Si nous fournissons une traduction de la version anglaise du guide, la version anglaise du guide aura préséance en cas de contradiction. La traduction sera une traduction automatique.
Amazon Resource Names (ARN)
Les noms ARN identifient de façon unique les ressources AWS. L'ARN permet de spécifier une ressource sans aucune ambiguïté sur l'ensemble d'AWS, comme par exemple dans les stratégies IAM, les balises Amazon Relational Database Service (Amazon RDS) et les appels d'API.
Sommaire
Format
Voici les formats généraux des ARN. Les formats spécifiques dépendent de la ressource.
Pour utiliser un ARN, remplacez le texte en italique par les informations spécifiques à la ressource. Sachez que les ARN de certaines
ressources omettent la région, l'ID du compte ou la région et l'ID du compte.
arn:partition:service:region:account-id:resource-idarn:partition:service:region:account-id:resource-type/resource-idarn:partition:service:region:account-id:resource-type:resource-id
partition-
Partition dans laquelle se trouve la ressource. Une partition est un groupe de régions AWS. Chaque compte AWS est étendu à une partition.
Les partitions prises en charge sont les suivantes :
-
aws- Régions AWS -
aws-cn- AWS Régions de Chine -
aws-us-gov- AWS GovCloud (US) Régions
-
web-
Espace de noms du service qui identifie le produit AWS. Par exemple,
s3pour les ressources Amazon S3. région-
La région. Par exemple,
us-east-2ou USA Est (Ohio). id-compte-
L'ID du compte AWS qui possède la ressource, sans les traits d'union. Par exemple,
123456789012. resource-id-
Identificateur de la ressource. Cette partie de l'ARN peut être le nom ou l'ID de la ressource ou d'un chemin d'accès de la ressource. Par exemple,
user/Bobpour un utilisateur IAM ouinstance/i-1234567890abcdef0pour une instance EC2. Certains identifiants de ressource incluent une ressource parent (type-sous-ressource/ressource-parent/sous-ressource) ou un qualificateur tel qu'une version (type-ressource:nom-ressource:qualificateur).
Chemins d'accès dans les ARN
Certains ARN de ressource peuvent inclure un chemin. Par exemple, dans Amazon S3,
l'identificateur de ressource est un nom d'objet qui peut inclure des barres obliques
(/) pour former un chemin d'accès. De même, les noms d'utilisateur et les noms de groupe
IAM peuvent inclure des chemins d'accès.
Les chemins peuvent inclure un caractère générique, à savoir un astérisque (*). Par exemple, si vous écrivez une stratégie IAM, vous pouvez spécifier tous les
utilisateurs IAM ayant le chemin d'accès product_1234 à l'aide d'un caractère générique comme suit :
arn:aws:iam::123456789012:user/Development/product_1234/*
De même, vous pouvez spécifier user/* pour indiquer tous les utilisateurs ou group/* pour indiquer tous les groupes, comme dans les exemples suivants :
"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"
Vous ne pouvez pas utiliser un caractère générique pour spécifier tous les utilisateurs
dans l'élément Principal d'une stratégie basée sur les ressources ou d'une stratégie d'approbation de rôle.
Les groupes ne sont pas pris en charge comme des principaux dans les stratégies.
L'exemple suivant illustre les ARN d'un compartiment Amazon S3 dans lequel le nom de la ressource inclut un chemin d'accès :
arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my_corporate_bucket/Development/*
Vous ne pouvez pas utiliser de caractère générique dans la partie de l'ARN qui spécifie
le type de ressource, comme le terme user d'un ARN IAM.
Ce qui suit n'est pas autorisé :
arn:aws:iam::123456789012:u* |
ARN de la ressource
La documentation de AWS Identity and Access Management (IAM) répertorie les ARN pris en charge par chaque service pour une utilisation dans les autorisations au niveau des ressources. Pour plus d'informations, consultez Actions, ressources et clés de condition pour les services AWS dans le IAM Guide de l'utilisateur.
