Ações, recursos e chaves de condição dos serviços da AWS - Referência de autorização do serviço

Ações, recursos e chaves de condição dos serviços da AWS

Cada serviço da AWS pode definir ações, recursos e chaves de contexto de condição para uso em políticas do IAM. Este tópico descreve como os elementos fornecidos para cada serviço estão documentados.

Cada tópico consiste em tabelas que fornecem a lista de ações, recursos e chaves de condição disponíveis.

A tabela de ações

A tabela Actions (Ações) lista todas as ações que você pode usar em um elemento Action de declaração de política do IAM. Nem todas as operações da API que são definidas por um serviço podem ser usadas como uma ação em uma política do IAM. Alguns serviços incluem ações somente de permissão que não correspondem diretamente a uma operação de API. Essas ações são indicadas com [permission only] (somente permissão). Use esta lista para determinar quais ações podem ser usadas em uma política do IAM. Para obter mais informações sobre os elementos Action, Resource ou Condition, consulte Referência de elementos de políticas JSON do IAM. As colunas Actions (Ações) e Description (Descrição) da tabela são autodescritivas.

  • A coluna Access level (Nível de acesso) descreve como a ação é classificada (lista, leitura, gravação, gerenciamento de permissões ou marcação). Esta classificação pode ajudar você a compreender o nível de acesso que uma ação concede quando a usa em uma política. Para obter mais informações sobre níveis de acesso, consulte Noções básicas sobre resumos de nível de acesso em resumos de política.

  • A coluna Tipos de recursos indica se a ação é compatível com permissões em nível de recurso. Se a coluna estiver vazia, a ação não oferecerá suporte a permissões no nível do recurso e você deverá especificar todos os recursos ("*") em sua política. Se a coluna incluir um tipo de recurso, você poderá especificar o ARN do recurso no elemento Resource da política. Para obter mais informações sobre esse recurso, consulte essa linha na tabela Resource Types (Tipos de recursos). Todas as ações e recursos incluídos em uma declaração devem ser compatíveis entre si. Se você especificar um recurso que não é válido para a ação, qualquer solicitação para usar essa ação falhará e o Effect da declaração não será aplicado.

    Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

  • A coluna Condition keys (Chaves de condição) inclui chaves que você pode especificar em um elemento Condition da declaração de política. As chaves de condição podem ser compatíveis com uma ação ou com uma ação e um recurso específico. Preste atenção se a chave está na mesma linha que um tipo de recurso específico. Essa tabela não inclui chaves de condição globais que estão disponíveis para qualquer ação ou em circunstâncias não relacionadas. Para obter mais informações sobre chaves de condição globais, consulte Chaves de contexto de condição globais da AWS.

  • A coluna Ações dependentes inclui todas as permissões adicionais que você deve ter, além da permissão para a própria ação, para chamar a ação com êxito. Isso pode ser necessário se a ação acessar mais de um recurso.

    As ações dependentes não são necessárias em todos os cenários. Consulte a documentação específica do serviço para obter mais informações sobre como fornecer permissões granulares aos usuários.

A tabela de tipos de recursos

A tabela Resource Types (Tipos de recursos) lista todos os tipos de recursos que você pode especificar como um ARN no elemento Resourceda política. Nem todo tipo de recurso pode ser especificado com cada ação. Alguns tipos de recursos funcionam apenas com determinadas ações. Se você especificar um tipo de recurso em uma instrução com uma ação que não oferece suporte a esse tipo de recurso, a instrução não permitirá o acesso. Para obter mais informações sobre o elemento Resource, consulte Elementos de políticas JSON do IAM: recurso.

  • A coluna ARN especifica o nome do recurso da Amazon (ARN) que você deve usar para fazer referência a recursos desse tipo. As partes que são precedidas por um $ devem ser substituídas pelos valores reais de seu cenário. Por exemplo, se vir $user-name em um ARN, você deverá substituir essa string pelo nome do usuário efetivo ou por uma variável de política que contenha um nome do usuário. Para obter mais informações sobre ARNs, consulte ARNs do IAM.

  • A coluna Condition Keys (Chaves de condição) especifica chaves de contexto de condição que você pode incluir em uma declaração de política do IAM apenas quando esse recurso e uma ação compatível estão incluídos na declaração.

A tabela de chaves de condição

A tabela Condition Keys (Chaves de condição) lista todas as chaves de contexto de condição que você pode usar em um elemento Condition de declaração de política do IAM. Nem todas as chaves podem ser especificadas com cada ação ou recurso. Algumas chaves só funcionam com certos tipos de ações e recursos. Para obter mais informações sobre o elemento Condition, consulte Elementos de políticas JSON do IAM: condição.

  • A coluna Type (Tipo) especifica o tipo de dados da chave de condição. Esse tipo de dados determina quais operadores de condição você pode usar para comparar valores na solicitação com os valores na declaração de política. Você deve usar um operador que seja apropriado para o tipo de dados. Se você usar um operador incorreto, a correspondência sempre falhará e a declaração da política nunca se aplicará.

    Se a coluna Type (Tipo) especificar uma “Lista de...” um dos tipos simples, você poderá usar várias chaves e valores em suas políticas. Faça isso usando prefixos de conjunto de condições com os operadores. Use o prefixo ForAllValues para especificar que todos os valores na solicitação devem corresponder a um valor na declaração de política. Use o prefixo ForAnyValue para especificar que pelo menos um valor na solicitação corresponde a um dos valores na declaração de política.

Tópicos