Amazon使用 IAM 的 服务
下面列出的 Amazon 服务根据其 Amazon 产品类别分组
-
服务 - 您可以选择一项服务的名称,以查看有关该服务的 IAM 授权和访问权限的 Amazon 文档。
-
操作 – 您可以指定策略中的各项操作。如果服务不支持此功能,则可视化编辑器中将选中所有操作。在 JSON 策略文档中,您必须在
*
元素中使用Action
。有关每个服务中的操作列表,请参阅 Amazon 服务的操作、资源和条件键。 -
资源级权限 – 您可以使用 ARN 在策略中指定各个资源。如果服务不支持此功能,则策略可视化编辑器中将选中所有资源。在 JSON 策略文档中,您必须在
*
元素中使用Resource
。某些操作 (如List*
操作) 不支持指定 ARN,因为它们被设计为返回多个资源。如果某项服务只针对部分资源支持此功能,将在表格中用黄色单元格标明。有关更多信息,请参阅该服务的文档。 -
基于资源的策略 – 您可以将基于资源的策略附加到服务中的某项资源。基于资源的策略包含
Principal
元素,用于指定可以访问此资源的 IAM 身份。有关更多信息,请参阅 基于身份的策略和基于资源的策略。 -
根据标签进行授权 – 您可以在策略的条件中使用资源标签来控制对服务中的资源的访问。您可以使用 aws:ResourceTag 全局条件键或服务特定的标签(如 iam:ResourceTag)执行该操作。有关基于标签等属性定义权限的更多信息,请参阅什么是适用于 Amazon 的 ABAC?。
-
Temporary credentials(临时凭证)- 您可以使用在通过 SSO 登录时获得的短期凭证、在控制台中切换角色或在 Amazon CLI 或 Amazon API 中使用 Amazon STS 生成的临时凭证。只有在使用长期 IAM 用户凭证时,您才能访问带有否值的服务。这包括用户名和密码或用户访问密钥。有关更多信息,请参阅 IAM 临时安全凭证。
-
服务相关角色 – 服务相关角色是一种特殊类型的服务角色,可授予服务代表您访问其他服务中的资源的权限。选择
Yes
链接可查看文档,了解支持这些角色的服务。此列不指示服务是否使用标准服务角色。有关更多信息,请参阅 使用服务相关角色。 -
更多信息 – 如果服务不能完全支持某项功能,您可以检查该条目的脚注,查看限制以及相关信息的链接。
计算服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon App Runner | |
|||||
Amazon Batch | |
|||||
Amazon Elastic Compute Cloud (Amazon EC2) | |
|||||
Amazon EC2 Auto Scaling | |
|||||
EC2 Image Builder | |
|||||
Amazon EC2 Instance Connect | |
|
||||
Amazon Elastic Beanstalk | |
|||||
Amazon Elastic Inference | |
|
|
|||
Elastic Load Balancing | |
|||||
Amazon Lambda | |
|||||
Amazon Lightsail |
|
|||||
Amazon Outposts | |
|
|
|||
回收站 | |
|
||||
Amazon Serverless Application Repository | |
|
¹ Amazon EC2 仅针对以下功能支持服务相关角色:Spot 实例请求和 Spot 队列请求。
² Amazon Lambda 不具有服务相关角色,但 Lambda@Edge 具有。有关更多信息,请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色。
³ Amazon Lightsail 部分支持基于标签的资源级权限和授权。有关更多信息,请参阅支持 Amazon Lightsail 中的基于标签的资源级权限和授权
容器服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon App Runner | |
|||||
Amazon Elastic Container Registry (Amazon ECR) | ||||||
Amazon Elastic Container Registry 公有(Amazon ECR 公有) | |
|
||||
Amazon Elastic Container Service (Amazon ECS) | |
|||||
Amazon Elastic Kubernetes Service (Amazon EKS) | |
¹ 仅某些 Amazon ECS 操作支持资源级权限。
存储服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Backup | ||||||
Amazon Backup 网关 | |
|
||||
Amazon Backup 存储 | |
|
|
|||
Amazon Elastic Block Store (Amazon EBS) | |
|
||||
Amazon 弹性灾难恢复 | |
|
||||
Amazon Elastic File System (Amazon EFS) | ||||||
Amazon FSx | |
|||||
Amazon S3 Glacier | |
|||||
Amazon Import/Export | |
|
|
|
||
Amazon Simple Storage Service (Amazon S3) | ||||||
上的 Amazon Simple Storage Service (Amazon S3Amazon Outposts) | |
|||||
Amazon Simple Storage Service (Amazon S3) 对象 Lambda | |
|
|
|||
Amazon Snow Device Management | |
|
||||
Amazon Snowball | |
|
|
|
||
Amazon Snowball 边缘 | |
|
|
|
||
Amazon Storage Gateway | |
|
¹ Amazon S3 仅为对象资源支持基于标签的授权。
² Amazon S3 支持针对 Amazon S3 Storage Lens 的服务关联角色。
数据库服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon DynamoDB | |
|
||||
Amazon ElastiCache | |
|||||
Amazon Keyspaces(针对 Apache Cassandra) | |
|||||
Amazon MediaImport | |
|
|
|
|
|
Amazon MemoryDB for Redis | |
|||||
Amazon Neptune | |
|
||||
Amazon Performance Insights | |
|
|
|||
Amazon Quantum Ledger Database (Amazon QLDB) | |
|
||||
Amazon Redshift | |
|||||
Amazon Redshift 数据 API | |
|
||||
Amazon Relational Database Service (Amazon RDS) | |
|||||
Amazon RDS Data API | |
|
||||
Amazon SimpleDB。 | |
|
|
|||
Amazon SQL Workbench | |
|
||||
Amazon Timestream | |
|
||||
Database Query Metadata Service | |
|
|
|
开发人员工具服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Cloud9 | ||||||
Amazon Web Services 云 Control API | |
|
|
|
||
Amazon CloudShell | |
|
|
|
||
Amazon CodeArtifact | |
|||||
CodeBuild: | |
|||||
CodeCommit: | |
|
||||
Amazon CodeDeploy | |
|
||||
CodePipeline: | |
|
||||
AWS CodeStar | |
|
||||
AWS CodeStar 连接 | |
|
||||
AWS CodeStar 通知 | |
|||||
Amazon Fault Injection Simulator | |
|||||
Amazon Microservice Extractor for .NET | |
|
|
|
||
Amazon X-Ray | |
|
¹ CodeBuild 支持使用 Amazon RAM 进行跨账户资源共享。
² CodeBuild 支持根据基于项目的操作的标签进行授权。
³ X-Ray 并非对所有操作均支持资源级权限。
⁴ X-Ray 支持针对组和采样规则实现基于标签的访问控制。
安全性、身份与合规性服务
¹ IAM 仅支持一种类型的基于资源的策略(称为角色信任策略),这种策略附加到 IAM 角色。有关更多信息,请参阅 向用户授予切换角色的权限。
² IAM 为大多数 IAM 资源支持基于标签的访问控制。有关更多信息,请参阅 标记 IAM 资源。
³ 只能使用临时凭证调用 IAM 的一部分 API 操作。有关更多信息,请参阅比较您的 API 选项。
⁴ Amazon STS 没有“资源”,但允许以类似的方式限制用户访问。有关更多信息,请参阅根据名称拒绝访问临时安全凭证。
⁵ 仅 Amazon STS 的一部分 API 操作支持使用临时凭证进行调用。有关更多信息,请参阅比较您的 API 选项。
加密和 PKI 服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Certificate Manager Private Certificate Authority (ACM) | |
|||||
Amazon Certificate Manager (ACM) | |
|||||
Amazon CloudHSM | |
|||||
Amazon Key Management Service (Amazon KMS) | ||||||
Amazon Signer | |
|
机器学习服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon BugBust | |
|||||
Amazon CodeGuru Profiler | |
|||||
Amazon CodeGuru Reviewer | |
|||||
Amazon Comprehend | |
|
||||
Amazon Comprehend Medical | |
|
|
|
||
Amazon DeepComposer | |
|
||||
Amazon DeepRacer | |
|||||
Amazon Panorama | |
|||||
Amazon DevOps Guru | |
|
||||
Amazon Forecast | |
|
||||
Amazon Fraud Detector | |
|
||||
Ground Truth 标记 | |
|
|
|
||
Amazon HealthLake | |
|
||||
Amazon Kendra | |
|
||||
Amazon Lex | |
|||||
Amazon Lex V2 | ||||||
Amazon Lookout for Equipment | |
|
||||
Amazon Lookout for Metrics | |
|
||||
Amazon Lookout for Vision | |
|
||||
Amazon Monitron | |
|
||||
Amazon Machine Learning | |
|
||||
Amazon Personalize | |
|
|
|||
Amazon Polly | |
|
|
|||
Amazon Rekognition | |
|
||||
Amazon SageMaker | |
|
||||
Amazon Textract | |
|
|
|
||
Amazon Transcribe | |
|
|
|
||
Amazon Translate | |
|
|
|
管理和治理服务
¹ 无法使用 Amazon Web Services Management Console 创建 Amazon CloudWatch 服务相关角色,这些角色仅支持警报操作功能。
² 对于多账户多区域数据聚合和 Amazon Config 规则,Amazon Config 支持资源级权限。有关支持的资源列表,请参阅 Amazon Config API 指南的多账户多区域数据聚合和 Amazon Config 规则部分。
³ 用户可以通过允许 Amazon Resource Groups 操作的策略代入角色。
⁴ Amazon Service Catalog 仅为 API 操作与输入中的一个资源匹配的操作支持基于标签的访问控制。
⁵ 针对 Trusted Advisor 的 API 访问通过 Amazon Web Services Support API 执行,并受 Amazon Web Services Support IAM 策略的控制。
迁移和传输服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Application Discovery Service | |
|
|
|||
Amazon Application Discovery Arsenal | |
|
|
|
||
Amazon Application Migration Service | |
|||||
Amazon Connector Service | |
|
|
|
||
Amazon Transfer Family | |
|
||||
Amazon Database Migration Service | |
|||||
Amazon DataSync | |
|
||||
Amazon Migration Hub | |
|
||||
Amazon Migration Hub Refactor Spaces | |
|||||
Amazon Migration Hub Strategy Recommendations | |
|
|
|||
Amazon Server Migration Service | |
|
|
¹ 您可以创建和修改附加到您创建的 Amazon KMS 加密密钥的策略,以加密迁移到支持的目标终端节点的数据。支持的目标终端节点包括 Amazon Redshift 和 Amazon S3。有关更多信息,请参阅 Amazon Database Migration Service 用户指南中的创建和使用 Amazon KMS 密钥以加密 Amazon Redshift 目标数据和创建 Amazon KMS 密钥以加密 Amazon S3 目标对象。
移动服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Amplify | |
|
||||
Amazon Amplify 管理员 | |
|
|
|||
Amazon Amplify UI Builder | |
|
||||
Amazon AppSync | |
|
||||
Amazon Device Farm | |
|
||||
Amazon Location | |
|
网络和内容分发服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon API Gateway | ||||||
Amazon API Gateway 管理 | |
|
||||
Amazon API Gateway 管理第 2 版 | |
|
||||
|
||||||
|
|
|||||
|
||||||
|
|
|||||
Amazon Direct Connect | |
|||||
Amazon Global Accelerator | |
|||||
网络管理器 | |
|||||
Amazon Route 53 | |
|
|
|||
Amazon Route 53 Domains | |
|
|
|
|
|
Amazon Route 53 Recovery 集群 | |
|
|
|||
Amazon Route 53 Recovery 控制 | |
|
|
|||
Amazon Route 53 Recovery 就绪性 | |
|
||||
Amazon Route 53 Resolver | |
|||||
Amazon Tiros API(用于 VPC Reachability Analyzer) | |
|
|
|
|
|
Amazon Virtual Private Cloud (Amazon VPC) | |
¹ 在 IAM 用户策略中,您不能将权限限制到特定的 Amazon VPC 终端节点。包含 Action
或 ec2:*VpcEndpoint*
API 操作的任何 ec2:DescribePrefixLists
元素都必须指定“"Resource":
"*"
”。有关更多信息,请参阅 Amazon VPC 用户指南 中的控制终端节点的使用。
² Amazon VPC 支持将单个资源策略附加到 VPC 终端节点来限制可通过该终端节点访问的内容。有关使用基于资源的策略控制特定 Amazon VPC 终端节点访问资源的更多信息,请参阅 Amazon VPC 用户指南 中的使用终端节点策略。
⁴ Amazon CloudFront 不具有服务相关角色,但 Lambda@Edge 具有。有关更多信息,请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色。
媒体服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Elastic Transcoder | |
|
|
|||
Amazon Elemental Appliances and Software | |
|
||||
Amazon Elemental Appliances and Software 激活服务 | |
|
||||
Amazon Elemental MediaConnect | |
|
|
|||
Amazon Elemental MediaConvert | |
|
||||
Amazon Elemental MediaLive | |
|
||||
Amazon Elemental MediaPackage | |
|
||||
Amazon Elemental MediaPackage VOD | |
|
||||
Amazon Elemental MediaStore | |
|
||||
Amazon Elemental MediaTailor | |
|||||
Amazon Elemental Support 案例 | |
|
|
|
||
Amazon Elemental Support 内容 | |
|
|
|
||
Amazon Interactive Video Service | |
|||||
Kinesis Video Streams | |
|
||||
Amazon Nimble Studio | |
|
分析服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Athena | |
|
||||
Amazon CloudSearch | |
|
|
|||
Amazon Data Exchange | |
|
||||
Amazon Data Pipeline | |
|
|
|||
Amazon OpenSearch Service | ||||||
Amazon EMR | |
|||||
Amazon EMR 在 EKS 上(EMR 容器) | |
|||||
Amazon FinSpace | |
|
||||
Amazon Glue | |
|||||
Amazon Glue DataBrew | |
|
||||
Amazon Kinesis Data Analytics | |
|
||||
Amazon Kinesis Data Analytics V2 | |
|
||||
Amazon Kinesis Data Firehose | |
|
||||
Amazon Kinesis Data Streams | |
|
|
|||
Amazon Lake Formation | |
|
|
|||
Amazon Managed Streaming for Apache Kafka (MSK) | |
|
||||
Amazon Managed Streaming for Kafka Connect | |
|
||||
适用于 Amazon MSK 集群的 Apache Kafka API | |
|
||||
Amazon Managed Workflows for Apache Airflow | |
|
||||
Amazon QuickSight | |
|
应用程序集成服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon AppFlow | |
|
||||
Amazon EventBridge | |
|||||
Amazon EventBridge Schemas | |
|||||
Amazon MQ | |
|||||
Amazon Simple Notification Service (Amazon SNS) | |
|
||||
Amazon Simple Queue Service (Amazon SQS) | |
|
||||
Amazon Step Functions | |
|
||||
Amazon Simple Workflow Service (Amazon SWF) | |
|
业务应用程序服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Alexa for Business | |
|
||||
Amazon Chime | |
|||||
Amazon Honeycode | |
|
|
|||
Amazon WorkMail | |
|||||
Amazon WorkMail Message Flow | |
|
|
卫星服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Ground Station | |
|
物联网服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon IoT | |
|||||
Amazon IoT 1-Click | |
|
||||
Amazon IoT Analytics | |
|
||||
Amazon IoT Core Device Advisor | |
|
||||
Amazon IoT Core适用于 LoRaWAN 的 | |
|
||||
Amazon IoT Device Tester | |
|
|
|
||
Amazon IoT Events | |
|
||||
Fleet Hub for Amazon IoT Device Management | |
|
||||
Amazon IoT FleetWise | |
|
|
|||
Amazon IoT Greengrass | |
|
||||
Amazon IoT GreengrassV2 | |
|
||||
Amazon IoT RoboRunner | |
|
|
|||
Amazon IoT SiteWise | |
|||||
Amazon IoT Things Graph | |
|
||||
Amazon IoT TwinMaker | |
|
||||
FreeRTOS | |
|
¹ 连接到 Amazon IoT 的设备通过 X.509 证书或 Amazon Cognito 身份进行身份验证。您可以将 Amazon IoT 策略附加到 X.509 证书或 Amazon Cognito 身份以控制设备有权执行哪些操作。有关更多信息,请参阅 Amazon IoT 开发人员指南 中的 Amazon IoT 的安全和身份。
机器人服务
量子计算服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Braket | |
区块链服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Managed Blockchain | |
|
游戏开发服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon GameLift | |
|
AR 和 VR 服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Sumerian | |
|
|
客户支持服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon IQ | |
|
|
|
||
Amazon IQ Permissions | |
|
|
|
|
|
Amazon Web Services Support | |
|
|
客户参与服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon AppIntegrations | |
|
||||
Amazon Connect | |
|||||
Amazon Connect Customer Profiles | |
|
||||
Amazon Connect Voice ID | |
|
||||
Amazon Connect Wisdom | |
|
||||
高容量出站通信 | |
|
||||
Amazon Pinpoint | |
|
||||
Amazon Pinpoint 电子邮件服务 | |
|
||||
Amazon Pinpoint SMS and Voice Service | |
|
|
|
||
Amazon Simple Email Service (Amazon SES) 第 2 版 | |
¹ 您只能在引用与发送电子邮件相关的操作(如 ses:SendEmail
或 ses:SendRawEmail
)的策略语句中使用资源级权限。对于引用任何其他操作的策略语句,Resource 元素只能包含 *
。
² 仅 Amazon SES API 支持临时安全凭证。Amazon SES SMTP 接口不支持从临时安全凭证派生的 SMTP 凭证。
最终用户计算服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon AppStream | |
|
|
|
||
Amazon AppStream 2.0 | |
|
||||
Amazon WAM | |
|
|
|
||
Amazon WorkDocs | |
|
|
|
||
Amazon WorkLink | |
|||||
Amazon WorkSpaces | |
|
||||
Amazon WorkSpaces Application Manager | |
|
|
|
||
Amazon WorkSpaces Web | |
账单和成本管理服务
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Application Cost Profiler 服务 | |
|
|
|
||
Amazon Billing and Cost Management | |
|
|
|
||
Amazon 成本和使用率报告 | |
|
|
|||
Amazon Cost Explorer | |
|
|
|
||
Amazon Savings Plans | |
|
其他资源
服务 - 。 | 操作 | 资源级权限 | 基于资源的策略 | 基于标签的授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Activate |
|
|
|
|
||
Amazon Budget Service | |
|
|
|
||
Amazon Web Services Marketplace | |
|
|
|||
Amazon Web Services Marketplace 目录 | |
|
|
|||
Amazon Web Services Marketplace Commerce Analytics Service | |
|
|
|
|
|
Amazon Marketplace Metering Service | |
|
|
|
||
Amazon Web Services Marketplace Private Marketplace | |
|
|
|