Formatos de ARN

Los ARN están delimitados por dos puntos y están compuestos porSegmentos de, que son las partes deben estar separadas por comas (:). Los componentes y valores específicos utilizados en los segmentos de un ARN dependen de quéAWSservicio para el que es el ARN. El siguiente ejemplo muestra cómo se construyen los ARN.


arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id

Estos ARN contienen los siguientes segmentos:

partition: la partición en la que se encuentra el recurso. ParaRegiones de AWS, la partición esaws. Si tiene recursos en otras particiones, la partición esaws-partitionname. Por ejemplo, la partición de los recursos de la región China (Pekín) es aws-cn.

service: el espacio de nombres del servicio que identifica elAWSProduct. Por ejemplo,quicksightidentifica a Amazon QuickSight,s3identifica Amazon S3,iamidentifica la IAM, y así sucesivamente.

region— ElRegión de AWSen el que reside el recurso. Tenga en cuenta que los ARN de algunos recursos no requieren unaRegión de AWS, por lo que este componente podría omitirse en algunos casos, como en el caso de S3. Amazon QuickSight Los ARN requieren unRegión de AWS.

account-id: el ID deCuenta de AWSque posee el recurso. Cuando se usa el número de cuenta en una operación de ARN o API, se omiten los guiones (por ejemplo, 123456789012). Tenga en cuenta que los ARN de algunos recursos no requieren un número de cuenta, por lo que este componente podría omitirse. Amazon QuickSight Los ARN requieren unCuenta de AWSnúmero. Sin embargo, el número de cuenta y elRegión de AWSse omiten de los ARN del depósito de S3, como se muestra a continuación.


arn:aws:s3:::bucket_name
arn:aws:s3:::bucket_name/key_name

resourceoresource-type: el contenido de esta parte del ARN varía en función del servicio. Un identificador de recurso puede ser el nombre o ID del recurso (por ejemplo,user/Boboinstance/i-1234567890abcdef0) o una ruta de recurso. Por ejemplo, algunos identificadores de recursos incluyen un recurso principal (sub-resource-type/parent-resource/sub-resource) o un calificador como una versión (resource-:nombre-recurso:Calificador).

Algunos ARN de recursos pueden incluir una ruta, una variable o una ruta.

Puede utilizar los caracteres comodín (*y?) dentro de cualquier segmento de ARN. Un asterisco (*) representa cualquier combinación de cero o más caracteres y un signo de interrogación (?) representa un único carácter. Puede utilizar varios caracteres * o ? o en cada segmento, pero un carácter comodín no puede abarcar varios segmentos. Si usa el ARN para los permisos, evite usar*caracteres comodín si es posible, para limitar el acceso solo a los elementos necesarios. A continuación, se muestran algunos ejemplos de uso de rutas, caracteres comodín y variables.

Para el siguiente ejemplo, utilizamos un ARN de S3. Puede usar esto cuando conceda permisos a S3 en una IAMPolicy. Este ARN de S3 muestra que se especifican una ruta y un archivo.

nota

ElNombre de la clavese usa para describir lo que parece una ruta y un archivo despuésbucketname/. Se denominan nombres de clave porque un depósito en realidad no contiene estructuras de carpetas como las que se usan en el sistema de archivos de su computadora. En cambio, la barra (/) es un delimitador que ayuda a que la organización del depósito sea más intuitiva. En este caso, el nombre del depósito esexamplebuckety el nombre de la clave esdevelopers/design_info.doc.


arn:aws:s3:::examplebucket/my-data/sales-export-2019-q4.json

Si desea identificar todos los objetos del depósito, puede usar un comodín para indicar que todos los nombres de clave (o rutas y archivos) están incluidos en el ARN, de la siguiente manera.


arn:aws:s3:::examplebucket/*

Puede usar parte de un nombre de clave más el comodín para identificar todos los objetos que comiencen con un patrón específico. En este caso, se parece a un nombre de carpeta más un comodín, como se muestra a continuación. Sin embargo, este ARN también incluye cualquier «subcarpeta» dentro demy-data.


arn:aws:s3:::examplebucket/my-data/*

Puede especificar un nombre parcial agregando un comodín. Este identifica todos los objetos que comiencen conmy-data/sales-export*.


arn:aws:s3:::examplebucket/my-data/sales-export*

En este caso, al especificar el uso de este comodín, se incluyen los objetos con nombres como los siguientes:

my-data/sales-export-1.xlsx
my-data/sales-export-new.txt
my-data/sales-export-2019/file1.txt

Puede usar comodines de ambos tipos (asteriscos y signos de interrogación) en combinación o por separado, como se muestra a continuación.


arn:aws:s3:::examplebucket/my-data/sales-export-2019-q?.*

arn:aws:s3:::examplebucket/my-data/sales-export-20??-q?.*

O bien, si desea preparar el ARN para el futuro, puede reemplazar todo el año con un comodín, en lugar de usar simplemente comodines para los dos últimos dígitos.


arn:aws:s3:::examplebucket/my-data/sales-export-????-q?.*
arn:aws:s3:::examplebucket/my-data/sales-export-*-q?.*

Para obtener más información sobre los ARN de S3, consulteEspecificación de recursos en una políticayClave y metadatos de objetosen laAmazon Simple Storage Service Resource Guide.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

ARN en Amazon QuickSight

Amazon QuickSight ARN de recursos de