使用 IAM 的 AWS 服务
下面列出的 AWS 服务根据其 AWS 产品类别分组,包含所支持的 IAM 功能的信息:
-
服务 – 您可以选择一项服务的名称,以查看有关该服务的 IAM 授权和访问权限的 AWS 文档。
-
操作 – 您可以指定策略中的各项操作。如果服务不支持此功能,则可视化编辑器中将选中所有操作。在 JSON 策略文档中,您必须在
*元素中使用Action。有关每项服务中的操作列表,请参阅。 -
资源级权限 – 您可以使用 ARN 在策略中指定各个资源。如果服务不支持此功能,则策略可视化编辑器中将选中所有资源。在 JSON 策略文档中,您必须在
*元素中使用Resource。某些操作 (如List*操作) 不支持指定 ARN,因为它们被设计为返回多个资源。如果某项服务只针对部分资源支持此功能,将在表格中用黄色单元格标明。有关更多信息,请参阅该服务的文档。 -
基于资源的策略 – 您可以将基于资源的策略附加到服务中的某项资源。基于资源的策略包含
Principal元素,用于指定可以访问此资源的 IAM 身份。有关更多信息,请参阅基于身份的策略和基于资源的策略。 -
根据标签进行授权 – 您可以在策略的条件中使用资源标签。例如,您可以创建一个策略,对标签所有者授予对已标记的 Amazon RDS 资源的完全访问权限。可使用条件键 (例如
rds:db-tag/Owner) 实现此目的。 -
临时凭证 – 利用联合身份验证、跨账户角色或服务角色登录的用户可以访问此服务。调用 AWS STS API 操作(如 AssumeRole 或 GetFederationToken)可以获得临时安全凭证。有关更多信息,请参阅临时安全凭证。
-
服务相关角色 – 服务相关角色为服务授予访问其他服务中资源的权限,以代表您完成操作。选择
Yes链接可查看文档,了解支持这些角色的服务。有关更多信息,请参阅使用服务相关角色。 -
更多信息 – 如果服务不能完全支持某项功能,您可以检查该条目的脚注,查看限制以及相关信息的链接。
计算服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Application Auto Scaling | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 是 |
| AWS Auto Scaling | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 是 |
| AWS Batch | 支持 | 是 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon Elastic Compute Cloud (Amazon EC2) | 支持 | 支持 | 不支持 | 支持 | 支持 | 支持¹ |
| Amazon EC2 Auto Scaling | 支持 | 支持 | 不支持 | 不支持 | 支持 | 是 |
| AWS Elastic Beanstalk | 支持 | 支持 | 不支持 | 是 | 支持 | 是 |
| Amazon Elastic Container Registry (Amazon ECR) | 支持 | 支持 | 支持 | 不支持 | 支持 | 不支持 |
| Amazon Elastic Container Service (Amazon ECS) | 支持 | 支持 | 不支持 | 不支持 | 支持 | 是 |
| Amazon Elastic Container Service for Kubernetes (Amazon EKS) | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon Elastic Inference | 支持 | 支持 | 支持 | 不支持 | 不支持 | 不支持 |
| Elastic Load Balancing | 支持 | 支持 | 不支持 | 不支持 | 支持 | 是 |
| AWS Lambda | 支持 | 支持 | 是 | 不支持 | 支持 | 是 |
| Amazon Lightsail | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
¹ 无法使用 AWS 管理控制台创建 Amazon EC2 服务相关角色,这些角色只能用于以下功能:计划实例、Spot 实例请求、Spot 队列请求
存储服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| AWS Backup | 是 | 是 | 是 | 否 | 是 | 否 |
| Amazon Elastic Block Store (Amazon EBS) | 是 | 是 | 否 | 是 | 是 | 否 |
| Amazon Elastic File System (Amazon EFS) | 是 | 是 | 否 | 否 | 是 | 否 |
| Amazon S3 Glacier | 是 | 是 | 是 | 是 | 是 | 否 |
| AWS Import/Export | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Migration Hub | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon Simple Storage Service (Amazon S3) | 支持 | 支持 | 支持 | 是 | 支持 | 不支持 |
| AWS Snowball | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Snowball 边缘 | 支持 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 |
| AWS Storage Gateway | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
数据库服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Amazon DynamoDB | 支持 | 支持 | 不支持 | 不支持 | 支持 | 是 |
| Amazon ElastiCache | 支持 | 不支持¹ | 不支持 | 不支持 | 支持 | 是 |
| Amazon Redshift | 支持 | 支持 | 不支持 | 支持 | 支持 | 是 |
| Amazon Relational Database Service (Amazon RDS) | 支持 | 支持 | 不支持 | 支持 | 支持 | 是 |
| Amazon SimpleDB | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
¹ 植入集群/复制组时,使用两个 API 操作指定一个 Amazon S3 ARN 资源。
开发人员工具服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| AWS Cloud9 | 支持 | 支持 | 支持 | 支持 | 支持 | 是 |
| CodeBuild | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| CodeCommit | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS CodeDeploy | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| CodePipeline | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS CodeStar | 支持 | 支持¹ | 不支持 | 不支持 | 支持 | 不支持 |
| AWS X-Ray | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
安全、身份和合规性服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| AWS Artifact | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Certificate Manager (ACM) | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS CloudHSM | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 支持 |
| AWS CloudHSM Classic | 支持 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 |
| Amazon Cognito | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Directory Service | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon GuardDuty | 支持 | 支持 | 不支持 | 不支持 | 支持 | 是 |
| AWS Identity and Access Management (IAM) | 支持 | 支持 | 支持¹ | 不支持 | 支持² | 不支持 |
| Amazon Inspector | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 是 |
| AWS Key Management Service (AWS KMS) | 支持 | 支持 | 支持 | 不支持 | 支持 | 是 |
| Amazon Macie | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 支持 |
| AWS Organizations | 支持 | 支持 | 不支持 | 不支持 | 支持 | 是 |
| AWS Secrets Manager | 支持 | 支持 | 是 | 支持 | 支持 | 不支持 |
| AWS Security Hub | 支持 | 支持 | 不支持 | 不支持 | 支持 | 是 |
| AWS Single Sign-On (AWS SSO) | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 支持 |
| AWS Security Token Service (AWS STS) | 支持 | 支持³ | 不支持 | 不支持 | 是⁴ | 不支持 |
| AWS Shield Advanced | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS WAF | 支持 | 支持 | 不支持 | 不支持 | 支持 | 是 |
¹ IAM 仅支持一种类型的基于资源的策略(称为角色信任策略),这种策略附加到 IAM 角色。有关更多信息,请参阅 向用户授予切换角色的权限。
² 只能使用临时凭证调用 IAM 的一部分 API 操作。有关更多信息,请参阅比较您的 API 选项
³ AWS STS 没有“资源”,但允许以与用户相似的方式限制访问。有关更多信息,请参阅根据名称拒绝访问临时安全凭证。
⁴ 仅部分用于 AWS STS 的 API 操作支持使用临时凭证进行调用。有关更多信息,请参阅比较您的 API 选项。
机器学习服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Amazon Comprehend | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS DeepRacer | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 是 |
| Amazon Lex | 支持 | 支持 | 不支持 | 不支持 | 支持 | 是 |
| Amazon Machine Learning | 支持 | 支持 | 不支持 | 支持 | 支持 | 不支持 |
| Amazon Polly | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon Rekognition | 支持 | 支持 | 不支持 | 不支持 | 不支持 | 不支持 |
| Amazon SageMaker | 支持 | 支持 | 不支持 | 支持¹ | 支持 | 不支持 |
| Amazon Transcribe | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon Translate | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
¹ Amazon SageMaker 不支持将基于标签的授权用于调用 InvokeEndpoint。
管理和治理服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| AWS CloudFormation | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS CloudTrail | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon CloudWatch | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 支持¹ |
| Amazon CloudWatch Events | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon CloudWatch Logs | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Config | 支持 | 支持² | 不支持 | 不支持 | 支持 | 是 |
| AWS Health | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS OpsWorks | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS OpsWorks for Chef Automate | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Service Catalog | 是 | 否 | 否 | 否 | 是 | 否 |
| AWS Systems Manager | 是 | 是 | 否 | 是 | 是 | 是 |
| AWS Trusted Advisor | 是³ | 是 | 否 | 否 | 是⁴ | 是 |
¹ 无法使用 AWS 管理控制台创建 Amazon CloudWatch 服务相关角色,这些角色仅支持警报操作功能。
² AWS Config 仅支持多账户多区域数据聚合和 AWS Config 规则的资源级别权限。有关受支持的资源列表,请参阅 AWS Config API 指南的多账户多区域数据聚合和 AWS Config 规则部分。
³ 针对 Trusted Advisor 的 API 访问通过 AWS Support API 进行,并受 AWS Support IAM 策略控制。
⁴ Trusted Advisor 支持以下标记条件:适用于键/值对的 ssm:resourceTag 和 ssm:Overwrite。
迁移和传输服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| AWS Application Discovery Service | 支持 | 不支持 | 不支持 | 不支持 | 不支持 | 是 |
| AWS Database Migration Service | 支持 | 支持 | 不支持 | 支持 | 支持 | 不支持 |
| AWS Migration Hub | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
移动服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| AWS Amplify | 支持 | 支持 | 不支持 | 不支持 | 不支持 | 不支持 |
| AWS Device Farm | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon Pinpoint | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
网络和内容分发服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Amazon API Gateway | 支持 | 支持 | 支持 | 不支持 | 支持 | 不支持 |
| 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 | |
| 支持¹ | 不支持 | 不支持 | 不支持 | 支持 | 不支持 | |
| 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 | |
| AWS Direct Connect | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 | |
| Amazon Route 53 | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon Virtual Private Cloud (Amazon VPC) | 支持 | 支持² | 支持³ | 支持 | 支持 | 不支持 |
¹ CloudFront 不支持用于创建 CloudFront 密钥对的操作级权限。必须使用 AWS 账户根用户创建 CloudFront 密钥对。有关更多信息,请参阅 Amazon CloudFront 开发人员指南中的为您的可信签署人创建 CloudFront 密钥对。
² 在 IAM 用户策略中,您不能将权限限制到特定的 Amazon VPC 终端节点。包含 Action 或 ec2:*VpcEndpoint* API 操作的任何 ec2:DescribePrefixLists 元素都必须指定“"Resource":
"*"”。有关更多信息,请参阅 Amazon VPC 用户指南 中的控制终端节点的使用。
³ Amazon VPC 支持将单个资源策略附加到 VPC 终端节点来限制可通过该终端节点访问的内容。有关使用基于资源的策略控制特定 Amazon VPC 终端节点访问资源的更多信息,请参阅 Amazon VPC 用户指南 中的使用终端节点策略。
媒体服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Amazon Elastic Transcoder | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Elemental MediaConnect | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Elemental MediaConvert | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Elemental MediaStore | 支持 | 支持 | 支持 | 不支持 | 支持 | 不支持 |
| AWS Elemental MediaTailor | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Kinesis Video Streams | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
桌面和应用程序流式处理服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Amazon AppStream | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon AppStream 2.0 | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon WorkSpaces | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon WAM | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
分析服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Amazon Athena | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon CloudSearch | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Data Pipeline | 支持 | 不支持 | 不支持 | 支持 | 支持 | 不支持 |
| Amazon Elasticsearch Service | 支持 | 支持 | 支持 | 不支持 | 支持 | 是 |
| Amazon EMR | 支持 | 不支持 | 不支持 | 支持 | 支持 | 是 |
| AWS Glue | 支持 | 支持 | 支持 | 不支持 | 支持 | 不支持 |
| Amazon Kinesis Data Analytics | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon Kinesis Data Firehose | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon Kinesis Data Streams | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon QuickSight | 支持 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 |
应用程序集成服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Amazon MQ | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon Simple Email Service (Amazon SES) | 支持 | 支持¹ | 不支持 | 不支持 | 支持² | 不支持 |
| Amazon Simple Notification Service (Amazon SNS) | 支持 | 支持 | 支持 | 不支持 | 支持 | 不支持 |
| Amazon Simple Queue Service (Amazon SQS) | 支持 | 支持 | 支持 | 不支持 | 支持 | 不支持 |
| Amazon Simple Workflow Service (Amazon SWF) | 支持 | 支持 | 不支持 | 支持 | 支持 | 不支持 |
¹ Amazon SES 支持在授予权限以委派发件人访问特定 SES 身份的政策中使用资源级别的权限。
² 仅 Amazon SES API 支持临时安全凭证。Amazon SES SMTP 接口不支持从临时安全凭证派生的 SMTP 凭证。
业务应用程序服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Alexa for Business | 支持 | 支持 | 不支持 | 支持 | 支持 | 不支持 |
| Amazon WorkDocs | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| Amazon WorkMail | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
物联网服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| AWS IoT Greengrass | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS IoT | 是 | 是 | 支持¹ | 是 | 支持 | 不支持 |
| AWS IoT Things Graph | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
¹ 连接到 AWS IoT 的设备通过 X.509 证书或 Amazon Cognito 身份进行身份验证。您可以将 AWS IoT 策略附加到 X.509 证书或 Amazon Cognito 身份以控制设备有权执行哪些操作。有关更多信息,请参阅 AWS IoT 开发人员指南 中的 AWS IoT 的安全和身份。
机器人服务
游戏开发服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Amazon GameLift | 是 | 否 | 否 | 否 | 是 | 否 |
AR 和 VR 服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Amazon Sumerian | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
客户参与服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Amazon Connect | 支持 | 支持 | 不支持 | 不支持 | 支持 | 是 |
最终用户计算服务
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| Amazon WorkLink | 支持 | 支持 | 支持 | 不支持 | 支持 | 不支持 |
其他资源
| 服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
| AWS Billing and Cost Management | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Marketplace | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 |
| AWS Support | 不支持 | 不支持 | 不支持 | 不支持 | 支持 | 是 |