Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Apéndice: Ejemplos de políticas de perfiles y funciones
Ejemplos de políticas para la aplicación 1
El ejemplo de política del perfil 1 permite realizar algunas acciones para el bucket 1 en Amazon Simple Storage Service (Amazon S3):
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*" ] } ] }
La política de ejemplo para la función 1 permite la DescribeInstances acción para una instancia de Amazon Elastic Compute Cloud (Amazon EC2) y permite realizar algunas acciones en el Bucket 1 y el Bucket 2 en Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": [ "arn:aws:ec2:us-east-1:123456789012:instance/i-01234567890abcdef" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectLegalHold", "s3:PutObjectTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
La política de perfil 1 limita los permisos concedidos por la política de función 1. Se aplica a la sesión de rol cuando se asume el rol IAM Roles Anywhere. Una aplicación que asume la función 1 solo tiene acceso al segmento 1. No puede acceder a Bucket 2 ni realizar ninguna acción de Amazon EC2 porque la política de Profile 1 no concede estos permisos.
Ejemplos de políticas para la aplicación 2
El ejemplo de política del perfil 2 permite algunas acciones para Bucket 2 en Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
El ejemplo de política para el rol 2 permite la DescribeInstances acción para una instancia de Amazon EC2 y permite algunas acciones en el Bucket 1 y el Bucket 2 en Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": [ "arn:aws:ec2:us-east-1:567890123456:instance/i-05678901234ghijk" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectLegalHold", "s3:PutObjectTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
La política del perfil 2 limita los permisos concedidos por el rol 2. Se aplica a la sesión de rol cuando se asume el rol IAM Roles Anywhere. Una aplicación que asume que el rol 2 solo tiene acceso al Bucket 2. No puede acceder al Bucket 1 ni realizar acciones de Amazon EC2 porque la política de Profile 2 no concede estos permisos.
