Identifique recursos da AWS com nomes do recurso da Amazon (ARNs) - AWS Identity and Access Management
Formato ARNEncontrar o formato do ARN de um recursoCaminhos em ARNs

Identifique recursos da AWS com nomes do recurso da Amazon (ARNs)

Nomes de recurso da Amazon (ARNs) identificam apenas recursos da AWS. Nós exigimos um ARN quando você precisa especificar um recurso sem ambiguidade em toda a AWS, como em políticas do IAM, Amazon Relational Database Service (Amazon RDS), etiquetas e chamadas de API.

Formato ARN

A seguir estão os formatos gerais de ARNs. Os formatos específicos dependem do recurso. Para usar um ARN, substitua o texto em itálico pelas informações específicas do recurso. Lembre-se de que os ARNs para alguns recursos omitem a região, o ID da conta, ou a região e o ID da conta.

arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id
partition

A partição na qual o recurso está localizado. Uma partição é um grupo de regiões da AWS. Cada conta da AWS tem escopo para uma partição.

Estas são as partições compatíveis:

  • aws: regiões da AWS

  • aws-cn: regiões da China

  • aws-us-gov: regiões da AWS GovCloud (US)

service

O namespace de serviço que identifica o produto da AWS.

region

O código da região. Por exemplo, us-east-2 para Leste dos EUA (Ohio). Para obter uma lista de códigos de região, consulte Endpoints regionais na Referência geral da AWS.

account-id

O ID da conta da AWS que possui o recurso, sem hifens. Por exemplo, 123456789012.

resource-type

O tipo de recurso. Por exemplo, a vpc para uma nuvem privada virtual (VPC).

resource-id

O identificador do recurso. É o nome do recurso, a ID do recurso ou o caminho do recurso. Alguns identificadores de recursos incluem um recurso pai (sub-resource-type/parent-resource/sub-resource) ou um qualificador, como uma versão (resource-type:resource-name:qualifier).

Exemplos
IAM user (Usuário do IAM)

arn:aws:iam::123456789012:user/johndoe

Tópico do SNS

arn:aws:sns:us-east-1:123456789012:example-sns-topic-name

VPC

arn:aws:ec2:us-east-1:123456789012:vpc/vpc-0e9801d129EXAMPLE

Encontrar o formato do ARN de um recurso

O formato exato de um ARN depende do serviço e do tipo de recurso. Alguns ARNs de recursos podem incluir um caminho, uma variável ou um caractere curinga. Para encontrar o formato do ARN de um recurso da AWS específico, abra a Referência de autorização de serviços, abra a página do serviço e navegue até a tabela de tipos de recurso.

Caminhos em ARNs

Os ARNs de recursos podem incluir um caminho. Por exemplo, no Amazon S3, o identificador do recurso é um nome de objeto que pode incluir barras (/) para formar um caminho. Da mesma forma, nomes de usuários e nomes de grupo do IAM podem incluir caminhos. Somente caracteres alfanuméricos e os seguintes caracteres gráficos são permitidos nos caminhos do IAM: barra (/), mais (+), igual (=), vírgula (,), ponto final (.), arroba (@), sublinhado (_) e hífen (-).

Usar curingas em caminhos

Os caminhos podem incluir um caractere curinga, ou seja, um asterisco (*). Por exemplo, se você estiver escrevendo uma política do IAM, poderá especificar todos os usuários do IAM que tenham o caminho product_1234 usando um curinga desta maneira:

arn:aws:iam::123456789012:user/Development/product_1234/*

Da mesma forma, poderá especificar user/* para indicar todos os usuários ou group/* para indicar todos os grupos, como nos exemplos a seguir:

"Resource":"arn:aws:iam::123456789012:user/*"
"Resource":"arn:aws:iam::123456789012:group/*"

O exemplo a seguir mostra ARNs para um bucket do Amazon S3 em que o nome do recurso inclui um caminho:

arn:aws:s3:::my_corporate_bucket/*
arn:aws:s3:::my-corporate-bucket/Development/*
Uso incorreto de curingas

Você não pode usar um curinga na parte do ARN que especifica o tipo de recurso, como o termo user em um ARN do IAM. Por exemplo, não é permitido fazer as ações abaixo.

arn:aws:iam::123456789012:u*   <== not allowed