了解策略摘要中的访问级别

AWS 访问级别摘要

策略摘要中包括一个访问级别摘要，用于描述为策略中提及的每项服务定义的操作权限。要了解策略摘要，请参阅 了解策略授予的权限 。访问级别摘要指出在策略中为每个访问级别中的操作（ List 、 Read 、 Tagging 、 Write 和 Permissions management ）定义的是 Full 还是 Limited 权限。要查看分配给服务中每个操作的访问级别分类，请参阅 AWS 服务的操作、资源和条件键 。

下面的示例介绍策略为给定服务提供的访问权限。有关完整 JSON 策略文档及其相关摘要的示例，请参阅 策略摘要示例 。

None ：策略未提供任何访问权限。

（空）：IAM 无法识别该服务。如果服务名称包含拼写错误，则该策略不允许访问该服务。如果服务名称正确，则服务可能不支持策略摘要或可能正处于预览状态。在这种情况下，策略可能会提供访问权限，但访问权限可能不会显示在策略摘要中。要为公开提供 (GA) 服务请求策略摘要支持，请参阅 服务不支持 IAM policy 摘要 。

包括对操作的有限（部分）访问权限的访问级别摘要使用 AWS 服务级别分类 List 、 Read 、 Tagging 、 Write 或 Permissions management 进行分组。

AWS 访问级别

AWS 为服务中的操作定义以下访问级别分类：

List (列出) ：列出服务内的资源以确定某个对象是否存在的权限。此访问权限级别的操作可以列出对象，但是看不到资源的内容。例如，Amazon S3 操作 ListBucket 具有 List （列出）访问级别。

Read (读取) ：读取服务中资源的内容和属性但不对其进行编辑的权限。例如，Amazon S3 操作 GetObject 和 GetBucketLocation 具有 Read （读取）访问权限级别。

标记 ：执行仅更改资源标签状态的操作的权限。例如，IAM 操作 TagRole 和 UntagRole 具有标记访问级别，因为它们仅允许 标记 或取消标记角色。不过， CreateRole 操作允许在创建角色时标记该角色资源。由于该操作并非仅添加标签，因此，它具有 Write 访问级别。

Write (写入) ：在服务中创建、删除或修改资源的权限。例如，Amazon S3 操作 CreateBucket 、 DeleteBucket 和 PutObject 具有 写入 访问级别。 Write 操作可能还允许修改资源标签。不过，仅允许更改标签的操作具有 Tagging 访问级别。