AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Identity And Access Management 的操作、资源和条件键

Identity And Access Management(服务前缀:iam)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Identity And Access Management 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源列指示每个操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddClientIDToOpenIDConnectProvider 授予权限以将新客户端 ID(受众)添加到指定 IAM OpenID Connect (OIDC) 提供商资源的注册 ID 列表中 写入

oidc-provider*

AddRoleToInstanceProfile 授予权限以将 IAM 角色添加到指定的实例配置文件中 写入

instance-profile*

AddUserToGroup 授予权限以将 IAM 用户添加到指定的 IAM 组中 写入

group*

AttachGroupPolicy 授予权限以将托管策略附加到指定的 IAM 组 权限管理

group*

iam:PolicyARN

AttachRolePolicy 授予权限以将托管策略附加到指定的 IAM 角色 权限管理

role*

iam:PolicyARN

iam:PermissionsBoundary

AttachUserPolicy 授予权限以将托管策略附加到指定的 IAM 用户 权限管理

user*

iam:PolicyARN

iam:PermissionsBoundary

ChangePassword 为 IAM 用户授予权限以更改自己的密码 写入

user*

CreateAccessKey 授予权限以便为指定 IAM 用户创建访问密钥和秘密访问密钥 写入

user*

CreateAccountAlias 授予权限以便为您的 AWS 账户创建别名 写入
CreateGroup 授予权限以创建新的组 写入

group*

CreateInstanceProfile 授予权限以创建新的实例配置文件 写入

instance-profile*

CreateLoginProfile 授予权限以便为指定的 IAM 用户创建密码 写入

user*

CreateOpenIDConnectProvider 授予权限以创建 IAM 资源,它描述支持 OpenID Connect (OIDC) 的身份提供商 (IdP) 写入

oidc-provider*

CreatePolicy 授予权限以创建新的托管策略 权限管理

policy*

CreatePolicyVersion 授予权限以创建指定托管策略的新版本 权限管理

policy*

CreateRole 授予权限以创建新的角色 写入

role*

iam:PermissionsBoundary

CreateSAMLProvider 授予权限以创建 IAM 资源,它描述支持 SAML 2.0 的身份提供商 (IdP) 写入

saml-provider*

CreateServiceLinkedRole 授予权限以创建 IAM 角色,它允许 AWS 服务代表您执行操作 写入

role*

iam:AWSServiceName

CreateServiceSpecificCredential 授予权限以便为 IAM 用户创建新的服务特定凭证 写入

user*

CreateUser 授予权限以创建新的 IAM 用户 写入

user*

iam:PermissionsBoundary

CreateVirtualMFADevice 授予权限以创建新的虚拟 MFA 设备 写入

mfa*

DeactivateMFADevice 授予权限以停用指定的 MFA 设备,并删除最初启用了该设备的 IAM 用户与其之间的关联 写入

user*

DeleteAccessKey 授予权限以删除与指定 IAM 用户关联的访问密钥对 写入

user*

DeleteAccountAlias 授予权限以删除指定的 AWS 账户别名 写入
DeleteAccountPasswordPolicy 授予权限以删除 AWS 账户的密码策略 权限管理
DeleteGroup 授予权限以删除指定的 IAM 组 写入

group*

DeleteGroupPolicy 授予权限以将指定的内联策略从其组中删除 权限管理

group*

DeleteInstanceProfile 授予权限以删除指定的实例配置文件 写入

instance-profile*

DeleteLoginProfile 授予权限以删除指定 IAM 用户的密码 写入

user*

DeleteOpenIDConnectProvider 授予权限以在 IAM 中删除 OpenID Connect 身份提供商 (IdP) 资源对象 写入

oidc-provider*

DeletePolicy 授予权限以删除指定的托管策略,并将其从附加到的任何 IAM 实体(用户、组或角色)中删除 权限管理

policy*

DeletePolicyVersion 授予权限以从指定的托管策略中删除版本 权限管理

policy*

DeleteRole 授予权限以删除指定的角色 写入

role*

DeleteRolePermissionsBoundary 授予权限以从角色中删除权限边界 权限管理

role*

iam:PermissionsBoundary

DeleteRolePolicy 授予权限以从指定的角色中删除指定的内联策略 权限管理

role*

iam:PermissionsBoundary

DeleteSAMLProvider 授予权限以在 IAM 中删除 SAML 提供程序资源 写入

saml-provider*

DeleteSSHPublicKey 授予权限以删除指定的 SSH 公有密钥 写入

user*

DeleteServerCertificate 授予权限以删除指定的服务器证书 写入

server-certificate*

DeleteServiceLinkedRole 授予权限以删除与特定 AWS 服务关联的 IAM 角色(如果服务不再使用该角色) 写入

role*

DeleteServiceSpecificCredential 授予权限以删除 IAM 用户的指定服务特定凭证 写入

user*

DeleteSigningCertificate 授予权限以删除与指定 IAM 用户关联的签名证书 写入

user*

DeleteUser 授予权限以删除指定的 IAM 用户 写入

user*

DeleteUserPermissionsBoundary 授予权限以从指定的 IAM 用户中删除权限边界 权限管理

user*

iam:PermissionsBoundary

DeleteUserPolicy 授予权限以从 IAM 用户中删除指定的内联策略 权限管理

user*

iam:PermissionsBoundary

DeleteVirtualMFADevice 授予权限以删除虚拟 MFA 设备 写入

mfa

sms-mfa

DetachGroupPolicy 授予权限以将托管策略从指定的 IAM 组中分离 权限管理

group*

iam:PolicyARN

DetachRolePolicy 授予权限以将托管策略从指定的角色中分离 权限管理

role*

iam:PolicyARN

iam:PermissionsBoundary

DetachUserPolicy 授予权限以将托管策略从指定的 IAM 用户中分离 权限管理

user*

iam:PolicyARN

iam:PermissionsBoundary

EnableMFADevice 授予权限以启用 MFA 设备,并将其与指定的 IAM 用户相关联 写入

user*

GenerateCredentialReport 授予权限以便为 AWS 账户生成凭证报告 Read
GenerateOrganizationsAccessReport 授予权限以便为 AWS Organizations 实体生成访问报告 Read

access-report*

organizations:DescribePolicy

organizations:ListChildren

organizations:ListParents

organizations:ListPoliciesForTarget

organizations:ListRoots

organizations:ListTargetsForPolicy

iam:OrganizationsPolicyId

GenerateServiceLastAccessedDetails 授予权限以便为 IAM 资源生成上次访问的服务数据报告 Read
GetAccessKeyLastUsed 授予权限以检索有关上次使用指定访问密钥的时间的信息 Read

user*

GetAccountAuthorizationDetails 授予权限以检索有关您的 AWS 账户中的所有 IAM 用户、组、角色和策略的信息,包括它们之间的关系 Read
GetAccountPasswordPolicy 授予权限以检索 AWS 账户的密码策略 Read
GetAccountSummary 授予权限以检索有关 AWS 账户中的 IAM 实体使用量和 IAM 配额的信息 List
GetContextKeysForCustomPolicy 授予权限以检索指定策略中引用的所有上下文键的列表 Read
GetContextKeysForPrincipalPolicy 授予权限以检索附加到指定 IAM 身份(用户、组或角色)的所有 IAM 策略中引用的所有上下文键的列表 Read

group

role

user

GetCredentialReport 授予权限以检索 AWS 账户的凭证报告 Read
GetGroup 授予权限以检索指定 IAM 组中的 IAM 用户列表 Read

group*

GetGroupPolicy 授予权限以检索嵌入在指定 IAM 组中的内联策略文档 Read

group*

GetInstanceProfile 授予权限以检索有关指定实例配置文件的信息,包括实例配置文件的路径、GUID、ARN 和角色 Read

instance-profile*

GetLoginProfile 授予权限以检索指定 IAM 用户的用户名和密码创建日期 List

user*

GetOpenIDConnectProvider 授予权限以在 IAM 中检索有关指定 OpenID Connect (OIDC) 提供商资源的信息 Read

oidc-provider*

GetOrganizationsAccessReport 授予权限以检索 AWS Organizations 访问报告 Read
GetPolicy 授予权限以检索有关指定托管策略的信息,包括策略的默认版本以及策略附加到的身份总数 Read

policy*

GetPolicyVersion 授予权限以检索有关指定托管策略的版本的信息,包括策略文档 Read

policy*

GetRole 授予权限以检索有关指定角色的信息,包括角色的路径、GUID、ARN 和角色的信任策略 Read

role*

GetRolePolicy 授予权限以检索嵌入在指定 IAM 角色中的内联策略文档 Read

role*

GetSAMLProvider 授予权限以检索在创建或更新 IAM SAML 提供商资源时上传的 SAML 提供商元文档 Read

saml-provider*

GetSSHPublicKey 授予权限以检索指定的 SSH 公有密钥,包括有关密钥的元数据 Read

user*

GetServerCertificate 授予权限以检索有关 IAM 中存储的指定服务器证书的信息 Read

server-certificate*

GetServiceLastAccessedDetails 授予权限以检索有关上次访问的服务数据报告的信息 Read
GetServiceLastAccessedDetailsWithEntities 授予权限以从上次访问的服务数据报告中检索有关实体的信息 Read
GetServiceLinkedRoleDeletionStatus 授予权限以检索 IAM 服务相关角色删除状态 Read

role*

GetUser 授予权限以检索有关指定 IAM 用户的信息,包括用户的创建日期、路径、唯一 ID 和 ARN Read

user*

GetUserPolicy 授予权限以检索嵌入在指定 IAM 用户中的内联策略文档 Read

user*

ListAccessKeys 授予权限以列出有关与指定 IAM 用户关联的访问密钥 ID 的信息 List

user*

ListAccountAliases 授予权限以列出与 AWS 账户关联的账户别名 List
ListAttachedGroupPolicies 授予权限以列出附加到指定 IAM 组的所有托管策略 List

group*

ListAttachedRolePolicies 授予权限以列出附加到指定 IAM 角色的所有托管策略 List

role*

ListAttachedUserPolicies 授予权限以列出附加到指定 IAM 用户的所有托管策略 List

user*

ListEntitiesForPolicy 授予权限以列出指定托管策略附加到的所有 IAM 身份 List

policy*

ListGroupPolicies 授予权限以列出嵌入在指定 IAM 组中的内联策略的名称 List

group*

ListGroups 授予权限以列出具有指定路径前缀的 IAM 组 List
ListGroupsForUser 授予权限以列出指定 IAM 用户所属的 IAM 组 List

user*

ListInstanceProfiles 授予权限以列出具有指定路径前缀的实例配置文件 List

instance-profile*

ListInstanceProfilesForRole 授予权限以列出具有指定的关联 IAM 角色的实例配置文件 List

role*

ListMFADevices 授予权限以列出 IAM 用户的 MFA 设备 List

user

ListOpenIDConnectProviders 授予权限以列出有关 AWS 账户中定义的 IAM OpenID Connect (OIDC) 提供商资源对象的信息 List
ListPolicies 授予权限以列出所有托管策略 List
ListPoliciesGrantingServiceAccess 授予权限以列出有关为实体授予特定服务的访问权限的策略的信息 List
ListPolicyVersions 授予权限以列出有关指定托管策略的版本的信息,包括当前设置为策略默认版本的版本 List

policy*

ListRolePolicies 授予权限以列出嵌入在指定 IAM 角色中的内联策略的名称 List

role*

ListRoleTags 授予权限以列出附加到指定 IAM 角色的标签。 List

role*

ListRoles 授予权限以列出具有指定路径前缀的 IAM 角色 List
ListSAMLProviders 授予权限以列出 IAM 中的 SAML 提供商资源 List
ListSSHPublicKeys 授予权限以列出有关与指定 IAM 用户关联的 SSH 公有密钥的信息 List

user*

ListServerCertificates 授予权限以列出具有指定路径前缀的服务器证书 List
ListServiceSpecificCredentials 授予权限以列出与指定 IAM 用户关联的服务特定凭证 List

user*

ListSigningCertificates 授予权限以列出有关与指定 IAM 用户关联的签名证书的信息 List

user*

ListUserPolicies 授予权限以列出嵌入在指定 IAM 用户中的内联策略的名称 List

user*

ListUserTags 授予权限以列出附加到指定 IAM 用户的标签。 List

user*

ListUsers 授予权限以列出具有指定路径前缀的 IAM 用户 List
ListVirtualMFADevices 授予权限以按分配状态列出虚拟 MFA 设备 List
PassRole [仅权限] 授予权限以将角色传递给服务 写入

role*

iam:PassedToService

PutGroupPolicy 授予权限以创建或更新嵌入在指定 IAM 组中的内联策略文档 权限管理

group*

PutRolePermissionsBoundary 授予权限以将托管策略设置为角色的权限边界 权限管理

role*

iam:PermissionsBoundary

PutRolePolicy 授予权限以创建或更新嵌入在指定 IAM 角色中的内联策略文档 权限管理

role*

iam:PermissionsBoundary

PutUserPermissionsBoundary 授予权限以将托管策略设置为 IAM 用户的权限边界 权限管理

user*

iam:PermissionsBoundary

PutUserPolicy 授予权限以创建或更新嵌入在指定 IAM 用户中的内联策略文档 权限管理

user*

iam:PermissionsBoundary

RemoveClientIDFromOpenIDConnectProvider 授予权限以从指定 IAM OpenID Connect (OIDC) 提供商资源的客户端 ID 列表中删除客户端 ID(受众) 写入

oidc-provider*

RemoveRoleFromInstanceProfile 授予权限以从指定的 EC2 实例配置文件中删除 IAM 角色 写入

instance-profile*

RemoveUserFromGroup 授予权限以从指定的组中删除 IAM 用户 写入

group*

ResetServiceSpecificCredential 授予权限以重置 IAM 用户的现有服务特定凭证的密码 写入

user*

ResyncMFADevice 授予权限以将指定的 MFA 设备与其 IAM 实体(用户或角色)同步 写入

user*

SetDefaultPolicyVersion 授予权限以将指定策略的版本设置为策略的默认版本 权限管理

policy*

SetSecurityTokenServicePreferences 授予权限以设置 STS 全局终端节点令牌版本 写入
SimulateCustomPolicy 授予权限以模拟基于身份的策略或基于资源的策略是否为特定 API 操作和资源提供权限 Read
SimulatePrincipalPolicy 授予权限以模拟附加到指定 IAM 实体(用户或角色)的基于身份的策略是否为特定 API 操作和资源提供权限 Read

group

role

user

TagRole 授予权限以将标签添加到 IAM 角色中。 标记

role*

TagUser 授予权限以将标签添加到 IAM 用户中。 标记

user*

UntagRole 授予权限以从角色中删除指定的标签。 标记

role*

UntagUser 授予权限以从用户中删除指定的标签。 标记

user*

UpdateAccessKey 授予权限以将指定访问密钥的状态更新为活动或非活动状态 写入

user*

UpdateAccountPasswordPolicy 授予权限以更新 AWS 账户的密码策略设置 写入
UpdateAssumeRolePolicy 授予权限以更新为 IAM 实体授予权限以担任角色的策略 权限管理

role*

UpdateGroup 授予权限以更新指定 IAM 组的名称或路径 写入

group*

UpdateLoginProfile 授予权限以更改指定 IAM 用户的密码 写入

user*

UpdateOpenIDConnectProviderThumbprint 授予权限以更新与 OpenID Connect (OIDC) 提供商资源关联的服务器证书指纹的完整列表 写入

oidc-provider*

UpdateRole 授予权限以更新角色的描述或最大会话持续时间设置 写入

role*

UpdateRoleDescription 授予权限以仅更新角色描述 写入

role*

UpdateSAMLProvider 授予权限以更新现有 SAML 提供商资源的元数据文档 写入

saml-provider*

UpdateSSHPublicKey 授予权限以将 IAM 用户的 SSH 公有密钥状态更新为活动或非活动状态 写入

user*

UpdateServerCertificate 授予权限以更新 IAM 中存储的指定服务器证书的名称或路径 写入

server-certificate*

UpdateServiceSpecificCredential 授予权限以将 IAM 用户的服务特定凭证状态更新为活动或非活动状态 写入

user*

UpdateSigningCertificate 授予权限以将指定用户签名证书的状态更新为活动或已禁用状态 写入

user*

UpdateUser 授予权限以更新指定 IAM 用户的名称或路径 写入

user*

UploadSSHPublicKey 授予权限以上传 SSH 公有密钥,并将其与指定的 IAM 用户相关联 写入

user*

UploadServerCertificate 授予权限以上传 AWS 账户的服务器证书实体 写入

server-certificate*

UploadSigningCertificate 授予权限以上传 X.509 签名证书,并将其与指定的 IAM 用户相关联 写入

user*

Identity And Access Management 定义的资源

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
access-report arn:${Partition}:iam::${Account}:access-report/${EntityPath}
assumed-role arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}
federated-user arn:${Partition}:iam::${Account}:federated-user/${UserName}
group arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}
instance-profile arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}
mfa arn:${Partition}:iam::${Account}:mfa/${Path}/${MfaTokenId}
oidc-provider arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}
policy arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

iam:ResourceTag/${TagKey}

saml-provider arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}
server-certificate arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}
sms-mfa arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}
user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

iam:ResourceTag/${TagKey}

Identity And Access Management 的条件键

Identity And Access Management 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅 IAM 策略参考 中的可用的全局条件键

条件键 描述 类型
iam:AWSServiceName 按该角色附加到的 AWS 服务筛选访问 字符串
iam:OrganizationsPolicyId 按 AWS Organizations 策略 ID 筛选访问 字符串
iam:PassedToService 按该角色传递到的 AWS 服务筛选访问 字符串
iam:PermissionsBoundary 根据指定策略设置是否为 IAM 实体(用户或角色)上的权限边界以筛选访问 字符串
iam:PolicyARN 按 IAM 策略 ARN 筛选访问 ARN
iam:ResourceTag/${TagKey} 按附加到 IAM 实体(用户或角色)的标签筛选访问。 字符串