Elementi delle policy JSON IAM: Action - AWS Identity and Access Management

Elementi delle policy JSON IAM: Action

L'elemento Action descrive l'operazione o le operazioni specifiche che saranno concesse o negate. Le istruzioni devono includere un elemento Action o un elemento NotAction. Ogni servizio AWS ha il proprio insieme di operazioni che descrive le attività che è possibile eseguire con quel servizio. Ad esempio, l'elenco delle operazioni per Amazon S3 è disponibile all'indirizzo Specifica delle autorizzazioni in una policy nella Guida per l'utente di Amazon Simple Storage Service, l'elenco delle operazioni per Amazon EC2 è disponibile in Documentazione di riferimento dell'API Amazon EC2 e l'elenco delle operazioni per AWS Identity and Access Management è disponibile nella Documentazione di riferimento dell'API IAM. Per trovare l'elenco delle operazioni per altri servizi, consulta la documentazione di riferimento alle API per il servizio.

AWS fornisce anche informazioni di riferimento sui servizi in formato JSON per semplificare l'automazione dei flussi di lavoro di gestione delle policy. Con le informazioni di riferimento del servizio, è possibile accedere alle operazioni, alle risorse e alle chiavi di condizione disponibili nei Servizi AWS tramite file leggibili dalla macchina. Per ulteriori informazioni, consulta Simplified Servizio AWS information for programmatic access nella documentazione di riferimento sull'autorizzazione dei servizi.

È possibile specificare un valore utilizzando un namespace come prefisso dell'operazione (iam, ec2 sqs, sns, s3, ecc.) seguito dal nome dell'operazione da consentire o negare. Il nome deve corrispondere a un'operazione che è supportata dal servizio. Il prefisso e il nome dell'operazione non fanno distinzione tra maiuscole e minuscole. Ad esempio, iam:ListAccessKeys è equivalente a IAM:listaccesskeys. I seguenti esempi mostrano gli elementi Action per diversi servizi.

Operazione di Amazon SQS

"Action": "sqs:SendMessage"

Operazione Amazon EC

"Action": "ec2:StartInstances"

Operazione IAM

"Action": "iam:ChangePassword"

Operazioni di Amazon S

"Action": "s3:GetObject"

Puoi specificare valori multipli per l'elemento Action.

"Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "ec2:StartInstances", "iam:ChangePassword", "s3:GetObject" ]

Puoi utilizzare una corrispondenza con più caratteri jolly (*) e un singolo carattere jolly (?) per consentire l'accesso a tutte le operazioni offerte dal prodotto AWS specifico. Ad esempio, il seguente elemento Action si applica a tutte le operazioni S3.

"Action": "s3:*"

Puoi anche utilizzare caratteri jolly (* o ?) come parte del nome dell'operazione. Ad esempio, il seguente elemento Action si applica a tutte le operazioni IAM che includono la stringa AccessKey, incluso CreateAccessKey, DeleteAccessKey, ListAccessKeys e UpdateAccessKey.

"Action": "iam:*AccessKey*"

Alcuni servizi ti consentono di limitare le operazioni disponibili. Ad esempio, Amazon SQS consente di rendere disponibile solo un sottoinsieme di tutte le operazioni Amazon SQS possibili. In questo caso, il carattere jolly * non ti permette il controllo completo della coda; ti permette solo il sottoinsieme di operazioni che hai condiviso. Per ulteriori informazioni, consulta Informazioni sulle autorizzazioni nella Guida per gli sviluppatori di Amazon Simple Storage Service.