Servizio AWS Informazioni semplificate per l'accesso programmatico - Service Authorization Reference
Definizioni di campo aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Servizio AWS Informazioni semplificate per l'accesso programmatico

AWS fornisce informazioni di riferimento sui servizi in formato JSON per semplificare l'automazione dei flussi di lavoro di gestione delle policy. Con le informazioni di riferimento del servizio, è possibile accedere alle azioni, alle risorse e alle chiavi di condizione disponibili tramite file leggibili Servizi AWS dalla macchina. Gli amministratori della sicurezza possono stabilire barriere e gli sviluppatori possono garantire l'accesso appropriato alle applicazioni identificando le azioni, le risorse e le chiavi di condizione disponibili per ciascuna di esse. Servizio AWS AWS fornisce informazioni di riferimento sui servizi che consentono Servizi AWS di incorporare i metadati nei flussi di lavoro di gestione delle policy.

Per un inventario delle azioni, delle risorse e delle chiavi di condizione da utilizzare nelle politiche IAM, consulta la pagina di riferimento sull'autorizzazione dei servizi relativa a. Servizio AWS

Le azioni, le risorse e le chiavi di condizione per i servizi che condividono un prefisso di servizio possono essere suddivise su più pagine nel Service Authorization Reference.

Il contenuto presentato nel Service Authorization Reference può essere presentato in modo diverso o contenere metadati diversi. Per ulteriori informazioni, consulta Definizioni di campo aggiuntive.

Nota

Le modifiche alle informazioni di riferimento del servizio possono richiedere fino a 24 ore prima che vengano riportate nell'elenco dei metadati del servizio.

Accesso alle informazioni Servizio AWS di riferimento

  1. Accedere alle informazioni di riferimento del servizio per accedere all'elenco Servizi AWS per cui sono disponibili le informazioni di riferimento.

    L'esempio seguente mostra un elenco parziale dei servizi e URLs le rispettive informazioni di riferimento:

    [ 
    { 
        "service": "s3", 
        "url": "https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json" 
    }, 
    { 
        "service": "dynamodb", 
        "url": "https://servicereference.us-east-1.amazonaws.com/v1/dynamodb/dynamodb.json" 
    }, 
    …
]

  2. Scegliete un servizio e accedete alla pagina delle informazioni sul servizio nel url campo relativo al servizio per visualizzare un elenco di azioni, risorse e chiavi di condizione per il servizio.

    L'esempio seguente mostra un elenco parziale di informazioni di riferimento del servizio per Amazon S3:

    {
    "Name": "s3",
    "Actions": [
        {
            "Name": "GetObject",
            "ActionConditionKeys": [
                "s3:AccessGrantsInstanceArn",
                "s3:AccessPointNetworkOrigin",
                "s3:DataAccessPointAccount",
                "s3:DataAccessPointArn",
                "s3:ExistingObjectTag/key",
                "s3:ResourceAccount",
                "s3:TlsVersion",
                "s3:authType",
                "s3:if-match",
                "s3:if-none-match",
                "s3:signatureAge",
                "s3:signatureversion",
                "s3:x-amz-content-sha256"
            ],
            "Annotations" : {
                "Properties" : {
                    "IsList" : false,
                    "IsPermissionManagement" : false,
                    "IsTaggingOnly" : false,
                    "IsWrite" : false
                }
            },
            "Resources": [
                {
                    "Name": "object"
                }
            ]
        },
        {
            "Name": "ListBucket",
            "ActionConditionKeys": [
                "s3:AccessGrantsInstanceArn",
                "s3:AccessPointNetworkOrigin",
                "s3:DataAccessPointAccount",
                "s3:DataAccessPointArn",
                "s3:ResourceAccount",
                "s3:TlsVersion",
                "s3:authType",
                "s3:delimiter",
                "s3:max-keys",
                "s3:prefix",
                "s3:signatureAge",
                "s3:signatureversion",
                "s3:x-amz-content-sha256"
            ],
            "Annotations" : {
                "Properties" : {
                    "IsList" : true,
                    "IsPermissionManagement" : false,
                    "IsTaggingOnly" : false,
                    "IsWrite" : false
                }
            },
            "Resources": [
                {
                    "Name": "bucket"
                }
            ]
        },
        ...
    ],
    "ConditionKeys": [
        {
            "Name": "s3:TlsVersion",
            "Types": [
                "Numeric"
            ]
        },
        {
            "Name": "s3:authType",
            "Types": [
                "String"
            ]
        },
        ...
    ],
    "Resources": [
        {
            "Name": "accesspoint",
            "ARNFormats": [
                "arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}"
            ]
        },
        {
            "Name": "bucket",
            "ARNFormats": [
                "arn:${Partition}:s3:::${BucketName}"
            ]
        }
        ...
    ],
    "Version": "v1.2"
}

  3. Scarica il file JSON dall'URL del servizio da utilizzare nei flussi di lavoro di creazione delle policy.

Definizioni di campo aggiuntive

Le proprietà delle azioni forniscono metadati aggiuntivi sulle azioni di servizio per aiutarle a classificarle in base all'ambito delle autorizzazioni. Queste proprietà si trovano sotto il Annotations campo per ogni azione. I metadati sono costituiti da quattro valori booleani:

  • IsList— Fornisce le autorizzazioni per scoprire ed elencare le risorse, inclusi i metadati di base, senza accedere al contenuto delle risorse.

    Esempio: questa proprietà true riguarda l'ListBucketazione Amazon S3, che consente agli utenti di visualizzare gli elenchi dei bucket senza accedere agli oggetti stessi.

  • IsPermissionManagement— Fornisce le autorizzazioni per modificare le autorizzazioni IAM o le credenziali di accesso.

    Esempio: questa proprietà è valida true per la maggior parte delle AWS Organizations azioni e di IAM, nonché per le azioni di Amazon S3 come PutBucketPolicy e. DeleteBucketPolicy

  • IsTaggingOnly— Fornisce le autorizzazioni solo per la modifica dei tag.

    Esempio: questa proprietà è true per le azioni IAM TagRole eUntagRole, sebbene sia false valida, CreateRole poiché fornisce autorizzazioni più ampie oltre all'etichettatura.

  • IsWrite— Fornisce le autorizzazioni per modificare le risorse, che possono includere modifiche ai tag.

    Esempio: questa proprietà è true per le azioni CreateBucket di Amazon S3 e DeleteBucket PutObject poiché consentono la modifica delle risorse.

Nota

Queste proprietà non si escludono a vicenda. Un'azione può avere più proprietà impostate su. true

È anche possibile che tutte le proprietà lo sianofalse, come si è visto con l'azione di GetObject Amazon S3. Ciò indica che l'azione concede solo i permessi di lettura su un oggetto.

Queste proprietà possono essere utilizzate per generare approfondimenti sui servizi. L'esempio seguente mostra quali autorizzazioni con il s3 prefisso consentono la modifica delle risorse:

> curl https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json | \
    jq '.Actions[] | select(.Annotations.Properties.IsWrite == true) | .Name'

"AssociateAccessGrantsIdentityCenter"
"BypassGovernanceRetention"
"CreateAccessGrant"
"CreateAccessGrantsInstance"
"CreateAccessGrantsLocation"
...

L'esempio seguente mostra quali tasti di condizione d'azione con il lambda prefisso è possibile utilizzare per limitare l'accesso alle azioni di gestione delle autorizzazioni:

> curl https://servicereference.us-east-1.amazonaws.com/v1/lambda/lambda.json | \
    jq '.Actions[] | select(.Annotations.Properties.IsPermissionManagement == true) | {Name: .Name, ActionConditionKeys: (.ActionConditionKeys // [])}'
 
{
   "Name": "AddLayerVersionPermission",
    "ActionConditionKeys": []
}
{
    "Name": "AddPermission",
    "ActionConditionKeys": [
        "lambda:FunctionUrlAuthType",
        "lambda:Principal"
    ]
}
{
    "Name": "DisableReplication",
    "ActionConditionKeys": []
}
{
    "Name": "EnableReplication",
    "ActionConditionKeys": []
}
{
    "Name": "RemoveLayerVersionPermission",
    "ActionConditionKeys": []
}
{
    "Name": "RemovePermission",
    "ActionConditionKeys": [
        "lambda:FunctionUrlAuthType",
        "lambda:Principal"
    ]
}