Elementos de política JSON do IAM: Action - AWS Identity and Access Management

Elementos de política JSON do IAM: Action

O elemento Action descreve a ação ou ações específicas que serão permitidas ou negadas. As instruções devem incluir um elemento Action ou NotAction. Cada serviço da AWS tem seu próprio conjunto de ações que descrevem as tarefas que você pode executar com aquele serviço. Por exemplo, a lista de ações do Amazon S3 está disponível em Especificação de permissões em uma política no Guia do usuário do Amazon Simple Storage Service, a lista de ações do Amazon EC2 está disponível em Referência de API do Amazon EC2 e a lista de ações do AWS Identity and Access Management está disponível em Referência de API do IAM. Para encontrar a lista de ações para outros serviços, consulte a documentação de referência de APIs do serviço.

Você especifica um valor usando um namespace de serviço, como um prefixo de ação (iam, ec2 sqs, sns, s3 etc.) seguido pelo nome da ação para permitir ou negar. O nome deve corresponder a uma ação compatível com o serviço. O prefixo e o nome da ação não diferenciam entre letras maiúsculas e minúsculas. Por exemplo, iam:ListAccessKeys é o mesmo que IAM:listaccesskeys. Os exemplos a seguir mostram elementos Action para diferentes serviços.

Ação do Amazon SQS

"Action": "sqs:SendMessage"

Ação do Amazon EC2

"Action": "ec2:StartInstances"

Ação do IAM

"Action": "iam:ChangePassword"

Ação do Amazon S3

"Action": "s3:GetObject"

Você pode especificar vários valores para o elemento Action.

"Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "ec2:StartInstances", "iam:ChangePassword", "s3:GetObject" ]

Você pode usar curingas de correspondência de vários caracteres (*) e curingas de correspondência de caractere único (?) para conceder acesso a todas as ações que o produto específico da AWS oferece. Por exemplo, o seguinte elemento Action se aplica a todas as ações do S3.

"Action": "s3:*"

Você também pode usar curingas (* ou ?) como parte do nome da ação. Por exemplo, o elemento Action a seguir se aplica a todas as ações do IAM que incluem a string AccessKey, incluindo CreateAccessKey, DeleteAccessKey, ListAccessKeys e UpdateAccessKey.

"Action": "iam:*AccessKey*"

Alguns serviços permitem que você limite as ações que estão disponíveis. Por exemplo, o Amazon SQS permite que você disponibilize apenas um subconjunto de todas as ações possíveis do Amazon SQS. Neste caso, o curinga * não permite o controle completo da fila; ele permite apenas o subconjunto de ações que você compartilhou. Para obter mais informações, consulte Noções básicas sobre permissões no Guia do desenvolvedor do Amazon Simple Queue Service.