本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
API 操作的所需权限
当您设置访问控制以及编写您可挂载到 IAM 身份的权限策略(基于身份的策略),请使用本部分中的信息作为指南。对于每个Amazon ShieldAPI 操作时,需要知道可为其授予执行该操作的权限的相应操作,以及Amazon资源,您可以授予权限。您可以在策略的 Action
字段中指定这些操作,并在策略的 Resource
字段中指定资源值。
要指定操作,请在 API 操作名称之前使用 shield:
前缀 (例如,shield:CreateProtection
)。
以下列表仅包含需要显式资源权限的操作。
您可以在 Amazon Shield 策略中使用 Amazon 条件键来表达条件。有关的完整列表Amazon密钥,请参阅条件的可用密钥中的IAM 用户指南.
对于每个操作,我们将列出操作和相关的策略资源规范。
- AssociateDRTLogBucket
-
API 操作–
shield:AssociateDRTLogBucket
、s3:GetBucketPolicy
、s3:PutBucketPolicy
资源–
arn:aws:s3:::
bucket_name
/optional_object_key
- AssociateDrtRole
-
API 操作–
shield:AssociateDrtRole
、iam:GetRole
、iam:ListAttachedRolePolicies
、iam:PassRole
资源–
arn:aws:iam::
account-id
:role/role-id
- CreateProtection
-
API 操作–
shield:CreateProtection
资源–
arn:aws:shield::
account
:protection/ID
- DeleteProtection
-
API 操作–
shield:DeleteProtection
资源–
arn:aws:shield::
account
:protection/ID
- DescribeAttack
-
API 操作–
shield:DescribeAttack
资源–
arn:aws:shield::
account
:attack/ID
- DescribeDrtAccess
-
API 操作–
shield:DescribeDrtAccess
、s3:GetBucketPolicy
资源–
arn:aws:s3:::
bucket_name
/optional_object_key
- DescribeProtection
-
API 操作–
shield:DescribeProtection
资源–
arn:aws:shield::
account
:protection/ID
- DisassociateDRTLogBucket
-
API 操作–
shield:DisassociateDRTLogBucket
、s3:DeleteBucketPolicy
、s3:GetBucketPolicy
、s3:PutBucketPolicy
资源–
arn:aws:s3:::
bucket_name
/optional_object_key
有关 Shield 操作和资源的更多信息,请参阅Amazon Identity and Access Management指南主题定义的操作Amazon Shield.
有关 Shield 可用于的 API 操作的完整列表,请参阅。Amazon Shield AdvancedAPI 参考.