AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

使用 IAM 的 AWS 服务

下面列出的 AWS 服务根据其 AWS 产品类别分组,包含所支持的 IAM 功能的信息:

  • 服务 – 选择一项服务的名称可以查看该服务的 AWS 文档。

  • 操作 – 您可以指定策略中的各项操作。如果服务不支持此功能,则可视化编辑器中将选中所有操作。在 JSON 策略文档中,您必须在 Action 元素中使用 *。有关每项服务中的操作列表,请参阅可在 IAM 策略中使用的 AWS 服务操作和条件上下文键

  • 资源级权限 – 您可以使用 ARN 在策略中指定各个资源。如果服务不支持此功能,则策略可视化编辑器中将选中所有资源。在 JSON 策略文档中,您必须在 Resource 元素中使用 *。某些操作 (如 List* 操作) 不支持指定 ARN,因为它们被设计为返回多个资源。如果某项服务只针对部分资源支持此功能,将在表格中用黄色单元格标明。有关更多信息,请参阅该服务的文档。

  • 基于资源的策略 – 您可以将基于资源的策略附加到服务中的某项资源。基于资源的策略包含 Principal 元素,用于指定可以访问此资源的 IAM 身份。有关更多信息,请参阅 基于身份的策略和基于资源的策略

  • 根据标签进行授权 – 您可以在策略的条件中使用资源标签。例如,您可以创建一个策略,对标签所有者授予对已标记的 Amazon RDS 资源的完全访问权限。可使用条件键 (例如 rds:db-tag/Owner) 实现此目的。

  • 临时凭证 – 利用联合身份验证、跨账户角色或服务角色登录的用户可以访问此服务。调用 AWS STS API 操作 (如 AssumeRoleGetFederationToken) 可以获得临时安全凭证。有关更多信息,请参阅 临时安全凭证

  • 服务相关角色服务相关角色为服务授予访问其他服务中资源的权限,以代表您完成操作。选择 Yes 链接可查看文档,了解支持这些角色的服务。有关更多信息,请参阅 使用服务相关角色

  • 更多信息 – 如果服务不能完全支持某项功能,您可以检查该条目的脚注,查看限制以及相关信息的链接。

计算服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
Application Auto Scaling
Amazon EC2 Auto Scaling
AWS Batch
Amazon Elastic Compute Cloud (Amazon EC2) 是¹
AWS Elastic Beanstalk
Amazon Elastic Container Registry (Amazon ECR)
Amazon Elastic Container Service (Amazon ECS)
Elastic Load Balancing
AWS Lambda 是²
Amazon Lightsail

¹ 无法使用 AWS 管理控制台创建 Amazon EC2 服务相关角色,这些角色只能用于以下功能:计划实例Spot 实例请求Spot 队列请求

² 唯一可在基于资源的策略中确定的 AWS Lambda API 操作是 lambda:InvokeFunction。有关更多信息,请参阅 AWS Lambda Developer Guide 中的对 AWS Lambda 使用基于资源的策略 (Lambda 函数策略)

存储和迁移服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
Amazon Elastic Block Store(Amazon EBS)
Amazon Elastic File System (Amazon EFS)
Amazon Glacier
AWS Import/Export
AWS Migration Hub
Amazon Simple Storage Service (Amazon S3)
AWS Snowball
AWS Snowball Edge
AWS Storage Gateway

数据库服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
AWS Database Migration Service
Amazon DynamoDB
Amazon ElastiCache 否¹
Amazon Redshift
Amazon Relational Database Service (Amazon RDS)
Amazon SimpleDB

¹ 为集群/复制组作种时,用两个 API 指定一个 Amazon S3 ARN 资源。

网络和内容分发服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
Amazon API Gateway

Amazon CloudFront

是¹
AWS Direct Connect
Amazon Route 53
Amazon Virtual Private Cloud (Amazon VPC) 是² 是³

¹ CloudFront 不支持用于创建 CloudFront 密钥对的操作级权限。必须使用 AWS 账户根用户创建 CloudFront 密钥对。有关更多信息,请参阅 Amazon CloudFront 开发人员指南中的为您的可信签署人创建 CloudFront 密钥对

² 在 IAM 用户策略中,您不能将权限限制到特定的 Amazon VPC 终端节点。包含 ec2:*VpcEndpoint*ec2:DescribePrefixLists API 操作的任何 Action 元素都必须指定“"Resource": "*"”。有关更多信息,请参阅 Amazon VPC 用户指南 中的控制终端节点的使用

³ Amazon VPC 支持将单个资源策略附加到 VPC 终端节点来限制可通过该终端节点访问的内容。有关使用基于资源的策略控制特定 Amazon VPC 终端节点访问资源的更多信息,请参阅 Amazon VPC 用户指南 中的使用终端节点策略

开发人员工具和服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
AWS Cloud9
AWS CodeBuild
AWS CodeCommit
AWS CodeDeploy
AWS CodePipeline
AWS CodeStar 是¹

管理工具和服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
AWS CloudFormation
AWS CloudTrail
Amazon CloudWatch ¹
Amazon CloudWatch Events
Amazon CloudWatch Logs
AWS Config
AWS Health
AWS OpsWorks
AWS OpsWorks for Chef Automate
AWS Service Catalog
AWS Trusted Advisor 是² 是²

¹ 无法使用 AWS 管理控制台创建 Amazon CloudWatch 服务相关角色,这些角色仅支持警报操作功能。

² 针对 Trusted Advisor 的 API 访问是通过 AWS Support API 完成的,并受 AWS Support IAM 策略控制。

媒体服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
Amazon Elastic Transcoder
AWS Elemental MediaConvert
AWS Elemental MediaStore
AWS Elemental MediaTailor
Kinesis Video Streams

机器学习服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
Amazon Comprehend
Amazon Lex
Amazon Machine Learning
Amazon Polly
Amazon Rekognition
Amazon SageMaker 是¹
Amazon Transcribe
Amazon Translate

¹ Amazon SageMaker 不检查在调用中引用的外部资源。例如,Amazon SageMaker 不支持将训练作业限制为某些 AWS KMS 密钥或 Amazon S3 存储桶的策略。

分析服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
Amazon CloudSearch
AWS Data Pipeline
Amazon Elasticsearch Service
Amazon EMR
AWS Glue
Amazon Kinesis Data Analytics
Amazon Kinesis Data Firehose
Amazon Kinesis Data Streams
Amazon QuickSight

安全、身份和合规性服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
AWS Artifact
AWS Certificate Manager (ACM)
AWS CloudHSM
AWS CloudHSM Classic
Amazon Cognito
AWS Directory Service
Amazon GuardDuty ¹
AWS Identity and Access Management (IAM) 是²
Amazon Inspector
AWS Key Management Service (AWS KMS)
AWS Organizations
AWS Secrets Manager
AWS Single Sign-On (AWS SSO)
AWS Security Token Service (AWS STS) 是³ 是⁴
AWS Shield Advanced
AWS WAF

¹ GuardDuty 不支持使用 IAM 控制台创建服务相关角色。

² 只能使用临时凭证调用 IAM 的一部分 API 操作。有关更多信息,请参阅比较您的 API 选项

³ AWS STS 没有“资源”,但允许以与用户类似的方式限制访问。有关更多信息,请参阅根据名称拒绝访问临时安全凭证

⁴ AWS STS 只有部分 API 支持使用临时凭证进行调用。有关更多信息,请参阅比较您的 API 选项

移动服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
AWS Device Farm
Amazon Mobile Analytics
AWS Mobile Hub
Amazon Pinpoint

应用程序集成服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
Amazon MQ
Amazon Simple Email Service (Amazon SES) 是¹ 是²
Amazon Simple Notification Service (Amazon SNS)
Amazon Simple Queue Service (Amazon SQS)
Amazon Simple Workflow Service (Amazon SWF)

¹ Amazon SES 支持在授予权限以委派发件人访问特定 SES 身份的政策中使用资源级别的权限。

² 仅 Amazon SES API 支持临时安全凭证。Amazon SES SMTP 接口不支持从临时安全凭证派生的 SMTP 凭证。

企业生产效率服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
Alexa for Business
Amazon WorkDocs
Amazon WorkMail

桌面和应用程序流式处理服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
Amazon AppStream
Amazon AppStream 2.0
Amazon WorkSpaces
Amazon WAM

物联网服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
AWS Greengrass
AWS IoT 是¹

¹ 连接到 AWS IoT 的设备通过 X.509 证书进行身份验证。您可以将 AWS IoT 策略附加到 X.509 证书以控制有权执行操作的设备。有关更多信息,请参阅 AWS IoT 开发人员指南 中的创建 AWS IoT 策略

游戏开发服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
Amazon GameLift

软件服务

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
AWS Marketplace

其他资源

服务 操作 资源级权限 基于资源的策略 根据标签进行授权 临时证书 服务相关角色
AWS Billing and Cost Management
AWS Support