As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Apêndice: Exemplo de políticas de perfil e função
## Exemplos de políticas para o aplicativo 1
O exemplo de política para o **Perfil 1** permite algumas ações para o **Bucket 1** no Amazon Simple Storage Service (Amazon S3):
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
]
}
]
}
```
O exemplo de política para a **função 1** permite a `DescribeInstances` ação de uma instância do Amazon Elastic Compute Cloud (Amazon EC2) e permite algumas ações **no bucket 1 e no bucket **2** no** Amazon S3:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance/i-01234567890abcdef"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectLegalHold",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
}
]
}
```
A política do **Perfil 1** limita as permissões concedidas pela política da **Função 1**. Ela é aplicada à sessão de função quando a função é assumida IAM Roles Anywhere. Um aplicativo que assume a **função 1** tem acesso somente ao **bucket 1**. Ele não pode acessar o **Bucket 2** nem realizar nenhuma ação do Amazon EC2 porque a política do **Perfil 1** não concede essas permissões.
## Exemplos de políticas para o aplicativo 2
O exemplo de política para o **Perfil 2** permite algumas ações para o **Bucket 2** no Amazon S3:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket2",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
}
]
}
```
O exemplo de política para a **função 2** permite a `DescribeInstances` ação para uma instância do Amazon EC2 e permite algumas ações no **bucket 1 e no bucket** **2** no Amazon S3:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": [
"arn:aws:ec2:us-east-1:567890123456:instance/i-05678901234ghijk"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectLegalHold",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
}
]
}
```
A política do **Perfil 2** limita as permissões concedidas pela **Função 2**. Ela é aplicada à sessão de função quando a função é assumida IAM Roles Anywhere. Um aplicativo que assume a **Função 2** tem acesso somente ao **Bucket 2**. Ele não pode acessar o **Bucket 1** nem realizar ações do Amazon EC2 porque a política do **Profile 2** não concede essas permissões.