AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 AWS 服务入门。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

策略结构

以下主题说明 IAM 策略的结构。

策略语法

IAM 策略是包含一个或多个语句的 JSON 文档。每个语句的结构如下：

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

组成语句的各个元素如下：

有关 IAM 的示例 AWS Batch 策略语句的更多信息，请参阅 创建 AWS Batch IAM 策略。

AWS Batch 操作

在 IAM 策略语句中，您可以从支持 IAM 的任何服务中指定任何 API 操作。对于 AWS Batch，请使用以下前缀为 API 操作命名：batch:。例如： batch:SubmitJob 和 batch:CreateComputeEnvironment。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

"Action": ["batch:action1", "batch:action2"]

您还可以使用通配符 （*） 指定多个操作。例如，您可以指定名称以单词“Describe”开头的所有操作，如下所示：

"Action": "batch:Describe*"

要指定所有 AWS Batch API 操作，请使用通配符 （*），如下所示：

"Action": "batch:*"

有关 AWS Batch 操作的列表，请参阅 AWS Batch API 参考 中的操作主题。

适用于 AWS Batch 的Amazon 资源名称

每个 IAM 策略语句适用于您使用资源的 ARN 指定的资源。

ARN 的一般语法如下：

arn:aws-cn:[service]:[region]:[account]:resourceType/resourcePath

AWS Batch API 操作当前支持多个 API 操作的资源级权限。有关更多信息，请参阅AWS Batch API 操作支持的资源级权限。要指定所有资源，或者如果特定 API 操作不支持 ARNs请在 Resource 元素中使用通配符 （*），如下所示：

"Resource": "*"

检查用户是否具有所需权限

在实施 IAM 策略之前，建议您检查它是否允许用户使用其所需的特定 API 操作和资源。

首先，创建一个用于测试目的的 IAM 用户，然后将 IAM 策略附加到该测试用户。然后，以测试用户身份提出请求。您可以在控制台中提出测试请求，也可以使用 AWS CLI 提出测试请求。

如果策略未向用户授予您所期望的权限，或者策略过度宽松，可以根据需要调整策略。重新测试，直到获得预期的结果。

如果身份验证检查失败，该请求将返回一个带有诊断信息的代码消息。您可以使用 DecodeAuthorizationMessage 操作对消息进行解码。有关更多信息，请参阅 AWS Security Token Service API Reference中的 DecodeAuthorizationMessage，以及 AWS CLI Command Reference中的 decode-authorization-message。