# 策略摘要中的访问级别
<a name="access_policies_understand-policy-summary-access-level-summaries"></a>

## Amazon 访问级别摘要
<a name="access_policies_access-level-summaries"></a>

策略摘要中包括一个访问级别摘要，用于描述为策略中提及的每项服务定义的操作权限。要了解策略摘要，请参阅[策略摘要](access_policies_understand.md)。访问级别摘要指出在策略中为每个访问级别中的操作（`List`、`Read`、`Tagging`、`Write` 和 `Permissions management`）定义的是 `Full` 还是 `Limited` 权限。要查看分配给服务中每个操作的访问级别分类，请参阅 [Amazon 服务的操作、资源和条件键](reference_policies_actions-resources-contextkeys.html)。

下面的示例介绍策略为给定服务提供的访问权限。有关完整 JSON 策略文档及其相关摘要的示例，请参阅[策略摘要示例](access_policies_policy-summary-examples.md)。


****  

| 服务 | 访问级别 | 此策略提供以下访问权限 | 
| --- | --- | --- | 
| IAM | 完全访问 | 对 IAM 服务内所有操作的访问权限。 | 
| CloudWatch | Full: List | 对 List 访问级别中所有 CloudWatch 操作的访问权限，但无权访问 Read、Write或 Permissions management 访问级别分类的操作。 | 
| Data Pipeline | Limited: List, Read | 对于 List 和 Read 访问级别中至少一项但不是全部 Amazon Data Pipeline 操作（但不是 Write 或 Permissions management 操作）的访问权限。 | 
| EC2 | Full: List, Read Limited: Write | 对所有 Amazon EC2List 和 Read 操作的访问权限以及对至少一项但不是全部 Amazon EC2 Write 操作的访问权限，但不具有对于 Permissions management 访问级别分类中的操作的访问权限。 | 
| S3 | Limited：Read、Write、Permissions management | 访问至少一个但并非全部 Amazon S3 Read、Write 和 Permissions management 操作。 | 
| codedploy | （空） | 未知访问权限，因为 IAM 无法识别此服务。 | 
| API Gateway | 无 | 策略中未定义任何访问权限。 | 
| CodeBuild | ![\[a white exclamation point on an orange triangle background\]](http://docs.amazonaws.cn/IAM/latest/UserGuide/images/console-alert-icon.console.png) 未定义任何操作。 | 没有为服务定义任何操作，因而无法访问。要了解该问题和进行问题排查，请参阅[我的策略未授予预期权限](troubleshoot_policies.md#policy-summary-not-grant-permissions)。 | 

在策略摘要中，**完全访问权限**表示策略提供对服务内所有操作的访问权限。提供对服务内的部分但不是全部操作的访问权限的策略将根据访问级别分类进一步分组。这由下面的其中一个访问级别分组来指示：
+ **Full**：策略提供对指定访问级别分类中所有操作的访问权限。
+ **Limited**：策略提供对指定访问级别分类内的一个或多个但不是全部操作的访问权限。
+ **None**：策略未提供任何访问权限。
+ （空）：IAM 无法识别该服务。如果服务名称包含拼写错误，则该策略不允许访问该服务。如果服务名称正确，则服务可能不支持策略摘要或可能正处于预览状态。在这种情况下，策略可能会提供访问权限，但访问权限可能不会显示在策略摘要中。要为公开提供 (GA) 服务请求策略摘要支持，请参阅[服务不支持 IAM policy 摘要](troubleshoot_policies.md#unsupported-services-actions)。

包括对操作的有限（部分）访问权限的访问级别摘要使用 Amazon 服务级别分类 `List`、`Read`、`Tagging`、`Write` 或 `Permissions management` 进行分组。

## Amazon 访问级别
<a name="access_policies_access-level"></a>

Amazon 为服务中的操作定义以下访问级别分类：
+ **List (列出)**：列出服务内的资源以确定某个对象是否存在的权限。此访问权限级别的操作可以列出对象，但是看不到资源的内容。例如，Amazon S3 操作 `ListBucket` 具有 **List**（列出）访问级别。
+ **Read (读取)**：读取服务中资源的内容和属性但不对其进行编辑的权限。例如，Amazon S3 操作 `GetObject` 和 `GetBucketLocation` 具有 **Read**（读取）访问权限级别。
+ **标记**：执行仅更改资源标签状态的操作的权限。例如，IAM 操作 `TagRole` 和 `UntagRole` 具有标记访问级别，因为它们仅允许**标记**或取消标记角色。不过，`CreateRole` 操作允许在创建角色时标记该角色资源。由于该操作并非仅添加标签，因此，它具有 `Write` 访问级别。
+ **Write (写入)**：在服务中创建、删除或修改资源的权限。例如，Amazon S3 操作 `CreateBucket`、`DeleteBucket` 和 `PutObject` 具有**写入**访问级别。`Write` 操作可能还允许修改资源标签。不过，仅允许更改标签的操作具有 `Tagging` 访问级别。
+ **权限管理**：权限管理是指控制 Amazon Web Services 服务 内访问的操作，包括 IAM 和非 IAM 身份权限，但不包括安全组等网络级访问控制。例如，大多数 IAM 和 Amazon Organizations 操作以及 Amazon S3 操作 `PutBucketPolicy` 和 `DeleteBucketPolicy` 具有**权限管理**访问级别。
**提示**  
要提高您的 Amazon Web Services 账户 的安全性，请限制或定期监控具有 **Permissions management**（权限管理）访问级别分类的策略。

要查看分配给服务中每个操作的访问级别分类，请参阅 [Amazon 服务的操作、资源和条件键](reference_policies_actions-resources-contextkeys.html)。