使用 IAM 的 AWS 服务
下面列出的 AWS 服务根据其 AWS 产品类别
-
服务 – 您可以选择一项服务的名称,以查看有关该服务的 IAM 授权和访问权限的 AWS 文档。
-
操作 – 您可以指定策略中的各项操作。如果服务不支持此功能,则可视化编辑器中将选中所有操作。在 JSON 策略文档中,您必须在
*
元素中使用Action
。有关每个服务中的操作列表,请参阅 AWS 服务的操作、资源和条件键。 -
资源级权限 – 您可以使用 ARN 在策略中指定各个资源。如果服务不支持此功能,则策略可视化编辑器中将选中所有资源。在 JSON 策略文档中,您必须在
*
元素中使用Resource
。某些操作 (如List*
操作) 不支持指定 ARN,因为它们被设计为返回多个资源。如果某项服务只针对部分资源支持此功能,将在表格中用黄色单元格标明。有关更多信息,请参阅该服务的文档。 -
基于资源的策略 – 您可以将基于资源的策略附加到服务中的某项资源。基于资源的策略包含
Principal
元素,用于指定可以访问此资源的 IAM 身份。有关更多信息,请参阅基于身份的策略和基于资源的策略。 -
根据标签进行授权 – 您可以在策略的条件中使用资源标签来控制对服务中的资源的访问。您可以使用 aws:ResourceTag 全局条件键或服务特定的标签(如
ec2:ResourceTag
)执行该操作。有关基于标签等属性定义权限的更多信息,请参阅什么是适用于 AWS 的 ABAC?。 -
临时凭证 – 利用联合身份验证、跨账户角色或服务角色登录的用户可以访问此服务。调用 AWS STS API 操作(如 AssumeRole 或 GetFederationToken)可以获得临时安全凭证。有关更多信息,请参阅IAM 中的临时安全凭证。
-
服务相关角色 – 服务相关角色是一种特殊类型的服务角色,可授予服务代表您访问其他服务中的资源的权限。选择
Yes
链接可查看文档,了解支持这些角色的服务。此列不指示服务是否使用标准服务角色。有关更多信息,请参阅使用服务相关角色。 -
更多信息 – 如果服务不能完全支持某项功能,您可以检查该条目的脚注,查看限制以及相关信息的链接。
计算服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Batch |
|
|
|
|
|
|
Amazon Elastic Compute Cloud (Amazon EC2) |
|
|
|
|
|
|
Amazon EC2 Auto Scaling |
|
|
|
|
|
|
Amazon EC2 映像生成器 |
|
|
|
|
|
|
AWS Elastic Beanstalk |
|
|
|
|
|
|
Amazon Elastic Container Registry (Amazon ECR) |
|
|
|
|
|
|
Amazon Elastic Container Service (Amazon ECS) |
|
|
|
|
|
|
Amazon Elastic Kubernetes Service (Amazon EKS) |
|
|
|
|
|
|
Amazon Elastic Inference |
|
|
|
|
|
|
Elastic Load Balancing |
|
|
|
|
|
|
AWS Lambda |
|
|
|
|
|
|
Amazon Lightsail |
|
|
|
|
|
|
AWS Outposts |
|
|
|
|
|
|
AWS Serverless Application Repository |
|
|
|
|
|
|
¹ 无法使用 AWS 管理控制台创建 Amazon EC2 服务相关角色,这些角色只能用于以下功能:计划实例、Spot 实例请求、Spot 队列请求。
² 仅某些 Amazon ECS 操作支持资源级权限。
³ AWS Lambda 不具有服务相关角色,但 Lambda@Edge 具有。有关更多信息,请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色。
存储服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Backup |
|
|
|
|
|
|
AWS Backup 存储 |
|
|
|
|
|
|
Amazon Elastic Block Store (Amazon EBS) |
|
|
|
|
|
|
Amazon Elastic File System (Amazon EFS) |
|
|
|
|
|
|
Amazon FSx |
|
|
|
|
|
|
Amazon S3 Glacier |
|
|
|
|
|
|
AWS Import/Export |
|
|
|
|
|
|
Amazon Simple Storage Service (Amazon S3) |
|
|
|
|
|
|
AWS Outposts 上的 Amazon Simple Storage Service (Amazon S3) |
|
|
|
|
|
|
AWS Snowball |
|
|
|
|
|
|
AWS Snowball 边缘 |
|
|
|
|
|
|
AWS Storage Gateway |
|
|
|
|
|
|
¹ Amazon S3 仅为对象资源支持基于标签的授权。
数据库服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon DynamoDB |
|
|
|
|
|
|
Amazon ElastiCache |
|
|
|
|
|
|
Amazon Keyspaces(针对 Apache Cassandra) |
|
|
|
|
|
|
Amazon Quantum Ledger Database (Amazon QLDB) |
|
|
|
|
|
|
Amazon Redshift |
|
|
|
|
|
|
Amazon Redshift 数据 API |
|
|
|
|
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
|
|
|
|
Amazon RDS 数据 API |
|
|
|
|
|
|
Amazon SimpleDB |
|
|
|
|
|
|
开发人员工具服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Cloud9 |
|
|
|
|
|
|
AWS Code Artifact |
|
|
|
|
|
|
CodeBuild |
|
|
|
|
|
|
CodeCommit |
|
|
|
|
|
|
AWS CodeDeploy |
|
|
|
|
|
|
CodePipeline |
|
|
|
|
|
|
AWS CodeStar |
|
|
|
|
|
|
AWS CodeStar 连接 |
|
|
|
|
|
|
AWS CodeStar 通知 |
|
|
|
|
|
|
AWS X-Ray |
|
|
|
|
|
|
¹ CodeBuild 支持使用 AWS RAM 进行跨账户资源共享。
² CodeBuild 支持根据基于项目的操作的标签进行授权。
³ X-Ray 支持针对组和采样规则实现基于标签的访问控制。
安全性、身份与合规性服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Certificate Manager 私有证书颁发机构 (ACM) |
|
|
|
|
|
|
AWS Artifact |
|
|
|
|
|
|
AWS Certificate Manager (ACM) |
|
|
|
|
|
|
AWS CloudHSM |
|
|
|
|
|
|
Amazon Cognito |
|
|
|
|
|
|
Amazon Detective |
|
|
|
|
|
|
AWS Directory Service |
|
|
|
|
|
|
AWS Firewall Manager |
|
|
|
|
|
|
Amazon GuardDuty |
|
|
|
|
|
|
AWS Identity and Access Management (IAM) |
|
|
|
|
|
|
IAM 访问分析器 |
|
|
|
|
|
|
Amazon Inspector |
|
|
|
|
|
|
AWS Key Management Service (AWS KMS) |
|
|
|
|
|
|
Amazon Macie |
|
|
|
|
|
|
Amazon Macie Classic |
|
|
|
|
|
|
AWS Resource Access Manager (AWS RAM) |
|
|
|
|
|
|
AWS Secrets Manager |
|
|
|
|
|
|
AWS Security Hub |
|
|
|
|
|
|
AWS Single Sign-On (AWS SSO) |
|
|
|
|
|
|
AWS SSO 目录 |
|
|
|
|
|
|
AWS SSO 身份存储 |
|
|
|
|
|
|
AWS Security Token Service (AWS STS) |
|
|
|
|
|
|
AWS Shield Advanced |
|
|
|
|
|
|
AWS WAF |
|
|
|
|
|
|
AWS WAF Classic |
|
|
|
|
|
|
¹ IAM 仅支持一种类型的基于资源的策略(称为角色信任策略),这种策略附加到 IAM 角色。有关更多信息,请参阅 向用户授予切换角色的权限。
² IAM 仅为用户和角色资源支持基于标签的访问控制。
³ 只能使用临时凭证调用 IAM 的一部分 API 操作。有关更多信息,请参阅比较您的 API 选项。
⁴ AWS STS 没有“资源”,但允许以类似的方式限制用户访问。有关更多信息,请参阅根据名称拒绝访问临时安全凭证。
⁵ 仅 AWS STS 的一部分 API 操作支持使用临时凭证进行调用。有关更多信息,请参阅比较您的 API 选项。
机器学习服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon CodeGuru |
|
|
|
|
|
|
Amazon CodeGuru Profiler |
|
|
|
|
|
|
Amazon CodeGuru Reviewer |
|
|
|
|
|
|
Amazon Comprehend |
|
|
|
|
|
|
AWS DeepComposer |
|
|
|
|
|
|
AWS DeepRacer |
|
|
|
|
|
|
Forecast |
|
|
|
|
|
|
Amazon Fraud Detector |
|
|
|
|
|
|
Ground Truth 标记 |
|
|
|
|
|
|
Amazon Kendra |
|
|
|
|
|
|
Amazon Lex |
|
|
|
|
|
|
Amazon Machine Learning |
|
|
|
|
|
|
Amazon Personalize |
|
|
|
|
|
|
Amazon Polly |
|
|
|
|
|
|
Amazon Rekognition |
|
|
|
|
|
|
Amazon SageMaker |
|
|
|
|
|
|
Amazon Textract |
|
|
|
|
|
|
Amazon Transcribe |
|
|
|
|
|
|
Amazon Translate |
|
|
|
|
|
|
管理和治理服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Application Auto Scaling |
|
|
|
|
|
|
AWS AppConfig |
|
|
|
|
|
|
AWS Auto Scaling |
|
|
|
|
|
|
AWS Chatbot |
|
|
|
|
|
|
AWS CloudFormation |
|
|
|
|
|
|
AWS CloudTrail |
|
|
|
|
|
|
Amazon CloudWatch |
|
|
|
|
|
|
Amazon CloudWatch Events Application Insights |
|
|
|
|
|
|
Amazon CloudWatch Events |
|
|
|
|
|
|
Amazon CloudWatch Logs |
|
|
|
|
|
|
Amazon CloudWatch Synthetics |
|
|
|
|
|
|
AWS 计算优化器 |
|
|
|
|
|
|
AWS Config |
|
|
|
|
|
|
Amazon 数据生命周期管理器 |
|
|
|
|
|
|
AWS Health |
|
|
|
|
|
|
AWS OpsWorks |
|
|
|
|
|
|
AWS OpsWorks for Chef Automate |
|
|
|
|
|
|
AWS OpsWorks 配置管理 |
|
|
|
|
|
|
AWS Organizations |
|
|
|
|
|
|
AWS 资源组 |
|
|
|
|
|
|
资源组 Tagging API |
|
|
|
|
|
|
AWS Service Catalog |
|
|
|
|
|
|
AWS Systems Manager |
|
|
|
|
|
|
AWS 标签编辑器 |
|
|
|
|
|
|
AWS Trusted Advisor |
|
|
|
|
|
|
AWS Well-Architected Tool |
|
|
|
|
|
|
¹ 无法使用 AWS 管理控制台创建 Amazon CloudWatch 服务相关角色,这些角色仅支持警报操作功能。
² 对于多账户多区域数据聚合和 AWS Config 规则,AWS Config 支持资源级权限。有关支持的资源列表,请参阅 AWS Config API 指南的多账户多区域数据聚合和 AWS Config 规则部分。
³ 用户可以通过允许 AWS 资源组 操作的策略担任角色。
⁴ AWS Service Catalog 仅为 API 操作与输入中的一个资源匹配的操作支持基于标签的访问控制。
⁵ 针对 Trusted Advisor 的 API 访问通过 AWS Support API 执行,并受 AWS Support IAM 策略的控制。
迁移和传输服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Application Discovery Service |
|
|
|
|
|
|
AWS Connector Service |
|
|
|
|
|
|
AWS Transfer for SFTP |
|
|
|
|
|
|
AWS Database Migration Service |
|
|
|
|
|
|
AWS DataSync |
|
|
|
|
|
|
AWS Migration Hub |
|
|
|
|
|
|
AWS Server Migration Service |
|
|
|
|
|
|
¹ 您可以创建和修改附加到您创建的 AWS KMS 加密密钥的策略,以加密迁移到支持的目标终端节点的数据。支持的目标终端节点包括 Amazon Redshift 和 Amazon S3。有关更多信息,请参阅 AWS Database Migration Service 用户指南 中的创建和使用 AWS KMS 密钥以加密 Amazon Redshift 目标数据和创建 AWS KMS 密钥以加密 Amazon S3 目标对象。
移动服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Amplify |
|
|
|
|
|
|
AWS AppSync |
|
|
|
|
|
|
AWS Device Farm |
|
|
|
|
|
|
网络和内容分发服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon API Gateway |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
AWS Direct Connect |
|
|
|
|
|
|
AWS Global Accelerator |
|
|
|
|
|
|
网络管理器 |
|
|
|
|
|
|
Amazon Route 53 |
|
|
|
|
|
|
Amazon Route 53 解析程序 |
|
|
|
|
|
|
Amazon Virtual Private Cloud (Amazon VPC) |
|
|
|
|
|
|
¹ CloudFront 不支持用于创建 CloudFront 密钥对的操作级权限。必须使用 AWS 账户根用户创建 CloudFront 密钥对。有关更多信息,请参阅 Amazon CloudFront 开发人员指南中的为您的受信任签署人创建 CloudFront 密钥对。
² 在 IAM 用户策略中,您不能将权限限制到特定的 Amazon VPC 终端节点。包含 ec2:*VpcEndpoint*
或 ec2:DescribePrefixLists
API 操作的任何 Action
元素都必须指定“"Resource":
"*"
”。有关更多信息,请参阅 Amazon VPC 用户指南 中的控制终端节点的使用。
³ Amazon VPC 支持将单个资源策略附加到 VPC 终端节点来限制可通过该终端节点访问的内容。有关使用基于资源的策略控制特定 Amazon VPC 终端节点访问资源的更多信息,请参阅 Amazon VPC 用户指南 中的使用终端节点策略。
⁴ Amazon CloudFront 不具有服务相关角色,但 Lambda@Edge 具有。有关更多信息,请参阅《Amazon CloudFront 开发人员指南》中的 Lambda@Edge 的服务相关角色。
媒体服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Elastic Transcoder |
|
|
|
|
|
|
AWS Elemental Activations |
|
|
|
|
|
|
AWS Elemental Appliances and Software |
|
|
|
|
|
|
AWS Elemental MediaConnect |
|
|
|
|
|
|
AWS Elemental MediaConvert |
|
|
|
|
|
|
AWS Elemental MediaLive |
|
|
|
|
|
|
AWS Elemental MediaPackage |
|
|
|
|
|
|
AWS Elemental MediaPackage VOD |
|
|
|
|
|
|
AWS Elemental MediaStore |
|
|
|
|
|
|
AWS Elemental MediaTailor |
|
|
|
|
|
|
Amazon Interactive Video Service |
|
|
|
|
|
|
Kinesis Video Streams |
|
|
|
|
|
|
分析服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Athena |
|
|
|
|
|
|
Amazon CloudSearch |
|
|
|
|
|
|
AWS Data Exchange |
|
|
|
|
|
|
AWS Data Pipeline |
|
|
|
|
|
|
Amazon Elasticsearch Service |
|
|
|
|
|
|
Amazon EMR |
|
|
|
|
|
|
AWS Glue |
|
|
|
|
|
|
Amazon Kinesis Data Analytics |
|
|
|
|
|
|
Amazon Kinesis Data Firehose |
|
|
|
|
|
|
Amazon Kinesis Data Streams |
|
|
|
|
|
|
AWS Lake Formation |
|
|
|
|
|
|
Amazon Managed Streaming for Apache Kafka (MSK) |
|
|
|
|
|
|
Amazon QuickSight |
|
|
|
|
|
|
应用程序集成服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon AppFlow |
|
|
|
|
|
|
Amazon EventBridge |
|
|
|
|
|
|
Amazon EventBridge Schemas |
|
|
|
|
|
|
Amazon MQ |
|
|
|
|
|
|
Amazon Simple Notification Service (Amazon SNS) |
|
|
|
|
|
|
Amazon Simple Queue Service (Amazon SQS) |
|
|
|
|
|
|
AWS Step Functions |
|
|
|
|
|
|
Amazon Simple Workflow Service (Amazon SWF) |
|
|
|
|
|
|
业务应用程序服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Alexa for Business |
|
|
|
|
|
|
Amazon Chime |
|
|
|
|
|
|
Amazon Honeycode |
|
|
|
|
|
|
Amazon WorkMail |
|
|
|
|
|
|
卫星服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Ground Station |
|
|
|
|
|
|
物联网服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS IoT Greengrass |
|
|
|
|
|
|
AWS IoT |
|
|
|
|
|
|
AWS IoT Analytics |
|
|
|
|
|
|
AWS IoT Device Tester |
|
|
|
|
|
|
AWS IoT Events |
|
|
|
|
|
|
AWS IoT SiteWise |
|
|
|
|
|
|
AWS IoT Things Graph |
|
|
|
|
|
|
FreeRTOS |
|
|
|
|
|
|
¹ 连接到 AWS IoT 的设备通过 X.509 证书或 Amazon Cognito 身份进行身份验证。您可以将 AWS IoT 策略附加到 X.509 证书或 Amazon Cognito 身份以控制设备有权执行哪些操作。有关更多信息,请参阅 AWS IoT 开发人员指南 中的 AWS IoT 的安全和身份。
机器人服务
量子计算服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Bracket |
|
|
|
|
|
|
区块链服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Managed Blockchain |
|
|
|
|
|
|
游戏开发服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon GameLift |
|
|
|
|
|
|
AR 和 VR 服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Sumerian |
|
|
|
|
|
|
客户支持服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS IQ |
|
|
|
|
|
|
AWS IQ 权限 |
|
|
|
|
|
|
AWS Support |
|
|
|
|
|
|
客户参与服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon Connect |
|
|
|
|
|
|
Amazon Pinpoint |
|
|
|
|
|
|
Amazon Pinpoint 电子邮件服务 |
|
|
|
|
|
|
Amazon Pinpoint 短信和语音服务 |
|
|
|
|
|
|
Amazon Simple Email Service (Amazon SES) |
|
|
|
|
|
|
¹ 您只能在引用与发送电子邮件相关的操作(如 ses:SendEmail
或 ses:SendRawEmail
)的策略语句中使用资源级权限。对于引用任何其他操作的策略语句,Resource 元素只能包含 *
。
² 仅 Amazon SES API 支持临时安全凭证。Amazon SES SMTP 接口不支持从临时安全凭证派生的 SMTP 凭证。
最终用户计算服务
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
Amazon AppStream |
|
|
|
|
|
|
Amazon AppStream 2.0 |
|
|
|
|
|
|
Amazon WAM |
|
|
|
|
|
|
Amazon WorkDocs |
|
|
|
|
|
|
Amazon WorkLink |
|
|
|
|
|
|
Amazon WorkSpaces |
|
|
|
|
|
|
其他资源
服务 | 操作 | 资源级权限 | 基于资源的策略 | 根据标签进行授权 | 临时凭证 | 服务相关角色 |
---|---|---|---|---|---|---|
AWS Billing and Cost Management |
|
|
|
|
|
|
AWS Budget 服务 |
|
|
|
|
|
|
AWS 成本和使用率报告 |
|
|
|
|
|
|
AWS Cost Explorer |
|
|
|
|
|
|
AWS Marketplace |
|
|
|
|
|
|
AWS Marketplace 目录 |
|
|
|
|
|
|
AWS Private Marketplace |
|
|
|
|
|
|
AWS Savings Plans |
|
|
|
|
|
|