Serviços da AWS que funcionam com o IAM
Os serviços da AWS listados abaixo estão agrupados em ordem alfabética e incluem informações sobre a compatibilidade deles com atributos do IAM:
-
Serviço: você pode selecionar o nome de um serviço para visualizar a documentação da AWS sobre a autorização e o acesso do IAM para esse serviço.
-
Ações: você pode especificar ações individuais em uma política. Se o serviço não é compatível com esse recurso, então Todas as ações está selecionado no editor visual. Em um documento de política JSON, use
*no elementoAction. Para obter uma lista de ações em cada serviço, consulte Ações, recursos e chaves de condição para serviços da AWS. -
Permissões no nível do recurso: você pode usar ARNs para especificar recursos individuais na política. Se o serviço não é compatível com esse recurso, então Todos os recursos está selecionado no editor visual de política. Em um documento de política JSON, use
*no elementoResource. Algumas ações, como açõesList*, não são compatíveis com a especificação de um ARN, pois elas são projetadas para retornar vários recursos. Se um serviço é compatível com essa funcionalidade para alguns recursos e não outros, isso é indicado por Partial (Parcial) na tabela. Consulte a documentação do serviço para obter mais informações. -
Políticas baseadas em recursos: você pode anexar políticas baseadas em recursos a um recurso do serviço. As políticas baseadas em recursos incluem um elemento
Principalpara especificar quais identidades do IAM podem acessar esse recurso. Para ter mais informações, consulte Políticas baseadas em identidade e em recurso. -
ABAC (autorização baseada em tags): para controlar o acesso baseado em tags, você fornece informações sobre as tags no elemento de condição de uma política usando as chaves de condição
aws:ResourceTag/,key-nameaws:RequestTag/oukey-nameaws:TagKeys. Se um serviço oferecer suporte às três chaves de condição para todo tipo de recurso, o valor será Sim para o serviço. Se um serviço oferecer suporte às três chaves de condição somente para alguns tipos de recursos, o valor será Partial (Parcial). Para obter mais informações sobre como definir permissões com base em atributos como tags, consulte O que é ABAC para a AWS?. Para visualizar um tutorial com etapas para configurar o ABAC, consulte Use attribute-based access control (ABAC) (Usar controle de acesso baseado em atributos [ABAC]). -
Credenciais temporárias: é possível usar credenciais de curto prazo obtidas ao fazer login usando o IAM Identity Center ou alternar perfis no console, ou ainda credenciais que você gera usando o AWS STS na AWS CLI ou a API da AWS. Você pode acessar serviços com um valor Não somente ao usar suas credenciais de longo prazo de usuário do IAM. Isso inclui um nome de usuário e senha ou as chaves de acesso de usuário. Para ter mais informações, consulte Credenciais de segurança temporárias no IAM.
-
Funções vinculadas ao serviço: uma função vinculada ao serviço é um tipo especial de função de serviço que concede permissão ao serviço para acessar recursos em outros serviços para você. Escolha o link Sim ou Parcial para consultar a documentação de serviços que são compatíveis com esses perfis. Essa coluna não indica se o serviço usa funções de serviço padrão. Para ter mais informações, consulte Usar funções vinculadas ao serviço.
-
Mais informações – Se um serviço não é totalmente compatível com um recurso, você pode revisar as notas de rodapé de uma entrada para visualizar as restrições e links de informações relacionadas.
Serviços compatíveis com o IAM
| Serviço | Ações | Permissões em nível de recurso | Políticas baseadas em atributos | ABAC | Credenciais temporárias | Funções vinculadas a serviço |
|---|---|---|---|---|---|---|
| AWS Account Management | ||||||
|
AWS Activate Console |
||||||
| AWS Amplify Admin | ||||||
| AWS Amplify | ||||||
| AWS Amplify UI Builder | ||||||
| APIs do Apache Kafka para clusters do Amazon MSK | ||||||
| Amazon API Gateway | ||||||
| Amazon API Gateway Management | ||||||
| Amazon API Gateway Management V2 | ||||||
| AWS App2Container | ||||||
| AWS AppConfig | ||||||
| AWS AppFabric | ||||||
| Amazon AppFlow | ||||||
| Amazon AppIntegrations | ||||||
| Application Auto Scaling | ||||||
| AWS Application Cost Profiler | ||||||
| AWS Application Discovery Arsenal | ||||||
| AWS Application Discovery Service | ||||||
| AWS Application Migration Service | ||||||
| AWS Application Transformation Service | ||||||
| AWS App Runner | ||||||
| Amazon AppStream 2.0 | ||||||
| AWS AppSync | ||||||
| AWS Artifact | ||||||
| Amazon Athena | ||||||
| AWS Audit Manager | ||||||
| AWS Auto Scaling | ||||||
| Intercâmbio de dados B2B AWS | ||||||
| AWS Backup | ||||||
| AWS Backup Gateway | ||||||
| Armazenamento do AWS Backup | ||||||
| AWS Batch | ||||||
| Amazon Bedrock | ||||||
| AWS Billing and Cost Management | ||||||
| Exportações de dados AWS Billing and Cost Management | ||||||
| AWS Billing Conductor | ||||||
| Amazon Braket | ||||||
| AWS Budget Service | ||||||
| AWS BugBust | ||||||
| AWS Certificate Manager (ACM) | ||||||
| AWS Chatbot | ||||||
| Amazon Chime | ||||||
| AWS Clean Rooms | ||||||
| ML AWS Clean Rooms | ||||||
| AWS Client VPN | ||||||
| AWS Cloud9 | ||||||
| API de controle do Nuvem AWS | ||||||
| Amazon Cloud Directory | ||||||
| AWS CloudFormation | ||||||
| KeyValueStore do Amazon CloudFront | ||||||
| AWS CloudHSM | ||||||
| Amazon CloudSearch | ||||||
| AWS CloudShell | ||||||
| AWS CloudTrail | ||||||
| Dados do AWS CloudTrail | ||||||
| Amazon CloudWatch | ||||||
| Amazon CloudWatch Application Insights | ||||||
| Amazon CloudWatch Application Signals | ||||||
| Amazon CloudWatch Evidently | ||||||
| Amazon CloudWatch Internet Monitor | ||||||
| Amazon CloudWatch Logs | ||||||
| Amazon CloudWatch Network Monitor | ||||||
| Amazon CloudWatch Observability Access Manager | ||||||
| Amazon CloudWatch RUM | ||||||
| Amazon CloudWatch Synthetics | ||||||
| AWS CodeArtifact | ||||||
| AWS CodeBuild | ||||||
| Amazon CodeCatalyst | ||||||
| AWS CodeCommit | ||||||
| AWS CodeConnections | ||||||
| AWS CodeDeploy | ||||||
| Serviço de comandos de host seguro do AWS CodeDeploy | ||||||
| Amazon CodeGuru Profiler | ||||||
| Amazon CodeGuru Reviewer | ||||||
| Amazon CodeGuru Security | ||||||
| AWS CodePipeline | ||||||
| AWS CodeStar | ||||||
| Conexões do AWS CodeStar | ||||||
| Notificações do AWS CodeStar | ||||||
| Amazon CodeWhisperer | ||||||
| Amazon Cognito | ||||||
| Amazon Cognito Sync | ||||||
| Grupos de usuários do Amazon Cognito | ||||||
| Amazon Comprehend | ||||||
| Amazon Comprehend Medical | ||||||
| AWS Compute Optimizer | ||||||
| AWS Config | ||||||
| Amazon Connect | ||||||
| Amazon Connect Cases | ||||||
| Amazon Connect Customer Profiles | ||||||
| Comunicações de saída de alto volume do Amazon Connect | ||||||
| Amazon Connect Voice ID | ||||||
| AWS Console Mobile Application | ||||||
| Faturamento consolidado da AWS | ||||||
| Catálogo de controle da AWS | ||||||
| AWS Control Tower | ||||||
| AWS Cost and Usage Report | ||||||
| AWS Cost Explorer | ||||||
| Hub de Otimização de Custos da AWS | ||||||
| Serviço de verificação de clientes da AWS | ||||||
| AWS Database Migration Service | ||||||
| Database Query Metadata Service | ||||||
| AWS Data Exchange | ||||||
| Amazon Data Lifecycle Manager | ||||||
| AWS Data Pipeline | ||||||
| AWS DataSync | ||||||
| Amazon DataZone | ||||||
| AWS Deadline Cloud | ||||||
| AWS DeepComposer | ||||||
| AWS DeepRacer | ||||||
| Amazon Detective | ||||||
| AWS Device Farm | ||||||
| Amazon DevOps Guru | ||||||
| Ferramentas de diagnóstico AWS | ||||||
| AWS Direct Connect | ||||||
| AWS Directory Service | ||||||
| Amazon DocumentDB Elastic Clusters | ||||||
| Amazon DynamoDB Accelerator (DAX) | ||||||
| Amazon DynamoDB | ||||||
| Amazon Elastic Compute Cloud (Amazon EC2) | ||||||
| Amazon EC2 Auto Scaling | ||||||
| EC2 Image Builder | ||||||
| Amazon EC2 Instance Connect | ||||||
| Amazon ElastiCache | ||||||
| AWS Elastic Beanstalk | ||||||
| Amazon Elastic Block Store (Amazon EBS) | ||||||
| Amazon Elastic Container Registry (Amazon ECR) | ||||||
| Amazon Elastic Container Registry Público (Amazon ECR Público) | ||||||
| Amazon Elastic Container Service (Amazon ECS) | ||||||
| AWS Elastic Disaster Recovery | ||||||
| Amazon Elastic File System (Amazon EFS) | ||||||
| Amazon Elastic Inference | ||||||
| Amazon Elastic Kubernetes Service (Amazon EKS) | ||||||
| Amazon Elastic Kubernetes Service (Amazon EKS) Auth | ||||||
| AWS Elastic Load Balancing | ||||||
| Amazon Elastic Transcoder | ||||||
| AWS Elemental Appliances e serviço de ativação de software | ||||||
| Dispositivos e software do AWS Elemental | ||||||
| AWS Elemental MediaConnect | ||||||
| AWS Elemental MediaConvert | ||||||
| AWS Elemental MediaLive | ||||||
| AWS Elemental MediaPackage | ||||||
| AWS Elemental MediaPackage V2 | ||||||
| VOD do AWS Elemental MediaPackage | ||||||
| AWS Elemental MediaStore | ||||||
| AWS Elemental MediaTailor | ||||||
| AWS Casos de suporte do Elemental | ||||||
| AWS Conteúdo de suporte do Elemental | ||||||
| Amazon EMR | ||||||
| Amazon EMR no EKS | ||||||
| Amazon EMR Serverless | ||||||
| AWS Entity Resolution | ||||||
| Amazon EventBridge | ||||||
| Amazon EventBridge Pipes | ||||||
| Agendador do Amazon EventBridge | ||||||
| Amazon EventBridge Schemas | ||||||
| AWS Fault Injection Service | ||||||
| Amazon FinSpace | ||||||
| API do Amazon FinSpace | ||||||
| AWS Firewall Manager | ||||||
| Fleet Hub for AWS IoT Device Management | ||||||
| Amazon Forecast | ||||||
| Amazon Fraud Detector | ||||||
| FreeRTOS | ||||||
| Nível gratuito da AWS | ||||||
| Amazon FSx | ||||||
| Amazon GameLift | ||||||
| AWS Global Accelerator | ||||||
| AWS Glue | ||||||
| AWS Glue DataBrew | ||||||
| AWS Ground Station | ||||||
| Amazon Ground Truth Labeling | ||||||
| Amazon GuardDuty | ||||||
| APIs e notificações do AWS Health | ||||||
| AWS HealthImaging | ||||||
| AWS HealthLake | ||||||
| AWS HealthOmics | ||||||
| Amazon Honeycode | ||||||
| AWS IAM Identity Center | ||||||
| IAM Identity Center Directory | ||||||
| IAM Identity Center Identity Store | ||||||
| Serviço OIDC do IAM Identity Center | ||||||
| AWS Identity and Access Management (IAM) | ||||||
| AWS Identity and Access Management Access Analyzer | ||||||
| AWS Identity and Access Management Roles Anywhere | ||||||
| AWS Identity Store Auth | ||||||
| AWS Identity Sync | ||||||
| AWS Import/Export | ||||||
| Amazon Inspector | ||||||
| Amazon Inspector Classic | ||||||
| Amazon InspectorScan | ||||||
| Amazon Interactive Video Service | ||||||
| Amazon Interactive Video Service Chat | ||||||
| Faturamento da AWS | ||||||
| AWS IoT 1-Click | ||||||
| AWS IoT Analytics | ||||||
| AWS IoT | ||||||
| AWS IoT Core Device Advisor | ||||||
| AWS IoT Device Tester | ||||||
| AWS IoT Events | ||||||
| AWS IoT FleetWise | ||||||
| AWS IoT Greengrass | ||||||
| AWS IoT Greengrass V2 | ||||||
| AWS IoT Jobs DataPlane | ||||||
| AWS IoT RoboRunner | ||||||
| AWS IoT SiteWise | ||||||
| AWS IoT TwinMaker | ||||||
| AWS IoT Wireless | ||||||
| AWS IQ | ||||||
| Permissões do AWS IQ | ||||||
| Amazon Kendra | ||||||
| Amazon Kendra Intelligent Ranking | ||||||
| AWS Key Management Service (AWS KMS) | ||||||
| Amazon Keyspaces (for Apache Cassandra) | ||||||
| Amazon Managed Service for Apache Flink | ||||||
| Amazon Managed Service for Apache Flink V2 | ||||||
| Amazon Data Firehose | ||||||
| Amazon Kinesis Data Streams | ||||||
| Amazon Kinesis Video Streams | ||||||
| AWS Lake Formation | ||||||
| AWS Lambda | ||||||
| AWS Launch Wizard | ||||||
| Amazon Lex | ||||||
| Amazon Lex V2 | ||||||
| AWS License Manager | ||||||
| AWS License Manager Linux Subscriptions Manager | ||||||
| AWS License Manager Assinaturas de usuário | ||||||
|
Amazon Lightsail |
||||||
| Amazon Location Service | ||||||
| Amazon Lookout for Equipment | ||||||
| Amazon Lookout for Metrics | ||||||
| Amazon Lookout for Vision | ||||||
| Amazon Machine Learning | ||||||
| Amazon Macie | ||||||
| AWS Mainframe Modernization | ||||||
| Teste de aplicação AWS Mainframe Modernization | ||||||
| Amazon Managed Blockchain | ||||||
| Consulta ao Amazon Managed Blockchain | ||||||
| Amazon Managed Grafana | ||||||
| Amazon Managed Service for Prometheus | ||||||
| Amazon Managed Streaming for Apache Kafka (MSK) | ||||||
| Amazon Managed Streaming for Kafka Connect | ||||||
| Amazon Managed Workflows for Apache Airflow | ||||||
| AWS Marketplace | ||||||
| Catálogo do AWS Marketplace | ||||||
| AWS Marketplace Commerce Analytics | ||||||
| Serviço de implantação doAWS Marketplace | ||||||
| Descoberta do AWS Marketplace | ||||||
| AWS Marketplace Entitlement Service | ||||||
| AWS Marketplace Image Building Service | ||||||
| Portal de gerenciamento do AWS Marketplace | ||||||
| AWS Marketplace Metering Service | ||||||
| AWS Marketplace Private Marketplace | ||||||
| AWS Marketplace Procurement Systems Integration | ||||||
| Relatórios do vendedor do AWS Marketplace | ||||||
| AWS Marketplace Vendor Insights | ||||||
| Amazon Mechanical Turk | ||||||
| Amazon MediaImport | ||||||
| Amazon MemoryDB for Redis | ||||||
| Serviço de entrega de mensagens da Amazon | ||||||
| Serviço Amazon Message Gateway | ||||||
| AWS Microservice Extractor for .NET | ||||||
| Créditos do Programa para Aceleração da Migração para a AWS | ||||||
| AWS Migration Hub | ||||||
| AWS Migration Hub Orchestrator | ||||||
| AWS Migration Hub Refactor Spaces | ||||||
| AWS Migration Hub Strategy Recommendations | ||||||
| Amazon Monitron | ||||||
| Amazon MQ | ||||||
| Amazon Neptune | ||||||
| Análise do Amazon Neptune | ||||||
| AWS Network Firewall | ||||||
| AWS Network Manager | ||||||
| Chat AWS Network Manager | ||||||
| Amazon Nimble Studio | ||||||
| Amazon One Enterprise | ||||||
| Amazon OpenSearch Ingestion | ||||||
| Amazon OpenSearch Serverless | ||||||
| Amazon OpenSearch Service | ||||||
| AWS OpsWorks | ||||||
| Gerenciamento de configuração AWS OpsWorks | ||||||
| AWS Organizations | ||||||
| AWS Outposts | ||||||
| AWS Panorama | ||||||
| Gerenciamento de contas da AWS Partner Central | ||||||
| AWS Payment Cryptography | ||||||
| AWS Payments | ||||||
| AWS Performance Insights | ||||||
| Amazon Personalize | ||||||
| Amazon Pinpoint | ||||||
| Serviço de e-mail do Amazon Pinpoint | ||||||
| SMS e serviço de voz do Amazon Pinpoint | ||||||
| Amazon Pinpoint SMS and Voice Service V2 | ||||||
| Amazon Polly | ||||||
| AWS Price List | ||||||
| AWS 5G privado | ||||||
| AWS Private CA Connector for Active Directory | ||||||
| Conector do AWS Private CA para SCEP | ||||||
| AWS Private Certificate Authority (AWS Private CA) | ||||||
| AWS Proton | ||||||
| AWS Purchase Orders Console | ||||||
| Amazon Q Business | ||||||
| Aplicações do Amazon Q Business Q | ||||||
| Amazon Q Developer | ||||||
| Amazon Q in Connect | ||||||
| Amazon Quantum Ledger Database (Amazon QLDB) | ||||||
| Amazon QuickSight | ||||||
| API Data do Amazon RDS | ||||||
| Autenticação do IAM do Amazon RDS | ||||||
| Lixeira da AWS | ||||||
| Amazon Redshift | ||||||
| API de dados do Amazon Redshift | ||||||
| Amazon Redshift Serverless | ||||||
| Amazon Rekognition | ||||||
| Amazon Relational Database Service (Amazon RDS) (Informações) | ||||||
| AWS re:Post Privado | ||||||
| AWS Resilience Hub | ||||||
| AWS Resource Access Manager (AWS RAM) | ||||||
| Explorador de recursos da AWS | ||||||
| AWS Resource Groups | ||||||
| AWS Resource Groups Tagging API | ||||||
| Amazon RHEL Knowledgebase Portal | ||||||
| AWS RoboMaker | ||||||
| Amazon Route 53 | ||||||
| Amazon Route 53 Application Recovery Controller - Zonal Shift | ||||||
| Domínios do Amazon Route 53 | ||||||
| Perfis do Amazon Route 53 | ||||||
| Amazon Route 53 Recovery Cluster | ||||||
| Amazon Route 53 Recovery Control Config | ||||||
| Amazon Route 53 Recovery Readiness | ||||||
| Amazon Route 53 Resolver | ||||||
| Amazon S3 Express | ||||||
| Amazon S3 Glacier | ||||||
| Amazon SageMaker | ||||||
| Recursos geoespaciais do Amazon SageMaker | ||||||
| Amazon SageMaker Ground Truth Synthetic | ||||||
| AWS Savings Plans | ||||||
| AWS Secrets Manager | ||||||
| AWS Security Hub | ||||||
| Amazon Security Lake | ||||||
| AWS Security Token Service (AWS STS) | ||||||
| AWS Serverless Application Repository | ||||||
| AWS Service Catalog | ||||||
| Service Quotas | ||||||
| AWS Shield | ||||||
| AWS Signer | ||||||
| Acessar a AWS | ||||||
| Amazon SimpleDB | ||||||
| Amazon Simple Email Service ‐ Mail Manager | ||||||
| Amazon Simple Email Service (Amazon SES) v2 | ||||||
| Amazon Simple Notification Service (Amazon SNS) | ||||||
| Amazon Simple Queue Service (Amazon SQS) | ||||||
| Amazon Simple Storage Service (Amazon S3) | ||||||
| Objeto Lambda do Amazon Simple Storage Service (Amazon S3) | ||||||
| Amazon Simple Storage Service (Amazon S3) no AWS Outposts | ||||||
| Amazon Simple Workflow Service (Amazon SWF) | ||||||
| AWS SimSpace Weaver | ||||||
| AWS Site-to-Site VPN | ||||||
| AWS Snowball | ||||||
| AWS Snowball Edge | ||||||
| AWS Snow Device Management | ||||||
| AWS SQL Workbench | ||||||
| AWS Step Functions | ||||||
| AWS Storage Gateway | ||||||
| Cadeia de Suprimentos AWS | ||||||
| AWS Support App in Slack | ||||||
| AWS Support | ||||||
| AWS Support Planos | ||||||
| Recomendações do AWS Support | ||||||
| AWS Sustainability | ||||||
| AWS Systems Manager | ||||||
| AWS Systems Manager para SAP | ||||||
| AWS Systems Manager GUI Connect | ||||||
| AWS Systems Manager Incident Manager | ||||||
| Contatos do AWS Systems Manager Incident Manager | ||||||
| Tag Editor | ||||||
| AWS Tax Settings | ||||||
| AWS Telco Network Builder | ||||||
| Amazon Textract | ||||||
| Amazon Timestream | ||||||
| Amazon Timestream Influxdb | ||||||
| API do AWS Tiros (para o Reachability Analyzer) | ||||||
| Amazon Transcribe | ||||||
| AWS Transfer Family | ||||||
| Amazon Translate | ||||||
| AWS Trusted Advisor | ||||||
| Notificações ao usuário da AWS | ||||||
| Contatos de notificações de usuários da AWS | ||||||
| AWS Assinaturas de usuário | ||||||
| Acesso Verificado pela AWS | ||||||
| Amazon Verified Permissions | ||||||
| Amazon Virtual Private Cloud (Amazon VPC) | ||||||
| Amazon VPC Lattice | ||||||
| Serviços do Amazon VPC Lattice | ||||||
| AWS WAF | ||||||
| AWS WAF Classic | ||||||
| AWS WAF Regional | ||||||
| AWS Well-Architected Tool | ||||||
| AWS Wickr | ||||||
| Amazon WorkDocs | ||||||
| Amazon WorkMail | ||||||
| Amazon WorkMail Message Flow | ||||||
| Amazon WorkSpaces | ||||||
| Amazon WorkSpaces Secure Browser | ||||||
| Amazon WorkSpaces Thin Client | ||||||
| AWS X-Ray |
Mais informações
Amazon CloudFront
O CloudFront não tem perfis vinculados a serviço, mas o Lambda@Edge tem. Para obter mais informações, consulte Funções vinculadas ao serviço para o Lambda@Edge no Guia do desenvolvedor do Amazon CloudFront.
AWS CloudTrail
O CloudTrail oferece suporte a políticas baseadas em recursos somente em canais do CloudTrail usados para integrações do CloudTrail Lake com origens de eventos fora da AWS.
O CloudTrail oferece suporte ao controle de acesso baseado em tags para armazenamentos de dados e canais de eventos do CloudTrail Lake. O CloudTrail não oferece suporte a controles de acesso baseados em tags para trilhas.
Amazon CloudWatch
Os perfis vinculados ao serviço do CloudWatch não podem ser criados usando o AWS Management Console e só oferecem suporte ao atributo Ações de alarme.
AWS CodeBuild
O CodeBuild é compatível com o compartilhamento de recursos entre contas usando o AWS RAM.
O CodeBuild é compatível com ABAC para ações baseadas em projetos.
AWS Config
O AWS Config é compatível com permissões em nível de recurso para agregação de dados de várias contas e várias regiões e regras do AWS Config. Para obter uma lista de recursos com suporte, consulte a seção Multi-Account Multi-Region Data Aggregation e a seção AWS Config Rules do Guia de APIs do AWS Config.
AWS Database Migration Service
Você pode criar e modificar políticas que são anexadas às chaves de criptografia do AWS KMS criadas para criptografar dados migrados para endpoints de destino compatíveis. Os endpoints de destino compatíveis incluem o Amazon Redshift e o Amazon S3. Para obter mais informações, consulte Criar e usar chaves do AWS KMS para criptografar dados de destino do Amazon Redshift e Criar chaves do AWS KMS para criptografar objetos de destino do Amazon S3 no Guia do usuário do AWS Database Migration Service.
Amazon Elastic Compute Cloud
Os perfis vinculados ao serviço do Amazon EC2 só podem ser usados para os seguintes atributos: solicitações de instância spot, solicitações de frota spot, frotas do Amazon EC2 e inicialização rápida de instâncias do Windows.
Amazon Elastic Container Service
Somente algumas ações do Amazon ECS são compatíveis com permissões no nível do recurso.
AWS Elemental MediaPackage
O MediaPackage é compatível com perfis vinculados a serviço para publicar logs de acesso do cliente no CloudWatch, mas não para outras ações de API.
AWS Identity and Access Management
O IAM é compatível com apenas um tipo de política baseada em recurso, chamada política de confiança de um perfil, que é anexado a um perfil do IAM. Para ter mais informações, consulte Concessão de permissões a um usuário para alternar funções.
O IAM é compatível com controle de acesso baseado em etiquetas para a maioria dos recursos do IAM. Para ter mais informações, consulte Recursos de etiquetas do IAM.
Somente algumas das ações de API do IAM podem ser chamadas com credenciais temporárias. Para obter mais informações, consulte Comparação de suas opções de API.
AWS IoT
Dispositivos conectados ao AWS IoT são autenticados usando certificados X.509 ou identidades do Amazon Cognito. Você pode anexar políticas do AWS IoT a um certificado X.509 ou uma identidade Amazon Cognito para controlar o que o dispositivo está autorizado a fazer. Para obter mais informações, consulte Segurança e identidade da AWS IoT no Guia do desenvolvedor da AWS IoT.
AWS Lambda
O Lambda é compatível com o controle de acesso por atributo (ABAC) para ações de API que usam uma função do Lambda como o recurso obrigatório. Camadas, mapeamentos de origem de eventos e recursos de configuração de assinatura de código não são aceitos.
O Lambda não tem perfis vinculados a serviços, mas o Lambda@Edge tem. Para obter mais informações, consulte Perfis vinculados ao serviço para o Lambda@Edge no Guia do desenvolvedor do Amazon CloudFront.
Amazon Lightsail
O Lightsail é parcialmente compatível com permissões no nível do recurso e com ABAC. Para obter mais informações, consulte Ações, recursos e chaves de condição do Amazon Lightsail.
Amazon Managed Streaming for Apache Kafka (MSK)
É possível anexar uma política de cluster a um cluster do Amazon MSK que tenha sido configurado para conectividade com várias VPCs.
AWS Network Manager
O AWS Cloud WAN também é compatível com perfis vinculados a serviço. Para obter mais informações, consulte AWS Cloud WAN service-linked roles no Guia do AWS Cloud WAN para Amazon VPC.
Amazon Relational Database Service
O Amazon Aurora é um mecanismo de banco de dados relacional gerenciado compatível com o MySQL e o PostgreSQL. Você pode escolher o Aurora MySQL ou o Aurora PostgreSQL como opção de mecanismo de banco de dados durante a configuração de novos servidores de banco de dados por meio do Amazon RDS. Para obter mais informações, consulte Gerenciamento de identidade e acesso no Amazon Aurora no Guia do usuário do Amazon Aurora.
Amazon Rekognition
As políticas baseadas em recursos só são permitidas para copiar modelos de Amazon Rekognition Custom Labels.
AWS Resource Groups
Os usuários podem assumir um perfil com uma política que permita operações de grupos de recurso.
Amazon SageMaker
Os perfis vinculados a serviço estão atualmente disponíveis para trabalhos de treinamento do SageMaker Studio e do SageMaker.
AWS Security Token Service
O AWS STS não tem “recursos”, mas permite a restrição de acesso de maneira semelhante aos usuários. Para obter mais informações, consulte Negação de acesso a credenciais de segurança temporárias por nome.
Somente algumas das operações da API para o AWS STS oferecem suporte a chamadas com credenciais temporárias. Para obter mais informações, consulte Comparação de suas opções de API.
Amazon Simple Email Service
Você só pode usar permissões no nível de recurso em instruções de política que se referem a ações relacionadas ao envio de e-mail, como ses:SendEmail ou ses:SendRawEmail. Para declarações de política que se referem a todas as outras ações, o elemento Resource só pode conter *.
Apenas a API do Amazon SES é compatível com credenciais de segurança temporárias. A interface SMTP do Amazon SES não é compatível com credenciais do SMTP derivadas de credenciais de segurança temporárias.
Amazon Simple Storage Service
O Amazon S3 é compatível com autorização baseada em etiqueta apenas para recursos de objeto.
O Amazon S3 é compatível com perfis vinculados a serviço da Lente de Armazenamento do Amazon S3.
AWS Trusted Advisor
O acesso da API ao Trusted Advisor é feito por meio da API do AWS Support e é controlado por políticas do IAM do AWS Support.
Amazon Virtual Private Cloud
Em uma política de usuário do IAM, não é possível restringir permissões para um endpoint da Amazon VPC específico. Qualquer elemento Action que inclua as ações de API ec2:*VpcEndpoint* ou ec2:DescribePrefixLists devem especificar ""Resource":
"*"". Para obter mais informações, consulte Gerenciamento de identidade e acesso para VPC endpoints e serviços de VPC endpoint no Guia do AWS PrivateLink.
A Amazon VPC permite anexar uma única política de recursos a um endpoint da VPC para restringir o que pode ser acessado por meio desse endpoint. Para obter mais informações sobre o uso de políticas baseadas em recursos para controlar o acesso a recursos a partir de endpoints específicos da Amazon VPC, consulte Controlar o acesso a serviços usando políticas de endpoint no Guia do AWS PrivateLink.
A Amazon VPC não tem perfis vinculados ao serviço, mas o AWS Transit Gateway sim. Para obter mais informações, consulte Use funções vinculadas ao serviço para o transit gateway no Guia do AWS Transit Gateway para Amazon VPC.
AWS X-Ray
O X-Ray não é compatível com permissões no nível de recurso para todas as ações.
O X-Ray é compatível com o acesso baseado em etiquetas para grupos e regras de amostragem.
