本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
API 操作的所需权限
当您设置访问控制以及编写您可挂载到 IAM 身份的权限策略(基于身份的策略),请使用本部分中的信息作为指南。对于每个Amazon ShieldAPI 操作时,需要知道可为其授予执行该操作的权限的相应操作,以及Amazon资源,您可以授予权限。您可以在策略的 Action 字段中指定这些操作,并在策略的 Resource 字段中指定资源值。
要指定操作,请在 API 操作名称之前使用 shield: 前缀 (例如,shield:CreateProtection)。
以下列表仅包含需要显式资源权限的操作。
您可以在 Amazon Shield 策略中使用 Amazon 条件键来表达条件。有关的完整列表Amazon密钥,请参阅条件的可用密钥中的IAM 用户指南.
对于每个操作,我们将列出操作和相关的策略资源规范。
- AssociateDRTLogBucket
-
API 操作–
shield:AssociateDRTLogBucket、s3:GetBucketPolicy、s3:PutBucketPolicy资源–
arn:aws:s3:::bucket_name/optional_object_key - AssociateDrtRole
-
API 操作–
shield:AssociateDrtRole、iam:GetRole、iam:ListAttachedRolePolicies、iam:PassRole资源–
arn:aws:iam::account-id:role/role-id - CreateProtection
-
API 操作–
shield:CreateProtection资源–
arn:aws:shield::account:protection/ID - DeleteProtection
-
API 操作–
shield:DeleteProtection资源–
arn:aws:shield::account:protection/ID - DescribeAttack
-
API 操作–
shield:DescribeAttack资源–
arn:aws:shield::account:attack/ID - DescribeDrtAccess
-
API 操作–
shield:DescribeDrtAccess、s3:GetBucketPolicy资源–
arn:aws:s3:::bucket_name/optional_object_key - DescribeProtection
-
API 操作–
shield:DescribeProtection资源–
arn:aws:shield::account:protection/ID
- DisassociateDRTLogBucket
-
API 操作–
shield:DisassociateDRTLogBucket、s3:DeleteBucketPolicy、s3:GetBucketPolicy、s3:PutBucketPolicy资源–
arn:aws:s3:::bucket_name/optional_object_key
有关 Shield 操作和资源的更多信息,请参阅Amazon Identity and Access Management指南主题定义的操作Amazon Shield.
有关 Shield 可用于的 API 操作的完整列表,请参阅。Amazon Shield AdvancedAPI 参考.