AWS 与 IAM - AWS Identity and Access Management
计算存储数据库开发人员工具安全性、身份和合规性机器学习管理工具迁移和转移移动网络和内容交付媒体分析应用程序集成业务应用程序卫星物联网机器人量子计算区块链游戏开发AR 和 VR客户支持客户参与度最终用户计算其他资源
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

AWS 与 IAM

下面列出的 AWS 服务根据其 AWS 产品类别分组,包含所支持的 IAM 功能的信息:

  • 服务 – 您可以选择一项服务的名称,以查看有关该服务的 IAM 授权和访问权限的 AWS 文档。

  • 操作 – 您可以指定策略中的各项操作。如果服务不支持此功能,则 所有操作视觉编辑. 在 JSON 策略文档中,您必须在 * 元素中使用 Action。有关每项服务的操作列表,请参阅 行动、资源和条件要素 AWS 服务.

  • 资源级权限 – 您可以使用 ARN 在策略中指定各个资源。如果服务不支持此功能,则 所有资源政策视觉编辑. 在 JSON 策略文档中,您必须在 * 元素中使用 Resource。某些操作 (如 List* 操作) 不支持指定 ARN,因为它们被设计为返回多个资源。如果某项服务只针对部分资源支持此功能,将在表格中用黄色单元格标明。有关更多信息,请参阅该服务的文档。

  • 基于资源的策略 – 您可以将基于资源的策略附加到服务中的某项资源。基于资源的策略包含 Principal 元素,用于指定可以访问此资源的 IAM 身份。有关更多信息,请参阅 基于身份的政策和基于资源的政策。)

  • 根据标签进行授权 – 您可以在策略的条件中使用资源标签来控制对服务中的资源的访问。您使用 aws:ResourceTag 全局条件密钥或服务特定标记,例如 ec2:ResourceTag。有关根据标记等属性定义权限的详细信息,请参阅 APAC的作用 AWS?.

  • 临时凭证 – 利用联合身份验证、跨账户角色或服务角色登录的用户可以访问此服务。调用 AWS STS API 操作(如 AssumeRoleGetFederationToken)可以获得临时安全凭证。有关更多信息,请参阅 IAM中的临时安全凭证。)

  • 服务相关角色服务相关角色为服务授予访问其他服务中资源的权限,以代表您完成操作。选择 Yes 链接可查看文档,了解支持这些角色的服务。有关更多信息,请参阅 使用服务相关角色。)

  • 更多信息 – 如果服务不能完全支持某项功能,您可以检查该条目的脚注,查看限制以及相关信息的链接。

计算服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
AWS Batch 支持 部分 :不支持 :不支持 支持
Amazon Elastic Compute Cloud (Amazon EC2) 支持 部分 :不支持 部分 支持 部分¹
Amazon EC2 Auto Scaling 支持 支持 :不支持 支持 支持
Amazon EC2 镜像生成器 支持 支持 :不支持 支持 支持 :不支持
AWS Elastic Beanstalk 支持 部分 :不支持 支持
Amazon Elastic Container Registry (Amazon ECR) 支持 支持 支持 支持 支持 :不支持
Amazon Elastic Container Service (Amazon ECS) 支持 部分² :不支持 支持 支持
Amazon Elastic Kubernetes Service (Amazon EKS) 支持 支持 :不支持 支持 支持
Amazon Elastic Inference 支持 支持 支持 :不支持 支持 :不支持
Elastic Load Balancing 支持 部分 :不支持 部分 支持
AWS Lambda 支持 支持 :不支持 支持 部分³
Amazon Lightsail 支持 支持 :不支持 支持 支持 :不支持
AWS 前哨站 支持 支持 :不支持 支持 支持 :不支持
AWS Serverless Application Repository 支持 支持 支持 :不支持 支持 :不支持

¹ Amazon EC2 无法使用 AWS 管理控制台、和只能用于以下功能: 计划实例, 即时实例请求, 即时车队请求.

² 仅某些 Amazon ECS 操作支持资源级权限

³ AWS Lambda 不具有服务相关角色,但 Lambda@Edge 具有。有关更多信息,请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色

存储服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
AWS Backup 支持 支持 支持 :不支持 支持
AWS Backup 存储 支持 支持 :不支持 :不支持 支持 :不支持
Amazon Elastic Block Store (Amazon EBS) 支持 部分 :不支持 支持 支持 :不支持
Amazon Elastic File System (Amazon EFS) 支持 支持 支持 支持 支持
Amazon FSx 支持 支持 支持 支持 支持
Amazon S3 Glacier 支持 支持 支持 支持 支持 :不支持
AWS Import/Export 支持 :不支持 :不支持 :不支持 支持 :不支持
Amazon Simple Storage Service (Amazon S3) 支持 支持 支持 部分¹ 支持 :不支持
AWS Snowball 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS Snowball 边缘 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS Storage Gateway 支持 支持 :不支持 支持 支持 :不支持

¹ Amazon S3 仅为对象资源支持基于标签的授权。

数据库服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon DynamoDB 支持 支持 :不支持 :不支持 支持
Amazon ElastiCache 支持 支持 :不支持 :不支持 支持
AWS 托管ApacheCassandra服务(MCS) 支持 支持 :不支持 支持 支持
Amazon Quantum Ledger Database (Amazon QLDB) 支持 支持 :不支持 支持 支持 :不支持
Amazon Redshift 支持 支持 :不支持 支持 支持
Amazon Redshift 数据API 支持 :不支持 :不支持 :不支持 支持 :不支持
Amazon Relational Database Service (Amazon RDS) 支持 支持 :不支持 支持 支持
Amazon RDS 数据API 支持 :不支持 :不支持 :不支持 支持 :不支持
Amazon SimpleDB 支持 支持 :不支持 :不支持 支持 :不支持

开发者工具服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
AWS Cloud9 支持 支持 支持 支持 支持
AWS 代码伪影 支持 支持 :不支持 :不支持 支持 :不支持
CodeBuild 支持 支持 是¹ 部分² 支持 :不支持
CodeCommit 支持 支持 :不支持 支持 支持 :不支持
AWS CodeDeploy 支持 支持 :不支持 支持 支持 :不支持
CodePipeline 支持 部分 :不支持 支持 支持 :不支持
AWS CodeStar 支持 部分¹ :不支持 支持 支持 :不支持
AWS CodeStar Connections 支持 支持 :不支持 支持 支持 :不支持
AWS CodeStar 通知 支持 支持 :不支持 支持 支持
AWS X-Ray 支持 支持 :不支持 支持 支持 :不支持

¹ 代码构建支持跨客户资源共享,使用 AWS RAM.

² CodeBuild 支持根据基于项目的操作的标签进行授权。

安全、身份和合规服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
AWS Certificate Manager 私有证书颁发机构 (ACM) 支持 支持 :不支持 支持 支持 :不支持
AWS Artifact 支持 支持 :不支持 :不支持 支持 :不支持
AWS Certificate Manager (ACM) 支持 支持 :不支持 支持 支持 :不支持
AWS CloudHSM 支持 支持 :不支持 支持 支持
Amazon Cognito 支持 支持 :不支持 支持 支持
Amazon Detective 支持 支持 :不支持 :不支持 支持 :不支持
AWS Directory Service 支持 支持 :不支持 支持 支持 :不支持
AWS Firewall Manager 支持 支持 :不支持 支持 支持 部分
Amazon GuardDuty 支持 支持 :不支持 支持 支持 部分
AWS Identity and Access Management (IAM) 支持 支持 部分¹ 部分² 部分³ :不支持
IAM 访问分析器 支持 支持 :不支持 支持 支持 部分
Amazon Inspector 支持 :不支持 :不支持 :不支持 支持
AWS Key Management Service (AWS KMS) 支持 支持 支持 :不支持 支持
Amazon Macie 支持 支持 :不支持 支持 支持
Amazon Macie Classic 支持 :不支持 :不支持 :不支持 支持
AWS Resource Access Manager (AWS RAM) 支持 支持 :不支持 支持 支持 :不支持
AWS Secrets Manager 支持 支持 支持 支持 :不支持
AWS Security Hub 支持 支持 :不支持 支持 支持
AWS Single Sign-On (AWS SSO) 支持 支持 :不支持 支持 支持
AWS SSO 目录 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS SSO 身份存储 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS Security Token Service (AWS STS) 支持 部分4 :不支持 支持 部分5 :不支持
AWS Shield Advanced 支持 支持 :不支持 :不支持 支持 :不支持
AWS WAF 支持 支持 :不支持 支持 支持
AWS WAF Classic 支持 支持 :不支持 支持 支持

¹ IAM 仅支持一种类型的基于资源的策略(称为角色信任策略),这种策略附加到 IAM 角色。有关更多信息,请参阅 授予用户切换角色的权限。)

² IAM 仅为用户和角色资源支持基于标签的访问控制。

³ 只能使用临时凭证调用 IAM 的一部分 API 操作。有关更多信息,请参阅比较您的 API 选项

⁴ AWS STS 没有“资源”,但允许以类似的方式限制用户访问。有关更多信息,请参阅根据名称拒绝访问临时安全凭证

⁵ 仅 AWS STS 的一部分 API 操作支持使用临时凭证进行调用。有关更多信息,请参阅比较您的 API 选项

机器学习服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon CodeGuru 支持 :不支持 :不支持 :不支持 支持
Amazon CodeGuru Profiler 支持 支持 :不支持 支持 支持 :不支持
Amazon CodeGuru Reviewer 支持 支持 :不支持 支持 支持
Amazon Comprehend 支持 支持 :不支持 支持 支持 :不支持
AWS 深层比较器 支持 支持 :不支持 支持 支持 :不支持
AWS 深层 支持 :不支持 :不支持 :不支持 支持
Forecast 支持 支持 :不支持 支持 支持 :不支持
Amazon Fraud Detector 支持 支持 :不支持 支持 支持 :不支持
Ground Truth 标记 支持 :不支持 :不支持 :不支持 支持 :不支持
Amazon Kendra 支持 支持 :不支持 支持 支持 :不支持
Amazon Lex 支持 支持 :不支持 支持 支持
Amazon Machine Learning 支持 支持 :不支持 支持 支持 :不支持
Amazon Personalize 支持 支持 :不支持 :不支持 支持 :不支持
Amazon Polly 支持 支持 :不支持 :不支持 支持 :不支持
Amazon Rekognition 支持 支持 :不支持 :不支持 支持 :不支持
Amazon SageMaker 支持 支持 :不支持 支持 支持 :不支持
Amazon Textract 支持 支持 :不支持 :不支持 支持 :不支持
Amazon Transcribe 支持 :不支持 :不支持 :不支持 支持 :不支持
Amazon Translate 支持 :不支持 :不支持 :不支持 支持 :不支持

管理和治理服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Application Auto Scaling 支持 :不支持 :不支持 :不支持 支持
AWS AppConfig 支持 支持 :不支持 支持 支持 :不支持
AWS Auto Scaling 支持 :不支持 :不支持 :不支持 支持
AWS 聊天机器人 支持 支持 :不支持 :不支持 支持
AWS CloudFormation 支持 支持 :不支持 支持 支持 :不支持
AWS CloudTrail 支持 支持 :不支持 :不支持 支持 :不支持
Amazon CloudWatch 支持 支持 :不支持 支持 支持 部分¹
Amazon CloudWatch Events 应用见解 支持 :不支持 :不支持 :不支持 支持 :不支持
Amazon CloudWatch Events 支持 支持 :不支持 支持 支持 :不支持
Amazon CloudWatch Logs 支持 支持 支持 :不支持 支持 :不支持
Amazon CloudWatch 合成物 支持 支持 :不支持 :不支持 支持 :不支持
AWS 计算优化器 支持 :不支持 :不支持 :不支持 支持
AWS Config 支持 部分² :不支持 支持 支持
Amazon 数据生命周期管理器 支持 支持 :不支持 支持 支持 :不支持
AWS Health 支持 支持 :不支持 :不支持 支持 :不支持
AWS OpsWorks 支持 支持 :不支持 支持 支持 :不支持
AWS OpsWorks for Chef Automate 支持 支持 :不支持 支持 支持 :不支持
AWS Organizations 支持 支持 :不支持 :不支持 支持
AWS 资源组 支持 支持 :不支持 支持 部分³ :不支持
资源组 Tagging API 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS Service Catalog 支持 :不支持 :不支持 部分4 支持 :不支持
AWS Systems Manager 支持 支持 :不支持 支持 支持
AWS 标签编辑器 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS Trusted Advisor 部分5 支持 :不支持 :不支持 部分
AWS Well-Architected Tool 支持 支持 :不支持 :不支持 支持 :不支持

¹ 无法使用 AWS 管理控制台创建 Amazon CloudWatch 服务相关角色,这些角色仅支持警报操作功能。

² 对于多账户多区域数据聚合和 AWS Config 规则,AWS Config 支持资源级权限。有关支持的资源列表,请参阅 多客户多区域数据聚合 章节和 AWS Config 规则 部分 AWS Config API指南.

³ 用户可以通过允许 AWS 资源组 操作的策略担任角色。

⁴ AWS Service Catalog 仅为 API 操作与输入中的一个资源匹配的操作支持基于标签的访问控制。

⁵ 针对 Trusted Advisor 的 API 访问通过 AWS Support API 执行,并受 AWS Support IAM 策略的控制。

迁移和转移服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
AWS Application Discovery Service 支持 :不支持 :不支持 :不支持 支持
AWS Connector Service 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS Transfer for SFTP 支持 支持 :不支持 支持 支持 :不支持
AWS Database Migration Service 支持 支持 是¹ 支持 支持 :不支持
AWS DataSync 支持 支持 :不支持 支持 支持 :不支持
AWS Migration Hub 支持 支持 :不支持 :不支持 支持 :不支持
AWS Server Migration Service 支持 :不支持 :不支持 :不支持 支持

¹ 您可以创建和修改附加到您创建的 AWS KMS 加密密钥的策略,以加密迁移到支持的目标终端节点的数据。支持的目标终端节点包括 Amazon Redshift 和 Amazon S3。更多信息,请参阅 创建和使用 AWS KMS 加密密钥 Amazon Redshift 目标数据创建 AWS KMS 加密密钥 Amazon S3 目标对象AWS Database Migration Service 用户指南.

移动服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
AWS 放大 支持 支持 :不支持 支持 支持 :不支持
AWS Device Farm 支持 支持 :不支持 支持 支持 :不支持

网络和内容交付服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon API Gateway 支持 支持 支持 支持 支持

AWS App Mesh

支持 支持 :不支持 支持 支持

Amazon CloudFront

部分¹ 支持 :不支持 支持 支持 部分4

AWS 云图

支持 支持 :不支持 支持 支持 :不支持
AWS Direct Connect 支持 支持 :不支持 支持 :不支持
AWS Global Accelerator 支持 支持 :不支持 支持 支持
网络管理器 支持 支持 支持 支持 支持
Amazon Route 53 支持 支持 :不支持 :不支持 支持 :不支持
Amazon Route 53 解析程序 支持 支持 :不支持 支持 支持 :不支持
Amazon Virtual Private Cloud (Amazon VPC) 支持 部分² 部分³ :不支持 支持 :不支持

¹ CloudFront 不支持用于创建 CloudFront 密钥对的操作级权限。必须使用 AWS 账户根用户创建 CloudFront 密钥对。有关更多信息,请参阅 CloudFront中的为您的可信签署人创建 Amazon CloudFront 开发人员指南 密钥对

² 在 IAM 用户策略中,您不能将权限限制到特定的 Amazon VPC 终端节点。包含 ec2:*VpcEndpoint*ec2:DescribePrefixLists API 操作的任何 Action 元素都必须指定“"Resource": "*"”。有关更多信息,请参阅https://docs.amazonaws.cn/AmazonVPC/latest/UserGuide/vpc-endpoints.html#vpc-endpoints-iam-access 中的Amazon VPC 用户指南控制终端节点的使用

³ Amazon VPC 支持将单个资源策略附加到 VPC 终端节点来限制可通过该终端节点访问的内容。有关使用基于资源的策略控制特定 Amazon VPC 终端节点访问资源的更多信息,请参阅 https://docs.amazonaws.cn/AmazonVPC/latest/UserGuide/vpc-endpoints.html#vpc-endpoint-policies 中的Amazon VPC 用户指南使用终端节点策略

⁴ Amazon CloudFront 不具有服务相关角色,但 Lambda@Edge 具有。有关更多信息,请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色

媒体服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Elastic Transcoder 支持 支持 :不支持 :不支持 支持 :不支持
AWS 元素激活 支持 支持 :不支持 支持 支持 :不支持
AWS 元素设备和软件 支持 支持 :不支持 支持 支持 :不支持
AWS Elemental MediaConnect 支持 支持 :不支持 :不支持 支持 :不支持
AWS Elemental MediaConvert 支持 支持 :不支持 支持 :不支持
AWS Elemental MediaLive 支持 支持 支持 支持 支持 :不支持
AWS Elemental MediaPackage 支持 支持 :不支持 支持 支持 :不支持
AWS Elemental MediaPackage VOD。 支持 支持 :不支持 支持 支持 :不支持
AWS Elemental MediaStore 支持 支持 支持 :不支持 支持 :不支持
AWS Elemental MediaTailor 支持 支持 :不支持 支持 支持 :不支持
互动视频服务 支持 支持 :不支持 支持 支持 :不支持
Kinesis Video Streams 支持 支持 :不支持 支持 支持 :不支持

分析服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Athena 支持 支持 :不支持 支持 支持 :不支持
Amazon CloudSearch 支持 支持 :不支持 :不支持 支持 :不支持
AWS 数据交换 支持 支持 :不支持 支持 支持 :不支持
AWS Data Pipeline 支持 :不支持 :不支持 支持 支持 :不支持
Amazon Elasticsearch Service 支持 支持 支持 :不支持 支持
Amazon EMR 支持 支持 :不支持 支持 支持
AWS Glue 支持 支持 支持 部分 支持 :不支持
Amazon Kinesis Data Analytics 支持 支持 :不支持 支持 支持 :不支持
Amazon Kinesis Data Firehose 支持 支持 :不支持 支持 支持 :不支持
Amazon Kinesis Data Streams 支持 支持 :不支持 :不支持 支持 :不支持
AWS Lake Formation 支持 :不支持 :不支持 :不支持 支持
Amazon Managed Streaming for Apache Kafka MSK 支持 支持 :不支持 支持 支持 :不支持
Amazon QuickSight 支持 支持 :不支持 支持 支持 :不支持

应用程序集成服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon AppFlow 支持 支持 :不支持 支持 支持 :不支持
Amazon EventBridge 支持 支持 :不支持 支持 支持 :不支持
Amazon EventBridge Schemas 支持 支持 :不支持 支持 支持 :不支持
Amazon MQ 支持 支持 :不支持 支持 支持 :不支持
Amazon Simple Notification Service (Amazon SNS) 支持 支持 支持 :不支持 支持 :不支持
Amazon Simple Queue Service (Amazon SQS) 支持 支持 支持 :不支持 支持 :不支持
AWS Step Functions 支持 支持 :不支持 支持 :不支持
Amazon Simple Workflow Service (Amazon SWF) 支持 支持 :不支持 支持 支持 :不支持

业务应用服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Alexa for Business 支持 支持 :不支持 :不支持 支持 :不支持
Amazon Chime 支持 支持 :不支持 支持 支持
麦克尼德 支持 支持 :不支持 :不支持 支持 :不支持
Amazon WorkMail 支持 支持 :不支持 支持 支持

卫星服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
AWS Ground Station 支持 支持 :不支持 支持 支持 :不支持

互联网服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
AWS IoT Greengrass 支持 支持 :不支持 支持 支持 :不支持
AWS IoT 部分¹ 支持 :不支持
AWS IoT Analytics 支持 支持 :不支持 支持 支持 :不支持
AWS IoT 设备测试仪 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS IoT Events 支持 支持 :不支持 支持 支持 :不支持
AWS IoT SiteWise 支持 支持 :不支持 支持 支持
AWS IoT Things Graph 支持 :不支持 :不支持 :不支持 支持 :不支持
FreeRTOS 支持 支持 :不支持 支持 支持 :不支持

¹ 连接到 AWS IoT 的设备通过 X.509 证书或 Amazon Cognito 身份进行身份验证。您可以将 AWS IoT 策略附加到 X.509 证书或 Amazon Cognito 身份以控制设备有权执行哪些操作。有关更多信息,请参阅 AWS IoT 开发人员指南 中的 AWS IoT 的安全和身份

机器人服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
RoboMaker 支持 支持 :不支持 支持

量子计算服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
亚马西德 支持 :不支持 :不支持 :不支持 支持 :不支持

区块服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Managed Blockchain 支持 支持 :不支持 :不支持 支持 :不支持

游戏开发服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon GameLift 支持 支持 :不支持 支持 支持 :不支持

AR和VR服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Sumerian 支持 支持 :不支持 :不支持 支持 :不支持

客户支持服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
AWS 智商 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS IQ权限 :不支持 :不支持 :不支持 :不支持 支持 :不支持
AWS Support 支持 :不支持 :不支持 :不支持 支持

客户参与服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon Connect 支持 支持 :不支持 支持 支持
Amazon Pinpoint 支持 支持 :不支持 支持 支持 :不支持
Amazon Simple Email Service (Amazon SES) 支持 部分¹ 支持 支持 部分² :不支持

¹ 您只能在引用与发送电子邮件相关的操作的策略语句中使用资源级别权限,例如 ses:SendEmailses:SendRawEmail。对于引用任何其他操作的政策声明,“资源”元素只能包含 *.

² 仅 Amazon SES API 支持临时安全凭证。Amazon SES SMTP 接口不支持从临时安全凭证派生的 SMTP 凭证。

最终用户计算服务

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
Amazon AppStream 支持 :不支持 :不支持 :不支持 支持 :不支持
Amazon AppStream ~ 2.0 支持 支持 :不支持 支持 支持 :不支持
Amazon WAM 支持 :不支持 :不支持 :不支持 支持 :不支持
Amazon WorkDocs 支持 :不支持 :不支持 :不支持 支持 :不支持
Amazon WorkLink 支持 支持 :不支持 支持 支持
Amazon WorkSpaces 支持 支持 :不支持 支持 支持 :不支持

其他资源

服务 。 操作: 资源级权限 基于资源的策略 基于标签的授权 临时凭证 服务相关角色
AWS Billing and Cost Management 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS 服务预算 支持 支持 :不支持 :不支持 :不支持 :不支持
AWS 成本和使用率报告 支持 支持 :不支持 :不支持 支持 :不支持
AWS Cost Explorer 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS Marketplace 支持 :不支持 :不支持 :不支持 支持 :不支持
AWS Marketplace 目录 支持 支持 :不支持 :不支持 支持 :不支持
AWS Private Marketplace 支持 :不支持 :不支持 :不支持 :不支持 :不支持