Identificar los recursos de AWS con nombres de recursos de Amazon (ARN)
Los nombres de recursos de Amazon (ARN) identifican de forma exclusiva los recursos de AWS. Se requiere un ARN cuando sea preciso especificar un recurso de forma inequívoca para todo AWS, como en las políticas de IAM, las etiquetas de Amazon Relational Database Service (Amazon RDS) y las llamadas a la API.
Formato de ARN
A continuación se muestran los formatos generales para los ARN. Los formatos específicos dependen del recurso. Para utilizar un ARN, reemplace el texto en cursiva
por la información específica del recurso. Tenga en cuenta que los ARN de algunos recursos omiten la región, el ID de la cuenta o ambos.
arn:
partition
:service
:region
:account-id
:resource-id
arn:partition
:service
:region
:account-id
:resource-type
/resource-id
arn:partition
:service
:region
:account-id
:resource-type
:resource-id
partition
-
La partición en la que se encuentra el recurso. Una partición es un grupo de regiones de AWS. Cada cuenta de AWS está limitada a una partición.
Las siguientes son las particiones admitidas:
-
aws
: regiones de AWS -
aws-cn
- Regiones de China -
aws-us-gov
: regiones de AWS GovCloud (US)
-
service
-
El espacio de nombres del servicio que identifica el producto de AWS.
region
-
El código de región. Por ejemplo,
us-east-2
para la región Este de EE. UU. (Ohio). Para obtener la lista de códigos de región, consulte Puntos de conexión regionales en la Referencia general de AWS. account-id
-
El ID de la cuenta de AWS que posee el recurso, sin los guiones. Por ejemplo,
123456789012
. resource-type
-
El tipo de recurso. Por ejemplo,
vpc
para una nube privada virtual (VPC). resource-id
-
El identificador del recurso. Es el nombre del recurso, el identificador del recurso o la ruta del recurso. Algunos identificadores de recurso incluyen un recurso principal (tipo-sub-recurso/recurso-principal/sub-recurso) o un calificador como una versión (tipo-recurso:nombre-recurso:calificador).
Ejemplos
- Usuario de IAM
-
arn:aws:iam::
123456789012
:user/johndoe
- Tema de SNS
-
arn:aws:sns:
us-east-1
:123456789012
:example-sns-topic-name
- VPC
-
arn:aws:ec2:
us-east-1
:123456789012
:vpc/vpc-0e9801d129EXAMPLE
Consulta del formato de ARN para un recurso
El formato exacto de un ARN depende del tipo de servicio y recurso. Algunos ARN de recursos pueden incluir una ruta, una variable o un comodín. Para consultar el formato de ARN para un recurso de AWS específico, abra la Referencia de autorización de servicios, abra la página del servicio y navegue hasta la tabla de tipos de recursos.
Rutas de los ARN
Algunos ARN de recursos pueden incluir una ruta. Por ejemplo, en Amazon S3, el identificador de recursos es un nombre de objeto que puede incluir barras inclinadas (/
) para formar una ruta. Del mismo modo, los nombres de usuario de IAM y nombres de grupo pueden incluir rutas. Solo se permiten caracteres alfanuméricos y los siguientes caracteres en las rutas del IAM: barra inclinada (/
), más (+
), igual (=
), coma (,
), punto final (.
) arroba (@
), guion bajo (_
) y guion (-
).
Uso de caracteres comodines en rutas
Las rutas pueden incluir un carácter comodín, por ejemplo, un asterisco (*
). Por ejemplo, si escribe una política de IAM, puede especificar todos los usuarios de IAM que tienen la ruta product_1234
con un carácter comodín de la siguiente manera:
arn:aws:iam::123456789012:user/Development/product_1234/*
Del mismo modo, puede especificar user/*
para referirse a todos los usuarios o group/*
para referirse a todos los grupos, como en los siguientes ejemplos:
"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"
En el siguiente ejemplo, se muestran los ARN para un bucket de Amazon S3 en los que el nombre de recurso incluye una ruta:
arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my-corporate-bucket/Development/*
Uso incorrecto del comodín
No puede utilizar un comodín en la parte del ARN que especifica el tipo de recurso, como el término user
de un ARN de IAM. Por ejemplo, no se permite lo siguiente.
arn:aws:iam::123456789012:u* <== not allowed