本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于节省计划的 Identity and Access Management
Amazon Identity and Access Management (IAM) 是一项可帮助管理员安全地控制对 Amazon 资源的访问的 Amazon 服务。作为管理员,您可以在自己的 Amazon 账户下创建用户可以代入的角色。您可以控制用户使用 Amazon 资源执行任务所拥有的权限。您无需额外付费IAM即可使用。
默认情况下,用户无权管理节省计划资源和操作。要允许用户管理节省计划资源,您必须创建角色以向用户委派权限。按照《用户指南》中为用户创建角色中的IAM说明进行操作。
策略结构
IAM策略是由一个或多个声明组成的JSON文档。每个语句的结构如下。
{
"Statement":[{
"Effect":"effect
",
"Action":"action
",
"Resource":"arn
",
"Condition":{
"condition
":{
"key
":"value
"
}
}
}
]
}
组成语句的各个元素如下:
Amazon 托管策略
通过 Amazon 授予常见用例所需的权限创建的托管策略。创建用户可以代入的角色后,您可以根据所需的访问权限将策略附加到该角色上。每份保单都允许访问Savings Plans的全部或部分API操作。
以下是 Savings Plans 的 Amazon 托管政策:
-
AWSSavingsPlansFullAccess—授予对 Savings Plans 的完全访问权限。
-
AWSSavingsPlansReadOnlyAccess—授予对 Savings Plans 的只读访问权限。
策略示例
在IAM策略声明中,您可以指定任何支持的服务中的任何API操作IAM。对于 Savings Plans,请使用以下前缀作为API操作名称:savingsplans:
。例如:
-
savingsplans:CreateSavingsPlan
-
savingsplans:DescribeSavingsPlans
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
"Action": ["savingsplans:action1", "savingsplans:action2"]
您也可以使用通配符指定多项操作。例如,您可以指定名称以 “描述” 开头的所有 Savings Plans API 操作,如下所示:
"Action": "savingsplans:Describe*"
要指定所有 Savings Plans API 操作,请使用* 通配符,如下所示:
"Action": "savingsplans:*"