Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Service AWS Informations simplifiées pour un accès programmatique
AWS fournit des informations de référence de service au format JSON afin de rationaliser l'automatisation des flux de travail de gestion des politiques. Grâce aux informations de référence du service, vous pouvez accéder aux actions, aux ressources et aux clés de condition disponibles à Services AWS partir de fichiers lisibles par machine. Les administrateurs de sécurité peuvent établir des garde-fous et les développeurs peuvent garantir un accès approprié aux applications en identifiant les actions, les ressources et les clés de condition disponibles pour chacune d'entre elles. Service AWS AWS fournit des informations de référence sur les services Services AWS pour vous permettre d'intégrer les métadonnées dans vos flux de travail de gestion des politiques.
Pour un inventaire des actions, des ressources et des clés de condition à utiliser dans les politiques IAM, consultez la page de référence des autorisations de service pour le Service AWS.
Les actions, les ressources et les clés de condition pour les services qui partagent un préfixe de service peuvent être réparties sur plusieurs pages dans la référence d'autorisation de service.
Le contenu présenté dans la référence d'autorisation de service peut être présenté différemment ou contenir des métadonnées différentes. Pour de plus amples informations, veuillez consulter Définitions de champs supplémentaires.
Note
Les modifications apportées aux informations de référence du service peuvent prendre jusqu'à 24 heures pour être prises en compte dans la liste des métadonnées du service.
Accès aux informations Service AWS de référence
-
Accédez aux informations de référence du service
Services AWS pour accéder à la liste des informations de référence disponibles. L'exemple suivant montre une liste partielle des services et URLs leurs informations de référence respectives :
[ { "service": "s3", "url": "https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json" }, { "service": "dynamodb", "url": "https://servicereference.us-east-1.amazonaws.com/v1/dynamodb/dynamodb.json" }, … ]
-
Choisissez un service et accédez à la page d'informations du service dans le
url
champ correspondant pour afficher la liste des actions, des ressources et des clés de condition associées au service.L'exemple suivant montre une liste partielle d'informations de référence de service pour Amazon S3 :
{ "Name": "s3", "Actions": [ { "Name": "GetObject", "ActionConditionKeys": [ "s3:AccessGrantsInstanceArn", "s3:AccessPointNetworkOrigin", "s3:DataAccessPointAccount", "s3:DataAccessPointArn", "s3:ExistingObjectTag/key", "s3:ResourceAccount", "s3:TlsVersion", "s3:authType", "s3:if-match", "s3:if-none-match", "s3:signatureAge", "s3:signatureversion", "s3:x-amz-content-sha256" ], "Annotations" : { "Properties" : { "IsList" : false, "IsPermissionManagement" : false, "IsTaggingOnly" : false, "IsWrite" : false } }, "Resources": [ { "Name": "object" } ] }, { "Name": "ListBucket", "ActionConditionKeys": [ "s3:AccessGrantsInstanceArn", "s3:AccessPointNetworkOrigin", "s3:DataAccessPointAccount", "s3:DataAccessPointArn", "s3:ResourceAccount", "s3:TlsVersion", "s3:authType", "s3:delimiter", "s3:max-keys", "s3:prefix", "s3:signatureAge", "s3:signatureversion", "s3:x-amz-content-sha256" ], "Annotations" : { "Properties" : { "IsList" : true, "IsPermissionManagement" : false, "IsTaggingOnly" : false, "IsWrite" : false } }, "Resources": [ { "Name": "bucket" } ] }, ... ], "ConditionKeys": [ { "Name": "s3:TlsVersion", "Types": [ "Numeric" ] }, { "Name": "s3:authType", "Types": [ "String" ] }, ... ], "Resources": [ { "Name": "accesspoint", "ARNFormats": [ "arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}" ] }, { "Name": "bucket", "ARNFormats": [ "arn:${Partition}:s3:::${BucketName}" ] } ... ], "Version": "v1.2" }
-
Téléchargez le fichier JSON à partir de l'URL du service à utiliser dans vos flux de travail de création de politiques.
Définitions de champs supplémentaires
Les propriétés d'action fournissent des métadonnées supplémentaires sur les actions de service afin de les classer en fonction de leur étendue d'autorisation. Ces propriétés se trouvent sous le Annotations
champ pour chaque action. Les métadonnées se composent de quatre valeurs booléennes :
-
IsList
— Permet de découvrir et de répertorier les ressources, y compris les métadonnées de base, sans accéder au contenu des ressources.Exemple — Cette propriété
true
concerne l'ListBucket
action Amazon S3, qui permet aux utilisateurs de consulter les listes de compartiments sans accéder aux objets eux-mêmes. -
IsPermissionManagement
— Fournit des autorisations pour modifier les autorisations IAM ou les informations d'identification d'accès.Exemple — Cette propriété concerne la plupart
true
des AWS Organizations actions et IAM, ainsi que des actions Amazon S3 telles quePutBucketPolicy
etDeleteBucketPolicy
. -
IsTaggingOnly
— Fournit des autorisations uniquement pour modifier les balises.Exemple — Cette propriété est
true
destinée aux actionsTagRole
IAMUntagRole
, alors que cette propriété l'estfalse
CreateRole
car elle fournit des autorisations plus étendues que le balisage. -
IsWrite
— Fournit des autorisations pour modifier les ressources, ce qui peut inclure des modifications de balises.Exemple — Cette propriété concerne
true
les actions Amazon S3CreateBucket
DeleteBucket
, etPutObject
étant donné qu'elles autorisent la modification des ressources.
Note
Ces propriétés ne s'excluent pas mutuellement. Une action peut avoir plusieurs propriétés définies surtrue
.
Il est également possible que toutes les propriétés le soientfalse
, comme en témoigne l'GetObject
action d'Amazon S3. Cela indique que l'action accorde uniquement des autorisations de lecture sur un objet.
Ces propriétés peuvent être utilisées pour générer des informations pour les services. L'exemple suivant montre quelles autorisations avec le s3
préfixe autorisent la mutation des ressources :
> curl https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json | \ jq '.Actions[] | select(.Annotations.Properties.IsWrite == true) | .Name' "AssociateAccessGrantsIdentityCenter" "BypassGovernanceRetention" "CreateAccessGrant" "CreateAccessGrantsInstance" "CreateAccessGrantsLocation" ...
L'exemple suivant montre les clés de condition d'action avec le lambda
préfixe que vous pouvez utiliser pour limiter l'accès aux actions de gestion des autorisations :
> curl https://servicereference.us-east-1.amazonaws.com/v1/lambda/lambda.json | \ jq '.Actions[] | select(.Annotations.Properties.IsPermissionManagement == true) | {Name: .Name, ActionConditionKeys: (.ActionConditionKeys // [])}' { "Name": "AddLayerVersionPermission", "ActionConditionKeys": [] } { "Name": "AddPermission", "ActionConditionKeys": [ "lambda:FunctionUrlAuthType", "lambda:Principal" ] } { "Name": "DisableReplication", "ActionConditionKeys": [] } { "Name": "EnableReplication", "ActionConditionKeys": [] } { "Name": "RemoveLayerVersionPermission", "ActionConditionKeys": [] } { "Name": "RemovePermission", "ActionConditionKeys": [ "lambda:FunctionUrlAuthType", "lambda:Principal" ] }