Noções básicas sobre níveis de acesso em resumos de políticas - AWS Identity and Access Management

Noções básicas sobre níveis de acesso em resumos de políticas

Resumo do nível de acesso da AWS

Resumos de políticas incluem um resumo de nível de acesso que descreve as permissões de ação definidas para cada serviço mencionado na política. Para saber mais sobre os resumos de política, consulte Noções básicas sobre as permissões concedidas por uma política. Resumos de nível de acesso indicam se as ações em cada nível de acesso (List, Read, Tagging, Write e Permissions management) têm permissões Full ou Limited definidas na política. Para visualizar a classificação de nível de acesso atribuída a cada ação em um serviço, consulte Ações, recursos e chaves de condição de serviços da AWS.

O exemplo a seguir descreve o acesso fornecido por uma política para os serviços oferecidos. Para obter exemplos de documentos de políticas JSON completos e seus resumos relacionados, consulte Exemplos de resumos de políticas.

Serviço Nível de acesso Essa política fornece o seguinte
IAM Acesso total Acesso a todas as ações dentro do serviço IAM.
CloudWatch Completo: Listar Acesso a todas as ações do CloudWatch no nível de acesso List, mas nenhum acesso a ações com classificação de nível de acesso Read, Write ou Permissions management.
Data Pipeline Limitado: Listar, Leir Acesso a, pelo menos, uma ação do AWS Data Pipeline, mas não todas, no nível de acesso List e Read, mas não às ações Write ou Permissions management.
EC2 Completo: Listar, Ler Limitado: Gravar Acesso a todas as ações List and Read do Amazon EC2 e acesso a pelo menos uma, mas não a todas as ações Write do Amazon EC2, mas nenhum acesso às ações com a classificação de nível de acesso Permissions management.
S3 Limitado: Ler, Gravar, Gerenciamento de permissões Acesso a pelo menos uma, mas não todas as ações Read, Write e Permissions management do Amazon S3.
CodeDeploy (empty) Acesso desconhecido, pois o IAM não reconhece este serviço.
API Gateway Nenhum Nenhum acesso é definido na política.
CodeBuild a white exclamation point on an organe triangle background Nenhuma ação é definida. Sem acesso porque nenhuma ação é definida para o serviço. Para saber como entender e resolver esse problema, consulte Minha política não concede as permissões esperadas.

Como mencionado anteriormente, Acesso completo indica que a política fornece acesso a todas as ações do serviço. Políticas que fornecem acesso a algumas, mas não a todas as ações de um serviço também são agrupadas de acordo com a classificação de nível de acesso. Isso é indicado por um dos seguintes agrupamentos de nível de acesso:

  • Completo: a política fornece acesso a todas as ações na classificação de nível de acesso especificada.

  • Limitado: a política fornece acesso a uma ou mais, mas não a todas as ações na classificação de nível de acesso especificada.

  • Nenhum: a política não fornece acesso.

  • (vazio): o IAM não reconhece este serviço. Se o nome do serviço inclui um erro ortográfico, a política não fornece acesso ao serviço. Se o nome do serviço está correto, talvez o serviço possa não dar suporte aos resumos de políticas ou possa estar em pré-visualização. Nesse caso, a política pode oferecer acesso, mas este acesso não pode ser mostrado no resumo de política. Para solicitar o suporte do resumo da política para uma serviço disponível, consulte O serviço não oferece suporte a resumos de política do IAM.

Resumos de nível de acesso que incluem acesso limitado (parcial) às ações são agrupados usando as classificações de nível de acesso List, Read, Tagging, Write ou Permissions management da AWS.

Níveis de acesso da AWS

A AWS define as seguintes classificações de nível de acesso para as ações em um serviço:

  • Listar: Permissão para listar recursos dentro do serviço para determinar se um objeto existe. Ações com esse nível de acesso podem listar objetos, mas não podem ver os conteúdos de um recurso. Por exemplo, a ação ListBucket do Amazon S3 tem o nível de acesso List (Lista).

  • Ler: Permissão para ler, mas não editar os conteúdos e atributos de recursos no serviço. Por exemplo, as ações GetObject e GetBucketLocation do Amazon S3 têm o nível de acesso Read (Leitura).

  • Marcação: permissão para executar ações que apenas alteram o estado de tags de recurso. Por exemplo, as ações do IAM TagRole e UntagRole têm o nível de acesso Tagging (Etiquetamento) porque permitem apenas etiquetar ou desetiquetar uma função. No entanto, a ação CreateRole permite marcar um recurso de função quando você criar essa função. Como a ação não apenas adiciona uma tag, ela tem o nível de acesso Write.

  • Gravar: permissão para criar, excluir ou modificar recursos no serviço. Por exemplo, as ações CreateBucket, DeleteBucket e PutObject do Amazon S3 têm o nível de acesso Write (Gravação). As ações de Write (gravação) também podem permitir a modificação de uma etiqueta de recurso. No entanto, uma ação que permite apenas alterações nas tags tem o nível de acesso Tagging.

  • Gerenciamento de permissões: permissão para conceder ou modificar permissões de recursos no serviço. Por exemplo, a maioria das ações do IAM e do AWS Organizations, bem como ações como as ações PutBucketPolicy e DeleteBucketPolicy do Amazon S3 têm o nível de acesso Permissions management (Gerenciamento de permissões).

    Dica

    Para melhorar a segurança da Conta da AWS, restrinja ou monitore regularmente políticas que incluam a classificação de nível de acesso Gerenciamento de permissões.

Para visualizar a classificação do nível de acesso para todas as ações em um serviço, consulte Ações, recursos e chaves de condição de produtos da AWS.