本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon 服务的操作、资源和条件键
每项 Amazon 服务都可以定义在 IAM 策略中使用的操作、资源和条件上下文密钥。本主题介绍如何记录为每项服务提供的元素。
每个主题由各个表组成,而表提供可用操作、资源和条件键的列表。
## 操作表
**操作表**列出所有可以在 IAM policy语句的 `Action` 元素中使用的操作。并非服务定义的所有 API 操作都可以用作 IAM policy 中的操作。某些服务包括与 API 操作不直接对应的仅限权限的操作。这些操作以 **[仅限权限]** 表示。使用此列表可确定哪些操作可用于 IAM policy 中。有关 `Action`、`Resource` 或 `Condition` 元素的更多信息,请参阅 [IAM JSON 策略元素参考](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html)。**操作**和**描述**表列是自描述性的。
+ **访问级别**列描述如何对操作进行分类(列出、读取、写入、权限管理或标记)。此分类可以帮助您了解当您在策略中使用操作时,相应操作授予的访问级别。有关访问级别的更多信息,请参阅[了解策略摘要内的访问级别摘要](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_understand-policy-summary-access-level-summaries.html)。
+ **资源类型**列指示操作是否支持资源级权限。如果该列为空,则操作不支持资源级权限,并且您必须在策略中指定所有资源(“\$1”)。如果该列包含一种资源类型,则可以在策略的 `Resource` 元素中指定资源 ARN。有关资源的更多信息,请参阅**资源类型**表中相应的行。一个语句中包括的所有操作和资源必须相互兼容。如果您指定的资源对操作无效,则任何使用该操作的请求都会失败,并且语句的 `Effect` 不适用。
必需资源在表中以星号 (\$1) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。
+ **条件键**列包括可以在策略语句的 `Condition` 元素中指定的键。可能支持将条件键与操作或操作和特定资源一起使用。请密切注意该键是否与特定资源类型位于同一行中。该表不包括适用于任何操作或不相关情况的全局条件键。有关全局条件键的更多信息,请参阅[Amazon 全局条件上下文键](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ 操作表的**依赖操作**列显示成功调用操作可能需要的其他权限。除了操作本身的权限以外,可能还需要这些权限。若某个操作指定依赖操作,则这些依赖关系可能适用于为该操作定义的其他资源,而不仅仅是表中列出的第一个资源。
并非在所有情况下都需要相关操作。有关为用户提供精细权限的更多信息,请参阅各个服务的文档。
## 资源类型表
**资源类型**表列出您可以在 `Resource` 策略元素中指定为 ARN 的所有资源类型。并非可以为每个操作指定每种资源类型。某些资源类型仅适用于某些操作。如果在语句中指定一种资源类型并且操作不支持该资源类型,则该语句不允许访问。有关 `Resource` 元素的更多信息,请参阅 [IAM JSON 策略元素:Resource](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_resource.html)。
+ **ARN** 列指定,在引用该类型的资源时必须使用的 Amazon Resource Name (ARN) 格式。前缀为 \$1 的部分必须替换为您的方案的实际值。例如,如果在 ARN 中看到 `$user-name`,您必须将该字符串替换为实际用户的名称或包含用户名的[策略变量](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_variables.html)。有关的更多信息 ARNs,请参阅 [IAM ARNs](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)。
+ **条件键**列指定条件上下文键,只有在 IAM policy 语句中同时包含该资源和上表中的支持操作时,才能在该语句中包含这些键。
## 条件键表
**条件键**表列出可以在 IAM policy 语句的 `Condition` 元素中使用的所有条件上下文键。并非可以对每个操作或资源指定每个键。某些键仅适用于特定类型的操作和资源。有关 `Condition` 元素的更多信息,请参阅 [IAM JSON 策略元素:Condition](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **类型**列指定条件键的数据类型。该数据类型确定您可以使用哪些[条件运算符](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)以将请求中的值与策略语句中的值进行比较。您必须使用一个适用于数据类型的运算符。如果您使用不正确的运算符,匹配始终会失败,而策略语句从不适用。
如果 **Type (类型)** 列指定某种简单类型“…列表”,则可以在策略中使用[多个键和值](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions)。使用条件集前缀以及运算符执行此操作。使用 `ForAllValues` 前缀指定请求中的**所有**值必须与策略语句中的值匹配。使用 `ForAnyValue` 前缀指定请求中**至少有一个**值与策略语句中的其中一个值匹配。
**Topics**
+ [操作表](#actions_table)
+ [资源类型表](#resources_table)
+ [条件键表](#context_keys_table)
+ [Amazon 账户管理](list_awsaccountmanagement.md)
+ [适用于 APIs 亚马逊 MSK 集群的 Apache Kafka](list_apachekafkaapisforamazonmskclusters.md)
+ [Amazon API Gateway](list_amazonapigateway.md)
+ [Amazon API Gateway 管理](list_amazonapigatewaymanagement.md)
+ [Amazon API Gateway 管理第 2 版](list_amazonapigatewaymanagementv2.md)
+ [Amazon App Mesh](list_awsappmesh.md)
+ [Amazon AppConfig](list_awsappconfig.md)
+ [Amazon App Auto Scaling](list_awsapplicationautoscaling.md)
+ [Amazon Application Recovery Controller - 可用区转移](list_amazonapplicationrecoverycontroller-zonalshift.md)
+ [Amazon AppSync](list_awsappsync.md)
+ [Amazon Athena](list_amazonathena.md)
+ [Amazon Backup](list_awsbackup.md)
+ [Amazon Backup 网关](list_awsbackupgateway.md)
+ [Amazon Backup 存储空间](list_awsbackupstorage.md)
+ [Amazon Batch](list_awsbatch.md)
+ [Amazon Billing](list_awsbilling.md)
+ [Amazon Billing 控制台](list_awsbillingconsole.md)
+ [Amazon 预算服务](list_awsbudgetservice.md)
+ [Amazon 证书管理器](list_awscertificatemanager.md)
+ [Amazon Web Services 云 地图](list_awscloudmap.md)
+ [Amazon CloudAssist 服务读写权限](list_awscloudassistservicereadwritepermissions.md)
+ [Amazon CloudFormation](list_awscloudformation.md)
+ [Amazon CloudFront](list_amazoncloudfront.md)
+ [Amazon CloudTrail](list_awscloudtrail.md)
+ [Amazon CloudWatch](list_amazoncloudwatch.md)
+ [Amazon CloudWatch 应用程序洞察](list_amazoncloudwatchapplicationinsights.md)
+ [Amazon CloudWatch 日志](list_amazoncloudwatchlogs.md)
+ [Amazon CloudWatch 可观察性访问管理器](list_amazoncloudwatchobservabilityaccessmanager.md)
+ [Amazon S CloudWatch ynthetics](list_amazoncloudwatchsynthetics.md)
+ [Amazon CodeBuild](list_awscodebuild.md)
+ [Amazon CodeCommit](list_awscodecommit.md)
+ [Amazon CodeDeploy](list_awscodedeploy.md)
+ [Amazon CodeDeploy 安全主机命令服务](list_awscodedeploysecurehostcommandsservice.md)
+ [Amazon CodePipeline](list_awscodepipeline.md)
+ [Amazon Cognito Identity](list_amazoncognitoidentity.md)
+ [Amazon Compute Optimizer](list_awscomputeoptimizer.md)
+ [Amazon Config](list_awsconfig.md)
+ [Amazon 连接器服务](list_awsconnectorservice.md)
+ [Amazon 整合账单](list_awsconsolidatedbilling.md)
+ [Amazon 成本和使用情况报告](list_awscostandusagereport.md)
+ [Amazon Cost Explorer 服务](list_awscostexplorerservice.md)
+ [Amazon Data Lifecycle Manager](list_amazondatalifecyclemanager.md)
+ [Amazon 数据库迁移服务](list_awsdatabasemigrationservice.md)
+ [Amazon 直接连接](list_awsdirectconnect.md)
+ [Amazon Directory Ser](list_awsdirectoryservice.md)
+ [Amazon DynamoDB](list_amazondynamodb.md)
+ [Amazon DynamoDB Accelerator (DAX)](list_amazondynamodbacceleratordax.md)
+ [Amazon EC2](list_amazonec2.md)
+ [Amazon EC2 Auto Scaling](list_amazonec2autoscaling.md)
+ [Amazon EC2 Image Builder](list_amazonec2imagebuilder.md)
+ [Amazon EC2 Instance Connect](list_amazonec2instanceconnect.md)
+ [Amazon EKS Auth](list_amazoneksauth.md)
+ [Amazon Elastic Beanstalk](list_awselasticbeanstalk.md)
+ [Amazon Elastic Block Store](list_amazonelasticblockstore.md)
+ [Amazon Elastic Container Registry](list_amazonelasticcontainerregistry.md)
+ [Amazon Elastic Container Service](list_amazonelasticcontainerservice.md)
+ [Amazon Elastic File System](list_amazonelasticfilesystem.md)
+ [Amazon Elastic Kubernetes Service](list_amazonelastickubernetesservice.md)
+ [Amazon Elastic Load Balancing](list_awselasticloadbalancing.md)
+ [Amazon Elastic Load Balancing 版本](list_awselasticloadbalancingv2.md)
+ [亚马逊弹性 MapReduce](list_amazonelasticmapreduce.md)
+ [Amazon ElastiCache](list_amazonelasticache.md)
+ [Amazon 元素 MediaConvert](list_awselementalmediaconvert.md)
+ [Amazon EMR Serverless](list_amazonemrserverless.md)
+ [亚马逊 EventBridge](list_amazoneventbridge.md)
+ [亚马逊 Pi EventBridge pes](list_amazoneventbridgepipes.md)
+ [Amazon EventBridge 日程安排](list_amazoneventbridgescheduler.md)
+ [Amazon 发票管理](list_amazonfapiaomanagement.md)
+ [Amazon 免费套餐](list_awsfreetier.md)
+ [Amazon FreeRTOS](list_amazonfreertos.md)
+ [亚马逊 FSx](list_amazonfsx.md)
+ [亚马逊 GameLift 服务器](list_amazongameliftservers.md)
+ [Amazon Glue](list_awsglue.md)
+ [Amazon Glue DataBrew](list_awsgluedatabrew.md)
+ [亚马逊 GuardDuty](list_amazonguardduty.md)
+ [Amazon Health APIs 和通知](list_awshealthapisandnotifications.md)
+ [Amazon IAM 访问分析器](list_awsiamaccessanalyzer.md)
+ [Amazon IAM 身份中心](list_awsiamidentitycenter.md)
+ [Amazon IAM 身份中心目录](list_awsiamidentitycenterdirectory.md)
+ [Amazon IAM 身份中心 OIDC 服务](list_awsiamidentitycenteroidcservice.md)
+ [Amazon 身份和访问管理 (IAM) Access Management](list_awsidentityandaccessmanagementiam.md)
+ [Amazon 随时随地的身份和访问管理角色](list_awsidentityandaccessmanagementrolesanywhere.md)
+ [Amazon 身份存储](list_awsidentitystore.md)
+ [Amazon 身份存储验证](list_awsidentitystoreauth.md)
+ [Amazon 身份同步](list_awsidentitysync.md)
+ [Amazon Inspector2](list_amazoninspector2.md)
+ [亚马逊 Inspector2 遥测频道](list_amazoninspector2telemetrychannel.md)
+ [Amazon 发票服务](list_awsinvoicingservice.md)
+ [Amazon 物联网](list_awsiot.md)
+ [Amazon IoT Analytics](list_awsiotanalytics.md)
+ [Amazon IoT Events](list_awsiotevents.md)
+ [Amazon 物联网 Greengrass](list_awsiotgreengrass.md)
+ [Amazon 物联网 Greengrass V2](list_awsiotgreengrassv2.md)
+ [Amazon 物联网职位 DataPlane](list_awsiotjobsdataplane.md)
+ [Amazon 物联网 SiteWise](list_awsiotsitewise.md)
+ [Amazon 物联网 TwinMaker](list_awsiottwinmaker.md)
+ [Amazon 密钥管理服务](list_awskeymanagementservice.md)
+ [Amazon Kinesis Analytics](list_amazonkinesisanalytics.md)
+ [Amazon Kinesis Analytics V2](list_amazonkinesisanalyticsv2.md)
+ [Amazon Kinesis Data Streams](list_amazonkinesisdatastreams.md)
+ [Amazon Kinesis Firehose](list_amazonkinesisfirehose.md)
+ [Amazon Kinesis Video Streams](list_amazonkinesisvideostreams.md)
+ [Amazon Lambda](list_awslambda.md)
+ [Amazon Launch Wizard](list_awslaunchwizard.md)
+ [Amazon License Manager](list_awslicensemanager.md)
+ [Amazon 许可证管理器 Linux 订阅管理器](list_awslicensemanagerlinuxsubscriptionsmanager.md)
+ [Amazon Managed Streaming for Apache Kafka](list_amazonmanagedstreamingforapachekafka.md)
+ [Amazon Managed Workflows for Apache Airflow](list_amazonmanagedworkflowsforapacheairflow.md)
+ [Amazon Web Services Marketplace](list_awsmarketplace.md)
+ [Amazon Web Services Marketplace 权利服务](list_awsmarketplaceentitlementservice.md)
+ [Amazon Web Services Marketplace 管理门户](list_awsmarketplacemanagementportal.md)
+ [Amazon Web Services Marketplace 计量服务](list_awsmarketplacemeteringservice.md)
+ [Amazon 内存 DB](list_amazonmemorydb.md)
+ [Amazon Message Delivery Service](list_amazonmessagedeliveryservice.md)
+ [Amazon Message Gateway Service](list_amazonmessagegatewayservice.md)
+ [Amazon MQ](list_amazonmq.md)
+ [Amazon Neptune](list_amazonneptune.md)
+ [Amazon 网络防火墙](list_awsnetworkfirewall.md)
+ [亚马逊 OpenSearch 服务](list_amazonopensearchservice.md)
+ [Amazon 组织](list_awsorganizations.md)
+ [Amazon 付款](list_awspayments.md)
+ [Amazon 性能 Insights](list_awsperformanceinsights.md)
+ [Amazon Personalize](list_amazonpersonalize.md)
+ [Amazon Polly](list_amazonpolly.md)
+ [Amazon 价目表](list_awspricelist.md)
+ [Amazon 私有证书颁发机构](list_awsprivatecertificateauthority.md)
+ [Amazon 采购订单控制台](list_awspurchaseordersconsole.md)
+ [Amazon QuickSight](list_amazonquicksight.md)
+ [Amazon RDS](list_amazonrds.md)
+ [Amazon RDS IAM 身份验证](list_amazonrdsiamauthentication.md)
+ [Amazon 回收站](list_awsrecyclebin.md)
+ [Amazon Redshift](list_amazonredshift.md)
+ [Amazon Redshift 数据 API](list_amazonredshiftdataapi.md)
+ [Amazon Redshift Serverless](list_amazonredshiftserverless.md)
+ [Amazon Resource Access Manager (RAM)](list_awsresourceaccessmanagerram.md)
+ [Amazon Resource Group Tagging API](list_amazonresourcegrouptaggingapi.md)
+ [Amazon 资源 Groups](list_awsresourcegroups.md)
+ [Amazon Route 53](list_amazonroute53.md)
+ [Amazon Route 53 Profiles](list_amazonroute53profiles.md)
+ [Amazon Route 53 Resolver](list_amazonroute53resolver.md)
+ [Amazon S3](list_amazons3.md)
+ [Amazon S3 Express](list_amazons3express.md)
+ [Amazon S3 Glacier](list_amazons3glacier.md)
+ [Amazon S3 Object Lambda](list_amazons3objectlambda.md)
+ [Amazon SageMaker](list_amazonsagemaker.md)
+ [Amazon Savings Plans](list_awssavingsplans.md)
+ [Amazon Secrets Manager](list_awssecretsmanager.md)
+ [Amazon Security Hub](list_awssecurityhub.md)
+ [Amazon 安全令牌服务](list_awssecuritytokenservice.md)
+ [Amazon 服务器迁移服务](list_awsservermigrationservice.md)
+ [Amazon 无服务器应用程序 Repository](list_awsserverlessapplicationrepository.md)
+ [Service Quotas](list_servicequotas.md)
+ [Amazon 签名者](list_awssigner.md)
+ [Amazon Simple Workflow Service](list_amazonsimpleworkflowservice.md)
+ [Amazon SimpleDB](list_amazonsimpledb.md)
+ [Amazon Snowball](list_awssnowball.md)
+ [Amazon SNS](list_amazonsns.md)
+ [Amazon SQL 工作台](list_awssqlworkbench.md)
+ [Amazon SQS](list_amazonsqs.md)
+ [Amazon Step Function](list_awsstepfunctions.md)
+ [Amazon Storage Gatewa](list_awsstoragegateway.md)
+ [Amazon Web Services 支持](list_awssupport.md)
+ [Amazon Systems Manager](list_awssystemsmanager.md)
+ [Amazon Systems Manager 用户界面连接](list_awssystemsmanagerguiconnect.md)
+ [Amazon Timestream InfluxDB](list_amazontimestreaminfluxdb.md)
+ [Amazon Transcribe](list_amazontranscribe.md)
+ [Amazon Transer Family](list_awstransferfamily.md)
+ [Amazon Trusted Advis](list_awstrustedadvisor.md)
+ [Amazon Verified Permissions](list_amazonverifiedpermissions.md)
+ [Amazon WAF 区域版](list_awswafregional.md)
+ [Amazon WAF V2](list_awswafv2.md)
+ [Amazon WorkSpaces](list_amazonworkspaces.md)
+ [Amazon X-Ray](list_awsx-ray.md)