Sintassi delle RCP - AWS Organizations
Riepilogo degli elementiElemento VersionElemento StatementElemento Statement ID (Sid)Elemento EffectElemento PrincipalElemento ActionElementi Resource e NotResourceElemento ConditionElementi non supportati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sintassi delle RCP

Le politiche di controllo delle risorse (RCPs) utilizzano una sintassi simile a quella utilizzata dalle politiche basate sulle risorse. Per ulteriori informazioni sulle policy IAM consulta Panoramica sulle policy IAM nella Guida per l'utente di IAM.

Un RCP è strutturato secondo le regole di JSON. Utilizza gli elementi descritti in questo argomento.

Nota

Tutti i caratteri del tuo RCP vengono conteggiati ai fini della sua dimensione massima. Gli esempi di questa guida mostrano i caratteri RCPs formattati con spazi bianchi aggiuntivi per migliorarne la leggibilità. Tuttavia, per risparmiare spazio se la dimensione della policy è prossima alla dimensione massima, puoi eliminare qualsiasi spazio vuoto, come i caratteri spazio e le interruzioni di linea che si trovano al di fuori delle virgolette.

Per informazioni generali su RCPs, vedere. Politiche di controllo delle risorse (RCPs)

Riepilogo degli elementi

La tabella seguente riassume gli elementi della politica che è possibile utilizzare in RCPs.

Nota

L'effetto di Allow è supportato solo per la politica RCPFullAWSAccess

L'effetto di Allow è supportato solo per la RCPFullAWSAccess politica. Questa politica viene automaticamente allegata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione, quando si abilitano le politiche di controllo delle risorse (RCPs). Non è possibile scollegare questa politica. Questo RCP predefinito consente a tutti i principali e alle azioni di passare attraverso la valutazione RCP, il che significa che finché non inizi a creare e allegare RCPs, tutte le autorizzazioni IAM esistenti continuano a funzionare come facevano. Questo non concede l'accesso.

Elemento Scopo
Versione Specifica le regole di sintassi del linguaggio da utilizzare per elaborare la policy.
Statement Serve da container per gli elementi di policy. È possibile inserire più istruzioni RCPs.
Statement ID (Sid) (Facoltativo) Fornisce un nome semplice per l'istruzione.
Effetto Definisce se l'istruzione RCP nega l'accesso alle risorse di un account.
Principale Speciifica il principale a cui è consentito o negato l'accesso alle risorse di un account.

Azione

Specifica AWS il servizio e le azioni consentite o negate dall'RCP.
Risorsa Speciifica le AWS risorse a cui si applica l'RCP.
NotResource

Speciifica le AWS risorse che sono esenti dall'RCP. Utilizzato invece dell'elemento Resource.
Condition Specifica le condizioni che stabiliscono quando l'istruzione è attiva.

Elemento Version

Ogni RCP deve includere un Version elemento con il valore. "2012-10-17" Questo è lo stesso valore di versione della versione più recente delle policy di autorizzazione IAM:

Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Version nella Guida per l'utente di IAM.

Elemento Statement

Un RCP è composto da uno o più Statement elementi. È possibile avere una sola parola chiave Statement in una policy, ma il valore può essere una matrice JSON di istruzioni (circondata da caratteri [ ]).

L'esempio seguente mostra una singola istruzione composta da Resource elementi singoli EffectPrincipal,Action, e.

 {
    "Statement": {
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}

Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Statement nella Guida per l'utente di IAM.

Elemento Statement ID (Sid)

Sid è un identificatore opzionale fornito per l'istruzione della policy. Puoi assegnare un valore Sid a ogni istruzione in una matrice di istruzioni. L'esempio seguente RCP mostra un'Sidistruzione di esempio. 

{
    "Statement": {
        "Sid": "DenyBPAConfigurations",
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}

Per ulteriori informazioni, consulta IAM JSON Policy Elements: Sid nella IAM User Guide.

Elemento Effect

Ogni istruzione deve contenere un elemento Effect. Utilizzando il valore di Deny nell'Effectelemento, puoi limitare l'accesso a risorse specifiche o definire le condizioni relative al momento in cui RCPs entrano in vigore. Per RCPs ciò che crei, il valore deve essereDeny. Per ulteriori informazioni, consulta Valutazione RCP e IAM JSON Policy Elements: Effect in the IAM User Guide.

Elemento Principal

Ogni istruzione deve contenere l'Principalelemento. È possibile specificare «*» solo nell'Principalelemento di un RCP. Utilizzate l'Conditionselemento per limitare i principi specifici.

Per ulteriori informazioni, consulta IAM JSON Policy Elements: Principal nella IAM User Guide.

Elemento Action

Ogni istruzione deve contenere l'Actionelemento.

Il valore dell'Actionelemento è una stringa o un elenco (un array JSON) di stringhe che identificano AWS i servizi e le azioni consentiti o negati dall'istruzione.

Ogni stringa è composta dall'abbreviazione del servizio (ad esempio «s3", «sqs» o «sts»), tutta minuscola, seguita da due punti e quindi da un'azione del servizio. In genere, vengono tutti immessi con ogni parola che inizia con una lettera maiuscola e il resto con una lettera minuscola. Ad esempio: "s3:ListAllMyBuckets".

Puoi anche usare caratteri jolly come l'asterisco (*) o il punto interrogativo (?) in un RCP:

  • Utilizzare un asterisco (*) come carattere jolly per abbinare più operazioni che condividono parte di un nome. Il valore "s3:*" indica tutte le operazioni del servizio Amazon S3. Il valore "sts:Get*" corrisponde solo alle AWS STS azioni che iniziano con «Get».

  • Utilizzare il punto interrogativo (?) come carattere jolly per abbinare un singolo carattere.

Nota

Wild card (*) e punti interrogativi (?) può essere usato ovunque nel nome dell'azione

Non è possibile utilizzare «*» nell'elemento Action di un RCP gestito dal cliente e specificare l'abbreviazione del servizio (ad esempio «s3", «sqs» o «sts») a cui si desidera limitare l'accesso.

Per un elenco dei servizi supportati, consulta. RCPs Elenco di tale supporto Servizi AWS RCPs Per un elenco delle azioni e dei Servizio AWS supporti, vedere Azioni, risorse e chiavi di condizione per AWS i servizi nel riferimento di autorizzazione del servizio.

Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Action nella Guida per l'utente di IAM.

Elementi Resource e NotResource

Ogni istruzione deve contenere l'NotResourceelemento Resource or.

È possibile utilizzare caratteri jolly come l'asterisco (*) o il punto interrogativo (?) nell'elemento risorsa:

  • Usa un asterisco (*) come carattere jolly per abbinare più risorse che condividono parte di un nome.

  • Utilizzare il punto interrogativo (?) come carattere jolly per abbinare un singolo carattere.

Per ulteriori informazioni, consulta IAM JSON Policy Elements: Resource e consulta IAM JSON Policy Elements: NotResource nella IAM User Guide.

Elemento Condition

È possibile specificare un Condition elemento nelle dichiarazioni di deny in un RCP.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

Questo RCP nega l'accesso alle operazioni e alle risorse di Amazon S3 a meno che la richiesta non avvenga tramite trasporto sicuro (la richiesta è stata inviata tramite TLS).

Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente di IAM.

Elementi non supportati

I seguenti elementi non sono supportati in: RCPs

  • NotPrincipal

  • NotAction