Política 1: DenyCustomerBucket Política 2: DynamoDbRowCognitoID Política 3: MultipleResourceCondition Política 4: EC2_Troubleshoot Política 5: Unrecognized_Service_Action Política 6: CodeBuild_CodeCommit_CodeDeploy

Exemplos de resumos de políticas

Os exemplos a seguir incluem políticas JSON com seus resumos de políticas associados, os resumos de serviços e os resumos de ações para ajudá-lo a compreender as permissões dadas por meio de uma política.

Política 1: DenyCustomerBucket

Essa política demonstra uma permissão e negação para o mesmo serviço.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccess",
            "Effect": "Allow",
            "Action": ["s3:*"],
            "Resource": ["*"]
        },
        {
            "Sid": "DenyCustomerBucket",
            "Action": ["s3:*"],
            "Effect": "Deny",
            "Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ]
        }
    ]
}

DenyCustomerBucket Resumo de políticas:

Imagem da caixa de diálogo de resumo de políticas

Resumo do serviço DenyCustomerBucket S3 (Negação explícita):

Imagem da caixa de diálogo de resumo de serviços

GetObject (Ler) Resumo da ação:

Imagem da caixa de diálogo de resumo de ações

Política 2: DynamoDbRowCognitoID

Essa política fornece acesso de nível de linha ao Amazon DynamoDB baseada no ID Amazon Cognito do usuário.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": [
                "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": [
                        "${cognito-identity.amazonaws.com:sub}"
                    ]
                }
            }
        }
    ]
}

Resumo da política DynamoDbRowCognitoID:

Resumo do serviço DynamoDbRowCognitoID DynamoDB (Permitir):

Resumo da ação GetItem (Listar):

Política 3: MultipleResourceCondition

Essa política inclui vários recursos e condições.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Apple_bucket/*"],
            "Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Orange_bucket/*"],
            "Condition": {"StringEquals": {
                "s3:x-amz-acl": ["custom"],
                "s3:x-amz-grant-full-control": ["1234"]
            }}
        }
    ]
}

Resumo da política MultipleResourceCondition:

Resumo do serviço MultipleResourceCondition S3 (Permitir):

Resumo da ação PutObject (Gravar):

Política 4: EC2_Troubleshoot

A política a seguir permite que os usuários obtenham uma captura de tela de uma instância do Amazon EC2 em execução, o que pode ajudar a solucionar problemas com o EC2. Essa política também permite visualizar informações sobre os itens no bucket do desenvolvedor do Amazon S3.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshot"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::developer"
            ]
        }
    ]
}

Resumo da política EC2_Troubleshoot:

Resumo do serviço EC2_Troubleshoot S3 (Permitir):

Resumo da ação ListBucket (Listar):

Política 5: Unrecognized_Service_Action

A política a seguir foi criada para fornecer acesso completo ao DynamoDB, mas o acesso falha porque o dynamodb está digitado incorretamente como dynamobd. Essa política foi criada para permitir acesso a algumas ações do Amazon EC2 na região us-east-2, mas negar o acesso à região ap-northeast-2. No entanto, o acesso para reinicializar instâncias na região ap-northeast-2 não é explicitamente negado devido ao o não reconhecido no meio da ação RebootInstances. Esse exemplo mostra como você pode usar resumos de política para localizar erros nas suas políticas. Para saber como editar as políticas baseada em informações em um resumo de políticas, consulte Editar políticas para corrigir avisos.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamobd:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:ReboootInstances"
            ],
            "Resource": "*",
            "Effect": "Deny",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "ap-northeast-2"
                }
            }
        },
        {
            "Action": [
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "us-east-2"
                }
            }
        }
    ]
}

Resumo da política Unrecognized_Service_Action:

Resumo do serviço Unrecognized_Service_Action EC2 (Negação explícita):

Resumo da ação Unrecognized_Service_Action StartInstances (Gravar):

Política 6: CodeBuild_CodeCommit_CodeDeploy

Essa política fornece acesso aos recursos CodeCommit, CodeDeploy e CodeBuild específicos. Como esses recursos são específicos para cada serviço, eles aparecem apenas com o serviço correspondente. Se você incluir um recurso que não corresponde a nenhum dos serviços no elemento Action, o recurso será exibido em todos os resumos de ações.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1487980617000",
            "Effect": "Allow",
            "Action": [
                "codebuild:*",
                "codecommit:*",
                "codedeploy:*"
            ],
            "Resource": [
                "arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project",
                "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
                "arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App",
                "arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*"
            ]
        }
    ]
}

Resumo da política CodeBuild_CodeCommit_CodeDeploy:

Resumo do serviço CodeBuild_CodeCommit_CodeDeploy CodeBuild (Permitir):

Resumo da ação CodeBuild_CodeCommit_CodeDeploy StartBuild (Gravar):

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Resumo da ação (lista de recursos)

Permissões obrigatórias