本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 政策摘要
IAM 主控台中提供了*政策摘要*表,這些表總結政策中對每個服務允許或拒絕的存取級別、資源和條件。政策摘要列於三個表中:[政策摘要](access_policies_understand-policy-summary.md)、[服務摘要](access_policies_understand-service-summary.md)以及[動作摘要](access_policies_understand-action-summary.md)。*政策摘要*表中包含服務清單。選擇其中一個服務來查看*服務摘要*。此摘要表包含所選服務的動作與相關許可的清單。您可以選擇該表中的動作以查看*動作摘要*。此表格包含所選動作的資源和條件清單。
![\[政策摘要圖表圖片描繪出 3 個表格與各自的關係\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policy_summaries-diagram.png)
您可以在 **Users (使用者)** 頁面或 **Roles (角色)** 頁面上查看連接到該使用者的所有政策 (受管和內嵌) 的政策摘要。在 **Policies (政策)** 頁面上檢視所有受管政策的摘要。受管政策包括 AWS 受管政策、受 AWS 管任務職能政策和客戶受管政策。您可以在 **Policies (政策)** 頁面上查看這些政策的摘要,無論它們是連接到使用者或其他 IAM 身分。
您可以使用政策摘要中的資訊來了解政策允許或拒絕的許可。政策摘要可協助您[排除故障](troubleshoot_policies.md)並修復未提供您預期的許可的政策。
**Topics**
+ [政策摘要 (服務清單)](access_policies_understand-policy-summary.md)
+ [政策摘要中的存取層級](access_policies_understand-policy-summary-access-level-summaries.md)
+ [服務摘要 (動作清單)](access_policies_understand-service-summary.md)
+ [動作摘要 (資源清單)](access_policies_understand-action-summary.md)
+ [政策摘要的範例](access_policies_policy-summary-examples.md)
# 政策摘要 (服務清單)
政策摘要列於三個表中:政策摘要、[服務摘要](access_policies_understand-service-summary.md)以及[動作摘要](access_policies_understand-action-summary.md)。*政策摘要*表包括由所選政策定義的服務清單和許可摘要。
![\[政策摘要圖表圖片描繪出 3 個表格與各自的關係\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policy_summaries-pol-sum.png)
政策摘要表格是分成一或多個 **Uncategorized services** (未分類服務)、**Explicit deny** (明確拒絕)、以及 **Allow** (允許) 等部分。如果政策包含 IAM 無法辨識的服務,則該服務將包含在表格的 **Uncategorized services** (未分類服務) 部分中。如果 IAM 能夠辨識該服務,則它將包含在表格的 **Explicit deny** (明確拒絕) 或 **Allow** (允許) 部分中,取決於政策的效果 (`Deny` 或 `Allow`)。
## 了解政策摘要的元素
在下列政策詳細資訊頁面範例中,**SummaryAllElements** 政策為直接連接到使用者的受管政策 (客戶管理政策)。此政策已展開並顯示了政策摘要。
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-user-page-dialog.png)
在上圖中,政策摘要在**政策**頁面顯示:
1. **許可**索引標籤包括政策中定義的許可。
1. 如果政策未授予許可給政策中定義的所有操作、資源和條件,則將在頁面頂部顯示警告或錯誤橫幅。政策摘要中包含關於問題的詳細資訊。若要了解政策摘可如何協助您了解政策授予的許權並進行相關問題故障排除,請參閱[我的政策未授與預期的許可](troubleshoot_policies.md#policy-summary-not-grant-permissions).。
1. 使用**摘要**和 **JSON** 按鈕,可在政策摘要和 JSON 政策文件之間切換。
1. 使用**搜尋**方塊,可減少服務清單並查詢特定服務。
1. 展開的視圖顯示了 **SummaryAllElements** 政策的更多詳細資訊。
下面的政策摘要表圖像顯示了在政策詳細資訊頁面上已展開的 **SummaryAllElements** 政策。
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-table-dialog.png)
在上圖中,政策摘要在**政策**頁面顯示:
1. 對於 IAM 辨識的那些服務,它根據政策是允許還是明確拒絕使用該服務來安排服務。在此範例中,政策包含用於 Amazon S3 服務的 `Deny` 陳述式,以及用於帳單、CodeDeploy 和 Amazon EC2 服務的 `Allow` 陳述式。
1. **Service** (服務) – 此欄列出在政策內定義的服務並提供每項服務的詳細資訊。政策摘要表中的每個服務名稱都是指向*服務摘要*表的一個連結,[服務摘要 (動作清單)](access_policies_understand-service-summary.md) 中對其進行了說明。在此範例中,為 Amazon S3、帳單、CodeDeploy 和 Amazon EC2 服務定義了許可。
1. **存取層級** – 此欄指出了在每個存取級別中的動作 (`List`、`Read`、`Write`、`Permission Management` 以及 `Tagging`) 是擁有 `Full` 許可還是政策中定義的 `Limited` 許可。有關存取許可級別摘要的更多詳細資訊和範例,請參閱 [政策摘要中的存取層級](access_policies_understand-policy-summary-access-level-summaries.md)。
+ **Full access** (完整存取) – 此項目顯示服務對於該服務可用的全部四個存取層級中的所有動作都擁有存取許可。
+ 如果該項不包含 **Full access** (完整存取),則服務可以存取部分但不是全部用於該服務的動作。然後,根據每個存取級別分類 (`List`、`Read`、`Write`、`Permission Management` 以及 `Tagging`) 的說明,來定義存取許可:
**Full** (完整):政策提供對列出的每個存取級別分類中的所有動作的存取許可。在此範例中,政策提供對所有帳單 `Read` 操作的存取許可。
**Limited** (限制):政策提供對所列每個存取級別分類內的一或多個但非全部動作的存取許可。在此範例中,政策提供對部分帳單 `Write` 操作的存取許可。
1. **Resource** (資源) – 此欄顯示政策為每項服務指定的資源。
+ **Multiple** (多個) – 政策包含服務內的多項資源,但並非全部。在此範例中,明確拒絕對多個 Amazon S3 資源的存取權限。
+ **所有資源** – 為服務內的所有資源而定義政策。在此範例中,政策允許對所有帳單資源執行列出的操作。
+ 資源文字 – 該政策包含服務內的一個資源。在此範例中,只允許對 `DeploymentGroupName` CodeDeploy 資源執行列出的動作。根據服務提供給 IAM 的資訊,您可能會看到一個 ARN,或者可能會看到定義的資源類型。
**注意**
此欄位可能包含不同服務的資源。如果包含資源的政策陳述式,不包含來自相同服務的動作和資源,則您的政策包含不相符的資源。在建立政策或在政策摘要中查看政策時,IAM 不會警告您關於無法配對的資源。如果此欄位包含不相符的資源,則您應該檢閱您的政策錯誤。若要更全面了解您的政策,請一律以[政策模擬器](access_policies_testing-policies.md)來測試。
1. **Request condition** (請求條件) – 此欄顯示與資源關聯的服務或動作是否受條件約束。
+ **None** (無) – 政策對服務不包含任何條件。在此範例中,沒有條件適用於 Amazon S3 服務中拒絕的操作。
+ 條件文字 – 政策包含服務的一項條件。在此範例中,僅當來源的 IP 地址與 `203.0.113.0/24` 匹配時,列出的帳單動作才會獲允許。
+ **Multiple** (多項) – 政策包含服務的多項條件。若要檢視政策多項條件中的每一項條件,請選擇 **JSON** 來檢視政策文件。
1. **顯示剩餘的服務** – 切換此按鈕可展開資料表,以包括政策未定義的服務。這些服務在該政策中被*隱含拒絕* (或根據預設拒絕)。但是,另一政策中的陳述中可能仍然允許或明確拒絕使用該服務。政策摘要匯總了單一政策的許可。若要了解 AWS 服務如何決定是否應允許或拒絕特定請求,請參閱 [政策評估邏輯](reference_policies_evaluation-logic.md)。
當政策或政策中的元素未授予許可時,IAM 在政策摘要中提供額外的警告和資訊。下面的政策摘要表顯示了在 **SummaryAllElements** 政策詳細資訊頁面上展開的**顯示剩餘的服務**,並附上可能的警告。
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-table-showremaining-dialog.png)
在上圖中,您可以看到包含沒有許可的已定義操作、資源或條件的所有服務:
1. **Resource warnings** (資源警告) – 對於沒有為所有包含的動作或資源提供許可的服務,您將在資料表的 **Resource** (資源) 欄中看到以下警告之一:
+ **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 未定義資源。**– 這表示該服務具有已定義的動作,但政策中不包含支援的資源。
+ **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一或多個動作沒有適用資源。**– 表示該服務具有已定義的動作,但其中一些動作沒有支援的資源。
+ **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一或多個資源沒有適用動作。**– 表示該服務具有已定義的資源,但其中一些資源沒有支援的動作。
如果服務同時包含沒有適用資源的動作和沒有適用資源的資源,系統只會顯示**一個或多個資源沒有適用的動作**警告。這是因為當您查看服務的服務摘要時,不會顯示不適用於任何動作的資源。對於 `ListAllMyBuckets` 動作,此政策包含最後一條警告,因為該動作不支援資源級許可,也不支援 `s3:x-amz-acl` 條件索引鍵。如果您修復資源問題或條件問題,剩餘的問題會出現在詳細的警告中。
1. **Request condition warnings** (請求條件警告) – 對於沒有為所有包含的條件提供許可的服務,您將在資料表的 **Request condition** (請求條件) 欄中看到以下警告之一:
+ **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一或多個動作沒有適用條件。**– 表示該服務具有已定義的動作,但其中一些動作沒有支援的條件。
+ **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一或多個條件沒有適用動作。**– 表示該服務具有已定義的條件,但其中一些條件沒有支援的動作。
1. **Multiple (多個) \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一或多個動作沒有適用資源。**– Amazon S3 的 `Deny` 陳述式包含一個以上的資源。它還包含多個動作,但其中一些動作支援資源,一些不支援。若要查看此政策,請參閱 [**SummaryAllElements** JSON 政策文件](#policy-summary-example-json)。在這種情況下,政策包含所有 Amazon S3 動作,只會拒絕可在儲存貯體或儲存貯體物件上執行的動作。
1. **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) No resources are defined** (未定義資源) – 服務具有已定義的動作,但政策中不包含支援的資源,因此服務不提供任何許可。在這種情況下,政策包含 CodeCommit 動作,但沒有 CodeCommit 資源。
1. **DeploymentGroupName \$1 類似的字串 \$1 全部、區域 \$1 類似的字串 \$1 us-west-2 \$1![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一個或多個動作沒有適用的資源。**– 服務具有定義的動作,且至少有額外一個沒有支援資源的動作。
1. **無 \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png) 一個或多個條件沒有適用的動作。**– 服務具有至少一個沒有支援動作的條件索引鍵。
## **SummaryAllElements** JSON 政策文件
**SummaryAllElements** 政策不適用於在帳戶中定義許可。包含它的目的在於說明您在查看政策摘要時可能會遇到的錯誤和警告。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:Get*",
"payments:List*",
"payments:Update*",
"account:Get*",
"account:List*",
"cur:GetUsage*"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0/24"
}
}
},
{
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::customer",
"arn:aws:s3:::customer/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:GetConsoleScreenshots"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"codedploy:*",
"codecommit:*"
],
"Resource": [
"arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
"arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:DeletObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": [
"public-read"
],
"s3:prefix": [
"custom",
"other"
]
}
}
}
]
}
```
------
# 檢視政策摘要
您可以檢視連接到 IAM 使用者或角色的任何政策的政策摘要。對於受管政策,您可以在**政策**頁面上檢視政策摘要。如果您的政策不包含政策摘要,請參閱 [缺少政策摘要](troubleshoot_policies.md#missing-policy-summary) 以了解原因。
## 從**政策**頁面檢視政策摘要
您可以在 **Policies** (政策) 頁面上檢視受管政策的政策摘要。
**從 **Policies** (政策) 頁面查看政策摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇您要檢視的政策名稱。
1. 在政策的**政策詳細資訊**頁面上,檢視**許可**索引標籤,可查看政策摘要。
## 檢視連接到使用者的政策的政策摘要
您可以檢視連接到 IAM 使用者的任何政策的政策摘要。
**查看連接到使用者的政策摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 從導覽窗格選擇 **Users** (使用者)。
1. 在使用者清單中,選擇要檢視其政策的使用者的名稱。
1. 在使用者的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到使用者或從群組連接的政策清單。
1. 在使用者的政策表中,展開您要檢視的政策列。
## 檢視連接到角色的政策的政策摘要
您可以檢視連接到角色的任何政策的政策摘要。
**查看連接到角色的政策摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Roles** (角色)。
1. 在角色清單中,選擇要檢視其政策的角色名稱。
1. 在角色的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到角色的政策清單。
1. 在角色的政策表中,展開您要檢視的政策列。
## 編輯政策以修正警告
在查看政策摘要時,您可能會發現拼寫錯誤,或者注意到政策未提供所需的許可。您無法直接編輯政策摘要。不過,您可以使用視覺化政策編輯器編輯客戶託管政策,該編輯器會捕捉政策摘要報告中許多相同的錯誤和警告。然後,您可以在政策摘要中查看更改以確認已修正所有問題。若要了解如何編輯內嵌政策,請參閱 [編輯 IAM 政策](access_policies_manage-edit.md)。您無法編輯 AWS 受管政策。
您可以使用**視覺化**選項來編輯政策摘要的政策。
**使用**視覺化**選項可編輯政策摘要的政策**
1. 按照上述步驟中的說明開啟政策摘要。
1. 選擇**編輯**。
如果您已打開 **Users (使用者)** 頁面,並選擇編輯連接到該使用者的客戶受管政策,系統會將您重新引導 **Policies (政策)** 頁面。您只能在 **Policies (政策)** 頁面上編輯客戶受管政策。
1. 選擇**視覺化**選項可檢視您的政策之可編輯視覺化形式。IAM 可能會調整您的政策結構以針對視覺化編輯器進行最佳化,並使您更輕鬆地查詢和解決任何問題。頁面上的警告和錯誤訊息可以引導您解決政策中的任何問題。如需有關 IAM 重新建構這些政策的詳細資訊,請參閱 [政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. 編輯您的政策,然後選擇**下一步**,可查看已在政策摘要中反映的變更。如果仍出現問題,請選擇 **Previous** (上一步) 以返回到編輯螢幕。
1. 選擇**儲存變更**,以儲存您所做的變更。
您可以使用 **JSON** 選項來編輯政策摘要的政策。
**若要使用 **JSON** 選項編輯政策摘要的政策**
1. 按照上述步驟中的說明開啟政策摘要。
1. 您可以使用**摘要**和 **JSON** 按鈕,將政策摘要與 JSON 政策文件進行比較。您可以使用該資訊來決定要更改政策文件中的哪些行。
1. 選擇**編輯**,然後選擇 **JSON** 選項,以編輯 JSON 政策文件。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器選項中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
如果您已打開 **Users (使用者)** 頁面,並選擇編輯連接到該使用者的客戶受管政策,系統會將您重新引導 **Policies (政策)** 頁面。您只能在 **Policies (政策)** 頁面上編輯客戶受管政策。
1. 編輯政策。解決[政策驗證](access_policies_policy-validator.md)期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 **Next** (下一步)。如果仍出現問題,請選擇 **Previous** (上一步) 以返回到編輯螢幕。
1. 選擇**儲存變更**,以儲存您所做的變更。
# 政策摘要中的存取層級
## AWS 存取層級摘要
政策摘要包括說明針對政策中所提及的每項服務定義的動作許可的存取層級摘要。若要進一步了解政策摘要,請參閱[政策摘要](access_policies_understand.md)。從存取層級摘要可知政策中是否已為每個存取層級中的動作 (`List`、`Read`、`Tagging`、`Write` 和 `Permissions management`) 定義 `Full` 或 `Limited` 許可。若要檢視指派給服務中每個動作的存取層級分類,請參閱 [AWS 服務的動作、資源和條件金鑰](reference_policies_actions-resources-contextkeys.html)。
以下範例說明針對特定服務政策所提供的存取權。如需完整的 JSON 政策文件及其相關摘要的範例,請參閱[政策摘要的範例](access_policies_policy-summary-examples.md)。
****
| 服務 | 存取層級 | 此政策提供下列 |
| --- | --- | --- |
| IAM | 完整存取 | 存取 IAM 服務內的所有動作 |
| CloudWatch | 完整:清單 | 存取 List 存取層級中的所有 CloudWatch 動作,但是無法存取具 Read、Write 或 Permissions management 存取層級分類的動作。 |
| Data Pipeline | 有限:清單、讀取 | 存取 List和 存取Read層級中至少一個但並非所有 AWS Data Pipeline 動作,但無法存取 Write或 Permissions management動作。 |
| EC2 | 完整:清單、讀取有限:寫入 | 存取所有 Amazon EC2 List 和 Read 動作,以及存取至少一個但並非所有 Amazon EC2 Write 動作,但是無法存取具 Permissions management 存取層級分類的動作。 |
| S3 | 有限:讀取、寫入、許可管理 | 存取至少一個但並非所有 Amazon S3 Read、Write 和 Permissions management 動作。 |
| codedploy | (空白) | 未知存取,因為 IAM 無法辨識此服務。 |
| API Gateway | 無 | 政策中未定義任何存取權。 |
| CodeBuild | ![\[a white exclamation point on an orange triangle background\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-alert-icon.console.png)未定義任何動作。 | 無法存取,因為未針對服務定義任何動作。若要了解如何了解和故障排除此問題,請參閱[我的政策未授與預期的許可](troubleshoot_policies.md#policy-summary-not-grant-permissions)。 |
在政策摘要中,**完整存取**表示政策提供服務內所有動作的存取權。政策提供存取服務內部分但非所有動作,並會進一步根據存取層級分類分組。這是根據下列存取層級的群組指出:
+ **Full (完整)**:政策提供對指定的存取層級分類中的所有動作的存取權。
+ **Limited (有限)**:政策提供指定存取層級分類內的一或多個但非全部動作的存取權。
+ **None (無)**:政策不提供存取權。
+ (空):IAM 無法辨識此服務。如果服務名稱包含錯別字,則政策不提供服務的存取權。如果服務名稱正確,則該服務可能不支援政策摘要,或者可能處於預覽狀態。在這種情況下,政策可能會提供存取權,但無法顯示在政策摘要內。若請求全面供應 (GA) 服務的政策摘要支援,請參閱 [服務不支援 IAM 政策摘要](troubleshoot_policies.md#unsupported-services-actions)。
包含有限 (部分) 動作存取的存取層級摘要會使用 AWS 存取層級分類 `List`、`Read`、`Tagging`、 `Write`或 進行分組`Permissions management`。
## AWS 存取層級
AWS 會為服務中的動作定義下列存取層級分類:
+ **List (清單)**:列出服務內資源的許可,以判斷物件是否存在。具有此層級存取權的動作,可以列出物件,但無法查看資源的內容。例如,Amazon S3 動作 `ListBucket` 具有 **List** (清單) 存取層級。
+ **Read (讀取)**:可讀取但無法編輯服務內資源的內容和屬性的許可。例如,Amazon S3 動作 `GetObject` 和 `GetBucketLocation` 具有 **Read** (讀取) 存取層級。
+ **Tagging (標記)**:執行僅變更資源標籤狀態之動作的許可。例如,IAM 動作 `TagRole` 及 `UntagRole` 具有 **Tagging** (標記) 存取層級,因為它們只允許標記或取消標記角色。不過,當您建立該角色時,`CreateRole` 動作允許標記角色資源。由於動作不會僅新增標籤,所以它具有 `Write` 存取層級。
+ **Write (寫入)**:可建立、刪除或修改服務內資源的許可。例如,Amazon S3 動作 `CreateBucket`、`DeleteBucket` 及 `PutObject` 具有 **Write** (寫入) 存取層級。`Write` 動作可能也允許修改資源標籤。不過,動作僅允許變更具有 `Tagging` 存取層級的標籤。
+ **許可管理**:許可管理是指控制內部存取的動作 AWS 服務,包括 IAM 和非 IAM 身分許可,但排除安全群組等網路層級存取控制。例如,大多數 IAM 和 AWS Organizations 動作,以及 Amazon S3 動作`PutBucketPolicy`,且`DeleteBucketPolicy`具有**許可管理**存取層級。
**秘訣**
為了改善 的安全性 AWS 帳戶,請限制或定期監控包含**許可管理**存取層級分類的政策。
若要檢視服務中所有動作的存取層級分類,請參閱 [AWS 服務的動作、資源和條件金鑰](reference_policies_actions-resources-contextkeys.html)。
# 服務摘要 (動作清單)
政策摘要列於三個表中:政策摘要、[服務摘要](access_policies_understand-policy-summary.md)以及[動作摘要](access_policies_understand-action-summary.md)。*服務摘要*表包括動作清單和由政策針對所選服務定義的許可摘要。
![\[政策摘要圖表圖片描繪出 3 個表格與各自的關係\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policy_summaries-svc-sum.png)
您可以檢視授予許可的政策摘要中,所列的每個服務的服務摘要。該表已分組為 **Uncategorized actions (未分類的動作)**、**Uncategorized resource types (未分類的資源類型)** 和存取層級區段。如果政策包含 IAM 無法辨識的動作,則該動作將包含在資料表的 **Uncategorized actions** (未分類的動作) 區段中。如果 IAM 識別出動作,則該動作會包含在資料表的其中一個存取層級 (**列出**、**讀取**、**寫入**和**許可管理)** 區段下。若要檢視指派給服務中每個動作的存取層級分類,請參閱 [AWS 服務的動作、資源和條件金鑰](reference_policies_actions-resources-contextkeys.html)。
## 了解服務摘要的元素
以下範例是從政策摘要中允許的 Amazon S3 動作之服務摘要。此服務的動作會按照存取層級分組。例如,在可供服務使用的總計 52 個**讀取**動作中,有 35 個**讀取**動作已定義。
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-dialog.png)
受管政策的服務摘要頁面包含以下資訊:
1. 如果政策未授予許可給政策中為服務定義的所有操作、資源和條件,則將在頁面頂部顯示警告橫幅。服務摘要中包含關於問題的詳細資訊。若要了解政策摘可如何協助您了解政策授予的許權並進行相關問題故障排除,請參閱[我的政策未授與預期的許可](troubleshoot_policies.md#policy-summary-not-grant-permissions).。
1. 若要查看政策的其他詳細資訊,請選擇 **JSON**。您可以執行此操作,來查看套用到動作的所有條件。(如果您正在檢視直接連接到使用者的內嵌政策的服務摘要,您必須關閉服務摘要對話方塊並返回政策摘要,以存取 JSON 政策文件)。
1. 若要檢視特定動作的摘要,請在**搜尋**方塊中輸入關鍵字,以縮短可用動作清單。
1. 在**服務**返回箭頭旁邊,將顯示服務的名稱 (在此案例中,為 **S3**)。這項服務的服務摘要包含政策中定義的允許或拒絕之動作清單。如果服務出現在**許可**索引標籤上的** (明確拒絕) **下,系統會明確拒絕服務摘要表中列出的動作。如果服務出現在**許可**索引標籤上的**允許**下,系統會允許服務摘要表中列出的動作。
1. **動作** – 此欄位會列出在政策中定義的動作,並提供每個動作的資源和條件。如果政策授予或拒絕授予許可給動作,動作名稱會連結到*[動作摘要](access_policies_understand-action-summary.md)*資料表。表格會根據政策允許或拒絕的存取層級,將這些動作分組到至少一個或多達五個區段。區段為**列出**、**讀取**、**寫入**、**許可管理**以及**標記**。計數表示在每個存取層級內提供許可的已認可動作。總計是服務的已知動作數。在這個範例中,在總計 52 個已知 Amazon S3 **讀取**動作中,有 35 個動作提供許可。若要檢視指派給服務中每個動作的存取層級分類,請參閱 [AWS 服務的動作、資源和條件金鑰](reference_policies_actions-resources-contextkeys.html)。
1. **顯示剩餘的動作** – 切換此按鈕可展開或隱藏資料表,以包含已知但不提供此服務的許可之動作。切換該按鈕也會針對不提供許可的任何元素顯示警告。
1. **Resource** (資源) – 此欄位顯示政策為服務定義的資源。IAM 不會檢查資源是否適用於每個動作。在此範例中,Amazon S3 服務中的動作只允許對 `developer_bucket` Amazon S3 儲存貯體資源執行。根據服務提供給 IAM 的資訊,您可能會看到一個 ARN (例如 `arn:aws:s3:::developer_bucket/*`),或者您可能會看到定義的資源類型 (例如 `BucketName = developer_bucket`)。
**注意**
此欄位可能包含不同服務的資源。如果包含資源的政策陳述式,不包含來自相同服務的動作和資源,則您的政策包含不相符的資源。在建立政策或在服務摘要中查看政策時,IAM 不會警告您關於不相符的資源。IAM 也不會指出動作是否適用於資源或者服務是否相符。如果此欄位包含不相符的資源,則您應該檢閱您的政策錯誤。若要更全面了解您的政策,請一律以[政策模擬器](access_policies_testing-policies.md)來測試。
1. **Request condition** (請求條件) – 此欄指出與資源關聯的動作是否受條件約束。若要進一步了解相關條件,請選擇 **JSON** 以檢視 JSON 政策文件。
1. **(No access)** (沒有存取) – 此政策包含不提供許可的動作。
1. **Resource warning** (資源警告) – 對於不提供完整許可的資源動作,請參閱以下其中一個警告:
+ **This action does not support resource-level permissions. This requires a wildcard (\$1) for the resource. (此動作不支援資源層級的許可,這需要對資源使用萬用字元 **(\$1))。– 這表示政策包含資源層級許可,但必須包含 `"Resource": ["*"]` 才能提供此動作的許可。
+ **This action does not have an applicable resource. (此動作沒有適用的資源)**。– 這表示動作包含在政策內,而無支援的資源。
+ **This action does not have an applicable resource and condition. (此動作沒有適用的資源和條件)**。– 這表示動作包含在政策內,而無支援的資源,也無支援的條件。在這種情況下,此服務的政策內也包含條件,但沒有適用此動作的條件。
1. 提供許可的動作包含連到動作摘要的連結。
# 檢視服務摘要
您可以檢視授予許可的政策摘要中,所列的每個服務的服務摘要。
## 從**政策**頁面檢視服務摘要
您可以在**政策**頁面上檢視受管政策的動作摘要。
**若要檢視受管政策的服務摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇您要檢視的政策名稱。
1. 在政策的**政策詳細資訊**頁面上,檢視**許可**索引標籤,可查看政策摘要。
1. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。
## 檢視連接到使用者的政策的服務摘要
您可以檢視連接到 IAM 使用者的任何政策的服務摘要。
**若要檢視連接到使用者的政策服務摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Users** (使用者)。
1. 在使用者清單中,選擇要檢視其政策的使用者的名稱。
1. 在使用者的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到使用者或從群組連接的政策清單。
1. 在使用者的政策表中,選擇您要檢視的政策名稱。
如果您已打開**使用者**頁面,並選擇檢視連接到該使用者的政策服務摘要,系統會將您重新引導至**政策**頁面。您只能在**政策**頁面上檢視服務摘要。
1. 選擇**摘要**。在服務的政策摘要清單中,選擇您要檢視的服務名稱。
**注意**
如果您選擇的政策是直接連接到使用者的內嵌政策,就會顯示服務摘要表。如果政策是從群組連接過來的內嵌政策,您會被帶引到 JSON 政策文件中的該群組。如果政策是受管政策,那麼您會被帶引到 **Policies (政策)** 頁面上該政策的服務摘要。
## 檢視連接到角色的政策的服務摘要
您可以檢視連接到角色的任何政策的政策摘要。
**若要檢視連接到角色的政策服務摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 從導覽窗格選擇 **Roles** (角色)。
1. 在角色清單中,選擇要檢視其政策的角色名稱。
1. 在角色的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到角色的政策清單。
1. 在角色的政策表中,選擇您要檢視的政策名稱。
如果您已打開**角色**頁面,並選擇檢視連接到該使用者的政策服務摘要,系統會將您重新引導至**政策**頁面。您只能在**政策**頁面上檢視服務摘要。
1. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。
# 動作摘要 (資源清單)
政策摘要列於三個表中:政策摘要、[服務摘要](access_policies_understand-policy-summary.md)以及[動作摘要](access_policies_understand-service-summary.md)。*動作摘要*表中包含一份資源清單,以及適用於所選動作的關聯條件。
![\[政策摘要圖表描繪出 3 個表格與各自的關係\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policy_summaries-action-sum.png)
若要檢視每個授予許可的動作摘要,請選擇服務摘要中的連結。動作摘要表包含關於資源的詳細資訊,包括其 **Region (區域)** 和 **Account (帳戶)**。您也可以檢視套用到各個資源的條件。這會顯示適用某些資源,但不適用其他資源的條件。
## 了解動作摘要的元素
以下範例是來自 Amazon S3 服務摘要的 `PutObject` (寫入) 動作的動作摘要 (請參閱 [服務摘要 (動作清單)](access_policies_understand-service-summary.md))。對於此動作,政策在單一資源定義多個條件。
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-dialog.png)
動作摘要頁面包含以下資訊:
1. 選擇 **JSON**,可查看其他有關政策的詳細資訊,例如檢視套用到動作的多個條件。(如果您正在檢視直接連接到使用者的內嵌政策的動作摘要,則步驟有所不同。在這種情況下,您必須關閉動作摘要對話方塊並返回政策摘要,才能存取 JSON 政策文件)。
1. 若要檢視特定資源的摘要,請在**搜尋方塊**中輸入關鍵字,以減少可用資源清單。
1. 在**動作**返回箭頭旁邊,將以格式 `action name action in service` 顯示服務和動作的名稱 (在此案例中為 **S3 中的 PutObject 動作**)。這項服務的動作摘要包含政策中定義的資源清單。
1. **Resource (資源)** – 此欄列示政策為所選服務定義的資源。在此範例中,所有物件路徑都允許 **PutObject** 動作,但只有 `developer_bucket` Amazon S3 儲存貯體資源除外。根據服務提供給 IAM 的資訊,您可能會看到一個 ARN (例如 `arn:aws:s3:::developer_bucket/*`),或者您可能會看到定義的資源類型 (例如 `BucketName = developer_bucket, ObjectPath = All`)。
1. **Region** (區域) – 此欄顯示定義資源的區域。可針對所有區域或單一區域定義資源。它們無法存在於一個以上的特定區域。
+ **所有區域** – 與資源關聯的動作適用於所有區域。在這個範例中,動作屬於全球服務 Amazon S3。屬於全球服務的動作適用於所有區域。
+ Region text (區域文字) – 與資源關聯的動作適用於一個區域。例如,政策可以指定資源的 `us-east-2` 區域。
1. **Account** (帳戶) – 此欄顯示與資源關聯的服務或動作是否套用於特定帳戶。資源可以存在於所有帳戶或單一帳戶。它們無法存在於一個以上的特定帳戶。
+ **All accounts** (所有帳戶) – 與資源關聯的動作適用於所有帳戶。在這個範例中,動作屬於全球服務 Amazon S3。屬於全球服務的動作適用於所有帳戶。
+ **這個帳戶** – 與資源關聯的動作只適用於目前的帳戶。
+ Account number (帳戶編號) – 與資源關聯的動作,套用於一個帳戶 (您目前未登入的帳戶)。例如,如果政策指定 `123456789012` 帳戶供資源使用,則帳號會出現在政策摘要中。
1. **Request condition** (請求條件) – 此欄顯示與資源關聯的動作是否受條件約束。此範例包含 `s3:x-amz-acl = public-read` 條件。若要進一步了解相關條件,請選擇 **JSON** 以檢視 JSON 政策文件。
# 檢視動作摘要
您可以檢視授予許可的政策摘要中所列的每個動作的動作摘要。
## 從**政策**頁面檢視動作摘要
您可以檢視受管政策的動作摘要。
**檢視受管政策的動作摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇您要檢視的政策名稱。
1. 在政策的**政策詳細資訊**頁面上,檢視**許可**索引標籤,可查看政策摘要。
1. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。
1. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。
## 檢視連接到使用者的政策的動作摘要
您可以檢視連接到使用者的任何政策的動作摘要。
**檢視連接到使用者的政策動作摘要**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 從導覽窗格選擇 **Users** (使用者)。
1. 在使用者清單中,選擇要檢視其政策的使用者的名稱。
1. 在使用者的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到使用者或從群組連接的政策清單。
1. 在使用者的政策表中,選擇您要檢視的政策名稱。
如果您已打開**使用者**頁面,並選擇檢視連接到該使用者的政策服務摘要,系統會將您重新引導至**政策**頁面。您只能在**政策**頁面上檢視服務摘要。
1. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。
**注意**
如果您選擇的政策是直接連接到使用者的內嵌政策,就會顯示服務摘要表。如果政策是從群組連接過來的內嵌政策,您會被帶引到 JSON 政策文件中的該群組。如果政策是受管政策,那麼您會被帶引到 **Policies (政策)** 頁面上該政策的服務摘要。
1. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。
## 檢視連接到角色的政策的動作摘要
您可以檢視連接到角色的任何政策的動作摘要。
**檢視連接到角色的政策動作摘要**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇 **Roles** (角色)。
1. 在角色清單中,選擇要檢視其政策的角色名稱。
1. 在角色的 **Summary** (摘要) 頁面上,檢視 **Permissions** (許可) 標籤來查看直接連接到角色的政策清單。
1. 在角色的政策表中,選擇您要檢視的政策名稱。
如果您已打開**角色**頁面,並選擇檢視連接到該使用者的政策服務摘要,系統會將您重新引導至**政策**頁面。您只能在**政策**頁面上檢視服務摘要。
1. 在服務的政策摘要清單中,選擇您要檢視的服務名稱。
1. 在動作的服務摘要清單中,選擇您要檢視的動作名稱。
# 政策摘要的範例
以下範例包括將 JSON 政策加入關聯的[政策摘要](access_policies_understand-policy-summary.md)、[服務摘要](access_policies_understand-service-summary.md)、以及[動作摘要](access_policies_understand-action-summary.md),以協助您了解透過政策提供的許可。
## 政策 1:DenyCustomerBucket
此政策示範對相同服務的允許和拒絕。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FullAccess",
"Effect": "Allow",
"Action": ["s3:*"],
"Resource": ["*"]
},
{
"Sid": "DenyCustomerBucket",
"Action": ["s3:*"],
"Effect": "Deny",
"Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ]
}
]
}
```
------
***DenyCustomerBucket** 政策摘要:*
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-example1-dialog.png)
***DenyCustomerBucket S3 (明確拒絕)** 服務摘要:*
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-example1-dialog.png)
***GetObject (讀取)** 動作摘要:*
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-example1-dialog.png)
## 政策 2:DynamoDbRowCognitoID
此政策根據使用者的 Amazon Cognito ID 提供對 Amazon DynamoDB 的低層級存取權限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:DeleteItem",
"dynamodb:GetItem",
"dynamodb:PutItem",
"dynamodb:UpdateItem"
],
"Resource": [
"arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"
],
"Condition": {
"ForAllValues:StringEquals": {
"dynamodb:LeadingKeys": [
"${cognito-identity.amazonaws.com:sub}"
]
}
}
}
]
}
```
------
***DynamoDbRowCognitoID** 政策摘要:*
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-example2-dialog.png)
***DynamoDbRowCognitoID DynamoDB (允許)** 服務摘要:*
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-example2-dialog.png)
***GetItem (清單)** 動作摘要:*
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-example2-dialog.png)
## 政策 3:MultipleResourceCondition
此政策包含多個資源和條件。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": ["arn:aws:s3:::Apple_bucket/*"],
"Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": ["arn:aws:s3:::Orange_bucket/*"],
"Condition": {"StringEquals": {
"s3:x-amz-acl": ["custom"],
"s3:x-amz-grant-full-control": ["1234"]
}}
}
]
}
```
------
***MultipleResourceCondition** 政策摘要:*
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-example3-dialog.png)
***MultipleResourceCondition S3 (允許)** 服務摘要:*
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-example3-dialog.png)
***PutObject (寫入)** 動作摘要:*
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-example3-dialog.png)
## 政策 4:EC2\$1troubleshoot
以下政策可讓使用者取得執行中的 Amazon EC2 執行個體螢幕截圖,可協助執行 EC2 故障排除。此政策也允許檢視 Amazon S3 開發人員儲存貯體中項目的相關資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:GetConsoleScreenshot"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::developer"
]
}
]
}
```
------
***EC2\$1Troubleshoot** 政策摘要:*
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-example4-dialog.png)
***EC2\$1Troubleshoot S3 (允許)** 服務摘要:*
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-example4-dialog.png)
***ListBucket (清單)** 動作摘要:*
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-example4-dialog.png)
## 政策 5:CodeBuild\$1CodeCommit\$1CodeDeploy
此政策提供對特定 CodeBuild、CodeCommit 以及 CodeDeploy 的存取。由於這些資源對於每個服務來說都是專有的,因此只會在對應服務中顯示。如果您在 `Action` 元素中加入不符合任何服務的資源,那麼資源會顯示在所有動作摘要中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1487980617000",
"Effect": "Allow",
"Action": [
"codebuild:*",
"codecommit:*",
"codedeploy:*"
],
"Resource": [
"arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project",
"arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
"arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App",
"arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*"
]
}
]
}
```
------
***CodeBuild\$1CodeCommit\$1CodeDeploy** 政策摘要:*
![\[政策摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-example6-dialog.png)
***CodeBuild\$1CodeCommit\$1CodeDeploy CodeBuild (允許)** 服務摘要:*
![\[服務摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-action-example6-dialog.png)
***CodeBuild\$1CodeCommit\$1CodeDeploy StartBuild (寫入)** 動作摘要:*
![\[動作摘要對話方塊圖片\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policies-summary-resource-example6-dialog.png)