Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Layanan AWS Informasi yang disederhanakan untuk akses terprogram
AWS menyediakan informasi referensi layanan dalam format JSON untuk merampingkan otomatisasi alur kerja manajemen kebijakan. Dengan informasi referensi layanan, Anda dapat mengakses operasi, tindakan, sumber daya, dan kunci kondisi yang tersedia di Layanan AWS seberang file yang dapat dibaca mesin. Informasi referensi layanan mencakup metadata di luar detail otorisasi, termasuk informasi terakhir yang diakses tindakan IAM dan data pembuatan kebijakan IAM Access Analyzer.
Administrator keamanan dapat membuat pagar pembatas dan pengembang dapat memastikan akses yang tepat ke aplikasi dengan mengidentifikasi tindakan, sumber daya, dan kunci kondisi yang tersedia untuk masing-masing. Layanan AWS AWS menyediakan informasi referensi layanan Layanan AWS untuk memungkinkan Anda memasukkan metadata ke dalam alur kerja manajemen kebijakan Anda.
+ Untuk inventarisasi tindakan, sumber daya, dan kunci kondisi untuk digunakan dalam kebijakan IAM, lihat halaman [Referensi Otorisasi Layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) untuk. Layanan AWS Kunci tindakan, sumber daya, dan kondisi untuk layanan yang berbagi awalan layanan dapat dibagi menjadi beberapa halaman dalam Referensi Otorisasi Layanan.
+ Untuk daftar Layanan AWS dan tindakan yang informasi terakhir diakses tindakan IAM ditampilkan, lihat [tindakan IAM terakhir diakses layanan informasi dan tindakan dalam Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-action-last-accessed.html) Pengguna IAM.
+ Untuk daftar Layanan AWS dan tindakan yang digunakan IAM Access Analyzer untuk membuat kebijakan dengan informasi tingkat tindakan, lihat [layanan pembuatan kebijakan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation-action-last-accessed-support.html) di Panduan Pengguna IAM.
Konten yang disajikan dalam Referensi Otorisasi Layanan dapat disajikan secara berbeda atau mengandung metadata yang berbeda. Untuk informasi selengkapnya, lihat [Definisi bidang tambahan](#service-reference-additional-field-definitions).
Informasi referensi layanan juga menawarkan metadata tentang operasi, termasuk informasi tentang tindakan resmi dan nama metode di. SDKs
Konteks tambahan dari nilai kunci kondisi mungkin tersedia untuk membantu dalam izin pelingkupan. Misalnya, nilai `iam:PassedToService` dapat muncul ketika tindakan `iam:PassRole` diotorisasi oleh suatu operasi.
Operasi untuk pemetaan tindakan ini tidak didukung untuk semua layanan. Layanan yang belum mendukung pemetaan ini akan menghilangkan properti. AuthorizedAction Selain itu, informasi tindakan resmi untuk operasi tidak termasuk izin yang mungkin diperlukan untuk operasi yang dipanggil atas nama Anda dengan [Sesi Akses Teruskan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
**catatan**
Perubahan pada informasi referensi layanan dapat memakan waktu hingga 24 jam untuk tercermin dalam daftar metadata untuk layanan.
**Mengakses informasi Layanan AWS referensi**
1. Arahkan ke informasi referensi layanan untuk mengakses daftar Layanan AWS informasi referensi yang tersedia.
Ada dua titik masuk utama:
[http://servicereference.us-east-1.amazonaws.com/](http://servicereference.us-east-1.amazonaws.com/) menampilkan daftar Layanan AWS informasi referensi yang tersedia.
Contoh berikut menunjukkan sebagian daftar layanan dan URLs untuk informasi referensi masing-masing:
```
[
{
"service": "s3",
"url": "https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json"
},
{
"service": "dynamodb",
"url": "https://servicereference.us-east-1.amazonaws.com/v1/dynamodb/dynamodb.json"
},
…
]
```
[https://servicereference.us-east-1.amazonaws.com/v1/mapping.json](https://servicereference.us-east-1.amazonaws.com/v1/mapping.json) menampilkan pemetaan dari layanan SDK ke lokasi dalam referensi layanan tempat informasi dapat ditemukan di bawahnya.
Contoh berikut menunjukkan sebagian daftar pemetaan:
```
{
"SDK" : {
"Python" : {
"Boto3" : {
"accessanalyzer" : {
"service" : "access-analyzer",
"url" : "https://servicereference.us-east-1.amazonaws.com/v1/access-analyzer/access-analyzer.json"
},
"account" : {
"service" : "account",
"url" : "https://servicereference.us-east-1.amazonaws.com/v1/account/account.json"
},
"amp" : {
"service" : "aps",
"url" : "https://servicereference.us-east-1.amazonaws.com/v1/aps/aps.json"
},
...
}
}
}
}
```
1. Pilih layanan dan arahkan ke halaman informasi layanan di `url` bidang agar layanan dapat melihat daftar tindakan, sumber daya, dan kunci kondisi untuk layanan.
Contoh berikut menunjukkan sebagian daftar informasi referensi layanan untuk Amazon S3:
```
{
"Name": "s3",
"Actions": [
{
"Name": "GetObject",
"ActionConditionKeys": [
"s3:AccessGrantsInstanceArn",
"s3:AccessPointNetworkOrigin",
"s3:DataAccessPointAccount",
"s3:DataAccessPointArn",
"s3:ExistingObjectTag/key",
"s3:ResourceAccount",
"s3:TlsVersion",
"s3:authType",
"s3:if-match",
"s3:if-none-match",
"s3:signatureAge",
"s3:signatureversion",
"s3:x-amz-content-sha256"
],
"Annotations" : {
"Properties" : {
"IsList" : false,
"IsPermissionManagement" : false,
"IsTaggingOnly" : false,
"IsWrite" : false
}
},
"Resources": [
{
"Name": "object"
}
],
"SupportedBy" : {
"IAM Access Analyzer Policy Generation" : false,
"IAM Action Last Accessed" : false
}
},
{
"Name": "ListBucket",
"ActionConditionKeys": [
"s3:AccessGrantsInstanceArn",
"s3:AccessPointNetworkOrigin",
"s3:DataAccessPointAccount",
"s3:DataAccessPointArn",
"s3:ResourceAccount",
"s3:TlsVersion",
"s3:authType",
"s3:delimiter",
"s3:max-keys",
"s3:prefix",
"s3:signatureAge",
"s3:signatureversion",
"s3:x-amz-content-sha256"
],
"Annotations" : {
"Properties" : {
"IsList" : true,
"IsPermissionManagement" : false,
"IsTaggingOnly" : false,
"IsWrite" : false
}
},
"Resources": [
{
"Name": "bucket"
}
],
"SupportedBy" : {
"IAM Access Analyzer Policy Generation" : false,
"IAM Action Last Accessed" : false
}
},
...
],
"ConditionKeys": [
{
"Name": "s3:TlsVersion",
"Types": [
"Numeric"
]
},
{
"Name": "s3:authType",
"Types": [
"String"
]
},
...
],
"Operations": [
{
"Name" : "GetObject",
"AuthorizedActions" : [
{
"Name" : "GetObject",
"Service" : "s3"
}, {
"Name" : "GetObject",
"Service" : "s3-object-lambda"
}, {
"Name" : "GetObjectLegalHold",
"Service" : "s3"
}, {
"Name" : "GetObjectRetention",
"Service" : "s3"
}, {
"Name" : "GetObjectTagging",
"Service" : "s3"
}, {
"Name" : "GetObjectVersion",
"Service" : "s3"
}
],
"SDK" : [
{
"Name" : "s3",
"Method" : "get_object",
"Package" : "Boto3"
}
]
},
...
],
"Resources": [
{
"Name": "accesspoint",
"ARNFormats": [
"arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}"
]
},
{
"Name": "bucket",
"ARNFormats": [
"arn:${Partition}:s3:::${BucketName}"
]
}
...
],
"Version": "v1.4"
}
```
1. Unduh file JSON dari URL layanan untuk digunakan dalam alur kerja pembuatan kebijakan Anda.
## Glosarium
+ Operasi - API yang dapat dipanggil, biasanya melalui SDK
+ Tindakan - Izin yang diotorisasi saat melakukan operasi
## Definisi bidang tambahan
**Properti tindakan** menyediakan metadata tambahan tentang tindakan layanan untuk membantu mengkategorikannya berdasarkan cakupan izinnya. Properti ini ditemukan di bawah `Annotations` bidang untuk setiap tindakan. Metadata terdiri dari empat nilai boolean:
+ `IsList`— Memberikan izin untuk menemukan dan mencantumkan sumber daya, termasuk metadata dasar, tanpa mengakses konten sumber daya.
**Contoh** - Properti ini `true` untuk `ListBucket` tindakan Amazon S3, memungkinkan pengguna untuk melihat daftar bucket tanpa mengakses objek itu sendiri.
+ `IsPermissionManagement`— Memberikan izin untuk memodifikasi izin IAM atau kredensi akses.
**Contoh** - Properti ini `true` untuk sebagian besar IAM dan AWS Organizations tindakan, serta tindakan `PutBucketPolicy` Amazon S3 seperti dan. `DeleteBucketPolicy`
+ `IsTaggingOnly`— Memberikan izin hanya untuk memodifikasi tag.
**Contoh** - Properti ini `true` untuk tindakan IAM `TagRole` dan`UntagRole`, sementara properti ini `false` untuk `CreateRole` karena memberikan izin yang lebih luas di luar penandaan.
+ `IsWrite`— Memberikan izin untuk memodifikasi sumber daya, yang mungkin termasuk modifikasi tag.
**Contoh** - Properti ini `true` untuk tindakan Amazon S3 `CreateBucket``DeleteBucket`, dan `PutObject` karena mereka mengizinkan modifikasi sumber daya.
**catatan**
Properti ini tidak saling eksklusif. Tindakan mungkin memiliki beberapa properti yang disetel ke`true`.
Mungkin juga semua properti`false`, seperti yang terlihat dengan tindakan Amazon S3. `GetObject` Ini menunjukkan tindakan hanya memberikan izin baca pada objek.
Properti ini dapat digunakan untuk menghasilkan wawasan untuk layanan. Contoh berikut menunjukkan izin dengan `s3` awalan yang memungkinkan sumber daya bermutasi:
```
> curl https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json | \
jq '.Actions[] | select(.Annotations.Properties.IsWrite == true) | .Name'
"AssociateAccessGrantsIdentityCenter"
"BypassGovernanceRetention"
"CreateAccessGrant"
"CreateAccessGrantsInstance"
"CreateAccessGrantsLocation"
...
```
Contoh berikut menunjukkan kunci kondisi tindakan dengan `lambda` awalan yang dapat Anda gunakan untuk membatasi akses ke tindakan manajemen izin:
```
> curl https://servicereference.us-east-1.amazonaws.com/v1/lambda/lambda.json | \
jq '.Actions[] | select(.Annotations.Properties.IsPermissionManagement == true) | {Name: .Name, ActionConditionKeys: (.ActionConditionKeys // [])}'
{
"Name": "AddLayerVersionPermission",
"ActionConditionKeys": []
}
{
"Name": "AddPermission",
"ActionConditionKeys": [
"lambda:FunctionUrlAuthType",
"lambda:Principal"
]
}
{
"Name": "DisableReplication",
"ActionConditionKeys": []
}
{
"Name": "EnableReplication",
"ActionConditionKeys": []
}
{
"Name": "RemoveLayerVersionPermission",
"ActionConditionKeys": []
}
{
"Name": "RemovePermission",
"ActionConditionKeys": [
"lambda:FunctionUrlAuthType",
"lambda:Principal"
]
}
```