参考IAM文档的本页:
什么时候需要资源类型很重要?
起初我认为,如果需要资源类型,并且指定了通配符资源("*"),则该语句将不适用。但是我已经测试过了,情况并非如此(想想对星号管理的Admin策略的含义)。
然后我认为这可能意味着某些条件键只有在您限定到或超过一个类型时才可用,但我也找到了反例。
它变得更奇怪,因为一些操作有多个必需的资源类型,而其他操作仍然有多个非必需的资源类型。有些需要资源类型,但在没有类型的旁边列出了条件键。
我开始相信资源类型列没有实际用途。
那么什么时候重要呢?
这对每个政策都很重要。例如,如果您正在指定执行动作apigateway:Invoke的权限,并为DynamoDB表提供资源配置,那么您不会走得太远,因为所需的资源类型是执行api资源。