AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

IAM JSON 策略元素: Action

Action 元素描述将允许或拒绝的特定操作。声明必须包含 ActionNotAction 元素。每款 AWS 服务各自拥有一套描述任务的操作,您可使用相应服务来执行所描述的任务。例如,Amazon S3 的操作列表可以在 Amazon Simple Storage Service 开发人员指南 中的在策略中指定权限中找到,Amazon EC2 的操作列表可以在 Amazon EC2 API Reference 中找到,AWS Identity and Access Management 的操作列表可以在 IAM API 参考 中找到。要查找其他服务的操作列表,请参阅 API 参考文档了解相关服务。

使用标识某项服务的命名空间 (iamec2 sqssnss3 等) 指定一个值,并在命名空间后加上要允许或拒绝的操作名称。该名称必须与产品支持的操作相匹配。前缀和操作名称不区分大小写。例如,iam:ListAccessKeysIAM:listaccesskeys 相同。以下示例显示用于不同服务的 Action 元素。

Amazon SQS 操作

"Action": "sqs:SendMessage"

Amazon EC2 操作

"Action": "ec2:StartInstances"

IAM 操作

"Action": "iam:ChangePassword"

Amazon S3 操作

"Action": "s3:GetObject"

您可以为 Action 元素指定多个值。

"Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "ec2:StartInstances", "iam:ChangePassword", "s3:GetObject" ]

您可使用通配符 (*) 来访问特定 AWS 产品提供的所有操作。例如,以下 Action 元素适用于所有 S3 操作。

"Action": "s3:*"

还可以使用通配符 (*) 作为操作名称的一部分。例如,下列 Action 元素适用于所有包含字符串 AccessKey 的 IAM 操作,包括 CreateAccessKeyDeleteAccessKeyListAccessKeysUpdateAccessKey

"Action": "iam:*AccessKey*"

某些产品允许您限制可用的操作。例如,Amazon SQS 仅允许您提供所有可能的 Amazon SQS 操作的子集。在这种情况下,* 通配符不允许完全控制队列;而是仅允许控制您已共享的操作子集。欲了解更多信息,请参阅 Amazon Simple Queue Service 开发人员指南 中的 Understanding Permissions