTemplateId}

ec2:Region

ec2:ResourceTag/${TagKey}

network-acl arn:${Partition}:ec2:${Region}:${Account}:network-acl/${NaclId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

network-interface arn:${Partition}:ec2:${Region}:${Account}:network-interface/${NetworkInterfaceId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizedService

ec2:AvailabilityZone

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Subnet

ec2:Vpc

placement-group arn:${Partition}:ec2:${Region}:${Account}:placement-group/${PlacementGroupName}

ec2:PlacementGroupStrategy

ec2:Region

reserved-instances arn:${Partition}:ec2:${Region}:${Account}:reserved-instances/${ReservationId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:InstanceType

ec2:Region

ec2:ReservedInstancesOfferingType

ec2:ResourceTag/${TagKey}

ec2:Tenancy

route-table arn:${Partition}:ec2:${Region}:${Account}:route-table/${RouteTableId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

security-group arn:${Partition}:ec2:${Region}:${Account}:security-group/${SecurityGroupId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

snapshot arn:${Partition}:ec2:${Region}::snapshot/${SnapshotId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Owner

ec2:ParentVolume

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:SnapshotTime

ec2:VolumeSize

spot-instance-request arn:${Partition}:ec2:${Region}::spot-instance-request/${SpotInstanceRequestId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

subnet arn:${Partition}:ec2:${Region}:${Account}:subnet/${SubnetId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Vpc

transit-gateway-attachment arn:${Partition}:ec2:${Region}:${Account}:transit-gateway-attachment/${TransitGatewayAttachmentId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway-route-table arn:${Partition}:ec2:${Region}:${Account}:transit-gateway-route-table/${TransitGatewayRouteTableId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

transit-gateway arn:${Partition}:ec2:${Region}:${Account}:transit-gateway/${TransitGatewayId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

volume arn:${Partition}:ec2:${Region}:${Account}:volume/${VolumeId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AvailabilityZone

ec2:Encrypted

ec2:ParentSnapshot

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:VolumeIops

ec2:VolumeSize

ec2:VolumeType

vpc arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

ec2:Tenancy

vpc-peering-connection arn:${Partition}:ec2:${Region}:${Account}:vpc-peering-connection/${VpcPeeringConnectionId}

ec2:AccepterVpc

ec2:Region

ec2:RequesterVpc

ec2:ResourceTag/${TagKey}

vpn-connection arn:${Partition}:ec2:${Region}:${Account}:vpn-connection/${VpnConnectionId}

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:Region

ec2:ResourceTag/${TagKey}

vpn-gateway arn:${Partition}:ec2:${Region}:${Account}:vpn-gateway/${VpnGatewayId}

用于 Amazon EC2 的条件键

Amazon EC2 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅 IAM 策略参考 中的可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 用户向 EC2 服务发出的请求中存在的键。 字符串
aws:TagKeys 与请求中的资源关联的所有标签键名称的列表。 字符串
ec2:AccepterVpc 在 VPC 对等连接中接受方 VPC 的 ARN。 ARN
ec2:AuthorizedService 有权使用资源的 AWS 服务。 字符串
ec2:AuthorizedUser 有权使用资源的 IAM 委托人。 字符串
ec2:AvailabilityZone 某一区域中的可用区的名称。 字符串
ec2:CreateAction 资源创建 API 操作的名称。 字符串
ec2:EbsOptimized 是否为 EBS 优化启用实例。 字符串
ec2:ElasticGpuType ElasticGpu 类型的名称。 字符串
ec2:Encrypted 卷是否加密。 字符串
ec2:ImageType 映像类型的名称。 字符串
ec2:InstanceMarketType 市场类型的名称。 字符串
ec2:InstanceProfile 实例配置文件的 ARN。 ARN
ec2:InstanceType 实例类型的名称。 字符串
ec2:IsLaunchTemplateResource 启动模板资源标记。 字符串
ec2:LaunchTemplate 启动模板的 ARN。 ARN
ec2:Owner 拥有者的名称或账户 ID。 字符串
ec2:ParentSnapshot 父级快照的 ARN。 ARN
ec2:ParentVolume 父级卷的 ARN。 ARN
ec2:Permission 资源的权限类型。 字符串
ec2:PlacementGroup 置放群组的 ARN。 ARN
ec2:PlacementGroupStrategy 置放群组策略的名称。 字符串
ec2:ProductCode 产品的产品代码。 字符串
ec2:Public 映像是否为公有。 字符串
ec2:Region 区域的名称。 字符串
ec2:RequesterVpc 在 VPC 对等连接中请求方 VPC 的 ARN。 ARN
ec2:ReservedInstancesOfferingType 预留实例的付款选项。 字符串
ec2:ResourceTag/ 附加到资源的标签键值对的前言字符串。 字符串
ec2:ResourceTag/${TagKey} 标签键值对。 字符串
ec2:RootDeviceType 根设备类型:ebs 或实例存储。 字符串
ec2:SnapshotTime 快照创建时间。 字符串
ec2:SourceInstanceARN 发起请求的实例的 ARN。 ARN
ec2:Subnet 子网的 ARN。 ARN
ec2:Tenancy 实例或 VPC 的租期。 字符串
ec2:VolumeIops 每秒的输入/输出操作数。 数值
ec2:VolumeSize 卷的大小(以 GiB 为单位)。 数值
ec2:VolumeType 卷类型的名称。 字符串
ec2:Vpc VPC 的 ARN。 ARN