適用於 Service Quotas 的 Identity or Management - Service Quotas
使用 IAM 政策授予許可Service Quotas 的 API 操作Service Quotas 資源Service Quotas 資源層級許可 Service Quotas 的條件索引鍵預先定義AWSService Quotas 的託管策略

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

適用於 Service Quotas 的 Identity or Management

AWS 使用安全登入資料來識別您並授予您對 AWS 資源的存取權。您可以使用AWS Identity and Access Management(IAM) 以允許其他使用者、服務和應用程式使用您的AWS充分或以有限的方式資源。您可以在不共用您的安全登入資料的情況下執行這項操作。

根據預設,IAM 使用者不具有建立、檢視或修改 AWS 資源的許可。若要允許 IAM 使用者存取資源 (例如負載平衡器),並執行工作,請執行下列步驟:

  1. 建立 IAM 政策以授予 IAM 使用者使用他們所需的特定資源和 API 動作的許可。

  2. 將政策連接到 IAM 使用者所屬的 IAM 使用者或羣組。

將政策連接到使用者或使用者群組時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。

例如,您可以使用 IAM 在AWS 帳戶。IAM 使用者可以是個人、系統或應用程式。然後,您需要使用 IAM 政策,將許可授予使用者和羣組在指定資源上執行特定動作。

使用 IAM 政策授予許可

將政策連接到使用者或使用者群組時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。

IAM 政策為包含一或多個陳述式的 JSON 文件。每個陳述式的結構,如下列範例所示。

{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "effect",
    "Action": "action",
    "Resource": "resource-arn",
    "Condition": {
      "condition": {
        "key":"value"
      }
    }
  }]
}

  • Effect— 的值effect可以是Allow或者Deny。根據預設,IAM 使用者沒有使用資源和 API 動作的許可,因此所有請求均會遭到拒絕。明確允許覆寫預設值。明確拒絕覆寫任何允許.

  • Action— 的值action是您授予或拒絕許可的特定 API 動作。如需指定Action,請參Service Quotas 的 API 操作

  • Resource— 受動作影響的資源。使用某些 Service Quotas API 動作,您可以將授予或拒絕的許可限制在特定配額。若要執行此動作,請在此陳述式中指定 Amazon Resource Name (ARN)。否則,您可以使用萬用字元 (*)以指定所有 Service Quotas 資源。如需詳細資訊,請參閱 Service Quotas 資源

  • Condition— 您可以選擇性地使用條件來控制何時政策開始生效。如需詳細資訊,請參閱 Service Quotas 的條件索引鍵

如需詳細資訊,請參閱《IAM 使用者指南》。

Service Quotas 的 API 操作

在 中Action元素,您可以指定 Service Quotas 提供的任何 API 動作。您必須以小寫字串 servicequotas: 做為動作名稱的字首,如下列範例所示。

"Action": "servicequotas:GetServiceQuota"

若要在單一陳述式中指定多個動作,請將它們括在方括號中,並以逗號分隔,如下列範例所示。

"Action": [
    "servicequotas:ListRequestedServiceQuotaChangeHistory",
    "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota"
]

您也可以使用萬用字元 (*。以下範例為指定所有開頭為的 Service Quotas 的 API 動作名稱Get

"Action": "servicequotas:Get*"

若要指定 Service Quotas 的所有 API 動作,請使用萬用字元 (*),如下列範例所示。

"Action": "servicequotas:*"

如需 Service Quotas 的 API 動作清單,請參Service Quotas 動作

Service Quotas 資源

資源層級許可能夠讓您指定使用者可執行動作的資源。對於支援資源層級許可的 API 動作,您可以控制使用者獲允許在動作中使用的資源。若要在政策陳述式中指定資源,您必須使用其 Amazon Resource Name (ARN)。

Access 的 ARN 具有下列範例所示的格式。

arn:aws:servicequotas:region-code:account-id:service-code/quota-code

對於不支援資源層級許可的 API 動作,您必須指定下列資源陳述式,如下列範例所示。

"Resource": "*"

Service Quotas 資源層級許可

下列 Service Quotas 動作支援資源層級許可:

如需詳細資訊,請參閱「」Service Quotas 定義的動作中的服務授權參考

Service Quotas 的條件索引鍵

在建立政策時,您可以指定控制政策生效時機的條件。每個條件都包含一或多個索引鍵/值對。有全球條件金鑰和服務特定的條件金鑰。

所以此servicequotas:service鍵特定於 Service Quotas。以下 Service Quotas API 操作支持此項:

如需全域條件金鑰的詳細資訊,請參AWS全球條件內容金鑰中的IAM User Guide

預先定義AWSService Quotas 的託管策略

AWS 建立的受管政策會針對常用案例授予必要的權限。您可以根據 IAM 使用者對 Service Quotas 的存取,將這些政策連接到 IAM 使用者:

  • ServiceQuotasFullAccess— 授予使用 Service Quotas 功能所需的完整存取權。

  • ServiceQuotasReadOnlyAccess— 授與 Service Quotas 功能的唯讀存取權。