本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 对节省计划进行身份和访问管理
Amazon Identity and Access Management (IAM) 是一项可帮助管理员安全地控制 Amazon 资源访问权限的 Amazon 服务。作为管理员,您可以在自己的 Amazon 账户下创建用户可以代入的角色。您可以控制用户使用 Amazon 资源执行任务的权限。使用 IAM 不会产生额外的费用。
默认情况下,用户无权管理节省计划资源和操作。要允许用户管理节省计划资源,您必须创建角色以向用户委派权限。按照 *IAM 用户指南*中的[为用户创建角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_create_for-user.html)说明进行操作。
## 策略结构
IAM 策略是包含一个或多个语句的 JSON 文档。每个语句的结构如下。
```
{
"Statement":[{
"Effect":"{{effect}}",
"Action":"{{action}}",
"Resource":"{{arn}}",
"Condition":{
"{{condition}}":{
"{{key}}":"{{value}}"
}
}
}
]
}
```
组成语句的各个元素如下:
+ **Effect:**此 *effect* 可以是 `Allow` 或 `Deny`。默认情况下 用户没有使用资源和 API 操作的权限,因此,所有请求均会被拒绝。显式允许将覆盖默认规则。显式拒绝将覆盖任何允许。
+ **Action**:*action* 是对其授予或拒绝权限的特定 API 操作。
+ **Resource**:受操作影响的资源。有些 Amazon EC2 API 操作允许您在策略中包括该操作可以创建或修改的特定资源。要在语句中指定资源,您需要使用其 Amazon 资源名称(ARN)。有关更多信息,请参阅[节省计划定义的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awssavingsplans.html#awssavingsplans-actions-as-permissions)。
+ **条件**:条件是可选的。它们可以用于控制策略生效的时间。有关更多信息,请参阅[节省计划的条件键](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awssavingsplans.html#awssavingsplans-policy-keys)。
## Amazon 托管策略
通过 Amazon 授予常见用例所需的权限创建的托管策略。创建用户可以代入的角色后,您可以根据所需的访问权限将策略附加到该角色上。每个策略授予对节省计划的全部或部分 API 操作的访问权限。
以下是 Savings Plans 的 Amazon 托管政策:
+ **AWSSavingsPlansFullAccess**—授予对 Savings Plans 的完全访问权限。
+ **AWSSavingsPlansReadOnlyAccess**—授予对 Savings Plans 的只读访问权限。
## 策略示例
在 IAM 策略语句中,您可以从支持 IAM 的任何服务中指定任何 API 操作。对于节省计划,请使用以下前缀为 API 操作命名:`savingsplans:`。例如:
+ `savingsplans:CreateSavingsPlan`
+ `savingsplans:DescribeSavingsPlans`
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": ["savingsplans:action1", "savingsplans:action2"]
```
您也可以使用通配符指定多项操作。例如,您可以指定名称以单词 "Describe" 开头的所有节省计划 API 操作,如下所示:
```
"Action": "savingsplans:Describe*"
```
要指定所有节省计划 API 操作,请使用 \* 通配符,如下所示:
```
"Action": "savingsplans:*"
```