API 操作的所需权限 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

API 操作的所需权限

当您设置访问控制以及编写您可挂载到 IAM 身份的权限策略(基于身份的策略),请使用本部分中的信息作为指南。对于每个Amazon ShieldAPI 操作时,需要知道可为其授予执行该操作的权限的相应操作,以及Amazon资源,您可以授予权限。您可以在策略的 Action 字段中指定这些操作,并在策略的 Resource 字段中指定资源值。

注意

要指定操作,请在 API 操作名称之前使用 shield: 前缀 (例如,shield:CreateProtection)。

以下列表仅包含需要显式资源权限的操作。

您可以在 Amazon Shield 策略中使用 Amazon 条件键来表达条件。有关的完整列表Amazon密钥,请参阅条件的可用密钥中的IAM 用户指南.

对于每个操作,我们将列出操作和相关的策略资源规范。

AssociateDRTLogBucket

API 操作shield:AssociateDRTLogBuckets3:GetBucketPolicys3:PutBucketPolicy

资源arn:aws:s3:::bucket_name/optional_object_key

AssociateDrtRole

API 操作shield:AssociateDrtRoleiam:GetRoleiam:ListAttachedRolePoliciesiam:PassRole

资源arn:aws:iam::account-id:role/role-id

CreateProtection

API 操作shield:CreateProtection

资源arn:aws:shield::account:protection/ID

DeleteProtection

API 操作shield:DeleteProtection

资源arn:aws:shield::account:protection/ID

DescribeAttack

API 操作shield:DescribeAttack

资源arn:aws:shield::account:attack/ID

DescribeDrtAccess

API 操作shield:DescribeDrtAccesss3:GetBucketPolicy

资源arn:aws:s3:::bucket_name/optional_object_key

DescribeProtection

API 操作shield:DescribeProtection

资源arn:aws:shield::account:protection/ID

DisassociateDRTLogBucket

API 操作shield:DisassociateDRTLogBuckets3:DeleteBucketPolicys3:GetBucketPolicys3:PutBucketPolicy

资源arn:aws:s3:::bucket_name/optional_object_key

有关 Shield 操作和资源的更多信息,请参阅Amazon Identity and Access Management指南主题定义的操作Amazon Shield.

有关 Shield 可用于的 API 操作的完整列表,请参阅。Amazon Shield AdvancedAPI 参考.