本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 IAM 策略授予对特定 Lightsail 资源的访问权限
*资源级权限*指的是能够指定允许用户对哪些资源执行操作的能力。Amazon Lightsail 支持资源级权限。这意味着,对于某些 Lightsail 操作,您可以根据必须满足的条件或允许用户使用或编辑的特定资源来控制何时允许用户使用这些操作。例如,您可以授予用户权限,以管理具有特定 Amazon Resource Name (ARN) 的实例或数据库。
**重要**
Lightsail 不支持某些 API 操作的资源级权限。有关更多信息,请参阅[对基于标签的资源级权限和授权的支持](resource-level-permissions-and-auth-based-on-tags-support.md)。
*有关由 Lightsail 操作创建或修改的资源以及您可以在 IAM 策略声明中使用的和 ARNs Lightsail 条件键的更多信息,请参阅 IAM 用户指南中的 A [mazon Lightsail 操作、资源和条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html)密钥。*
## 允许管理特定实例
以下策略授予对reboot/start/stop实例的访问权限、管理实例端口以及为特定实例创建实例快照。它还提供对 Lightsail 账户中其他与实例相关的信息和资源的只读访问权限。在策略中,*InstanceARN*替换为您的实例的 Amazon 资源名称 (ARN)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lightsail:GetActiveNames",
"lightsail:GetAlarms",
"lightsail:GetAutoSnapshots",
"lightsail:GetBlueprints",
"lightsail:GetBundles",
"lightsail:GetCertificates",
"lightsail:GetCloudFormationStackRecords",
"lightsail:GetContactMethods",
"lightsail:GetDisk",
"lightsail:GetDisks",
"lightsail:GetDiskSnapshot",
"lightsail:GetDiskSnapshots",
"lightsail:GetDistributionBundles",
"lightsail:GetDistributionLatestCacheReset",
"lightsail:GetDistributionMetricData",
"lightsail:GetDistributions",
"lightsail:GetDomain",
"lightsail:GetDomains",
"lightsail:GetExportSnapshotRecords",
"lightsail:GetInstance",
"lightsail:GetInstanceAccessDetails",
"lightsail:GetInstanceMetricData",
"lightsail:GetInstancePortStates",
"lightsail:GetInstances",
"lightsail:GetInstanceSnapshot",
"lightsail:GetInstanceSnapshots",
"lightsail:GetInstanceState",
"lightsail:GetKeyPair",
"lightsail:GetKeyPairs",
"lightsail:GetLoadBalancer",
"lightsail:GetLoadBalancerMetricData",
"lightsail:GetLoadBalancers",
"lightsail:GetLoadBalancerTlsCertificates",
"lightsail:GetOperation",
"lightsail:GetOperations",
"lightsail:GetOperationsForResource",
"lightsail:GetRegions",
"lightsail:GetRelationalDatabase",
"lightsail:GetRelationalDatabaseBlueprints",
"lightsail:GetRelationalDatabaseBundles",
"lightsail:GetRelationalDatabaseEvents",
"lightsail:GetRelationalDatabaseLogEvents",
"lightsail:GetRelationalDatabaseLogStreams",
"lightsail:GetRelationalDatabaseMetricData",
"lightsail:GetRelationalDatabaseParameters",
"lightsail:GetRelationalDatabases",
"lightsail:GetRelationalDatabaseSnapshot",
"lightsail:GetRelationalDatabaseSnapshots",
"lightsail:GetStaticIp",
"lightsail:GetStaticIps",
"lightsail:IsVpcPeered"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"lightsail:CloseInstancePublicPorts",
"lightsail:CreateInstanceSnapshot",
"lightsail:OpenInstancePublicPorts",
"lightsail:PutInstancePublicPorts",
"lightsail:RebootInstance",
"lightsail:StartInstance",
"lightsail:StopInstance"
],
"Resource": "arn:aws:lightsail:us-east-2:123456789012:Instance/244ad76f-8aad-4741-809f-12345EXAMPLE"
}
]
}
```
------
要获取您的实例的 ARN,请使用 Lightsa `GetInstance` il API 操作,然后使用参数指定实例的名称。`instanceName`您的实例 ARN 将在该操作的结果中列出,如下例所示。有关更多信息,请参阅[GetInstance](https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_GetInstance.html)《*亚马逊 Lightsail API* 参考》。
![\[结果中的实例 ARN。 GetInstance\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/amazon-lightsail-instance-arn.png)
## 允许管理特定数据库
以下策略授予访问reboot/start/stop和更新特定数据库的权限。它还提供对 Lightsail 账户中其他与数据库相关的信息和资源的只读访问权限。在策略中,*DatabaseARN*替换为数据库的 Amazon 资源名称 (ARN)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lightsail:GetActiveNames",
"lightsail:GetAlarms",
"lightsail:GetAutoSnapshots",
"lightsail:GetBlueprints",
"lightsail:GetBundles",
"lightsail:GetCertificates",
"lightsail:GetCloudFormationStackRecords",
"lightsail:GetContactMethods",
"lightsail:GetDisk",
"lightsail:GetDisks",
"lightsail:GetDiskSnapshot",
"lightsail:GetDiskSnapshots",
"lightsail:GetDistributionBundles",
"lightsail:GetDistributionLatestCacheReset",
"lightsail:GetDistributionMetricData",
"lightsail:GetDistributions",
"lightsail:GetDomain",
"lightsail:GetDomains",
"lightsail:GetExportSnapshotRecords",
"lightsail:GetInstance",
"lightsail:GetInstanceAccessDetails",
"lightsail:GetInstanceMetricData",
"lightsail:GetInstancePortStates",
"lightsail:GetInstances",
"lightsail:GetInstanceSnapshot",
"lightsail:GetInstanceSnapshots",
"lightsail:GetInstanceState",
"lightsail:GetKeyPair",
"lightsail:GetKeyPairs",
"lightsail:GetLoadBalancer",
"lightsail:GetLoadBalancerMetricData",
"lightsail:GetLoadBalancers",
"lightsail:GetLoadBalancerTlsCertificates",
"lightsail:GetOperation",
"lightsail:GetOperations",
"lightsail:GetOperationsForResource",
"lightsail:GetRegions",
"lightsail:GetRelationalDatabase",
"lightsail:GetRelationalDatabaseBlueprints",
"lightsail:GetRelationalDatabaseBundles",
"lightsail:GetRelationalDatabaseEvents",
"lightsail:GetRelationalDatabaseLogEvents",
"lightsail:GetRelationalDatabaseLogStreams",
"lightsail:GetRelationalDatabaseMetricData",
"lightsail:GetRelationalDatabaseParameters",
"lightsail:GetRelationalDatabases",
"lightsail:GetRelationalDatabaseSnapshot",
"lightsail:GetRelationalDatabaseSnapshots",
"lightsail:GetStaticIp",
"lightsail:GetStaticIps",
"lightsail:IsVpcPeered"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"lightsail:RebootRelationalDatabase",
"lightsail:StartRelationalDatabase",
"lightsail:StopRelationalDatabase",
"lightsail:UpdateRelationalDatabase"
],
"Resource": "arn:aws:lightsail:us-east-2:123456789012:RelationalDatabase/244ad76f-8aad-4741-809f-12345EXAMPLE"
}
]
}
```
------
要获取数据库的 ARN,请使用 Lightsai `GetRelationalDatabase` l API 操作,然后使用参数指定数据库的名称。`relationalDatabaseName`您的数据库 ARN 将在该操作的结果中列出,如下例所示。有关更多信息,请参阅[GetRelationalDatabase](https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_GetRelationalDatabase.html)《*亚马逊 Lightsail API* 参考》。
![\[结果中的数据库 ARN。 GetRelationalDatabase\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/amazon-lightsail-database-arn.png)