Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Sintaxis de RCP
Las políticas de control de recursos (RCPs) utilizan una sintaxis similar a la que utilizan las políticas basadas en recursos. Para obtener más información sobre IAM las políticas y su sintaxis, consulte Descripción general de IAM las políticas en la Guía del IAMusuario.
An RCP está estructurado de acuerdo con las reglas de JSON
nota
Todos los caracteres de tu lista se RCP calculan en función de su tamaño máximo. Los ejemplos de esta guía muestran los objetos RCPs formateados con espacios en blanco adicionales para mejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de la política se aproxima al tamaño máximo, puede eliminar todos los espacios en blanco, como espacios y saltos de línea, que estén fuera de las comillas.
Para obtener información general acerca de RCPs, consulte Políticas de control de recursos (RCPs).
Resumen de elementos
En la siguiente tabla se resumen los elementos de política que puede utilizar. RCPs En la columna Efectos admitidos se muestra el tipo de efecto que puede utilizar con cada elemento de política. RCPs
nota
El efecto de solo Allow se admite en la RCPFullAWSAccess política
El efecto de solo Allow se admite en la RCPFullAWSAccess política. Esta política se adjunta automáticamente a la raíz de la organización, a todas las unidades organizativas y a todas las cuentas de la organización cuando se activan las políticas de control de recursos (RCPs). No puede separar esta política. Esta configuración predeterminada RCP permite que todos los principales y las acciones accedan a una fase de RCP evaluación, lo que significa que, hasta que empieces a crear y adjuntarRCPs, todos tus IAM permisos actuales seguirán funcionando como antes. Esto no concede el acceso.
| Elemento | Finalidad |
|---|---|
| Versión | Especifica las reglas de sintaxis del lenguaje que se utilizarán para procesar la política. |
| Instrucción | Sirve como contenedor de elementos de política. Puede incluir varios estados de cuentaRCPs. |
| Statement ID (Sid) (ID de instrucción) | (Opcional) Proporciona un nombre fácil de recordar para la instrucción. |
| Effect | Define si la RCP declaración deniega el acceso a los recursos de una cuenta. |
| Entidad principal | Especifica el principal al que se le permite o deniega el acceso a los recursos de una cuenta. |
|
Especifica el AWS servicio y las acciones que RCP permite o deniega. |
|
| Resource | Especifica los AWS recursos a los que RCP se aplica. |
| NotResource |
Especifica los AWS recursos que están exentos delRCP. Se utiliza en lugar del elemento |
| Condición | Especifica las condiciones que determinan cuándo se aplica la instrucción. |
Temas
Elemento Version
Cada uno RCP debe incluir un Version elemento con el valor"2012-10-17". Es el mismo valor de versión que la versión más reciente de las políticas de IAM permisos.
"Version": "2012-10-17",
Para obtener más información, consulte Elementos IAM JSON de política: versión en la Guía del IAM usuario.
Elemento Statement
Una RCP consta de uno o más Statement elementos. Solo puede haber una Statement palabra clave en una política, pero el valor puede ser una JSON matriz de sentencias (rodeadas de [] caracteres).
En el siguiente ejemplo, se muestra una sola sentencia que consta de un solo Resource elemento Effect PrincipalAction,, y.
{ "Statement": { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }
Para obtener más información, consulte Elementos IAM JSON de política: declaración en la Guía del IAM usuario.
Elemento de ID de instrucción (Sid)
El elemento Sid es un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de Sid a cada instrucción de una matriz de instrucciones. En el siguiente ejemplo se RCP muestra un ejemplo de Sid declaración.
{ "Statement": { "Sid": "DenyAllActions", "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }
Para obtener más información, consulte IAMJSONPolicy Elements: Sid en la Guía del IAM usuario.
Elemento Effect
Cada instrucción debe contener un elemento Effect. Si utiliza el valor de Deny en el Effect elemento, puede restringir el acceso a recursos específicos o definir las condiciones para cuando RCPs estén en vigor. Para RCPs que eso se cree, el valor debe serDeny. Para obtener más información, consulte RCPevaluación Elementos IAM JSON de política: efecto en la Guía del IAM usuario.
Elemento Principal
Cada declaración debe contener el Principal elemento. Solo puede especificar «*» en el Principal elemento de unRCP. Usa el Conditions elemento para restringir principios específicos.
Para obtener más información, consulte Elementos IAM JSON de política: principios en la Guía del IAM usuario.
Elemento Action
Cada declaración debe contener el Action elemento.
El valor del Action elemento es una cadena o lista (JSONmatriz) de cadenas que identifica AWS los servicios y las acciones que la sentencia permite o deniega.
Cada cadena se compone de la abreviatura del servicio (como «s3", «sqs» o «sts»), escrita en minúsculas, seguida de dos puntos y, a continuación, de una acción del servicio. Por lo general, todas se escriben con una palabra que comienza con una letra mayúscula y el resto en minúscula. Por ejemplo: "s3:ListAllMyBuckets".
También puede utilizar caracteres comodín como un asterisco (*) o un signo de interrogación (?) en un: RCP
-
Utilice un asterisco (*) como carácter comodín como representación de varias acciones que comparten parte de un nombre. El valor
"s3:*"significa todas las acciones del servicio Amazon S3. El valor solo"sts:Get*"coincide con las AWS STS acciones que comienzan por «Obtener». -
Utilice el carácter comodín del signo de interrogación de cierre (?) como representación de un carácter único.
nota
Comodín (*) y signos de interrogación (?) se pueden usar en cualquier parte del nombre de la acción
A diferencia deSCPs, puede utilizar caracteres comodín como un asterisco (*) o un signo de interrogación (?) en cualquier parte del nombre de la acción.
Para obtener una lista de los servicios compatiblesRCPs, consulteLista de Servicios de AWS ese apoyo RCPs. Para obtener una lista de las acciones y Servicio de AWS apoyos, consulte las acciones, los recursos y las claves de condición de los AWS servicios en la Referencia de autorización de servicios.
Para obtener más información, consulte Elementos IAM JSON de política: acción en la Guía del IAM usuario.
Elementos Resource y NotResource
Cada declaración debe contener el NotResource elemento Resource o.
Puede utilizar caracteres comodín como un asterisco (*) o un signo de interrogación (?) en el elemento de recurso:
-
Utilice un asterisco (*) como carácter comodín como representación de varias acciones que comparten parte de un nombre.
-
Utilice el carácter comodín del signo de interrogación de cierre (?) como representación de un carácter único.
Para obtener más información, consulte Elementos de IAM JSON política: recurso y Elementos IAM JSON de política: NotResource en la Guía del IAM usuario.
Elemento Condition
Puede especificar un Condition elemento en las declaraciones de rechazo en unRCP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "*", "Condition:": { "BoolIfExists": { "aws:SecureTransport": "false" } } } ] }
Esto RCP deniega el acceso a las operaciones y los recursos de Amazon S3, a menos que la solicitud se produzca a través de un transporte seguro (la solicitud se envióTLS).
Para obtener más información, consulte Elementos IAM JSON de la política: condición en la Guía del IAM usuario.
Elementos no compatibles
Los siguientes elementos no se admiten enRCPs:
-
NotPrincipal NotAction
