本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon EC2 的操作、资源和条件键
Amazon EC2(服务前缀:ec2)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。
参考:
Amazon EC2 定义的操作
您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AcceptAddressTransfer | 授予权限以接受 Elastic IP 地址转换 | 写入 |
ec2:CreateTags |
||
| AcceptReservedInstancesExchangeQuote | 授予权限以接受可转换预留实例交换报价 | Write | |||
| AcceptTransitGatewayMulticastDomainAssociations | 授予接受关联子网与中转网关多播域的请求的权限 | Write | |||
| AcceptTransitGatewayPeeringAttachment | 授予权限以接受中转网关对等连接请求 | Write | |||
| AcceptTransitGatewayVpcAttachment | 授予权限以接受将 VPC 连接到中转网关的请求 | Write | |||
| AcceptVpcEndpointConnections | 授予权限以接受与 VPC 终端节点服务的一个或多个接口 VPC 终端节点连接 | Write | |||
| AcceptVpcPeeringConnection | 授予权限以接受 VPC 对等连接请求 | 写入 | |||
| AdvertiseByoipCidr | 授予 Amazon 通过自带 IP 地址 (BYOIP) 发布预配置的 IP 地址范围的权限 | 写入 | |||
| AllocateAddress | 授予权限以向您的账户分配弹性 IP 地址 (EIP) | Write |
ec2:CreateTags |
||
| AllocateHosts | 授予权限以向您的账户分配专用主机 | 写入 |
ec2:CreateTags |
||
| AllocateIpamPoolCidr | 授予从 Amazon VPC IP 地址管理器 (IPAM) 池分配 CIDR 的权限 | 写入 | |||
| ApplySecurityGroupsToClientVpnTargetNetwork | 授予权限以将安全组应用到客户端 VPN 终端节点与目标网络之间的关联 | Write | |||
| AssignIpv6Addresses | 授予权限以将一个或多个 IPv6 地址分配给网络接口 | Write | |||
| AssignPrivateIpAddresses | 授予权限以将一个或多个辅助私有 IP 地址分配给网络接口 | 写入 | |||
| AssignPrivateNatGatewayAddress | 授予权限以将一个或多个辅助私有 IP 地址分配给专用 NAT 网关 | 写入 | |||
| AssociateAddress | 授予权限以将弹性 IP 地址 (EIP) 与实例或网络接口关联 | Write | |||
| AssociateClientVpnTargetNetwork | 授予权限以将目标网络与客户端 VPN 终端节点关联 | Write | |||
| AssociateDhcpOptions | 授予权限以将一组 DHCP 选项与 VPC 关联或取消关联 | Write | |||
| AssociateEnclaveCertificateIamRole | 授予关联 ACM 证书与要在 EC2 Enclave 中使用的 IAM 角色的权限 | Write | |||
| AssociateIamInstanceProfile | 授予权限以将 IAM 实例配置文件与正在运行或已停止的实例关联 | 写入 |
iam:PassRole |
||
| AssociateInstanceEventWindow | 授予将一个或多个目标与事件窗口关联的权限 | 写入 | |||
| AssociateIpamByoasn | 授予将自治系统号(ASN)关联到 BYOIP CIDR 的权限 | 写入 | |||
| AssociateIpamResourceDiscovery | 授予将 IPAM 资源发现与 Amazon VPC IPAM 关联的权限 | 写入 |
ec2:CreateTags |
||
| AssociateNatGatewayAddress | 授予权限以将弹性 IP 地址和私有 IP 地址与公有 NAT 网关关联 | 写入 | |||
| AssociateRouteTable | 授予权限以将子网或网关与路由表关联 | Write | |||
| AssociateSubnetCidrBlock | 授予权限以将 CIDR 块与子网关联 | Write | |||
| AssociateTransitGatewayMulticastDomain | 授予权限以将子网连接和列表与中转网关多播域关联 | 写入 | |||
| AssociateTransitGatewayPolicyTable | 授予权限以将策略表与中转网关连接关联: | 写入 | |||
| AssociateTransitGatewayRouteTable | 授予权限以将连接与中转网关路由表关联 | 写入 | |||
| AssociateTrunkInterface | 授予将分支网络接口与中继网络接口关联的权限 | 写入 | |||
| AssociateVerifiedAccessInstanceWebAcl [仅权限] | 授予将 Amazon Web 应用程序防火墙 (WAF) Web 访问控制列表 (ACL) 与已验证访问实例关联的权限 | 写入 | |||
| AssociateVpcCidrBlock | 授予权限以将 CIDR 块与 VPC 关联 | 写入 | |||
| AttachClassicLinkVpc | 授予通过一个或多个 VPC 安全组将 EC2-Classic 实例链接到 ClassicLink已启用的 VPC 的权限 | 写入 | |||
| AttachInternetGateway | 授予权限以将互联网网关连接到 VPC | Write | |||
| AttachNetworkInterface | 授予权限以将网络接口附加到实例 | 写入 | |||
| AttachVerifiedAccessTrustProvider | 授予权限以将信任提供商附加到验证访问实例 | 写入 | |||
| AttachVolume | 授予权限,以将 EBS 卷附加到正在运行或已停止的实例,然后将其公开给具有指定设备名称的实例 | Write | |||
| AttachVpnGateway | 授予权限以将虚拟私有网关附加到 VPC | Write | |||
| AuthorizeClientVpnIngress | 授予权限以将入站授权规则添加到客户端 VPN 终端节点 | 写入 | |||
| AuthorizeSecurityGroupEgress | 授予将一个或多个出站规则添加到 VPC 安全组的权限。仅当 API 请求包含以下内容时,才会强制执行使用 security-group-rule 资源级权限的策略 TagSpecifications | 写入 |
ec2:CreateTags |
||
| AuthorizeSecurityGroupIngress | 授予将一个或多个入站规则添加到 VPC 安全组的权限。仅当 API 请求包含以下内容时,才会强制执行使用 security-group-rule 资源级权限的策略 TagSpecifications | 写入 |
ec2:CreateTags |
||
| BundleInstance | 授予权限以捆绑实例存储支持的 Windows 实例 | Write | |||
| CancelBundleTask | 授予权限以取消捆绑操作 | Write | |||
| CancelCapacityReservation | 授予权限以取消容量预留并释放预留的容量 | 写入 | |||
| CancelCapacityReservationFleets | 授予取消一个或多个容量预留队列的权限 | 写入 |
ec2:CancelCapacityReservation |
||
| CancelConversionTask | 授予权限以取消活动转换任务 | Write | |||
| CancelExportTask | 授予权限以取消活动导出任务 | 写入 | |||
| CancelImageLaunchPermission | 授予将您 Amazon Web Services 账户 从指定 AMI 的启动权限中移除的权限 | 写入 | |||
| CancelImportTask | 授予权限以取消正在进行的导入虚拟机或导入快照任务 | Write | |||
| CancelReservedInstancesListing | 授予权限以取消预留实例 Marketplace 上的预留实例出售清单 | Write | |||
| CancelSpotFleetRequests | 授予权限以取消一个或多个 Spot 队列请求 | Write | |||
| CancelSpotInstanceRequests | 授予权限以取消一个或多个 Spot 实例请求 | Write | |||
| ConfirmProductInstance | 授予权限以确定拥有的产品代码是否与实例关联 | Write | |||
| CopyFpgaImage | 授予权限以将源 Amazon FPGA Image (AFI) 复制到当前区域。为此操作指定的资源级权限仅适用于新的 AFI。它们不适用于源 AFI | Write | |||
| CopyImage | 授予权限以将 Amazon Machine Image (AMI) 从源区域复制到当前区域。为此操作指定的资源级权限仅适用于新的 AMI。它们不适用于源 AMI | 写入 |
ec2:CreateTags |
||
| CopySnapshot | 授予复制 EBS 卷 point-in-time 快照并将其存储在 Amazon S3 中的权限。为此操作指定的资源级权限仅适用于新快照。它们不适用于源快照 | Write |
ec2:CreateTags |
||
| CreateCapacityReservation | 授予权限以创建容量预留 | 写入 |
ec2:CreateTags |
||
| CreateCapacityReservationFleet | 授予创建容量预留机群的权限 | 写入 |
ec2:CreateCapacityReservation ec2:CreateTags ec2:DescribeCapacityReservations ec2:DescribeInstances |
||
| CreateCarrierGateway | 授予创建运营商网关,并向 VPC 客户提供 CSP 连接的权限 | Write |
ec2:CreateTags |
||
| CreateClientVpnEndpoint | 授予权限以创建客户端 VPN 终端节点 | Write |
ec2:CreateTags |
||
| CreateClientVpnRoute | 授予权限以将网络路由添加到客户端 VPN 终端节点的路由表 | 写入 | |||
| CreateCoipCidr | 授予创建一系列客户拥有的 IP (CoIP) 地址的权限 | 写入 | |||
| CreateCoipPool | 授予创建客户拥有的 IP (CoIP) 地址池的权限 | 写入 |
ec2:CreateTags |
||
| CreateCoipPoolPermission [仅权限] | 授予允许服务访问客户拥有的 IP (CoIP) 池的权限 | 写入 | |||
| CreateCustomerGateway | 授予创建客户网关的权限,该网关向您的客户网关设备提供 Amazon 有关信息 | 写入 |
ec2:CreateTags |
||
| CreateDefaultSubnet | 授予权限以在默认 VPC 的指定可用区中创建默认子网 | Write | |||
| CreateDefaultVpc | 授予权限以在每个可用区中创建具有默认子网的默认 VPC | Write | |||
| CreateDhcpOptions | 授予权限以便为 VPC 创建一组 DHCP 选项 | Write |
ec2:CreateTags |
||
| CreateEgressOnlyInternetGateway | 授予权限以便为 VPC 创建仅出口互联网网关 | 写入 |
ec2:CreateTags |
||
| CreateFleet | 授予启动 EC2 实例集的权限。此操作的资源级权限不包括启动模板中指定的资源。要为启动模板中指定的资源指定资源级权限,您必须在操作语句中 RunInstances 包含这些资源 | 写入 |
ec2:CreateTags |
||
| CreateFlowLogs | 授予权限以创建一个或多个流日志,用于捕获网络接口的 IP 流量 | Write |
ec2:CreateTags iam:PassRole |
||
| CreateFpgaImage | 授予权限以从设计检查点 (DCP) 创建 Amazon FPGA Image (AFI) | Write |
ec2:CreateTags |
||
| CreateImage | 授予权限以从已停止或正在运行的 Amazon EBS 支持的实例创建 Amazon EBS-backed AMI | 写入 |
ec2:CreateTags |
||
| CreateInstanceConnectEndpoint | 授予创建 EC2 Instance Connect Endpoint 的权限,此端点允许您连接到不具有公有 IPv4 地址的实例 | 写入 |
ec2:CreateTags |
||
| CreateInstanceEventWindow | 授予创建事件窗口的权限,可在此窗口中运行相关 Amazon EC2 实例的计划事件 | 写入 |
ec2:CreateTags |
||
| CreateInstanceExportTask | 授予权限以将正在运行或已停止的实例导出到 Amazon S3 存储桶 | Write |
ec2:CreateTags |
||
| CreateInternetGateway | 授予权限以便为 VPC 创建互联网网关 | 写入 |
ec2:CreateTags |
||
| CreateIpam | 授予创建 Amazon VPC IP 地址管理器 (IPAM) 的权限 | 写入 |
ec2:CreateTags iam:CreateServiceLinkedRole |
||
| CreateIpamPool | 授予为 Amazon VPC IP 地址管理器 (IPAM) 创建 IP 地址池的权限,该管理器是连续 IP 地址 CIDR 的集合 | 写入 |
ec2:CreateTags |
||
| CreateIpamResourceDiscovery | 授予创建 IPAM 资源发现的权限 | 写入 |
ec2:CreateTags iam:CreateServiceLinkedRole |
||
| CreateIpamScope | 授予创建 Amazon VPC IP 地址管理器 (IPAM) 范围的权限,该范围是 IPAM 中最高级别的容器 | 写入 |
ec2:CreateTags |
||
| CreateKeyPair | 授予权限以便创建 2048 位 RSA 密钥对 | Write |
ec2:CreateTags |
||
| CreateLaunchTemplate | 授予权限以创建启动模板 | Write |
ec2:CreateTags ssm:GetParameters |
||
| CreateLaunchTemplateVersion | 授予权限以创建启动模板的新版本 | Write |
ssm:GetParameters |
||
| CreateLocalGatewayRoute | 授予权限以为本地网关路由表创建静态路由 | 写入 | |||
| CreateLocalGatewayRouteTable | 授予创建本地网关路由表的权限 | 写入 |
ec2:CreateTags |
||
| CreateLocalGatewayRouteTablePermission [仅权限] | 授予允许服务访问本地网关路由表的权限 | 写入 | |||
| CreateLocalGatewayRouteTableVirtualInterfaceGroupAssociation | 授予创建本地网关路由表虚拟接口组关联的权限 | 写入 |
ec2:CreateTags |
||
|
local-gateway-route-table-virtual-interface-group-association* |
|||||
| CreateLocalGatewayRouteTableVpcAssociation | 授予权限以将 VPC 与本地网关路由表关联 | Write |
ec2:CreateTags |
||
| CreateManagedPrefixList | 授予权限以创建托管前缀列表 | Write |
ec2:CreateTags |
||
| CreateNatGateway | 授予权限以在子网中创建 NAT 网关 | Write |
ec2:CreateTags |
||
| CreateNetworkAcl | 授予权限以在 VPC 中创建网络 ACL | Write |
ec2:CreateTags |
||
| CreateNetworkAclEntry | 授予权限以在网络 ACL 中创建编号条目(规则) | 写入 | |||
| CreateNetworkInsightsAccessScope | 授予创建网络访问范围的权限 | 写入 |
ec2:CreateTags |
||
| CreateNetworkInsightsPath | 授予创建路径以分析可访问性的权限 | Write |
ec2:CreateTags |
||
| CreateNetworkInterface | 授予权限以在子网中创建网络接口 | 写入 |
ec2:CreateTags |
||
| CreateNetworkInterfacePermission | 授予权限以创建权限,允许 Amazon授权用户在网络接口上执行某些操作 | 权限管理 | |||
| CreatePlacementGroup | 授予权限以创建置放群组 | 写入 |
ec2:CreateTags |
||
| CreatePublicIpv4Pool | 授予为您拥有的公有 IPv4 CIDR 创建公有 IPv4 地址池的权限,这些 CIDR 由 Amazon 使用 Amazon VPC IP 地址管理器 (IPAM) 进行管理 | 写入 |
ec2:CreateTags |
||
| CreateReplaceRootVolumeTask | 授予创建根卷替换任务的权限 | Write |
ec2:CreateTags |
||
| CreateReservedInstancesListing | 授予权限以创建要在预留实例 Marketplace 出售的标准预留实例的列表 | 写入 | |||
| CreateRestoreImageTask | 授予启动从先前使用创建的 S3 对象恢复 AMI 的任务的权限 CreateStoreImageTask | 写入 |
ec2:CreateTags |
||
| CreateRoute | 授予权限以在 VPC 路由表中创建路由 | Write | |||
| CreateRouteTable | 授予权限以便为 VPC 创建路由表 | Write |
ec2:CreateTags |
||
| CreateSecurityGroup | 授予权限以创建安全组 | Write |
ec2:CreateTags |
||
| CreateSnapshot | 授予权限以创建 EBS 卷快照并将其存储在 Amazon S3 中 | Write |
ec2:CreateTags |
||
| CreateSnapshots | 授予权限以创建多个 EBS 卷的崩溃一致性快照并将其存储在 Amazon S3 中 | Write |
ec2:CreateTags |
||
| CreateSpotDatafeedSubscription | 授予权限以便为 Spot 实例创建数据源,用于查看 Spot 实例使用日志 | Write | |||
| CreateStoreImageTask | 授予将 AMI 作为单个对象存储在 S3 存储桶中的权限 | Write | |||
| CreateSubnet | 授予权限以在 VPC 中创建子网 | 写入 |
ec2:CreateTags |
||
| CreateSubnetCidrReservation | 授予权限以创建子网 CIDR 预留 | 写入 | |||
| CreateTags | 授予权限以便为 Amazon EC2 资源添加或覆盖一个或多个标签 | Tagging | |||
|
local-gateway-route-table-virtual-interface-group-association |
|||||
|
ec2:Phase1EncryptionAlgorithms |
|||||
| CreateTrafficMirrorFilter | 授予权限以创建流量镜像筛选条件 | Write |
ec2:CreateTags |
||
| CreateTrafficMirrorFilterRule | 授予权限以创建流量镜像筛选条件规则 | Write | |||
| CreateTrafficMirrorSession | 授予权限以创建流量镜像会话 | Write |
ec2:CreateTags |
||
| CreateTrafficMirrorTarget | 授予权限以创建流量镜像目标 | Write |
ec2:CreateTags |
||
| CreateTransitGateway | 授予权限以创建中转网关 | Write |
ec2:CreateTags |
||
| CreateTransitGatewayConnect | 授予从指定中转网关挂载创建连接挂载的权限 | Write |
ec2:CreateTags |
||
| CreateTransitGatewayConnectPeer | 授予在中转网关和设备之间创建对等连接的权限 | Write |
ec2:CreateTags |
||
| CreateTransitGatewayMulticastDomain | 授予权限以便为中转网关创建多播域 | Write |
ec2:CreateTags |
||
| CreateTransitGatewayPeeringAttachment | 授予权限以在请求方和接受方中转网关之间请求中转网关对等连接 | 写入 |
ec2:CreateTags |
||
| CreateTransitGatewayPolicyTable | 授予权限以创建中转网关策略表 | 写入 |
ec2:CreateTags |
||
| CreateTransitGatewayPrefixListReference | 授予权限以创建中转网关前缀列表引用 | Write | |||
| CreateTransitGatewayRoute | 授予权限以便为中转网关路由表创建静态路由 | Write | |||
| CreateTransitGatewayRouteTable | 授予权限以便为中转网关创建路由表 | 写入 |
ec2:CreateTags |
||
| CreateTransitGatewayRouteTableAnnouncement | 授予权限以创建中转网关路由表的公告 | 写入 |
ec2:CreateTags |
||
| CreateTransitGatewayVpcAttachment | 授予权限以将 VPC 附加到中转网关 | 写入 |
ec2:CreateTags |
||
| CreateVerifiedAccessEndpoint | 授予权限以创建验证访问端点 | 写入 |
ec2:CreateTags |
||
| CreateVerifiedAccessGroup | 授予权限以创建验证访问组 | 写入 |
ec2:CreateTags |
||
| CreateVerifiedAccessInstance | 授予权限以创建验证访问实例 | 写入 |
ec2:CreateTags |
||
| CreateVerifiedAccessTrustProvider | 授予权限以创建验证的信任提供商 | 写入 |
ec2:CreateTags |
||
| CreateVolume | 授予权限以创建 EBS 卷 | Write |
ec2:CreateTags |
||
| CreateVpc | 授予权限以创建具有指定 CIDR 块的 VPC | 写入 |
ec2:CreateTags |
||
| CreateVpcEndpoint | 授予为 Amazon 服务创建 VPC 终端节点的权限 | 写入 |
ec2:CreateTags route53:AssociateVPCWithHostedZone |
||
| CreateVpcEndpointConnectionNotification | 授予权限以便为 VPC 终端节点或 VPC 终端节点服务创建连接通知 | 写入 | |||
| CreateVpcEndpointServiceConfiguration | 授予创建服务使用者(Amazon 账户、IAM 用户和 IAM 角色)可以连接的 VPC 终端节点服务配置的权限 | 写入 |
ec2:CreateTags |
||
| CreateVpcPeeringConnection | 授予权限以在两个 VPC 之间请求 VPC 对等连接 | Write |
ec2:CreateTags |
||
| CreateVpnConnection | 授予权限以在虚拟私有网关或中转网关与客户网关之间创建 VPN 连接 | Write |
ec2:CreateTags |
||
|
ec2:Phase1EncryptionAlgorithms |
|||||
| CreateVpnConnectionRoute | 授予权限以在虚拟私有网关和客户网关之间为 VPN 连接创建静态路由 | Write | |||
| CreateVpnGateway | 授予权限以创建虚拟私有网关 | Write |
ec2:CreateTags |
||
| DeleteCarrierGateway | 授予权限以删除运营商网关 | Write | |||
| DeleteClientVpnEndpoint | 授予权限以删除客户端 VPN 终端节点 | Write | |||
| DeleteClientVpnRoute | 授予权限以从客户端 VPN 终端节点删除路由 | 写入 | |||
| DeleteCoipCidr | 授予删除一系列客户拥有的 IP (CoIP) 地址的权限 | 写入 | |||
| DeleteCoipPool | 授予删除客户拥有的 IP (CoIP) 地址池的权限 | 写入 | |||
| DeleteCoipPoolPermission [仅权限] | 授予拒绝服务访问客户拥有的 IP (CoIP) 池的权限 | 写入 | |||
| DeleteCustomerGateway | 授予权限以删除客户网关 | Write | |||
| DeleteDhcpOptions | 授予权限以删除一组 DHCP 选项 | Write | |||
| DeleteEgressOnlyInternetGateway | 授予权限以删除仅出口互联网网关 | Write | |||
| DeleteFleets | 授予权限以删除一个或多个 EC2 队列 | Write | |||
| DeleteFlowLogs | 授予权限以删除一个或多个流日志 | Write | |||
| DeleteFpgaImage | 授予权限以删除 Amazon FPGA Image (AFI) | 写入 | |||
| DeleteInstanceConnectEndpoint | 授予删除 EC2 Instance Connect Endpoint 的权限 | 写入 | |||
| DeleteInstanceEventWindow | 授予删除指定事件窗口的权限 | 写入 | |||
| DeleteInternetGateway | 授予权限以删除互联网网关 | 写入 | |||
| DeleteIpam | 授予删除 Amazon VPC IP 地址管理器 (IPAM) 和删除与 IPAM 关联的所有受监控数据的权限,包括 CIDR 的历史数据 | 写入 | |||
| DeleteIpamPool | 授予删除 Amazon VPC IP 地址管理器 (IPAM) 池的权限 | 写入 | |||
| DeleteIpamResourceDiscovery | 授予删除 IPAM 资源发现的权限 | 写入 | |||
| DeleteIpamScope | 授予删除 Amazon VPC IP 地址管理器 (IPAM) 范围的权限 | 写入 | |||
| DeleteKeyPair | 授予权限以通过从 Amazon EC2 中删除公有密钥来删除密钥对 | Write | |||
| DeleteLaunchTemplate | 授予权限以删除启动模板及其关联版本 | Write | |||
| DeleteLaunchTemplateVersions | 授予权限以删除启动模板的一个或多个版本 | Write | |||
| DeleteLocalGatewayRoute | 授予权限以从本地网关路由表中删除路由 | 写入 | |||
| DeleteLocalGatewayRouteTable | 授予删除本地网关路由表的权限 | 写入 | |||
| DeleteLocalGatewayRouteTablePermission [仅权限] | 授予拒绝服务访问本地网关路由表的权限 | 写入 | |||
| DeleteLocalGatewayRouteTableVirtualInterfaceGroupAssociation | 授予删除本地网关路由表虚拟接口组关联的权限 | 写入 |
local-gateway-route-table-virtual-interface-group-association* |
||
| DeleteLocalGatewayRouteTableVpcAssociation | 授予权限以删除 VPC 与本地网关路由表之间的关联 | Write | |||
| DeleteManagedPrefixList | 授予权限以删除托管前缀列表 | Write | |||
| DeleteNatGateway | 授予权限以删除 NAT 网关 | Write | |||
| DeleteNetworkAcl | 授予权限以删除网络 ACL | Write | |||
| DeleteNetworkAclEntry | 授予权限以从网络 ACL 中删除入站或出站条目(规则) | 写入 | |||
| DeleteNetworkInsightsAccessScope | 授予删除网络访问范围的权限 | 写入 | |||
| DeleteNetworkInsightsAccessScopeAnalysis | 授予删除网络访问范围分析的权限 | 写入 | |||
| DeleteNetworkInsightsAnalysis | 授予删除网络见解分析的权限 | Write | |||
| DeleteNetworkInsightsPath | 授予删除网络见解路径的权限 | Write | |||
| DeleteNetworkInterface | 授予权限以删除分离的网络接口 | Write | |||
| DeleteNetworkInterfacePermission | 授予权限以删除与网络接口关联的权限 | Permissions management | |||
| DeletePlacementGroup | 授予权限以删除置放群组 | 写入 | |||
| DeletePublicIpv4Pool | 授予为您拥有的公有 IPv4 CIDR 删除公有 IPv4 地址池的权限,这些 CIDR 由 Amazon 使用 Amazon VPC IP 地址管理器 (IPAM) 进行管理 | 写入 | |||
| DeleteQueuedReservedInstances | 授予删除指定预留实例的排队购买的权限 | 写入 | |||
| DeleteResourcePolicy [仅权限] | 授予从资源中删除启用跨账户共享的 IAM policy 的权限 | 写入 | |||
| DeleteRoute | 授予权限以从路由表中删除路由 | Write | |||
| DeleteRouteTable | 授予权限以删除路由表 | Write | |||
| DeleteSecurityGroup | 授予权限以删除安全组 | Write | |||
| DeleteSnapshot | 授予权限以删除 EBS 卷快照 | Write | |||
| DeleteSpotDatafeedSubscription | 授予权限以删除 Spot 实例的数据源 | Write | |||
| DeleteSubnet | 授予权限以删除子网 | 写入 | |||
| DeleteSubnetCidrReservation | 授予权限以删除子网 CIDR 预留 | 写入 | |||
| DeleteTags | 授予权限以从 Amazon EC2 资源中删除一个或多个标签 | Tagging | |||
|
local-gateway-route-table-virtual-interface-group-association |
|||||
| DeleteTrafficMirrorFilter | 授予权限以删除流量镜像筛选条件 | Write | |||
| DeleteTrafficMirrorFilterRule | 授予权限以删除流量镜像筛选条件规则 | Write | |||
| DeleteTrafficMirrorSession | 授予权限以删除流量镜像会话 | Write | |||
| DeleteTrafficMirrorTarget | 授予权限以删除流量镜像目标 | Write | |||
| DeleteTransitGateway | 授予权限以删除中转网关 | Write | |||
| DeleteTransitGatewayConnect | 授予删除中转网关连接挂载的权限 | Write | |||
| DeleteTransitGatewayConnectPeer | 授予删除中转网关对等连接的权限 | 写入 | |||
| DeleteTransitGatewayMulticastDomain | 授予删除中转网关多播域的权限 | 写入 | |||
| DeleteTransitGatewayPeeringAttachment | 授予权限以从中转网关删除对等连接 | 写入 | |||
| DeleteTransitGatewayPolicyTable | 授予权限以删除中转网关策略表 | 写入 | |||
| DeleteTransitGatewayPrefixListReference | 授予权限以删除中转网关前缀列表引用 | Write | |||
| DeleteTransitGatewayRoute | 授予权限以从中转网关路由表中删除路由 | Write | |||
| DeleteTransitGatewayRouteTable | 授予权限以删除中转网关路由表 | 写入 | |||
| DeleteTransitGatewayRouteTableAnnouncement | 授予权限以删除中转网关路由表公告 | 写入 | |||
| DeleteTransitGatewayVpcAttachment | 授予权限以从中转网关删除 VPC 连接 | 写入 | |||
| DeleteVerifiedAccessEndpoint | 授予权限以删除验证访问端点 | 写入 | |||
| DeleteVerifiedAccessGroup | 授予权限以删除验证访问组 | 写入 | |||
| DeleteVerifiedAccessInstance | 授予权限以删除验证访问实例 | 写入 | |||
| DeleteVerifiedAccessTrustProvider | 授予权限以删除验证的信任提供商 | 写入 | |||
| DeleteVolume | 授予权限以删除 EBS 卷 | Write | |||
| DeleteVpc | 授予权限以删除 VPC | Write | |||
| DeleteVpcEndpointConnectionNotifications | 授予权限以删除一个或多个 VPC 终端节点连接通知 | Write | |||
| DeleteVpcEndpointServiceConfigurations | 授予权限以删除一个或多个 VPC 终端节点服务配置 | Write | |||
| DeleteVpcEndpoints | 授予权限以删除一个或多个 VPC 终端节点 | Write | |||
| DeleteVpcPeeringConnection | 授予权限以删除 VPC 对等连接 | Write | |||
| DeleteVpnConnection | 授予权限以删除 VPN 连接 | Write | |||
| DeleteVpnConnectionRoute | 授予权限以删除虚拟私有网关和客户网关之间 VPN 连接的静态路由 | Write | |||
| DeleteVpnGateway | 授予权限以删除虚拟私有网关 | Write | |||
| DeprovisionByoipCidr | 授予权限以释放通过带自带 IP 地址 (BYOIP) 预配置的 IP 地址范围,并删除相应地址池 | 写入 | |||
| DeprovisionIpamByoasn | 授予从亚马逊云科技账户取消预置自治系统号(ASN)的权限 | 写入 | |||
| DeprovisionIpamPoolCidr | 授予权限以取消预置从 Amazon VPC IP 地址管理器 (IPAM) 池预置 CIDR | 写入 | |||
| DeprovisionPublicIpv4PoolCidr | 授予从公有 IPv4 池中取消预置 CIDR 的权限 | 写入 | |||
| DeregisterImage | 授予权限以取消注册 Amazon Machine Image (AMI) | Write | |||
| DeregisterInstanceEventNotificationAttributes | 授予权限以从标签集中删除标签,从而包含在有关实例的计划事件的通知中 | Write | |||
| DeregisterTransitGatewayMulticastGroupMembers | 授予权限以从中转网关多播域的组 IP 地址中取消注册一个或多个网络接口成员 | Write | |||
| DeregisterTransitGatewayMulticastGroupSources | 授予权限以从中转网关多播域的组 IP 地址中取消注册一个或多个网络接口源 | 写入 | |||
| DescribeAccountAttributes | 授予描述属性的权限 Amazon Web Services 账户 | 列出 | |||
| DescribeAddressTransfers | 授予权限以描述 Elastic IP 地址转换 | 列出 | |||
| DescribeAddresses | 授予权限以描述一个或多个弹性 IP 地址 | List | |||
| DescribeAddressesAttribute | 授予权限以描述指定弹性 IP 地址的属性 | List | |||
| DescribeAggregateIdFormat | 授予权限以描述所有资源类型的较长 ID 格式设置 | List | |||
| DescribeAvailabilityZones | 授予权限以描述可供您使用的一个或多个可用区 | 列出 | |||
| DescribeAwsNetworkPerformanceMetricSubscriptions | 授予权限以描述当前基础设施性能指标订阅 | 列出 | |||
| DescribeBundleTasks | 授予权限以描述一个或多个捆绑任务 | List | |||
| DescribeByoipCidrs | 授予权限以描述通过自带 IP 地址 (BYOIP) 预配置的 IP 地址范围 | 列出 | |||
| DescribeCapacityBlockOfferings | 授予描述可供购买的容量块产品的权限 | 列出 | |||
| DescribeCapacityReservationFleets | 授予权限以描述一个或多个容量预留机群 | 列出 | |||
| DescribeCapacityReservations | 授予权限以描述一个或多个容量预留 | List | |||
| DescribeCarrierGateways | 授予权限以描述一个或多个运营商网关 | List | |||
| DescribeClassicLinkInstances | 授予权限以描述一个或多个链接的 EC2-Classic 实例 | List | |||
| DescribeClientVpnAuthorizationRules | 授予权限以描述客户端 VPN 终端节点的授权规则 | List | |||
| DescribeClientVpnConnections | 授予权限以描述某个客户端 VPN 终端节点的活动客户端连接以及在过去 60 分钟内终止的连接 | List | |||
| DescribeClientVpnEndpoints | 授予权限以描述一个或多个客户端 VPN 终端节点 | List | |||
| DescribeClientVpnRoutes | 授予权限以描述客户端 VPN 终端节点的路由 | List | |||
| DescribeClientVpnTargetNetworks | 授予权限以描述与客户端 VPN 终端节点关联的目标网络 | List | |||
| DescribeCoipPools | 授予权限以描述客户拥有的指定地址池或客户拥有的所有地址池 | List | |||
| DescribeConversionTasks | 授予权限以描述一个或多个转换任务 | List | |||
| DescribeCustomerGateways | 授予权限以描述一个或多个客户网关 | List | |||
| DescribeDhcpOptions | 授予权限以描述一个或多个 DHCP 选项集 | List | |||
| DescribeEgressOnlyInternetGateways | 授予权限以描述一个或多个仅出口互联网网关 | List | |||
| DescribeElasticGpus | 授予权限以描述与实例关联的 Elastic Graphics 加速器 | 列出 | |||
| DescribeExportImageTasks | 授予权限以描述一个或多个导出映像任务 | List | |||
| DescribeExportTasks | 授予权限以描述一个或多个导出实例任务 | 列出 | |||
| DescribeFastLaunchImages | 授予权限以描述已启用快速启动的 Windows AMI 的权限 | 列出 | |||
| DescribeFastSnapshotRestores | 授予权限以描述快照的快速快照还原状态 | 列出 | |||
| DescribeFleetHistory | 授予权限以描述指定时间段内 EC2 队列的事件 | List | |||
| DescribeFleetInstances | 授予权限以描述 EC2 队列的正在运行实例 | List | |||
| DescribeFleets | 授予权限以描述一个或多个 EC2 队列 | List | |||
| DescribeFlowLogs | 授予权限以描述一个或多个流日志 | List | |||
| DescribeFpgaImageAttribute | 授予权限以描述 Amazon FPGA Image (AFI)的属性 | List | |||
| DescribeFpgaImages | 授予权限以描述一个或多个Amazon FPGA Image (AFI) | List | |||
| DescribeHostReservationOfferings | 授予权限以描述可供购买的专用主机预留 | 列出 | |||
| DescribeHostReservations | 授予在中描述与专用主机关联的专用主机预留的权限 Amazon Web Services 账户 | 列出 | |||
| DescribeHosts | 授予权限以描述一个或多个专用主机 | List | |||
| DescribeIamInstanceProfileAssociations | 授予权限以描述 IAM 实例配置文件关联 | List | |||
| DescribeIdFormat | 授予权限以描述资源的 ID 格式设置 | List | |||
| DescribeIdentityIdFormat | 授予权限以描述 IAM 用户、IAM 角色或根用户资源的 ID 格式设置 | List | |||
| DescribeImageAttribute | 授予权限以描述 Amazon Machine Image (AMI) 的属性 | List | |||
| DescribeImages | 授予权限以描述一个或多个映像(AMI、AKI 和 ARI) | List | |||
| DescribeImportImageTasks | 授予权限以描述导入虚拟机或导入快照任务 | List | |||
| DescribeImportSnapshotTasks | 授予权限以描述导入快照任务 | List | |||
| DescribeInstanceAttribute | 授予权限以描述实例属性 | 列出 | |||
| DescribeInstanceConnectEndpoints | 授予描述 EC2 Instance Connect Endpoint 的权限 | 列出 | |||
| DescribeInstanceCreditSpecifications | 授予权限以描述一个或多个可突增性能实例的 CPU 使用情况的服务抵扣金选项 | List | |||
| DescribeInstanceEventNotificationAttributes | 授予权限以描述要包含在有关实例计划事件的通知中的标签集 | 列出 | |||
| DescribeInstanceEventWindows | 授予权限以描述指定事件窗口或所有事件窗口 | 列出 | |||
| DescribeInstanceStatus | 授予权限以描述一个或多个实例的状态 | 列出 | |||
| DescribeInstanceTopology | 授予描述代表 EC2 实例物理主机置放的树状层次结构的权限 | 列出 | |||
| DescribeInstanceTypeOfferings | 授予权限以描述位置中提供的实例类型集 | List | |||
| DescribeInstanceTypes | 授予权限以描述位置中提供的实例类型详细信息 | List | |||
| DescribeInstances | 授予权限以描述一个或多个实例 | List | |||
| DescribeInternetGateways | 授予权限以描述一个或多个互联网网关 | 列出 | |||
| DescribeIpamByoasn | 授予描述您带入 IPAM 的自带自治系统号(BYOASN)的权限 | 列出 | |||
| DescribeIpamPools | 授予描述 Amazon VPC IP 地址管理器 (IPAM) 池的权限 | 列出 | |||
| DescribeIpamResourceDiscoveries | 授予描述 IPAM 资源发现的权限 | 列出 | |||
| DescribeIpamResourceDiscoveryAssociations | 授予描述与 Amazon VPC IPAM 关联的 IPAM 资源发现的权限 | 列出 | |||
| DescribeIpamScopes | 授予描述 Amazon VPC IP 地址管理器 (IPAM) 范围的权限 | 列出 | |||
| DescribeIpams | 授予描述 Amazon VPC IP 地址管理器 (IPAM) 的权限 | 列出 | |||
| DescribeIpv6Pools | 授予描述一个或多个 IPv6 地址池的权限 | List | |||
| DescribeKeyPairs | 授予权限以描述一个或多个密钥对 | List | |||
| DescribeLaunchTemplateVersions | 授予权限以描述一个或多个启动模板版本 | List |
ssm:GetParameters |
||
| DescribeLaunchTemplates | 授予权限以描述一个或多个启动模板 | 列出 | |||
| DescribeLocalGatewayRouteTablePermissions [仅权限] | 授予权限以允许服务描述本地网关路由表的权限 | 列出 | |||
| DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations | 授予权限以描述虚拟接口组与本地网关路由表之间关联 | List | |||
| DescribeLocalGatewayRouteTableVpcAssociations | 授予权限以描述 VPC 与本地网关路由表之间的关联 | List | |||
| DescribeLocalGatewayRouteTables | 授予权限以描述一个或多个本地网关路由表 | List | |||
| DescribeLocalGatewayVirtualInterfaceGroups | 授予权限以描述本地网关虚拟接口组 | List | |||
| DescribeLocalGatewayVirtualInterfaces | 授予权限以描述本地网关虚拟接口 | List | |||
| DescribeLocalGateways | 授予权限以描述一个或多个本地网关 | 列出 | |||
| DescribeLockedSnapshots | 授予描述快照锁定状态的权限 | 列出 | |||
| DescribeMacHosts | 授予描述您的 EC2 Mac 专用主机的权限 | 列出 | |||
| DescribeManagedPrefixLists | 授予描述您的托管前缀列表和任何托 Amazon管前缀列表的权限 | 列出 | |||
| DescribeMovingAddresses | 授予权限以描述正在移动到 EC2-VPC 平台的弹性 IP 地址 | List | |||
| DescribeNatGateways | 授予权限以描述一个或多个 NAT 网关 | List | |||
| DescribeNetworkAcls | 授予权限以描述一个或多个网络 ACL | 列出 | |||
| DescribeNetworkInsightsAccessScopeAnalyses | 授予描述一个或多个网络访问范围分析的权限 | 列出 | |||
| DescribeNetworkInsightsAccessScopes | 授予描述网络访问范围的权限 | 列出 | |||
| DescribeNetworkInsightsAnalyses | 授予描述一个或多个网络见解分析的权限 | List | |||
| DescribeNetworkInsightsPaths | 授予描述一个或多个网络见解路径的权限 | List | |||
| DescribeNetworkInterfaceAttribute | 授予权限以描述网络接口属性 | List | |||
| DescribeNetworkInterfacePermissions | 授予权限以描述与网络接口关联的权限 | List | |||
| DescribeNetworkInterfaces | 授予权限以描述一个或多个网络接口 | List | |||
| DescribePlacementGroups | 授予权限以描述一个或多个置放群组 | 列出 | |||
| DescribePrefixLists | 授予以前缀列表格式描述可用 Amazon 服务的权限 | 列出 | |||
| DescribePrincipalIdFormat | 授予权限以描述根用户以及明确指定较长 ID(17 个字符的 ID)首选项的所有 IAM 角色和 IAM 用户的 ID 格式设置 | List | |||
| DescribePublicIpv4Pools | 授予权限以描述一个或多个 IPv4 地址池 | 列出 | |||
| DescribeRegions | 授予描述您账户中当前可用的一项或多 Amazon Web Services 区域 项内容的权限 | 列出 | |||
| DescribeReplaceRootVolumeTasks | 授予描述根卷替换任务的权限 | List | |||
| DescribeReservedInstances | 授予权限以描述您账户中购买的一个或多个预留实例 | List | |||
| DescribeReservedInstancesListings | 授予权限以描述您账户在预留实例 Marketplace 中的预留实例列表 | List | |||
| DescribeReservedInstancesModifications | 授予权限以描述对一个或多个预留实例所做的修改 | List | |||
| DescribeReservedInstancesOfferings | 授予权限以描述可供购买的预留实例产品 | List | |||
| DescribeRouteTables | 授予权限以描述一个或多个路由表 | List | |||
| DescribeScheduledInstanceAvailability | 授予权限以查找计划实例的可用计划 | 列出 | |||
| DescribeScheduledInstances | 授予权限以描述您账户中的一个或多个计划实例 | 列出 | |||
| DescribeSecurityGroupReferences | 授予权限以描述在 VPC 对等连接另一侧引用了指定 VPC 安全组的 VPC | List | |||
| DescribeSecurityGroupRules | 授予权限以描述一个或多个安全组规则 | List | |||
| DescribeSecurityGroups | 授予权限以描述一个或多个安全组 | List | |||
| DescribeSnapshotAttribute | 授予权限以描述快照的属性 | 列出 | |||
| DescribeSnapshotTierStatus | 授予权限以描述 Amazon EBS 快照的存储层状态 | 列出 | |||
| DescribeSnapshots | 授予权限以描述一个或多个 EBS 快照 | List | |||
| DescribeSpotDatafeedSubscription | 授予权限以描述 Spot 实例的数据源 | List | |||
| DescribeSpotFleetInstances | 授予权限以描述 Spot 队列正在运行的实例 | List | |||
| DescribeSpotFleetRequestHistory | 授予权限以描述在指定时间段内 Spot 队列请求的事件 | List | |||
| DescribeSpotFleetRequests | 授予权限以描述一个或多个 Spot 队列请求 | List | |||
| DescribeSpotInstanceRequests | 授予权限以描述一个或多个 Spot 实例请求 | List | |||
| DescribeSpotPriceHistory | 授予权限以描述 Spot 实例价格历史记录 | List | |||
| DescribeStaleSecurityGroups | 授予权限以描述指定 VPC 中安全组过时的安全组规则 | List | |||
| DescribeStoreImageTasks | 授予描述 AMI 存储任务进度的权限 | List | |||
| DescribeSubnets | 授予权限以描述一个或多个子网 | List | |||
| DescribeTags | 授予权限以描述 Amazon EC2 资源的一个或多个标签 | 列出 | |||
| DescribeTrafficMirrorFilters | 授予权限以描述一个或多个流量镜像筛选条件 | List | |||
| DescribeTrafficMirrorSessions | 授予权限以描述一个或多个流量镜像会话 | List | |||
| DescribeTrafficMirrorTargets | 授予权限以描述一个或多个流量镜像目标 | List | |||
| DescribeTransitGatewayAttachments | 授予权限以描述资源和中转网关之间的一个或多个连接 | List | |||
| DescribeTransitGatewayConnectPeers | 授予描述一个或多个中转网关对等连接的权限 | List | |||
| DescribeTransitGatewayConnects | 授予描述一个或多个中转网关连接挂载的权限 | List | |||
| DescribeTransitGatewayMulticastDomains | 授予权限以描述一个或多个中转网关多播域 | List | |||
| DescribeTransitGatewayPeeringAttachments | 授予权限以描述一个或多个中转网关对等连接 | 列出 | |||
| DescribeTransitGatewayPolicyTables | 授予权限以描述中转网关策略表 | 列出 | |||
| DescribeTransitGatewayRouteTableAnnouncements | 授予权限以描述中转网关路由表公告 | 列出 | |||
| DescribeTransitGatewayRouteTables | 授予权限以描述一个或多个中转网关路由表 | List | |||
| DescribeTransitGatewayVpcAttachments | 授予权限以描述中转网关上的一个或多个 VPC 连接 | List | |||
| DescribeTransitGateways | 授予权限以描述一个或多个中转网关 | 列出 | |||
| DescribeTrunkInterfaceAssociations | 授予权限以描述一个或多个网络接口中继线关联 | 列出 | |||
| DescribeVerifiedAccessEndpoints | 授予权限以描述指定的验证访问端点或所有验证访问端点 | 列出 | |||
| DescribeVerifiedAccessGroups | 授予权限以描述指定的验证访问组或所有验证访问组 | 列出 | |||
| DescribeVerifiedAccessInstanceLoggingConfigurations | 授予权限以描述验证访问实例的当前日志记录配置 | 列出 | |||
| DescribeVerifiedAccessInstanceWebAclAssociations [仅权限] | 授予描述已验证访问实例 Amazon 的 Web 应用程序防火墙 (WAF) Web 访问控制列表 (ACL) 关联的权限 | 列出 | |||
| DescribeVerifiedAccessInstances | 授予权限以描述指定的验证访问实例或所有验证访问实例 | 列出 | |||
| DescribeVerifiedAccessTrustProviders | 授予权限以描述现有验证访问信任提供商的详细信息 | 列出 | |||
| DescribeVolumeAttribute | 授予权限以描述 EBS 卷的属性 | List | |||
| DescribeVolumeStatus | 授予权限以描述一个或多个 EBS 卷的状态 | List | |||
| DescribeVolumes | 授予权限以描述一个或多个 EBS 卷 | List | |||
| DescribeVolumesModifications | 授予权限以描述一个或多个 EBS 卷的当前修改状态 | 列出 | |||
| DescribeVpcAttribute | 授予权限以描述 VPC 的属性 | 列出 | |||
| DescribeVpcClassicLink | 授予描述一个或多个 VPC ClassicLink 状态的权限 | 列出 | |||
| DescribeVpcClassicLinkDnsSupport | 授予描述一个或多个 VPC ClassicLink 的 DNS 支持状态的权限 | 列出 | |||
| DescribeVpcEndpointConnectionNotifications | 授予权限以描述 VPC 终端节点和 VPC 终端节点服务的连接通知 | List | |||
| DescribeVpcEndpointConnections | 授予权限以描述与 VPC 终端节点服务的 VPC 终端节点连接 | List | |||
| DescribeVpcEndpointServiceConfigurations | 授予权限以描述 VPC 终端节点服务配置(您的服务) | List | |||
| DescribeVpcEndpointServicePermissions | 授予权限以描述允许发现 VPC 终端节点服务的委托人(服务使用者) | 列出 | |||
| DescribeVpcEndpointServices | 授予描述创建 VPC 终端节点时可以指定的所有受支持 Amazon 服务的权限 | 列出 | |||
| DescribeVpcEndpoints | 授予权限以描述一个或多个 VPC 终端节点 | List | |||
| DescribeVpcPeeringConnections | 授予权限以描述一个或多个 VPC 对等连接 | List | |||
| DescribeVpcs | 授予权限以描述一个或多个 VPC | List | |||
| DescribeVpnConnections | 授予权限以描述一个或多个 VPN 连接 | 列出 | |||
| DescribeVpnGateways | 授予权限以描述一个或多个虚拟私有网关 | List | |||
| DetachClassicLinkVpc | 授予权限以从 VPC 取消链接(分离)链接的 EC2-Classic 实例 | Write | |||
| DetachInternetGateway | 授予权限以从 VPC 中分离互联网网关 | Write | |||
| DetachNetworkInterface | 授予权限以从实例分离网络接口 | 写入 | |||
| DetachVerifiedAccessTrustProvider | 授予权限以将信任提供商与验证访问实例分离 | 写入 | |||
| DetachVolume | 授予权限以从实例分离 EBS 卷 | Write | |||
| DetachVpnGateway | 授予权限以从 VPC 分离虚拟私有网关 | 写入 | |||
| DisableAddressTransfer | 授予权限以禁用 Elastic IP 地址转换 | 写入 | |||
| DisableAwsNetworkPerformanceMetricSubscription | 授予权限以禁用基础设施性能指标订阅 | 写入 | |||
| DisableEbsEncryptionByDefault | 授予权限以默认对您的账户禁用 EBS 加密 | 写入 | |||
| DisableFastLaunch | 授予权限以禁用 Windows AMI 的更快启动 | 写入 | |||
| DisableFastSnapshotRestores | 授予权限以对指定可用区中的一个或多个快照禁用快速快照还原 | 写入 | |||
| DisableImage | 授予禁用 AMI 的权限 | 写入 | |||
| DisableImageBlockPublicAccess | 授予在指定账户级别禁用 AMI 的封锁公共访问权限的权限 Amazon Web Services 区域 | 写入 | |||
| DisableImageDeprecation | 授予取消指定 AMI 弃用的权限 | 写入 | |||
| DisableIpamOrganizationAdminAccount | 授予禁用 Organi Amazon zations 成员账户作为亚马逊 VPC IP 地址管理器 (IPAM) 管理员账户的权限 | 写入 |
organizations:DeregisterDelegatedAdministrator |
||
| DisableSerialConsoleAccess | 授予权限以禁止对账户所有实例的 EC2 Serial Console 进行访问 | 写入 | |||
| DisableSnapshotBlockPublicAccess | 授予为某个区域禁用“屏蔽快照公共访问权限”设置的权限 | 写入 | |||
| DisableTransitGatewayRouteTablePropagation | 授予权限以禁止资源连接将路由传播到指定的传播路由表 | Write | |||
| DisableVgwRoutePropagation | 授予权限以禁止虚拟私有网关将路由传播到 VPC 的指定路由表 | 写入 | |||
| DisableVpcClassicLink | 授予禁用 VPC ClassicLink 的权限 | 写入 | |||
| DisableVpcClassicLinkDnsSupport | 授予禁用 VPC ClassicLink 的 DNS 支持的权限 | 写入 | |||
| DisassociateAddress | 授予权限以取消弹性 IP 地址与实例或网络接口的关联 | Write | |||
| DisassociateClientVpnTargetNetwork | 授予权限以取消目标网络与客户端 VPN 终端节点的关联 | Write | |||
| DisassociateEnclaveCertificateIamRole | 授予取消 ACM 证书与 IAM 角色之间的关联的权限 | Write | |||
| DisassociateIamInstanceProfile | 授予权限以取消 IAM 实例配置文件与正在运行或已停止实例的关联 | 写入 | |||
| DisassociateInstanceEventWindow | 授予权限以取消一个或多个目标与事件窗口的关联 | 写入 | |||
| DisassociateIpamByoasn | 授予将自治系统号(ASN)与 BYOIP CIDR 取消关联的权限 | 写入 | |||
| DisassociateIpamResourceDiscovery | 授予取消 IPAM 资源发现与 Amazon VPC IPAM 的关联的权限 | 写入 | |||
| DisassociateNatGatewayAddress | 授予权限以将辅助弹性 IP 地址与公有 NAT 网关取消关联 | 写入 | |||
| DisassociateRouteTable | 授予权限以取消子网与路由表的关联 | Write | |||
| DisassociateSubnetCidrBlock | 授予权限以取消 CIDR 块与子网的关联 | Write | |||
| DisassociateTransitGatewayMulticastDomain | 授予权限以取消一个或多个子网与中转网关多播域的关联 | 写入 | |||
| DisassociateTransitGatewayPolicyTable | 授予权限以解除策略表与中转网关的关联 | 写入 | |||
| DisassociateTransitGatewayRouteTable | 授予权限以从中转网关路由表取消资源连接的关联 | 写入 | |||
| DisassociateTrunkInterface | 授予解除分支网络接口与中继网络接口关联的权限 | 写入 | |||
| DisassociateVerifiedAccessInstanceWebAcl [仅权限] | 授予解除 Amazon Web 应用程序防火墙 (WAF) Web 访问控制列表 (ACL) 与已验证访问实例的关联的权限 | 写入 | |||
| DisassociateVpcCidrBlock | 授予权限以取消 CIDR 块与 VPC 的关联 | 写入 | |||
| EnableAddressTransfer | 授予权限以启用 Elastic IP 地址转换 | 写入 | |||
| EnableAwsNetworkPerformanceMetricSubscription | 授予权限以启用基础设施性能订阅 | 写入 | |||
| EnableEbsEncryptionByDefault | 授予权限以对您的账户默认启用 EBS 加密 | 写入 | |||
| EnableFastLaunch | 授予权限以启用 Windows AMI 的更快启动 | 写入 | |||
| EnableFastSnapshotRestores | 授予权限以对指定可用区中的一个或多个快照启用快速快照还原 | 写入 | |||
| EnableImage | 授予启用之前被禁用 AMI 的权限 | 写入 | |||
| EnableImageBlockPublicAccess | 授予在指定账户级别为 AMI 启用封锁公共访问权限的权限 Amazon Web Services 区域 | 写入 | |||
| EnableImageDeprecation | 授予权限以在指定日期和时间启用指定 AMI 弃用 | 写入 | |||
| EnableIpamOrganizationAdminAccount | 授予将 Organizat Amazon ions 成员账户启用 Amazon VPC IP 地址管理器 (IPAM) 管理员账户的权限 | 写入 |
iam:CreateServiceLinkedRole organizations:EnableAWSServiceAccess organizations:RegisterDelegatedAdministrator |
||
| EnableReachabilityAnalyzerOrganizationSharing | 授予权限以启用可访问性分析器的组织分享 | 写入 |
iam:CreateServiceLinkedRole organizations:EnableAWSServiceAccess |
||
| EnableSerialConsoleAccess | 授予权限以对账户所有实例的 EC2 Serial Console 进行访问 | 写入 | |||
| EnableSnapshotBlockPublicAccess | 授予为某个区域启用或修改“屏蔽快照公共访问权限”设置的权限 | 写入 | |||
| EnableTransitGatewayRouteTablePropagation | 授予权限以允许连接将路由传播到传播路由表 | Write | |||
| EnableVgwRoutePropagation | 授予权限以允许虚拟私有网关将路由传播到 VPC 路由表 | Write | |||
| EnableVolumeIO | 授予权限以对禁用了 I/O 操作的卷启用 I/O 操作 | 写入 | |||
| EnableVpcClassicLink | 授予为启用 VPC 的权限 ClassicLink | 写入 | |||
| EnableVpcClassicLinkDnsSupport | 授予允许 VPC 支持 DNS 主机名解析的权限 ClassicLink | 写入 | |||
| ExportClientVpnClientCertificateRevocationList | 授予权限以下载客户端 VPN 终端节点的客户端证书吊销列表 | 读取 | |||
| ExportClientVpnClientConfiguration | 授予权限以下载客户端 VPN 终端节点的客户端 VPN 端点配置文件的内容 | 读取 | |||
| ExportImage | 授予权限以将 Amazon Machine Image (AMI) 导出到 VM 文件 | Write |
ec2:CreateTags |
||
| ExportTransitGatewayRoutes | 授予权限以将路由从中转网关路由表导出到 Amazon S3 存储桶 | Write | |||
| GetAssociatedEnclaveCertificateIamRoles | 授予获取与 ACM 证书关联的角色列表的权限 | Read | |||
| GetAssociatedIpv6PoolCidrs | 授予获取有关指定 IPv6 地址池的 IPv6 CIDR 数据块关联信息的权限 | 读取 | |||
| GetAwsNetworkPerformanceData | 授予权限以获取网络性能数据 | 读取 | |||
| GetCapacityReservationUsage | 授予权限以获取容量预留的使用信息 | Read | |||
| GetCoipPoolUsage | 授予权限以描述来自客户拥有的指定地址池的分配 | Read | |||
| GetConsoleOutput | 授予权限以获取实例的控制台输出 | Read | |||
| GetConsoleScreenshot | 授予权限以检索正在运行实例的 JPG 格式屏幕截图 | Read | |||
| GetDefaultCreditSpecification | 授予权限以获取可突增性能实例系列的 CPU 使用情况的默认服务抵扣金选项 | Read | |||
| GetEbsDefaultKmsKeyId | 授予权限以获取默认 EBS 加密的默认客户主密钥 (CMK) 的 ID | Read | |||
| GetEbsEncryptionByDefault | 授予权限以描述默认情况下是否为您的账户启用 EBS 加密 | 读取 | |||
| GetFlowLogsIntegrationTemplate | 授予生成 CloudFormation 模板的权限,以简化 VPC 流日志与 Amazon Athena 的集成 | 读取 | |||
| GetGroupsForCapacityReservation | 授予列出已为其添加了容量预留的资源组的权限 | List | |||
| GetHostReservationPurchasePreview | 授予权限以查看其配置与专用主机配置匹配的预留购买 | 读取 | |||
| GetImageBlockPublicAccessState | 授予权限以获取 AMI 在指定账户级别的封锁公共访问的当前状态 Amazon Web Services 区域 | 读取 | |||
| GetInstanceMetadataDefaults | 授予权限以查看在指定区域为您的账户设置的默认实例元数据服务 (IMDS) 设置 | 列出 | |||
| GetInstanceTypesFromInstanceRequirements | 授予权限以查看具有指定实例属性的实例类型列表 | 列出 | |||
| GetInstanceUefiData | 授予检索 UEFI 可变存储的二进制表示的权限 | 读取 | |||
| GetIpamAddressHistory | 授予在 Amazon VPC IP 地址管理器 (IPAM) 范围内检索有关 CIDR 的历史信息的权限 | 读取 | |||
| GetIpamDiscoveredAccounts | 授予检索 IPAM 发现账户的权限 | 读取 | |||
| GetIpamDiscoveredPublicAddresses | 授予检索已被 IPAM 发现的公有 IP 地址的权限 | 读取 | |||
| GetIpamDiscoveredResourceCidrs | 授予检索作为资源发现的一部分监控的资源 CIDR 的权限 | 读取 | |||
| GetIpamPoolAllocations | 授予获取 Amazon VPC IP 地址管理器 (IPAM) 池中的所有 CIDR 分配列表的权限 | 列出 | |||
| GetIpamPoolCidrs | 授予获取预置到 Amazon VPC IP 地址管理器 (IPAM) 池的 CIDR 的权限 | 读取 | |||
| GetIpamResourceCidrs | 授予获取有关 Amazon VPC IP 地址管理器 (IPAM) 范围中的资源信息的权限 | 读取 | |||
| GetLaunchTemplateData | 授予权限以获取用于新启动模板或启动模板版本的指定实例的配置数据 | Read | |||
| GetManagedPrefixListAssociations | 授予权限以获取与指定托管前缀列表关联的资源的相关信息 | Read | |||
| GetManagedPrefixListEntries | 授予权限以获取指定托管前缀列表的条目的相关信息 | 读取 | |||
| GetNetworkInsightsAccessScopeAnalysisFindings | 授予获取一个或多个网络访问范围分析结果的权限 | 读取 | |||
| GetNetworkInsightsAccessScopeContent | 授予权限以获取指定网络访问范围的内容 | 读取 | |||
| GetPasswordData | 授予权限以检索正在运行的 Windows 实例的加密管理员密码 | Read | |||
| GetReservedInstancesExchangeQuote | 授予权限以返回报价和交换信息,以便为新的可转换预留实例交换一个或多个可转换预留实例 | 读取 | |||
| GetResourcePolicy [仅权限] | 授予描述启用跨账户共享的 IAM policy 的权限 | 读取 | |||
| GetSecurityGroupsForVpc | 授予检索指定 VPC 的安全组列表的权限 | 读取 | |||
| GetSerialConsoleAccessStatus | 授予权限以检索账户对所有实例的 EC2 Serial Console 的访问状态 | 读取 | |||
| GetSnapshotBlockPublicAccessState | 授予检索某个区域的“屏蔽快照公共访问权限”设置的当前状态的权限 | 读取 | |||
| GetSpotPlacementScores | 授予根据指定的目标容量和计算要求计算某个区域或可用区的 Spot 放置分数的权限 | 读取 | |||
| GetSubnetCidrReservations | 授予权限以检索有关子网 CIDR 预留的信息 | 读取 | |||
| GetTransitGatewayAttachmentPropagations | 授予权限以列出资源连接向其传播路由的路由表 | List | |||
| GetTransitGatewayMulticastDomainAssociations | 授予权限以获取有关中转网关多播域的关联的信息 | 列出 | |||
| GetTransitGatewayPolicyTableAssociations | 授予权限以获取有关中转网关策略表的关联的信息 | 列出 | |||
| GetTransitGatewayPolicyTableEntries | 授予权限以获取有关中转网关策略表条目的关联的信息 | 列出 | |||
| GetTransitGatewayPrefixListReferences | 授予权限以获取中转网关路由表的前缀列表引用的相关信息 | List | |||
| GetTransitGatewayRouteTableAssociations | 授予权限以获取有关中转网关路由表的关联的信息 | List | |||
| GetTransitGatewayRouteTablePropagations | 授予权限以获取有关中转网关路由表的路由表传播信息 | 列出 | |||
| GetVerifiedAccessEndpointPolicy | 授予权限以显示与端点关联的验证访问策略 | 列出 | |||
| GetVerifiedAccessGroupPolicy | 授予权限以显示与组关联的验证访问策略的内容 | 列出 | |||
| GetVerifiedAccessInstanceWebAcl [仅权限] | 授予权限以显示已验证访问实例的 Amazon Web 应用程序防火墙 (WAF) Web 访问控制列表 (ACL) | 列出 | |||
| GetVpnConnectionDeviceSampleConfiguration | 授予下载由客户网关设备 Amazon提供的示例配置文件的权限 | 列出 | |||
| GetVpnConnectionDeviceTypes | 授予获取可为其提供示例配置文件的客户网关设备列表的权限 | 列出 | |||
| GetVpnTunnelReplacementStatus | 授予权限以查看可用隧道端点维护事件 | 列出 | |||
| ImportByoipCidrToIpam [仅权限] | 授予权限以将现有 BYOIP IPv4 CIDR 传输到 IPAM | 写入 | |||
| ImportClientVpnClientCertificateRevocationList | 授予权限以将客户端证书吊销列表上传到客户端 VPN 终端节点 | Write | |||
| ImportImage | 授予权限以将单个或多个卷磁盘映像或 EBS 快照导入 Amazon Machine Image (AMI) | Write |
ec2:CreateTags |
||
| ImportInstance | 授予权限以使用磁盘映像中的元数据创建导入实例任务 | Write | |||
| ImportKeyPair | 授予权限以从使用第三方工具创建的 RSA 密钥对导入公有密钥 | Write |
ec2:CreateTags |
||
| ImportSnapshot | 授予权限以将磁盘导入 EBS 快照 | Write |
ec2:CreateTags |
||
| ImportVolume | 授予权限以使用磁盘映像中的元数据创建导入卷任务 | 写入 | |||
| InjectApiError [仅权限] | 授予为目标 API 请求临时注入错误的权限 | 写入 | |||
| ListImagesInRecycleBin | 授予权限以列出当前位于 Recycle Bin 中的 Amazon Machine Images (AMI) | 列出 | |||
| ListSnapshotsInRecycleBin | 授予权限以列出当前位于回收站中的 Amazon EBS 快照 | 列出 | |||
| LockSnapshot | 授予在监管或合规模式下锁定 Amazon EBS 快照,以防止意外或恶意删除的权限 | 写入 | |||
| ModifyAddressAttribute | 授予权限以修改指定弹性 IP 地址属性 | Write | |||
| ModifyAvailabilityZoneGroup | 授予修改账户的本地区域和 Wavelength 区域组的选择加入状态的权限 | Write | |||
| ModifyCapacityReservation | 授予权限以修改容量预留的容量以及释放容量的条件 | 写入 | |||
| ModifyCapacityReservationFleet | 授予修改容量预留机群的权限 | 写入 |
ec2:ModifyCapacityReservation |
||
| ModifyClientVpnEndpoint | 授予权限以修改客户端 VPN 终端节点 | Write |
ec2:Attribute/${AttributeName} |
||
| ModifyDefaultCreditSpecification | 授予权限以更改可突增性能实例的 CPU 使用情况的账户级别默认服务抵扣金选项 | Write | |||
| ModifyEbsDefaultKmsKeyId | 授予权限以更改您账户的默认 EBS 加密的默认客户主密钥 (CMK) | Write | |||
| ModifyFleet | 授予权限以修改 EC2 队列 | Write | |||
| ModifyFpgaImageAttribute | 授予权限以修改 Amazon FPGA Image (AFI) 的属性 | Write | |||
| ModifyHosts | 授予权限以修改专用主机 | Write | |||
| ModifyIdFormat | 授予权限以修改资源的 ID 格式 | Write | |||
| ModifyIdentityIdFormat | 授予权限以修改您账户中特定委托人的资源的 ID 格式 | Write | |||
| ModifyImageAttribute | 授予权限以修改 Amazon Machine Image (AMI) 的属性 | Write | |||
| ModifyInstanceAttribute | 授予权限以修改实例的属性 | Write |
ec2:Attribute/${AttributeName} |
||
| ModifyInstanceCapacityReservationAttributes | 授予权限以修改已停止实例的容量预留设置 | Write |
ec2:Attribute/${AttributeName} |
||
| ModifyInstanceCreditSpecification | 授予权限以修改实例上 CPU 使用情况的服务抵扣金选项 | Write |
ec2:Attribute/${AttributeName} |
||
| ModifyInstanceEventStartTime | 授予权限以修改计划 EC2 实例事件的开始时间 | 写入 |
ec2:Attribute/${AttributeName} |
||
| ModifyInstanceEventWindow | 授予修改指定事件窗口的权限 | 写入 | |||
| ModifyInstanceMaintenanceOptions | 授予权限以修改实例的恢复行为 | 写入 |
ec2:Attribute/${AttributeName} |
||
| ModifyInstanceMetadataDefaults | 授予在指定区域修改账户默认实例元数据服务 (IMDS) 设置的权限 | 写入 | |||
| ModifyInstanceMetadataOptions | 授予权限以修改实例的元数据选项 | Write |
ec2:Attribute/${AttributeName} |
||
| ModifyInstancePlacement | 授予权限以修改实例的置放属性 | 写入 |
ec2:Attribute/${AttributeName} |
||
| ModifyIpam | 授予修改 Amazon VPC IP 地址管理器 (IPAM) 配置的权限 | 写入 | |||
| ModifyIpamPool | 授予修改 Amazon VPC IP 地址管理器 (IPAM) 池配置的权限 | 写入 | |||
| ModifyIpamResourceCidr | 授予修改 Amazon VPC IP 地址管理器 (IPAM) 资源 CIDR 配置的权限 | 写入 | |||
| ModifyIpamResourceDiscovery | 授予修改资源发现的权限 | 写入 | |||
| ModifyIpamScope | 授予修改 Amazon VPC IP 地址管理器 (IPAM) 范围配置的权限 | 写入 | |||
| ModifyLaunchTemplate | 授予权限以修改启动模板 | 写入 | |||
| ModifyLocalGatewayRoute | 授予修改本地网关路由的权限 | 写入 | |||
| ModifyManagedPrefixList | 授予权限以修改托管前缀列表 | Write | |||
| ModifyNetworkInterfaceAttribute | 授予权限以修改网络接口的属性 | 写入 | |||
| ModifyPrivateDnsNameOptions | 授予权限以修改指定实例的实例主机名选项 | 写入 |
ec2:Attribute/${AttributeName} |
||
| ModifyReservedInstances | 授予权限以修改一个或多个预留实例的属性 | Write |
ec2:Attribute/${AttributeName} |
||
| ModifySecurityGroupRules | 授予权限以修改安全组的规则 | Write | |||
| ModifySnapshotAttribute | 授予权限以添加或删除快照的权限设置 | 权限管理 | |||
| ModifySnapshotTier | 授予权限以存档 Amazon EBS 快照 | 写入 | |||
| ModifySpotFleetRequest | 授予权限以修改 Spot 队列请求 | Write | |||
| ModifySubnetAttribute | 授予权限以修改子网的属性 | Write | |||
| ModifyTrafficMirrorFilterNetworkServices | 授予权限以允许或限制镜像网络服务 | Write | |||
| ModifyTrafficMirrorFilterRule | 授予权限以修改流量镜像规则 | Write | |||
| ModifyTrafficMirrorSession | 授予权限以修改流量镜像会话 | Write | |||
| ModifyTransitGateway | 授予权限以修改中转网关 | Write | |||
| ModifyTransitGatewayPrefixListReference | 授予权限以修改中转网关前缀列表引用 | Write | |||
| ModifyTransitGatewayVpcAttachment | 授予权限以修改中转网关上的 VPC 连接 | 写入 | |||
| ModifyVerifiedAccessEndpoint | 授予权限以修改验证访问端点的配置 | 写入 | |||
| ModifyVerifiedAccessEndpointPolicy | 授予权限以修改指定的验证访问端点策略 | 写入 | |||
| ModifyVerifiedAccessGroup | 授予权限以修改指定的验证访问组配置 | 写入 | |||
| ModifyVerifiedAccessGroupPolicy | 授予权限以修改指定的验证访问组策略 | 写入 | |||
| ModifyVerifiedAccessInstance | 授予权限以修改指定的验证访问实例配置 | 写入 | |||
| ModifyVerifiedAccessInstanceLoggingConfiguration | 授予权限以修改指定的验证访问实例的日志记录配置 | 写入 | |||
| ModifyVerifiedAccessTrustProvider | 授予权限以修改指定的验证访问信任提供商的配置 | 写入 | |||
| ModifyVolume | 授予权限以修改 EBS 卷的参数 | Write | |||
| ModifyVolumeAttribute | 授予权限以修改卷的属性 | Write | |||
| ModifyVpcAttribute | 授予权限以修改 VPC 的属性 | Write | |||
| ModifyVpcEndpoint | 授予权限以修改 VPC 终端节点的属性 | Write | |||
| ModifyVpcEndpointConnectionNotification | 授予权限以修改 VPC 终端节点或 VPC 终端节点服务的连接通知 | Write | |||
| ModifyVpcEndpointServiceConfiguration | 授予权限以修改 VPC 终端节点服务配置的属性 | 写入 | |||
| ModifyVpcEndpointServicePayerResponsibility | 授予权限以修改 VPC 终端节点服务的付款人责任 | 写入 | |||
| ModifyVpcEndpointServicePermissions | 授予权限以修改 VPC 终端节点服务的权限 | Permissions management | |||
| ModifyVpcPeeringConnectionOptions | 授予权限以在 VPC 对等连接一侧修改 VPC 对等连接选项 | Write | |||
| ModifyVpcTenancy | 授予权限以修改 VPC 的实例租赁属性 | Write | |||
| ModifyVpnConnection | 授予权限以修改 Site-to-Site VPN 连接的目标网关 | Write |
ec2:Attribute/${AttributeName} ec2:Phase1EncryptionAlgorithms |
||
| ModifyVpnConnectionOptions | 授予修改 Site-to-Site VPN 连接的连接选项的权限 | Write | |||
| ModifyVpnTunnelCertificate | 授予权限以修改 Site-to-Site VPN 连接的证书 | Write | |||
| ModifyVpnTunnelOptions | 授予权限以修改 Site-to-Site VPN 连接的选项 | Write |
ec2:Attribute/${AttributeName} ec2:Phase1EncryptionAlgorithms |
||
| MonitorInstances | 授予权限以对正在运行的实例启用详细监控 | Write | |||
| MoveAddressToVpc | 授予权限以将弹性 IP 地址从 EC2-Classic 平台移动到 EC2-VPC 平台 | 写入 | |||
| MoveByoipCidrToIpam | 授予将 BYOIP IPv4 CIDR 从公有 IPv4 池移动到 Amazon VPC IP 地址管理器 (IPAM) 的权限 | 写入 | |||
| PauseVolumeIO [仅权限] | 授予暂时暂停目标 Amazon EBS 卷的 I/O 操作的权限 | 写入 | |||
| ProvisionByoipCidr | 授予 Amazon 通过自带 IP 地址 (BYOIP) 配置地址范围以供使用的权限,以及创建相应的地址池的权限 | 写入 | |||
| ProvisionIpamByoasn | 授予预置自治系统号(ASN)以供在亚马逊云科技账户中使用的权限 | 写入 | |||
| ProvisionIpamPoolCidr | 授予权限以将 CIDR 预置到 Amazon VPC IP 地址管理器 (IPAM) 池 | 写入 | |||
| ProvisionPublicIpv4PoolCidr | 授予向公有 IPv4 池中预置 CIDR 的权限 | 写入 | |||
| PurchaseCapacityBlock | 授予购买容量块产品的权限 | 写入 |
ec2:CreateTags |
||
| PurchaseHostReservation | 授予权限以购买其配置与专用主机配置匹配的预留 | Write |
ec2:CreateTags |
||
| PurchaseReservedInstancesOffering | 授予权限以购买预留实例产品 | Write | |||
| PurchaseScheduledInstances | 授予权限以购买具有指定计划的一个或多个计划实例 | 写入 | |||
| PutResourcePolicy [仅权限] | 授予向资源附加启用跨账户共享的 IAM policy 的权限 | 写入 | |||
| RebootInstances | 授予权限以请求重启一个或多个实例 | Write | |||
| RegisterImage | 授予权限以注册 Amazon Machine Image (AMI) | Write |
ec2:CreateTags |
||
| RegisterInstanceEventNotificationAttributes | 授予权限以将标签添加到标签集,从而包含在有关实例计划事件的通知 | Write | |||
| RegisterTransitGatewayMulticastGroupMembers | 授予权限以将一个或多个网络接口注册为中转网关多播域中组 IP 地址的成员 | Write | |||
| RegisterTransitGatewayMulticastGroupSources | 授予权限以将一个或多个网络接口注册为中转网关多播域中组 IP 地址的源 | Write | |||
| RejectTransitGatewayMulticastDomainAssociations | 授予拒绝关联跨账户子网与中转网关多播域的请求的权限 | Write | |||
| RejectTransitGatewayPeeringAttachment | 授予权限以拒绝中转网关对等连接请求 | Write | |||
| RejectTransitGatewayVpcAttachment | 授予权限以拒绝将 VPC 连接到中转网关的请求 | Write | |||
| RejectVpcEndpointConnections | 授予权限以拒绝对 VPC 终端节点服务的一个或多个 VPC 终端节点连接请求 | Write | |||
| RejectVpcPeeringConnection | 授予权限以拒绝 VPC 对等连接请求 | Write | |||
| ReleaseAddress | 授予权限以释放弹性 IP 地址 | Write | |||
| ReleaseHosts | 授予权限以释放一个或多个按需专用主机 | 写入 | |||
| ReleaseIpamPoolAllocation | 授予在 Amazon VPC IP 地址管理器 (IPAM) 池内发布分配的权限 | 写入 | |||
| ReplaceIamInstanceProfileAssociation | 授予权限以替换实例的 IAM 实例配置文件 | Write |
iam:PassRole |
||
| ReplaceNetworkAclAssociation | 授予权限以更改子网所关联的网络 ACL | Write | |||
| ReplaceNetworkAclEntry | 授予权限以替换网络 ACL 中的条目(规则) | Write | |||
| ReplaceRoute | 授予权限以替换 VPC 的路由表中的路由 | Write | |||
| ReplaceRouteTableAssociation | 授予权限以更改与子网关联的路由表 | Write | |||
| ReplaceTransitGatewayRoute | 授予权限以替换中转网关路由表中的路由 | 写入 | |||
| ReplaceVpnTunnel | 授予权限以替换 VPN 隧道 | 写入 | |||
| ReportInstanceStatus | 授予权限以提交有关实例状态的反馈 | Write | |||
| RequestSpotFleet | 授予权限以创建 Spot 队列请求 | Write | |||
| RequestSpotInstances | 授予权限以创建 Spot 实例请求 | Write |
ec2:CreateTags iam:PassRole |
||
| ResetAddressAttribute | 授予权限以重置指定 IP 地址属性 | 写入 | |||
| ResetEbsDefaultKmsKeyId | 授予重置用于 EBS 加密的默认客户主密钥 (CMK) 的权限,以便您的账户使用由 EBS Amazon管理的 CMK | 写入 | |||
| ResetFpgaImageAttribute | 授予权限以将 Amazon FPGA Image (AFI) 的属性重置为其默认值 | Write | |||
| ResetImageAttribute | 授予权限以将 Amazon Machine Image (AMI) 的属性重置为其默认值 | Write | |||
| ResetInstanceAttribute | 授予权限以将实例的属性重置为默认值 | Write | |||
| ResetNetworkInterfaceAttribute | 授予权限以重置网络接口的属性 | Write | |||
| ResetSnapshotAttribute | 授予权限以重置快照的权限设置 | Permissions management | |||
| RestoreAddressToClassic | 授予权限以将以前移动到 EC2-VPC 平台的弹性 IP 地址还原到 EC2-Classic 平台 | 写入 | |||
| RestoreImageFromRecycleBin | 授予权限以将 Amazon Machine Image (AMI) 从 Recycle Bin 中恢复 | 写入 | |||
| RestoreManagedPrefixListVersion | 授予权限以将托管前缀列表先前版本的条目恢复到前缀列表的新版本 | 写入 | |||
| RestoreSnapshotFromRecycleBin | 授予从回收站还原 Amazon EBS 快照的权限 | 写入 | |||
| RestoreSnapshotTier | 授予权限以恢复存档的 Amazon EBS 快照以供临时或永久使用,或修改先前临时还原的快照的还原期或还原类型 | 写入 | |||
| RevokeClientVpnIngress | 授予权限以从客户端 VPN 终端节点删除入站授权规则 | Write | |||
| RevokeSecurityGroupEgress | 授予权限以从 VPC 安全组中删除一个或多个出站规则 | Write | |||
| RevokeSecurityGroupIngress | 授予权限以从安全组中删除一个或多个入站规则 | Write | |||
| RunInstances | 授予权限以启动一个或多个实例 | Write |
ec2:CreateTags iam:PassRole ssm:GetParameters |
||
|
方案:EC2-Classic-EBS |
|||||
|
方案:EC2-Classic-InstanceStore |
|||||
|
方案:EC2-VPC-EBS |
|||||
|
方案:EC2-VPC-EBS-Subnet |
|||||
|
方案:EC2-VPC-InstanceStore |
|||||
|
方案:EC2-VPC-InstanceStore-Subnet |
|||||
| RunScheduledInstances | 授予权限以启动一个或多个计划实例 | Write | |||
| SearchLocalGatewayRoutes | 授予权限以在本地网关路由表中搜索路由 | List | |||
| SearchTransitGatewayMulticastGroups | 授予权限以在中转网关多播域中搜索组、源和成员 | List | |||
| SearchTransitGatewayRoutes | 授予权限以在中转网关路由表中搜索路由 | List | |||
| SendDiagnosticInterrupt | 授予权限以向 Amazon EC2 实例发送诊断中断 | 写入 | |||
| SendSpotInstanceInterruptions [仅权限] | 授予中断 Spot 实例的权限 | 写入 | |||
| StartInstances | 授予权限以启动已停止的实例 | 写入 | |||
| StartNetworkInsightsAccessScopeAnalysis | 授予开始网络访问范围分析的权限 | 写入 |
ec2:CreateTags |
||
| StartNetworkInsightsAnalysis | 授予开始分析指定路径的权限 | Write |
ec2:CreateTags |
||
| StartVpcEndpointServicePrivateDnsVerification | 授予权限以启动 VPC 终端节点服务的私有 DNS 验证过程 | Write | |||
| StopInstances | 授予权限以停止由 Amazon EBS 支持的实例 | Write | |||
| TerminateClientVpnConnections | 授予权限以终止活动客户端 VPN 终结点连接 | Write | |||
| TerminateInstances | 授予权限以关闭一个或多个实例 | Write | |||
| UnassignIpv6Addresses | 授予权限以从网络接口取消分配一个或多个 IPv6 地址 | Write | |||
| UnassignPrivateIpAddresses | 授予权限以从网络接口取消分配一个或多个辅助私有 IP 地址 | 写入 | |||
| UnassignPrivateNatGatewayAddress | 授予权限以从私有 NAT 网关取消分配辅助私有 IPv4 地址 | 写入 | |||
| UnlockSnapshot | 授予将锁定在监管模式或合规模式并且仍处于冷却期的快照解锁的权限 | 写入 | |||
| UnmonitorInstances | 授予权限以对正在运行的实例禁用详细监控 | Write | |||
| UpdateSecurityGroupRuleDescriptionsEgress | 授予权限以更新 VPC 安全组中一个或多个出站规则的描述 | Write | |||
| UpdateSecurityGroupRuleDescriptionsIngress | 授予权限以更新安全组中一个或多个入站规则的描述 | 写入 | |||
| WithdrawByoipCidr | 授予停止 Amazon 通过自带 IP 地址 (BYOIP) 公布已配置为在中使用的地址范围的权限 | 写入 |
Amazon EC2 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| elastic-ip |
arn:${Partition}:ec2:${Region}:${Account}:elastic-ip/${AllocationId}
|
|
| capacity-reservation-fleet |
arn:${Partition}:ec2:${Region}:${Account}:capacity-reservation-fleet/${CapacityReservationFleetId}
|
|
| capacity-reservation |
arn:${Partition}:ec2:${Region}:${Account}:capacity-reservation/${CapacityReservationId}
|
|
| carrier-gateway |
arn:${Partition}:ec2:${Region}:${Account}:carrier-gateway/${CarrierGatewayId}
|
|
| certificate |
arn:${Partition}:acm:${Region}:${Account}:certificate/${CertificateId}
|
|
| client-vpn-endpoint |
arn:${Partition}:ec2:${Region}:${Account}:client-vpn-endpoint/${ClientVpnEndpointId}
|
ec2:Attribute/${AttributeName} |
| customer-gateway |
arn:${Partition}:ec2:${Region}:${Account}:customer-gateway/${CustomerGatewayId}
|
|
| dedicated-host |
arn:${Partition}:ec2:${Region}:${Account}:dedicated-host/${DedicatedHostId}
|
|
| dhcp-options |
arn:${Partition}:ec2:${Region}:${Account}:dhcp-options/${DhcpOptionsId}
|
|
| egress-only-internet-gateway |
arn:${Partition}:ec2:${Region}:${Account}:egress-only-internet-gateway/${EgressOnlyInternetGatewayId}
|
|
| elastic-gpu |
arn:${Partition}:ec2:${Region}:${Account}:elastic-gpu/${ElasticGpuId}
|
|
| elastic-inference |
arn:${Partition}:elastic-inference:${Region}:${Account}:elastic-inference-accelerator/${AcceleratorId}
|
|
| export-image-task |
arn:${Partition}:ec2:${Region}:${Account}:export-image-task/${ExportImageTaskId}
|
|
| export-instance-task |
arn:${Partition}:ec2:${Region}:${Account}:export-instance-task/${ExportTaskId}
|
|
| fleet |
arn:${Partition}:ec2:${Region}:${Account}:fleet/${FleetId}
|
|
| fpga-image |
arn:${Partition}:ec2:${Region}:${Account}:fpga-image/${FpgaImageId}
|
|
| host-reservation |
arn:${Partition}:ec2:${Region}:${Account}:host-reservation/${HostReservationId}
|
|
| image |
arn:${Partition}:ec2:${Region}::image/${ImageId}
|
|
| import-image-task |
arn:${Partition}:ec2:${Region}:${Account}:import-image-task/${ImportImageTaskId}
|
|
| import-snapshot-task |
arn:${Partition}:ec2:${Region}:${Account}:import-snapshot-task/${ImportSnapshotTaskId}
|
|
| instance-connect-endpoint |
arn:${Partition}:ec2:${Region}:${Account}:instance-connect-endpoint/${InstanceConnectEndpointId}
|
|
| instance-event-window |
arn:${Partition}:ec2:${Region}:${Account}:instance-event-window/${InstanceEventWindowId}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
ec2:Attribute/${AttributeName} |
| internet-gateway |
arn:${Partition}:ec2:${Region}:${Account}:internet-gateway/${InternetGatewayId}
|
|
| ipam |
arn:${Partition}:ec2::${Account}:ipam/${IpamId}
|
|
| ipam-pool |
arn:${Partition}:ec2::${Account}:ipam-pool/${IpamPoolId}
|
|
| ipam-resource-discovery-association |
arn:${Partition}:ec2::${Account}:ipam-resource-discovery-association/${IpamResourceDiscoveryAssociationId}
|
|
| ipam-resource-discovery |
arn:${Partition}:ec2::${Account}:ipam-resource-discovery/${IpamResourceDiscoveryId}
|
|
| ipam-scope |
arn:${Partition}:ec2::${Account}:ipam-scope/${IpamScopeId}
|
|
| coip-pool |
arn:${Partition}:ec2:${Region}:${Account}:coip-pool/${Ipv4PoolCoipId}
|
|
| ipv4pool-ec2 |
arn:${Partition}:ec2:${Region}:${Account}:ipv4pool-ec2/${Ipv4PoolEc2Id}
|
|
| ipv6pool-ec2 |
arn:${Partition}:ec2:${Region}:${Account}:ipv6pool-ec2/${Ipv6PoolEc2Id}
|
|
| key-pair |
arn:${Partition}:ec2:${Region}:${Account}:key-pair/${KeyPairName}
|
|
| launch-template |
arn:${Partition}:ec2:${Region}:${Account}:launch-template/${LaunchTemplateId}
|
|
| license-configuration |
arn:${Partition}:license-manager:${Region}:${Account}:license-configuration:${LicenseConfigurationId}
|
|
| local-gateway |
arn:${Partition}:ec2:${Region}:${Account}:local-gateway/${LocalGatewayId}
|
|
| local-gateway-route-table-virtual-interface-group-association |
arn:${Partition}:ec2:${Region}:${Account}:local-gateway-route-table-virtual-interface-group-association/${LocalGatewayRouteTableVirtualInterfaceGroupAssociationId}
|
|
| local-gateway-route-table-vpc-association |
arn:${Partition}:ec2:${Region}:${Account}:local-gateway-route-table-vpc-association/${LocalGatewayRouteTableVpcAssociationId}
|
|
| local-gateway-route-table |
arn:${Partition}:ec2:${Region}:${Account}:local-gateway-route-table/${LocalGatewayRoutetableId}
|
|
| local-gateway-virtual-interface-group |
arn:${Partition}:ec2:${Region}:${Account}:local-gateway-virtual-interface-group/${LocalGatewayVirtualInterfaceGroupId}
|
|
| local-gateway-virtual-interface |
arn:${Partition}:ec2:${Region}:${Account}:local-gateway-virtual-interface/${LocalGatewayVirtualInterfaceId}
|
|
| natgateway |
arn:${Partition}:ec2:${Region}:${Account}:natgateway/${NatGatewayId}
|
|
| network-acl |
arn:${Partition}:ec2:${Region}:${Account}:network-acl/${NaclId}
|
|
| network-insights-access-scope-analysis |
arn:${Partition}:ec2:${Region}:${Account}:network-insights-access-scope-analysis/${NetworkInsightsAccessScopeAnalysisId}
|
|
| network-insights-access-scope |
arn:${Partition}:ec2:${Region}:${Account}:network-insights-access-scope/${NetworkInsightsAccessScopeId}
|
|
| network-insights-analysis |
arn:${Partition}:ec2:${Region}:${Account}:network-insights-analysis/${NetworkInsightsAnalysisId}
|
|
| network-insights-path |
arn:${Partition}:ec2:${Region}:${Account}:network-insights-path/${NetworkInsightsPathId}
|
|
| network-interface |
arn:${Partition}:ec2:${Region}:${Account}:network-interface/${NetworkInterfaceId}
|
|
| placement-group |
arn:${Partition}:ec2:${Region}:${Account}:placement-group/${PlacementGroupName}
|
|
| prefix-list |
arn:${Partition}:ec2:${Region}:${Account}:prefix-list/${PrefixListId}
|
|
| replace-root-volume-task |
arn:${Partition}:ec2:${Region}:${Account}:replace-root-volume-task/${ReplaceRootVolumeTaskId}
|
|
| reserved-instances |
arn:${Partition}:ec2:${Region}:${Account}:reserved-instances/${ReservationId}
|
ec2:Attribute/${AttributeName} |
| group |
arn:${Partition}:resource-groups:${Region}:${Account}:group/${GroupName}
|
|
| role |
arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}
|
|
| route-table |
arn:${Partition}:ec2:${Region}:${Account}:route-table/${RouteTableId}
|
|
| security-group |
arn:${Partition}:ec2:${Region}:${Account}:security-group/${SecurityGroupId}
|
|
| security-group-rule |
arn:${Partition}:ec2:${Region}:${Account}:security-group-rule/${SecurityGroupRuleId}
|
|
| snapshot |
arn:${Partition}:ec2:${Region}::snapshot/${SnapshotId}
|
|
| spot-fleet-request |
arn:${Partition}:ec2:${Region}:${Account}:spot-fleet-request/${SpotFleetRequestId}
|
|
| spot-instances-request |
arn:${Partition}:ec2:${Region}:${Account}:spot-instances-request/${SpotInstanceRequestId}
|
|
| subnet-cidr-reservation |
arn:${Partition}:ec2:${Region}:${Account}:subnet-cidr-reservation/${SubnetCidrReservationId}
|
|
| subnet |
arn:${Partition}:ec2:${Region}:${Account}:subnet/${SubnetId}
|
|
| traffic-mirror-filter |
arn:${Partition}:ec2:${Region}:${Account}:traffic-mirror-filter/${TrafficMirrorFilterId}
|
|
| traffic-mirror-filter-rule |
arn:${Partition}:ec2:${Region}:${Account}:traffic-mirror-filter-rule/${TrafficMirrorFilterRuleId}
|
|
| traffic-mirror-session |
arn:${Partition}:ec2:${Region}:${Account}:traffic-mirror-session/${TrafficMirrorSessionId}
|
|
| traffic-mirror-target |
arn:${Partition}:ec2:${Region}:${Account}:traffic-mirror-target/${TrafficMirrorTargetId}
|
|
| transit-gateway-attachment |
arn:${Partition}:ec2:${Region}:${Account}:transit-gateway-attachment/${TransitGatewayAttachmentId}
|
|
| transit-gateway-connect-peer |
arn:${Partition}:ec2:${Region}:${Account}:transit-gateway-connect-peer/${TransitGatewayConnectPeerId}
|
|
| transit-gateway |
arn:${Partition}:ec2:${Region}:${Account}:transit-gateway/${TransitGatewayId}
|
|
| transit-gateway-multicast-domain |
arn:${Partition}:ec2:${Region}:${Account}:transit-gateway-multicast-domain/${TransitGatewayMulticastDomainId}
|
|
| transit-gateway-policy-table |
arn:${Partition}:ec2:${Region}:${Account}:transit-gateway-policy-table/${TransitGatewayPolicyTableId}
|
|
| transit-gateway-route-table-announcement |
arn:${Partition}:ec2:${Region}:${Account}:transit-gateway-route-table-announcement/${TransitGatewayRouteTableAnnouncementId}
|
|
| transit-gateway-route-table |
arn:${Partition}:ec2:${Region}:${Account}:transit-gateway-route-table/${TransitGatewayRouteTableId}
|
|
| verified-access-endpoint |
arn:${Partition}:ec2:${Region}:${Account}:verified-access-endpoint/${VerifiedAccessEndpointId}
|
|
| verified-access-group |
arn:${Partition}:ec2:${Region}:${Account}:verified-access-group/${VerifiedAccessGroupId}
|
|
| verified-access-instance |
arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId}
|
|
| verified-access-policy |
arn:${Partition}:ec2:${Region}:${Account}:verified-access-policy/${VerifiedAccessPolicyId}
|
|
| verified-access-trust-provider |
arn:${Partition}:ec2:${Region}:${Account}:verified-access-trust-provider/${VerifiedAccessTrustProviderId}
|
|
| volume |
arn:${Partition}:ec2:${Region}:${Account}:volume/${VolumeId}
|
|
| vpc-endpoint-connection |
arn:${Partition}:ec2:${Region}:${Account}:vpc-endpoint-connection/${VpcEndpointConnectionId}
|
|
| vpc-endpoint |
arn:${Partition}:ec2:${Region}:${Account}:vpc-endpoint/${VpcEndpointId}
|
|
| vpc-endpoint-service |
arn:${Partition}:ec2:${Region}:${Account}:vpc-endpoint-service/${VpcEndpointServiceId}
|
|
| vpc-endpoint-service-permission |
arn:${Partition}:ec2:${Region}:${Account}:vpc-endpoint-service-permission/${VpcEndpointServicePermissionId}
|
|
| vpc-flow-log |
arn:${Partition}:ec2:${Region}:${Account}:vpc-flow-log/${VpcFlowLogId}
|
|
| vpc |
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
|
|
| vpc-peering-connection |
arn:${Partition}:ec2:${Region}:${Account}:vpc-peering-connection/${VpcPeeringConnectionId}
|
|
| vpn-connection-device-type |
arn:${Partition}:ec2:${Region}:${Account}:vpn-connection-device-type/${VpnConnectionDeviceTypeId}
|
|
| vpn-connection |
arn:${Partition}:ec2:${Region}:${Account}:vpn-connection/${VpnConnectionId}
|
ec2:Attribute/${AttributeName} ec2:Phase1EncryptionAlgorithms |
| vpn-gateway |
arn:${Partition}:ec2:${Region}:${Account}:vpn-gateway/${VpnGatewayId}
|
Amazon EC2 的条件键
Amazon EC2 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 按请求中允许的标签键值对筛选访问 | 字符串 |
| aws:ResourceTag/${TagKey} | 按某个资源的标签键值对筛选访问 | 字符串 |
| aws:TagKeys | 按请求中允许的标签键列表筛选访问 | ArrayOfString |
| ec2:AccepterVpc | 在 VPC 对等连接中,按接受方 VPC 的 ARN 筛选访问 | ARN |
| ec2:Add/group | 按正在添加到快照的组筛选访问权限 | 字符串 |
| ec2:Add/userId | 按正在添加到快照的账户 ID 筛选访问权限 | 字符串 |
| ec2:AllocationId | 按弹性 IP 地址的分配 ID 筛选访问权限 | 字符串 |
| ec2:AssociatePublicIpAddress | 根据用户是否希望将公有 IP 地址与实例关联来筛选访问权限 | 布尔型 |
| ec2:Attribute | 按资源属性筛选访问权限 | 字符串 |
| ec2:Attribute/${AttributeName} | 按对资源设置的属性筛选访问 | 字符串 |
| ec2:AuthenticationType | 按 VPN 隧道终端节点的身份验证类型筛选访问 | 字符串 |
| ec2:AuthorizedService | 筛选有权使用资源的 Amazon 服务的访问权限 | 字符串 |
| ec2:AuthorizedUser | 按有权使用资源的 IAM 委托人筛选访问 | 字符串 |
| ec2:AutoPlacement | 按专用主机的自动置放属性筛选访问 | 字符串 |
| ec2:AvailabilityZone | 按可用区的名称筛选访问权限 Amazon Web Services 区域 | 字符串 |
| ec2:CapacityReservationFleet | 按容量预留机群的 ARN 筛选访问 | ARN |
| ec2:ClientRootCertificateChainArn | 按客户端根证书链的 ARN 筛选访问 | ARN |
| ec2:CloudwatchLogGroupArn | 按 CloudWatch 日志日志组的 ARN 筛选访问权限 | ARN |
| ec2:CloudwatchLogStreamArn | 按 CloudWatch 日志日志流的 ARN 筛选访问权限 | ARN |
| ec2:CreateAction | 按资源创建 API 操作的名称筛选访问 | 字符串 |
| ec2:DPDTimeoutSeconds | 按 VPN 隧道上发生 DPD 超时后的持续时间筛选访问 | 数值 |
| ec2:DhcpOptionsID | 按动态主机配置协议 (DHCP) 选项集的 ID 筛选访问权限 | 字符串 |
| ec2:DirectoryArn | 按目录的 ARN 筛选访问 | ARN |
| ec2:Domain | 按弹性 IP 地址的域筛选访问权限 | 字符串 |
| ec2:EbsOptimized | 按实例是否启用 EBS 优化来筛选访问 | Bool |
| ec2:ElasticGpuType | 按 Elastic Graphics 加速器的类型筛选访问 | 字符串 |
| ec2:Encrypted | 按 EBS 卷是否加密筛选访问 | 布尔型 |
| ec2:FisActionId | 按 Amazon FIS 操作的 ID 筛选访问权限 | 字符串 |
| ec2:FisTargetArns | 按照 FIS 目标的 ARN 筛选访问权限 Amazon | ArrayOfARN |
| ec2:GatewayType | 按网关类型筛选 VPN 连接 Amazon 侧的 VPN 端点的访问权限 | 字符串 |
| ec2:HostRecovery | 按是否为专用主机启用了主机恢复来筛选访问 | 字符串 |
| ec2:IKEVersions | 按 VPN 隧道允许的 Internet 密钥交换 (IKE) 版本筛选访问 | ArrayOfString |
| ec2:ImageID | 按映像 ID 筛选访问权限 | 字符串 |
| ec2:ImageType | 按照映像的类型(系统、aki 或 ari)筛选访问 | 字符串 |
| ec2:InsideTunnelCidr | 按 VPN 隧道的内部 IP 地址范围筛选访问 | 字符串 |
| ec2:InsideTunnelIpv6Cidr | 按 VPN 隧道的内部 IPv6 地址范围筛选访问权限 | 字符串 |
| ec2:InstanceAutoRecovery | 按实例类型是否支持自动恢复筛选访问权限 | 字符串 |
| ec2:InstanceID | 按实例 ID 筛选访问权限 | 字符串 |
| ec2:InstanceMarketType | 按实例的市场或购买选项(容量块、按需型或竞价型)筛选访问权限 | 字符串 |
| ec2:InstanceMetadataTags | 按实例是否允许访问实例元数据中的实例标签筛选访问权限 | 字符串 |
| ec2:InstanceProfile | 按实例配置文件的 ARN 筛选访问 | ARN |
| ec2:InstanceType | 按实例类型筛选访问 | 字符串 |
| ec2:InternetGatewayID | 按互联网网关 ID 筛选访问权限 | 字符串 |
| ec2:Ipv4IpamPoolId | 按为 IPv4 CIDR 块分配提供的 IPAM 池的 ID 筛选访问权限 | 字符串 |
| ec2:Ipv6IpamPoolId | 按为 IPv6 CIDR 块分配提供的 IPAM 池的 ID 筛选访问权限 | 字符串 |
| ec2:IsLaunchTemplateResource | 按用户是否能够覆盖启动模板中指定的资源来筛选访问 | 布尔型 |
| ec2:KeyPairName | 按密钥对名称筛选访问权限 | 字符串 |
| ec2:KeyPairType | 按密钥对类型筛选访问权限 | 字符串 |
| ec2:KmsKeyId | 根据请求中提供的 Amazon KMS 密钥的 ID 筛选访问权限 | 字符串 |
| ec2:LaunchTemplate | 按启动模板的 ARN 筛选访问 | ARN |
| ec2:MetadataHttpEndpoint | 按是否为实例元数据服务启用 HTTP 终端节点来筛选访问 | 字符串 |
| ec2:MetadataHttpPutResponseHopLimit | 按调用实例元数据服务时允许的跃点数筛选访问 | 数值 |
| ec2:MetadataHttpTokens | 根据调用实例元数据服务时是否需要令牌(可选或必需)筛选访问 | 字符串 |
| ec2:NetworkAclID | 按网络访问控制列表 (ACL) ID 筛选访问权限 | 字符串 |
| ec2:NetworkInterfaceID | 按弹性网络接口 ID 筛选访问权限 | 字符串 |
| ec2:NewInstanceProfile | 按所附加的实例配置文件的 ARN 筛选访问 | ARN |
| ec2:OutpostArn | 按 Outpost 的 ARN 筛选访问 | ARN |
| ec2:Owner | 筛选资源所有者(亚马逊、aws-marketplace 或 ID)的 Amazon Web Services 账户 访问权限 | 字符串 |
| ec2:ParentSnapshot | 按父快照的 ARN 筛选访问 | ARN |
| ec2:ParentVolume | 按创建快照所用的父卷的 ARN 筛选访问 | ARN |
| ec2:Permission | 按资源的权限类型(INSTANCE-ATTACH 或 EIP-ASSOCIATE)筛选访问 | 字符串 |
| ec2:Phase1DHGroup | 对于 VPN 隧道的阶段 1 IKE 协商,按允许的 Diffie-Hellman 组编号筛选访问 | ArrayOfString |
| ec2:Phase1EncryptionAlgorithms | 对于 VPN 隧道的阶段 1 IKE 协商,按允许的加密算法筛选访问 | ArrayOfString |
| ec2:Phase1IntegrityAlgorithms | 对于 VPN 隧道的阶段 1 IKE 协商,按允许的完整性算法筛选访问 | ArrayOfString |
| ec2:Phase1LifetimeSeconds | 对于 VPN 隧道的阶段 1 IKE 协商,按生命周期(以秒为单位)筛选访问 | 数值 |
| ec2:Phase2DHGroup | 对于 VPN 隧道的阶段 2 IKE 协商,按允许的 Diffie-Hellman 组编号筛选访问 | ArrayOfString |
| ec2:Phase2EncryptionAlgorithms | 对于 VPN 隧道的阶段 2 IKE 协商,按允许的加密算法筛选访问 | ArrayOfString |
| ec2:Phase2IntegrityAlgorithms | 对于 VPN 隧道的阶段 2 IKE 协商,按允许的完整性算法筛选访问 | ArrayOfString |
| ec2:Phase2LifetimeSeconds | 对于 VPN 隧道的阶段 2 IKE 协商,按生命周期(以秒为单位)筛选访问 | 数值 |
| ec2:PlacementGroup | 按置放群组的 ARN 筛选访问。 | ARN |
| ec2:PlacementGroupName | 按置放群组的名称筛选访问权限 | 字符串 |
| ec2:PlacementGroupStrategy | 按置放群组(集群、散布或分区)使用的实例置放策略筛选访问 | 字符串 |
| ec2:ProductCode | 按与 AMI 关联的产品代码筛选访问 | 字符串 |
| ec2:Public | 根据映像是否具有公共启动权限来筛选访问 | 布尔型 |
| ec2:PublicIpAddress | 按公有 IP 地址筛选访问权限 | 字符串 |
| ec2:Quantity | 按请求中的专用主机数量筛选访问 | 数值 |
| ec2:Region | 按名称筛选访问权限 Amazon Web Services 区域 | 字符串 |
| ec2:RekeyFuzzPercentage | 按更改密钥窗口(在这段时间内随机选择 VPN 隧道的更改密钥时间)的增加百分比(由更改密钥容许时间确定)筛选访问 | 数值 |
| ec2:RekeyMarginTimeSeconds | 按 VPN 隧道第 2 阶段生命周期到期之前的容许时间筛选访问 | 数值 |
| ec2:Remove/group | 按正在从快照移除的组筛选访问权限 | 字符串 |
| ec2:Remove/userId | 按正在从快照移除的账户 ID 筛选访问权限 | 字符串 |
| ec2:ReplayWindowSizePackets | 按 IKE 播放时段中的数据包数筛选访问权限 | 字符串 |
| ec2:RequesterVpc | 在 VPC 对等连接中,按请求方 VPC 的 ARN 筛选访问 | ARN |
| ec2:ReservedInstancesOfferingType | 按预留实例产品的付款选项(无预付、部分预付或全部预付)筛选访问 | 字符串 |
| ec2:ResourceTag/${TagKey} | 按某个资源的标签键值对筛选访问 | 字符串 |
| ec2:RoleDelivery | 按用于为 EC2 检索 IAM 角色凭证的实例元数据服务的版本筛选访问 | 数值 |
| ec2:RootDeviceType | 按实例的根设备类型(ebs 或 instance-store)筛选访问 | 字符串 |
| ec2:RouteTableID | 按路由表 ID 筛选访问权限 | 字符串 |
| ec2:RoutingType | 按 VPN 连接的路由类型筛选访问 | 字符串 |
| ec2:SamlProviderArn | 按 IAM SAML 身份提供商的 ARN 筛选访问 | ARN |
| ec2:SecurityGroupID | 按安全组 ID 筛选访问权限 | 字符串 |
| ec2:ServerCertificateArn | 按服务器证书的 ARN 筛选访问 | ARN |
| ec2:SnapshotCoolOffPeriod | 按合规模式冷却期筛选访问权限 | 数值 |
| ec2:SnapshotID | 按快照 ID 筛选访问权限 | 字符串 |
| ec2:SnapshotLockDuration | 按快照锁定持续时间筛选访问权限 | 数值 |
| ec2:SnapshotTime | 按快照的启动时间筛选访问 | 字符串 |
| ec2:SourceInstanceARN | 按发起请求的实例的 ARN 筛选访问 | ARN |
| ec2:SourceOutpostArn | 按发起请求的 Outpost 的 ARN 筛选访问 | ARN |
| ec2:Subnet | 按子网的 ARN 筛选访问 | ARN |
| ec2:SubnetID | 按子网 ID 筛选访问权限 | 字符串 |
| ec2:Tenancy | 按 VPC 或实例(默认、专用或托管)的租期筛选访问 | 字符串 |
| ec2:VolumeID | 按卷 ID 筛选访问权限 | 字符串 |
| ec2:VolumeIops | 按为卷预配置的每秒输入/输出操作数 (IOPS) 筛选访问 | 数值 |
| ec2:VolumeSize | 按卷的大小(以 GiB 为单位)筛选访问 | 数值 |
| ec2:VolumeThroughput | 按卷的吞吐量筛选访问权限,在 MiBps | 数值 |
| ec2:VolumeType | 按卷的类型(gp2、gp3、io1、io2、st1、sc1 或标准)筛选访问 | 字符串 |
| ec2:Vpc | 按 VPC 的 ARN 筛选访问 | ARN |
| ec2:VpcID | 按 Virtual Private Cloud (VPC) ID 筛选访问权限 | 字符串 |
| ec2:VpcPeeringConnectionID | 按 VPC 对等连接 ID 筛选访问权限 | 字符串 |
| ec2:VpceServiceName | 按 VPC 终端节点服务的名称筛选访问 | 字符串 |
| ec2:VpceServiceOwner | 筛选 VPC 终端节点服务(亚马逊、aws-marketplace 或 ID)的服务所有者的访问权限 Amazon Web Services 账户 | 字符串 |
| ec2:VpceServicePrivateDnsName | 按 VPC 终端节点服务的私有 DNS 名称筛选访问 | 字符串 |