Allgemeine AWS-Referenz
Referenzhandbuch (Version 1.0)

Amazon-Ressourcennamen (ARNs)

Amazon-Ressourcennamen (ARNs) sind eindeutige Bezeichner für AWS-Ressourcen. Ein ARN ist erforderlich, um eine Ressource im gesamten AWS-System eindeutig anzugeben, z. B. in IAM-Richtlinien, Amazon Relational Database Service-Tags (Amazon RDS) und API-Aufrufen.

ARN-Format

Im Folgenden sind allgemeine Formate für ARNs aufgeführt; welche Komponenten und Werte verwendet werden, hängt vom AWS-Service ab. Um einen ARN zu verwenden, ersetzen Sie den roten, kursiven Text im Beispiel durch Ihre eigenen Daten.

arn:partition:service:region:account-id:resource-id arn:partition:service:region:account-id:resource-type/resource-id arn:partition:service:region:account-id:resource-type:resource-id
Partition

Die Partition, in der sich die Ressource befindet. Für AWS-Standardregionen lautet die Partition aws. Wenn Sie Ressourcen in anderen Partitionen haben, lautet die Partition aws-partitionname. Beispielsweise ist die Partition für Ressourcen in der Region China (Peking) aws-cn.

Service nicht zulässig

Der Service-Namespace, der das AWS-Produkt identifiziert (z. B. Amazon S3, IAM oder Amazon RDS).

Region

Die Region, in der sich die Ressource befindet. Die ARNs für einige Ressourcen erfordern keine Region. Diese Komponente könnte daher weggelassen werden.

account-id

Die ID des AWS-Kontos, zu dem die Ressource gehört (ohne Bindestriche). Beispiel, 123456789012. Die ARNs für einige Ressourcen erfordern keine Kontonummer. Diese Komponente könnte daher weggelassen werden.

resource oder resource-type

Der Inhalt dieses Teils der ARN variiert je nach Service. Eine Ressourcen-ID kann der Name oder die ID der Ressource (z. B. Benutzer/Bob oder Instance/i-1234567890abcdef0) oder ein Ressourcenpfad sein. Einige Ressourcen-IDs enthalten beispielsweise eine übergeordnete Ressource (sub-resource-type/parent-resource/sub-resource) oder einen Qualifizierer, z. B. eine Version (resource-type: resource-name: qualifier).

Pfade in ARNs

Einige Ressourcen-ARNs können einen Pfad enthalten. In Amazon S3 ist die Ressourcen-ID beispielsweise ein Objektname mit Schrägstrichen (/) zur Bildung eines Pfads. Auch IAM-Benutzernamen und -Gruppennamen können Pfade enthalten.

In einigen Fällen können Pfade ein Platzhalterzeichen beinhalten, d. h. ein Sternchen (*). Wenn Sie beispielsweise eine IAM-Richtlinie schreiben, können Sie alle IAM-Benutzer angeben, die den Pfad product_1234 haben, indem Sie einen Platzhalter wie folgt verwenden:

arn:aws:iam::123456789012:user/Development/product_1234/*

Analog dazu können Sie user/* für alle Benutzer oder group/* für alle Gruppen angeben. Beispiele:

"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"

Es ist nicht möglich, einen Platzhalter zur Angabe aller Benutzer im Principal-Element in einer ressourcenbasierte Richtlinie oder einer Vertrauensrichtlinie für Rollen zu verwenden. Gruppen werden als Prinzipale in Richtlinien nicht unterstützt.

Das folgende Beispiel zeigt ARNs für einen Amazon S3-Bucket, in dem der Ressourcenname einen Pfad enthält:

arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my_corporate_bucket/Development/*

Es ist nicht möglich, einen Platzhalter in dem Teil der ARN zu verwenden, der den Ressourcentyp angibt, z. B. das Wort user in einem IAM-ARN.

Folgendes ist nicht zulässig:

arn:aws:iam::123456789012:u*

Ressourcen-ARNs

Die Dokumentation für AWS Identity and Access Management (IAM) listet die ARNs auf, die von jedem Service unterstützt werden, sowie ob die API-Aktionen Berechtigungen auf Ressourcenebene unterstützen. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services im IAM-Benutzerhandbuch.

Die folgenden Ressourcen werden von AWS-Services definiert, wie im IAM-Benutzerhandbuch dokumentiert.

Auf dieser Seite: