Noções básicas sobre resumos de nível de acesso dentro de resumos de políticas - AWS Identity and Access Management

Noções básicas sobre resumos de nível de acesso dentro de resumos de políticas

Resumo do nível de acesso da AWS

Resumos de políticas incluem um resumo de nível de acesso que descreve as permissões de ação definidas para cada serviço mencionado na política. Para saber mais sobre os resumos de política, consulte Noções básicas sobre as permissões concedidas por uma política. Resumos de nível de acesso indicam se as ações em cada nível de acesso (List, Read, Writee Permissions management) têm permissões Full ou Limited definidas na política. Para visualizar a classificação de nível de acesso atribuída a cada ação em um serviço, consulte Ações, recursos e chaves de condição de serviços da AWS .

O exemplo a seguir descreve o acesso fornecido por uma política para os serviços oferecidos. Para obter exemplos de documentos de políticas JSON completos e seus resumos relacionados, consulte Exemplos de resumos de políticas.

Serviço Nível de acesso Essa política fornece o seguinte
IAM Acesso total Acesso a todas as ações dentro do serviço do IAM.
CloudWatch Completo: Listar Acesso a todas as ações do CloudWatch no nível de acesso List, mas sem acesso a ações com classificação de nível de acesso Read, Write ou Permissions management.
Data Pipeline Limitado: Listar, Leir Acesso a, pelo menos, uma ação do AWS Data Pipeline, mas não todas, no nível de acesso List e Read, mas não às ações Write ou Permissions management.
EC2 Completo: Listar, Ler Limitado: Gravar Acesso a todas as ações List e Read do Amazon EC2 e acesso a, pelo menos, uma, mas não todas as ações Write do Amazon EC2, mas sem acesso a ações com a classificação de nível de acesso Permissions management.
S3 Limitado: Ler, Gravar, Gerenciamento de permissões Acesso a pelo menos uma, mas não todas as ações Read, Write e Permissions management do Amazon S3.
CodeDeploy (empty) Acesso desconhecido, pois o IAM não reconhece esse serviço.
API Gateway Nenhum Nenhum acesso é definido na política.
CodeBuild Nenhuma ação é definida. Sem acesso porque nenhuma ação é definida para o serviço. Para saber como entender e resolver esse problema, consulte Minha política não concede as permissões esperadas.

Como mencionado anteriormente, Acesso completo indica que a política fornece acesso a todas as ações do serviço. Políticas que fornecem acesso a algumas, mas não a todas as ações de um serviço também são agrupadas de acordo com a classificação de nível de acesso. Isso é indicado por um dos seguintes agrupamentos de nível de acesso:

  • Completo: a política fornece acesso a todas as ações na classificação de nível de acesso especificada.

  • Limitado: a política fornece acesso a uma ou mais, mas não a todas as ações na classificação de nível de acesso especificada.

  • Nenhum: a política não fornece acesso.

  • (vazio): o IAM não reconhece este serviço. Se o nome do serviço inclui um erro ortográfico, a política não fornece acesso ao serviço. Se o nome do serviço está correto, talvez o serviço possa não dar suporte aos resumos de políticas ou possa estar em pré-visualização. Nesse caso, a política pode oferecer acesso, mas este acesso não pode ser mostrado no resumo de política. Para solicitar o suporte do resumo da política para uma serviço disponível, consulte O serviço não é compatível com os resumos de políticas do IAM.

Resumos de nível de acesso que incluem acesso limitado (parcial) às ações são agrupados usando as classificações de nível de acesso List, Read, Write, Permissions Management ou Tagging da AWS.

Níveis de acesso da AWS

A AWS define as seguintes classificações de nível de acesso para as ações em um serviço:

  • Listar: Permissão para listar recursos dentro do serviço para determinar se um objeto existe. Ações com esse nível de acesso podem listar objetos, mas não podem ver os conteúdos de um recurso. Por exemplo, a ação ListBucket do Amazon S3 tem o nível de acesso Listar.

  • Ler: Permissão para ler, mas não editar os conteúdos e atributos de recursos no serviço. Por exemplo, as ações GetObject e GetBucketLocation do Amazon S3 têm o nível de acesso Ler.

  • Gravar: permissão para criar, excluir ou modificar recursos no serviço. Por exemplo, as ações do Amazon S3 CreateBucket, DeleteBucket e PutObject têm o nível de acesso Write (Gravação). Ações Write também podem permitir modificar uma tag de recurso. No entanto, uma ação que permite apenas alterações nas tags tem o nível de acesso Tagging.

  • Gerenciamento de permissões: permissão para conceder ou modificar permissões de recursos no serviço. Por exemplo, a maioria das ações do IAM e do AWS Organizations, bem como ações como as do Amazon S3, PutBucketPolicy e DeleteBucketPolicy, têm o nível de acesso Gerenciamento de permissões.

    Dica

    Para melhorar a segurança da sua conta da AWS, restrinja ou monitore regularmente políticas que incluam a classificação de nível de acesso Gerenciamento de permissões.

  • Marcação: permissão para executar ações que apenas alteram o estado de tags de recurso. Por exemplo, as ações do IAM TagRole e UntagRole têm o nível de acesso Tagging (Marcação), pois permitem apenas marcar ou desmarcar uma função. No entanto, a ação CreateRole permite marcar um recurso de função quando você criar essa função. Como a ação não apenas adiciona uma tag, ela tem o nível de acesso Write.

Para visualizar a classificação de nível de acesso de todas as ações em um serviço, consulte Ações, recursos e chaves de condição de serviços da AWS.