Layanan AWS Informasi yang disederhanakan untuk akses terprogram - Referensi Otorisasi Layanan
Definisi bidang tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Layanan AWS Informasi yang disederhanakan untuk akses terprogram

AWS menyediakan informasi referensi layanan dalam format JSON untuk merampingkan otomatisasi alur kerja manajemen kebijakan. Dengan informasi referensi layanan, Anda dapat mengakses tindakan, sumber daya, dan kunci kondisi yang tersedia di seluruh file Layanan AWS yang dapat dibaca mesin. Administrator keamanan dapat membuat pagar pembatas dan pengembang dapat memastikan akses yang tepat ke aplikasi dengan mengidentifikasi tindakan, sumber daya, dan kunci kondisi yang tersedia untuk masing-masing. Layanan AWS AWS menyediakan informasi referensi layanan Layanan AWS untuk memungkinkan Anda memasukkan metadata ke dalam alur kerja manajemen kebijakan Anda.

Untuk inventarisasi tindakan, sumber daya, dan kunci kondisi untuk digunakan dalam kebijakan IAM, lihat halaman Referensi Otorisasi Layanan untuk. Layanan AWS

Kunci tindakan, sumber daya, dan kondisi untuk layanan yang berbagi awalan layanan dapat dibagi menjadi beberapa halaman dalam Referensi Otorisasi Layanan.

Konten yang disajikan dalam Referensi Otorisasi Layanan dapat disajikan secara berbeda atau mengandung metadata yang berbeda. Untuk informasi selengkapnya, lihat Definisi bidang tambahan.

catatan

Perubahan pada informasi referensi layanan dapat memakan waktu hingga 24 jam untuk tercermin dalam daftar metadata untuk layanan.

Mengakses informasi Layanan AWS referensi

  1. Arahkan ke informasi referensi layanan untuk mengakses daftar Layanan AWS informasi referensi yang tersedia.

    Contoh berikut menunjukkan sebagian daftar layanan dan URLs untuk informasi referensi masing-masing:

    [ 
    { 
        "service": "s3", 
        "url": "https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json" 
    }, 
    { 
        "service": "dynamodb", 
        "url": "https://servicereference.us-east-1.amazonaws.com/v1/dynamodb/dynamodb.json" 
    }, 
    …
]

  2. Pilih layanan dan arahkan ke halaman informasi layanan di url bidang agar layanan dapat melihat daftar tindakan, sumber daya, dan kunci kondisi untuk layanan.

    Contoh berikut menunjukkan sebagian daftar informasi referensi layanan untuk Amazon S3:

    {
    "Name": "s3",
    "Actions": [
        {
            "Name": "GetObject",
            "ActionConditionKeys": [
                "s3:AccessGrantsInstanceArn",
                "s3:AccessPointNetworkOrigin",
                "s3:DataAccessPointAccount",
                "s3:DataAccessPointArn",
                "s3:ExistingObjectTag/key",
                "s3:ResourceAccount",
                "s3:TlsVersion",
                "s3:authType",
                "s3:if-match",
                "s3:if-none-match",
                "s3:signatureAge",
                "s3:signatureversion",
                "s3:x-amz-content-sha256"
            ],
            "Annotations" : {
                "Properties" : {
                    "IsList" : false,
                    "IsPermissionManagement" : false,
                    "IsTaggingOnly" : false,
                    "IsWrite" : false
                }
            },
            "Resources": [
                {
                    "Name": "object"
                }
            ]
        },
        {
            "Name": "ListBucket",
            "ActionConditionKeys": [
                "s3:AccessGrantsInstanceArn",
                "s3:AccessPointNetworkOrigin",
                "s3:DataAccessPointAccount",
                "s3:DataAccessPointArn",
                "s3:ResourceAccount",
                "s3:TlsVersion",
                "s3:authType",
                "s3:delimiter",
                "s3:max-keys",
                "s3:prefix",
                "s3:signatureAge",
                "s3:signatureversion",
                "s3:x-amz-content-sha256"
            ],
            "Annotations" : {
                "Properties" : {
                    "IsList" : true,
                    "IsPermissionManagement" : false,
                    "IsTaggingOnly" : false,
                    "IsWrite" : false
                }
            },
            "Resources": [
                {
                    "Name": "bucket"
                }
            ]
        },
        ...
    ],
    "ConditionKeys": [
        {
            "Name": "s3:TlsVersion",
            "Types": [
                "Numeric"
            ]
        },
        {
            "Name": "s3:authType",
            "Types": [
                "String"
            ]
        },
        ...
    ],
    "Resources": [
        {
            "Name": "accesspoint",
            "ARNFormats": [
                "arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}"
            ]
        },
        {
            "Name": "bucket",
            "ARNFormats": [
                "arn:${Partition}:s3:::${BucketName}"
            ]
        }
        ...
    ],
    "Version": "v1.2"
}

  3. Unduh file JSON dari URL layanan untuk digunakan dalam alur kerja pembuatan kebijakan Anda.

Definisi bidang tambahan

Properti tindakan menyediakan metadata tambahan tentang tindakan layanan untuk membantu mengkategorikannya berdasarkan cakupan izinnya. Properti ini ditemukan di bawah Annotations bidang untuk setiap tindakan. Metadata terdiri dari empat nilai boolean:

  • IsList— Memberikan izin untuk menemukan dan mencantumkan sumber daya, termasuk metadata dasar, tanpa mengakses konten sumber daya.

    Contoh - Properti ini true untuk ListBucket tindakan Amazon S3, memungkinkan pengguna untuk melihat daftar bucket tanpa mengakses objek itu sendiri.

  • IsPermissionManagement— Memberikan izin untuk memodifikasi izin IAM atau kredensi akses.

    Contoh - Properti ini true untuk sebagian besar IAM dan AWS Organizations tindakan, serta tindakan PutBucketPolicy Amazon S3 seperti dan. DeleteBucketPolicy

  • IsTaggingOnly— Memberikan izin hanya untuk memodifikasi tag.

    Contoh - Properti ini true untuk tindakan IAM TagRole danUntagRole, sementara properti ini false untuk CreateRole karena memberikan izin yang lebih luas di luar penandaan.

  • IsWrite— Memberikan izin untuk memodifikasi sumber daya, yang mungkin termasuk modifikasi tag.

    Contoh - Properti ini true untuk tindakan Amazon S3 CreateBucketDeleteBucket, dan PutObject karena mereka mengizinkan modifikasi sumber daya.

catatan

Properti ini tidak saling eksklusif. Tindakan mungkin memiliki beberapa properti yang disetel ketrue.

Mungkin juga semua propertifalse, seperti yang terlihat dengan tindakan Amazon S3. GetObject Ini menunjukkan tindakan hanya memberikan izin baca pada objek.

Properti ini dapat digunakan untuk menghasilkan wawasan untuk layanan. Contoh berikut menunjukkan izin dengan s3 awalan yang memungkinkan sumber daya bermutasi:

> curl https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json | \
    jq '.Actions[] | select(.Annotations.Properties.IsWrite == true) | .Name'

"AssociateAccessGrantsIdentityCenter"
"BypassGovernanceRetention"
"CreateAccessGrant"
"CreateAccessGrantsInstance"
"CreateAccessGrantsLocation"
...

Contoh berikut menunjukkan kunci kondisi tindakan dengan lambda awalan yang dapat Anda gunakan untuk membatasi akses ke tindakan manajemen izin:

> curl https://servicereference.us-east-1.amazonaws.com/v1/lambda/lambda.json | \
    jq '.Actions[] | select(.Annotations.Properties.IsPermissionManagement == true) | {Name: .Name, ActionConditionKeys: (.ActionConditionKeys // [])}'
 
{
   "Name": "AddLayerVersionPermission",
    "ActionConditionKeys": []
}
{
    "Name": "AddPermission",
    "ActionConditionKeys": [
        "lambda:FunctionUrlAuthType",
        "lambda:Principal"
    ]
}
{
    "Name": "DisableReplication",
    "ActionConditionKeys": []
}
{
    "Name": "EnableReplication",
    "ActionConditionKeys": []
}
{
    "Name": "RemoveLayerVersionPermission",
    "ActionConditionKeys": []
}
{
    "Name": "RemovePermission",
    "ActionConditionKeys": [
        "lambda:FunctionUrlAuthType",
        "lambda:Principal"
    ]
}