Amazon使用 IAM 的 服务 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon使用 IAM 的 服务

下面列出的 Amazon 服务根据其 Amazon 产品类别分组,包含所支持的 IAM 功能的信息:

  • 服务 - 您可以选择一项服务的名称,以查看有关该服务的 IAM 授权和访问权限的 Amazon 文档。

  • 操作 – 您可以指定策略中的各项操作。如果服务不支持此功能,则可视化编辑器中将选中所有操作。在 JSON 策略文档中,您必须在 * 元素中使用 Action。有关每个服务中的操作列表,请参阅 Amazon 服务的操作、资源和条件键

  • 资源级权限 – 您可以使用 ARN 在策略中指定各个资源。如果服务不支持此功能,则策略可视化编辑器中将选中所有资源。在 JSON 策略文档中,您必须在 * 元素中使用 Resource。某些操作 (如 List* 操作) 不支持指定 ARN,因为它们被设计为返回多个资源。如果某项服务只针对部分资源支持此功能,将在表格中用黄色单元格标明。有关更多信息,请参阅该服务的文档。

  • 基于资源的策略 – 您可以将基于资源的策略附加到服务中的某项资源。基于资源的策略包含 Principal 元素,用于指定可以访问此资源的 IAM 身份。有关更多信息,请参阅 基于身份的策略和基于资源的策略

  • 根据标签进行授权 – 您可以在策略的条件中使用资源标签来控制对服务中的资源的访问。您可以使用 aws:ResourceTag 全局条件键或服务特定的标签(如 iam:ResourceTag)执行该操作。有关基于标签等属性定义权限的更多信息,请参阅什么是适用于 Amazon 的 ABAC?

  • Temporary credentials(临时凭证)- 您可以使用在通过 SSO 登录时获得的短期凭证、在控制台中切换角色或在 Amazon CLI 或 Amazon API 中使用 Amazon STS 生成的临时凭证。只有在使用长期 IAM 用户凭证时,您才能访问带有值的服务。这包括用户名和密码或用户访问密钥。有关更多信息,请参阅 IAM 临时安全凭证

  • 服务相关角色服务相关角色是一种特殊类型的服务角色,可授予服务代表您访问其他服务中的资源的权限。选择 Yes 链接可查看文档,了解支持这些角色的服务。此列不指示服务是否使用标准服务角色。有关更多信息,请参阅 使用服务相关角色

  • 更多信息 – 如果服务不能完全支持某项功能,您可以检查该条目的脚注,查看限制以及相关信息的链接。

计算服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon App Runner
Amazon Batch 部分
Amazon Elastic Compute Cloud (Amazon EC2) 部分 部分¹
Amazon EC2 Auto Scaling
EC2 Image Builder
Amazon EC2 Instance Connect 部分
Amazon Elastic Beanstalk 部分
Amazon Elastic Inference
Elastic Load Balancing 部分 部分
Amazon Lambda 部分²
Amazon Lightsail 部分³ 部分³
Amazon Outposts
回收站
Amazon Serverless Application Repository

¹ Amazon EC2 仅针对以下功能支持服务相关角色:Spot 实例请求Spot 队列请求

² Amazon Lambda 不具有服务相关角色,但 Lambda@Edge 具有。有关更多信息,请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色

³ Amazon Lightsail 部分支持基于标签的资源级权限和授权。有关更多信息,请参阅支持 Amazon Lightsail 中的基于标签的资源级权限和授权

容器服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon App Runner
Amazon Elastic Container Registry (Amazon ECR)
Amazon Elastic Container Registry 公有(Amazon ECR 公有)
Amazon Elastic Container Service (Amazon ECS) 部分¹
Amazon Elastic Kubernetes Service (Amazon EKS)

¹ 仅某些 Amazon ECS 操作支持资源级权限

存储服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Backup
Amazon Backup 网关
Amazon Backup 存储
Amazon Elastic Block Store (Amazon EBS) 部分
Amazon 弹性灾难恢复
Amazon Elastic File System (Amazon EFS)
Amazon FSx
Amazon S3 Glacier
Amazon Import/Export
Amazon Simple Storage Service (Amazon S3) 部分¹ 部分²
上的 Amazon Simple Storage Service (Amazon S3Amazon Outposts) 部分¹
Amazon Simple Storage Service (Amazon S3) 对象 Lambda
Amazon Snow Device Management
Amazon Snowball
Amazon Snowball 边缘
Amazon Storage Gateway

¹ Amazon S3 仅为对象资源支持基于标签的授权。

² Amazon S3 支持针对 Amazon S3 Storage Lens 的服务关联角色。

数据库服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon DynamoDB
Amazon ElastiCache
Amazon Keyspaces(针对 Apache Cassandra)
Amazon MediaImport
Amazon MemoryDB for Redis
Amazon Neptune
Amazon Performance Insights
Amazon Quantum Ledger Database (Amazon QLDB)
Amazon Redshift
Amazon Redshift 数据 API
Amazon Relational Database Service (Amazon RDS)
Amazon RDS Data API
Amazon SimpleDB
Amazon SQL Workbench
Amazon Timestream
Database Query Metadata Service

开发人员工具服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Cloud9
Amazon Web Services 云 Control API
Amazon CloudShell
Amazon CodeArtifact
CodeBuild 是¹ 部分²
CodeCommit
Amazon CodeDeploy
CodePipeline 部分
AWS CodeStar 部分
AWS CodeStar 连接
AWS CodeStar 通知
Amazon Fault Injection Simulator
Amazon Microservice Extractor for .NET
Amazon X-Ray 部分³ 部分⁴

¹ CodeBuild 支持使用 Amazon RAM 进行跨账户资源共享。

² CodeBuild 支持根据基于项目的操作的标签进行授权。

³ X-Ray 并非对所有操作均支持资源级权限。

⁴ X-Ray 支持针对组和采样规则实现基于标签的访问控制。

安全性、身份与合规性服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Artifact
Amazon Audit Manager
Amazon Cloud Directory
Amazon Cognito
Amazon Cognito Sync
Amazon Cognito user pools
Amazon Detective
Amazon Directory Service
Amazon Firewall Manager 部分
Amazon GuardDuty
Amazon Identity and Access Management (IAM) 部分¹ 部分² 部分³
Amazon Identity and Access Management 访问分析器 部分
Amazon Inspector Classic
Amazon Inspector
Amazon Macie
Amazon Macie Classic
Amazon Network Firewall
Amazon Resource Access Manager (Amazon RAM)
Amazon Secrets Manager
Amazon Security Hub
Amazon Web Services Single Sign On (Amazon Web Services SSO)
Amazon Web Services SSO 目录
Amazon Web Services SSO Identity Store
Amazon Security Token Service (Amazon STS) 部分⁴ 部分⁵
Amazon Shield
Amazon WAF
Amazon WAF Classic
Amazon WAF 区域性

¹ IAM 仅支持一种类型的基于资源的策略(称为角色信任策略),这种策略附加到 IAM 角色。有关更多信息,请参阅 向用户授予切换角色的权限

² IAM 为大多数 IAM 资源支持基于标签的访问控制。有关更多信息,请参阅 标记 IAM 资源

³ 只能使用临时凭证调用 IAM 的一部分 API 操作。有关更多信息,请参阅比较您的 API 选项

⁴ Amazon STS 没有“资源”,但允许以类似的方式限制用户访问。有关更多信息,请参阅根据名称拒绝访问临时安全凭证

⁵ 仅 Amazon STS 的一部分 API 操作支持使用临时凭证进行调用。有关更多信息,请参阅比较您的 API 选项

加密和 PKI 服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Certificate Manager Private Certificate Authority (ACM)
Amazon Certificate Manager (ACM)
Amazon CloudHSM
Amazon Key Management Service (Amazon KMS)
Amazon Signer

机器学习服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon BugBust
Amazon CodeGuru Profiler
Amazon CodeGuru Reviewer
Amazon Comprehend
Amazon Comprehend Medical
Amazon DeepComposer
Amazon DeepRacer
Amazon Panorama
Amazon DevOps Guru
Amazon Forecast
Amazon Fraud Detector
Ground Truth 标记
Amazon HealthLake
Amazon Kendra
Amazon Lex
Amazon Lex V2
Amazon Lookout for Equipment
Amazon Lookout for Metrics
Amazon Lookout for Vision
Amazon Monitron
Amazon Machine Learning
Amazon Personalize
Amazon Polly
Amazon Rekognition
Amazon SageMaker
Amazon Textract
Amazon Transcribe
Amazon Translate

管理和治理服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Account Management
Application Auto Scaling
Amazon AppConfig
Amazon Auto Scaling
Amazon Chatbot
Amazon CloudFormation
Amazon CloudTrail
Amazon CloudWatch 部分¹
Amazon CloudWatch Application Insights
Amazon CloudWatch Evidently
Amazon CloudWatch Events
Amazon CloudWatch Logs
Amazon CloudWatch RUM
Amazon CloudWatch Synthetics 部分
Amazon Compute Optimizer
Amazon Config 部分²
Amazon Control Tower
Amazon Data Lifecycle Manager
Amazon Health
Amazon License Manager
Amazon Managed Grafana
Amazon Managed Service for Prometheus
Amazon OpsWorks
Amazon OpsWorks 配置管理
Amazon Organizations
Amazon Proton
Amazon Resilience Hub
Amazon Resource Groups 部分³
Amazon Resource Groups Tagging API
Amazon Service Catalog 部分⁴
Amazon Session Manager Message Gateway Service
Amazon Systems Manager
Amazon Systems Manager GUI Connect
Amazon Systems Manager Incident Manager
Amazon Systems Manager Incident Manager 联系人
Amazon 标签编辑器
Amazon Trusted Advisor 部分⁵ 部分
Amazon Well-Architected Tool
Service Quotas

¹ 无法使用 Amazon Web Services Management Console 创建 Amazon CloudWatch 服务相关角色,这些角色仅支持警报操作功能。

² 对于多账户多区域数据聚合和 Amazon Config 规则,Amazon Config 支持资源级权限。有关支持的资源列表,请参阅 Amazon Config API 指南多账户多区域数据聚合Amazon Config 规则部分。

³ 用户可以通过允许 Amazon Resource Groups 操作的策略代入角色。

⁴ Amazon Service Catalog 仅为 API 操作与输入中的一个资源匹配的操作支持基于标签的访问控制。

⁵ 针对 Trusted Advisor 的 API 访问通过 Amazon Web Services Support API 执行,并受 Amazon Web Services Support IAM 策略的控制。

迁移和传输服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Application Discovery Service
Amazon Application Discovery Arsenal
Amazon Application Migration Service
Amazon Connector Service
Amazon Transfer Family
Amazon Database Migration Service 否¹
Amazon DataSync
Amazon Migration Hub
Amazon Migration Hub Refactor Spaces
Amazon Migration Hub Strategy Recommendations
Amazon Server Migration Service

¹ 您可以创建和修改附加到您创建的 Amazon KMS 加密密钥的策略,以加密迁移到支持的目标终端节点的数据。支持的目标终端节点包括 Amazon Redshift 和 Amazon S3。有关更多信息,请参阅 Amazon Database Migration Service 用户指南中的创建和使用 Amazon KMS 密钥以加密 Amazon Redshift 目标数据创建 Amazon KMS 密钥以加密 Amazon S3 目标对象

移动服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Amplify
Amazon Amplify 管理员
Amazon Amplify UI Builder
Amazon AppSync
Amazon Device Farm
Amazon Location

网络和内容分发服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon API Gateway
Amazon API Gateway 管理
Amazon API Gateway 管理第 2 版

Amazon App Mesh

Amazon App Mesh 预览

Amazon CloudFront

部分³

Amazon Cloud Map

Amazon Direct Connect
Amazon Global Accelerator
网络管理器
Amazon Route 53
Amazon Route 53 Domains
Amazon Route 53 Recovery 集群
Amazon Route 53 Recovery 控制
Amazon Route 53 Recovery 就绪性
Amazon Route 53 Resolver
Amazon Tiros API(用于 VPC Reachability Analyzer)
Amazon Virtual Private Cloud (Amazon VPC) 部分¹ 部分²

¹ 在 IAM 用户策略中,您不能将权限限制到特定的 Amazon VPC 终端节点。包含 Actionec2:*VpcEndpoint* API 操作的任何 ec2:DescribePrefixLists 元素都必须指定“"Resource": "*"”。有关更多信息,请参阅 Amazon VPC 用户指南 中的控制终端节点的使用

² Amazon VPC 支持将单个资源策略附加到 VPC 终端节点来限制可通过该终端节点访问的内容。有关使用基于资源的策略控制特定 Amazon VPC 终端节点访问资源的更多信息,请参阅 Amazon VPC 用户指南 中的使用终端节点策略

⁴ Amazon CloudFront 不具有服务相关角色,但 Lambda@Edge 具有。有关更多信息,请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色

媒体服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Elastic Transcoder
Amazon Elemental Appliances and Software
Amazon Elemental Appliances and Software 激活服务
Amazon Elemental MediaConnect
Amazon Elemental MediaConvert
Amazon Elemental MediaLive
Amazon Elemental MediaPackage
Amazon Elemental MediaPackage VOD
Amazon Elemental MediaStore
Amazon Elemental MediaTailor
Amazon Elemental Support 案例
Amazon Elemental Support 内容
Amazon Interactive Video Service
Kinesis Video Streams
Amazon Nimble Studio

分析服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Athena
Amazon CloudSearch
Amazon Data Exchange
Amazon Data Pipeline
Amazon OpenSearch Service
Amazon EMR
Amazon EMR 在 EKS 上(EMR 容器)
Amazon FinSpace
Amazon Glue 部分
Amazon Glue DataBrew
Amazon Kinesis Data Analytics
Amazon Kinesis Data Analytics V2
Amazon Kinesis Data Firehose
Amazon Kinesis Data Streams
Amazon Lake Formation
Amazon Managed Streaming for Apache Kafka (MSK)
Amazon Managed Streaming for Kafka Connect
适用于 Amazon MSK 集群的 Apache Kafka API
Amazon Managed Workflows for Apache Airflow
Amazon QuickSight

应用程序集成服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon AppFlow
Amazon EventBridge
Amazon EventBridge Schemas
Amazon MQ
Amazon Simple Notification Service (Amazon SNS)
Amazon Simple Queue Service (Amazon SQS)
Amazon Step Functions
Amazon Simple Workflow Service (Amazon SWF)

业务应用程序服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Alexa for Business
Amazon Chime
Amazon Honeycode
Amazon WorkMail
Amazon WorkMail Message Flow

卫星服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Ground Station

物联网服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon IoT 部分¹
Amazon IoT 1-Click
Amazon IoT Analytics
Amazon IoT Core Device Advisor
Amazon IoT Core适用于 LoRaWAN 的
Amazon IoT Device Tester
Amazon IoT Events
Fleet Hub for Amazon IoT Device Management
Amazon IoT FleetWise
Amazon IoT Greengrass
Amazon IoT GreengrassV2
Amazon IoT RoboRunner
Amazon IoT SiteWise
Amazon IoT Things Graph
Amazon IoT TwinMaker
FreeRTOS

¹ 连接到 Amazon IoT 的设备通过 X.509 证书或 Amazon Cognito 身份进行身份验证。您可以将 Amazon IoT 策略附加到 X.509 证书或 Amazon Cognito 身份以控制设备有权执行哪些操作。有关更多信息,请参阅 Amazon IoT 开发人员指南 中的 Amazon IoT 的安全和身份

机器人服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
RoboMaker

量子计算服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Braket

区块链服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Managed Blockchain

游戏开发服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon GameLift

AR 和 VR 服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Sumerian

客户支持服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon IQ
Amazon IQ Permissions
Amazon Web Services Support

客户参与服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon AppIntegrations
Amazon Connect
Amazon Connect Customer Profiles
Amazon Connect Voice ID
Amazon Connect Wisdom
高容量出站通信
Amazon Pinpoint
Amazon Pinpoint 电子邮件服务
Amazon Pinpoint SMS and Voice Service
Amazon Simple Email Service (Amazon SES) 第 2 版 部分¹ 部分²

¹ 您只能在引用与发送电子邮件相关的操作(如 ses:SendEmailses:SendRawEmail)的策略语句中使用资源级权限。对于引用任何其他操作的策略语句,Resource 元素只能包含 *

² 仅 Amazon SES API 支持临时安全凭证。Amazon SES SMTP 接口不支持从临时安全凭证派生的 SMTP 凭证。

最终用户计算服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon AppStream
Amazon AppStream 2.0
Amazon WAM
Amazon WorkDocs
Amazon WorkLink
Amazon WorkSpaces
Amazon WorkSpaces Application Manager
Amazon WorkSpaces Web

账单和成本管理服务

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Application Cost Profiler 服务
Amazon Billing and Cost Management
Amazon 成本和使用率报告
Amazon Cost Explorer
Amazon Savings Plans

其他资源

服务 - 。 操作 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Activate
Amazon Budget Service
Amazon Web Services Marketplace
Amazon Web Services Marketplace 目录
Amazon Web Services Marketplace Commerce Analytics Service
Amazon Marketplace Metering Service
Amazon Web Services Marketplace Private Marketplace