Amazon Resource Names (ARN) - Référence générale d'AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon Resource Names (ARN)

Les noms ARN identifient de façon unique les ressources AWS. L'ARN permet de spécifier une ressource sans aucune ambiguïté sur l'ensemble d'AWS, comme par exemple dans les stratégies IAM, les balises Amazon Relational Database Service (Amazon RDS) et les appels d'API.

LeRéférence de l'autorisation de servicerépertorie les ARN que vous pouvez utiliser dans les stratégies IAM.

Format ARN

Voici les formats généraux des ARN. Les formats spécifiques dépendent de la ressource. Pour utiliser un ARN, remplacez le texte en italique par les informations spécifiques à la ressource. Sachez que les ARN de certaines ressources omettent la région, l'ID du compte ou la région et l'ID du compte.

arn:partition:service:region:account-id:resource-id arn:partition:service:region:account-id:resource-type/resource-id arn:partition:service:region:account-id:resource-type:resource-id
partition

Partition dans laquelle se trouve la ressource. Une partition est un groupe de régions AWS. Chaque compte AWS est étendu à une partition.

Les partitions prises en charge sont les suivantes :

  • aws - AWS Régions

  • aws-cn - Régions chinoises

  • aws-us-gov - AWS GovCloud (US) Régions

service

Espace de noms du service qui identifieAWSProduit. Par exemple,s3pour Amazon S3. Pour rechercher un espace de noms de service, ouvrez leRéférence de l'autorisation de service, ouvrez la page du service et recherchez l'expression « préfixe de service » dans la première phrase. Par exemple, le texte suivant apparaît dans la première phrase de la page Amazon S3 :

(service prefix: s3)
region

Code région. Par exemple,us-east-2pour la région USA Est (Ohio). Pour obtenir la liste des codes de région, consultezPoints de terminaison régionaux.

account-id

L'ID duAWScompte qui possède la ressource, sans les traits d'union. Par exemple, 123456789012.

resource-id

Identificateur de la ressource. Cette partie de l'ARN peut être le nom ou l'ID de la ressource ou d'un chemin d'accès de la ressource. Par exemple, user/Bob pour un utilisateur IAM ou instance/i-1234567890abcdef0 pour une instance EC2. Certains identifiants de ressources incluent une ressource parent (sub-resource-type/parent/ressource) ou un qualificateur tel qu'une version (type-ressource/ressource/ressource/nom-ressource : qualificateur).

Chemins d'accès dans les ARN

Certains ARN de ressource peuvent inclure un chemin. Par exemple, dans Amazon S3, l'identificateur de ressource est un nom d'ressource qui peut inclure des barres obliques (/) pour former un chemin. De même, les noms d'utilisateur et les noms de groupe IAM peuvent inclure des chemins d'accès

Les chemins peuvent inclure un caractère générique, à savoir un astérisque (*). Par exemple, si vous écrivez une stratégie IAM, vous pouvez spécifier tous les utilisateurs IAM ayant le chemin d'accèsproduct_1234en utilisant un caractère générique comme suit :

arn:aws:iam::123456789012:user/Development/product_1234/*

De même, vous pouvez spécifier user/* pour indiquer tous les utilisateurs ou group/* pour indiquer tous les groupes, comme dans les exemples suivants :

"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"

L'exemple suivant illustre les ARN d'un compartiment Amazon S3 dans lequel le nom de la ressource inclut un chemin d'accès :

arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my_corporate_bucket/Development/*

Utilisation de caractères génériques incorrects

Vous ne pouvez pas utiliser de caractère générique dans la partie de l'ARN qui spécifie le type de ressource, comme le termeuserdans un ARN IAM. Par exemple, ce qui suit n'est pas autorisé.

arn:aws:iam::123456789012:u*   <== not allowed