Ações, recursos e chaves de condição para AWS serviços - Referência de autorização do serviço

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ações, recursos e chaves de condição para AWS serviços

Cada AWS serviço pode definir ações, recursos e chaves de contexto de condições para uso em IAM políticas. Este tópico descreve como os elementos fornecidos para cada serviço estão documentados.

Cada tópico consiste em tabelas que fornecem a lista de ações, recursos e chaves de condição disponíveis.

A tabela de ações

A tabela Ações lista todas as ações que você pode usar no Action elemento IAM de uma declaração de política. Nem todas as API operações definidas por um serviço podem ser usadas como uma ação em uma IAM política. Alguns serviços incluem ações somente com permissão que não correspondem diretamente a uma operação. API Essas ações são indicadas com [permission only] (somente permissão). Use essa lista para determinar quais ações você pode usar em uma IAM política. Para obter mais informações sobre os Condition elementosAction,Resource, ou, consulte a referência IAM JSON de elementos de política. As colunas Actions (Ações) e Description (Descrição) da tabela são autodescritivas.

  • A coluna Access level (Nível de acesso) descreve como a ação é classificada (lista, leitura, gravação, gerenciamento de permissões ou marcação). Esta classificação pode ajudar você a compreender o nível de acesso que uma ação concede quando a usa em uma política. Para obter mais informações sobre níveis de acesso, consulte Noções básicas sobre resumos de nível de acesso em resumos de política.

  • A coluna Tipos de recursos indica se a ação é compatível com permissões em nível de recurso. Se a coluna estiver vazia, a ação não oferecerá suporte a permissões no nível do recurso e você deverá especificar todos os recursos ("*") em sua política. Se a coluna incluir um tipo de recurso, você poderá especificar o recurso ARN no Resource elemento da sua política. Para obter mais informações sobre esse recurso, consulte essa linha na tabela Resource Types (Tipos de recursos). Todas as ações e recursos incluídos em uma declaração devem ser compatíveis entre si. Se você especificar um recurso que não é válido para a ação, qualquer solicitação para usar essa ação falhará e o Effect da declaração não será aplicado.

    Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar uma permissão ARN em nível de recurso em uma declaração usando essa ação, ela deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

  • A coluna Condition keys (Chaves de condição) inclui chaves que você pode especificar em um elemento Condition da declaração de política. As chaves de condição podem ser compatíveis com uma ação ou com uma ação e um recurso específico. Preste atenção se a chave está na mesma linha que um tipo de recurso específico. Essa tabela não inclui chaves de condição globais que estão disponíveis para qualquer ação ou em circunstâncias não relacionadas. Para obter mais informações sobre chaves de condição globais, consulte Chaves de contexto de condição globais da AWS.

  • A coluna Ações dependentes inclui todas as permissões adicionais que você deve ter, além da permissão para a própria ação, para chamar a ação com êxito. Isso pode ser necessário se a ação acessar mais de um recurso.

    As ações dependentes não são necessárias em todos os cenários. Consulte a documentação específica do serviço para obter mais informações sobre como fornecer permissões granulares aos usuários.

A tabela de tipos de recursos

A tabela de tipos de recursos lista todos os tipos de recursos que você pode especificar como um ARN elemento Resource de política. Nem todo tipo de recurso pode ser especificado com cada ação. Alguns tipos de recursos funcionam apenas com determinadas ações. Se você especificar um tipo de recurso em uma instrução com uma ação que não oferece suporte a esse tipo de recurso, a instrução não permitirá o acesso. Para obter mais informações sobre o Resource elemento, consulte elementos IAM JSON de política: Recurso.

  • A ARNcoluna especifica o formato Amazon Resource Name (ARN) que você deve usar para referenciar recursos desse tipo. As partes que são precedidas por um $ devem ser substituídas pelos valores reais de seu cenário. Por exemplo, se você ver $user-name em umARN, deverá substituir essa string pelo nome real do usuário ou por uma variável de política que contenha o nome do usuário. Para obter mais informações sobreARNs, consulte IAMARNs.

  • A coluna Chaves de condição especifica as chaves de contexto de condição que você pode incluir em uma declaração de IAM política somente quando esse recurso e uma ação de suporte da tabela acima estão incluídos na declaração.

A tabela de chaves de condição

A tabela de chaves de condição lista todas as chaves de contexto de condição que você pode usar no Condition elemento IAM de uma declaração de política. Nem todas as chaves podem ser especificadas com cada ação ou recurso. Algumas chaves só funcionam com certos tipos de ações e recursos. Para obter mais informações sobre o Condition elemento, consulte elementos IAM JSON da política: Condição.

  • A coluna Type (Tipo) especifica o tipo de dados da chave de condição. Esse tipo de dados determina quais operadores de condição você pode usar para comparar valores na solicitação com os valores na declaração de política. Você deve usar um operador que seja apropriado para o tipo de dados. Se você usar um operador incorreto, a correspondência sempre falhará e a declaração da política nunca se aplicará.

    Se a coluna Type (Tipo) especificar uma “Lista de...” um dos tipos simples, você poderá usar várias chaves e valores em suas políticas. Faça isso usando prefixos de conjunto de condições com os operadores. Use o prefixo ForAllValues para especificar que todos os valores na solicitação devem corresponder a um valor na declaração de política. Use o prefixo ForAnyValue para especificar que pelo menos um valor na solicitação corresponde a um dos valores na declaração de política.

Tópicos