有没有办法查找调用 AWS API 所需的权限?
例如,我想在 CloudWatch API 上调用PutMetricAlarm,因此我至少需要该资源上的"允许cloudwatch:PutMetricAlarm操作"。但是我还需要什么最低要求?
API 中定义的操作与 IAM 操作之间存在一对一的关系。
在具有 PutMetricAlarm 的示例中,除了 cloudwatch:PutMetricAlarm 之外,不需要其他权限。
(:后面的部分(始终与 API 中的操作名称相同。
前缀(:前面的部分(是每个服务的常量,但并不总是与服务名称相同(例如,CloudWatch Logs logs,防火墙管理器fms(。
另请注意,前缀和操作名称不区分大小写。
良好的参考资料:
- AWS 服务的操作、资源和条件键
- AWS 策略生成器
- 完整的 AWS IAM 参考 (cloudonaut(