

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Service Quotas 的身份和访问管理
<a name="identity-access-management"></a>

AWS 使用安全凭证来识别您的身份并向您授予对 AWS 资源的访问权限。你可以使用AWS Identity and Access Management(IAM) 可允许其他用户、服务和应用程序使用您的AWS资源完全或以有限的方式。您可以在不共享安全凭证的情况下执行此操作。

默认情况下，IAM 用户没有创建、查看或修改 AWS 资源的权限。要允许 IAM 用户访问资源（如负载均衡器）并执行任务，请执行以下步骤：

1. 创建授予 IAM 用户使用所需特定资源和 API 操作的权限的 IAM 策略。

1. 将该策略附加到 IAM 用户或 IAM 用户所属的组。

在将策略附加到一个用户或一组用户时，它会授权或拒绝用户使用指定资源执行指定任务。

例如，您可以使用 IAM 在您的AWS 账户. IAM 用户可以是人员、系统或应用程序。然后，使用 IAM 策略向用户和组授予对指定资源执行特定操作的权限。

## 使用 IAM 策略授予权限
<a name="iam-policies"></a>

在将策略附加到一个用户或一组用户时，它会授权或拒绝用户使用指定资源执行指定任务。

IAM 策略是包含一个或多个语句的 JSON 文档。每个语句的结构如下例所示。

```
{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "{{effect}}",
    "Action": "{{action}}",
    "Resource": "{{resource-arn}}",
    "Condition": {
      "{{condition}}": {
        "{{key}}":"{{value}}"
      }
    }
  }]
}
```
+ **`Effect`**— 的价值**effect**可以是`Allow`要么`Deny`. 在默认情况下，IAM 用户没有使用资源和 API 操作的许可，因此，所有请求均会被拒绝。显式允许将覆盖默认规则。显式拒绝将覆盖任何允许。
+ **`Action`**— 的价值**action**是对其授予或拒绝权限的特定 API 操作。有关指定的更多信息`Action`请参阅[Service Quotas 的 API 操作](#api-actions).
+ `Resource`Resource 受操作影响的资源。利用某些 Service Quotas API 操作，您可以限制对特定配额授予或拒绝的权限。为此，请在此语句中指定其 Amazon Resource Name (ARN)。否则，您可以使用通配符 (`*`) 来指定所有 Service Quotas 资源。有关更多信息，请参阅 [Service Quotas 资源](#resources)。
+ `Condition`Condition — 您可以选择性地使用条件来控制策略的生效时间。有关更多信息，请参阅 [Service Quotas 的条件键](#condition-keys)。

有关更多信息，请参阅 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)。

## Service Quotas 的 API 操作
<a name="api-actions"></a>

在`Action`IAM 策略语句的元素中，您可以指定 Service Quotas 所提供的任意 API 操作。如以下示例所示，您必须使用小写形式的字符串 `servicequotas:` 作为操作名称的前缀。

```
"Action": "servicequotas:GetServiceQuota"
```

要在单个语句中指定多项操作，请使用方括号将操作括起来并以逗号分隔，如以下示例所示。

```
"Action": [
    "servicequotas:ListRequestedServiceQuotaChangeHistory",
    "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota"
]
```

您也可以使用通配符指定多项操作。`*`)。以下示例指定以开头的 Service Quotas 的所有 API 操作名称：`Get`.

```
"Action": "servicequotas:Get*"
```

要指定 Service Quotas 的所有 API 操作，请使用通配符 (`*`），如以下示例所示。

```
"Action": "servicequotas:*"
```

有关 Service Quotas 的 API 操作列表，请参阅[Service Quotas 操作](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_Operations.html).

## Service Quotas 资源
<a name="resources"></a>

*资源级权限*指的是能够指定允许用户对哪些资源执行操作的能力。对于支持资源级权限的 API 操作，您可以控制用户可与操作结合使用的资源。要在策略中指定资源，您必须使用其 Amazon Resource Name (ARN)。

配额的 ARN 具有以下示例中显示的格式。

```
arn:aws:servicequotas:{{region-code}}:{{account-id}}:{{service-code}}/{{quota-code}}
```

对于不支持资源级权限的 API 操作，必须指定以下示例中显示的资源语句。

```
"Resource": "*"
```

## Service Quotas 的资源级权限
<a name="resource-level-permissions"></a>

以下 Service Quotas 操作支持资源级权限：
+ [将 Service QuoequtainCrease 请求放入模板](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_PutServiceQuotaIncreaseRequestIntoTemplate.html)
+ [RequestServiceQuotaIncrease](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_RequestServiceQuotaIncrease.html)

有关更多信息，请参阅 。[Service Quotas 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_servicequotas.html#servicequotas-actions-as-permissions)中的*服务授权参考*.

## Service Quotas 的条件键
<a name="condition-keys"></a>

在创建策略时，您可指定控制策略生效时间的条件。每个条件都包含一个或多个键值对。有全局条件键和特定于服务的条件键。

这些区域有：`servicequotas:service`key 特定于 Service Quotas。以下 Service Quotas API 操作支持此密钥：
+ [将 Service QuoequtainCrease 请求放入模板](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_PutServiceQuotaIncreaseRequestIntoTemplate.html)
+ [RequestServiceQuotaIncrease](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_RequestServiceQuotaIncrease.html)

有关全局条件键的更多信息，请参阅[AWS全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)中的*IAM 用户指南*.

## 预定义AWSService Quotas 的托管策略
<a name="predefined-policies"></a>

AWS 创建的托管策略将授予针对常用案例的必要权限。您可以根据您的 IAM 用户对 Service Quotas 所需的访问权限将这些策略附加到这些用户：
+ `ServiceQuotasFullAccess`授予使用 Service Quotas 功能所需的完整访问权限。
+ `ServiceQuotasReadOnlyAccess`授予对 Service Quotas 功能的只读访问权限。