API 操作的 Firewall Manager 所需权限 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

API 操作的 Firewall Manager 所需权限

当您设置访问控制并编写您可附加到 IAM 身份的权限策略(基于身份的策略),请使用本部分中的信息作为指南。对于每个 Amazon Firewall Manager API 操作,您需要知道可为其授予权限的相应操作以及您可为其授予权限的 Amazon 资源。您可以在策略的 Action 字段中指定这些操作,并在策略的 Resource 字段中指定资源值。

注意

要指定操作,请在 API 操作名称之前使用 fms: 前缀 (例如,fms:CreatePolicy)。

本主题仅列出需要显式资源权限的操作。

您可以在 Amazon Firewall Manager 策略中使用 Amazon 范围的条件键来表示条件。有关 Amazon 范围内的键的完整列表,请参阅 IAM 用户指南中的条件的可用键

要使用以下 Firewall Manager API 操作,您需要对资源具有以下权限:arn:aws:fms:region:account:policy/ID.

此外,要使用 Firewall Manager API 操作PutNotificationChannel,则您指定的 Amazon SNS 主题必须允许 Firewall Manager 服务链接角色向其发布消息。下面显示了 SNS 主题权限设置示例:

{ "Sid": "AWSFirewallManagerSNSPolicy", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account ID:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS" }, "Action": "sns:Publish", "Resource": "SNS topic ARN" }

有关 Firewall Manager 操作和资源的更多信息,请参阅Amazon Identity and Access Management指南主题定义的操作Amazon Firewall Manager

有关 Firewall Manager 可用于的 API 操作的完整列表,请参阅Amazon Firewall ManagerAPI 参考.