政策摘要中的存取層級 - AWS Identity and Access Management
AWS 存取層級摘要AWS 存取層級

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

政策摘要中的存取層級

AWS 存取層級摘要

政策摘要包括說明針對政策中所提及的每項服務定義的動作許可的存取層級摘要。若要進一步了解政策摘要,請參閱政策摘要。從存取層級摘要可知政策中是否已為每個存取層級中的動作 (ListReadTaggingWritePermissions management) 定義 FullLimited 許可。若要檢視指派給服務中每個動作的存取層級分類,請參閱 AWS 服務的動作、資源和條件金鑰

以下範例說明針對特定服務政策所提供的存取權。如需完整的 JSON 政策文件及其相關摘要的範例,請參閱政策摘要的範例

服務 存取層級 此政策提供下列
IAM 完整存取 存取 IAM 服務內的所有動作
CloudWatch 完整:清單 存取 List 存取層級中的所有 CloudWatch 動作,但是無法存取具 ReadWritePermissions management 存取層級分類的動作。
Data Pipeline 有限:清單、讀取 存取 List和 存取Read層級中至少一個但並非所有 AWS Data Pipeline 動作,但無法存取 WritePermissions management動作。
EC2 完整:清單、讀取有限:寫入 存取所有 Amazon EC2 ListRead 動作,以及存取至少一個但並非所有 Amazon EC2 Write 動作,但是無法存取具 Permissions management 存取層級分類的動作。
S3 有限:讀取、寫入、許可管理 存取至少一個但並非所有 Amazon S3 ReadWritePermissions management 動作。
CodeDeploy (空白) 未知存取,因為 IAM 無法辨識此服務。
API Gateway 政策中未定義任何存取權。
CodeBuild a white exclamation point on an orange triangle background 未定義任何動作。 無法存取,因為未針對服務定義任何動作。若要了解如何了解和故障排除此問題,請參閱我的政策未授與預期的許可

在政策摘要中,完整存取表示政策提供服務內所有動作的存取權。政策提供存取服務內部分但非所有動作,並會進一步根據存取層級分類分組。這是根據下列存取層級的群組指出:

  • Full (完整):政策提供對指定的存取層級分類中的所有動作的存取權。

  • Limited (有限):政策提供指定存取層級分類內的一或多個但非全部動作的存取權。

  • None (無):政策不提供存取權。

  • (空):IAM 無法辨識此服務。如果服務名稱包含錯別字,則政策不提供服務的存取權。如果服務名稱正確,則該服務可能不支援政策摘要,或者可能處於預覽狀態。在這種情況下,政策可能會提供存取權,但無法顯示在政策摘要內。若請求全面供應 (GA) 服務的政策摘要支援,請參閱 服務不支援 IAM 政策摘要

包含有限 (部分) 動作存取的存取層級摘要會使用 AWS 存取層級分類 ListReadTaggingWrite或 進行分組Permissions management

AWS 存取層級

AWS 會為服務中的動作定義下列存取層級分類:

  • List (清單):列出服務內資源的許可,以判斷物件是否存在。具有此層級存取權的動作,可以列出物件,但無法查看資源的內容。例如,Amazon S3 動作 ListBucket 具有 List (清單) 存取層級。

  • Read (讀取):可讀取但無法編輯服務內資源的內容和屬性的許可。例如,Amazon S3 動作 GetObjectGetBucketLocation 具有 Read (讀取) 存取層級。

  • Tagging (標記):執行僅變更資源標籤狀態之動作的許可。例如,IAM 動作 TagRoleUntagRole 具有 Tagging (標記) 存取層級,因為它們只允許標記或取消標記角色。不過,當您建立該角色時,CreateRole 動作允許標記角色資源。由於動作不會僅新增標籤,所以它具有 Write 存取層級。

  • Write (寫入):可建立、刪除或修改服務內資源的許可。例如,Amazon S3 動作 CreateBucketDeleteBucketPutObject 具有 Write (寫入) 存取層級。Write 動作可能也允許修改資源標籤。不過,動作僅允許變更具有 Tagging 存取層級的標籤。

  • 許可管理:許可管理是指控制內部存取的動作 AWS 服務,包括 IAM 和非 IAM 身分許可,但排除安全群組等網路層級存取控制。例如,大多數 IAM 和 AWS Organizations 動作,以及 Amazon S3 動作PutBucketPolicy,且DeleteBucketPolicy具有許可管理存取層級。

    秘訣

    為了改善 的安全性 AWS 帳戶,請限制或定期監控包含許可管理存取層級分類的政策。

若要檢視服務中所有動作的存取層級分類,請參閱 AWS 服務的動作、資源和條件金鑰