权限让您能够指定对 AWS 资源的访问权限。权限授予 IAM 实体 (用户、组和角色),这些实体在开始时默认没有任何权限。也就是说,除非您授予需要的权限,否则 IAM 实体在 AWS 中就无法进行任何操作。要为实体提供权限,您可以附加一条指定访问类型、可以执行的操作以及可以操作的资源的策略。此外,您还可以针对允许访问或拒绝访问指定必须设置的条件。

如何在 60 分钟或更短的时间内成为 IAM 策略高手
55:38
如何在 60 分钟或更短的时间内成为 AWS IAM 策略高手

开始免费使用 AWS

创建免费账户
或登录到控制台

AWS 免费套餐包括通过 Amazon ElastiCache 提供的 750 小时的微缓存节点。

查看 AWS 免费套餐详细信息 »

要向用户、组、角色或资源分配权限,您必须创建一项策略,并且策略中可以指定:

  • 操作 – 您允许哪些 AWS 服务操作。例如,您可以允许用户调用 Amazon S3 ListBucket 操作。任何您没有明确允许的操作都将被拒绝。
  • 资源 – 您允许对哪些资源执行操作。例如,您将允许用户对哪些 Amazon S3 存储段执行 ListBucket 操作?用户不能访问任何您没有明确授权的资源。
  • 作用 – 是允许访问还是拒绝访问。因为在默认情况下访问会被拒绝,因此您一般要编写允许访问的策略。
  • 条件 – 必须具备哪些条件策略才会生效。例如,您可以只允许用户访问特定 S3 存储桶,条件为用户从特定 IP 范围连接或在登录时使用了多重身份验证。

您可以使用可视化编辑器或 JSON 创建策略。策略包含一个或多个语句,每个语句描述一组权限。要了解有关策略语言的更多信息,请参阅 AWS IAM 策略参考

可视化编辑器将指导您使用 IAM 策略授予权限,您无需再使用 JSON 编写策略 (但您仍可以按照喜好使用 JSON 创建和编辑策略)。以下屏幕截图中的策略就是使用可视化编辑器创建的。它向 S3 存储桶以及 SampleBucket 中前缀以 MyPrefix 开头的对象授予了五个 Amazon S3 列表读取操作权限。

可视化编辑器的屏幕截图

如果使用 AWS 管理控制台管理权限,可以查看策略摘要。策略摘要中列出了策略中定义的每项服务的访问级别、资源和条件 (参见以下屏幕截图中的示例)。为了帮助您理解策略中定义的权限,每个 AWS 服务的操作均分成四个访问级别:列表读取写入权限管理

策略摘要的屏幕截图

您可以选择由 AWS 管理的预定义策略,也可以使用策略生成器创建自己的策略。有关更多信息,请参阅使用 IAM 指南IAM 策略概览部分。