Exemplos de resumos de políticas
Os exemplos a seguir incluem políticas JSON com seus resumos de políticas associados, os resumos de serviços e os resumos de ações para ajudá-lo a compreender as permissões dadas por meio de uma política.
Política 1: DenyCustomerBucket
Essa política demonstra uma permissão e negação para o mesmo serviço.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccess", "Effect": "Allow", "Action": ["s3:*"], "Resource": ["*"] }, { "Sid": "DenyCustomerBucket", "Action": ["s3:*"], "Effect": "Deny", "Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ] } ] }
DenyCustomerBucket Resumo de políticas:

Resumo do serviço DenyCustomerBucket S3 (Negação explícita):

GetObject (Ler) Resumo da ação:

Política 2: DynamoDbRowCognitoID
Esta política fornece acesso no nível de linha ao Amazon DynamoDB com base no ID do Amazon Cognito do usuário.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DeleteItem", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:UpdateItem" ], "Resource": [ "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable" ], "Condition": { "ForAllValues:StringEquals": { "dynamodb:LeadingKeys": [ "${cognito-identity.amazonaws.com:sub}" ] } } } ] }
Resumo da política DynamoDbRowCognitoID:

Resumo do serviço DynamoDbRowCognitoID DynamoDB (Permitir):

Resumo da ação GetItem (Listar):

Política 3: MultipleResourceCondition
Essa política inclui vários recursos e condições.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": ["arn:aws:s3:::Apple_bucket/*"], "Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}} }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": ["arn:aws:s3:::Orange_bucket/*"], "Condition": {"StringEquals": { "s3:x-amz-acl": ["custom"], "s3:x-amz-grant-full-control": ["1234"] }} } ] }
Resumo da política MultipleResourceCondition:

Resumo do serviço MultipleResourceCondition S3 (Permitir):

Resumo da ação PutObject (Gravar):

Política 4: EC2_Troubleshoot
A política a seguir permite que os usuários obtenham uma captura de tela de uma instância do Amazon EC2 em execução, o que pode ajudar a solucionar problemas com o EC2. Essa política também permite visualizar informações sobre os itens no bucket do desenvolvedor do Amazon S3.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:GetConsoleScreenshot" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::developer" ] } ] }
Resumo da política EC2_Troubleshoot:

Resumo do serviço EC2_Troubleshoot S3 (Permitir):

Resumo da ação ListBucket (Listar):

Política 5: Unrecognized_Service_Action
A política a seguir foi criada para fornecer acesso total ao DynamoDB, mas o acesso falha porque dynamodb
foi digitado incorretamente como dynamodb
. Essa política foi criada para permitir acesso a algumas ações do Amazon EC2 na região us-east-2
e negar acesso à região ap-northeast-2
. No entanto, o acesso para reinicializar instâncias na região ap-northeast-2
não é explicitamente negado devido ao o
não reconhecido no meio da ação RebootInstances
. Esse exemplo mostra como você pode usar resumos de política para localizar erros nas suas políticas. Para saber como editar as políticas baseada em informações em um resumo de políticas, consulte Editar políticas para corrigir avisos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:*" ], "Resource": [ "*" ] }, { "Action": [ "ec2:RunInstances", "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances" ], "Resource": "*", "Effect": "Deny", "Condition": { "StringEquals": { "ec2:Region": "ap-northeast-2" } } }, { "Action": [ "ec2:RunInstances", "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ec2:Region": "us-east-2" } } } ] }
Resumo da política Unrecognized_Service_Action:

Resumo do serviço Unrecognized_Service_Action EC2 (Negação explícita):

Resumo da ação Unrecognized_Service_Action StartInstances (Gravar):

Política 6: CodeBuild_CodeCommit_CodeDeploy
Essa política fornece acesso aos recursos CodeCommit, CodeDeploy e CodeBuild específicos. Como esses recursos são específicos para cada serviço, eles aparecem apenas com o serviço correspondente. Se você incluir um recurso que não corresponde a nenhum dos serviços no elemento Action
, o recurso será exibido em todos os resumos de ações.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1487980617000", "Effect": "Allow", "Action": [ "codebuild:*", "codecommit:*", "codedeploy:*" ], "Resource": [ "arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project", "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo", "arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App", "arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*" ] } ] }
Resumo da política CodeBuild_CodeCommit_CodeDeploy:

Resumo do serviço CodeBuild_CodeCommit_CodeDeploy CodeBuild (Permitir):

Resumo da ação CodeBuild_CodeCommit_CodeDeploy StartBuild (Gravar):
