Resumo da política (lista de serviços) - AWS Identity and Access Management

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Resumo da política (lista de serviços)

As políticas são resumidas em três tabelas: o resumo de políticas, o resumo de serviços e o resumo de ações. A tabela de resumo da política inclui uma lista de serviços e resumos das permissões que são definidas pela política escolhida.


      A imagem do diagrama dos resumos de políticas ilustra as 3 tabelas e suas relações

A tabela de resumo da política é agrupada em um ou mais seções de Serviços não categorizados, Negação explícita e Permissão. Se a política incluir um serviço que o IAM não reconheça, o serviço será incluído na seção Serviços não categorizados da tabela. Se o IAM reconhecer o serviço, ele será incluído nas seções Negação explícita ou Permitir da tabela, dependendo do efeito da política (Deny ou Allow).

Visualizar resumos de políticas

Visualize os resumos de qualquer política anexada a um usuário na página Usuários. Visualize os resumos de qualquer política anexada a uma função na página Funções. Visualize o resumo de políticas para políticas gerenciadas na página Políticas. Se a política não incluir um resumo, consulte Resumo de política ausente para saber por quê.

Para visualizar o resumo da política na página Políticas

  1. Faça login no Console de gerenciamento da AWS e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Policies (Políticas).

  3. Na lista de políticas, escolha o nome da política que deseja visualizar.

  4. Na página Resumo da política, visualize a guia Permissões para ver o resumo da política.

Para visualizar o resumo de uma política anexada a um usuário

  1. Faça login no Console de gerenciamento da AWS e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Usuários no painel de navegação.

  3. Na lista de usuários, escolha o nome do usuário cuja política deseja visualizar.

  4. Na página Resumo do usuário, visualize a guia Permissões para ver a lista de políticas que estão anexadas ao usuário diretamente ou a partir de um grupo.

  5. Na tabela de políticas do usuário, expanda a linha da política que deseja visualizar.

Para visualizar o resumo de uma política anexada a uma função

  1. Faça login no Console de gerenciamento da AWS e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Roles.

  3. Na lista de funções, escolha o nome da função cuja política deseja visualizar.

  4. Na página Resumo da função, visualize a guia Permissões para ver a lista de políticas que estão anexadas à função.

  5. Na tabela de políticas da função, expanda a linha da política que deseja visualizar.

Editar políticas para corrigir avisos

Ao visualizar um resumo da política, você pode encontrar um erro de digitação ou perceber que a política não fornece as permissões esperadas. Não é possível editar o resumo da política diretamente. No entanto, você pode editar uma política gerenciada pelo cliente usando o editor visual de políticas, que detecta muitos dos erros e avisos relatados pelo resumo da política. Em seguida, você pode visualizar as alterações no resumo da política para confirmar que corrigiu todos os problemas. Para saber como editar uma política em linha, consulte Editar políticas do IAM. Você não pode editar políticas gerenciadas pela AWS.

Para editar uma política para o seu resumo de política usando a guia Editor visual

  1. Abra o resumo da política conforme explicado nos procedimentos anteriores.

  2. Escolha Editar política.

    Se estiver na página Usuários e escolher editar uma política gerenciada pelo cliente que esteja anexada a esse usuário, você será redirecionado para a página Políticas. Você pode editar políticas gerenciadas pelo cliente apenas na página Políticas.

  3. Escolha a guia Editor visual para visualizar a representação visual editável da política. O IAM pode reestruturar sua política a fim de otimizá-la para o editor visual e facilitar a identificação e a correção de problemas. Os avisos e as mensagens de erro nessa página podem orientar você na correção dos problemas da sua política. Para obter mais informações sobre como o IAM reestrutura políticas, consulte Reestruturação da política.

  4. Edite a política e escolha Revisar política para ver as alterações refletidas no resumo da política. Se você ainda encontrar um problema, escolha Previous (Anterior) para retornar à tela de edição.

  5. Selecione Salvar para salvar as alterações.

Para editar uma política para o seu resumo de política usando a guia JSON

  1. Abra o resumo da política conforme explicado nos procedimentos anteriores.

  2. Escolha { } JSON e o Resumo da política para comparar o resumo da política com o documento da política JSON. Você pode usar essas informações para determinar quais linhas no documento de política que você deseja alterar.

  3. Escolha Editar política e, em seguida, escolha a guia JSON para editar o documento da política JSON.

    nota

    Você pode alternar entre as guias Editor visual e JSON sempre que quiser. No entanto, se você fizer alterações ou escolher Revisar política na guia Editor visual, o IAM poderá reestruturar sua política de forma a otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação da política.

    Se estiver na página Usuários e escolher editar uma política gerenciada pelo cliente que esteja anexada a esse usuário, você será redirecionado para a página Políticas. Você pode editar políticas gerenciadas pelo cliente apenas na página Políticas.

  4. Edite sua política. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação de política e, depois, selecione Review policy (Revisar política).Se você ainda encontrar um problema, escolha Previous (Anterior) para retornar à tela de edição.

  5. Selecione Salvar para salvar as alterações.

Noções básicas sobre os elementos de um resumo de política

No exemplo a seguir de uma página de detalhes do usuário, o usuário PolSumUser tem oito políticas anexas. A política SummaryAllElements é uma política gerenciada (pelo cliente) que está anexada diretamente ao usuário. Essa política é expandida para mostrar seu resumo. Para visualizar o documento de política JSON para esta política, consulte Documento da política JSON SummaryAllElements.


        Imagem da caixa de diálogo de resumo de políticas

Na imagem anterior, o resumo da política está visível na página de detalhes do usuário:

  1. A guia Permissões para um usuário inclui as políticas que estão anexadas ao usuário PolSumUser.

  2. A política SummaryAllElements é uma das várias políticas que estão anexadas ao usuário. A política é expandida para mostrar seu resumo.

  3. Se a política não conceder permissões para todas as ações, recursos e condições definidos na política, um banner de aviso ou erro aparecerá na parte superior da página. O resumo de política inclui detalhes sobre o problema. Para saber como os resumos de política ajudam a entender e solucionar problemas das permissões concedidas por sua política, consulte Minha política não concede as permissões esperadas.

  4. Use os botões Resumo da política e { } JSON para alternar entre o resumo da política e o documento de política JSON.

  5. Simular política abre o simulador de políticas para testar a política.

  6. Use a caixa de pesquisa para reduzir a lista de serviços e encontrar facilmente um serviço específico.

  7. A visualização expandida mostra detalhes adicionais da política SummaryAllElements.

A imagem da tabela a seguir mostra a política SummaryAllElements expandida na página de detalhes do usuário PolSumUser.


        Imagem da caixa de diálogo de resumo de políticas

Na imagem anterior, o resumo da política está visível na página de detalhes do usuário:

  1. Serviço – Essa coluna lista os serviços que estão definidos na política e fornece detalhes de cada serviço. Cada nome do serviço na tabela de resumo da política é um link para a tabela resumo do serviço, que é explicada em Resumo do serviço (lista de ações). Neste exemplo, as permissões estão definidas para os serviços Amazon S3, Faturamento e Amazon EC2. A política também define permissões para um serviço codedploy (com erro ortográfico), que o IAM não reconhece.

  2. Serviços não reconhecidos – Essa política inclui um serviço não reconhecido (nesse caso, codedploy ). Use este aviso para verificar se um nome de serviço pode incluir um erro de digitação. Se o nome do serviço estiver correto, talvez o serviço não seja totalmente compatível com resumos de política, esteja em pré-visualização ou seja um serviço personalizado. Para solicitar o suporte do resumo da política para uma serviço disponível, consulte O serviço não é compatível com os resumos de políticas do IAM. Neste exemplo, a política inclui um serviço codedploy não reconhecido sem um e. Devido a esse erro ortográfico, a política não fornece as permissões esperadas ao AWS CodeDeploy. Você pode editar a política para incluir o nome do serviço codedeploy preciso; em seguida, o serviço aparece no resumo da política.

  3. Para os serviços reconhecidos pelo IAM, ele organiza os serviços de acordo com a natureza da política, ou seja, se ela permite ou nega explicitamente o uso do serviço. Neste exemplo, a política inclui as instruções Allow e Deny para o serviço do Amazon S3. Portanto, o resumo da política inclui o S3 nas seções Negação explícita e Permissão.

  4. Mostrar 100 restantes – Escolha esse link para expandir a tabela e incluir os serviços que não estão definidas pela política. Esses serviços são negados implicitamente (ou negados por padrão) dentro dessa política. No entanto, uma declaração em outra política ainda pode permitir ou negar explicitamente usando o serviço. O resumo da política resume as permissões de uma única política. Para saber como o serviço da AWS decide se uma determinada solicitação deve ser permitida ou negada, consulte Lógica da avaliação de política.

  5. EC2 – Esse serviço inclui uma ação não reconhecida. IAM reconhece nomes de serviço, ações e tipos de recurso para serviços que dão suporte a resumos da política. Quando um serviço é reconhecida, mas contém uma ação que não é reconhecida, o IAM inclui um aviso ao lado desse serviço. Neste exemplo, o IAM não consegue reconhecer pelo menos uma ação do Amazon EC2. Para saber mais sobre as ações não reconhecidas e visualizar a ação não reconhecida em um resumo do serviço do S3, consulte Resumo do serviço (lista de ações).

    nota

    O IAM revisa nomes de serviço, ações e tipos de recurso para serviços que oferecem suporte a resumos de políticas. Contudo, seu resumo de política pode incluir um valor de recurso ou uma condição que não existe. Sempre teste as políticas com o simulador de políticas.

  6. S3 – Esse serviço inclui uma ação não reconhecida. O IAM reconhece nomes de serviço, ações e tipos de recurso para serviços que dão suporte a resumos da política. Quando um serviço é reconhecido, mas contém um tipo de recurso que não é reconhecido, o IAM inclui um aviso ao lado desse serviço. Neste exemplo, o IAM não consegue reconhecer pelo menos uma ação do Amazon S3. Para saber mais sobre os recursos não reconhecidos e visualizar o tipo de recurso não reconhecido em um resumo do serviço do S3, consulte Resumo do serviço (lista de ações).

  7. Nível de acesso – Essa coluna indica se as ações em cada nível de acesso (List, Read, Write e Permissions management) têm permissões Full ou Limited definidas na política. Para obter mais detalhes e exemplos do resumo de nível de acesso, consulte Noções básicas sobre resumos de nível de acesso dentro de resumos de políticas.

    • Acesso total – Essa entrada indica que o serviço tem acesso a todas as ações em todos os quatro níveis de acesso disponíveis para o serviço. Neste exemplo, como essa linha está na seção Negação explícita da tabela, todas as ações do Amazon S3 são negadas pelos recursos incluídos na política.

    • Se a entrada não incluir Acesso total, o serviço terá acesso a algumas, mas não a todas as ações para o serviço. O acesso é, então, definido seguindo as descrições de cada uma das quatro classificações de nível de acesso (List, Read, Write e Permissions management):

      Total: a política fornece acesso a todas as ações em cada classificação de nível de acesso listada. Neste exemplo, a política fornece acesso a todas as ações Read de faturamento.

      Limitado: a política fornece acesso a uma ou mais, mas não todas as ações em cada classificação de nível de acesso listada. Neste exemplo, a política fornece acesso a algumas ações Write de faturamento.

  8. Recurso – Essa coluna mostra os recursos que a política especifica para cada serviço.

    • Múltiplo – A política inclui mais de um, mas não todos os recursos do serviço. Neste exemplo, o acesso é negado explicitamente para mais de um recurso do Amazon S3.

    • Todos os recursos – A política é definida para todos os recursos dentro do serviço. Neste exemplo, a política permite que as ações listadas sejam executadas em todos os recursos de faturamento.

    • Texto do recurso – a política inclui um recurso dentro do serviço. Neste exemplo, as ações listadas são permitidas somente no recurso de bucket developer_bucket do Amazon S3. Dependendo das informações que o serviço fornece ao IAM, talvez seja exibido um ARN, como arn:aws:s3:::developer_bucket/*, ou um tipo de recurso definido, como BucketName = developer_bucket.

      nota

      Essa coluna pode incluir um recurso de um serviço diferente. Se a declaração de política que inclui o recurso não incluir as ações e os recursos do mesmo serviço, a política incluirá recursos incompatíveis. O IAM não avisa sobre recursos incompatíveis quando você cria uma política ou quando visualiza uma política no resumo da política. Se essa coluna incluir um recurso incompatível, será necessário analisar sua política para busca de erros. Para compreender melhor suas políticas, sempre teste-as com o simulador de políticas.

  9. Solicitar condição – Essa coluna indica se os serviços ou ações associadas ao recurso estão sujeitos às condições.

    • Nenhum – A política não inclui condições para o serviço. Neste exemplo, nenhuma condição é aplicada às ações negadas no serviço Amazon S3.

    • Texto da condição – a política inclui uma condição para o serviço. Neste exemplo, as ações de Faturamento listadas serão permitidas somente se o endereço IP da origem corresponder a 203.0.113.0/24.

    • Múltiplo – A política inclui mais de uma condição para o serviço. Neste exemplo, o acesso às ações listadas do Amazon S3 é permitido com base em mais de uma condição. Para visualizar cada uma das várias condições da política, escolha { } JSON para visualizar o documento de política.

Quando uma política ou um elemento dentro da política não concede permissões, o IAM fornece mais avisos e informações no resumo da política. A tabela de resumo da política a seguir mostra os serviços Mostrar 100 restantes expandidos na página de detalhes do usuário PolSumUser com os possíveis avisos.


        Imagem da caixa de diálogo de resumo de políticas

Na imagem anterior, você pode ver todos os serviços que incluem ações, recursos ou condições definidas sem permissões:

  1. Avisos de recurso – Para serviços que não fornecem permissões para todas as ações ou recursos incluídos, você verá um dos seguintes avisos na coluna Recurso da tabela:

    • Nenhum recurso é definido. – Isso significa que o serviço tem ações definidas, mas nenhum recurso compatível está incluído na política.

    • Uma ou mais ações não têm um recurso aplicável. – Isso significa que o serviço tem ações definidas, mas que algumas dessas ações não têm um recurso compatível.

    • Um ou mais recursos não têm uma ação aplicável. – Isso significa que o serviço tem recursos definidos, mas que alguns desses recursos não têm uma ação compatível.

    Se um serviço incluir ações que não têm um recurso aplicável e recursos que não têm um recurso aplicável, apenas o aviso Um ou mais recursos não têm uma ação aplicável. Isso ocorre porque, quando você visualiza o resumo do serviço, os recursos que não se aplicam a nenhuma ação não são mostrados. Para a ação ListAllMyBuckets, essa política inclui o último aviso, pois a ação não é compatível com as permissões no nível do serviço e não é compatível com a chave de condição s3:x-amz-acl. Se você corrigir o problema de recurso ou condição, o problema restante aparecerá em um aviso detalhado.

  2. Avisos de condição de solicitação – Para serviços que não fornecem permissões para todas as condições incluídas, você verá um dos seguintes avisos na coluna Condição da solicitação da tabela:

    • Uma ou mais ações não têm uma ação aplicável. – Isso significa que o serviço tem ações definidas, mas que algumas dessas ações não têm uma condição compatível.

    • Uma ou mais condições não têm uma ação aplicável. – Isso significa que o serviço tem condições definidas, mas que algumas dessas condições não têm uma ação compatível.

  3. Múltiplo | Uma ou mais ações não têm um recurso aplicável. – A instrução Deny para o Amazon S3 inclui mais do que um recurso. Ela também inclui mais de uma ação e algumas ações suportam os recursos, algumas não. Para exibir esta política, consulte: Documento da política JSON SummaryAllElements. Nesse caso, a política inclui todas as ações do Amazon S3, e somente as ações que podem ser executadas em um bucket ou objeto do bucket são negadas.

  4. As reticências (…) indicam que todos os serviços estão incluídos na página, mas estamos mostrando apenas as linhas com informações relevantes para esta política. Quando você visualizar esta página no Console de gerenciamento da AWS, verá todos os serviços da AWS.

  5. A cor de fundo das linhas da tabela indica serviços que não concedem permissões. Você não pode obter informações adicionais sobre esses serviços no resumo da política. Para serviços em linhas brancas, você pode escolher o nome do serviço para visualizar a página do resumo do serviço (lista de ações). Não é possível saber mais sobre as permissões concedidas para esse serviço.

  6. Nenhum - Nenhuma ação é definida. – Isso significa que o serviço é definido como um recurso ou condição, mas que nenhuma ação é incluída ao serviço e, portanto, o serviço não fornece permissões. Nesse caso, a política inclui um recurso do CodeBuild, mas nenhuma ação do CodeBuild.

  7. Nenhum recurso definido – O serviço tem ações definidas, mas nenhum recurso compatível é incluído na política e, portanto, o serviço não fornece permissões. Nesse caso, a política inclui ações do CodeCommit, mas nenhum recurso do CodeCommit.

  8. BucketName = developer_bucket, ObjectPath = All | Um ou mais recursos não têm uma ação aplicável. – O serviço tem um recurso de objeto de bucket definido, e pelo menos mais um recurso que não tem uma ação compatível.

  9. s3:x-amz-acl = public-read | Uma ou mais condições não têm uma ação aplicável. – O serviço tem uma chave de condição s3:x-amz-acl definida, e pelo menos mais uma chave de condição que não tem uma ação compatível.

Documento da política JSON SummaryAllElements

A política SummaryAllElements não deve ser usada para definir permissões na sua conta. Em vez disso, ela é incluída para demonstrar os erros e avisos que você pode encontrar ao visualizar um resumo de política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ViewPaymentMethods", "aws-portal:ModifyPaymentMethods", "aws-portal:ViewAccount", "aws-portal:ModifyAccount", "aws-portal:ViewUsage" ], "Resource": [ "*" ], "Condition": { "IpAddress": { "aws:SourceIp": "203.0.113.0/24" } } }, { "Effect": "Deny", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ] }, { "Effect": "Allow", "Action": [ "ec2:GetConsoleScreenshots" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "codedploy:*", "codecommit:*" ], "Resource": [ "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*", "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetObject", "s3:DeletObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::developer_bucket", "arn:aws:s3:::developer_bucket/*", "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp" ], "Condition": { "StringEquals": { "s3:x-amz-acl": [ "public-read" ], "s3:prefix": [ "custom", "other" ] } } } ] }