AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 Amazon AWS 入门。

使用 IAM 的 AWS 服务

下面列出的 AWS 服务根据其 AWS 产品类别分组，包含所支持的 IAM 功能的信息：

服务 – 选择一项服务的名称可以查看该服务的 AWS 文档。
操作 – 您可以指定策略中的各项操作。如果服务不支持此功能，则可视化编辑器中将选中所有操作。在 JSON 策略文档中，您必须在 Action 元素中使用 *。有关每项服务中的操作列表，请参阅可在 IAM 策略中使用的 AWS 服务操作和条件上下文键。
资源级权限 – 您可以使用 ARN 在策略中指定各个资源。如果服务不支持此功能，则策略可视化编辑器中将选中所有资源。在 JSON 策略文档中，您必须在 Resource 元素中使用 *。某些操作 (如 List* 操作) 不支持指定 ARN，因为它们被设计为返回多个资源。如果某项服务只针对部分资源支持此功能，将在表格中用黄色单元格标明。有关更多信息，请参阅该服务的文档。
基于资源的策略 – 您可以将基于资源的策略附加到服务中的某项资源。基于资源的策略包含 Principal 元素，用于指定可以访问此资源的 IAM 身份。有关更多信息，请参阅基于身份的策略和基于资源的策略。
根据标签进行授权 – 您可以在策略的条件中使用资源标签。例如，您可以创建一个策略，对标签所有者授予对已标记的 Amazon RDS 资源的完全访问权限。可使用条件键 (例如 rds:db-tag/Owner) 实现此目的。
临时凭证 – 利用联合身份验证、跨账户角色或服务角色登录的用户可以访问此服务。调用 AWS STS API 操作 (如 AssumeRole 或 GetFederationToken) 可以获得临时安全凭证。有关更多信息，请参阅临时安全凭证。
服务相关角色 – 服务相关角色为服务授予访问其他服务中资源的权限，以代表您完成操作。选择 Yes 链接可查看文档，了解支持这些角色的服务。有关更多信息，请参阅使用服务相关角色。
更多信息 – 如果服务不能完全支持某项功能，您可以检查该条目的脚注，查看限制以及相关信息的链接。

计算服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
Application Auto Scaling	是	是	否	否	是	是
Amazon EC2 Auto Scaling	是	是	否	否	是	是
AWS Batch	是	否	否	否	是	否
Amazon Elastic Compute Cloud (Amazon EC2)	是	是	否	是	是	是¹
AWS Elastic Beanstalk	是	是	否	否	是	是
Amazon Elastic Container Registry (Amazon ECR)	是	是	是	否	是	否
Amazon Elastic Container Service (Amazon ECS)	是	是	否	否	是	是
Elastic Load Balancing	是	是	否	否	是	是
AWS Lambda	是	是	是²	否	是	否
Amazon Lightsail	是	否	否	否	是	否

¹ 无法使用 AWS 管理控制台创建 Amazon EC2 服务相关角色，这些角色只能用于以下功能：计划实例、Spot 实例请求、Spot 队列请求

² 唯一可在基于资源的策略中确定的 AWS Lambda API 操作是 lambda:InvokeFunction。有关更多信息，请参阅 AWS Lambda Developer Guide 中的对 AWS Lambda 使用基于资源的策略 (Lambda 函数策略)。

存储和迁移服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
Amazon Elastic Block Store(Amazon EBS)	是	是	否	是	是	否
Amazon Elastic File System (Amazon EFS)	是	是	否	否	是	否
Amazon Glacier	是	是	是	是	是	否
AWS Import/Export	是	否	否	否	是	否
AWS Migration Hub	是	是	否	否	是	否
Amazon Simple Storage Service (Amazon S3)	是	是	是	是	是	否
AWS Snowball	是	否	否	否	是	否
AWS Snowball Edge	是	否	否	否	否	否
AWS Storage Gateway	是	是	否	否	是	否

数据库服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
AWS Database Migration Service	是	是	否	是	是	否
Amazon DynamoDB	是	是	否	否	是	是
Amazon ElastiCache	是	否¹	否	否	是	是
Amazon Redshift	是	是	否	是	是	是
Amazon Relational Database Service (Amazon RDS)	是	是	否	是	是	是
Amazon SimpleDB	是	是	否	否	是	否

¹ 为集群/复制组作种时，用两个 API 指定一个 Amazon S3 ARN 资源。

网络和内容分发服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
Amazon API Gateway	是	是	否	否	是	否
Amazon CloudFront	是¹	否	否	否	是	否
AWS Direct Connect	是	否	否	否	是	否
Amazon Route 53	是	是	否	否	是	否
Amazon Virtual Private Cloud (Amazon VPC)	是	是²	是³	是	是	否

¹ CloudFront 不支持用于创建 CloudFront 密钥对的操作级权限。必须使用 AWS 账户根用户创建 CloudFront 密钥对。有关更多信息，请参阅 Amazon CloudFront 开发人员指南中的为您的可信签署人创建 CloudFront 密钥对。

² 在 IAM 用户策略中，您不能将权限限制到特定的 Amazon VPC 终端节点。包含 ec2:*VpcEndpoint* 或 ec2:DescribePrefixLists API 操作的任何 Action 元素都必须指定“"Resource": "*"”。有关更多信息，请参阅 Amazon VPC 用户指南 中的控制终端节点的使用。

³ Amazon VPC 支持将单个资源策略附加到 VPC 终端节点来限制可通过该终端节点访问的内容。有关使用基于资源的策略控制特定 Amazon VPC 终端节点访问资源的更多信息，请参阅 Amazon VPC 用户指南 中的使用终端节点策略。

开发人员工具和服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
AWS Cloud9	是	是	是	是	是	是
AWS CodeBuild	是	是	否	否	是	否
AWS CodeCommit	是	是	否	否	是	否
AWS CodeDeploy	是	是	否	否	是	否
AWS CodePipeline	是	是	否	否	是	否
AWS CodeStar	是	是¹	否	否	否	否

管理工具和服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
AWS CloudFormation	是	是	否	否	是	否
AWS CloudTrail	是	是	否	否	是	否
Amazon CloudWatch	是	否	否	否	是	是¹
Amazon CloudWatch Events	是	是	否	否	是	否
Amazon CloudWatch Logs	是	是	否	否	是	否
AWS Config	是	否	否	否	是	否
AWS Health	是	否	否	否	是	否
AWS OpsWorks	是	是	是	否	是	否
AWS OpsWorks for Chef Automate	是	是	是	否	是	否
AWS Service Catalog	是	否	否	否	是	否
AWS Trusted Advisor	是²	是	否	否	是²	否

¹ 无法使用 AWS 管理控制台创建 Amazon CloudWatch 服务相关角色，这些角色仅支持警报操作功能。

² 针对 Trusted Advisor 的 API 访问是通过 AWS Support API 完成的，并受 AWS Support IAM 策略控制。

媒体服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
Amazon Elastic Transcoder	是	是	否	否	是	否
AWS Elemental MediaConvert	是	是	否	否	是	否
AWS Elemental MediaStore	是	是	否	否	是	否
AWS Elemental MediaTailor	是	是	是	否	是	否
Kinesis Video Streams	是	是	否	否	是	否

机器学习服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
Amazon Comprehend	是	否	否	否	是	否
Amazon Lex	是	是	否	否	是	是
Amazon Machine Learning	是	是	否	是	是	否
Amazon Polly	是	是	否	否	是	否
Amazon Rekognition	是	是	否	否	否	否
Amazon SageMaker	是	是¹	否	否	是	否
Amazon Transcribe	是	否	否	否	是	否
Amazon Translate	是	否	否	否	是	否

¹ Amazon SageMaker 不检查在调用中引用的外部资源。例如，Amazon SageMaker 不支持将训练作业限制为某些 AWS KMS 密钥或 Amazon S3 存储桶的策略。

分析服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
Amazon CloudSearch	是	是	否	否	是	否
AWS Data Pipeline	是	否	否	是	是	否
Amazon Elasticsearch Service	是	是	是	否	是	是
Amazon EMR	是	否	否	是	是	是
AWS Glue	是	否	否	否	否	否
Amazon Kinesis Data Analytics	是	是	否	否	是	否
Amazon Kinesis Data Firehose	是	是	否	否	是	否
Amazon Kinesis Data Streams	是	是	否	否	是	否
Amazon QuickSight	是	否	否	否	否	否

安全、身份和合规性服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
AWS Artifact	是	是	否	否	是	否
AWS Certificate Manager (ACM)	是	是	否	否	是	否
AWS CloudHSM	是	否	否	否	是	否
AWS CloudHSM Classic	是	否	否	否	否	否
Amazon Cognito	是	是	否	否	是	否
AWS Directory Service	是	否	否	否	是	否
Amazon GuardDuty	是	是	否	否	否	是¹
AWS Identity and Access Management (IAM)	是	是	否	否	是²	否
Amazon Inspector	是	否	否	否	是	是
AWS Key Management Service (AWS KMS)	是	是	是	否	是	否
AWS Organizations	是	是	否	否	是	是
AWS Secrets Manager	是	是	否	是	是	否
AWS Single Sign-On (AWS SSO)	是	否	是	否	是	否
AWS Security Token Service (AWS STS)	是	是³	否	否	是⁴	否
AWS Shield Advanced	是	否	否	否	是	否
AWS WAF	是	是	否	否	是	否

¹ GuardDuty 不支持使用 IAM 控制台创建服务相关角色。

² 只能使用临时凭证调用 IAM 的一部分 API 操作。有关更多信息，请参阅比较您的 API 选项

³ AWS STS 没有“资源”，但允许以与用户类似的方式限制访问。有关更多信息，请参阅根据名称拒绝访问临时安全凭证。

⁴ AWS STS 只有部分 API 支持使用临时凭证进行调用。有关更多信息，请参阅比较您的 API 选项。

移动服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
AWS Device Farm	是	否	否	否	是	否
Amazon Mobile Analytics	是	否	否	否	是	否
AWS Mobile Hub	是	是	否	否	是	否
Amazon Pinpoint	是	是	否	否	是	否

应用程序集成服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
Amazon MQ	是	否	否	否	是	否
Amazon Simple Email Service (Amazon SES)	是	是¹	否	否	是²	否
Amazon Simple Notification Service (Amazon SNS)	是	是	是	否	是	否
Amazon Simple Queue Service (Amazon SQS)	是	是	是	否	是	否
Amazon Simple Workflow Service (Amazon SWF)	是	是	否	是	是	否

¹ Amazon SES 支持在授予权限以委派发件人访问特定 SES 身份的政策中使用资源级别的权限。

² 仅 Amazon SES API 支持临时安全凭证。Amazon SES SMTP 接口不支持从临时安全凭证派生的 SMTP 凭证。

企业生产效率服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
Alexa for Business	是	是	否	是	是	否
Amazon WorkDocs	是	否	否	否	是	否
Amazon WorkMail	是	否	否	否	是	否

桌面和应用程序流式处理服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
Amazon AppStream	是	否	否	否	是	否
Amazon AppStream 2.0	是	否	否	否	是	否
Amazon WorkSpaces	是	是	否	否	是	否
Amazon WAM	是	否	否	否	是	否

物联网服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
AWS Greengrass	是	是	是	否	是	否
AWS IoT	是	是	是¹	否	是	否

¹ 连接到 AWS IoT 的设备通过 X.509 证书进行身份验证。您可以将 AWS IoT 策略附加到 X.509 证书以控制有权执行操作的设备。有关更多信息，请参阅 AWS IoT 开发人员指南 中的创建 AWS IoT 策略。

游戏开发服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
Amazon GameLift	是	否	否	否	是	否

软件服务

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
AWS Marketplace	是	是	否	否	是	否

其他资源

服务	操作	资源级权限	基于资源的策略	根据标签进行授权	临时证书	服务相关角色
AWS Billing and Cost Management	是	否	否	否	是	否
AWS Support	否	否	否	否	是	否

Javascript 在您的浏览器中被禁用或不可用。

要使用 AWS 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。