As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS service (Serviço da AWS) Informações simplificadas para acesso programático
AWS fornece informações de referência de serviços no formato JSON para agilizar a automação dos fluxos de trabalho de gerenciamento de políticas. Com as informações de referência do serviço, você pode acessar as ações, os recursos e as chaves Serviços da AWS de condição disponíveis em arquivos legíveis por máquina. Os administradores de segurança podem estabelecer barreiras e os desenvolvedores podem garantir o acesso adequado aos aplicativos identificando as ações, os recursos e as chaves de condição disponíveis para cada um. AWS service (Serviço da AWS) AWS fornece informações de referência do serviço Serviços da AWS para permitir que você incorpore os metadados em seus fluxos de trabalho de gerenciamento de políticas.
Para obter um inventário de ações, recursos e chaves de condição para uso nas políticas do IAM, consulte a página de referência de autorização de serviço para AWS service (Serviço da AWS) o.
Ações, recursos e chaves de condição para serviços que compartilham um prefixo de serviço podem ser divididos em várias páginas na Referência de Autorização de Serviço.
O conteúdo apresentado na Referência de Autorização de Serviço pode ser apresentado de forma diferente ou conter metadados diferentes. Para obter mais informações, consulte Definições de campo adicionais.
nota
As alterações nas informações de referência do serviço podem levar até 24 horas para serem refletidas na lista de metadados do serviço.
Acessando informações AWS service (Serviço da AWS) de referência
-
Navegue até as informações de referência do serviço
para acessar a lista Serviços da AWS para as quais as informações de referência estão disponíveis. O exemplo a seguir mostra uma lista parcial de serviços e URLs suas respectivas informações de referência:
[ { "service": "s3", "url": "https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json" }, { "service": "dynamodb", "url": "https://servicereference.us-east-1.amazonaws.com/v1/dynamodb/dynamodb.json" }, … ]
-
Escolha um serviço e navegue até a página de informações do serviço no
url
campo do serviço para ver uma lista de ações, recursos e chaves de condição do serviço.O exemplo a seguir mostra uma lista parcial de informações de referência de serviços para o Amazon S3:
{ "Name": "s3", "Actions": [ { "Name": "GetObject", "ActionConditionKeys": [ "s3:AccessGrantsInstanceArn", "s3:AccessPointNetworkOrigin", "s3:DataAccessPointAccount", "s3:DataAccessPointArn", "s3:ExistingObjectTag/key", "s3:ResourceAccount", "s3:TlsVersion", "s3:authType", "s3:if-match", "s3:if-none-match", "s3:signatureAge", "s3:signatureversion", "s3:x-amz-content-sha256" ], "Annotations" : { "Properties" : { "IsList" : false, "IsPermissionManagement" : false, "IsTaggingOnly" : false, "IsWrite" : false } }, "Resources": [ { "Name": "object" } ] }, { "Name": "ListBucket", "ActionConditionKeys": [ "s3:AccessGrantsInstanceArn", "s3:AccessPointNetworkOrigin", "s3:DataAccessPointAccount", "s3:DataAccessPointArn", "s3:ResourceAccount", "s3:TlsVersion", "s3:authType", "s3:delimiter", "s3:max-keys", "s3:prefix", "s3:signatureAge", "s3:signatureversion", "s3:x-amz-content-sha256" ], "Annotations" : { "Properties" : { "IsList" : true, "IsPermissionManagement" : false, "IsTaggingOnly" : false, "IsWrite" : false } }, "Resources": [ { "Name": "bucket" } ] }, ... ], "ConditionKeys": [ { "Name": "s3:TlsVersion", "Types": [ "Numeric" ] }, { "Name": "s3:authType", "Types": [ "String" ] }, ... ], "Resources": [ { "Name": "accesspoint", "ARNFormats": [ "arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}" ] }, { "Name": "bucket", "ARNFormats": [ "arn:${Partition}:s3:::${BucketName}" ] } ... ], "Version": "v1.2" }
-
Baixe o arquivo JSON do URL do serviço para usar em seus fluxos de trabalho de criação de políticas.
Definições de campo adicionais
As propriedades da ação fornecem metadados adicionais sobre as ações de serviço para ajudar a categorizá-las com base no escopo da permissão. Essas propriedades são encontradas no Annotations
campo de cada ação. Os metadados consistem em quatro valores booleanos:
-
IsList
— Fornece permissões para descobrir e listar recursos, incluindo metadados básicos, sem acessar o conteúdo dos recursos.Exemplo — Essa propriedade é
true
para aListBucket
ação do Amazon S3, permitindo que os usuários visualizem listas de buckets sem acessar os próprios objetos. -
IsPermissionManagement
— Fornece permissões para modificar as permissões do IAM ou as credenciais de acesso.Exemplo — Essa propriedade é
true
para a maioria das AWS Organizations ações e do IAM, bem como para ações do Amazon S3, como e.PutBucketPolicy
DeleteBucketPolicy
-
IsTaggingOnly
— Fornece permissões somente para modificar tags.Exemplo — Essa propriedade é
true
para ações do IAMTagRole
eUntagRole
, embora sejafalse
para, elaCreateRole
fornece permissões mais amplas além da marcação. -
IsWrite
— Fornece permissões para modificar recursos, o que pode incluir modificações de tags.Exemplo — Essa propriedade é
true
para ações do Amazon S3 eCreateBucket
DeleteBucket
,PutObject
pois elas permitem a modificação de recursos.
nota
Essas propriedades não são mutuamente exclusivas. Uma ação pode ter várias propriedades definidas comotrue
.
Também é possível que todas as propriedades sejamfalse
, como visto com a ação do GetObject
Amazon S3. Isso indica que a ação só concede permissões de leitura em um objeto.
Essas propriedades podem ser usadas para gerar insights sobre serviços. O exemplo a seguir mostra quais permissões com o s3
prefixo permitem a mutação de recursos:
> curl https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json | \ jq '.Actions[] | select(.Annotations.Properties.IsWrite == true) | .Name' "AssociateAccessGrantsIdentityCenter" "BypassGovernanceRetention" "CreateAccessGrant" "CreateAccessGrantsInstance" "CreateAccessGrantsLocation" ...
O exemplo a seguir mostra quais chaves de condição de ação com o lambda
prefixo você pode usar para limitar o acesso às ações de gerenciamento de permissões:
> curl https://servicereference.us-east-1.amazonaws.com/v1/lambda/lambda.json | \ jq '.Actions[] | select(.Annotations.Properties.IsPermissionManagement == true) | {Name: .Name, ActionConditionKeys: (.ActionConditionKeys // [])}' { "Name": "AddLayerVersionPermission", "ActionConditionKeys": [] } { "Name": "AddPermission", "ActionConditionKeys": [ "lambda:FunctionUrlAuthType", "lambda:Principal" ] } { "Name": "DisableReplication", "ActionConditionKeys": [] } { "Name": "EnableReplication", "ActionConditionKeys": [] } { "Name": "RemoveLayerVersionPermission", "ActionConditionKeys": [] } { "Name": "RemovePermission", "ActionConditionKeys": [ "lambda:FunctionUrlAuthType", "lambda:Principal" ] }