Exemplos de resumos de políticas - AWS Identity and Access Management

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de resumos de políticas

Os exemplos a seguir incluem políticas JSON com seus resumos de políticas associados, os resumos de serviços e os resumos de ações para ajudá-lo a compreender as permissões dadas por meio de uma política.

Política 1: DenyCustomerBucket

Essa política demonstra uma permissão e negação para o mesmo serviço.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccess", "Effect": "Allow", "Action": ["s3:*"], "Resource": ["*"] }, { "Sid": "DenyCustomerBucket", "Action": ["s3:*"], "Effect": "Deny", "Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ] } ] }

DenyCustomerBucket Resumo de políticas:


        Imagem da caixa de diálogo de resumo de políticas

Resumo do serviço DenyCustomerBucket S3 (Negação explícita):


        Imagem da caixa de diálogo de resumo de serviços

GetObject (Ler) Resumo da ação:


        Imagem da caixa de diálogo de resumo de ações

Política 2: DynamoDbRowCognitoID

Essa política fornece acesso de nível de linha ao Amazon DynamoDB baseada no ID Amazon Cognito do usuário.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DeleteItem", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:UpdateItem" ], "Resource": [ "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable" ], "Condition": { "ForAllValues:StringEquals": { "dynamodb:LeadingKeys": [ "${cognito-identity.amazonaws.com:sub}" ] } } } ] }

Resumo da política DynamoDbRowCognitoID:


        Imagem da caixa de diálogo de resumo de políticas

Resumo do serviço DynamoDbRowCognitoID DynamoDB (Permitir):


        Imagem da caixa de diálogo de resumo de serviços

Resumo da ação GetItem (Listar):


        Imagem da caixa de diálogo de resumo de ações

Política 3: MultipleResourceCondition

Essa política inclui vários recursos e condições.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": ["arn:aws:s3:::Apple_bucket/*"], "Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}} }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": ["arn:aws:s3:::Orange_bucket/*"], "Condition": {"StringEquals": { "s3:x-amz-acl": ["custom"], "s3:x-amz-grant-full-control": ["1234"] }} } ] }

Resumo da política MultipleResourceCondition:


        Imagem da caixa de diálogo de resumo de políticas

Resumo do serviço MultipleResourceCondition S3 (Permitir):


        Imagem da caixa de diálogo de resumo de serviços

Resumo da ação PutObject (Gravar):


        Imagem da caixa de diálogo de resumo de ações

Política 4: EC2_Troubleshoot

A política a seguir permite que os usuários obtenham uma captura de tela de uma instância do Amazon EC2 em execução, o que pode ajudar a solucionar problemas com o EC2. Essa política também permite visualizar informações sobre os itens no bucket do desenvolvedor do Amazon S3.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:GetConsoleScreenshot" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::developer" ] } ] }

Resumo da política EC2_Troubleshoot:


        Imagem da caixa de diálogo de resumo de políticas

Resumo do serviço EC2_Troubleshoot S3 (Permitir):


        Imagem da caixa de diálogo de resumo de serviços

Resumo da ação ListBucket (Listar):


        Imagem da caixa de diálogo de resumo de ações

Política 5: Unrecognized_Service_Action

A política a seguir foi criada para fornecer acesso completo ao DynamoDB, mas o acesso falha porque o dynamodb está digitado incorretamente como dynamobd. Essa política foi criada para permitir acesso a algumas ações do Amazon EC2 na região us-east-2, mas negar o acesso à região ap-northeast-2. No entanto, o acesso para reinicializar instâncias na região ap-northeast-2 não é explicitamente negado devido ao o não reconhecido no meio da ação RebootInstances. Esse exemplo mostra como você pode usar resumos de política para localizar erros nas suas políticas. Para saber como editar as políticas baseada em informações em um resumo de políticas, consulte Editar políticas para corrigir avisos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamobd:*" ], "Resource": [ "*" ] }, { "Action": [ "ec2:RunInstances", "ec2:StartInstances", "ec2:StopInstances", "ec2:ReboootInstances" ], "Resource": "*", "Effect": "Deny", "Condition": { "StringEquals": { "ec2:Region": "ap-northeast-2" } } }, { "Action": [ "ec2:RunInstances", "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ec2:Region": "us-east-2" } } } ] }

Resumo da política Unrecognized_Service_Action:


        Imagem da caixa de diálogo de resumo de políticas

Resumo do serviço Unrecognized_Service_Action EC2 (Negação explícita):


        Imagem da caixa de diálogo de resumo de serviços

Resumo da ação Unrecognized_Service_Action StartInstances (Gravar):


        Imagem da caixa de diálogo de resumo de ações

Política 6: CodeBuild_CodeCommit_CodeDeploy

Essa política fornece acesso aos recursos CodeCommit, CodeDeploy e CodeBuild específicos. Como esses recursos são específicos para cada serviço, eles aparecem apenas com o serviço correspondente. Se você incluir um recurso que não corresponde a nenhum dos serviços no elemento Action, o recurso será exibido em todos os resumos de ações.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1487980617000", "Effect": "Allow", "Action": [ "codebuild:*", "codecommit:*", "codedeploy:*" ], "Resource": [ "arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project", "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo", "arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App", "arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*" ] } ] }

Resumo da política CodeBuild_CodeCommit_CodeDeploy:


        Imagem da caixa de diálogo de resumo de políticas

Resumo do serviço CodeBuild_CodeCommit_CodeDeploy CodeBuild (Permitir):


        Imagem da caixa de diálogo de resumo de serviços

Resumo da ação CodeBuild_CodeCommit_CodeDeploy StartBuild (Gravar):


        Imagem da caixa de diálogo de resumo de ações