Resumo da política (lista de serviços) - AWS Identity and Access Management
Visualizar resumos de políticasEditar políticas para corrigir avisosNoções básicas sobre os elementos de um resumo de políticaDocumento da política JSON SummaryAllElements

Resumo da política (lista de serviços)

As políticas são resumidas em três tabelas: o resumo de políticas, o resumo de serviços e o resumo de ações. A tabela de resumo da política inclui uma lista de serviços e resumos das permissões que são definidas pela política escolhida.

A imagem do diagrama dos resumos de políticas ilustra as 3 tabelas e suas relações

A tabela de resumo da política é agrupada em um ou mais seções de Serviços não categorizados, Negação explícita e Permissão. Se a política incluir um serviço que o IAM não reconheça, o serviço será incluído na seção Uncategorized services (Serviços não categorizados) da tabela. Se o IAM reconhecer o serviço, ele será incluído nas seções Explicit deny (Negação explícita) ou Allow (Permitir) da tabela, dependendo do efeito da política (Deny ou Allow).

Visualizar resumos de políticas

Você pode visualizar os resumos para qualquer política anexada a um usuário escolhendo o nome da política na guia Permissões na página de detalhes do usuário. Você pode visualizar os resumos para qualquer política anexada a um perfil escolhendo o nome da política na guia Permissões na página de detalhes do perfil. Visualize o resumo de políticas para políticas gerenciadas na página Políticas. Se a política não incluir um resumo, consulte Resumo de política ausente para saber por quê.

Para visualizar o resumo da política na página Políticas

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Políticas.

  3. Na lista de políticas, escolha o nome da política que deseja visualizar.

  4. Na página Detalhes da política, visualize a guia Permissões para ver o resumo da política.

Para visualizar o resumo de uma política anexada a um usuário

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Usuários no painel de navegação.

  3. Na lista de usuários, escolha o nome do usuário cuja política deseja visualizar.

  4. Na página Resumo do usuário, visualize a guia Permissões para ver a lista de políticas que estão anexadas ao usuário diretamente ou a partir de um grupo.

  5. Na tabela de políticas do usuário, expanda a linha da política que deseja visualizar.

Para visualizar o resumo de uma política anexada a uma função

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Perfis.

  3. Na lista de funções, escolha o nome da função cuja política deseja visualizar.

  4. Na página Resumo da função, visualize a guia Permissões para ver a lista de políticas que estão anexadas à função.

  5. Na tabela de políticas da função, expanda a linha da política que deseja visualizar.

Editar políticas para corrigir avisos

Ao visualizar um resumo da política, você pode encontrar um erro de digitação ou perceber que a política não fornece as permissões esperadas. Não é possível editar o resumo da política diretamente. No entanto, você pode editar uma política gerenciada pelo cliente usando o editor visual de políticas, que detecta muitos dos erros e avisos relatados pelo resumo da política. Em seguida, você pode visualizar as alterações no resumo da política para confirmar que corrigiu todos os problemas. Para saber como editar uma política em linha, consulte Edição de políticas do IAM. Você não pode editar políticas gerenciadas pela AWS.

Para editar uma política para o resumo da política usando a opção Visual

  1. Abra o resumo da política conforme explicado nos procedimentos anteriores.

  2. Selecione a opção Editar.

    Se estiver na página Usuários e escolher editar uma política gerenciada pelo cliente que esteja anexada a esse usuário, você será redirecionado para a página Políticas. Você pode editar políticas gerenciadas pelo cliente apenas na página Políticas.

  3. Escolha a opção Visual para visualizar a representação visual editável da política. O IAM pode reestruturar sua política a fim de otimizá-la para o editor visual e facilitar a identificação e correção de problemas. Os avisos e as mensagens de erro nessa página podem orientar você na correção dos problemas da sua política. Para obter mais informações sobre como o IAM reestrutura políticas, consulte Reestruturação da política.

  4. Edite a política e escolha Avançar para ver as alterações refletidas no resumo da política. Se você ainda encontrar um problema, escolha Anterior para retornar à tela de edição.

  5. Escolha Salvar alterações para salvar suas alterações.

Para editar uma política para o resumo da política usando a opção JSON

  1. Abra o resumo da política conforme explicado nos procedimentos anteriores.

  2. Você pode usar os botões Resumo e JSON para comparar o resumo da política e o documento da política JSON. Você pode usar essas informações para determinar quais linhas no documento de política que você deseja alterar.

  3. Escolha Editar e depois escolha a opção JSON para editar o documento da política JSON.

    nota

    Você pode alternar entre as opções de editor Visual e JSON a qualquer momento. Porém, se você fizer alterações ou escolher Avançar na opção de editor Visual, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para ter mais informações, consulte Reestruturação da política.

    Se estiver na página Usuários e escolher editar uma política gerenciada pelo cliente que esteja anexada a esse usuário, você será redirecionado para a página Políticas. Você pode editar políticas gerenciadas pelo cliente apenas na página Políticas.

  4. Edite sua política. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação de política e depois escolha Próximo. Se você ainda encontrar um problema, escolha Anterior para retornar à tela de edição.

  5. Escolha Salvar alterações para salvar suas alterações.

Noções básicas sobre os elementos de um resumo de política

No exemplo de página de detalhes de uma política a seguir, a política SummaryAllElements é uma política gerenciada (pelo cliente) que está anexada diretamente ao usuário. Essa política é expandida para mostrar seu resumo.

Imagem da caixa de diálogo de resumo de políticas

Na imagem anterior, o resumo da política pode ser visto na página Políticas:

  1. A guia Permissões inclui as permissões definidas na política.

  2. Se a política não conceder permissões para todas as ações, recursos e condições definidos na política, um banner de aviso ou erro aparecerá na parte superior da página. O resumo de política inclui detalhes sobre o problema. Para saber como os resumos de política ajudam a entender e solucionar problemas das permissões concedidas por sua política, consulte Minha política não concede as permissões esperadas.

  3. Use os botões Resumo e JSON para alternar entre o resumo da política e o documento da política JSON.

  4. Use a caixa Pesquisar para reduzir a lista de serviços e localizar um serviço específico.

  5. A visualização expandida mostra detalhes adicionais da política SummaryAllElements.

A imagem de tabela do resumo da política seguir mostra a política SummaryAllElements expandida na página de detalhes da política.

Imagem da caixa de diálogo de resumo de políticas

Na imagem anterior, o resumo da política pode ser visto na página Políticas:

  1. Para os serviços reconhecidos pelo IAM, ele organiza os serviços de acordo com a natureza da política, ou seja, se ela permite ou nega explicitamente o uso do serviço. Neste exemplo, a política inclui uma instrução Deny para o serviço Amazon S3 e instruções Allow para os serviços Faturamento, CodeDeploy e Amazon EC2.

  2. Service (Serviço): esta coluna lista os serviços que estão definidos na política e fornece detalhes de cada serviço. Cada nome do serviço na tabela de resumo da política é um link para a tabela resumo do serviço, que é explicada em Resumo do serviço (lista de ações). Neste exemplo, as permissões estão definidas para os serviços Amazon S3, Faturamento, CodeDeploy e Amazon EC2.

  3. Nível de acesso: essa coluna informa se as ações em cada nível de acesso (List, Read, Write, Permission Management e Tagging) têm as permissões Full ou Limited definidas na política. Para obter mais detalhes e exemplos do resumo de nível de acesso, consulte Noções básicas sobre níveis de acesso em resumos de políticas.

    • Full access (Acesso total): esta opção indica que o serviço tem acesso a todas as ações em todos os quatro níveis de acesso disponíveis para o serviço.

    • Se a entrada não incluir Acesso total, o serviço terá acesso a algumas, mas não a todas as ações para o serviço. O acesso é, então, definido seguindo as descrições de cada uma das classificações de nível de acesso (List, Read, Write, Permission Management e Tagging):

      Total: a política fornece acesso a todas as ações em cada classificação de nível de acesso listada. Neste exemplo, a política fornece acesso a todas as ações Read de faturamento.

      Limitado: a política fornece acesso a uma ou mais, mas não todas as ações em cada classificação de nível de acesso listada. Neste exemplo, a política fornece acesso a algumas ações Write de faturamento.

  4. Resource (Recurso): esta coluna mostra os recursos que a política especifica para cada serviço.

    • Multiple (Múltiplo): a política inclui mais de um, mas não todos os recursos do serviço. Neste exemplo, o acesso é negado explicitamente para mais de um recurso do Amazon S3.

    • Todos os recursos: a política é definida para todos os recursos do serviço. Neste exemplo, a política permite que as ações listadas sejam executadas em todos os recursos de faturamento.

    • Texto do recurso: a política inclui um recurso do serviço. Neste exemplo, as ações listadas só são permitidas no recurso DeploymentGroupName de CodeDeploy. Dependendo das informações que o serviço fornecer ao IAM, você poderá ver um ARN ou o tipo de recurso definido.

      nota

      Essa coluna pode incluir um recurso de um serviço diferente. Se a declaração de política que inclui o recurso não incluir as duas ações e recursos do mesmo serviço, a política incluirá recursos incompatíveis. O IAM não avisa sobre recursos incompatíveis quando você cria uma política, ou quando visualiza uma política no resumo da política. Se essa coluna incluir um recurso incompatível, será necessário analisar sua política para busca de erros. Para compreender melhor suas políticas, sempre teste-as com o simulador de políticas.

  5. Request condition (Condição de solicitação): esta coluna indica se os serviços ou ações associadas ao recurso estão sujeitos a condições.

    • None (Nenhum): a política não inclui condições para o serviço. Neste exemplo, nenhuma condição é aplicada às ações negadas no serviço Amazon S3.

    • Texto da condição: a política inclui uma condição para o serviço. Neste exemplo, as ações de Faturamento listadas só serão permitidas se o endereço IP da fonte corresponder a 203.0.113.0/24.

    • Multiple (Vários): a política inclui mais de uma condição para o serviço. Para visualizar cada uma das várias condições da política, escolha JSON para visualizar o documento da política.

  6. Mostrar serviços restantes: alterne esse botão para expandir a tabela e incluir os serviços que não são definidos pela política. Esses serviços são negados implicitamente (ou negados por padrão) dentro dessa política. No entanto, uma declaração em outra política ainda pode permitir ou negar explicitamente usando o serviço. O resumo da política resume as permissões de uma única política. Para saber como o serviço da AWS decide se uma determinada solicitação deve ser permitida ou negada, consulte Lógica da avaliação de política.

Quando uma política ou um elemento dentro da política não concede permissões, o IAM fornece mais avisos e informações no resumo da política. A tabela de resumo da política a seguir mostra os serviços Mostrar serviços restantes expandidos na página de detalhes da política SummaryAllElements com os possíveis avisos.

Imagem da caixa de diálogo de resumo de políticas

Na imagem anterior, você pode ver todos os serviços que incluem ações, recursos ou condições definidas sem permissões:

  1. Avisos de recursos: para serviços que não fornecem permissões para todas as ações ou recursos incluídos, você verá um dos seguintes avisos na coluna Resource (Recurso) da tabela:

    • Warning hazard sign icon with yellow triangle background. Nenhum recurso é definido. : isso significa que o serviço tem ações definidas, mas nenhum recurso compatível está incluído na política.

    • Warning hazard sign icon with yellow triangle background. Uma ou mais ações não têm um recurso aplicável. : isso significa que o serviço tem ações definidas, mas que algumas dessas ações não têm um recurso compatível.

    • Warning hazard sign icon with yellow triangle background. Um ou mais recursos não têm uma ação aplicável. : isso significa que o serviço tem recursos definidos, mas que alguns desses recursos não têm uma ação compatível.

    Se um serviço incluir tanto ações que não têm nenhum recurso aplicável quanto recursos que não têm nenhum recurso aplicável, apenas o aviso Um ou mais recursos não têm uma ação aplicável será exibido. Isso ocorre porque, quando você visualiza o resumo do serviço, os recursos que não se aplicam a nenhuma ação não são mostrados. Para a ação ListAllMyBuckets, essa política inclui o último aviso, pois a ação não é compatível com as permissões no nível do serviço e não é compatível com a chave de condição s3:x-amz-acl. Se você corrigir o problema de recurso ou condição, o problema restante aparecerá em um aviso detalhado.

  2. Avisos de condição de solicitação: para serviços que não fornecem permissões para todas as condições incluídas, você verá um dos seguintes avisos na coluna Request condition (Condição de solicitação) da tabela:

    • Warning hazard sign icon with yellow triangle background. Uma ou mais ações não têm uma ação aplicável. : Isso significa que o serviço tem ações definidas, mas que algumas dessas ações não têm uma condição compatível.

    • Warning hazard sign icon with yellow triangle background. Uma ou mais condições não têm uma ação aplicável. : isso significa que o serviço tem condições definidas, mas que algumas dessas condições não têm uma ação compatível.

  3. Múltiplo | Warning hazard sign icon with yellow triangle background. Uma ou mais ações não têm um recurso aplicável. : a instrução Deny para o Amazon S3 inclui mais de um recurso. Ela também inclui mais de uma ação e algumas ações suportam os recursos, algumas não. Para exibir esta política, consulte: Documento da política JSON SummaryAllElements. Nesse caso, a política inclui todas as ações do Amazon S3, e somente as ações que podem ser executadas em um bucket ou objeto do bucket são negadas.

  4. Warning hazard sign icon with yellow triangle background. No resources are defined (Nenhum recurso definido): o serviço tem ações definidas, mas nenhum recurso compatível está incluído na política e, portanto, o serviço não fornece permissões. Nesse caso, a política inclui ações do CodeCommit, mas nenhum recurso do CodeCommit.

  5. DeploymentGroupName | string como | Todas, região | string como | us-west-2 | Warning hazard sign icon with yellow triangle background. Uma ou mais ações não têm nenhum recurso aplicável. : o serviço tem uma ação definida e, pelo menos, mais uma ação não tem nenhum recurso compatível.

  6. Nenhuma | Warning hazard sign icon with yellow triangle background. uma ou mais condições não têm nenhuma ação aplicável. : o serviço tem, pelo menos, uma chave de condição que não tem nenhuma ação compatível.

Documento da política JSON SummaryAllElements

A política SummaryAllElements não deve ser usada para definir permissões na sua conta. Em vez disso, ela é incluída para demonstrar os erros e avisos que você pode encontrar ao visualizar um resumo de política.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:Get*",
                "payments:List*",
                "payments:Update*",
                "account:Get*",
                "account:List*",
                "cur:GetUsage*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::customer",
                "arn:aws:s3:::customer/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshots"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "codedploy:*",
                "codecommit:*"
            ],
            "Resource": [
                "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
                "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetObject",
                "s3:DeletObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::developer_bucket",
                "arn:aws:s3:::developer_bucket/*",
                "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": [
                        "public-read"
                    ],
                    "s3:prefix": [
                        "custom",
                        "other"
                    ]
                }
            }
        }
    ]
}