Información general del lenguaje de políticas de acceso para Amazon API Gateway - Amazon API Gateway
Elementos comunes en una política de acceso

Información general del lenguaje de políticas de acceso para Amazon API Gateway

Esta página describe los elementos básicos utilizados en las políticas de recursos de Amazon API Gateway.

Las políticas de recursos se especifican utilizando la misma sintaxis que para las políticas de IAM. Para obtener información completa acerca del lenguaje de políticas, consulte Información general de políticas de IAM y Referencia de políticas de AWS Identity and Access Management en la Guía del usuario de IAM.

Para obtener información sobre cómo decide un servicio de AWS si se permite o se deniega una solicitud determinada, consulte Determinar si se permite o deniega una solicitud.

Elementos comunes en una política de acceso

Una política de recursos contiene los siguientes elementos básicos:

  • Recursos: las API son los recursos de Amazon API Gateway para los que puede conceder o denegar permisos. En una política, se usa el nombre de recurso de Amazon (ARN) para identificar el recurso. También puede utilizar sintaxis abreviada, que API Gateway expande automáticamente al ARN completo al guardar una política de recursos. Para obtener más información, consulte Ejemplos de políticas de recursos de API Gateway.

    Para conocer el formato del elemento Resource completo, consulte Formato de Resource de permisos para ejecutar la API en API Gateway.

  • Acciones: para cada recurso, Amazon API Gateway admite un conjunto de operaciones. Con las palabras clave de acción puede identificar las operaciones del recurso que desea permitir o denegar.

    Por ejemplo, el permiso execute-api:Invoke autorizará al usuario a invocar una API previa solicitud del cliente.

    Para conocer el formato del elemento Action, consulte Formato de Action de permisos para ejecutar la API en API Gateway.

  • Efecto: el efecto que se obtendrá cuando el usuario solicite la acción específica. Puede ser Allow o Deny. También puede denegar de forma explícita el acceso a un recurso para asegurarse de que un usuario no obtenga acceso a él, aunque otra política se lo conceda.

    nota

    "Denegar de forma implícita" es lo mismo que "denegar de forma predeterminada".

    Una "negación implícita" es diferente de una "negación explícita". Para obtener más información, consulte Diferencia entre denegar de forma predeterminada y la denegación explícita.

  • Principal (Entidad principal): la cuenta o el usuario con permiso de acceso a las acciones y los recursos en la instrucción. En una política de recursos, la entidad principal es el usuario o la cuenta que recibe este permiso.

La política de recursos del ejemplo siguiente muestra los elementos comunes de política anteriores. La política concede acceso a la API bajo el account-id especificado en la región especificada a cualquier usuario cuya dirección IP de origen está en el bloque de direcciones 123.4.5.6/24. La política deniega todo el acceso a la API si la IP de origen del usuario no está dentro del rango.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}