Nomes de recurso da Amazon (ARNs) identificam apenas recursos da AWS. Nós exigimos um ARN quando você precisa especificar um recurso sem ambiguidade em toda a AWS, como em políticas do IAM, Amazon Relational Database Service (Amazon RDS), etiquetas e chamadas de API.
Formato ARN
A seguir estão os formatos gerais de ARNs. Os formatos específicos dependem do recurso. Para usar um ARN, substitua o texto em itálico
pelas informações específicas do recurso. Lembre-se de que os ARNs para alguns recursos omitem a região, o ID da conta, ou a região e o ID da conta.
arn:
partition
:service
:region
:account-id
:resource-id
arn:partition
:service
:region
:account-id
:resource-type
/resource-id
arn:partition
:service
:region
:account-id
:resource-type
:resource-id
partition
-
A partição na qual o recurso está localizado. Uma partição é um grupo de regiões da AWS. Cada conta da AWS tem escopo para uma partição.
Estas são as partições compatíveis:
-
aws
: regiões da AWS -
aws-cn
: regiões da China -
aws-us-gov
: regiões da AWS GovCloud (US)
-
service
-
O namespace de serviço que identifica o produto da AWS.
region
-
O código da região. Por exemplo,
us-east-2
para Leste dos EUA (Ohio). Para obter uma lista de códigos de região, consulte Endpoints regionais na Referência geral da AWS. account-id
-
O ID da conta da AWS que possui o recurso, sem hifens. Por exemplo,
123456789012
. resource-type
-
O tipo de recurso. Por exemplo, a
vpc
para uma nuvem privada virtual (VPC). resource-id
-
O identificador do recurso. É o nome do recurso, a ID do recurso ou o caminho do recurso. Alguns identificadores de recursos incluem um recurso pai (sub-resource-type/parent-resource/sub-resource) ou um qualificador, como uma versão (resource-type:resource-name:qualifier).
Exemplos
- IAM user (Usuário do IAM)
-
arn:aws:iam::
123456789012
:user/johndoe
- Tópico do SNS
-
arn:aws:sns:
us-east-1
:123456789012
:example-sns-topic-name
- VPC
-
arn:aws:ec2:
us-east-1
:123456789012
:vpc/vpc-0e9801d129EXAMPLE
Encontrar o formato do ARN de um recurso
O formato exato de um ARN depende do serviço e do tipo de recurso. Alguns ARNs de recursos podem incluir um caminho, uma variável ou um caractere curinga. Para encontrar o formato do ARN de um recurso da AWS específico, abra a Referência de autorização de serviços, abra a página do serviço e navegue até a tabela de tipos de recurso.
Caminhos em ARNs
Os ARNs de recursos podem incluir um caminho. Por exemplo, no Amazon S3, o identificador do recurso é um nome de objeto que pode incluir barras (/
) para formar um caminho. Da mesma forma, nomes de usuários e nomes de grupo do IAM podem incluir caminhos. Somente caracteres alfanuméricos e os seguintes caracteres gráficos são permitidos nos caminhos do IAM: barra (/
), mais (+
), igual (=
), vírgula (,
), ponto final (.
), arroba (@
), sublinhado (_
) e hífen (-
).
Usar curingas em caminhos
Os caminhos podem incluir um caractere curinga, ou seja, um asterisco (*
). Por exemplo, se você estiver escrevendo uma política do IAM, poderá especificar todos os usuários do IAM que tenham o caminho product_1234
usando um curinga desta maneira:
arn:aws:iam::123456789012:user/Development/product_1234/*
Da mesma forma, poderá especificar user/*
para indicar todos os usuários ou group/*
para indicar todos os grupos, como nos exemplos a seguir:
"Resource":"arn:aws:iam::123456789012:user/*"
"Resource":"arn:aws:iam::123456789012:group/*"
O exemplo a seguir mostra ARNs para um bucket do Amazon S3 em que o nome do recurso inclui um caminho:
arn:aws:s3:::my_corporate_bucket/*
arn:aws:s3:::my-corporate-bucket/Development/*
Uso incorreto de curingas
Você não pode usar um curinga na parte do ARN que especifica o tipo de recurso, como o termo user
em um ARN do IAM. Por exemplo, não é permitido fazer as ações abaixo.
arn:aws:iam::123456789012:u* <== not allowed