Amazon web services AWS IAM适用政策和附属实体

在提出问题后，我进行了一些挖掘，发现了以下几项政策：

{
  "Effect":"Allow",
  "Action":"*",
  "Resource":"*"
}

在他们里面

再次通读这一页，我发现第二步很突出：

评估所有适用的政策

我问题的第一部分是：AWS如何确定哪些政策适用？ 据我所知，这是通过查看原理和/或资源键来完成的

但是：在IAM中，这些政策具有与原则相同的实体。这就是问题的第二部分： 附加实体对策略有何作用？ 据我所知，这一切只是告诉AWS该策略适用于某个角色，但我不明白这如何与策略中的

“资源”：“*”

一起工作

因此：

AWS如何确定哪些政策适用

附加实体对策略有何作用

使

资源“*”

策略始终适用

1> 发出请求时（使用访问键或控制台），您正在传递用户名/角色名。假设您正在使用IAM用户访问API。因此，AWS将检查附加到用户的策略，附加到IAM组的策略（如果有）。此外，它还检查是否存在由请求中的资源确定的任何基于资源的策略，例如S3 bucket策略、SNS主题策略

2> 如果未将策略附加到IAM实体或任何资源（对于基于资源的策略），则策略不会执行任何操作。附加的实体（我认为您指的是IAM实体）用于确定主体，并依次告知在何处检查权限（是否为IAM用户，然后检查IAM组成员资格等）

3> 资源：*表示此策略授予任何AWS资源权限。因此，您提到的政策将转化为： 允许（“效果”：“允许”）每个资源（“资源”：”上的每个操作（“操作”：”）

希望这有帮助