Sintaxe de RCP - AWS Organizations
Resumo de elementosElemento VersionElemento StatementElemento ID da instrução (Sid)Elemento EffectElemento PrincipalElemento ActionElementos Resource e NotResourceElemento ConditionElementos sem suporte

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sintaxe de RCP

As políticas de controle de recursos (RCPs) usam uma sintaxe semelhante à usada pelas políticas baseadas em recursos. Para obter mais informações sobre as políticas do IAM e sua sintaxe, consulte Visão geral das políticas do IAM no Guia do usuário do IAM.

Uma RCP é estruturada de acordo com as regras do JSON. Ela usa os elementos que são descritos neste tópico.

nota

Todos os caracteres em sua conta de RCP contam em relação ao seu tamanho máximo. Os exemplos deste guia mostram o RCPs formato com espaço em branco extra para melhorar sua legibilidade. No entanto, para economizar espaço quando o tamanho da política se aproximar do tamanho máximo, é possível excluir todos os espaços em branco, como caracteres de espaço e quebras de linhas, que estiverem fora das aspas.

Para obter informações gerais sobre RCPs, consultePolíticas de controle de recursos (RCPs).

Resumo de elementos

A tabela a seguir resume os elementos de política que você pode usar em RCPs.

nota

O efeito de Allow só é compatível com a política RCPFullAWSAccess

O efeito de Allow só é compatível com a política RCPFullAWSAccess. Essa política é anexada automaticamente à raiz da organização, a cada UO e a cada conta da sua organização, quando você ativa as políticas de controle de recursos (RCPs). Você não pode desanexar essa política. Esse RCP padrão permite que o acesso de todos os diretores e ações passe pela avaliação do RCP, ou seja, até você começar a criar e anexar RCPs, todas as suas permissões existentes do IAM continuarão funcionando da mesma forma. Isso não concede acesso.

Elemento Finalidade
Versão Especifica as regras da sintaxe da linguagem a serem usadas para processar a política.
Instrução Serve como o contêiner para elementos de políticas. Você pode incluir várias declarações em RCPs.
ID da instrução (Sid) (Opcional) Fornece um nome amigável para a instrução.
Efeito Define se a instrução RCP nega acesso aos recursos em uma conta.
Principal Especifica a entidade principal que tem acesso permitido ou negado a um recurso em uma conta.

Ação

Especifica o AWS serviço e as ações que o RCP permite ou nega.
Recurso Especifica os AWS recursos aos quais o RCP se aplica.
NotResource

Especifica os AWS recursos que estão isentos do RCP. Usado em vez do elemento Resource.
Condição Especifica as condições em que a instrução está em vigor.

Elemento Version

Cada RCP deve incluir um elemento Version com o valor "2012-10-17". Este é o mesmo valor da versão mais recente das políticas de permissão do IAM.

Para obter mais informações, consulte Elementos de política JSON do IAM: versão no Guia do usuário do IAM.

Elemento Statement

Uma RCP consiste em um ou mais elementos Statement. Você pode ter apenas uma palavra-chave Statement em uma política, mas o valor pode ser uma matriz JSON de instruções (entre os caracteres []).

O exemplo a seguir mostra uma única instrução que consiste em elementos Effect, Principal, Action e Resource únicos.

 {
    "Statement": {
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}

Para obter mais informações, consulte Elementos de política JSON do IAM: instrução no Guia do usuário do IAM.

Elemento ID da instrução (Sid)

O Sid é um identificador opcional que você fornece para a instrução da política. Você pode atribuir um valor Sid a cada instrução em uma matriz de instruções. A seguinte RCP de exemplo mostra uma instrução Sid. 

{
    "Statement": {
        "Sid": "DenyBPAConfigurations",
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}

Para obter mais informações, consulte Elementos de política JSON do IAM: Sid no Guia do usuário do IAM.

Elemento Effect

Cada instrução deve conter um elemento Effect. Usando o valor de Deny no Effect elemento, você pode restringir o acesso a recursos específicos ou definir condições para quando RCPs estão em vigor. Para RCPs que você crie, o valor deve serDeny. Para obter mais informações, consulte Avaliação da RCP e Elementos da política de JSON do IAM: efeito no Guia do usuário do IAM.

Elemento Principal

Cada instrução deve conter o elemento Principal. Você só pode especificar “*” no elemento Principal de uma RCP. Use o elemento Conditions para restringir entidades principais específicas.

Para obter mais informações, consulte Elementos de política JSON do IAM: entidade principal no Manual do usuário do IAM.

Elemento Action

Cada instrução deve conter o elemento Action.

O valor do Action elemento é uma string ou lista (uma matriz JSON) de strings que identifica AWS serviços e ações que são permitidos ou negados pela instrução.

Cada string consiste na abreviação do serviço (como “s3”, “sqs” ou “sts”), tudo em letras minúsculas, seguida por um ponto e vírgula e uma ação desse serviço. Em geral, todas elas são inseridas com cada palavra começando com uma letra maiúscula e o restante em minúsculas. Por exemplo: "s3:ListAllMyBuckets".

Você também pode usar caracteres curinga, como asterisco (*) ou ponto de interrogação (?) em uma RCP:

  • Você também pode usar um asterisco como um curinga para corresponder a várias ações que compartilham parte de um nome. O valor "s3:*" significa todas as ações no serviço Amazon S3. O valor "sts:Get*" corresponde somente às AWS STS ações que começam com “Obter”.

  • Use o curinga ponto de interrogação (?) para corresponder a um único caractere.

nota

Caracteres curinga (*) e pontos de interrogação (?) podem ser usados ​​em qualquer lugar no nome da ação

Não é possível usar “*” no elemento Ação de uma RCP gerenciada pelo cliente, e é necessário especificar a abreviação do serviço (como “s3”, “sqs” ou “sts”) ao qual você deseja restringir o acesso.

Para obter uma lista dos serviços que oferecem suporte RCPs, consulteLista Serviços da AWS desse suporte RCPs. Para obter uma lista das ações e dos AWS service (Serviço da AWS) suportes, consulte Ações, recursos e chaves de condição para AWS serviços na Referência de autorização de serviços.

Para obter mais informações, consulte Elementos da política JSON do IAM: ação no Manual do usuário do IAM.

Elementos Resource e NotResource

Cada instrução deve conter o elemento Resource ou NotResource.

Você pode usar caracteres curinga, como asterisco (*) ou ponto de interrogação (?) no elemento de recurso:

  • Use um asterisco (*) como caractere curinga para corresponder a vários recursos que compartilham parte de um nome.

  • Use o curinga ponto de interrogação (?) para corresponder a um único caractere.

Para obter mais informações, consulte Elementos de política JSON do IAM: recurso e Elementos da política JSON do IAM: NotResource no Guia do usuário do IAM.

Elemento Condition

Você pode especificar um elemento Condition em instruções de negação em uma RCP.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

Essa RCP nega o acesso às operações e aos recursos do Amazon S3, a menos que a solicitação ocorra por meio de transporte seguro (a solicitação foi enviada via TLS).

Para obter mais informações, consulte IAM JSON Policy Elements: Condition (Elementos da política JSON do IAM: Condição) no Guia do usuário do IAM.

Elementos sem suporte

Os seguintes elementos não são compatíveis com RCPs:

  • NotPrincipal

  • NotAction