Amazon 服务的操作、资源和条件键

访问级别列描述如何对操作进行分类（列出、读取、写入、权限管理或标记）。此分类可以帮助您了解当您在策略中使用操作时，相应操作授予的访问级别。有关访问级别的更多信息，请参阅了解策略摘要内的访问级别摘要。

资源类型列指示操作是否支持资源级权限。如果该列为空，则操作不支持资源级权限，并且您必须在策略中指定所有资源（“*”）。如果该列包含一种资源类型，则可以在策略的 Resource 元素中指定资源 ARN。有关资源的更多信息，请参阅资源类型表中相应的行。一个语句中包括的所有操作和资源必须相互兼容。如果您指定的资源对操作无效，则任何使用该操作的请求都会失败，并且语句的 Effect 不适用。

必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN，则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的（未指示为必需），则可以选择使用一种类型而不使用其他类型。

条件键列包括可以在策略语句的 Condition 元素中指定的键。可能支持将条件键与操作或操作和特定资源一起使用。请密切注意该键是否与特定资源类型位于同一行中。该表不包括适用于任何操作或不相关情况的全局条件键。有关全局条件键的更多信息，请参阅Amazon 全局条件上下文键。

除了操作本身的权限以外，相关操作列还包括成功调用该操作所应该具有的任何其他权限。如果操作访问多个资源，这可能是必需的。

并非在所有情况下都需要相关操作。有关为用户提供精细权限的更多信息，请参阅各个服务的文档。

ARN 列指定，在引用该类型的资源时必须使用的 Amazon Resource Name (ARN) 格式。前缀为 $ 的部分必须替换为您的方案的实际值。例如，如果在 ARN 中看到 $user-name，您必须将该字符串替换为实际用户的名称或包含用户名的策略变量。有关 ARN 的更多信息，请参阅 IAM ARN。

条件键列指定条件上下文键，只有在 IAM policy 语句中同时包含该资源和上表中的支持操作时，才能在该语句中包含这些键。

类型列指定条件键的数据类型。该数据类型确定您可以使用哪些条件运算符以将请求中的值与策略语句中的值进行比较。您必须使用一个适用于数据类型的运算符。如果您使用不正确的运算符，匹配始终会失败，而策略语句从不适用。

如果 Type (类型) 列指定某种简单类型“…列表”，则可以在策略中使用多个键和值。使用条件集前缀以及运算符执行此操作。使用 ForAllValues 前缀指定请求中的所有值必须与策略语句中的值匹配。使用 ForAnyValue 前缀指定请求中至少有一个值与策略语句中的其中一个值匹配。