IAM JSON 政策元素：Action

Action 元素描述了將允許或拒絕的特定動作。陳述式必須包含 Action 或 NotAction 元素。每個 AWS 服務都有自己的一組動作來描述您可以使用該服務執行的任務。例如，您可在 Amazon Simple Storage Service 使用者指南中的在政策中指定許可找到 Amazon S3 的動作清單，在 Amazon EC2 API 參考中找到 Amazon EC2 的動作清單，以及在 IAM API 參考中找到 AWS Identity and Access Management 的動作清單。若要尋找其他服務的動作清單，請參閱該服務的 API 參考文件。

AWS 還以 JSON 格式提供服務參考資訊，以簡化政策管理工作流程的自動化。透過服務參考資訊，您可以從機器可讀取的檔案中跨 AWS 服務存取可用的動作、資源和條件索引鍵。如需詳細資訊，請參閱 Service Authorization Reference 中的 Simplified AWS 服務 information for programmatic access。

您可以使用服務命名空間做為動作字首 (iam、ec2、sqs、sns、s3 等) 來指定值，其後跟隨要允許或拒絕的動作名稱。該名稱必須符合所支援的服務的動作。字首和動作名稱不區分大小寫。例如，iam:ListAccessKeys 與 IAM:listaccesskeys 相同。以下範例顯示不同服務的 Action 元素。

Amazon SQS 動作

"Action": "sqs:SendMessage"

Amazon EC2 動作

"Action": "ec2:StartInstances"

IAM 動作

"Action": "iam:ChangePassword"

Amazon S3 動作

"Action": "s3:GetObject"

您可以為 Action 元素指定多個值。

"Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "ec2:StartInstances", "iam:ChangePassword", "s3:GetObject" ]

您可以使用多字元比對萬用字元 (*) 和單一字元比對萬用字元 (?)，授予對特定 AWS 產品所提供之所有動作的存取權。例如，以下 Action 元素適用於所有 S3 動作。

"Action": "s3:*"

您也可以將萬用字元 (* 或 ?) 用作動作名稱的一部分。例如，以下 Action 元素適用於包含字串 AccessKey 的所有 IAM 動作，包括 CreateAccessKey、DeleteAccessKey、ListAccessKeys 和 UpdateAccessKey。

"Action": "iam:*AccessKey*"

有些服務可讓您限制可用的動作。例如，Amazon SQS 可讓您僅提供所有可能的 Amazon SQS 動作的子集。在這種情況下，* 萬用字元不允許完全控制佇列；它只允許您已共用的部分動作。如需詳細資訊，請參閱《Amazon Simple Queue Service 開發人員指南》中的了解許可。