Nombres de recursos de Amazon (ARN) - Referencia general de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Nombres de recursos de Amazon (ARN)

Los nombres de recursos de Amazon (ARN) identifican de forma exclusiva los recursos de AWS. Se requiere un ARN cuando sea preciso especificar un recurso de forma inequívoca para todoAWS, como en las políticas de IAM, las etiquetas de Amazon Relational Database Service (Amazon RDS) y las llamadas a la API.

LaReferencia de autorizaciones de servicioenumera los ARN que puede usar en las políticas de IAM.

Formato de ARN

A continuación se muestran los formatos generales para los ARN. Los formatos específicos dependen del recurso. Para utilizar un ARN, reemplace el texto en cursiva por la información específica del recurso. Tenga en cuenta que los ARN de algunos recursos omiten la región, el ID de la cuenta o ambos.

arn:partition:service:region:account-id:resource-id arn:partition:service:region:account-id:resource-type/resource-id arn:partition:service:region:account-id:resource-type:resource-id
partition

La partición en la que se encuentra el recurso. Una partición es un grupo de regiones de AWS. Cada cuenta de AWS está limitada a una partición.

Las siguientes son las particiones admitidas:

  • aws: regiones de AWS

  • aws-cn - Regiones de China

  • aws-us-gov: regiones de AWS GovCloud (US)

service

Espacio de nombres del servicio que identificaAWSproducto). Por ejemplo,s3para Amazon S3. Para encontrar un espacio de nombres de servicio, abra elReferencia de autorizaciones de servicio, abra la página del servicio y busque la frase «prefijo de servicio» en la primera frase. Por ejemplo, el siguiente texto aparece en la primera frase de la página de Amazon S3:

(service prefix: s3)
region

Código de región. Por ejemplo,us-east-2para EE. UU. Este (Ohio). Para obtener las lista de códigos de región, consultePuntos de enlace regionales.

account-id

El ID de laAWScuenta que posee el recurso, sin los guiones. Por ejemplo, 123456789012.

resource-id

El identificador del recurso. Esta parte del ARN puede ser el nombre o ID del recurso o una ruta del recurso. Por ejemplo, user/Bob para un usuario de IAM o instance/i-1234567890abcdef0 para una instancia EC2. Algunos identificadores de recursos incluyen un recurso principal (sub-resource-type/recurso:nombre-recurso:nombre-recurso:nombre-recurso:calificador).

Rutas de los ARN

Algunos ARN de recursos pueden incluir una ruta. Por ejemplo, en Amazon S3, el identificador de recurso es un nombre de objeto que puede incluir barras diagonales (/) para formar un camino. Del mismo modo, los nombres de usuario y nombres de grupo de IAM puede incluir rutas.

Las rutas pueden incluir un carácter comodín, por ejemplo, un asterisco (*). Por ejemplo, si va a escribir una política de IAM, puede especificar todos los usuarios de IAM que tengan la rutaproduct_1234usar un comodín de la siguiente manera:

arn:aws:iam::123456789012:user/Development/product_1234/*

Del mismo modo, puede especificar user/* para referirse a todos los usuarios o group/* para referirse a todos los grupos, como en los siguientes ejemplos:

"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"

En el siguiente ejemplo se muestran los ARN para un bucket de Amazon S3 en los que el nombre de recurso incluye una ruta:

arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my_corporate_bucket/Development/*

Uso de comodín ()

No puede utilizar un comodín en la parte del ARN que especifica el tipo de recurso, como el términouseren un ARN de IAM. Por ejemplo, no se permite lo siguiente.

arn:aws:iam::123456789012:u*   <== not allowed