Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Amazon Resource Names (ARNs) identifie les AWS ressources de manière unique. Nous avons besoin d'un ARN lorsque vous devez spécifier une ressource sans ambiguïté dans l'ensemble, par exemple dans les politiques IAM AWS, les balises Amazon Relational Database Service (Amazon RDS) et les appels d'API. Bien que ARNs, comme toutes les informations d'identification, elles doivent être utilisées et partagées avec soin, elles ne sont pas considérées comme des informations secrètes, sensibles ou confidentielles.
Format ARN
Voici les formats généraux pour ARNs. Les formats spécifiques dépendent de la ressource. Pour utiliser un ARN, remplacez le italicized
texte par les informations spécifiques à la ressource. Sachez que ARNs pour certaines ressources, omettez la région, l'identifiant du compte, ou les deux.
arn:
partition
:service
:region
:account-id
:resource-id
arn:partition
:service
:region
:account-id
:resource-type
/resource-id
arn:partition
:service
:region
:account-id
:resource-type
:resource-id
partition
-
Partition dans laquelle se trouve la ressource. Une partition est un groupe de AWS régions. Chaque AWS compte est limité à une partition.
Les partitions prises en charge sont les suivantes :
-
aws
- AWS Régions -
aws-cn
- Régions chinoises -
aws-us-gov
- AWS GovCloud (US) Régions
-
service
-
L'espace de noms du service qui identifie le AWS produit.
region
-
Code de région. Par exemple, indiquez
us-east-2
pour la région USA Est (Ohio). Pour obtenir la liste des codes de région, consultez Points de terminaison régionaux dans Références générales AWS. account-id
-
L'ID du AWS compte propriétaire de la ressource, sans les traits d'union. Par exemple,
123456789012
. resource-type
-
Type de ressource. Par exemple,
vpc
pour un cloud privé virtuel (VPC) resource-id
-
Identificateur de la ressource. Il s'agit du nom de la ressource, de l'ID de la ressource ou d'un chemin de ressource. Certains identificateurs de ressources incluent une ressource parent (sub-resource-type/parent-resource/sub-resource) ou un qualificatif tel qu'une version (resource-type:resource-name:qualifier).
Exemples
- Utilisateur IAM
-
arn:aws:iam : ::user/
123456789012
johndoe
- Rubrique SNS
-
arn:aws:sns : : :
us-east-1
123456789012
example-sns-topic-name
- VPC
-
arn:aws:ec2 : ::vpc/
us-east-1
123456789012
vpc-0e9801d129EXAMPLE
Rechercher le format d'ARN pour une ressource
Le format exact d'un ARN dépend du service et du type de ressource. Certaines ressources ARNs peuvent inclure un chemin, une variable ou un caractère générique. Pour rechercher le format ARN d'une AWS ressource spécifique, ouvrez la référence d'autorisation du service, ouvrez la page du service et accédez au tableau des types de ressources.
Chemins dans ARNs
La ressource ARNs peut inclure un chemin. Par exemple, dans Amazon S3, l'identificateur de ressource est un nom d'objet qui peut inclure des barres obliques (/
) pour former un chemin d'accès. De même, les noms d'utilisateur et les noms de groupe IAM peuvent inclure des chemins d'accès. Seuls les caractères alphanumériques et les caractères suivants sont autorisés dans les chemins IAM : barre oblique (/
), plus (+
), égal (=
), virgule (,
), point (.
), arobase (@
), trait de soulignement (_
), et trait d’union (-
).
Utilisation de caractères génériques dans les chemins
Les chemins peuvent inclure un caractère générique, à savoir un astérisque (*
). Certains éléments de politique autorisent les caractères génériques, d'autres non. Vous pouvez utiliser des caractères génériques pour la ressource ou les NotResourceéléments, mais pas pour le principal ou les NotPrincipaléléments. Pour de plus amples informations, veuillez consulter Référence de politique JSON IAM.
Vous pouvez spécifier qu'role/*
il s'agit de tous les rôles du compte 123456789012 comme dans l'exemple suivant :
arn:aws:iam::123456789012:role/*
Vous pouvez également terminer le nom d'une ressource par un caractère générique. Par exemple, vous pouvez service-*
définir tous les rôles commençant par service
et se terminant par des caractères différents tels que service-role1
ou service-test
:
arn:aws:iam::123456789012:role/service-*
L'exemple suivant illustre ARNs les objets d'un compartiment Amazon S3 dans lesquels le nom de la ressource inclut un chemin. L'ARN arn:aws:s3:::amzn-s3-demo-bucket/*
concerne tous les objets de ce compartiment, quel que soit leur préfixe. L'ARN arn:aws:s3:::amzn-s3-demo-bucket/
concerne tous les objets créés dans le Development
/*/Development/
préfixe.
Vous pouvez également utiliser le caractère ?
générique pour spécifier un caractère dans un ARN. Par exemple, vous pouvez utiliser l'ARN suivant pour tous les dossiers commençant par quatre caractères et se terminant par le compartiment S3 amzn-s3-demo-bucket. -test
Parmi les dossiers susceptibles de correspondre à cette valeur1234-test
, citons2024-test
, oua100-test
.
arn:aws:s3:::amzn-s3-demo-bucket/????-test
Vous pouvez également utiliser des caractères génériques dans les différentes sections d'un ARN, délimités par deux points « :
». Dans l'exemple suivant, deux caractères génériques sont utilisés pour faire correspondre toutes les applications et ressources Amazon Q au sein des applications de toutes les régions pour le compte 123456789012 :
arn:aws:qbusiness:*
:123456789012:*
De même, l'exemple suivant correspond à tous les Amazon VPCs de toutes les régions pour le compte 123456789012 :
arn:aws:ec2:*
:123456789012:vpc/*
L'exemple suivant correspond à tous les volumes Amazon EBS de toutes les régions pour le compte 123456789012 :
arn:aws:ec2:*
:123456789012:volume/*
Limitations relatives à l'utilisation des caractères génériques dans ARNs
Vous ne pouvez pas utiliser de caractère générique dans la partie de l'ARN qui indique le type de ressource. L'exemple d'ARN suivant avec un caractère générique dans le type de ressource n'est pas valide :
arn:aws:lambda:us-east-2:123456789012:functi*
:my-function <== not allowed
Vous ne pouvez pas non plus utiliser de caractère générique dans le préfixe ARN, ni avoir de caractère générique dans la section de partition d'un ARN.
arn:aws:redshift:us-east-1:123456789012:?
<== not allowed