Formati ARN

Gli ARN sono delimitati da due punti e sono composti dasegmenti, che sono le parti separate da due punti (:). I componenti e i valori specifici utilizzati nei segmenti di un ARN dipendono da qualiAWSservizio a cui è destinato l'ARN. Gli esempi seguenti mostrano come vengono costruiti gli ARN.


arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id

Questi ARN contengono i seguenti segmenti:

partition— Partizione in cui si trova la risorsa. Per standardRegioni AWS, la partizione èaws. Se sono presenti risorse in altre partizioni, la partizione èaws-partitionname. Ad esempio, la partizione per le risorse nella regione Cina (Pechino) è aws-cn.

service— Lo spazio dei nomi del servizio che identificaAWSProdotto. Ad esempio,quicksightidentifica Amazon QuickSight,s3identifica Amazon S3,iamidentifica IAM e così via.

region— IlRegione AWSin cui risiede la risorsa. Gli ARN per alcune risorse non richiedono unRegione AWS, pertanto questo componente potrebbe essere omesso in alcuni casi, ad esempio nel caso di S3. Amazon QuickSight Gli ARN richiedonoRegione AWS.

account-id— L'ID delAccount AWSche possiede la risorsa. Quando si utilizza il numero di conto in un'operazione ARN o API, si omettono i trattini (ad esempio, 123456789012). Gli ARN per alcune risorse non richiedono un numero account, pertanto questo componente potrebbe essere omesso. Amazon QuickSight Gli ARN richiedonoAccount AWSnumero. Tuttavia, il numero di conto e il nomeRegione AWSsono omessi dagli ARN del bucket S3, come illustrato di seguito.


arn:aws:s3:::bucket_name
arn:aws:s3:::bucket_name/key_name

resourceoresource-type— Il contenuto di questa parte del nome ARN varia a seconda del servizio. Un identificatore di risorsa può essere il nome o l'ID della risorsa (ad esempio,user/Boboinstance/i-1234567890abcdef0) o un percorso di risorse. Ad esempio, alcuni identificatori di risorsa includono una risorsa padre (sub-resource-type/parent-resource/sub-resource) o un qualificatore come una versione (resource-type:nome -resource:qualificatore).

Alcuni ARN delle risorse possono includere un percorso, una variabile o un carattere jolly.

È possibile utilizzare caratteri jolly (*e?) all'interno di qualsiasi segmento ARN. Un asterisco (*) rappresenta qualsiasi combinazione di zero o più caratteri, mentre un punto interrogativo (?) rappresenta qualsiasi singolo carattere. Puoi utilizzare * o ? multipli in ogni segmento, ma un carattere jolly non può separare i segmenti. Se si utilizza l'ARN per le autorizzazioni, evitare di utilizzare*caratteri jolly, se possibile, per limitare l'accesso solo agli elementi richiesti. Di seguito sono riportati alcuni esempi di utilizzo di percorsi, caratteri jolly e variabili.

Per l'esempio seguente, utilizziamo un ARN S3. È possibile utilizzarlo quando si concedono le autorizzazioni a S3 in un IAMPolicy. Questo ARN S3 mostra un percorso e vengono specificati i file.

Nota

Il terminenome chiaveè usato per descrivere ciò che appare come un percorso e un file dopobucketname/. Questi sono chiamati nomi di chiave perché un bucket non contiene effettivamente strutture di cartelle come quelle utilizzate nel file system del tuo computer. Invece la barra obliqua (/) è un delimitatore che aiuta a rendere più intuitiva l'organizzazione del secchio. In questo caso, il nome del bucket èexamplebuckete il nome chiave èdevelopers/design_info.doc.


arn:aws:s3:::examplebucket/my-data/sales-export-2019-q4.json

Se si desidera identificare tutti gli oggetti nel bucket, è possibile utilizzare un carattere jolly per indicare che tutti i nomi delle chiavi (o percorsi e file) sono inclusi nell'ARN, come segue.


arn:aws:s3:::examplebucket/*

È possibile utilizzare parte del nome di una chiave più il carattere jolly per identificare tutti gli oggetti che iniziano con un modello specifico. In questo caso, è simile al nome di una cartella più un carattere jolly, come illustrato di seguito. Tuttavia, questo ARN include anche eventuali «sottocartelle» all'interno dimy-data.


arn:aws:s3:::examplebucket/my-data/*

È possibile specificare un nome parziale aggiungendo un carattere jolly. Questo identifica tutti gli oggetti che iniziano conmy-data/sales-export*.


arn:aws:s3:::examplebucket/my-data/sales-export*

In questo caso, specificando l'utilizzo di questo carattere jolly sono inclusi gli oggetti con nomi come i seguenti:

my-data/sales-export-1.xlsx
my-data/sales-export-new.txt
my-data/sales-export-2019/file1.txt

È possibile utilizzare caratteri jolly di entrambi i tipi (asterischi e punti interrogativi) in combinazione o separatamente, come illustrato di seguito.


arn:aws:s3:::examplebucket/my-data/sales-export-2019-q?.*

arn:aws:s3:::examplebucket/my-data/sales-export-20??-q?.*

Oppure, se si desidera rendere l'ARN a prova di futuro, è possibile sostituire l'intero anno con un carattere jolly, anziché utilizzare solo i caratteri jolly per le ultime due cifre.


arn:aws:s3:::examplebucket/my-data/sales-export-????-q?.*
arn:aws:s3:::examplebucket/my-data/sales-export-*-q?.*

Per ulteriori informazioni sugli ARN S3, vedereSpecificare le risorse in una policyeChiavi e metadata degli oggettinellaGuida dell'utente Amazon Simple Storage Service.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

ARN in Amazon QuickSight

Amazon QuickSight ARN delle risorse