Amazon-Ressourcennamen (ARNs)

Amazon-Ressourcennamen (ARNs) identifizieren AWS Ressourcen eindeutig. Wir benötigen einen ARN, wenn Sie eine Ressource in allen eindeutig angeben müssen AWS, z. B. in IAM-Richtlinien, Amazon Relational Database Service (Amazon RDS)-Tags und API-Aufrufen.

ARN-Format

Im Folgenden finden Sie die allgemeinen Formate für ARNs. Die spezifischen Formate hängen von der Ressource ab. Um einen ARN zu verwenden, ersetzen Sie den kursiv formatierten Text durch die ressourcenspezifischen Informationen. Beachten Sie, dass die ARNs für einige Ressourcen die Region, die Konto-ID oder sowohl die Region als auch die Konto-ID weglassen.

arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id

partition

Die Partition, in der sich die Ressource befindet. Eine Partition ist eine Gruppe von AWS Regionen. Jedes AWS Konto ist auf eine Partition beschränkt.

Im Folgenden werden die unterstützten Partitionen angezeigt:

• aws - AWS Regionen

• aws-cn – China-Regionen

• aws-us-gov – AWS GovCloud (US) -Regionen

service

Der Service-Namespace, der das AWS Produkt identifiziert.

region

Der Regionscode. Zum Beispiel us-east-2 für USA Ost (Ohio). Eine Liste der Regionscodes finden Sie unter Regionale Endpunkte in der Allgemeine AWS-Referenz.

account-id

Die ID des AWS Kontos, das Eigentümer der Ressource ist, ohne Bindestriche. Beispiel: 123456789012

resource-type

Der Ressourcentyp. Zum Beispiel vpc für eine Virtual Private Cloud (VPC).

resource-id

Die Ressourcen-ID Dies ist der Name der Ressource, die ID der Ressource oder ein Ressourcenpfad. Einige Ressourcenkennungen enthalten eine übergeordnete Ressource (sub-resource-type/parent-resource/sub-resource) oder einen Qualifizierer wie eine Version (resource-type:resource-name:qualifier).

Beispiele

IAM-Benutzer

arn:aws:iam::123456789012:user/johndoe

SNS-Thema

arn:aws:sns:us-east-1:123456789012:example-sns-topic-name

VPC

arn:aws:ec2:us-east-1:123456789012:vpc/vpc-0e9801d129EXAMPLE

Suchen eines ARN-Formats für eine Ressource

Das genaue Format eines ARN hängt vom Service- und Ressourcentyp ab. Einige Ressourcen-ARNs können einen Pfad, eine Variable oder einen Platzhalter enthalten. Um das ARN-Format für eine bestimmte AWS Ressource nachzuschlagen, öffnen Sie die Service-Autorisierungsreferenz, öffnen Sie die Seite für den Service und navigieren Sie zur Tabelle der Ressourcentypen.

Pfade in ARNs

Ressourcen-ARNs können einen Pfad enthalten. In Amazon S3 ist die Ressourcen-ID beispielsweise ein Objektname mit Schrägstrichen (/) zur Bildung eines Pfads. Auch IAM-Benutzernamen und -Gruppennamen können Pfade enthalten. In IAM-Pfaden sind nur alphanumerische Zeichen und die folgenden Zeichen zulässig: Schrägstrich (/), Pluszeichen (+), Gleichheitszeichen (=), Komma (,), Punkt (.), At-Zeichen (@), Unterstrich (_) und Bindestrich (-).

Verwenden von Platzhaltern in Pfaden

Pfade können ein Platzhalterzeichen enthalten, und zwar ein Sternchen (*). Wenn Sie beispielsweise eine IAM-Richtlinie schreiben, können Sie alle IAM-Benutzer angeben, die den Pfad product_1234 haben, indem Sie einen Platzhalter wie folgt verwenden:

arn:aws:iam::123456789012:user/Development/product_1234/*

Analog dazu können Sie user/* für alle Benutzer oder group/* für alle Gruppen angeben. Beispiele:

"Resource":"arn:aws:iam::123456789012:user/*"
"Resource":"arn:aws:iam::123456789012:group/*"

Das folgende Beispiel zeigt ARNs für einen Amazon-S3-Bucket, in dem der Ressourcenname einen Pfad enthält:

arn:aws:s3:::my_corporate_bucket/*
arn:aws:s3:::my_corporate_bucket/Development/*

Falsche Verwendung von Platzhaltern

Es ist nicht möglich, einen Platzhalter in dem Teil der ARN zu verwenden, der den Ressourcentyp angibt, z. B. das Wort user in einem IAM-ARN. Beispielsweise ist Folgendes nicht zulässig:

arn:aws:iam::123456789012:u*   <== not allowed