Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Layanan AWS Informasi yang disederhanakan untuk akses terprogram
AWS menyediakan informasi referensi layanan dalam format JSON untuk merampingkan otomatisasi alur kerja manajemen kebijakan. Dengan informasi referensi layanan, Anda dapat mengakses operasi, tindakan, sumber daya, dan kunci kondisi yang tersedia di Layanan AWS seberang file yang dapat dibaca mesin. Informasi referensi layanan mencakup metadata di luar detail otorisasi, termasuk informasi terakhir yang diakses tindakan IAM dan data pembuatan kebijakan IAM Access Analyzer.
Administrator keamanan dapat membuat pagar pembatas dan pengembang dapat memastikan akses yang tepat ke aplikasi dengan mengidentifikasi tindakan, sumber daya, dan kunci kondisi yang tersedia untuk masing-masing. Layanan AWS AWS menyediakan informasi referensi layanan Layanan AWS untuk memungkinkan Anda memasukkan metadata ke dalam alur kerja manajemen kebijakan Anda.
-
Untuk inventarisasi tindakan, sumber daya, dan kunci kondisi untuk digunakan dalam kebijakan IAM, lihat halaman Referensi Otorisasi Layanan untuk. Layanan AWS Kunci tindakan, sumber daya, dan kondisi untuk layanan yang berbagi awalan layanan dapat dibagi menjadi beberapa halaman dalam Referensi Otorisasi Layanan.
-
Untuk daftar Layanan AWS dan tindakan yang informasi terakhir diakses tindakan IAM ditampilkan, lihat tindakan IAM terakhir diakses layanan informasi dan tindakan dalam Panduan Pengguna IAM.
-
Untuk daftar Layanan AWS dan tindakan yang digunakan IAM Access Analyzer untuk membuat kebijakan dengan informasi tingkat tindakan, lihat layanan pembuatan kebijakan IAM Access Analyzer di Panduan Pengguna IAM.
Konten yang disajikan dalam Referensi Otorisasi Layanan dapat disajikan secara berbeda atau mengandung metadata yang berbeda. Untuk informasi selengkapnya, lihat Definisi bidang tambahan.
Informasi referensi layanan juga menawarkan metadata tentang operasi, termasuk informasi tentang tindakan resmi dan nama metode di. SDKs
Konteks tambahan dari nilai kunci kondisi mungkin tersedia untuk membantu dalam izin pelingkupan. Misalnya, nilai iam:PassedToService dapat muncul ketika tindakan iam:PassRole diotorisasi oleh suatu operasi.
Operasi untuk pemetaan tindakan ini tidak didukung untuk semua layanan. Layanan yang belum mendukung pemetaan ini akan menghilangkan properti. AuthorizedAction Selain itu, informasi tindakan resmi untuk operasi tidak termasuk izin yang mungkin diperlukan untuk operasi yang dipanggil atas nama Anda dengan Sesi Akses Teruskan.
catatan
Perubahan pada informasi referensi layanan dapat memakan waktu hingga 24 jam untuk tercermin dalam daftar metadata untuk layanan.
Mengakses informasi Layanan AWS referensi
-
Arahkan ke informasi referensi layanan untuk mengakses daftar Layanan AWS informasi referensi yang tersedia.
Ada dua titik masuk utama:
http://servicereference.us-east-1.amazonaws.com/
menampilkan daftar Layanan AWS informasi referensi yang tersedia. Contoh berikut menunjukkan sebagian daftar layanan dan URLs untuk informasi referensi masing-masing:
[ { "service": "s3", "url": "https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json" }, { "service": "dynamodb", "url": "https://servicereference.us-east-1.amazonaws.com/v1/dynamodb/dynamodb.json" }, … ]https://servicereference.us-east-1.amazonaws.com/v1/mapping.json
menampilkan pemetaan dari layanan SDK ke lokasi dalam referensi layanan tempat informasi dapat ditemukan di bawahnya. Contoh berikut menunjukkan sebagian daftar pemetaan:
{ "SDK" : { "Python" : { "Boto3" : { "accessanalyzer" : { "service" : "access-analyzer", "url" : "https://servicereference.us-east-1.amazonaws.com/v1/access-analyzer/access-analyzer.json" }, "account" : { "service" : "account", "url" : "https://servicereference.us-east-1.amazonaws.com/v1/account/account.json" }, "amp" : { "service" : "aps", "url" : "https://servicereference.us-east-1.amazonaws.com/v1/aps/aps.json" }, ... } } } } -
Pilih layanan dan arahkan ke halaman informasi layanan di
urlbidang agar layanan dapat melihat daftar tindakan, sumber daya, dan kunci kondisi untuk layanan.Contoh berikut menunjukkan sebagian daftar informasi referensi layanan untuk Amazon S3:
{ "Name": "s3", "Actions": [ { "Name": "GetObject", "ActionConditionKeys": [ "s3:AccessGrantsInstanceArn", "s3:AccessPointNetworkOrigin", "s3:DataAccessPointAccount", "s3:DataAccessPointArn", "s3:ExistingObjectTag/key", "s3:ResourceAccount", "s3:TlsVersion", "s3:authType", "s3:if-match", "s3:if-none-match", "s3:signatureAge", "s3:signatureversion", "s3:x-amz-content-sha256" ], "Annotations" : { "Properties" : { "IsList" : false, "IsPermissionManagement" : false, "IsTaggingOnly" : false, "IsWrite" : false } }, "Resources": [ { "Name": "object" } ], "SupportedBy" : { "IAM Access Analyzer Policy Generation" : false, "IAM Action Last Accessed" : false } }, { "Name": "ListBucket", "ActionConditionKeys": [ "s3:AccessGrantsInstanceArn", "s3:AccessPointNetworkOrigin", "s3:DataAccessPointAccount", "s3:DataAccessPointArn", "s3:ResourceAccount", "s3:TlsVersion", "s3:authType", "s3:delimiter", "s3:max-keys", "s3:prefix", "s3:signatureAge", "s3:signatureversion", "s3:x-amz-content-sha256" ], "Annotations" : { "Properties" : { "IsList" : true, "IsPermissionManagement" : false, "IsTaggingOnly" : false, "IsWrite" : false } }, "Resources": [ { "Name": "bucket" } ], "SupportedBy" : { "IAM Access Analyzer Policy Generation" : false, "IAM Action Last Accessed" : false } }, ... ], "ConditionKeys": [ { "Name": "s3:TlsVersion", "Types": [ "Numeric" ] }, { "Name": "s3:authType", "Types": [ "String" ] }, ... ], "Operations": [ { "Name" : "GetObject", "AuthorizedActions" : [ { "Name" : "GetObject", "Service" : "s3" }, { "Name" : "GetObject", "Service" : "s3-object-lambda" }, { "Name" : "GetObjectLegalHold", "Service" : "s3" }, { "Name" : "GetObjectRetention", "Service" : "s3" }, { "Name" : "GetObjectTagging", "Service" : "s3" }, { "Name" : "GetObjectVersion", "Service" : "s3" } ], "SDK" : [ { "Name" : "s3", "Method" : "get_object", "Package" : "Boto3" } ] }, ... ], "Resources": [ { "Name": "accesspoint", "ARNFormats": [ "arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}" ] }, { "Name": "bucket", "ARNFormats": [ "arn:${Partition}:s3:::${BucketName}" ] } ... ], "Version": "v1.4" } -
Unduh file JSON dari URL layanan untuk digunakan dalam alur kerja pembuatan kebijakan Anda.
Glosarium
-
Operasi - API yang dapat dipanggil, biasanya melalui SDK
-
Tindakan - Izin yang diotorisasi saat melakukan operasi
Definisi bidang tambahan
Properti tindakan menyediakan metadata tambahan tentang tindakan layanan untuk membantu mengkategorikannya berdasarkan cakupan izinnya. Properti ini ditemukan di bawah Annotations bidang untuk setiap tindakan. Metadata terdiri dari empat nilai boolean:
-
IsList— Memberikan izin untuk menemukan dan mencantumkan sumber daya, termasuk metadata dasar, tanpa mengakses konten sumber daya.Contoh - Properti ini
trueuntukListBuckettindakan Amazon S3, memungkinkan pengguna untuk melihat daftar bucket tanpa mengakses objek itu sendiri. -
IsPermissionManagement— Memberikan izin untuk memodifikasi izin IAM atau kredensi akses.Contoh - Properti ini
trueuntuk sebagian besar IAM dan AWS Organizations tindakan, serta tindakanPutBucketPolicyAmazon S3 seperti dan.DeleteBucketPolicy -
IsTaggingOnly— Memberikan izin hanya untuk memodifikasi tag.Contoh - Properti ini
trueuntuk tindakan IAMTagRoledanUntagRole, sementara properti inifalseuntukCreateRolekarena memberikan izin yang lebih luas di luar penandaan. -
IsWrite— Memberikan izin untuk memodifikasi sumber daya, yang mungkin termasuk modifikasi tag.Contoh - Properti ini
trueuntuk tindakan Amazon S3CreateBucketDeleteBucket, danPutObjectkarena mereka mengizinkan modifikasi sumber daya.
catatan
Properti ini tidak saling eksklusif. Tindakan mungkin memiliki beberapa properti yang disetel ketrue.
Mungkin juga semua propertifalse, seperti yang terlihat dengan tindakan Amazon S3. GetObject Ini menunjukkan tindakan hanya memberikan izin baca pada objek.
Properti ini dapat digunakan untuk menghasilkan wawasan untuk layanan. Contoh berikut menunjukkan izin dengan s3 awalan yang memungkinkan sumber daya bermutasi:
> curl https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json | \ jq '.Actions[] | select(.Annotations.Properties.IsWrite == true) | .Name' "AssociateAccessGrantsIdentityCenter" "BypassGovernanceRetention" "CreateAccessGrant" "CreateAccessGrantsInstance" "CreateAccessGrantsLocation" ...
Contoh berikut menunjukkan kunci kondisi tindakan dengan lambda awalan yang dapat Anda gunakan untuk membatasi akses ke tindakan manajemen izin:
> curl https://servicereference.us-east-1.amazonaws.com/v1/lambda/lambda.json | \ jq '.Actions[] | select(.Annotations.Properties.IsPermissionManagement == true) | {Name: .Name, ActionConditionKeys: (.ActionConditionKeys // [])}' { "Name": "AddLayerVersionPermission", "ActionConditionKeys": [] } { "Name": "AddPermission", "ActionConditionKeys": [ "lambda:FunctionUrlAuthType", "lambda:Principal" ] } { "Name": "DisableReplication", "ActionConditionKeys": [] } { "Name": "EnableReplication", "ActionConditionKeys": [] } { "Name": "RemoveLayerVersionPermission", "ActionConditionKeys": [] } { "Name": "RemovePermission", "ActionConditionKeys": [ "lambda:FunctionUrlAuthType", "lambda:Principal" ] }
