AWSServiços da que funcionam com o IAM
Os serviços da AWS listados abaixo estão agrupados em ordem alfabética e incluem informações sobre a compatibilidade deles com atributos do IAM:
-
Serviço: você pode selecionar o nome de um serviço para visualizar a documentação da AWS sobre a autorização e o acesso do IAM para esse serviço.
-
Ações: você pode especificar ações individuais em uma política. Se o serviço não é compatível com esse recurso, então Todas as ações está selecionado no editor visual. Em um documento de política JSON, use
*no elementoAction. Para obter uma lista de ações em cada serviço, consulte Ações, recursos e chaves de condição para serviços da AWS. -
Permissões no nível do recurso: você pode usar ARNs para especificar recursos individuais na política. Se o serviço não é compatível com esse recurso, então Todos os recursos está selecionado no editor visual de política. Em um documento de política JSON, use
*no elementoResource. Algumas ações, como açõesList*, não são compatíveis com a especificação de um ARN, pois elas são projetadas para retornar vários recursos. Se um serviço é compatível com essa funcionalidade para alguns recursos e não outros, isso é indicado por Partial (Parcial) na tabela. Consulte a documentação do serviço para obter mais informações. -
Políticas baseadas em recursos: você pode anexar políticas baseadas em recursos a um recurso do serviço. As políticas baseadas em recursos incluem um elemento
Principalpara especificar quais identidades do IAM podem acessar esse recurso. Para obter mais informações, consulte Políticas baseadas em identidade e em recurso. -
ABAC (autorização baseada em tags): para controlar o acesso baseado em tags, você fornece informações sobre as tags no elemento de condição de uma política usando as chaves de condição
aws:ResourceTag/,key-nameaws:RequestTag/oukey-nameaws:TagKeys. Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será Sim para o serviço. Se um serviço oferecer suporte às três chaves de condição somente para alguns tipos de recursos, o valor será Partial (Parcial). Para obter mais informações sobre como definir permissões com base em atributos como tags, consulte Definir permissões com base em atributos com autorização ABAC. Para visualizar um tutorial com etapas para configurar o ABAC, consulte Use attribute-based access control (ABAC) (Usar controle de acesso baseado em atributos [ABAC]). -
Credenciais temporárias: é possível usar credenciais de curto prazo obtidas ao fazer login usando o IAM Identity Center ou alternar perfis no console, ou ainda credenciais que você gera usando o AWS STS na AWS CLI ou a API da AWS. É possível acessar serviços com um valor Não somente ao usar suas credenciais de longo prazo de usuário do IAM. Isso inclui um nome de usuário e senha ou as chaves de acesso de usuário. Para obter mais informações, consulte Credenciais de segurança temporárias no IAM.
-
Funções vinculadas ao serviço: uma função vinculada ao serviço é um tipo especial de função de serviço que concede permissão ao serviço para acessar recursos em outros serviços para você. Escolha o link Sim ou Parcial para consultar a documentação de serviços que são compatíveis com esses perfis. Essa coluna não indica se o serviço usa funções de serviço padrão. Para obter mais informações, consulte Perfis vinculados ao serviço.
-
Mais informações – Se um serviço não é totalmente compatível com um recurso, você pode revisar as notas de rodapé de uma entrada para visualizar as restrições e links de informações relacionadas.
Serviços compatíveis com o IAM
| Serviço | Ações do | Permissões em nível de recurso | Políticas baseadas em recursos | ABAC | Credenciais temporárias | Perfis vinculados a serviço |
|---|---|---|---|---|---|---|
| AWS Gerenciamento de contas | ||||||
|
AWS Activate Console |
||||||
| Operações de IA da Amazon | ||||||
| AWS Amplify Admin | ||||||
| AWS Amplify | ||||||
| AWS Amplify UI Builder | ||||||
| APIs do Apache Kafka para clusters do Amazon MSK | ||||||
| Amazon API Gateway | ||||||
| Amazon API Gateway Management | ||||||
| Amazon API Gateway Management V2 | ||||||
| AWS App Studio | ||||||
| AWS App2Container | ||||||
| AWS AppConfig | ||||||
| AWS AppFabric | ||||||
| Amazon AppFlow | ||||||
| Amazon AppIntegrations | ||||||
| Application Auto Scaling | ||||||
| AWS Application Discovery Arsenal | ||||||
| AWS Application Discovery Service | ||||||
| AWS Application Migration Service | ||||||
| Amazon Application Recovery Controller – Mudança de zona | ||||||
| AWS Application Transformation Service | ||||||
| AWS App Runner | ||||||
| Amazon AppStream 2.0 | ||||||
| AWS AppSync | ||||||
| Troca de região do Amazon ARC | ||||||
| AWS Artifact | ||||||
| Amazon Athena | ||||||
| AWS Audit Manager | ||||||
| Amazon Aurora DSQL | ||||||
| AWS Auto Scaling | ||||||
| AWS Intercâmbio de dados B2B | ||||||
| AWS Backup | ||||||
| AWS Backup Gateway | ||||||
| AWS Backup Pesquisa do | ||||||
| AWS Backup Armazenamento do | ||||||
| AWS Batch | ||||||
| Amazon Bedrock | ||||||
| Amazon Bedrock Agentcore | ||||||
| Gerenciamento de Faturamento e Custos da AWS | ||||||
| Painéis de Gerenciamento de Faturamento e Custos da AWS | ||||||
| Gerenciamento de Faturamento e Custos da AWS Exportações de dados | ||||||
| Gerenciamento de Faturamento e Custos da AWS Calculadora de preços do | ||||||
| Gerenciamento de Faturamento e Custos da AWS Ações recomendadas do | ||||||
| AWS Billing Conductor | ||||||
| Amazon Braket | ||||||
| AWS Budget Service | ||||||
| AWS Certificate Manager (ACM) | ||||||
| Amazon Q Developer em aplicações de chat | ||||||
| Amazon Chime | ||||||
| AWS Clean Rooms | ||||||
| AWS Clean Rooms ML | ||||||
| AWS Client VPN | ||||||
| AWS Cloud9 | ||||||
| Nuvem AWS API de controle do | ||||||
| Amazon Cloud Directory | ||||||
| AWS CloudFormation | ||||||
| KeyValueStore do Amazon CloudFront | ||||||
| AWS CloudHSM | ||||||
| Amazon CloudSearch | ||||||
| AWS CloudShell | ||||||
| AWS CloudTrail | ||||||
| AWS CloudTrail Dados do | ||||||
| Amazon CloudWatch | ||||||
| Amazon CloudWatch Application Insights | ||||||
| Amazon CloudWatch Application Signals | ||||||
| Amazon CloudWatch Evidently | ||||||
| Amazon CloudWatch Internet Monitor | ||||||
| Amazon CloudWatch Logs | ||||||
| Amazon CloudWatch Network Synthetic Monitor | ||||||
| Amazon CloudWatch Observability Access Manager | ||||||
| Serviço de administração de observabilidade do Amazon CloudWatch | ||||||
| Amazon CloudWatch RUM | ||||||
| Amazon CloudWatch Synthetics | ||||||
| AWS CodeArtifact | ||||||
| AWS CodeBuild | ||||||
| Amazon CodeCatalyst | ||||||
| AWS CodeCommit | ||||||
| AWS CodeConnections | ||||||
| AWS CodeDeploy | ||||||
| AWS CodeDeploy Serviço de comandos de host seguro do | ||||||
| Amazon CodeGuru Profiler | ||||||
| Amazon CodeGuru Reviewer | ||||||
| Amazon CodeGuru Security | ||||||
| AWS CodePipeline | ||||||
| AWS CodeStar | ||||||
| AWS CodeStar Conexões do | ||||||
| AWS CodeStar Notificações do | ||||||
| Amazon CodeWhisperer | ||||||
| Amazon Cognito | ||||||
| Amazon Cognito Sync | ||||||
| Grupos de usuários do Amazon Cognito | ||||||
| Amazon Comprehend | ||||||
| Amazon Comprehend Medical | ||||||
| AWS Compute Optimizer | ||||||
| AWS Config | ||||||
| Amazon Connect | ||||||
| Amazon Connect Cases | ||||||
| Amazon Connect Customer Profiles | ||||||
| Campanhas externas do Amazon Connect | ||||||
| Amazon Connect Voice ID | ||||||
| AWS Console Mobile Application | ||||||
| AWS Faturamento Consolidado da | ||||||
| AWS Catálogo de controle da | ||||||
| AWS Control Tower | ||||||
| AWS Cost and Usage Report | ||||||
| AWS Cost Explorer | ||||||
| Hub de Otimização de Custos da AWS | ||||||
| AWS Serviço de verificação de clientes da | ||||||
| AWS Database Migration Service | ||||||
| Database Query Metadata Service | ||||||
| AWS Data Exchange | ||||||
| Amazon Data Lifecycle Manager | ||||||
| AWS Data Pipeline | ||||||
| AWS DataSync | ||||||
| Amazon DataZone | ||||||
| AWS Deadline Cloud | ||||||
| AWS DeepComposer | ||||||
| AWS DeepRacer | ||||||
| Amazon Detective | ||||||
| AWS Device Farm | ||||||
| Amazon DevOps Guru | ||||||
| AWS Ferramentas de diagnóstico | ||||||
| AWS Direct Connect | ||||||
| AWS Directory Service | ||||||
| AWS Dados do Directory Service | ||||||
| Amazon DocumentDB Elastic Clusters | ||||||
| Amazon DynamoDB Accelerator (DAX) | ||||||
| Amazon DynamoDB | ||||||
| Amazon Elastic Compute Cloud (Amazon EC2) | ||||||
| Amazon EC2 Auto Scaling | ||||||
| EC2 Image Builder | ||||||
| Amazon EC2 Instance Connect | ||||||
| AWS Elastic Beanstalk | ||||||
| Amazon Elastic Block Store (Amazon EBS) | ||||||
| Amazon Elastic Container Registry (Amazon ECR) | ||||||
| Amazon Elastic Container Registry Público (Amazon ECR Público) | ||||||
| Amazon Elastic Container Service (Amazon ECS) | ||||||
| AWS Elastic Disaster Recovery | ||||||
| Amazon Elastic File System (Amazon EFS) | ||||||
| Amazon Elastic Kubernetes Service (Amazon EKS) | ||||||
| Amazon Elastic Kubernetes Service (Amazon EKS) Auth | ||||||
| AWS Elastic Load Balancing | ||||||
| Amazon Elastic Transcoder | ||||||
| Amazon Elastic VMware Service | ||||||
| Amazon ElastiCache | ||||||
| AWS Elemental Appliances and Software Activation Service | ||||||
| AWS Dispositivos e software do Elemental | ||||||
| AWS Elemental MediaConnect | ||||||
| AWS Elemental MediaConvert | ||||||
| AWS Elemental MediaLive | ||||||
| AWS Elemental MediaPackage | ||||||
| AWS Elemental MediaPackage V2 | ||||||
| AWS Elemental MediaPackage VOD do | ||||||
| AWS Elemental MediaStore | ||||||
| AWS Elemental MediaTailor | ||||||
| AWS Elemental Support Cases | ||||||
| AWS Elemental Support Content | ||||||
| Amazon EMR | ||||||
| Amazon EMR no EKS | ||||||
| Amazon EMR Serverless | ||||||
| AWS End User Messaging SMS e Voice V2 | ||||||
| AWS End User Messaging Social | ||||||
| AWS Entity Resolution | ||||||
| Amazon EventBridge | ||||||
| Amazon EventBridge Pipes | ||||||
| Agendador do Amazon EventBridge | ||||||
| Esquemas do Amazon EventBridge | ||||||
| AWS Fault Injection Service | ||||||
| Amazon FinSpace | ||||||
| Amazon FinSpace API do | ||||||
| AWS Firewall Manager | ||||||
| Fleet Hub for AWS IoT Device Management | ||||||
| Amazon Forecast | ||||||
| Amazon Fraud Detector | ||||||
| FreeRTOS | ||||||
| AWS Nível gratuito da | ||||||
| Amazon FSx | ||||||
| Amazon GameLift Servers | ||||||
| Amazon GameLift Streams | ||||||
| AWS Global Accelerator | ||||||
| AWS Glue | ||||||
| AWS Glue DataBrew | ||||||
| AWS Ground Station | ||||||
| Amazon Ground Truth Labeling | ||||||
| Amazon GuardDuty | ||||||
| AWS Health APIs e notificações do | ||||||
| AWS HealthImaging | ||||||
| AWS HealthLake | ||||||
| AWS HealthOmics | ||||||
| AWS IAM Identity Center | ||||||
| IAM Identity Center Directory | ||||||
| IAM Identity Center Identity Store | ||||||
| Serviço OIDC do IAM Identity Center | ||||||
| AWS Identity and Access Management (IAM) | ||||||
| AWS Identity and Access Management and Access Analyzer | ||||||
| AWS Identity and Access Management Roles Anywhere | ||||||
| AWS Identity Store Auth | ||||||
| AWS Identity Sync | ||||||
| AWS Import/Export | ||||||
| Amazon Inspector | ||||||
| Amazon Inspector Classic | ||||||
| Amazon InspectorScan | ||||||
| Amazon Interactive Video Service | ||||||
| Amazon Interactive Video Service Chat | ||||||
| Faturamento da AWS | ||||||
| AWS IoT Analytics | ||||||
| AWS IoT | ||||||
| AWS IoT Core Device Advisor | ||||||
| AWS IoT Device Tester | ||||||
| AWS IoT Events | ||||||
| AWS IoT FleetWise | ||||||
| AWS IoT Greengrass | ||||||
| AWS IoT Greengrass V2 | ||||||
| AWS IoT Jobs DataPlane | ||||||
| AWS IoT Serviço de integrações gerenciadas do | ||||||
| AWS IoT SiteWise | ||||||
| AWS IoT TwinMaker | ||||||
| AWS IoT Wireless | ||||||
| AWS IQ | ||||||
| AWS IQ Permissions | ||||||
| Amazon Kendra | ||||||
| Amazon Kendra Intelligent Ranking | ||||||
| AWS Key Management Service (AWS KMS) | ||||||
| Amazon Keyspaces (for Apache Cassandra) | ||||||
| Amazon Managed Service for Apache Flink | ||||||
| Amazon Managed Service for Apache Flink V2 | ||||||
| Amazon Data Firehose | ||||||
| Amazon Kinesis Data Streams | ||||||
| Amazon Kinesis Video Streams | ||||||
| AWS Lake Formation | ||||||
| AWS Lambda | ||||||
| AWS Launch Wizard | ||||||
| Amazon Lex | ||||||
| Amazon Lex V2 | ||||||
| AWS License Manager | ||||||
| AWS License Manager Linux Subscriptions Manager | ||||||
| AWS License Manager Assinaturas de usuário | ||||||
|
Amazon Lightsail |
||||||
| Amazon Location Service | ||||||
| Mapas do Amazon Location Service | ||||||
| Locais do Amazon Location Service | ||||||
| Rotas do Amazon Location Service | ||||||
| Amazon Lookout for Equipment | ||||||
| Amazon Lookout for Metrics | ||||||
| Amazon Lookout for Vision | ||||||
| Amazon Machine Learning | ||||||
| Amazon Macie | ||||||
| AWS Mainframe Modernization | ||||||
| AWS Mainframe Modernization Teste de aplicação | ||||||
| Amazon Managed Blockchain | ||||||
| Consulta ao Amazon Managed Blockchain | ||||||
| Amazon Managed Grafana | ||||||
| Amazon Managed Service for Prometheus | ||||||
| Amazon Managed Streaming for Apache Kafka (MSK) | ||||||
| Amazon Managed Streaming for Kafka Connect | ||||||
| Amazon Managed Workflows for Apache Airflow | ||||||
| AWS Marketplace | ||||||
| AWS Marketplace Catálogo do | ||||||
| AWS Marketplace Commerce Analytics | ||||||
| AWS Marketplace Serviço de implantação do | ||||||
| AWS Marketplace Descoberta do | ||||||
| AWS Marketplace Entitlement Service | ||||||
| AWS Marketplace Image Building Service | ||||||
| Portal de gerenciamento do AWS Marketplace | ||||||
| AWS Marketplace Metering Service | ||||||
| AWS Marketplace Private Marketplace | ||||||
| AWS Marketplace Procurement Systems Integration | ||||||
| AWS Marketplace Relatórios do | ||||||
| AWS Marketplace Relatórios do vendedor do | ||||||
| AWS Marketplace Vendor Insights | ||||||
| Amazon Mechanical Turk | ||||||
| Amazon MediaImport | ||||||
| Amazon MemoryDB | ||||||
| Serviço de entrega de mensagens da Amazon | ||||||
| Serviço Amazon Message Gateway | ||||||
| AWS Microservice Extractor for .NET | ||||||
| AWS Créditos do Programa para Aceleração da Migração para a | ||||||
| AWS Migration Hub | ||||||
| AWS Migration Hub Orchestrator | ||||||
| AWS Migration Hub Refactor Spaces | ||||||
| AWS Migration Hub Strategy Recommendations | ||||||
| Amazon Monitron | ||||||
| Amazon MQ | ||||||
| Amazon Neptune | ||||||
| Aprovação de várias partes | ||||||
| Amazon Neptune Analytics | ||||||
| AWS Network Firewall | ||||||
| Monitor de fluxo de rede | ||||||
| AWS Network Manager | ||||||
| AWS Network Manager Chat | ||||||
| Amazon Nimble Studio | ||||||
| Amazon One Enterprise | ||||||
| Amazon OpenSearch | ||||||
| Amazon OpenSearch Ingestion | ||||||
| Amazon OpenSearch Serverless | ||||||
| Amazon OpenSearch Service | ||||||
| Oracle Database@AWS | ||||||
| AWS OpsWorks | ||||||
| AWS OpsWorks Gerenciamento de configuração | ||||||
| AWS Organizations | ||||||
| AWS Outposts | ||||||
| AWS Panorama | ||||||
| AWS Serviço de computação paralela da | ||||||
| AWS Gerenciamento de contas da Central de Parceiros da | ||||||
| AWS Vendas da Central de Parceiros da | ||||||
| AWS Payment Cryptography | ||||||
| AWS Payments | ||||||
| AWS Performance Insights | ||||||
| Amazon Personalize | ||||||
| Amazon Pinpoint | ||||||
| Serviço de e-mail do Amazon Pinpoint | ||||||
| SMS e serviço de voz do Amazon Pinpoint | ||||||
| Amazon Polly | ||||||
| AWS Price List | ||||||
| AWS G privado | ||||||
| AWS Private CA Connector for Active Directory | ||||||
| AWS Private CA Conector para SCEP da | ||||||
| AWS Private Certificate Authority (AWS Private CA) | ||||||
| AWS PrivateLink | ||||||
| AWS Proton | ||||||
| AWS Purchase Orders Console | ||||||
| Amazon Q Business | ||||||
| Aplicações do Amazon Q Business Q | ||||||
| Amazon Q Developer | ||||||
| Amazon Q in Connect | ||||||
| Amazon Quantum Ledger Database (Amazon QLDB) | ||||||
| Amazon QuickSight | ||||||
| API Data do Amazon RDS | ||||||
| Autenticação do IAM do Amazon RDS | ||||||
| AWS Lixeira da | ||||||
| Amazon Redshift | ||||||
| API de dados do Amazon Redshift | ||||||
| Amazon Redshift Serverless | ||||||
| Amazon Rekognition | ||||||
| Amazon Relational Database Service (Amazon RDS) (Informações) | ||||||
| AWS re:Post Privado | ||||||
| AWS Resilience Hub | ||||||
| AWS Resource Access Manager (AWS RAM) | ||||||
| Explorador de recursos da AWS | ||||||
| AWS Resource Groups | ||||||
| AWS Resource Groups Tagging API | ||||||
| Amazon RHEL Knowledgebase Portal | ||||||
| AWS RoboMaker | ||||||
| Amazon Route 53 | ||||||
| Domínios do Amazon Route | ||||||
| Perfis do Amazon Route | ||||||
| Amazon Route 53 Recovery Cluster | ||||||
| Amazon Route 53 Recovery Control Config | ||||||
| Amazon Route 53 Recovery Readiness | ||||||
| Amazon Route 53 Resolver | ||||||
| Amazon S3 Express | ||||||
| Amazon Glacier | ||||||
| Tabelas do Amazon S | ||||||
| Vetores do Amazon S | ||||||
| Amazon SageMaker AI | ||||||
| Assistente de ciência de dados do Amazon SageMaker AI | ||||||
| Recursos geoespaciais do Amazon SageMaker AI | ||||||
| Amazon SageMaker AI com MLflow | ||||||
| AWS Savings Plans | ||||||
| AWS Secrets Manager | ||||||
| AWS Security Hub | ||||||
| AWS Resposta a Incidentes de Segurança da | ||||||
| Amazon Security Lake | ||||||
| AWS Security Token Service (AWS STS) | ||||||
| AWS Serverless Application Repository | ||||||
| AWS Service Catalog | ||||||
| Serviço da AWS para gerenciar os recursos de experiência do usuário do Console da AWS | ||||||
| Service Quotas do | ||||||
| AWS Shield | ||||||
| AWS Shield Administrador de segurança da rede do | ||||||
| AWS Signer | ||||||
| AWS Acessar a | ||||||
| Amazon SimpleDB | ||||||
| Amazon Simple Email Service ‐ Mail Manager | ||||||
| Amazon Simple Email Service (Amazon SES) v2 | ||||||
| Amazon Simple Notification Service (Amazon SNS) | ||||||
| Amazon Simple Queue Service (Amazon SQS) | ||||||
| Amazon Simple Storage Service (Amazon S3) | ||||||
| Objeto Lambda do Amazon Simple Storage Service (Amazon S | ||||||
| Amazon Simple Storage Service (Amazon S3) no AWS Outposts | ||||||
| Amazon Simple Workflow Service (Amazon SWF) | ||||||
| AWS SimSpace Weaver | ||||||
| AWS Site-to-Site VPN | ||||||
| AWS Snowball Edge | ||||||
| AWS Snowball Edge Edge | ||||||
| AWS Snowball Edge Device Management | ||||||
| AWS SQL Workbench | ||||||
| AWS Step Functions | ||||||
| AWS Storage Gateway | ||||||
| Cadeia de Suprimentos AWS | ||||||
| AWS Support | ||||||
| AWS Support App in Slack | ||||||
| AWS Support Console do | ||||||
| AWS Support Planos | ||||||
| AWS Sustainability | ||||||
| AWS Systems Manager | ||||||
| AWS Systems Manager para SAP | ||||||
| AWS Systems Manager GUI Connect | ||||||
| AWS Systems Manager Incident Manager | ||||||
| AWS Systems Manager Incident Manager Contatos do | ||||||
| AWS Systems Manager Configuração Rápida da | ||||||
| Tag Editor | ||||||
| AWS Tax Settings | ||||||
| AWS Telco Network Builder | ||||||
| Amazon Textract | ||||||
| Amazon Timestream | ||||||
| Amazon Timestream Influxdb | ||||||
| AWS API do Tiros (para o Reachability Analyzer) | ||||||
| Amazon Transcribe | ||||||
| AWS Transfer Family | ||||||
| AWS Transformação da | ||||||
| Amazon Translate | ||||||
| AWS Trusted Advisor | ||||||
| AWS Notificações ao usuário da | ||||||
| AWS Contatos de notificações de usuários da | ||||||
| AWS Assinaturas de usuário | ||||||
| Acesso Verificado pela AWS | ||||||
| Amazon Verified Permissions | ||||||
| Amazon Virtual Private Cloud (Amazon VPC) | ||||||
| Amazon VPC Lattice | ||||||
| Serviços do Amazon VPC Lattice | ||||||
| AWS WAF | ||||||
| AWS WAF Classic | ||||||
| AWS WAF Regional | ||||||
| AWS Well-Architected Tool | ||||||
| AWS Wickr | ||||||
| Amazon WorkMail | ||||||
| Amazon WorkMail Message Flow | ||||||
| Amazon WorkSpaces | ||||||
| AWS Instâncias gerenciadas pelo WorkSpaces | ||||||
| Amazon WorkSpaces Secure Browser | ||||||
| Amazon WorkSpaces Thin Client | ||||||
| AWS X-Ray |
Mais informações
AWS CloudTrail
O CloudTrail é compatível com políticas baseadas em recursos em canais, painéis e armazenamentos de dados de eventos do CloudTrail Lake usados para integrações com fontes de eventos fora da AWS.
Amazon CloudWatch
Os perfis vinculados ao serviço do CloudWatch não podem ser criados usando o AWS Management Console e só oferecem suporte ao atributo Ações de alarme.
AWS CodeBuild
O CodeBuild é compatível com o compartilhamento de recursos entre contas usando o AWS RAM.
O CodeBuild é compatível com ABAC para ações baseadas em projetos.
AWS Config
O AWS Config é compatível com permissões em nível de recurso para agregação de dados de várias contas e várias regiões e regras do AWS Config. Para obter uma lista de recursos com suporte, consulte a seção Multi-Account Multi-Region Data Aggregation e a seção AWS Config Rules do Guia de APIs do AWS Config.
AWS Database Migration Service
É possível criar e modificar políticas que são anexadas às chaves de criptografia do AWS KMS criadas para criptografar dados migrados para endpoints de destino compatíveis. Os endpoints de destino compatíveis incluem o Amazon Redshift e o Amazon S3. Para obter mais informações, consulte Criar e usar chaves do AWS KMS para criptografar dados de destino do Amazon Redshift e Criar chaves do AWS KMS para criptografar objetos de destino do Amazon S3 no Guia do usuário do AWS Database Migration Service.
Amazon Elastic Compute Cloud
Os perfis vinculados ao serviço do Amazon EC2 só podem ser usados para os seguintes atributos: solicitações de instância spot, solicitações de frota spot, frotas do Amazon EC2 e inicialização rápida de instâncias do Windows.
Amazon Elastic Container Service
Somente algumas ações do Amazon ECS são compatíveis com permissões no nível do recurso.
AWS Elemental MediaPackage
O MediaPackage é compatível com perfis vinculados a serviço para publicar logs de acesso do cliente no CloudWatch, mas não para outras ações de API.
AWS Identity and Access Management
O IAM é compatível com apenas um tipo de política baseada em recurso, chamada política de confiança de um perfil, que é anexado a um perfil do IAM. Para obter mais informações, consulte Conceder permissões a um usuário para alternar perfis.
O IAM é compatível com controle de acesso baseado em etiquetas para a maioria dos recursos do IAM. Para obter mais informações, consulte Tags para recursos do AWS Identity and Access Management.
Somente algumas das ações de API do IAM podem ser chamadas com credenciais temporárias. Para obter mais informações, consulte Comparação de suas opções de API.
AWS IoT
Dispositivos conectados ao AWS IoT são autenticados usando certificados X.509 ou identidades do Amazon Cognito. É possível anexar políticas do AWS IoT a um certificado X.509 ou uma identidade Amazon Cognito para controlar o que o dispositivo está autorizado a fazer. Para obter mais informações, consulte Segurança e identidade da AWS IoT no Guia do desenvolvedor da AWS IoT.
AWS Lambda
O Lambda é compatível com o controle de acesso por atributo (ABAC) para funções, mapeamentos de origem de eventos e configurações de assinatura de código. Não há suporte a camadas. Para obter mais informações, consulte Usar controle de acesso baseado em atributos no Lambda.
O Lambda não tem perfis vinculados a serviços, mas o Lambda@Edge tem. Para obter mais informações, consulte Perfis vinculados ao serviço para o Lambda@Edge no Guia do desenvolvedor do Amazon CloudFront.
Amazon Lightsail
LightsailO é parcialmente compatível com permissões no nível do recurso e com ABAC. Para obter mais informações, consulte Ações, recursos e chaves de condição do Amazon Lightsail.
Amazon Managed Streaming for Apache Kafka (MSK)
É possível anexar uma política de cluster a um cluster do Amazon MSK que tenha sido configurado para conectividade com várias VPCs.
Aprovação de várias partes
Para fontes de identidade e equipes de aprovação de várias partes, você pode usar as três chaves de condição ABAC: aws:ResourceTag/, key-nameaws:RequestTag/ e key-nameaws:TagKeys.
Para sessões, você somente pode usar a chave de condição aws:ResourceTag/ porque:key-name
-
Sessões não são recursos diretamente marcáveis.
-
As sessões herdam as tags da equipe de aprovação a elas associada.
AWS Network Manager
O AWS Cloud WAN também é compatível com perfis vinculados a serviço. Para obter mais informações, consulte AWS Cloud WAN service-linked roles no Guia do AWS Cloud WAN para Amazon VPC.
Amazon Redshift sem servidor
O Redshift Serverless é compatível com políticas baseadas em recursos para compartilhar snapshots.
Amazon Relational Database Service
O Amazon Aurora é um mecanismo de banco de dados relacional gerenciado compatível com o MySQL e o PostgreSQL. É possível escolher o Aurora MySQL ou o Aurora PostgreSQL como opção de mecanismo de banco de dados durante a configuração de novos servidores de banco de dados por meio do Amazon RDS. Para obter mais informações, consulte Gerenciamento de identidade e acesso no Amazon Aurora no Guia do usuário do Amazon Aurora.
Amazon Rekognition
As políticas baseadas em recursos só são permitidas para copiar modelos de Amazon Rekognition Custom Labels.
AWS Resource Groups
Os usuários podem assumir um perfil com uma política que permita operações de grupos de recurso.
Amazon SageMaker AI
Os perfis vinculados ao serviço estão atualmente disponíveis para trabalhos de treinamento do SageMaker AI Studio e do SageMaker AI.
AWS Security Token Service
O AWS STS não tem “recursos”, mas permite a restrição de acesso de maneira semelhante aos usuários. Para obter mais informações, consulte Negação de acesso a credenciais de segurança temporárias por nome.
Somente algumas das operações da API para o AWS STS oferecem suporte a chamadas com credenciais temporárias. Para obter mais informações, consulte Comparação de suas opções de API.
Amazon Simple Email Service
Você só pode usar permissões no nível de recurso em instruções de política que se referem a ações relacionadas ao envio de e-mail, como ses:SendEmail ou ses:SendRawEmail. Para declarações de política que se referem a todas as outras ações, o elemento Resource só pode conter *.
Apenas a API do Amazon SES é compatível com credenciais de segurança temporárias. A interface SMTP do Amazon SES não é compatível com credenciais do SMTP derivadas de credenciais de segurança temporárias.
Amazon Simple Storage Service
O Amazon S3 é compatível com autorização baseada em tag para buckets de diretório, recursos de objeto, Lente de Armazenamento do Amazon S3, grupos da Lente de Armazenamento e pontos de acesso.
O Amazon S3 é compatível com perfis vinculados a serviço da Lente de Armazenamento do Amazon S3.
AWS Trusted Advisor
O acesso da API ao Trusted Advisor é feito por meio da API do Suporte e é controlado por políticas do IAM do Suporte.
Amazon Virtual Private Cloud
A Amazon VPC permite anexar uma única política de recursos a um endpoint da VPC para restringir o que pode ser acessado por meio desse endpoint. Para obter mais informações sobre o uso de políticas baseadas em recursos para controlar o acesso a recursos a partir de endpoints específicos da Amazon VPC, consulte Controlar o acesso a serviços usando políticas de endpoint no Guia do AWS PrivateLink.
AWS X-Ray
O X-Ray não é compatível com permissões no nível de recurso para todas as ações.
O X-Ray é compatível com o acesso baseado em etiquetas para grupos e regras de amostragem.
