操作(Action) 是每则策略声明的必需元素,包含着这条权限声明定义的操作范围,格式为:${ServiceCode}:${Action},其中${ServiceCode}为云产品的服务代码,${Action}通常与云服务的API的Action同值,${Action}可以数组形式表达多个,支持*及?两种通配符。不同云服务的ServiceCode和支持的Action可从服务的API文档中查询。
*:匹配0个、1个或多个字符。?:匹配一个字符(不能为0个)。以下是一条包含具体云服务Action及使用了通配符的策略:
{ "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iam:ListUsers", "iam:GetUser" ], "Resource": [ "*" ] } ] }
解读: 该条策略的第一个声明定义了允许私有网络(VPC)的全部操作权限,第二条声明定义了允许访问控制(IAM)查询用户列表和查询用户详情两项操作的权限。
您可参考具体的云服务API文档了解支持的操作,例如云服务器支持的操作可参考云服务器API文档。