Identity And Access Management 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Identity And Access Management 的操作、资源和条件键

Identity And Access Management(服务前缀:iam)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Identity And Access Management 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddClientIDToOpenIDConnectProvider 授予权限以将新客户端 ID(受众)添加到指定 IAM OpenID Connect (OIDC) 提供商资源的注册 ID 列表中 Write

oidc-provider*

AddRoleToInstanceProfile 授予权限以将 IAM 角色添加到指定的实例配置文件中 Write

instance-profile*

iam:PassRole

AddUserToGroup 授予权限以将 IAM 用户添加到指定的 IAM 组中 Write

group*

AttachGroupPolicy 授予权限以将托管策略附加到指定的 IAM 组 Permissions management

group*

iam:PolicyARN

AttachRolePolicy 授予权限以将托管策略附加到指定的 IAM 角色 Permissions management

role*

iam:PolicyARN

iam:PermissionsBoundary

AttachUserPolicy 授予权限以将托管策略附加到指定的 IAM 用户 Permissions management

user*

iam:PolicyARN

iam:PermissionsBoundary

ChangePassword 为 IAM 用户授予权限以更改自己的密码 Write

user*

CreateAccessKey 授予权限以便为指定 IAM 用户创建访问密钥和秘密访问密钥 Write

user*

CreateAccountAlias 授予为您的 Amazon Web Services 账户 创建别名的权限 Write
CreateGroup 授予权限以创建新的组 Write

group*

CreateInstanceProfile 授予权限以创建新的实例配置文件 Write

instance-profile*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateLoginProfile 授予权限以便为指定的 IAM 用户创建密码 Write

user*

CreateOpenIDConnectProvider 授予权限以创建 IAM 资源,它描述支持 OpenID Connect (OIDC) 的身份提供商 (IdP) Write

oidc-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

CreatePolicy 授予权限以创建新的托管策略 Permissions management

policy*

aws:TagKeys

aws:RequestTag/${TagKey}

CreatePolicyVersion 授予权限以创建指定托管策略的新版本 Permissions management

policy*

CreateRole 授予权限以创建新的角色 Write

role*

iam:PermissionsBoundary

aws:TagKeys

aws:RequestTag/${TagKey}

CreateSAMLProvider 授予权限以创建 IAM 资源,它描述支持 SAML 2.0 的身份提供商 (IdP) Write

saml-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceLinkedRole 授予权限以创建 IAM 角色,它允许Amazon服务代表您执行操作 Write

role*

iam:AWSServiceName

CreateServiceSpecificCredential 授予权限以便为 IAM 用户创建新的服务特定凭证 Write

user*

CreateUser 授予权限以创建新的 IAM 用户 Write

user*

iam:PermissionsBoundary

aws:TagKeys

aws:RequestTag/${TagKey}

CreateVirtualMFADevice 授予权限以创建新的虚拟 MFA 设备 Write

mfa*

aws:TagKeys

aws:RequestTag/${TagKey}

DeactivateMFADevice 授予权限以停用指定的 MFA 设备,并删除最初启用了该设备的 IAM 用户与其之间的关联 Write

user*

DeleteAccessKey 授予权限以删除与指定 IAM 用户关联的访问密钥对 Write

user*

DeleteAccountAlias 授予删除指定的 Amazon Web Services 账户 别名的权限 Write
DeleteAccountPasswordPolicy 授予删除 Amazon Web Services 账户 的密码策略的权限 Permissions management
DeleteGroup 授予权限以删除指定的 IAM 组 Write

group*

DeleteGroupPolicy 授予权限以将指定的内联策略从其组中删除 Permissions management

group*

DeleteInstanceProfile 授予权限以删除指定的实例配置文件 Write

instance-profile*

DeleteLoginProfile 授予权限以删除指定 IAM 用户的密码 Write

user*

DeleteOpenIDConnectProvider 授予权限以在 IAM 中删除 OpenID Connect 身份提供商 (IdP) 资源对象 Write

oidc-provider*

DeletePolicy 授予权限以删除指定的托管策略,并将其从附加到的任何 IAM 实体(用户、组或角色)中删除 Permissions management

policy*

DeletePolicyVersion 授予权限以从指定的托管策略中删除版本 Permissions management

policy*

DeleteRole 授予权限以删除指定的角色 Write

role*

DeleteRolePermissionsBoundary 授予权限以从角色中删除权限边界 Permissions management

role*

iam:PermissionsBoundary

DeleteRolePolicy 授予权限以从指定的角色中删除指定的内联策略 Permissions management

role*

iam:PermissionsBoundary

DeleteSAMLProvider 授予权限以在 IAM 中删除 SAML 提供程序资源 Write

saml-provider*

DeleteSSHPublicKey 授予权限以删除指定的 SSH 公有密钥 Write

user*

DeleteServerCertificate 授予权限以删除指定的服务器证书 Write

server-certificate*

DeleteServiceLinkedRole 授予权限以删除与特定Amazon服务关联的 IAM 角色(如果服务不再使用该角色) Write

role*

DeleteServiceSpecificCredential 授予权限以删除 IAM 用户的指定服务特定凭证 Write

user*

DeleteSigningCertificate 授予权限以删除与指定 IAM 用户关联的签名证书 Write

user*

DeleteUser 授予权限以删除指定的 IAM 用户 Write

user*

DeleteUserPermissionsBoundary 授予权限以从指定的 IAM 用户中删除权限边界 Permissions management

user*

iam:PermissionsBoundary

DeleteUserPolicy 授予权限以从 IAM 用户中删除指定的内联策略 Permissions management

user*

iam:PermissionsBoundary

DeleteVirtualMFADevice 授予权限以删除虚拟 MFA 设备 Write

mfa

sms-mfa

DetachGroupPolicy 授予权限以将托管策略从指定的 IAM 组中分离 Permissions management

group*

iam:PolicyARN

DetachRolePolicy 授予权限以将托管策略从指定的角色中分离 Permissions management

role*

iam:PolicyARN

iam:PermissionsBoundary

DetachUserPolicy 授予权限以将托管策略从指定的 IAM 用户中分离 Permissions management

user*

iam:PolicyARN

iam:PermissionsBoundary

EnableMFADevice 授予权限以启用 MFA 设备,并将其与指定的 IAM 用户相关联 Write

user*

GenerateCredentialReport 授予为 Amazon Web Services 账户 生成凭证报告的权限 Read
GenerateOrganizationsAccessReport 授予权限以便为 Amazon Organizations 实体生成访问报告 Read

access-report*

organizations:DescribePolicy

organizations:ListChildren

organizations:ListParents

organizations:ListPoliciesForTarget

organizations:ListRoots

organizations:ListTargetsForPolicy

iam:OrganizationsPolicyId

GenerateServiceLastAccessedDetails 授予权限以便为 IAM 资源生成上次访问的服务数据报告 Read

group*

policy*

role*

user*

GetAccessKeyLastUsed 授予权限以检索有关上次使用指定访问密钥的时间的信息 Read

user*

GetAccountAuthorizationDetails 授予检索有关您的 Amazon Web Services 账户 中的所有 IAM 用户、组、角色和策略的信息的权限,包括它们之间的关系 Read
GetAccountPasswordPolicy 授予检索 Amazon Web Services 账户 的密码策略的权限 Read
GetAccountSummary 授予检索有关 Amazon Web Services 账户 中的 IAM 实体使用量和 IAM 配额的信息的权限 List
GetContextKeysForCustomPolicy 授予权限以检索指定策略中引用的所有上下文键的列表 Read
GetContextKeysForPrincipalPolicy 授予权限以检索附加到指定 IAM 身份(用户、组或角色)的所有 IAM 策略中引用的所有上下文键的列表 Read

group

role

user

GetCredentialReport 授予检索 Amazon Web Services 账户 的凭证报告的权限 Read
GetGroup 授予权限以检索指定 IAM 组中的 IAM 用户列表 Read

group*

GetGroupPolicy 授予权限以检索嵌入在指定 IAM 组中的内联策略文档 Read

group*

GetInstanceProfile 授予权限以检索有关指定实例配置文件的信息,包括实例配置文件的路径、GUID、ARN 和角色 Read

instance-profile*

GetLoginProfile 授予权限以检索指定 IAM 用户的用户名和密码创建日期 List

user*

GetOpenIDConnectProvider 授予权限以在 IAM 中检索有关指定 OpenID Connect (OIDC) 提供商资源的信息 Read

oidc-provider*

GetOrganizationsAccessReport 授予权限以检索 Amazon Organizations 访问报告 Read
GetPolicy 授予权限以检索有关指定托管策略的信息,包括策略的默认版本以及策略附加到的身份总数 Read

policy*

GetPolicyVersion 授予权限以检索有关指定托管策略的版本的信息,包括策略文档 Read

policy*

GetRole 授予权限以检索有关指定角色的信息,包括角色的路径、GUID、ARN 和角色的信任策略 Read

role*

GetRolePolicy 授予权限以检索嵌入在指定 IAM 角色中的内联策略文档 Read

role*

GetSAMLProvider 授予权限以检索在创建或更新 IAM SAML 提供商资源时上传的 SAML 提供商元文档 Read

saml-provider*

GetSSHPublicKey 授予权限以检索指定的 SSH 公有密钥,包括有关密钥的元数据 Read

user*

GetServerCertificate 授予权限以检索有关 IAM 中存储的指定服务器证书的信息 Read

server-certificate*

GetServiceLastAccessedDetails 授予权限以检索有关上次访问的服务数据报告的信息 Read
GetServiceLastAccessedDetailsWithEntities 授予权限以从上次访问的服务数据报告中检索有关实体的信息 Read
GetServiceLinkedRoleDeletionStatus 授予权限以检索 IAM 服务相关角色删除状态 Read

role*

GetUser 授予权限以检索有关指定 IAM 用户的信息,包括用户的创建日期、路径、唯一 ID 和 ARN Read

user*

GetUserPolicy 授予权限以检索嵌入在指定 IAM 用户中的内联策略文档 Read

user*

ListAccessKeys 授予权限以列出有关与指定 IAM 用户关联的访问密钥 ID 的信息 List

user*

ListAccountAliases 授予列出与 Amazon Web Services 账户 关联的账户别名的权限 List
ListAttachedGroupPolicies 授予权限以列出附加到指定 IAM 组的所有托管策略 List

group*

ListAttachedRolePolicies 授予权限以列出附加到指定 IAM 角色的所有托管策略 List

role*

ListAttachedUserPolicies 授予权限以列出附加到指定 IAM 用户的所有托管策略 List

user*

ListEntitiesForPolicy 授予权限以列出指定托管策略附加到的所有 IAM 身份 List

policy*

ListGroupPolicies 授予权限以列出嵌入在指定 IAM 组中的内联策略的名称 List

group*

ListGroups 授予权限以列出具有指定路径前缀的 IAM 组 List
ListGroupsForUser 授予权限以列出指定 IAM 用户所属的 IAM 组 List

user*

ListInstanceProfileTags 授予权限以列出附加到指定实例配置文件的标签 List

instance-profile*

ListInstanceProfiles 授予权限以列出具有指定路径前缀的实例配置文件 List

instance-profile*

ListInstanceProfilesForRole 授予权限以列出具有指定的关联 IAM 角色的实例配置文件 List

role*

ListMFADeviceTags 授予权限以列出附加到指定虚拟 MFA 设备的标签 List

mfa*

ListMFADevices 授予权限以列出 IAM 用户的 MFA 设备 List

user

ListOpenIDConnectProviderTags 授予权限以列出附加到指定 OpenID Connect 提供商的标签 List

oidc-provider*

ListOpenIDConnectProviders 授予列出有关 Amazon Web Services 账户 中定义的 IAM OpenID Connect (OIDC) 提供商资源对象的信息的权限 List
ListPolicies 授予权限以列出所有托管策略 List
ListPoliciesGrantingServiceAccess 授予权限以列出有关为实体授予特定服务的访问权限的策略的信息 List

group*

role*

user*

ListPolicyTags 授予权限以列出附加到指定托管策略的标签 List

policy*

ListPolicyVersions 授予权限以列出有关指定托管策略的版本的信息,包括当前设置为策略默认版本的版本 List

policy*

ListRolePolicies 授予权限以列出嵌入在指定 IAM 角色中的内联策略的名称 List

role*

ListRoleTags 授予权限以列出附加到指定 IAM 角色的标签 List

role*

ListRoles 授予权限以列出具有指定路径前缀的 IAM 角色 List
ListSAMLProviderTags 授予权限以列出附加到指定 SAML 提供商的标签 List

saml-provider*

ListSAMLProviders 授予权限以列出 IAM 中的 SAML 提供商资源 List
ListSSHPublicKeys 授予权限以列出有关与指定 IAM 用户关联的 SSH 公有密钥的信息 List

user*

ListServerCertificateTags 授予权限以列出附加到指定服务器证书的标签 List

server-certificate*

ListServerCertificates 授予权限以列出具有指定路径前缀的服务器证书 List
ListServiceSpecificCredentials 授予权限以列出与指定 IAM 用户关联的服务特定凭证 List

user*

ListSigningCertificates 授予权限以列出有关与指定 IAM 用户关联的签名证书的信息 List

user*

ListUserPolicies 授予权限以列出嵌入在指定 IAM 用户中的内联策略的名称 List

user*

ListUserTags 授予权限以列出附加到指定 IAM 用户的标签 List

user*

ListUsers 授予权限以列出具有指定路径前缀的 IAM 用户 List
ListVirtualMFADevices 授予权限以按分配状态列出虚拟 MFA 设备 List
PassRole [仅权限] 授予权限以将角色传递给服务 Write

role*

iam:AssociatedResourceArn

iam:PassedToService

PutGroupPolicy 授予权限以创建或更新嵌入在指定 IAM 组中的内联策略文档 Permissions management

group*

PutRolePermissionsBoundary 授予权限以将托管策略设置为角色的权限边界 Permissions management

role*

iam:PermissionsBoundary

PutRolePolicy 授予权限以创建或更新嵌入在指定 IAM 角色中的内联策略文档 Permissions management

role*

iam:PermissionsBoundary

PutUserPermissionsBoundary 授予权限以将托管策略设置为 IAM 用户的权限边界 Permissions management

user*

iam:PermissionsBoundary

PutUserPolicy 授予权限以创建或更新嵌入在指定 IAM 用户中的内联策略文档 Permissions management

user*

iam:PermissionsBoundary

RemoveClientIDFromOpenIDConnectProvider 授予权限以从指定 IAM OpenID Connect (OIDC) 提供商资源的客户端 ID 列表中删除客户端 ID(受众) Write

oidc-provider*

RemoveRoleFromInstanceProfile 授予权限以从指定的 EC2 实例配置文件中删除 IAM 角色 Write

instance-profile*

RemoveUserFromGroup 授予权限以从指定的组中删除 IAM 用户 Write

group*

ResetServiceSpecificCredential 授予权限以重置 IAM 用户的现有服务特定凭证的密码 Write

user*

ResyncMFADevice 授予权限以将指定的 MFA 设备与其 IAM 实体(用户或角色)同步 Write

user*

SetDefaultPolicyVersion 授予权限以将指定策略的版本设置为策略的默认版本 Permissions management

policy*

SetSecurityTokenServicePreferences 授予权限以设置 STS 全局终端节点令牌版本 Write
SimulateCustomPolicy 授予权限以模拟基于身份的策略或基于资源的策略是否为特定 API 操作和资源提供权限 Read
SimulatePrincipalPolicy 授予权限以模拟附加到指定 IAM 实体(用户或角色)的基于身份的策略是否为特定 API 操作和资源提供权限 Read

group

role

user

TagInstanceProfile 授予权限以将标签添加到实例配置文件 Tagging

instance-profile*

aws:TagKeys

aws:RequestTag/${TagKey}

TagMFADevice 授予权限以将标签添加到虚拟 MFA 设备 Tagging

mfa*

aws:TagKeys

aws:RequestTag/${TagKey}

TagOpenIDConnectProvider 授予权限以将标签添加到 OpenID Connect 提供商 Tagging

oidc-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

TagPolicy 授予权限以将标签添加到托管策略 Tagging

policy*

aws:TagKeys

aws:RequestTag/${TagKey}

TagRole 授予权限以将标签添加到 IAM 角色 Tagging

role*

aws:TagKeys

aws:RequestTag/${TagKey}

TagSAMLProvider 授予权限以将标签添加到 SAML 提供商 Tagging

saml-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

TagServerCertificate 授予权限以将标签添加到服务器证书 Tagging

server-certificate*

aws:TagKeys

aws:RequestTag/${TagKey}

TagUser 授予权限以将标签添加到 IAM 用户 Tagging

user*

aws:TagKeys

aws:RequestTag/${TagKey}

UntagInstanceProfile 授予权限以从实例配置文件中删除指定的标签 Tagging

instance-profile*

aws:TagKeys

UntagMFADevice 授予权限以从虚拟 MFA 设备中删除指定的标签 Tagging

mfa*

aws:TagKeys

UntagOpenIDConnectProvider 授予权限以从 OpenID Connect 提供商中删除指定的标签 Tagging

oidc-provider*

aws:TagKeys

UntagPolicy 授予权限以从托管策略中删除指定的标签 Tagging

policy*

aws:TagKeys

UntagRole 授予权限以从角色中删除指定的标签 Tagging

role*

aws:TagKeys

UntagSAMLProvider 授予权限以从 SAML 提供商中删除指定的标签 Tagging

saml-provider*

aws:TagKeys

UntagServerCertificate 授予权限以从服务器证书中删除指定的标签 Tagging

server-certificate*

aws:TagKeys

UntagUser 授予权限以从用户中删除指定的标签 Tagging

user*

aws:TagKeys

UpdateAccessKey 授予权限以将指定访问密钥的状态更新为活动或非活动状态 Write

user*

UpdateAccountPasswordPolicy 授予更新 Amazon Web Services 账户 的密码策略设置的权限 Write
UpdateAssumeRolePolicy 授予权限以更新为 IAM 实体授予权限以担任角色的策略 Permissions management

role*

UpdateGroup 授予权限以更新指定 IAM 组的名称或路径 Write

group*

UpdateLoginProfile 授予权限以更改指定 IAM 用户的密码 Write

user*

UpdateOpenIDConnectProviderThumbprint 授予权限以更新与 OpenID Connect (OIDC) 提供商资源关联的服务器证书指纹的完整列表 Write

oidc-provider*

UpdateRole 授予权限以更新角色的描述或最大会话持续时间设置 Write

role*

UpdateRoleDescription 授予权限以仅更新角色描述 Write

role*

UpdateSAMLProvider 授予权限以更新现有 SAML 提供商资源的元数据文档 Write

saml-provider*

UpdateSSHPublicKey 授予权限以将 IAM 用户的 SSH 公有密钥状态更新为活动或非活动状态 Write

user*

UpdateServerCertificate 授予权限以更新 IAM 中存储的指定服务器证书的名称或路径 Write

server-certificate*

UpdateServiceSpecificCredential 授予权限以将 IAM 用户的服务特定凭证状态更新为活动或非活动状态 Write

user*

UpdateSigningCertificate 授予权限以将指定用户签名证书的状态更新为活动或已禁用状态 Write

user*

UpdateUser 授予权限以更新指定 IAM 用户的名称或路径 Write

user*

UploadSSHPublicKey 授予权限以上传 SSH 公有密钥,并将其与指定的 IAM 用户相关联 Write

user*

UploadServerCertificate 授予上载 Amazon Web Services 账户 的服务器证书实体的权限 Write

server-certificate*

aws:TagKeys

aws:RequestTag/${TagKey}

UploadSigningCertificate 授予权限以上传 X.509 签名证书,并将其与指定的 IAM 用户相关联 Write

user*

Identity And Access Management 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
access-report arn:${Partition}:iam::${Account}:access-report/${EntityPath}
assumed-role arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}
federated-user arn:${Partition}:iam::${Account}:federated-user/${UserName}
group arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}
instance-profile arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}

aws:ResourceTag/${TagKey}

mfa arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}

aws:ResourceTag/${TagKey}

oidc-provider arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}

aws:ResourceTag/${TagKey}

role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

iam:ResourceTag/${TagKey}

saml-provider arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}

aws:ResourceTag/${TagKey}

server-certificate arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}

aws:ResourceTag/${TagKey}

sms-mfa arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}
user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

aws:ResourceTag/${TagKey}

iam:ResourceTag/${TagKey}

Identity And Access Management 的条件键

Identity And Access Management 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中传递的标签筛选访问 字符串
aws:ResourceTag/${TagKey} 根据与资源关联的标签筛选访问 字符串
aws:TagKeys 根据在请求中传递的标签键筛选访问 字符串数组
iam:AWSServiceName 按该角色附加到的Amazon服务筛选访问 字符串
iam:AssociatedResourceArn 按将代表 ARN 使用角色的资源 ARN
iam:OrganizationsPolicyId 按 Amazon Organizations 策略 ID 筛选访问 字符串
iam:PassedToService 按该角色传递到的Amazon服务筛选访问 字符串
iam:PermissionsBoundary 根据指定策略设置是否为 IAM 实体(用户或角色)上的权限边界以筛选访问 字符串
iam:PolicyARN 按 IAM 策略 ARN 筛选访问 ARN
iam:ResourceTag/${TagKey} 按附加到 IAM 实体(用户或角色)的标签筛选访问 字符串