对节省计划进行身份和访问管理 - 节省计划
策略结构Amazon 托管策略策略示例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对节省计划进行身份和访问管理

Amazon Identity and Access Management (IAM) 是一项 Amazon 服务,可帮助管理员安全地控制对 Amazon 资源的访问。作为管理员,您可以在自己的 Amazon 账户下创建用户可以代入的角色。您可以控制用户使用 Amazon 资源执行任务的权限。使用 IAM 不会产生额外的费用。

默认情况下,用户无权管理节省计划资源和操作。要允许用户管理节省计划资源,您必须创建角色以向用户委派权限。按照 IAM 用户指南中的为用户创建角色说明进行操作。

策略结构

IAM 策略是包含一个或多个语句的 JSON 文档。每个语句的结构如下。

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

组成语句的各个元素如下:

  • Effect:effect 可以是 AllowDeny。默认情况下 用户没有使用资源和 API 操作的权限,因此,所有请求均会被拒绝。显式允许将覆盖默认规则。显式拒绝将覆盖任何允许。

  • Actionaction 是对其授予或拒绝权限的特定 API 操作。

  • Resource:受操作影响的资源。某些 Amazon EC2 API 操作允许您在策略中加入可通过操作创建或修改的特定资源。要在语句中指定资源,您需要使用其 Amazon 资源名称(ARN)。有关更多信息,请参阅节省计划定义的操作

  • 条件:条件是可选的。它们可以用于控制策略生效的时间。有关更多信息,请参阅节省计划的条件键

Amazon 托管策略

通过 Amazon 授予常见用例所需的权限创建的托管策略。创建用户可以代入的角色后,您可以根据所需的访问权限将策略附加到该角色上。每个策略授予对节省计划的全部或部分 API 操作的访问权限。

以下是 Savings Plans 的 Amazon 托管政策:

  • AWSSavingsPlansFullAccess—授予对 Savings Plans 的完全访问权限。

  • AWSSavingsPlansReadOnlyAccess—授予对 Savings Plans 的只读访问权限。

策略示例

在 IAM policy 语句中,您可以从支持 IAM 的任何服务中指定任何 API 操作。对于节省计划,请使用以下前缀为 API 操作命名:savingsplans:。例如:

  • savingsplans:CreateSavingsPlan

  • savingsplans:DescribeSavingsPlans

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": ["savingsplans:action1", "savingsplans:action2"]

您也可以使用通配符指定多项操作。例如,您可以指定名称以单词 "Describe" 开头的所有节省计划 API 操作,如下所示:

"Action": "savingsplans:Describe*"

要指定所有节省计划 API 操作,请使用 * 通配符,如下所示:

"Action": "savingsplans:*"