本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Identity and Access Management(IAM)的操作、资源和条件键
Amazon Identity and Access Management(IAM)(服务前缀:iam)提供以下服务特定的资源、操作和条件上下文键,以在 IAM 权限策略中使用。
参考:
主题
Amazon Identity and Access Management(IAM)定义的操作
您可以在 IAM policy 语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AddClientIDToOpenIDConnectProvider | 授予权限以将新客户端 ID(受众)添加到指定 IAM OpenID Connect (OIDC) 提供商资源的注册 ID 列表中 | Write | |||
| AddRoleToInstanceProfile | 授予权限以将 IAM 角色添加到指定的实例配置文件中 | Write |
iam:PassRole |
||
| AddUserToGroup | 授予权限以将 IAM 用户添加到指定的 IAM 组中 | Write | |||
| AttachGroupPolicy | 授予权限以将托管策略附加到指定的 IAM 组 | Permissions management | |||
| AttachRolePolicy | 授予权限以将托管策略附加到指定的 IAM 角色 | Permissions management | |||
| AttachUserPolicy | 授予权限以将托管策略附加到指定的 IAM 用户 | 权限管理 | |||
| ChangePassword | 授予 IAM 用户更改自己密码的权限 | Write | |||
| CreateAccessKey | 授予权限以便为指定 IAM 用户创建访问密钥和秘密访问密钥 | Write | |||
| CreateAccountAlias | 授予为您的 Amazon Web Services 账户 创建别名的权限 | Write | |||
| CreateGroup | 授予权限以创建新的组 | Write | |||
| CreateInstanceProfile | 授予权限以创建新的实例配置文件 | Write | |||
| CreateLoginProfile | 授予权限以便为指定的 IAM 用户创建密码 | Write | |||
| CreateOpenIDConnectProvider | 授予权限以创建 IAM 资源,它描述支持 OpenID Connect (OIDC) 的身份提供商 (IdP) | Write | |||
| CreatePolicy | 授予权限以创建新的托管策略 | Permissions management | |||
| CreatePolicyVersion | 授予权限以创建指定托管策略的新版本 | Permissions management | |||
| CreateRole | 授予权限以创建新的角色 | Write | |||
| CreateSAMLProvider | 授予权限以创建 IAM 资源,它描述支持 SAML 2.0 的身份提供商 (IdP) | Write | |||
| CreateServiceLinkedRole | 授予权限以创建 IAM 角色,它允许Amazon服务代表您执行操作 | Write | |||
| CreateServiceSpecificCredential | 授予权限以便为 IAM 用户创建新的服务特定凭证 | Write | |||
| CreateUser | 授予权限以创建新的 IAM 用户 | Write | |||
| CreateVirtualMFADevice | 授予权限以创建新的虚拟 MFA 设备 | Write | |||
| DeactivateMFADevice | 授予权限以停用指定的 MFA 设备,并删除最初启用了该设备的 IAM 用户与其之间的关联 | Write | |||
| DeleteAccessKey | 授予权限以删除与指定 IAM 用户关联的访问密钥对 | Write | |||
| DeleteAccountAlias | 授予删除指定的 Amazon Web Services 账户 别名的权限 | Write | |||
| DeleteAccountPasswordPolicy | 授予删除 Amazon Web Services 账户 的密码策略的权限 | 权限管理 | |||
| DeleteCloudFrontPublicKey | 授予删除现有 CloudFront 公钥的权限 | Write | |||
| DeleteGroup | 授予权限以删除指定的 IAM 组 | Write | |||
| DeleteGroupPolicy | 授予权限以将指定的内联策略从其组中删除 | Permissions management | |||
| DeleteInstanceProfile | 授予权限以删除指定的实例配置文件 | Write | |||
| DeleteLoginProfile | 授予权限以删除指定 IAM 用户的密码 | Write | |||
| DeleteOpenIDConnectProvider | 授予权限以在 IAM 中删除 OpenID Connect 身份提供商 (IdP) 资源对象 | Write | |||
| DeletePolicy | 授予权限以删除指定的托管策略,并将其从附加到的任何 IAM 实体(用户、组或角色)中删除 | Permissions management | |||
| DeletePolicyVersion | 授予权限以从指定的托管策略中删除版本 | Permissions management | |||
| DeleteRole | 授予权限以删除指定的角色 | Write | |||
| DeleteRolePermissionsBoundary | 授予权限以从角色中删除权限边界 | Permissions management | |||
| DeleteRolePolicy | 授予权限以从指定的角色中删除指定的内联策略 | Permissions management | |||
| DeleteSAMLProvider | 授予权限以在 IAM 中删除 SAML 提供程序资源 | Write | |||
| DeleteSSHPublicKey | 授予权限以删除指定的 SSH 公有密钥 | Write | |||
| DeleteServerCertificate | 授予权限以删除指定的服务器证书 | Write | |||
| DeleteServiceLinkedRole | 授予权限以删除与特定Amazon服务关联的 IAM 角色(如果服务不再使用该角色) | Write | |||
| DeleteServiceSpecificCredential | 授予权限以删除 IAM 用户的指定服务特定凭证 | Write | |||
| DeleteSigningCertificate | 授予权限以删除与指定 IAM 用户关联的签名证书 | Write | |||
| DeleteUser | 授予权限以删除指定的 IAM 用户 | Write | |||
| DeleteUserPermissionsBoundary | 授予权限以从指定的 IAM 用户中删除权限边界 | Permissions management | |||
| DeleteUserPolicy | 授予权限以从 IAM 用户中删除指定的内联策略 | Permissions management | |||
| DeleteVirtualMFADevice | 授予权限以删除虚拟 MFA 设备 | Write | |||
| DetachGroupPolicy | 授予权限以将托管策略从指定的 IAM 组中分离 | Permissions management | |||
| DetachRolePolicy | 授予权限以将托管策略从指定的角色中分离 | Permissions management | |||
| DetachUserPolicy | 授予权限以将托管策略从指定的 IAM 用户中分离 | Permissions management | |||
| EnableMFADevice | 授予权限以启用 MFA 设备,并将其与指定的 IAM 用户相关联 | Write | |||
|
iam:FIDO-FIPS-140-2-certification |
|||||
| GenerateCredentialReport | 授予为 Amazon Web Services 账户 生成凭证报告的权限 | Read | |||
| GenerateOrganizationsAccessReport | 授予权限以便为 Amazon Organizations 实体生成访问报告 | Read |
organizations:DescribePolicy organizations:ListChildren organizations:ListParents organizations:ListPoliciesForTarget organizations:ListRoots organizations:ListTargetsForPolicy |
||
| GenerateServiceLastAccessedDetails | 授予权限以便为 IAM 资源生成上次访问的服务数据报告 | Read | |||
| GetAccessKeyLastUsed | 授予权限以检索有关上次使用指定访问密钥的时间的信息 | Read | |||
| GetAccountAuthorizationDetails | 授予检索有关您的 Amazon Web Services 账户 中的所有 IAM 用户、组、角色和策略的信息的权限,包括它们之间的关系 | Read | |||
| GetAccountEmailAddress | 授予检索与账户关联的电子邮件地址的权限 | Read | |||
| GetAccountName | 授予检索与账户关联的账户名称的权限 | Read | |||
| GetAccountPasswordPolicy | 授予检索 Amazon Web Services 账户 的密码策略的权限 | Read | |||
| GetAccountSummary | 授予检索有关 Amazon Web Services 账户 中的 IAM 实体使用量和 IAM 配额的信息的权限 | List | |||
| GetCloudFrontPublicKey | 授予检索有关指定 CloudFront 公钥的信息的权限 | Read | |||
| GetContextKeysForCustomPolicy | 授予权限以检索指定策略中引用的所有上下文键的列表 | Read | |||
| GetContextKeysForPrincipalPolicy | 授予权限以检索附加到指定 IAM 身份(用户、组或角色)的所有 IAM policy 中引用的所有上下文键的列表 | Read | |||
| GetCredentialReport | 授予检索 Amazon Web Services 账户 的凭证报告的权限 | Read | |||
| GetGroup | 授予权限以检索指定 IAM 组中的 IAM 用户列表 | Read | |||
| GetGroupPolicy | 授予权限以检索嵌入在指定 IAM 组中的内联策略文档 | Read | |||
| GetInstanceProfile | 授予权限以检索有关指定实例配置文件的信息,包括实例配置文件的路径、GUID、ARN 和角色 | Read | |||
| GetLoginProfile | 授予权限以检索指定 IAM 用户的用户名和密码创建日期 | List | |||
| GetMFADevice | 授予检索指定的用户 MFA 设备相关信息的权限 | Read | |||
| GetOpenIDConnectProvider | 授予权限以在 IAM 中检索有关指定 OpenID Connect (OIDC) 提供商资源的信息 | Read | |||
| GetOrganizationsAccessReport | 授予权限以检索 Amazon Organizations 访问报告 | Read | |||
| GetPolicy | 授予权限以检索有关指定托管策略的信息,包括策略的默认版本以及策略附加到的身份总数 | Read | |||
| GetPolicyVersion | 授予权限以检索有关指定托管策略的版本的信息,包括策略文档 | Read | |||
| GetRole | 授予权限以检索有关指定角色的信息,包括角色的路径、GUID、ARN 和角色的信任策略 | Read | |||
| GetRolePolicy | 授予权限以检索嵌入在指定 IAM 角色中的内联策略文档 | Read | |||
| GetSAMLProvider | 授予权限以检索在创建或更新 IAM SAML 提供商资源时上传的 SAML 提供商元文档 | Read | |||
| GetSSHPublicKey | 授予权限以检索指定的 SSH 公有密钥,包括有关密钥的元数据 | Read | |||
| GetServerCertificate | 授予权限以检索有关 IAM 中存储的指定服务器证书的信息 | Read | |||
| GetServiceLastAccessedDetails | 授予权限以检索有关上次访问的服务数据报告的信息 | Read | |||
| GetServiceLastAccessedDetailsWithEntities | 授予权限以从上次访问的服务数据报告中检索有关实体的信息 | Read | |||
| GetServiceLinkedRoleDeletionStatus | 授予权限以检索 IAM 服务相关角色删除状态 | Read | |||
| GetUser | 授予权限以检索有关指定 IAM 用户的信息,包括用户的创建日期、路径、唯一 ID 和 ARN | Read | |||
| GetUserPolicy | 授予权限以检索嵌入在指定 IAM 用户中的内联策略文档 | Read | |||
| ListAccessKeys | 授予权限以列出有关与指定 IAM 用户关联的访问密钥 ID 的信息 | List | |||
| ListAccountAliases | 授予列出与 Amazon Web Services 账户 关联的账户别名的权限 | List | |||
| ListAttachedGroupPolicies | 授予权限以列出附加到指定 IAM 组的所有托管策略 | List | |||
| ListAttachedRolePolicies | 授予权限以列出附加到指定 IAM 角色的所有托管策略 | List | |||
| ListAttachedUserPolicies | 授予权限以列出附加到指定 IAM 用户的所有托管策略 | List | |||
| ListCloudFrontPublicKeys | 授予列出账户的所有当前 CloudFront 公钥的权限 | List | |||
| ListEntitiesForPolicy | 授予权限以列出指定托管策略附加到的所有 IAM 身份 | List | |||
| ListGroupPolicies | 授予权限以列出嵌入在指定 IAM 组中的内联策略的名称 | List | |||
| ListGroups | 授予权限以列出具有指定路径前缀的 IAM 组 | List | |||
| ListGroupsForUser | 授予权限以列出指定 IAM 用户所属的 IAM 组 | List | |||
| ListInstanceProfileTags | 授予权限以列出附加到指定实例配置文件的标签 | List | |||
| ListInstanceProfiles | 授予权限以列出具有指定路径前缀的实例配置文件 | List | |||
| ListInstanceProfilesForRole | 授予权限以列出具有指定的关联 IAM 角色的实例配置文件 | List | |||
| ListMFADeviceTags | 授予权限以列出附加到指定虚拟 MFA 设备的标签 | List | |||
| ListMFADevices | 授予权限以列出 IAM 用户的 MFA 设备 | List | |||
| ListOpenIDConnectProviderTags | 授予权限以列出附加到指定 OpenID Connect 提供商的标签 | List | |||
| ListOpenIDConnectProviders | 授予列出有关 Amazon Web Services 账户 中定义的 IAM OpenID Connect (OIDC) 提供商资源对象的信息的权限 | List | |||
| ListPolicies | 授予权限以列出所有托管策略 | List | |||
| ListPoliciesGrantingServiceAccess | 授予权限以列出有关为实体授予特定服务的访问权限的策略的信息 | List | |||
| ListPolicyTags | 授予权限以列出附加到指定托管策略的标签 | List | |||
| ListPolicyVersions | 授予权限以列出有关指定托管策略的版本的信息,包括当前设置为策略默认版本的版本 | List | |||
| ListRolePolicies | 授予权限以列出嵌入在指定 IAM 角色中的内联策略的名称 | List | |||
| ListRoleTags | 授予权限以列出附加到指定 IAM 角色的标签 | List | |||
| ListRoles | 授予权限以列出具有指定路径前缀的 IAM 角色 | List | |||
| ListSAMLProviderTags | 授予权限以列出附加到指定 SAML 提供商的标签 | List | |||
| ListSAMLProviders | 授予权限以列出 IAM 中的 SAML 提供商资源 | List | |||
| ListSSHPublicKeys | 授予权限以列出有关与指定 IAM 用户关联的 SSH 公有密钥的信息 | List | |||
| ListSTSRegionalEndpointsStatus | 授予列出所有活动 STS 区域端点状态的权限 | List | |||
| ListServerCertificateTags | 授予权限以列出附加到指定服务器证书的标签 | List | |||
| ListServerCertificates | 授予权限以列出具有指定路径前缀的服务器证书 | List | |||
| ListServiceSpecificCredentials | 授予权限以列出与指定 IAM 用户关联的服务特定凭证 | List | |||
| ListSigningCertificates | 授予权限以列出有关与指定 IAM 用户关联的签名证书的信息 | List | |||
| ListUserPolicies | 授予权限以列出嵌入在指定 IAM 用户中的内联策略的名称 | List | |||
| ListUserTags | 授予权限以列出附加到指定 IAM 用户的标签 | List | |||
| ListUsers | 授予权限以列出具有指定路径前缀的 IAM 用户 | List | |||
| ListVirtualMFADevices | 授予权限以按分配状态列出虚拟 MFA 设备 | List | |||
| PassRole [仅权限] | 授予权限以将角色传递给服务 | Write | |||
| PutGroupPolicy | 授予权限以创建或更新嵌入在指定 IAM 组中的内联策略文档 | Permissions management | |||
| PutRolePermissionsBoundary | 授予权限以将托管策略设置为角色的权限边界 | Permissions management | |||
| PutRolePolicy | 授予权限以创建或更新嵌入在指定 IAM 角色中的内联策略文档 | Permissions management | |||
| PutUserPermissionsBoundary | 授予权限以将托管策略设置为 IAM 用户的权限边界 | Permissions management | |||
| PutUserPolicy | 授予权限以创建或更新嵌入在指定 IAM 用户中的内联策略文档 | Permissions management | |||
| RemoveClientIDFromOpenIDConnectProvider | 授予权限以从指定 IAM OpenID Connect (OIDC) 提供商资源的客户端 ID 列表中删除客户端 ID(受众) | Write | |||
| RemoveRoleFromInstanceProfile | 授予权限以从指定的 EC2 实例配置文件中删除 IAM 角色 | Write | |||
| RemoveUserFromGroup | 授予权限以从指定的组中删除 IAM 用户 | Write | |||
| ResetServiceSpecificCredential | 授予权限以重置 IAM 用户的现有服务特定凭证的密码 | Write | |||
| ResyncMFADevice | 授予权限以将指定的 MFA 设备与其 IAM 实体(用户或角色)同步 | Write | |||
| SetDefaultPolicyVersion | 授予权限以将指定策略的版本设置为策略的默认版本 | 权限管理 | |||
| SetSTSRegionalEndpointStatus | 授予激活或停用 STS 区域端点的权限 | Write | |||
| SetSecurityTokenServicePreferences | 授予权限以设置 STS 全局终端节点令牌版本 | Write | |||
| SimulateCustomPolicy | 授予权限以模拟基于身份的策略或基于资源的策略是否为特定 API 操作和资源提供权限 | Read | |||
| SimulatePrincipalPolicy | 授予权限以模拟附加到指定 IAM 实体(用户或角色)的基于身份的策略是否为特定 API 操作和资源提供权限 | Read | |||
| TagInstanceProfile | 授予权限以将标签添加到实例配置文件 | Tagging | |||
| TagMFADevice | 授予权限以将标签添加到虚拟 MFA 设备 | Tagging | |||
| TagOpenIDConnectProvider | 授予权限以将标签添加到 OpenID Connect 提供商 | Tagging | |||
| TagPolicy | 授予权限以将标签添加到托管策略 | Tagging | |||
| TagRole | 授予权限以将标签添加到 IAM 角色 | Tagging | |||
| TagSAMLProvider | 授予权限以将标签添加到 SAML 提供商 | Tagging | |||
| TagServerCertificate | 授予权限以将标签添加到服务器证书 | Tagging | |||
| TagUser | 授予权限以将标签添加到 IAM 用户 | Tagging | |||
| UntagInstanceProfile | 授予权限以从实例配置文件中删除指定的标签 | Tagging | |||
| UntagMFADevice | 授予权限以从虚拟 MFA 设备中删除指定的标签 | Tagging | |||
| UntagOpenIDConnectProvider | 授予权限以从 OpenID Connect 提供商中删除指定的标签 | Tagging | |||
| UntagPolicy | 授予权限以从托管策略中删除指定的标签 | Tagging | |||
| UntagRole | 授予权限以从角色中删除指定的标签 | Tagging | |||
| UntagSAMLProvider | 授予权限以从 SAML 提供商中删除指定的标签 | Tagging | |||
| UntagServerCertificate | 授予权限以从服务器证书中删除指定的标签 | Tagging | |||
| UntagUser | 授予权限以从用户中删除指定的标签 | Tagging | |||
| UpdateAccessKey | 授予权限以将指定访问密钥的状态更新为活动或非活动状态 | Write | |||
| UpdateAccountEmailAddress | 授予更新与账户关联的电子邮件地址的权限 | Write | |||
| UpdateAccountName | 授予更新与账户关联的账户名称的权限 | Write | |||
| UpdateAccountPasswordPolicy | 授予更新 Amazon Web Services 账户 的密码策略设置的权限 | Write | |||
| UpdateAssumeRolePolicy | 授予权限以更新为 IAM 实体授予权限以担任角色的策略 | 权限管理 | |||
| UpdateCloudFrontPublicKey | 授予更新现有 CloudFront 公钥的权限 | Write | |||
| UpdateGroup | 授予权限以更新指定 IAM 组的名称或路径 | Write | |||
| UpdateLoginProfile | 授予权限以更改指定 IAM 用户的密码 | Write | |||
| UpdateOpenIDConnectProviderThumbprint | 授予权限以更新与 OpenID Connect (OIDC) 提供商资源关联的服务器证书指纹的完整列表 | Write | |||
| UpdateRole | 授予权限以更新角色的描述或最大会话持续时间设置 | Write | |||
| UpdateRoleDescription | 授予权限以仅更新角色描述 | Write | |||
| UpdateSAMLProvider | 授予权限以更新现有 SAML 提供商资源的元数据文档 | Write | |||
| UpdateSSHPublicKey | 授予权限以将 IAM 用户的 SSH 公有密钥状态更新为活动或非活动状态 | Write | |||
| UpdateServerCertificate | 授予权限以更新 IAM 中存储的指定服务器证书的名称或路径 | Write | |||
| UpdateServiceSpecificCredential | 授予权限以将 IAM 用户的服务特定凭证状态更新为活动或非活动状态 | Write | |||
| UpdateSigningCertificate | 授予权限以将指定用户签名证书的状态更新为活动或已禁用状态 | Write | |||
| UpdateUser | 授予权限以更新指定 IAM 用户的名称或路径 | Write | |||
| UploadCloudFrontPublicKey | 授予上载 CloudFront 公钥的权限 | Write | |||
| UploadSSHPublicKey | 授予权限以上传 SSH 公有密钥,并将其与指定的 IAM 用户相关联 | Write | |||
| UploadServerCertificate | 授予上载 Amazon Web Services 账户 的服务器证书实体的权限 | Write | |||
| UploadSigningCertificate | 授予权限以上传 X.509 签名证书,并将其与指定的 IAM 用户相关联 | Write |
Amazon Identity and Access Management(IAM)定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| access-report |
arn:${Partition}:iam::${Account}:access-report/${EntityPath}
|
|
| assumed-role |
arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}
|
|
| federated-user |
arn:${Partition}:iam::${Account}:federated-user/${UserName}
|
|
| group |
arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}
|
|
| instance-profile |
arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}
|
|
| mfa |
arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}
|
|
| oidc-provider |
arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}
|
|
| policy |
arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}
|
|
| role |
arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}
|
|
| saml-provider |
arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}
|
|
| server-certificate |
arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}
|
|
| sms-mfa |
arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}
|
|
| user |
arn:${Partition}:iam::${Account}:user/${UserNameWithPath}
|
Amazon Identity and Access Management(IAM)的条件键
Amazon Identity and Access Management(IAM)定义了以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 根据在请求中传递的标签筛选访问 | 字符串 |
| aws:ResourceTag/${TagKey} | 根据与资源关联的标签筛选访问 | 字符串 |
| aws:TagKeys | 根据在请求中传递的标签键筛选访问 | 字符串数组 |
| iam:AWSServiceName | 按该角色附加到的Amazon服务筛选访问 | 字符串 |
| iam:AssociatedResourceArn | 按将代表使用的角色的资源筛选访问权限 | ARN |
| iam:FIDO-FIPS-140-2-certification | 按注册 FIDO 安全密钥时的 MFA 设备 FIPS-140-2 验证认证级别筛选访问权限 | 字符串 |
| iam:FIDO-FIPS-140-3-certification | 按注册 FIDO 安全密钥时的 MFA 设备 FIPS-140-3 验证认证级别筛选访问权限 | 字符串 |
| iam:FIDO-certification | 按注册 FIDO 安全密钥时的 MFA 设备 FIDO 认证级别筛选访问权限 | 字符串 |
| iam:OrganizationsPolicyId | 按 Amazon Organizations 策略 ID 筛选访问 | 字符串 |
| iam:PassedToService | 按该角色传递到的Amazon服务筛选访问 | 字符串 |
| iam:PermissionsBoundary | 根据指定策略设置是否为 IAM 实体(用户或角色)上的权限边界以筛选访问 | ARN |
| iam:PolicyARN | 按 IAM policy 的 ARN 筛选访问 | ARN |
| iam:RegisterSecurityKey | 按当前 MFA 设备启用状态筛选访问权限 | 字符串 |
| iam:ResourceTag/${TagKey} | 按附加到 IAM 实体(用户或角色)的标签筛选访问 | 字符串 |