As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Apêndice: Exemplo de políticas de perfil e função
Exemplos de políticas para o aplicativo 1
O exemplo de política para o Perfil 1 permite algumas ações para o Bucket 1 no Amazon Simple Storage Service (Amazon S3):
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*" ] } ] }
O exemplo de política para a função 1 permite a DescribeInstances ação de uma instância do Amazon Elastic Compute Cloud (Amazon EC2) e permite algumas ações no bucket 1 e no bucket 2 no Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": [ "arn:aws:ec2:us-east-1:123456789012:instance/i-01234567890abcdef" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectLegalHold", "s3:PutObjectTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
A política do Perfil 1 limita as permissões concedidas pela política da Função 1. Ela é aplicada à sessão de função quando a função é assumida IAM Roles Anywhere. Um aplicativo que assume a função 1 tem acesso somente ao bucket 1. Ele não pode acessar o Bucket 2 nem realizar nenhuma ação do Amazon EC2 porque a política do Perfil 1 não concede essas permissões.
Exemplos de políticas para o aplicativo 2
O exemplo de política para o Perfil 2 permite algumas ações para o Bucket 2 no Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
O exemplo de política para a função 2 permite a DescribeInstances ação para uma instância do Amazon EC2 e permite algumas ações no bucket 1 e no bucket 2 no Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": [ "arn:aws:ec2:us-east-1:567890123456:instance/i-05678901234ghijk" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectLegalHold", "s3:PutObjectTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
A política do Perfil 2 limita as permissões concedidas pela Função 2. Ela é aplicada à sessão de função quando a função é assumida IAM Roles Anywhere. Um aplicativo que assume a Função 2 tem acesso somente ao Bucket 2. Ele não pode acessar o Bucket 1 nem realizar ações do Amazon EC2 porque a política do Profile 2 não concede essas permissões.
