AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 IAM 的 AWS 服务

下面列出的 AWS 服务根据其 AWS 产品类别分组,包含所支持的 IAM 功能的信息:

  • 服务 – 您可以选择一项服务的名称,以查看有关该服务的 IAM 授权和访问权限的 AWS 文档。

  • 操作 – 您可以指定策略中的各项操作。如果服务不支持此功能,则可视化编辑器中将选中所有操作。在 JSON 策略文档中,您必须在 * 元素中使用 Action。有关每项服务中的操作列表,请参阅

  • 资源级权限 – 您可以使用 ARN 在策略中指定各个资源。如果服务不支持此功能,则策略可视化编辑器中将选中所有资源。在 JSON 策略文档中,您必须在 * 元素中使用 Resource。某些操作 (如 List* 操作) 不支持指定 ARN,因为它们被设计为返回多个资源。如果某项服务只针对部分资源支持此功能,将在表格中用黄色单元格标明。有关更多信息,请参阅该服务的文档。

  • 基于资源的策略 – 您可以将基于资源的策略附加到服务中的某项资源。基于资源的策略包含 Principal 元素,用于指定可以访问此资源的 IAM 身份。有关更多信息,请参阅基于身份的策略和基于资源的策略

  • 根据标签进行授权 – 您可以在策略的条件中使用资源标签。例如,您可以创建一个策略,对标签所有者授予对已标记的 Amazon RDS 资源的完全访问权限。可使用条件键 (例如 rds:db-tag/Owner) 实现此目的。

  • 临时凭证 – 利用联合身份验证、跨账户角色或服务角色登录的用户可以访问此服务。调用 AWS STS API 操作(如 AssumeRoleGetFederationToken)可以获得临时安全凭证。有关更多信息,请参阅临时安全凭证

  • 服务相关角色服务相关角色为服务授予访问其他服务中资源的权限,以代表您完成操作。选择 Yes 链接可查看文档,了解支持这些角色的服务。有关更多信息,请参阅使用服务相关角色

  • 更多信息 – 如果服务不能完全支持某项功能,您可以检查该条目的脚注,查看限制以及相关信息的链接。

计算服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Application Auto Scaling 支持 不支持 不支持 不支持 支持
AWS Auto Scaling 支持 不支持 不支持 不支持 支持
AWS Batch 支持 不支持 不支持 支持 不支持
Amazon Elastic Compute Cloud (Amazon EC2) 支持 支持 不支持 支持 支持 支持¹
Amazon EC2 Auto Scaling 支持 支持 不支持 不支持 支持
AWS Elastic Beanstalk 支持 支持 不支持 支持
Amazon Elastic Container Registry (Amazon ECR) 支持 支持 支持 不支持 支持 不支持
Amazon Elastic Container Service (Amazon ECS) 支持 支持 不支持 不支持 支持
Amazon Elastic Container Service for Kubernetes (Amazon EKS) 支持 不支持 不支持 不支持 支持 不支持
Amazon Elastic Inference 支持 支持 支持 不支持 不支持 不支持
Elastic Load Balancing 支持 支持 不支持 不支持 支持
AWS Lambda 支持 支持 不支持 支持
Amazon Lightsail 支持 不支持 不支持 不支持 支持 不支持

¹ 无法使用 AWS 管理控制台创建 Amazon EC2 服务相关角色,这些角色只能用于以下功能:计划实例Spot 实例请求Spot 队列请求

存储服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
AWS Backup 支持 支持 支持 不支持 支持 不支持
Amazon Elastic Block Store (Amazon EBS) 支持 支持 不支持 支持 支持 不支持
Amazon Elastic File System (Amazon EFS) 支持 支持 不支持 不支持 支持 不支持
Amazon S3 Glacier 支持 支持 支持 支持 支持 不支持
AWS Import/Export 支持 不支持 不支持 不支持 支持 不支持
AWS Migration Hub 支持 支持 不支持 不支持 支持 不支持
Amazon Simple Storage Service (Amazon S3) 支持 支持 支持 支持 不支持
AWS Snowball 支持 不支持 不支持 不支持 支持 不支持
AWS Snowball 边缘 支持 不支持 不支持 不支持 不支持 不支持
AWS Storage Gateway 支持 支持 不支持 不支持 支持 不支持

数据库服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Amazon DynamoDB 支持 支持 不支持 不支持 支持
Amazon ElastiCache 支持 不支持¹ 不支持 不支持 支持
Amazon Redshift 支持 支持 不支持 支持 支持
Amazon Relational Database Service (Amazon RDS) 支持 支持 不支持 支持 支持
Amazon SimpleDB 支持 支持 不支持 不支持 支持 不支持

¹ 植入集群/复制组时,使用两个 API 操作指定一个 Amazon S3 ARN 资源。

开发人员工具服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
AWS Cloud9 支持 支持 支持 支持 支持
CodeBuild 支持 支持 不支持 不支持 支持 不支持
CodeCommit 支持 支持 不支持 不支持 支持 不支持
AWS CodeDeploy 支持 支持 不支持 不支持 支持 不支持
CodePipeline 支持 支持 不支持 不支持 支持 不支持
AWS CodeStar 支持 支持¹ 不支持 不支持 支持 不支持
AWS X-Ray 支持 不支持 不支持 不支持 支持 不支持

安全、身份和合规性服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
AWS Artifact 支持 支持 不支持 不支持 支持 不支持
AWS Certificate Manager (ACM) 支持 支持 不支持 不支持 支持 不支持
AWS CloudHSM 支持 不支持 不支持 不支持 支持 支持
AWS CloudHSM Classic 支持 不支持 不支持 不支持 不支持 不支持
Amazon Cognito 支持 支持 不支持 不支持 支持 不支持
AWS Directory Service 支持 不支持 不支持 不支持 支持 不支持
Amazon GuardDuty 支持 支持 不支持 不支持 支持
AWS Identity and Access Management (IAM) 支持 支持 支持¹ 不支持 支持² 不支持
Amazon Inspector 支持 不支持 不支持 不支持 支持
AWS Key Management Service (AWS KMS) 支持 支持 支持 不支持 支持
Amazon Macie 支持 不支持 不支持 不支持 支持 支持
AWS Organizations 支持 支持 不支持 不支持 支持
AWS Secrets Manager 支持 支持 支持 支持 不支持
AWS Security Hub 支持 支持 不支持 不支持 支持
AWS Single Sign-On (AWS SSO) 支持 不支持 不支持 不支持 支持 支持
AWS Security Token Service (AWS STS) 支持 支持³ 不支持 是⁴ 不支持
AWS Shield Advanced 支持 不支持 不支持 不支持 支持 不支持
AWS WAF 支持 支持 不支持 不支持 支持

¹ IAM 仅支持一种类型的基于资源的策略(称为角色信任策略),这种策略附加到 IAM 角色。有关更多信息,请参阅 向用户授予切换角色的权限

² 只能使用临时凭证调用 IAM 的一部分 API 操作。有关更多信息,请参阅比较您的 API 选项

³ AWS STS 没有“资源”,但允许以与用户相似的方式限制访问。有关更多信息,请参阅根据名称拒绝访问临时安全凭证

⁴ 仅部分用于 AWS STS 的 API 操作支持使用临时凭证进行调用。有关更多信息,请参阅比较您的 API 选项

机器学习服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Amazon Comprehend 支持 不支持 不支持 不支持 支持 不支持
AWS DeepRacer 支持 不支持 不支持 不支持 支持
Amazon Lex 支持 支持 不支持 不支持 支持
Amazon Machine Learning 支持 支持 不支持 支持 支持 不支持
Amazon Polly 支持 支持 不支持 不支持 支持 不支持
Amazon Rekognition 支持 支持 不支持 不支持 不支持 不支持
Amazon SageMaker 支持 支持 不支持 支持¹ 不支持
Amazon Transcribe 支持 不支持 不支持 不支持 支持 不支持
Amazon Translate 支持 不支持 不支持 不支持 支持 不支持

¹ Amazon SageMaker 不支持将基于标签的授权用于调用 InvokeEndpoint

管理和治理服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
AWS CloudFormation 支持 支持 不支持 不支持 支持 不支持
AWS CloudTrail 支持 支持 不支持 不支持 支持 不支持
Amazon CloudWatch 支持 不支持 不支持 不支持 支持 支持¹
Amazon CloudWatch Events 支持 支持 不支持 不支持 支持 不支持
Amazon CloudWatch Logs 支持 支持 不支持 不支持 支持 不支持
AWS Config 支持 支持² 不支持 不支持 支持
AWS Health 支持 不支持 不支持 不支持 支持 不支持
AWS OpsWorks 支持 支持 不支持 不支持 支持 不支持
AWS OpsWorks for Chef Automate 支持 支持 不支持 不支持 支持 不支持
AWS Service Catalog 不支持 不支持 不支持 支持 不支持
AWS Systems Manager 支持 支持 不支持 支持 支持
AWS Trusted Advisor 是³ 不支持 是⁴

¹ 无法使用 AWS 管理控制台创建 Amazon CloudWatch 服务相关角色,这些角色仅支持警报操作功能。

² AWS Config 仅支持多账户多区域数据聚合和 AWS Config 规则的资源级别权限。有关受支持的资源列表,请参阅 AWS Config API 指南多账户多区域数据聚合AWS Config 规则部分。

³ 针对 Trusted Advisor 的 API 访问通过 AWS Support API 进行,并受 AWS Support IAM 策略控制。

⁴ Trusted Advisor 支持以下标记条件:适用于键/值对的 ssm:resourceTagssm:Overwrite

迁移和传输服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
AWS Application Discovery Service 支持 不支持 不支持 不支持 不支持
AWS Database Migration Service 支持 支持 不支持 支持 支持 不支持
AWS Migration Hub 支持 支持 不支持 不支持 支持 不支持

移动服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
AWS Amplify 支持 支持 不支持 不支持 不支持 不支持
AWS Device Farm 支持 不支持 不支持 不支持 支持 不支持
Amazon Pinpoint 支持 支持 不支持 不支持 支持 不支持

网络和内容分发服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Amazon API Gateway 支持 支持 支持 不支持 支持 不支持

AWS App Mesh

支持 不支持 不支持 不支持 支持 不支持

Amazon CloudFront

支持¹ 不支持 不支持 不支持 支持 不支持

AWS Cloud Map

支持 不支持 不支持 不支持 支持 不支持
AWS Direct Connect 支持 不支持 不支持 不支持 支持 不支持

AWS Global Accelerator

支持 支持 不支持 不支持 支持 不支持
Amazon Route 53 支持 支持 不支持 不支持 支持 不支持
Amazon Virtual Private Cloud (Amazon VPC) 支持 支持² 支持³ 支持 支持 不支持

¹ CloudFront 不支持用于创建 CloudFront 密钥对的操作级权限。必须使用 AWS 账户根用户创建 CloudFront 密钥对。有关更多信息,请参阅 Amazon CloudFront 开发人员指南中的为您的可信签署人创建 CloudFront 密钥对

² 在 IAM 用户策略中,您不能将权限限制到特定的 Amazon VPC 终端节点。包含 Actionec2:*VpcEndpoint* API 操作的任何 ec2:DescribePrefixLists 元素都必须指定“"Resource": "*"”。有关更多信息,请参阅 Amazon VPC 用户指南 中的控制终端节点的使用

³ Amazon VPC 支持将单个资源策略附加到 VPC 终端节点来限制可通过该终端节点访问的内容。有关使用基于资源的策略控制特定 Amazon VPC 终端节点访问资源的更多信息,请参阅 Amazon VPC 用户指南 中的使用终端节点策略

媒体服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Amazon Elastic Transcoder 支持 支持 不支持 不支持 支持 不支持
AWS Elemental MediaConnect 支持 支持 不支持 不支持 支持 不支持
AWS Elemental MediaConvert 支持 支持 不支持 不支持 支持 不支持
AWS Elemental MediaStore 支持 支持 支持 不支持 支持 不支持
AWS Elemental MediaTailor 支持 支持 不支持 不支持 支持 不支持
Kinesis Video Streams 支持 支持 不支持 不支持 支持 不支持

桌面和应用程序流式处理服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Amazon AppStream 支持 不支持 不支持 不支持 支持 不支持
Amazon AppStream 2.0 支持 不支持 不支持 不支持 支持 不支持
Amazon WorkSpaces 支持 支持 不支持 不支持 支持 不支持
Amazon WAM 支持 不支持 不支持 不支持 支持 不支持

分析服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Amazon Athena 支持 不支持 不支持 不支持 支持 不支持
Amazon CloudSearch 支持 支持 不支持 不支持 支持 不支持
AWS Data Pipeline 支持 不支持 不支持 支持 支持 不支持
Amazon Elasticsearch Service 支持 支持 支持 不支持 支持
Amazon EMR 支持 不支持 不支持 支持 支持
AWS Glue 支持 支持 支持 不支持 支持 不支持
Amazon Kinesis Data Analytics 支持 支持 不支持 不支持 支持 不支持
Amazon Kinesis Data Firehose 支持 支持 不支持 不支持 支持 不支持
Amazon Kinesis Data Streams 支持 支持 不支持 不支持 支持 不支持
Amazon QuickSight 支持 不支持 不支持 不支持 不支持 不支持

应用程序集成服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Amazon MQ 支持 不支持 不支持 不支持 支持 不支持
Amazon Simple Email Service (Amazon SES) 支持 支持¹ 不支持 不支持 支持² 不支持
Amazon Simple Notification Service (Amazon SNS) 支持 支持 支持 不支持 支持 不支持
Amazon Simple Queue Service (Amazon SQS) 支持 支持 支持 不支持 支持 不支持
Amazon Simple Workflow Service (Amazon SWF) 支持 支持 不支持 支持 支持 不支持

¹ Amazon SES 支持在授予权限以委派发件人访问特定 SES 身份的政策中使用资源级别的权限。

² 仅 Amazon SES API 支持临时安全凭证。Amazon SES SMTP 接口不支持从临时安全凭证派生的 SMTP 凭证。

业务应用程序服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Alexa for Business 支持 支持 不支持 支持 支持 不支持
Amazon WorkDocs 支持 不支持 不支持 不支持 支持 不支持
Amazon WorkMail 支持 不支持 不支持 不支持 支持 不支持

物联网服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
AWS IoT Greengrass 支持 支持 不支持 不支持 支持 不支持
AWS IoT 支持¹ 支持 不支持
AWS IoT Things Graph 支持 不支持 不支持 不支持 支持 不支持

¹ 连接到 AWS IoT 的设备通过 X.509 证书或 Amazon Cognito 身份进行身份验证。您可以将 AWS IoT 策略附加到 X.509 证书或 Amazon Cognito 身份以控制设备有权执行哪些操作。有关更多信息,请参阅 AWS IoT 开发人员指南 中的 AWS IoT 的安全和身份

机器人服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
RoboMaker 支持 支持 不支持 不支持 不支持

游戏开发服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Amazon GameLift 支持 不支持 不支持 不支持 支持

AR 和 VR 服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Amazon Sumerian 支持 支持 不支持 不支持 支持 不支持

客户参与服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Amazon Connect 支持 支持 不支持 不支持 支持

最终用户计算服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
Amazon WorkLink 支持 支持 支持 不支持 支持 不支持

其他资源

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时凭证 服务相关角色
AWS Billing and Cost Management 支持 不支持 不支持 不支持 支持 不支持
AWS Marketplace 支持 支持 不支持 不支持 支持 不支持
AWS Support 不支持 不支持 不支持 不支持 支持