Formats ARN

Les ARN sont délimités par des deux-points et se composent desegments, qui sont les parties séparées par des deux-points (:). Les composants et valeurs spécifiques utilisés dans les segments d'un ARN dépendent desAWSservice auquel l'ARN est destiné. L'exemple suivant illustre la façon dont les ARN sont construits.


arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id

Ces ARN contiennent les segments suivants :

partition- Partition dans laquelle se trouve la ressource. Pour standardRégions AWS, la partition estaws. Si vous disposez de ressources dans d'autres partitions, la partition estnom de la partition AWS. Par exemple, la partition des ressources de la région Chine (Beijing) est aws-cn.

service- Espace de noms du service qui identifie le service qui identifie leAWSProduit. Par exemple,quicksightidentifie Amazon QuickSight,s3identifie Amazon S3,iamidentifie IAM, etc.

region— LeRégion AWSdans laquelle se situe la ressource. Les ARN de certaines ressources ne requièrent pas de paramètre de base de données de typeRégion AWS, ce composant peut donc être supprimé dans certains cas, comme dans le cas de S3 par exemple, ce composant peut être supprimé. Amazon QuickSight Les ARN nécessitent unRégion AWS.

account-id— ID duCompte AWSqui possède la ressource. Lorsque vous utilisez le numéro de compte dans un ARN ou une opération d'API, vous omettez les traits d'union (par exemple, 123456789012). Les ARN de certaines ressources ne requièrent pas de numéro de compte, ce composant peut donc être supprimé. Amazon QuickSight Les ARN nécessitent unCompte AWSnombre. Cependant, le numéro de compte et laRégion AWSsont omis des ARN de compartiment S3, comme indiqué ci-dessous.


arn:aws:s3:::bucket_name
arn:aws:s3:::bucket_name/key_name

resourceouresource-type- Le contenu de cette partie de l'ARN varie en fonction du service. Un identifiant de ressource peut être le nom ou l'ID de la ressource (par exemple, nom ou ID de ressource)user/Bobouinstance/i-1234567890abcdef0) ou un chemin d'accès à la ressource. Par exemple, certains identifiants de ressources incluent une ressource parent (sub-resource-type/parent-resource/sub-resource) ou un qualificatif tel qu'une version (resource-type :resource-nom-ressource :qualificatif).

Certains ARN de ressource peuvent inclure un chemin d'accès, une variable ou un caractère générique.

Vous pouvez utiliser des caractères génériques (*et?) au sein de n'importe quel segment ARN. Un astérisque (*) représente n'importe quelle combinaison de zéro ou de plusieurs caractères, et un point d'interrogation (?) représente un seul caractère quelconque. Vous pouvez utiliser plusieurs caractères * ou ? dans chaque segment, mais un caractère générique ne peut pas s'étendre à plusieurs segments. Si vous utilisez l'ARN pour les autorisations, évitez d'utiliser*caractères génériques si possible, pour limiter l'accès aux seuls éléments requis. Voici quelques exemples d'utilisation de chemins, de caractères génériques et de variables.

Dans l'exemple suivant, nous utilisons un ARN S3. Vous pouvez l'utiliser lorsque vous accordez des autorisations à S3 dans une IAMPolicy. Cet ARN S3 indique un chemin et un fichier sont spécifiés.

Note

Le termeNom de la toucheest utilisé pour décrire ce qui ressemble à un chemin et un fichier aprèsbucketname/. Ces noms sont appelés noms de clés car un bucket ne contient pas réellement de structures de dossiers comme celles utilisées dans le système de fichiers de votre ordinateur. À la place, la barre oblique (/) est un délimiteur qui permet de rendre l'organisation du bucket plus intuitive. Dans ce cas, le nom du compartiment estexamplebucket, et le nom de la clé estdevelopers/design_info.doc.


arn:aws:s3:::examplebucket/my-data/sales-export-2019-q4.json

Si vous souhaitez identifier tous les objets du compartiment, vous pouvez utiliser un caractère générique pour indiquer que tous les noms de clé (ou chemins et fichiers) sont inclus dans l'ARN, comme suit.


arn:aws:s3:::examplebucket/*

Vous pouvez utiliser une partie d'un nom de clé et le caractère générique pour identifier tous les objets qui commencent par un motif spécifique. Dans ce cas, il ressemble à un nom de dossier et à un caractère générique, comme illustré ci-dessous. Toutefois, cet ARN inclut également tous les « sous-dossiers » à l'intérieur demy-data.


arn:aws:s3:::examplebucket/my-data/*

Vous pouvez spécifier un nom partiel en ajoutant un caractère générique. Celui-ci identifie tous les objets commençant parmy-data/sales-export*.


arn:aws:s3:::examplebucket/my-data/sales-export*

Dans ce cas, la spécification à l'aide de ce caractère générique inclut les objets dont le nom est le suivant :

my-data/sales-export-1.xlsx
my-data/sales-export-new.txt
my-data/sales-export-2019/file1.txt

Vous pouvez utiliser des caractères génériques des deux types (astérisques et points d'interrogation) en combinaison ou séparément, comme indiqué ci-dessous.


arn:aws:s3:::examplebucket/my-data/sales-export-2019-q?.*

arn:aws:s3:::examplebucket/my-data/sales-export-20??-q?.*

Ou, si vous souhaitez pérenniser l'ARN, vous pouvez remplacer l'année entière par un caractère générique, plutôt que d'utiliser uniquement des caractères génériques pour les deux derniers chiffres.


arn:aws:s3:::examplebucket/my-data/sales-export-????-q?.*
arn:aws:s3:::examplebucket/my-data/sales-export-*-q?.*

Pour en savoir plus sur les ARN S3, consultezSpécification des ressources d'une stratégieetClé d'objet et métadonnéesdans leManuel de l'utilisateur Amazon Simple Storage Service.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

ARN sur Amazon QuickSight

Amazon QuickSight ARN de la ressource