本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Shield 的动作、资源和条件键
<a name="list_awsshield"></a>

AWS Shield（服务前缀:`shield`）提供以下特定于服务的资源、操作和条件上下文密钥，供在 IAM 权限策略中使用。

参考：
+ 了解如何[配置该服务](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)。
+ 查看[适用于该服务的 API 操作列表](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/)。
+ 了解如何[使用 IAM](https://docs.aws.amazon.com/waf/latest/developerguide/waf-auth-and-access-control.html) 权限策略保护该服务及其资源。

**Topics**
+ [由 AWS Shield 定义的动作](#awsshield-actions-as-permissions)
+ [由 AWS Shield 定义的资源类型](#awsshield-resources-for-iam-policies)
+ [AWS Shield 的条件键](#awsshield-policy-keys)

## 由 AWS Shield 定义的动作
<a name="awsshield-actions-as-permissions"></a>

您可以在 IAM 策略语句的 `Action` 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。您在策略中使用一项操作时，通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下，单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的**访问级别**列描述如何对操作进行分类（列出、读取、权限管理或标记）。此分类可以帮助您了解当您在策略中使用操作时，相应操作授予的访问级别。有关访问级别的更多信息，请参阅[策略摘要中的访问级别](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand-policy-summary-access-level-summaries.html)。

操作表的**资源类型**列指示每项操作是否支持资源级权限。如果该列没有任何值，您必须在策略语句的 `Resource` 元素中指定策略应用的所有资源（“\*”）。通过在 IAM policy 中使用条件来筛选访问权限，以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源，则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (\*) 表示。如果您在 IAM policy 中使用 `Resource` 元素限制资源访问权限，则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的（未指示为必需），则可以选择使用一种可选资源类型。

操作表的**条件键**列包括可以在策略语句的 `Condition` 元素中指定的键。有关与服务资源关联的条件键的更多信息，请参阅资源类型表的**条件键**列。

操作表的**依赖操作**列显示成功调用操作可能需要的其他权限。除了操作本身的权限以外，可能还需要这些权限。若某个操作指定依赖操作，则这些依赖关系可能适用于为该操作定义的其他资源，而不仅仅是表中列出的第一个资源。

**注意**  
资源条件键在[资源类型](#awsshield-resources-for-iam-policies)表中列出。您可以在操作表的**资源类型（\* 为必需）**列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括**条件密钥**列，这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息，请参阅[操作表](reference_policies_actions-resources-contextkeys.html#actions_table)。


****  


- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTLogBucket.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTLogBucket.html) **
  - **描述:** 授予权限以授权 DDoS 响应团队访问包含流日志的指定 Amazon S3 存储桶
  - **访问级别:** 写入
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:**  s3:GetBucketPolicy <br /> s3:PutBucketPolicy 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html) **
  - **描述:** 授予使用指定角色授权 DDoS 响应团队访问您的 AWS 账户 权限，以便在潜在攻击期间协助缓解 DDoS 攻击
  - **访问级别:** 写入
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:**  iam:GetRole <br /> iam:ListAttachedRolePolicies <br /> iam:PassRole 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateHealthCheck.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateHealthCheck.html) **
  - **描述:** 授予权限以向资源的 Shield Advanced 保护添加基于运行状况的检测
  - **访问级别:** Write
  - **资源类型（\* 为必需）:**  [#awsshield-protection](#awsshield-protection)  / **条件键:**  / **相关操作:**  route53:GetHealthCheck 
  - **资源类型（\* 为必需）:**  / **条件键:**  [#awsshield-aws_ResourceTag___TagKey_](#awsshield-aws_ResourceTag___TagKey_)  / **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateProactiveEngagementDetails.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateProactiveEngagementDetails.html) **
  - **描述:** 授予权限以初始化主动参与并设置 DDoS 响应团队 (DRT) 使用的联系人列表
  - **访问级别:** Write
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_CreateProtection.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_CreateProtection.html) **
  - **描述:** 授予权限以为给定资源 ARN 激活 DDoS 保护服务
  - **访问级别:** Write
  - **资源类型（\* 为必需）:** 
  - **条件键:**  [#awsshield-aws_RequestTag___TagKey_](#awsshield-aws_RequestTag___TagKey_) <br /> [#awsshield-aws_TagKeys](#awsshield-aws_TagKeys) 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_CreateProtectionGroup.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_CreateProtectionGroup.html) **
  - **描述:** 授予权限以创建受保护资源组，以便集中处理
  - **访问级别:** Write
  - **资源类型（\* 为必需）:** 
  - **条件键:**  [#awsshield-aws_RequestTag___TagKey_](#awsshield-aws_RequestTag___TagKey_) <br /> [#awsshield-aws_TagKeys](#awsshield-aws_TagKeys) 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_CreateSubscription.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_CreateSubscription.html) **
  - **描述:** 授予权限以激活订阅
  - **访问级别:** Write
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DeleteProtection.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DeleteProtection.html) **
  - **描述:** 授予权限以删除现有保护
  - **访问级别:** Write
  - **资源类型（\* 为必需）:**  [#awsshield-protection](#awsshield-protection)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  / **条件键:**  [#awsshield-aws_ResourceTag___TagKey_](#awsshield-aws_ResourceTag___TagKey_)  / **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DeleteProtectionGroup.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DeleteProtectionGroup.html) **
  - **描述:** 授予权限以删除指定保护组
  - **访问级别:** Write
  - **资源类型（\* 为必需）:**  [#awsshield-protection-group](#awsshield-protection-group)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  / **条件键:**  [#awsshield-aws_ResourceTag___TagKey_](#awsshield-aws_ResourceTag___TagKey_)  / **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DeleteSubscription.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DeleteSubscription.html) **
  - **描述:** 授予权限以停用订阅
  - **访问级别:** 写入
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeAttack.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeAttack.html) **
  - **描述:** 授予获取攻击详情的权限。为了获取受 AWS WAF Anti-DDoS 托管规则组保护的攻击详细信息，此操作还会调用 wafv2: DescribeTopContributorsByEvent 来检索应用程序层攻击贡献者，这需要在 IAM 策略中拥有 wafv2: 权限 DescribeTopContributorsByEvent 
  - **访问级别:** 读取
  - **资源类型（\* 为必需）:**  [#awsshield-attack](#awsshield-attack) 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html) [仅权限]**
  - **描述:** 授予权限以获取有关特定 DDoS 攻击贡献者的详细信息
  - **访问级别:** 读取
  - **资源类型（\* 为必需）:**  [#awsshield-attack](#awsshield-attack)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  [#awsshield-protection-group](#awsshield-protection-group)  / **条件键:**  / **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeAttackStatistics.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeAttackStatistics.html) **
  - **描述:** 授予描述有关 AWS Shield 去年检测到的攻击数量和类型信息的权限
  - **访问级别:** 读取
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeDRTAccess.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeDRTAccess.html) **
  - **描述:** 授予描述当前角色和 DDoS 响应团队用来访问您的 Amazon S3 日志存储桶列表的权限， AWS 账户 同时协助缓解攻击
  - **访问级别:** 读取
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeEmergencyContactSettings.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeEmergencyContactSettings.html) **
  - **描述:** 授予权限以列出在受到可疑攻击期间 DRT 可用于与您联系的电子邮件地址
  - **访问级别:** Read
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeProtection.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeProtection.html) **
  - **描述:** 授予权限以获取保护详细信息
  - **访问级别:** Read
  - **资源类型（\* 为必需）:**  [#awsshield-protection](#awsshield-protection)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  / **条件键:**  [#awsshield-aws_ResourceTag___TagKey_](#awsshield-aws_ResourceTag___TagKey_)  / **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeProtectionGroup.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeProtectionGroup.html) **
  - **描述:** 授予权限以描述指定保护组的规范
  - **访问级别:** Read
  - **资源类型（\* 为必需）:**  [#awsshield-protection-group](#awsshield-protection-group)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  / **条件键:**  [#awsshield-aws_ResourceTag___TagKey_](#awsshield-aws_ResourceTag___TagKey_)  / **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeSubscription.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeSubscription.html) **
  - **描述:** 授予权限以获取订阅详细信息，如开始时间
  - **访问级别:** 读取
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DisableApplicationLayerAutomaticResponse.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DisableApplicationLayerAutomaticResponse.html) **
  - **描述:** 授予权限以禁用资源的 Shield Advanced 保护的应用程序层自动响应
  - **访问级别:** 写入
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DisableProactiveEngagement.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DisableProactiveEngagement.html) **
  - **描述:** 授予权限以从 DDoS 响应团队 (DRT) 中删除向联系人发出升级通知的授权
  - **访问级别:** Write
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DisassociateDRTLogBucket.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DisassociateDRTLogBucket.html) **
  - **描述:** 授予权限以删除 DDoS 响应团队对包含流日志的指定 Amazon S3 存储桶的访问权限
  - **访问级别:** 写入
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:**  s3:DeleteBucketPolicy <br /> s3:GetBucketPolicy <br /> s3:PutBucketPolicy 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DisassociateDRTRole.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DisassociateDRTRole.html) **
  - **描述:** 授予移除 DDoS 响应团队对您的访问权限的权限 AWS 账户
  - **访问级别:** 写入
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DisassociateHealthCheck.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DisassociateHealthCheck.html) **
  - **描述:** 授予权限以从资源的 Shield Advanced 保护中删除基于运行状况的检测
  - **访问级别:** 写入
  - **资源类型（\* 为必需）:**  [#awsshield-protection](#awsshield-protection)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  / **条件键:**  [#awsshield-aws_ResourceTag___TagKey_](#awsshield-aws_ResourceTag___TagKey_)  / **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_EnableApplicationLayerAutomaticResponse.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_EnableApplicationLayerAutomaticResponse.html) **
  - **描述:** 授予权限以启用资源的 Shield Advanced 保护的应用程序层自动响应
  - **访问级别:** 写入
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:**  apprunner:DescribeWebAclForService <br /> cloudfront:GetDistribution <br /> cognito-idp:GetWebACLForResource <br /> ec2:GetVerifiedAccessInstanceWebAcl <br /> iam:CreateServiceLinkedRole <br /> iam:GetRole <br /> wafv2:GetWebACL <br /> wafv2:GetWebACLForResource 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_EnableProactiveEngagement.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_EnableProactiveEngagement.html) **
  - **描述:** 授予权限以授权 DDoS 响应团队 (DRT) 使用电子邮件和电话向联系人发出升级通知
  - **访问级别:** 写入
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html) [仅权限]**
  - **描述:** 允许从 AWS Shield 的威胁监控系统中检索全球威胁情报数据和趋势
  - **访问级别:** 读取
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_GetSubscriptionState.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_GetSubscriptionState.html) **
  - **描述:** 授予权限以获取订阅状态
  - **访问级别:** Read
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListAttacks.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListAttacks.html) **
  - **描述:** 授予权限以列出所有现有攻击
  - **访问级别:** 列表
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html) [仅权限]**
  - **描述:** 授予权限以检索在 DDoS 攻击期间已应用的缓解操作列表
  - **访问级别:** 列表
  - **资源类型（\* 为必需）:**  [#awsshield-attack](#awsshield-attack) 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListProtectionGroups.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListProtectionGroups.html) **
  - **描述:** 授予权限以检索账户保护组
  - **访问级别:** List
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListProtections.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListProtections.html) **
  - **描述:** 授予权限以列出所有现有保护
  - **访问级别:** List
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListResourcesInProtectionGroup.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListResourcesInProtectionGroup.html) **
  - **描述:** 授予权限以检索保护组中包含的资源
  - **访问级别:** 列表
  - **资源类型（\* 为必需）:**  [#awsshield-protection-group](#awsshield-protection-group) 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListTagsForResource.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListTagsForResource.html) **
  - **描述:** 授予获取有关 Shield 中指定亚马逊资源名称 (ARN) AWS 标签信息的权限 AWS 
  - **访问级别:** 读取
  - **资源类型（\* 为必需）:**  [#awsshield-protection](#awsshield-protection)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  [#awsshield-protection-group](#awsshield-protection-group)  / **条件键:**  / **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_TagResource.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_TagResource.html) **
  - **描述:** 授予在 AWS Shield 中为资源添加或更新标签的权限
  - **访问级别:** 标签
  - **资源类型（\* 为必需）:**  [#awsshield-protection](#awsshield-protection)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  [#awsshield-protection-group](#awsshield-protection-group)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  / **条件键:**  [#awsshield-aws_RequestTag___TagKey_](#awsshield-aws_RequestTag___TagKey_) <br /> [#awsshield-aws_TagKeys](#awsshield-aws_TagKeys)  / **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UntagResource.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UntagResource.html) **
  - **描述:** 授予从 AWS Shield 中的资源中移除标签的权限
  - **访问级别:** 标签
  - **资源类型（\* 为必需）:**  [#awsshield-protection](#awsshield-protection)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  [#awsshield-protection-group](#awsshield-protection-group)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  / **条件键:**  [#awsshield-aws_TagKeys](#awsshield-aws_TagKeys)  / **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateApplicationLayerAutomaticResponse.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateApplicationLayerAutomaticResponse.html) **
  - **描述:** 授予权限以更新资源的 Shield Advanced 保护的应用程序层自动响应
  - **访问级别:** 写入
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:**  apprunner:DescribeWebAclForService <br /> cognito-idp:GetWebACLForResource <br /> ec2:GetVerifiedAccessInstanceWebAcl <br /> wafv2:GetWebACL <br /> wafv2:GetWebACLForResource 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateEmergencyContactSettings.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateEmergencyContactSettings.html) **
  - **描述:** 授予权限以更新在受到可疑攻击期间 DRT 可用于与您联系的电子邮件地址列表的详细信息
  - **访问级别:** Write
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateProtectionGroup.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateProtectionGroup.html) **
  - **描述:** 授予权限以更新现有保护组
  - **访问级别:** Write
  - **资源类型（\* 为必需）:**  [#awsshield-protection-group](#awsshield-protection-group)  / **条件键:**  / **相关操作:** 
  - **资源类型（\* 为必需）:**  / **条件键:**  [#awsshield-aws_ResourceTag___TagKey_](#awsshield-aws_ResourceTag___TagKey_)  / **相关操作:** 

- **  [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html) **
  - **描述:** 授予权限以更新现有订阅的详细信息
  - **访问级别:** 写入
  - **资源类型（\* 为必需）:** 
  - **条件键:** 
  - **相关操作:** 



## 由 AWS Shield 定义的资源类型
<a name="awsshield-resources-for-iam-policies"></a>

以下资源类型是由该服务定义的，可以在 IAM 权限策略语句的 `Resource` 元素中使用这些资源类型。[操作表](#awsshield-actions-as-permissions)中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键，从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息，请参阅[资源类型表](reference_policies_actions-resources-contextkeys.html#resources_table)。


****  

| 资源类型 | ARN | 条件键 | 
| --- | --- | --- | 
|   [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AttackDetail.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AttackDetail.html)  |  arn:${Partition}:shield::${Account}:attack/${Id}  |  | 
|   [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_Protection.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_Protection.html)  |  arn:${Partition}:shield::${Account}:protection/${Id}  |  [#awsshield-aws_ResourceTag___TagKey_](#awsshield-aws_ResourceTag___TagKey_)  | 
|   [https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ProtectionGroup.html](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ProtectionGroup.html)  |  arn:${Partition}:shield::${Account}:protection-group/${Id}  |  [#awsshield-aws_ResourceTag___TagKey_](#awsshield-aws_ResourceTag___TagKey_)  | 

## AWS Shield 的条件键
<a name="awsshield-policy-keys"></a>

AWS Shield 定义了以下条件键，这些条件键可用于 IAM 策略的`Condition`元素。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息，请参阅[条件键表](reference_policies_actions-resources-contextkeys.html#context_keys_table)。

要查看适用于所有服务的全局条件键，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。


****  

| 条件键 | 描述 | 类型 | 
| --- | --- | --- | 
|   [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)  | 根据在请求中是否具有标签键值对以筛选操作 | 字符串 | 
|   [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag)  | 根据附加到资源的标签键值对筛选操作 | 字符串 | 
|   [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys)  | 根据在请求中是否具有标签键以筛选操作 | ArrayOfString |