AWS service (Serviço da AWS) Informações simplificadas para acesso programático - Referência de autorização do serviço
Definições de campo adicionais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS service (Serviço da AWS) Informações simplificadas para acesso programático

AWS fornece informações de referência de serviços no formato JSON para agilizar a automação dos fluxos de trabalho de gerenciamento de políticas. Com as informações de referência do serviço, você pode acessar as ações, os recursos e as chaves Serviços da AWS de condição disponíveis em arquivos legíveis por máquina. Os administradores de segurança podem estabelecer barreiras e os desenvolvedores podem garantir o acesso adequado aos aplicativos identificando as ações, os recursos e as chaves de condição disponíveis para cada um. AWS service (Serviço da AWS) AWS fornece informações de referência do serviço Serviços da AWS para permitir que você incorpore os metadados em seus fluxos de trabalho de gerenciamento de políticas.

Para obter um inventário de ações, recursos e chaves de condição para uso nas políticas do IAM, consulte a página de referência de autorização de serviço para AWS service (Serviço da AWS) o.

Ações, recursos e chaves de condição para serviços que compartilham um prefixo de serviço podem ser divididos em várias páginas na Referência de Autorização de Serviço.

O conteúdo apresentado na Referência de Autorização de Serviço pode ser apresentado de forma diferente ou conter metadados diferentes. Para obter mais informações, consulte Definições de campo adicionais.

nota

As alterações nas informações de referência do serviço podem levar até 24 horas para serem refletidas na lista de metadados do serviço.

Acessando informações AWS service (Serviço da AWS) de referência

  1. Navegue até as informações de referência do serviço para acessar a lista Serviços da AWS para as quais as informações de referência estão disponíveis.

    O exemplo a seguir mostra uma lista parcial de serviços e URLs suas respectivas informações de referência:

    [ 
    { 
        "service": "s3", 
        "url": "https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json" 
    }, 
    { 
        "service": "dynamodb", 
        "url": "https://servicereference.us-east-1.amazonaws.com/v1/dynamodb/dynamodb.json" 
    }, 
    …
]

  2. Escolha um serviço e navegue até a página de informações do serviço no url campo do serviço para ver uma lista de ações, recursos e chaves de condição do serviço.

    O exemplo a seguir mostra uma lista parcial de informações de referência de serviços para o Amazon S3:

    {
    "Name": "s3",
    "Actions": [
        {
            "Name": "GetObject",
            "ActionConditionKeys": [
                "s3:AccessGrantsInstanceArn",
                "s3:AccessPointNetworkOrigin",
                "s3:DataAccessPointAccount",
                "s3:DataAccessPointArn",
                "s3:ExistingObjectTag/key",
                "s3:ResourceAccount",
                "s3:TlsVersion",
                "s3:authType",
                "s3:if-match",
                "s3:if-none-match",
                "s3:signatureAge",
                "s3:signatureversion",
                "s3:x-amz-content-sha256"
            ],
            "Annotations" : {
                "Properties" : {
                    "IsList" : false,
                    "IsPermissionManagement" : false,
                    "IsTaggingOnly" : false,
                    "IsWrite" : false
                }
            },
            "Resources": [
                {
                    "Name": "object"
                }
            ]
        },
        {
            "Name": "ListBucket",
            "ActionConditionKeys": [
                "s3:AccessGrantsInstanceArn",
                "s3:AccessPointNetworkOrigin",
                "s3:DataAccessPointAccount",
                "s3:DataAccessPointArn",
                "s3:ResourceAccount",
                "s3:TlsVersion",
                "s3:authType",
                "s3:delimiter",
                "s3:max-keys",
                "s3:prefix",
                "s3:signatureAge",
                "s3:signatureversion",
                "s3:x-amz-content-sha256"
            ],
            "Annotations" : {
                "Properties" : {
                    "IsList" : true,
                    "IsPermissionManagement" : false,
                    "IsTaggingOnly" : false,
                    "IsWrite" : false
                }
            },
            "Resources": [
                {
                    "Name": "bucket"
                }
            ]
        },
        ...
    ],
    "ConditionKeys": [
        {
            "Name": "s3:TlsVersion",
            "Types": [
                "Numeric"
            ]
        },
        {
            "Name": "s3:authType",
            "Types": [
                "String"
            ]
        },
        ...
    ],
    "Resources": [
        {
            "Name": "accesspoint",
            "ARNFormats": [
                "arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}"
            ]
        },
        {
            "Name": "bucket",
            "ARNFormats": [
                "arn:${Partition}:s3:::${BucketName}"
            ]
        }
        ...
    ],
    "Version": "v1.2"
}

  3. Baixe o arquivo JSON do URL do serviço para usar em seus fluxos de trabalho de criação de políticas.

Definições de campo adicionais

As propriedades da ação fornecem metadados adicionais sobre as ações de serviço para ajudar a categorizá-las com base no escopo da permissão. Essas propriedades são encontradas no Annotations campo de cada ação. Os metadados consistem em quatro valores booleanos:

  • IsList— Fornece permissões para descobrir e listar recursos, incluindo metadados básicos, sem acessar o conteúdo dos recursos.

    Exemplo — Essa propriedade é true para a ListBucket ação do Amazon S3, permitindo que os usuários visualizem listas de buckets sem acessar os próprios objetos.

  • IsPermissionManagement— Fornece permissões para modificar as permissões do IAM ou as credenciais de acesso.

    Exemplo — Essa propriedade é true para a maioria das AWS Organizations ações e do IAM, bem como para ações do Amazon S3, como e. PutBucketPolicy DeleteBucketPolicy

  • IsTaggingOnly— Fornece permissões somente para modificar tags.

    Exemplo — Essa propriedade é true para ações do IAM TagRole eUntagRole, embora seja false para, ela CreateRole fornece permissões mais amplas além da marcação.

  • IsWrite— Fornece permissões para modificar recursos, o que pode incluir modificações de tags.

    Exemplo — Essa propriedade é true para ações do Amazon S3 e CreateBucketDeleteBucket, PutObject pois elas permitem a modificação de recursos.

nota

Essas propriedades não são mutuamente exclusivas. Uma ação pode ter várias propriedades definidas comotrue.

Também é possível que todas as propriedades sejamfalse, como visto com a ação do GetObject Amazon S3. Isso indica que a ação só concede permissões de leitura em um objeto.

Essas propriedades podem ser usadas para gerar insights sobre serviços. O exemplo a seguir mostra quais permissões com o s3 prefixo permitem a mutação de recursos:

> curl https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json | \
    jq '.Actions[] | select(.Annotations.Properties.IsWrite == true) | .Name'

"AssociateAccessGrantsIdentityCenter"
"BypassGovernanceRetention"
"CreateAccessGrant"
"CreateAccessGrantsInstance"
"CreateAccessGrantsLocation"
...

O exemplo a seguir mostra quais chaves de condição de ação com o lambda prefixo você pode usar para limitar o acesso às ações de gerenciamento de permissões:

> curl https://servicereference.us-east-1.amazonaws.com/v1/lambda/lambda.json | \
    jq '.Actions[] | select(.Annotations.Properties.IsPermissionManagement == true) | {Name: .Name, ActionConditionKeys: (.ActionConditionKeys // [])}'
 
{
   "Name": "AddLayerVersionPermission",
    "ActionConditionKeys": []
}
{
    "Name": "AddPermission",
    "ActionConditionKeys": [
        "lambda:FunctionUrlAuthType",
        "lambda:Principal"
    ]
}
{
    "Name": "DisableReplication",
    "ActionConditionKeys": []
}
{
    "Name": "EnableReplication",
    "ActionConditionKeys": []
}
{
    "Name": "RemoveLayerVersionPermission",
    "ActionConditionKeys": []
}
{
    "Name": "RemovePermission",
    "ActionConditionKeys": [
        "lambda:FunctionUrlAuthType",
        "lambda:Principal"
    ]
}