Service AWS Informations simplifiées pour un accès programmatique

AWS fournit des informations de référence de service au format JSON afin de rationaliser l'automatisation des flux de travail de gestion des politiques. Grâce aux informations de référence du service, vous pouvez accéder aux actions, aux ressources et aux clés de condition disponibles à Services AWS partir de fichiers lisibles par machine. Les informations de référence du service incluent des métadonnées autres que les détails d'autorisation, notamment les informations sur les dernières actions IAM consultées et les données de génération de politiques IAM Access Analyzer.

Les administrateurs de sécurité peuvent établir des garde-fous et les développeurs peuvent garantir un accès approprié aux applications en identifiant les actions, les ressources et les clés de condition disponibles pour chacune d'entre elles. Service AWS AWS fournit des informations de référence sur les services Services AWS pour vous permettre d'intégrer les métadonnées dans vos flux de travail de gestion des politiques.

Pour un inventaire des actions, des ressources et des clés de condition à utiliser dans les politiques IAM, consultez la page de référence des autorisations de service pour le Service AWS. Les actions, les ressources et les clés de condition pour les services qui partagent un préfixe de service peuvent être réparties sur plusieurs pages dans la référence d'autorisation de service.
Pour obtenir la liste des actions pour lesquelles les informations du dernier accès à l'action IAM sont affichées, consultez la section Actions Services AWS et services d'information auxquels vous avez accédé pour la dernière fois lors de l'action IAM dans le Guide de l'utilisateur IAM.
Pour obtenir une liste Services AWS des actions pour lesquelles IAM Access Analyzer génère des politiques avec des informations au niveau des actions, voir les services de génération de politiques IAM Access Analyzer dans le guide de l'utilisateur d'IAM.

Le contenu présenté dans la référence d'autorisation de service peut être présenté différemment ou contenir des métadonnées différentes. Pour de plus amples informations, veuillez consulter Définitions de champs supplémentaires.

Note

Les modifications apportées aux informations de référence du service peuvent prendre jusqu'à 24 heures pour être prises en compte dans la liste des métadonnées du service.

Accès aux informations Service AWS de référence

Accédez aux informations de référence du service Services AWS pour accéder à la liste des informations de référence disponibles.

L'exemple suivant montre une liste partielle des services et URLs leurs informations de référence respectives :


[ 
    { 
        "service": "s3", 
        "url": "https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json" 
    }, 
    { 
        "service": "dynamodb", 
        "url": "https://servicereference.us-east-1.amazonaws.com/v1/dynamodb/dynamodb.json" 
    }, 
    …
]

Choisissez un service et accédez à la page d'informations du service dans le url champ correspondant pour afficher la liste des actions, des ressources et des clés de condition associées au service.

L'exemple suivant montre une liste partielle d'informations de référence de service pour Amazon S3 :


{
    "Name": "s3",
    "Actions": [
        {
            "Name": "GetObject",
            "ActionConditionKeys": [
                "s3:AccessGrantsInstanceArn",
                "s3:AccessPointNetworkOrigin",
                "s3:DataAccessPointAccount",
                "s3:DataAccessPointArn",
                "s3:ExistingObjectTag/key",
                "s3:ResourceAccount",
                "s3:TlsVersion",
                "s3:authType",
                "s3:if-match",
                "s3:if-none-match",
                "s3:signatureAge",
                "s3:signatureversion",
                "s3:x-amz-content-sha256"
            ],
            "Annotations" : {
                "Properties" : {
                    "IsList" : false,
                    "IsPermissionManagement" : false,
                    "IsTaggingOnly" : false,
                    "IsWrite" : false
                }
            },
            "Resources": [
                {
                    "Name": "object"
                }
            ],
            "SupportedBy" : {
                "IAM Access Analyzer Policy Generation" : false,
                "IAM Action Last Accessed" : false
            }
        },
        {
            "Name": "ListBucket",
            "ActionConditionKeys": [
                "s3:AccessGrantsInstanceArn",
                "s3:AccessPointNetworkOrigin",
                "s3:DataAccessPointAccount",
                "s3:DataAccessPointArn",
                "s3:ResourceAccount",
                "s3:TlsVersion",
                "s3:authType",
                "s3:delimiter",
                "s3:max-keys",
                "s3:prefix",
                "s3:signatureAge",
                "s3:signatureversion",
                "s3:x-amz-content-sha256"
            ],
            "Annotations" : {
                "Properties" : {
                    "IsList" : true,
                    "IsPermissionManagement" : false,
                    "IsTaggingOnly" : false,
                    "IsWrite" : false
                }
            },
            "Resources": [
                {
                    "Name": "bucket"
                }
            ],
            "SupportedBy" : {
                "IAM Access Analyzer Policy Generation" : false,
                "IAM Action Last Accessed" : false
            }
        },
        ...
    ],
    "ConditionKeys": [
        {
            "Name": "s3:TlsVersion",
            "Types": [
                "Numeric"
            ]
        },
        {
            "Name": "s3:authType",
            "Types": [
                "String"
            ]
        },
        ...
    ],
    "Resources": [
        {
            "Name": "accesspoint",
            "ARNFormats": [
                "arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}"
            ]
        },
        {
            "Name": "bucket",
            "ARNFormats": [
                "arn:${Partition}:s3:::${BucketName}"
            ]
        }
        ...
    ],
    "Version": "v1.3"
}

Téléchargez le fichier JSON à partir de l'URL du service à utiliser dans vos flux de travail de création de politiques.

Définitions de champs supplémentaires

Les propriétés d'action fournissent des métadonnées supplémentaires sur les actions de service afin de les classer en fonction de leur étendue d'autorisation. Ces propriétés se trouvent sous le Annotations champ pour chaque action. Les métadonnées se composent de quatre valeurs booléennes :

IsList— Permet de découvrir et de répertorier les ressources, y compris les métadonnées de base, sans accéder au contenu des ressources.

Exemple — Cette propriété true concerne l'ListBucketaction Amazon S3, qui permet aux utilisateurs de consulter les listes de compartiments sans accéder aux objets eux-mêmes.
IsPermissionManagement— Fournit des autorisations pour modifier les autorisations IAM ou les informations d'identification d'accès.

Exemple — Cette propriété concerne la plupart true des AWS Organizations actions et IAM, ainsi que des actions Amazon S3 telles que PutBucketPolicy etDeleteBucketPolicy.
IsTaggingOnly— Fournit des autorisations uniquement pour modifier les balises.

Exemple — Cette propriété est true destinée aux actions TagRole IAMUntagRole, alors que cette propriété l'est false CreateRole car elle fournit des autorisations plus étendues que le balisage.
IsWrite— Fournit des autorisations pour modifier les ressources, ce qui peut inclure des modifications de balises.

Exemple — Cette propriété concerne true les actions Amazon S3 CreateBucketDeleteBucket, et PutObject étant donné qu'elles autorisent la modification des ressources.

Note

Ces propriétés ne s'excluent pas mutuellement. Une action peut avoir plusieurs propriétés définies surtrue.

Il est également possible que toutes les propriétés le soientfalse, comme en témoigne l'GetObjectaction d'Amazon S3. Cela indique que l'action accorde uniquement des autorisations de lecture sur un objet.

Ces propriétés peuvent être utilisées pour générer des informations pour les services. L'exemple suivant montre quelles autorisations avec le s3 préfixe autorisent la mutation des ressources :


> curl https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json | \
    jq '.Actions[] | select(.Annotations.Properties.IsWrite == true) | .Name'

"AssociateAccessGrantsIdentityCenter"
"BypassGovernanceRetention"
"CreateAccessGrant"
"CreateAccessGrantsInstance"
"CreateAccessGrantsLocation"
...

L'exemple suivant montre les clés de condition d'action avec le lambda préfixe que vous pouvez utiliser pour limiter l'accès aux actions de gestion des autorisations :


> curl https://servicereference.us-east-1.amazonaws.com/v1/lambda/lambda.json | \
    jq '.Actions[] | select(.Annotations.Properties.IsPermissionManagement == true) | {Name: .Name, ActionConditionKeys: (.ActionConditionKeys // [])}'
 
{
   "Name": "AddLayerVersionPermission",
    "ActionConditionKeys": []
}
{
    "Name": "AddPermission",
    "ActionConditionKeys": [
        "lambda:FunctionUrlAuthType",
        "lambda:Principal"
    ]
}
{
    "Name": "DisableReplication",
    "ActionConditionKeys": []
}
{
    "Name": "EnableReplication",
    "ActionConditionKeys": []
}
{
    "Name": "RemoveLayerVersionPermission",
    "ActionConditionKeys": []
}
{
    "Name": "RemovePermission",
    "ActionConditionKeys": [
        "lambda:FunctionUrlAuthType",
        "lambda:Principal"
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS X-Ray