本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon AWS 資源名稱識別資源 (ARNs)
Amazon 資源名稱 (ARNs) 可唯一識別 AWS 資源。我們需要ARN在您需要明確指定所有資源的時候 AWS,例如在IAM政策、Amazon Relational Database Service (AmazonRDS) 標籤和API呼叫中。
ARN格式
以下是的一般格式ARNs。特定格式視資源而定。若要使用ARN,請取代 italicized 包含資源特定資訊的文字。請注意,對ARNs於某些資源,會忽略區域、帳號 ID 或區域和帳號 ID 兩者。
arn:partition:service:region:account-id:resource-idarn:partition:service:region:account-id:resource-type/resource-idarn:partition:service:region:account-id:resource-type:resource-id
分割區-
資源所在的分割區。分區是一組區 AWS 域。每個 AWS 帳戶的範圍是一個分區。
以下是支援的分割區:
-
aws- AWS 地區 -
aws-cn- 中國區域 -
aws-us-gov- AWS GovCloud (US) 區域
-
服務-
識別 AWS 產品的服務命名空間。
region-
區域代碼。例如,請為美國東部 (俄亥俄) 指定
us-east-2。如需區域代碼清單,請參閱 AWS 一般參考 中的區域端點。 account-id-
擁有資源的 AWS 帳號識別碼 (不含連字號)。例如:
123456789012。 資源類型-
資源類型。例如,
vpc對於虛擬私有雲 (VPC)。 resource-id-
資源識別碼。這是資源名稱、資源 ID 或資源路徑。某些資源識別碼包括父項資源 (sub-resource-type/父資源/子資源) 或限定元,例如版本 (資源類型:資源:資源名稱:限定符)。
範例
- IAM使用者
-
ARN: AW: IAM::
123456789012:用戶/johndoe - SNS話題
-
坐標:AWN: 社交:
us-east-1:123456789012:example-sns-topic-name - VPC
-
陣列:aws: EC2:
us-east-1:123456789012:電腦/vpc-0e9801d129EXAMPLE
查找資源的ARN格式
的確切格式取ARN決於服務和資源類型。某些資源ARNs可以包含路徑、變數或萬用字元。若要查詢特定 AWS 資源的ARN格式,請開啟「服務授權參考」,開啟服務的頁面,然後瀏覽至資源類型表格。
中的路徑 ARNs
資源ARNs可以包含路徑。例如,在 Amazon S3 中,資源識別符是物件名稱,其中包含正斜線 (/) 來形成路徑。同樣地,IAM使用者名稱和群組名稱也可以包含路徑。IAM路徑中只允許使用英數字元和下列字元:正斜線 (/)、加號 (+)、等於 (=)、逗號 (,)、句號 (.)、at (@)、底線 (_) 和連字號 (-)。
在路徑中使用萬用字元
路徑可以包含萬用字元,也就是星號 (*)。例如,如果您要撰寫IAM原則,可以使用萬用字元指定路徑的所有product_1234使用IAM者,如下所示:
arn:aws:iam::123456789012:user/Development/product_1234/*
同樣地,您可以指定 user/* 來代表所有使用者,或指定 group/* 來代表所有群組,如以下範例所示:
"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"
下列範ARNs例顯示資源名稱包含路徑的 Amazon S3 儲存貯體:
arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my-corporate-bucket/Development/*
不正確的萬用字元用法
您不能在指定資源類型ARN的部分中使用萬用字元,例如 IAMARN. user 例如,不允許下列項目。
arn:aws:iam::123456789012:u* <== not allowed
