本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 为 Amazon EC2 资源授予所需的权限 默认情况下,用户、群组和角色无权创建或修改 Amazon EC2 资源,也无权使用 Amazon EC2 API 执行任务。要创建或修改 EC2 资源并执行任务,请参阅 Amazon EC2 *用户指南中的 Amazon EC2* [的身份和访问管理](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-iam.html)。 当您发出 API 请求时,您在请求中指定的参数决定您的 EC2 资源所需的权限。如果发出请求的用户、群组或角色没有所需的权限,则请求将失败。例如,`RunInstances`要使用在子网中启动实例(通过指定`SubnetId`参数),用户必须拥有使用 VPC 的权限。 *Resource-level 权限*是指能够指定允许用户对哪些资源执行操作。Amazon EC2 部分支持资源级权限。这意味着对于某些 Amazon EC2 操作,您可以控制何时允许用户执行操作 (基于必须满足的条件)或是允许用户使用的特定资源。例如,您可以为用户授予启动实例的权限,但是仅限特定类型的实例,并且只能使用特定的 AMI。 有关由 Amazon EC2 操作创建或修改的资源以及您可以在 IAM 策略声明中使用的 ARN 和 Amazon EC2 条件密钥的更多信息,请参阅《*服务授权参考*》中的 A [mazon EC2 的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)。 有关策略示例,请参阅《[亚马逊 EC2 *用户指南》中的 Amazon EC2 的* IAM 政策](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-for-amazon-ec2.html)。