# IAM 基于身份的策略示例
[策略](access_policies.md)是 AWS 中的对象;在与身份或资源相关联时,策略定义它们的权限。在某个 IAM 主体(用户或角色)发出请求时,AWS 将评估这些策略。策略中的权限确定是允许还是拒绝请求。大多数策略作为附加到 IAM 身份(用户、用户组或角色)的 JSON 文档存储在 AWS 中。基于身份的策略包括 AWS 托管策略、客户托管策略和内联策略。要了解如何使用这些示例 JSON 策略文档创建 IAM policy,请参阅。[使用 JSON 编辑器创建策略](access_policies_create-console.md#access_policies_create-json-editor)
默认情况下,所有请求都会被拒绝,因此必须提供相关权限供身份访问服务、操作和资源。如果还需要允许访问以在 IAM 控制台中完成指定的操作,则需要提供额外的权限。
下面的策略库可以帮助您为自己的 IAM 身份定义权限。在找到所需的策略后,请选择**查看该策略**以查看该策略的 JSON 版本。您可以将该 JSON 策略文档用作自己策略的模板。
**注意**
如果您愿意提交策略供本参考指南采用,请使用该页面底部的 **Feedback** 按钮。
## 示例策略:AWS
+ 允许在特定日期范围内进行访问。([查看该策略](reference_policies_examples_aws-dates.md)。)
+ 允许启用和禁用 AWS 区域。([查看该策略](reference_policies_examples_aws-enable-disable-regions.md)。)
+ 允许使用 MFA 完成身份验证的用户在**安全凭证**页面上管理自己的凭证。([查看该策略](reference_policies_examples_aws_my-sec-creds-self-manage.md)。)
+ 允许在特定日期范围内使用 MFA 进行特定访问。([查看该策略](reference_policies_examples_aws_mfa-dates.md)。)
+ 允许用户在**安全凭证**页面上管理自己的凭证。([查看该策略](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md)。)
+ 允许用户在**安全凭证**页面上管理自己的 MFA 设备。([查看该策略](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md)。)
+ 允许用户在**安全凭证**页面上管理自己的密码。([查看该策略](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md)。)
+ 允许用户在**安全凭证**页面上管理自己的密码、访问密钥和 SSH 公有密钥。([查看该策略](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md)。)
+ 根据请求的区域拒绝对 AWS 的访问。([查看该策略](reference_policies_examples_aws_deny-requested-region.md)。)
+ 基于源 IP 拒绝对 AWS 的访问。([查看该策略](reference_policies_examples_aws_deny-ip.md)。)
## 示例策略:AWS Data Exchange
+ 拒绝访问您账户之外的 Amazon S3 资源,AWS Data Exchange 除外。([查看该策略](reference_policies_examples_resource_account_data_exch.md)。)
## 示例策略:AWS Data Pipeline
+ 拒绝访问不是用户创建的管道([查看该策略](reference_policies_examples_datapipeline_not-owned.md)。)
## 示例策略:Amazon DynamoDB
+ 允许访问特定的 Amazon DynamoDB 表([查看该策略](reference_policies_examples_dynamodb_specific-table.md)。)
+ 允许访问特定的 Amazon DynamoDB 属性([查看该策略](reference_policies_examples_dynamodb_attributes.md)。)
+ 允许基于 Amazon Cognito ID 对 Amazon DynamoDB 进行项目级访问([查看该策略](reference_policies_examples_dynamodb_items.md)。)
## 示例策略:Amazon EC2
+ 允许根据标签为 Amazon EC2 实例附加或分离 Amazon EBS 卷([查看该策略](reference_policies_examples_ec2_ebs-owner.md)。)
+ 允许以编程方式和使用控制台在特定子网中启动 Amazon EC2 实例([查看该策略](reference_policies_examples_ec2_instances-subnet.md)。)
+ 允许以编程方式和在控制台中管理与特定 VPC 关联的 Amazon EC2 安全组([查看该策略](reference_policies_examples_ec2_securitygroups-vpc.md)。)
+ 允许以编程方式和在控制台中启动或停止用户标记的 Amazon EC2 实例([查看该策略](reference_policies_examples_ec2_tag-owner.md)。)
+ 允许以编程方式和在控制台中根据资源和主体标签启动或停止 Amazon EC2 实例([查看该策略](reference_policies_examples_ec2-start-stop-tags.md)。)
+ 在资源和主体标签匹配时,允许启动或停止 Amazon EC2 实例 实例([查看该策略](reference_policies_examples_ec2-start-stop-match-tags.md)。)
+ 允许以编程方式和使用控制台在特定区域进行不受限制的 Amazon EC2 访问 ([查看该策略](reference_policies_examples_ec2_region.md)。)
+ 允许以编程方式和在控制台中启动或停止特定的 Amazon EC2 实例和修改特定的安全组([查看该策略](reference_policies_examples_ec2_instance-securitygroup.md))
+ 拒绝在没有 MFA 的情况下访问特定的 Amazon EC2 操作([查看该策略](reference_policies_examples_ec2_require-mfa.md)。)
+ 将要终止的 Amazon EC2 实例限定为特定的 IP 地址范围([查看该策略](reference_policies_examples_ec2_terminate-ip.md))
## 示例策略:AWS Identity and Access Management (IAM)
+ 允许访问策略模拟器 API([查看该策略](reference_policies_examples_iam_policy-sim.md)。)
+ 允许访问策略模拟器控制台([查看该策略](reference_policies_examples_iam_policy-sim-console.md)。)
+ 允许以编程方式和在控制台中担任具有特定标签的任何角色([查看该策略](reference_policies_examples_iam-assume-tagged-role.md)。)
+ 允许和拒绝以编程方式和在控制台中访问多个服务([查看该策略](reference_policies_examples_iam_multiple-services-console.md)。)
+ 允许以编程方式和在控制台中为具有不同的特定标签的 IAM 用户添加特定的标签([查看该策略](reference_policies_examples_iam-add-tag.md)。)
+ 允许以编程方式和在控制台中为任何 IAM 用户或角色添加特定的标签([查看该策略](reference_policies_examples_iam-add-tag-user-role.md)。)
+ 允许创建仅具有特定标签的新用户([查看该策略](reference_policies_examples_iam-new-user-tag.md)。)
+ 允许生成和检索 IAM 凭证报告([查看该策略](reference_policies_examples_iam-credential-report.md)。)
+ 允许以编程方式和在控制台中管理组的成员资格([查看该策略](reference_policies_examples_iam_manage-group-membership.md)。)
+ 允许管理特定的标签([查看该策略](reference_policies_examples_iam-manage-tags.md)。)
+ 允许将 IAM 角色传递到特定的服务([查看该策略](reference_policies_examples_iam-passrole-service.md)。)
+ 允许对 IAM 控制台进行只读访问而不生成报告([查看该策略](reference_policies_examples_iam_read-only-console-no-reporting.md)。)
+ 允许对 IAM 控制台进行只读访问([查看该策略](reference_policies_examples_iam_read-only-console.md)。)
+ 允许特定用户以编程方式和在控制台中管理组([查看该策略](reference_policies_examples_iam_users-manage-group.md)。)
+ 允许以编程方式和在控制台中设置账户密码要求([查看该策略](reference_policies_examples_iam_set-account-pass-policy.md)。)
+ 允许具有特定路径的用户使用策略模拟器 API([查看该策略](reference_policies_examples_iam_policy-sim-path.md)。)
+ 允许具有特定路径的用户使用策略模拟器控制台([查看该策略](reference_policies_examples_iam_policy-sim-path-console.md)。)
+ 允许 IAM 用户自行管理 MFA 设备 ([查看该策略](reference_policies_examples_iam_mfa-selfmanage.md)。)
+ 允许 IAM 用户通过编程方式和控制台设置自己的凭证。([查看该策略](reference_policies_examples_iam_credentials_console.md)。)
+ 允许在 IAM 控制台中查看 AWS Organizations 策略的上次访问的服务信息。([查看该策略](reference_policies_examples_iam_service-accessed-data-orgs.md)。)
+ 对可应用于 IAM 用户、组或角色的托管策略加以限制([查看该策略](reference_policies_examples_iam_limit-managed.md)。)
+ 仅允许访问您的账户中的 IAM policy([查看此策略](resource_examples_iam_policies_resource_account.md)。)
## 示例策略:AWS Lambda
+ 允许 AWS Lambda 函数访问 Amazon DynamoDB 表([查看该策略](reference_policies_examples_lambda-access-dynamodb.md)。)
## 示例策略:Amazon RDS
+ Amazon RDS 允许在特定区域中进行完全 RDS 数据库访问。([查看该策略](reference_policies_examples_rds_region.md)。)
+ 允许以编程方式和在控制台中还原 Amazon RDS 数据库([查看该策略](reference_policies_examples_rds_db-console.md)。)
+ 允许标签所有者不受限制地访问其标记的 Amazon RDS 资源([查看该策略](reference_policies_examples_rds_tag-owner.md)。)
## 示例策略:Amazon S3
+ 允许 Amazon Cognito 用户访问自己的 Amazon S3 存储桶中的对象([查看该策略](reference_policies_examples_s3_cognito-bucket.md)。)
+ 允许具有临时凭证的用户以编程方式和在控制台中访问自己位于 Amazon S3 中的主目录([查看该策略](reference_policies_examples_s3_federated-home-directory-console.md)。)
+ 允许完全 S3 访问,但如果管理员在过去的 30 分钟内未使用 MFA 登录,则显式拒绝访问 Production 存储桶([查看该策略](reference_policies_examples_s3_full-access-except-production.md)。)
+ 允许 IAM 用户以编程方式和在控制台中访问自己位于 Amazon S3 中的主目录([查看该策略](reference_policies_examples_s3_home-directory-console.md)。)
+ 允许用户管理单个 Amazon S3 存储桶并拒绝所有其他 AWS 操作和资源([查看该策略](reference_policies_examples_s3_deny-except-bucket.md)。)
+ 允许对特定的 Amazon S3 存储桶进行 `Read` 和 `Write` 访问([查看该策略](reference_policies_examples_s3_rw-bucket.md))
+ 允许以编程方式和在控制台中对特定的 Amazon S3 存储桶进行 `Read` 和 `Write` 访问([查看该策略](reference_policies_examples_s3_rw-bucket-console.md)。)