Ações, recursos e chaves de condição dos serviços da AWS
Cada serviço da AWS pode definir ações, recursos e chaves de contexto de condição para uso em políticas do IAM. Este tópico descreve como os elementos fornecidos para cada serviço estão documentados.
Cada tópico consiste em tabelas que fornecem a lista de ações, recursos e chaves de condição disponíveis.
A tabela de ações
A tabela Actions (Ações) lista todas as ações que você pode usar em um elemento Action
de declaração de política do IAM. Nem todas as operações da API que são definidas por um serviço podem ser usadas como uma ação em uma política do IAM. Alguns serviços incluem ações somente de permissão que não correspondem diretamente a uma operação de API. Essas ações são indicadas com [permission only] (somente permissão). Use esta lista para determinar quais ações podem ser usadas em uma política do IAM. Para obter mais informações sobre os elementos Action
, Resource
ou Condition
, consulte Referência de elementos de políticas JSON do IAM. As colunas Actions (Ações) e Description (Descrição) da tabela são autodescritivas.
-
A coluna Access level (Nível de acesso) descreve como a ação é classificada (lista, leitura, gravação, gerenciamento de permissões ou marcação). Esta classificação pode ajudar você a compreender o nível de acesso que uma ação concede quando a usa em uma política. Para obter mais informações sobre níveis de acesso, consulte Noções básicas sobre resumos de nível de acesso em resumos de política.
-
A coluna Tipos de recursos indica se a ação é compatível com permissões em nível de recurso. Se a coluna estiver vazia, a ação não oferecerá suporte a permissões no nível do recurso e você deverá especificar todos os recursos ("*") em sua política. Se a coluna incluir um tipo de recurso, você poderá especificar o ARN do recurso no elemento
Resource
da política. Para obter mais informações sobre esse recurso, consulte essa linha na tabela Resource Types (Tipos de recursos). Todas as ações e recursos incluídos em uma declaração devem ser compatíveis entre si. Se você especificar um recurso que não é válido para a ação, qualquer solicitação para usar essa ação falhará e oEffect
da declaração não será aplicado.Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.
-
A coluna Condition keys (Chaves de condição) inclui chaves que você pode especificar em um elemento
Condition
da declaração de política. As chaves de condição podem ser compatíveis com uma ação ou com uma ação e um recurso específico. Preste atenção se a chave está na mesma linha que um tipo de recurso específico. Essa tabela não inclui chaves de condição globais que estão disponíveis para qualquer ação ou em circunstâncias não relacionadas. Para obter mais informações sobre chaves de condição globais, consulte Chaves de contexto de condição globais da AWS. -
A coluna Ações dependentes inclui todas as permissões adicionais que você deve ter, além da permissão para a própria ação, para chamar a ação com êxito. Isso pode ser necessário se a ação acessar mais de um recurso.
As ações dependentes não são necessárias em todos os cenários. Consulte a documentação específica do serviço para obter mais informações sobre como fornecer permissões granulares aos usuários.
A tabela de tipos de recursos
A tabela Resource Types (Tipos de recursos) lista todos os tipos de recursos que você pode especificar como um ARN no elemento Resource
da política. Nem todo tipo de recurso pode ser especificado com cada ação. Alguns tipos de recursos funcionam apenas com determinadas ações. Se você especificar um tipo de recurso em uma instrução com uma ação que não oferece suporte a esse tipo de recurso, a instrução não permitirá o acesso. Para obter mais informações sobre o elemento Resource
, consulte Elementos de políticas JSON do IAM: recurso.
-
A coluna ARN especifica o nome do recurso da Amazon (ARN) que você deve usar para fazer referência a recursos desse tipo. As partes que são precedidas por um $ devem ser substituídas pelos valores reais de seu cenário. Por exemplo, se vir
$user-name
em um ARN, você deverá substituir essa string pelo nome do usuário efetivo ou por uma variável de política que contenha um nome do usuário. Para obter mais informações sobre ARNs, consulte ARNs do IAM. -
A coluna Condition Keys (Chaves de condição) especifica chaves de contexto de condição que você pode incluir em uma declaração de política do IAM apenas quando esse recurso e uma ação compatível estão incluídos na declaração.
A tabela de chaves de condição
A tabela Condition Keys (Chaves de condição) lista todas as chaves de contexto de condição que você pode usar em um elemento Condition
de declaração de política do IAM. Nem todas as chaves podem ser especificadas com cada ação ou recurso. Algumas chaves só funcionam com certos tipos de ações e recursos. Para obter mais informações sobre o elemento Condition
, consulte Elementos de políticas JSON do IAM: condição.
-
A coluna Type (Tipo) especifica o tipo de dados da chave de condição. Esse tipo de dados determina quais operadores de condição você pode usar para comparar valores na solicitação com os valores na declaração de política. Você deve usar um operador que seja apropriado para o tipo de dados. Se você usar um operador incorreto, a correspondência sempre falhará e a declaração da política nunca se aplicará.
Se a coluna Type (Tipo) especificar uma “Lista de...” um dos tipos simples, você poderá usar várias chaves e valores em suas políticas. Faça isso usando prefixos de conjunto de condições com os operadores. Use o prefixo
ForAllValues
para especificar que todos os valores na solicitação devem corresponder a um valor na declaração de política. Use o prefixoForAnyValue
para especificar que pelo menos um valor na solicitação corresponde a um dos valores na declaração de política.
Tópicos
- AWS Account Management
- AWS Ativar
- Alexa for Business
- AmazonMediaImport
- AWS Amplify
- AWS Amplify Admin
- AWS Amplify UI Builder
- APIs do Apache Kafka para clusters do Amazon MSK
- Amazon API Gateway
- Amazon API Gateway Management
- Amazon API Gateway Management V2
- AWS App Mesh
- AWS Visualização do App Mesh
- AWS App Runner
- AWS App Studio
- AWS App2Container
- AWS AppConfig
- AWS AppFabric
- Amazon AppFlow
- Amazon AppIntegrations
- AWS Application Auto Scaling
- AWS Application Cost Profiler Service
- Application Discovery Arsenal
- AWS Application Discovery Service
- AWS Application Migration Service
- AWS Application Transformation Service
- Amazon AppStream 2.0
- AWS AppSync
- AWS Artifact
- Amazon Athena
- AWS Audit Manager
- Auto Scaling do AWS
- AWS B2B Data Interchange
- AWS Backup
- AWS Backup Gateway
- Armazenamento do AWS Backup
- Lote do AWS
- Amazon Bedrock
- AWS Billing
- AWS Billing And Cost Management Data Exports
- AWS Billing Conductor
- Console do AWS Billing
- Amazon Braket
- AWS Budget Service
- AWS BugBust
- AWS Certificate Manager
- Chatbot da AWS
- Amazon Chime
- AWS Clean Rooms
- AWS Clean Rooms ML
- Nuvem AWS Control API
- Amazon Cloud Directory
- Nuvem AWS Map
- AWS Cloud9
- AWS CloudFormation
- Amazon CloudFront
- Amazon CloudFront KeyValueStore
- AWS CloudHSM
- Amazon CloudSearch
- AWS CloudShell
- AWS CloudTrail
- AWS CloudTrail Data
- Amazon CloudWatch
- Amazon CloudWatch Application Insights
- Amazon CloudWatch Application Signals
- Amazon CloudWatch Evidently
- Amazon CloudWatch Internet Monitor
- Amazon CloudWatch Logs
- Amazon CloudWatch Network Monitor
- Amazon CloudWatch Observability Access Manager
- AWS CloudWatch RUM
- Amazon CloudWatch Synthetics
- AWS CodeArtifact
- AWS CodeBuild
- Amazon CodeCatalyst
- AWS CodeCommit
- AWS CodeConnections
- AWS CodeDeploy
- Serviço de comandos de host seguro do AWS CodeDeploy
- Amazon CodeGuru
- Amazon CodeGuru Profiler
- Amazon CodeGuru Reviewer
- Amazon CodeGuru Security
- AWS CodePipeline
- AWS CodeStar
- AWS CodeStar Connections
- AWS CodeStar Notifications
- Amazon CodeWhisperer
- Amazon Cognito Identity
- Amazon Cognito Sync
- Grupos de usuários do Amazon Cognito
- Amazon Comprehend
- Amazon Comprehend Medical
- AWS Compute Optimizer
- AWS Config
- Amazon Connect
- Amazon Connect Cases
- Amazon Connect Customer Profiles
- Amazon Connect Voice ID
- AWS Connector Service
- Aplicativo móvel do AWS Management Console
- AWS Consolidated Billing
- AWS Control Catalog
- AWS Control Tower
- Relatório de custos e uso da AWS
- AWS Cost Explorer Service
- Hub de Otimização de Custos da AWS
- AWS Customer Verification Service
- AWS Data Exchange
- Amazon Data Lifecycle Manager
- AWS Data Pipeline
- AWS Database Migration Service
- Database Query Metadata Service
- DataSync AWS
- Amazon DataZone
- AWS Deadline Cloud
- AWS DeepComposer
- AWS DeepLens
- AWS DeepRacer
- Amazon Detective
- AWS Device Farm
- Amazon DevOps Guru
- Ferramentas de diagnóstico da AWS
- AWS Direct Connect
- AWS Directory Service
- AWS Directory Service Data
- Amazon DocumentDB Elastic Clusters
- Amazon DynamoDB
- Amazon DynamoDB Accelerator (DAX)
- Amazon EC2
- Amazon EC2 Auto Scaling
- Amazon EC2 Image Builder
- Amazon EC2 Instance Connect
- Amazon EKS Auth
- AWS Elastic Beanstalk
- Amazon Elastic Block Store
- Amazon Elastic Container Registry
- Amazon Elastic Container Registry
- Amazon Elastic Container Service
- AWS Elastic Disaster Recovery
- Amazon Elastic File System
- Amazon Elastic Inference
- Amazon Elastic Kubernetes Service
- AWS Elastic Load Balancing
- AWS Elastic Load Balancing V2
- Amazon Elastic MapReduce
- Amazon Elastic Transcoder
- Amazon ElastiCache
- Dispositivos e software do AWS Elemental
- AWS Elemental Appliances and Software Activation Service
- AWS Elemental MediaConnect
- AWS Elemental MediaConvert
- AWS Elemental MediaLive
- AWS Elemental MediaPackage
- AWS Elemental MediaPackage V2
- AWS Elemental MediaPackage VOD
- AWS Elemental MediaStore
- AWS Elemental MediaTailor
- AWS Elemental Support Cases
- AWS Elemental Support Content
- Amazon EMR em EKS (EMR Containers)
- Amazon EMR Serverless
- Mensagens sociais dos usuários finais da AWS
- AWS Entity Resolution
- Amazon EventBridge
- Amazon EventBridge Pipes
- Agendador do Amazon EventBridge
- Amazon EventBridge Schemas
- AWS Fault Injection Service
- Amazon FinSpace
- API do Amazon FinSpace
- AWS Firewall Manager
- Amazon Forecast
- Amazon Fraud Detector
- Nível gratuito da AWS
- Amazon FreeRTOS
- Amazon FSx
- Amazon GameLift
- AWS Global Accelerator
- AWS Glue
- AWS Glue DataBrew
- AWS Ground Station
- Amazon GroundTruth Labeling
- Amazon GuardDuty
- AWS Health APIs and Notifications
- AWS HealthImaging
- AWS HealthLake
- AWS HealthOmics
- Alto volume de comunicações de saída
- Amazon Honeycode
- AWS IAM Access Analyzer
- AWS IAM Identity Center (sucessor do AWS Single Sign-On)
- Diretório do AWS IAM Identity Center (sucessor do AWS Single Sign-On)
- Serviço OIDC do Centro de Identidade do AWS IAM
- AWS Identity and Access Management (IAM)
- AWS Identity and Access Management Roles Anywhere
- Armazenamento de identidades do AWS
- AWS Identity Store Auth
- AWS Identity Sync
- AWS Import Export Disk Service
- Amazon Inspector
- Amazon Inspector2
- Amazon InspectorScan
- Amazon Interactive Video Service
- Chat do Amazon Interactive Video Service
- AWS Invoicing Service
- AWS IoT
- AWS IoT 1-Click
- AWS IoT Analytics
- AWS IoT Core Device Advisor
- AWS IoT Device Tester
- AWS IoT Events
- AWS IoT Fleet Hub for Device Management
- AWS IoT FleetWise
- AWS IoT Greengrass
- AWS IoT Greengrass V2
- AWS IoT Jobs DataPlane
- AWS IoT SiteWise
- AWS IoT TwinMaker
- AWS IoT Wireless
- AWS IQ
- AWS IQ Permissions
- Amazon Kendra
- Amazon Kendra Intelligent Ranking
- AWS Key Management Service
- Amazon Keyspaces (for Apache Cassandra)
- Amazon Kinesis Analytics
- Amazon Kinesis Analytics V2
- Amazon Kinesis Data Streams
- Amazon Kinesis Firehose
- Amazon Kinesis Video Streams
- AWS Lake Formation
- AWS Lambda
- AWS Launch Wizard
- Amazon Lex
- Amazon Lex V2
- AWS License Manager
- AWS License Manager Linux Subscriptions Manager
- AWS License Manager User Subscriptions
- Amazon Lightsail
- Amazon Location
- Amazon Lookout for Equipment
- Amazon Lookout for Metrics
- Amazon Lookout for Vision
- Amazon Machine Learning
- Amazon Macie
- Application Testing do AWS Mainframe Modernization
- AWS Mainframe Modernization Service
- Amazon Managed Blockchain
- Amazon Managed Blockchain Query
- Amazon Managed Grafana
- Amazon Managed Service for Prometheus
- Amazon Managed Streaming for Apache Kafka
- Amazon Managed Streaming for Kafka Connect
- Amazon Managed Workflows for Apache Airflow
- AWS Marketplace
- Catálogo do AWS Marketplace
- Serviço de analytics de comércio do AWS Marketplace
- Serviço de Implantação da AWS Marketplace
- AWS Marketplace Discovery
- AWS Marketplace Serviço de autorização
- AWS Marketplace Image Building Service
- AWS Marketplace Management Portal
- Serviço de medição do AWS Marketplace
- AWS Marketplace Marketplace privado
- AWS Marketplace Procurement Systems Integration
- AWS Marketplace Reporting
- AWS Marketplace Seller Reporting
- AWS Marketplace Vendor Insights
- Amazon Mechanical Turk
- Amazon MemoryDB
- Serviço de entrega de mensagens da Amazon
- Serviço Amazon Message Gateway
- AWS Microservice Extractor for .NET
- Créditos do Programa de Aceleração da Migração da AWS
- AWS Migration Hub
- AWS Migration Hub Orchestrator
- AWS Migration Hub Refactor Spaces
- AWS Migration Hub Strategy Recommendations
- Amazon Mobile Analytics
- Amazon Monitron
- Amazon MQ
- Amazon Neptune
- Amazon Neptune Analytics
- AWS Network Firewall
- Gerenciador de rede AWS
- AWS Network Manager Chat
- Amazon Nimble Studio
- Amazon One Enterprise
- Amazon OpenSearch Ingestion
- Amazon OpenSearch Serverless
- Amazon OpenSearch Service
- AWS OpsWorks
- AWS OpsWorks Configuration Management
- AWS Organizations
- AWS Outposts
- AWS Panorama
- AWS Parallel Computing Service
- Gerenciamento de contas da Central de Parceiros da AWS
- AWS Payment Cryptography
- AWS Payments
- AWS Performance Insights
- Amazon Personalize
- Amazon Pinpoint
- Serviço de e-mail do Amazon Pinpoint
- SMS e serviço de voz do Amazon Pinpoint
- Amazon Pinpoint SMS Voice V2
- Amazon Polly
- Tabela de preços da AWS
- AWS Private CA Connector for Active Directory
- AWS Private CA Connector para SCEP
- Private Certificate Authority do AWS
- AWS Proton
- Console do AWS Purchase Orders
- Amazon Q
- Amazon Q Business
- Aplicações do Amazon Q Business Q
- Amazon Q in Connect
- Amazon QLDB
- Amazon QuickSight
- Amazon RDS
- API Data do Amazon RDS
- Autenticação do IAM do Amazon RDS
- AWS re:Post Private
- AWS Recycle Bin
- Amazon Redshift
- API de dados do Amazon Redshift
- Amazon Redshift sem servidor
- Amazon Rekognition
- AWS Resilience Hub
- AWS Resource Access Manager (RAM)
- AWS Resource Explorer
- API de marcação por etiquetas de resource groups da Amazon
- AWS Resource Groups
- Amazon RHEL Knowledgebase Portal
- AWS RoboMaker
- Amazon Route 53
- Amazon Route 53 Application Recovery Controller - Zonal Shift
- Domínios do Amazon Route 53
- Perfis do Amazon Route 53
- Amazon Route 53 Recovery Cluster
- Amazon Route 53 Recovery Controls
- Amazon Route 53 Recovery Readiness
- Amazon Route 53 Resolver
- Amazon S3
- Amazon S3 Express
- Amazon S3 Glacier
- Amazon S3 Object Lambda
- Amazon S3 on Outposts
- Amazon SageMaker
- Recursos geoespaciais do Amazon SageMaker
- Amazon SageMaker Ground Truth Synthetic
- Amazon SageMaker com MLFlow
- Savings Plans do AWS
- AWS Secrets Manager
- Security Hub da AWS
- Amazon Security Lake
- AWS Security Token Service
- AWS Server Migration Service
- AWS Serverless Application Repository
- AWS Service Catalog
- Serviço da AWS que fornece redes privadas gerenciadas
- Service Quotas
- Amazon SES
- AWS Shield
- AWS Signer
- AWS Signin
- Mail Manager do Amazon Simple Email Service
- Amazon Simple Email Service v2
- Amazon Simple Workflow Service
- Amazon SimpleDB
- AWS SimSpace Weaver
- AWS Snow Device Management
- AWS Snowball
- Amazon SNS
- AWS SQL Workbench
- Amazon SQS
- AWS Step Functions
- AWS Storage Gateway
- AWS Supply Chain
- AWS Support
- Aplicativo AWS Support no Slack
- AWS Support Plans
- Recomendações do AWS Support
- AWS Sustainability
- AWS Systems Manager
- AWS Systems Manager para SAP
- AWS Systems Manager GUI Connect
- AWS Systems Manager Incident Manager
- AWS Systems Manager Incident Manager Contacts
- Configuração Rápida do AWS Systems Manager
- Tag Editor
- AWS Tax Settings
- AWS Telco Network Builder
- Amazon Textract
- Amazon Timestream
- Amazon Timestream InfluxDB
- AWS Tiros
- Amazon Transcribe
- AWS Transfer Family
- Amazon Translate
- AWS Trusted Advisor
- AWS User Notifications
- AWS User Notifications Contacts
- AWS User Subscriptions
- AWS Verified Access
- Amazon Verified Permissions
- Amazon VPC Lattice
- Serviços do Amazon VPC Lattice
- AWS WAF
- AWS WAF Regional
- AWS WAF V2
- AWS Well-Architected Tool
- AWS Wickr
- Amazon WorkDocs
- Amazon WorkLink
- Amazon WorkMail
- Amazon WorkMail Message Flow
- Amazon WorkSpaces
- Amazon WorkSpaces Application Manager
- Amazon WorkSpaces Secure Browser
- Amazon WorkSpaces Thin Client
- AWS X-Ray