Exemplos de políticas baseadas em identidade do IAM
Uma política é um objeto na AWS que, quando associado a uma identidade ou um recurso, define suas permissões. A AWS avalia essas políticas quando uma entidade de segurança do IAM (usuário ou função) faz uma solicitação. As permissões nas políticas determinam se a solicitação será permitida ou negada. A maioria das políticas são armazenadas na AWS como documentos JSON que são anexados a uma identidade (usuário, grupo de usuários ou função) do IAM. As políticas baseadas em identidade incluem as políticas gerenciadas pela AWS, as políticas gerenciadas pelo cliente e as políticas em linha. Para saber como criar uma política do IAM usando esses exemplos de documentos de política JSON, consulte Criar políticas usando o editor de JSON.
Por padrão, todas as solicitações são negadas, de modo que você deve fornecer acesso aos serviços, às ações e aos recursos que você pretende que a identidade acesse. Se você também quiser permitir acesso para concluir as ações especificadas no console do IAM, precisará fornecer permissões adicionais.
A seguinte biblioteca de políticas pode ajudar você a definir permissões para suas identidades do IAM. Depois de encontrar a política de que precisa, escolha view this policy (visualizar essa política) para visualizar o JSON da política. Você pode usar o documento de política JSON como um modelo para suas próprias políticas.
nota
Se você quiser enviar uma política para ser incluída neste guia de referência, use o botão Feedback na parte inferior desta página.
Exemplos de políticas: AWS
-
Permite acesso durante um intervalo específico de datas. (Visualizar essa política.)
-
Permite habilitar e desabilitar as regiões da AWS. (Visualizar essa política.)
-
Permite que os usuários autenticados por MFA gerenciem suas próprias credenciais na página Credenciais de segurança. (Visualizar essa política.)
-
Permite acesso específico ao usar MFA durante um intervalo específico de datas. (Visualizar essa política.)
-
Permite que os usuários gerenciem suas próprias credenciais na página Credenciais de segurança. (Visualizar essa política.)
-
Permite que os usuários gerenciem seus próprios dispositivos de MFA na página Credenciais de segurança. (Visualizar essa política.)
-
Permite que os usuários gerenciem suas próprias senhas na página Credenciais de segurança. (Visualizar essa política.)
-
Permite que os usuários gerenciem suas próprias senhas, chaves de acesso e chaves públicas SSH na página Credenciais de segurança. (Visualizar essa política.)
-
Nega o acesso à AWS com base na região solicitada. (Visualizar essa política.)
-
Nega acesso à AWS com base no endereço IP da fonte. (Visualizar essa política.)
Exemplo de política: AWS Data Exchange
-
Negar acesso aos recursos do Amazon S3 fora da conta, exceto o AWS Data Exchange. (Visualizar essa política.)
Exemplos de políticas: AWS Data Pipeline
-
Nega acesso a pipelines não criados pelo usuário (Visualizar essa política.)
Exemplo de políticas: Amazon DynamoDB
-
Permite acesso a uma tabela específica do Amazon DynamoDB (Visualize esta política.)
-
Permite acesso aos atributos específicos do Amazon DynamoDB (Visualize esta política.)
-
Permite acesso no nível do item ao Amazon DynamoDB com base em um ID do Amazon Cognito (Visualize esta política.)
Políticas de exemplo: Amazon EC2
-
Permite anexar ou desvincular volumes do Amazon EBS para instâncias do Amazon EC2 com base em etiquetas (Visualize esta política.)
-
Permite executar instâncias do Amazon EC2 em uma sub-rede específica, de forma programática e no console (Visualize esta política.)
-
Permite gerenciar grupos de segurança do Amazon EC2 associados a uma VPC específica, de forma programática e no console (Visualize esta política.)
-
Permite iniciar ou interromper instâncias do Amazon EC2 etiquetadas por um usuário, de forma programática e no console (Visualize esta política.)
-
Permite iniciar ou interromper instâncias do Amazon EC2 com base em etiquetas de recurso e entidade de segurança, de forma programática e no console (Visualize esta política.)
-
Permite iniciar ou interromper instâncias do Amazon EC2 quando as etiquetas de recurso e entidade de segurança coincidem (Visualize esta política.)
-
Permite acesso total ao Amazon EC2 em uma região específica, de forma programática e no console. (Visualizar essa política.)
-
Permite iniciar ou interromper uma instância específica do Amazon EC2 e modificar um determinado grupo de segurança, de forma programática e no console (Visualize esta política.)
-
Nega acesso a operações do Amazon EC2 específicas sem MFA (Visualize esta política.)
-
Limita o término de instâncias do Amazon EC2 a um intervalo de endereços IP específico (Visualize esta política.)
Exemplo de políticas do AWS Identity and Access Management (IAM)
-
Permite acesso à API do simulador de políticas (Visualizar essa política.)
-
Permite acesso ao console do simulador de políticas (Visualizar essa política.)
-
Permite assumir funções que tenham uma tag específica, de forma programática e no console (Visualizar essa política).
-
Permite e nega o acesso a vários serviços, de forma programática e no console (Visualizar essa política).
-
Permite adicionar uma etiqueta específica a um usuário do IAM com uma etiqueta específica diferente, de forma programática e no console (Visualize esta política.)
-
Permite adicionar uma etiqueta específica a qualquer usuário ou função do IAM, de forma programática e no console (Visualize esta política.)
-
Permite criar um novo usuário somente com tags específicas (Visualizar essa política.)
-
Permite gerar e recuperar os relatórios de credenciais do IAM (Visualize esta política.)
-
Permite gerenciar uma associação do grupo, de forma programática e no console (Visualizar essa política).
-
Permite gerenciar uma tag específica (Visualizar essa política.)
-
Permite transmitir uma função do IAM para um serviço específico (Visualize esta política.)
-
Permite o acesso somente leitura ao console do IAM sem gerar relatórios (Visualize esta política.)
-
Permite o acesso somente leitura ao console do IAM (Visualize esta política.)
-
Permite que usuários específicos gerenciem um grupo, de forma programática e no console (Visualizar essa política).
-
Permite definir os requisitos de senha da conta, de forma programática e no console (Visualizar essa política).
-
Permite usar a API do simulador de políticas para usuários com um caminho específico (Visualizar essa política.)
-
Permite usar o console do simulador de políticas para usuários com um caminho específico (Visualizar essa política.)
-
Permite que os usuários do IAM autogerenciem um dispositivo com MFA. (Visualizar essa política.)
-
Permite que usuários do IAM definam as próprias credenciais de forma programática e no console. (Visualizar essa política.)
-
Permite a exibição das informações de último acesso do serviço para uma política do AWS Organizations no console do IAM. (Visualizar essa política.)
-
Limita as políticas gerenciadas que podem ser aplicadas a um usuário, grupo de usuários ou função do IAM (Visualize esta política.)
-
Permite acesso às políticas do IAM somente na sua conta (Visualizar essa política.)
Exemplos de políticas: AWS Lambda
-
Permite que uma função do AWS Lambda acesse uma tabela do Amazon DynamoDB (Visualize esta política.)
Políticas de exemplo: Amazon RDS
-
Permite acesso total ao banco de dados do Amazon RDS em uma região específica. (Visualizar essa política.)
-
Permite a restauração de bancos de dados do Amazon RDS de forma programática e no console (Visualize esta política)
-
Permite aos proprietários de etiquetas o acesso total aos recursos do Amazon RDS que eles etiquetaram (Visualize esta política.)
Políticas de exemplo: Amazon S3
-
Permite que um usuário do Amazon Cognito acesse objetos no seu próprio bucket do Amazon S3 (Visualize esta política.)
-
Permite que usuários federados acessem seu próprio diretório base do Amazon S3, de forma programática e no console (Visualize esta política.)
-
Permite acesso total ao S3, mas nega explicitamente o acesso ao bucket de produção se o administrador não estiver conectado usando MFA nos últimos trinta minutos (Visualizar essa política).
-
Permite que usuários do IAM acessem seu próprio diretório base do Amazon S3, de forma programática e no console (Visualize esta política.)
-
Permite que um usuário gerencie um único bucket do Amazon S3 e nega todas as outras ações e recursos da AWS (Visualize esta política.)
-
Permite acesso
Read
eWrite
a um bucket específico do Amazon S3 (Visualize esta política.) -
Permite acesso
Read
eWrite
a um bucket específico do Amazon S3 de forma programática e no console (Visualize esta política.)