Política 1: DenyCustomerBucket Política 2: DynamoDbRowCognitoID Política 3: MultipleResourceCondition Política 4: EC2_Troubleshoot Política 5: CodeBuild_CodeCommit_CodeDeploy

Exemplos de resumos de políticas

Os exemplos a seguir incluem políticas JSON com seus resumos de políticas associados, os resumos de serviços e os resumos de ações para ajudá-lo a compreender as permissões dadas por meio de uma política.

Política 1: DenyCustomerBucket

Essa política demonstra uma permissão e negação para o mesmo serviço.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccess",
            "Effect": "Allow",
            "Action": ["s3:*"],
            "Resource": ["*"]
        },
        {
            "Sid": "DenyCustomerBucket",
            "Action": ["s3:*"],
            "Effect": "Deny",
            "Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ]
        }
    ]
}

DenyCustomerBucket Resumo de políticas:

Imagem da caixa de diálogo de resumo de políticas

Resumo do serviço DenyCustomerBucket S3 (Negação explícita):

Imagem da caixa de diálogo de resumo de serviços

GetObject (Ler) Resumo da ação:

Imagem da caixa de diálogo de resumo de ações

Política 2: DynamoDbRowCognitoID

Esta política fornece acesso no nível de linha ao Amazon DynamoDB com base no ID do Amazon Cognito do usuário.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": [
                "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": [
                        "${cognito-identity.amazonaws.com:sub}"
                    ]
                }
            }
        }
    ]
}

Resumo da política DynamoDbRowCognitoID:

Resumo do serviço DynamoDbRowCognitoID DynamoDB (Permitir):

Resumo da ação GetItem (Listar):

Política 3: MultipleResourceCondition

Essa política inclui vários recursos e condições.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Apple_bucket/*"],
            "Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Orange_bucket/*"],
            "Condition": {"StringEquals": {
                "s3:x-amz-acl": ["custom"],
                "s3:x-amz-grant-full-control": ["1234"]
            }}
        }
    ]
}

Resumo da política MultipleResourceCondition:

Resumo do serviço MultipleResourceCondition S3 (Permitir):

Resumo da ação PutObject (Gravar):

Política 4: EC2_Troubleshoot

A política a seguir permite que os usuários obtenham uma captura de tela de uma instância do Amazon EC2 em execução, o que pode ajudar a solucionar problemas com o EC2. Essa política também permite visualizar informações sobre os itens no bucket do desenvolvedor do Amazon S3.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshot"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::developer"
            ]
        }
    ]
}

Resumo da política EC2_Troubleshoot:

Resumo do serviço EC2_Troubleshoot S3 (Permitir):

Resumo da ação ListBucket (Listar):

Política 5: CodeBuild_CodeCommit_CodeDeploy

Essa política fornece acesso aos recursos CodeCommit, CodeDeploy e CodeBuild específicos. Como esses recursos são específicos para cada serviço, eles aparecem apenas com o serviço correspondente. Se você incluir um recurso que não corresponde a nenhum dos serviços no elemento Action, o recurso será exibido em todos os resumos de ações.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1487980617000",
            "Effect": "Allow",
            "Action": [
                "codebuild:*",
                "codecommit:*",
                "codedeploy:*"
            ],
            "Resource": [
                "arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project",
                "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
                "arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App",
                "arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*"
            ]
        }
    ]
}

Resumo da política CodeBuild_CodeCommit_CodeDeploy:

Resumo do serviço CodeBuild_CodeCommit_CodeDeploy CodeBuild (Permitir):

Resumo da ação CodeBuild_CodeCommit_CodeDeploy StartBuild (Gravar):

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Resumo da ação (lista de recursos)

Permissões necessárias para acessar recursos do IAM