Identifizieren von AWS-Ressourcen mit Amazon Resource Names (ARNs) - AWS Identitäts- und Zugriffsverwaltung
ARN-FormatSuchen eines ARN-Formats für eine RessourcePfade in ARNs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identifizieren von AWS-Ressourcen mit Amazon Resource Names (ARNs)

Amazon-Ressourcennamen (ARNs) sind eindeutige Bezeichner für AWS-Ressourcen. Ein ARN ist erforderlich, um eine Ressource im gesamten AWS-System eindeutig anzugeben, z. B. in IAM-Richtlinien, Amazon-RDS-Tags (Amazon Relational Database Service) und API-Aufrufen. ARNs sollten zwar wie alle identifizierenden Informationen sorgfältig verwendet und weitergegeben werden, gelten jedoch nicht als geheime, sensible oder vertrauliche Informationen.

ARN-Format

Im Folgenden finden Sie die allgemeinen Formate für ARNs. Die spezifischen Formate hängen von der Ressource ab. Um einen ARN zu verwenden, ersetzen Sie den kursiv formatierten Text durch die ressourcenspezifischen Informationen. Beachten Sie, dass die ARNs für einige Ressourcen die Region, die Konto-ID oder sowohl die Region als auch die Konto-ID weglassen.

arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id
partition

Die Partition, in der sich die Ressource befindet. Eine Partition ist eine Gruppe von AWS-Regionen. Jedes AWS-Konto ist auf eine Partition angelegt.

Im Folgenden werden die unterstützten Partitionen angezeigt:

  • aws – AWS-Regionen

  • aws-cn – China-Regionen

  • aws-us-gov – AWS GovCloud (US)-Regionen

service

Der Service-Namespace, der das AWS-Produkt identifiziert.

region

Der Regionscode. Zum Beispiel us-east-2 für USA Ost (Ohio). Eine Liste der Regionscodes finden Sie unter Regionale Endpunkte in der Allgemeine AWS-Referenz.

account-id

Die ID des AWS-Kontos, zu dem die Ressource gehört (ohne Bindestriche). Zum Beispiel: 123456789012.

resource-type

Der Ressourcentyp. Zum Beispiel vpc für eine Virtual Private Cloud (VPC).

resource-id

Die Ressourcen-ID Dies ist der Name der Ressource, die ID der Ressource oder ein Ressourcenpfad. Einige Ressourcen-IDs enthalten eine übergeordnete Ressource (sub-resource-type/parent-resource/sub-resource) oder einen Qualifizierer, z. B. eine Version (resource-type: resource-name:qualifier).

Beispiele
IAM-Benutzer

arn:aws:iam::123456789012:user/john

SNS-Thema

arn:aws:sns:us-east-1:123456789012:example-sns-topic-name

VPC

arn:aws:ec2:us-east-1:123456789012:vpc/vpc-0e9801d129EXAMPLE

Suchen eines ARN-Formats für eine Ressource

Das genaue Format eines ARN hängt vom Service- und Ressourcentyp ab. Einige Ressourcen-ARNs können einen Pfad, eine Variable oder einen Platzhalter enthalten. Um das ARN-Format für eine bestimmte AWS-Ressource abzurufen, öffnen Sie die Service-Autorisierungsreferenz, öffnen Sie die Seite für den Service und navigieren Sie zur Tabelle der Ressourcentypen.

Pfade in ARNs

Ressourcen-ARNs können einen Pfad enthalten. In Amazon S3 ist die Ressourcen-ID beispielsweise ein Objektname mit Schrägstrichen (/) zur Bildung eines Pfads. Auch IAM-Benutzernamen und -Gruppennamen können Pfade enthalten. In IAM-Pfaden sind nur alphanumerische Zeichen und die folgenden Zeichen zulässig: Schrägstrich (/), Pluszeichen (+), Gleichheitszeichen (=), Komma (,), Punkt (.), At-Zeichen (@), Unterstrich (_) und Bindestrich (-).

Verwenden von Platzhaltern in Pfaden

Pfade können ein Platzhalterzeichen enthalten, und zwar ein Sternchen (*). Einige Richtlinienelemente erlauben Platzhalter, andere nicht. Sie können Platzhalter für die Elemente Resource oder NotResource verwenden, nicht jedoch für die Elemente Principal oder NotPrincipal. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienreferenz.

Sie können angeben, dass mit role/* alle Rollen im Konto 123456789012 gemeint sind, wie im folgenden Beispiel gezeigt:

arn:aws:iam::123456789012:role/*

Sie können einen Ressourcennamen auch mit einem Platzhalter beenden. Sie können beispielsweise angeben, dass mit service-* alle Rollen gemeint sind, die mit service beginnen und mit unterschiedlichen Zeichen wie service-role1 oder service-test enden:

arn:aws:iam::123456789012:role/service-*

Das folgende Beispiel zeigt ARNs für Objekte in einem Amazon-S3-Bucket, in dem der Ressourcenname einen Pfad enthält. Der ARN arn:aws:s3:::amzn-s3-demo-bucket/* gilt für alle Objekte in diesem Bucket, unabhängig vom Präfix. Der ARN arn:aws:s3:::amzn-s3-demo-bucket/Development/* gilt für alle Objekte, die innerhalb des Präfixes /Development/ erstellt wurden.

Sie können das Platzhalterzeichen ? auch verwenden, um ein Zeichen in einem ARN anzugeben. Sie könnten beispielsweise den folgenden ARN für alle Ordner verwenden, die mit vier Zeichen beginnen und im S3-Bucket namens amzn-s3-demo-bucket mit -test enden. Zu den passenden Ordnern gehören 1234-test, 2024-test und a100-test.

arn:aws:s3:::amzn-s3-demo-bucket/????-test

Sie können in den verschiedenen Abschnitten eines ARN auch Platzhalter verwenden, die durch einen Doppelpunkt „:“ getrennt sind. Im folgenden Beispiel werden zwei Platzhalter verwendet, um alle Amazon Q-Anwendungen und -Ressourcen innerhalb der Anwendungen in allen Regionen für das Konto 123456789012 abzugleichen

arn:aws:qbusiness:*:123456789012:*

Gleichermaßen entspricht das folgende Beispiel allen Amazon-VPCs in allen Regionen für das Konto 123456789012:

arn:aws:ec2:*:123456789012:vpc/*

Das folgende Beispiel gleicht alle Amazon EBS-Volumes in allen Regionen für das Konto 123456789012 ab:

arn:aws:ec2:*:123456789012:volume/*
Einschränkungen bei der Verwendung von Platzhaltern innerhalb von ARNs

Es ist nicht möglich, einen Platzhalter in dem Teil der ARN zu verwenden, der den Ressourcentyp angibt. Der folgende Beispiel-ARN mit einem Platzhalter innerhalb des Ressourcentyps ist nicht gültig:

arn:aws:lambda:us-east-2:123456789012:functi*:my-function <== not allowed
Anmerkung

Wenn Sie in einer identitätsbasierten Richtlinie einen unvollständigen ARN (einen mit weniger als den standardmäßigen sechs Feldern) angeben, wird der ARN von AWS automatisch vervollständigt, indem Platzhalterzeichen (*) in alle fehlenden Felder eingefügt werden. Das Angeben von arn:aws:sqs entspricht beispielsweise arn:aws:sqs:*:*:*, was Zugriff auf alle Amazon SQS-Ressourcen in allen Regionen und Konten gewährt.

Sie können auch keinen Platzhalter im Präfix ARN verwenden oder einen Platzhalter im Partitionsbereich eines ARN haben.

arn:aws:redshift:us-east-1:123456789012:? <== not allowed