Processamento do contexto da solicitação

Ações: as ações que a entidade principal deseja executar.

Recursos: o objeto de recurso da AWS no qual as ações ou operações são executadas.

Entidade principal: o usuário, perfil ou usuário federado que enviou a solicitação. As informações sobre a entidade principal incluem as políticas que estão associadas à entidade principal.

Dados do ambiente – Informações sobre o endereço IP, o agente de usuário, o status do SSL habilitado ou a hora do dia.

Dados do recurso – Dados relacionados ao recurso que está sendo solicitado. Isso pode incluir informações como um nome da tabela do DynamoDB ou uma tag em uma instância do Amazon EC2.

Políticas de controle de recursos (RCPs) do AWS Organizations: as RCPs do Organizations especificam o número máximo de permissões disponíveis para recursos nas contas da sua organização ou unidade organizacional (UO). As RCPs se aplicam aos recursos nas contas de membros e afetam as permissões efetivas das entidades principais, incluindo o Usuário raiz da conta da AWS, independentemente de as entidades principais pertencerem à organização. As RCPs não se aplicam a recursos na conta de gerenciamento da organização e a chamadas feitas por perfis vinculados ao serviço.

Políticas de controle de serviço (SCPs) do AWS Organizations: as SCPs do Organizations especificam as permissões máximas disponíveis para entidades principais nas contas em uma organização ou unidade organizacional (UO). As SCPs se aplicam a entidades principais em contas-membro, incluindo cada Usuário raiz da conta da AWS. Se uma SCP estiver presente, as permissões concedidas por políticas baseadas em identidade e baseadas em recurso a entidades principais nas suas contas-membro somente estarão efetivas se a SCP permitir a ação. As únicas exceções são as entidades principais na conta de gerenciamento da organização e os perfis vinculados ao serviço.

Políticas baseadas em recursos: as políticas baseadas em recursos concedem permissões para as entidades principais especificadas na política. As permissões definem o que a entidade principal pode fazer com o recurso ao qual a política está anexada.

Limites de permissões do IAM: os limites de permissões são um atributo que define as permissões máximas que uma política baseada em identidade pode conceder a uma entidade do IAM (usuário ou perfil). Quando você definir um limite de permissões para uma entidade, a entidade poderá executar apenas as ações que sejam permitidas tanto pelas políticas baseadas em identidade quanto pelo seu limites de permissões. Em alguns casos, uma negação implícita em um limite de permissões pode limitar as permissões concedidas por uma política baseada em recursos. Para ter mais informações, consulte Como a lógica do código de imposição da AWS avalia as solicitações para permitir ou negar acesso.

Políticas baseadas em identidade: as políticas baseadas em identidade são anexadas a uma identidade do IAM (usuário, grupo de usuários ou função) e concedem permissões a entidades do IAM (usuários e funções). Se somente políticas baseadas em identidade se aplicarem a uma solicitação, o AWS verificará todas essas políticas para pelo menos um Allow.

Políticas de sessão: as políticas de sessão são políticas que você passa como parâmetros ao criar uma sessão temporária de forma programática para um perfil ou um usuário federado. Para criar uma sessão de função de forma programática, use uma das operações da API AssumeRole*. Quando você faz isso e passa políticas de sessão, as permissões de sessão resultantes são a interseção da política baseada em identidade do IAM e as políticas de sessão. Para criar uma sessão de usuário federado, use as chaves de acesso do usuário do IAM para chamar de forma programática a operação da API GetFederationToken. Para ter mais informações, consulte Políticas de sessão.