Resumo do serviço (lista de ações) - AWS Identity and Access Management

Resumo do serviço (lista de ações)

As políticas são resumidas em três tabelas: o resumo de políticas, o resumo de serviços e o resumo de ações. A tabela do resumo de serviços inclui uma lista das ações e resumos das permissões que são definidas pela política para o dado serviço.


      A imagem do diagrama dos resumos de políticas ilustra as 3 tabelas e suas relações

Visualize um resumo de serviços para cada serviço listado no resumo de políticas que concede permissões. A tabela é agrupada em Ações não categorizadas, Tipos de recursos não categorizados e seções de nível de acesso. Se a política inclui uma ação que o IAM não reconhece, a ação é incluída na seção Ações não categorizadas da tabela. Se o IAM reconhece a ação, ela é incluída em um das seções de nível de acesso (Listar, Ler, Gravar e Gerenciamento de permissões) da tabela. Para exibir a classificação de nível de acesso atribuída a cada ação em um serviço, consulte Ações, recursos e chaves de condição de serviços da AWS.

Visualizar resumos de serviços

Visualize o resumo de serviços das políticas gerenciadas na página Políticas ou visualize os resumos de serviços das políticas gerenciadas e em linha anexadas a um usuário ou uma função por meio da página Usuários e da página Funções. No entanto, se escolher um nome de serviço na página Usuários ou na página Funções de uma política gerenciada, você será redirecionado para a página Políticas. Os resumos de serviços das políticas gerenciadas devem ser visualizados na página Políticas.

Para visualizar o resumo de serviços de uma política gerenciada

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Policies (Políticas).

  3. Na lista de políticas, escolha o nome da política que deseja visualizar.

  4. Na página Resumo da política, visualize a guia Permissões para ver o resumo da política.

  5. Na lista de serviços do resumo de políticas, escolha o nome do serviço que deseja visualizar.

Para visualizar o resumo de serviços de uma política anexada a um usuário

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Na lista de usuários, escolha o nome do usuário cuja política deseja visualizar.

  4. Na página Resumo do usuário, visualize a guia Permissões para ver a lista de políticas que estão anexadas ao usuário diretamente ou a partir de um grupo.

  5. Na tabela de políticas do usuário, expanda a linha da política que deseja visualizar.

  6. Na lista de serviços do resumo de políticas, escolha o nome do serviço que deseja visualizar.

    nota

    Se a política que você selecionar for uma política em linha que está anexada diretamente ao usuário, a tabela do resumo de serviços será exibida. Se a política for uma política em linha anexada a um grupo, você será levado para o documento de política JSON desse grupo. Se a política for uma política gerenciada, você será levado para o resumo de serviços dessa política na página Políticas.

Para visualizar o resumo de serviços de uma política anexada a uma função

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Funções no painel de navegação.

  3. Na lista de funções, escolha o nome da função cuja política deseja visualizar.

  4. Na página Resumo da função, visualize a guia Permissões para ver a lista de políticas que estão anexadas à função.

  5. Na tabela de políticas da função, expanda a linha da política que deseja visualizar.

  6. Na lista de serviços do resumo de políticas, escolha o nome do serviço que deseja visualizar.

Noções básicas sobre os elementos de um resumo de serviço

O exemplo a seguir é o resumo de serviços para ações do Amazon S3 que são permitidas pelo resumo da política SummaryAllElements (consulte Documento da política JSON SummaryAllElements). As ações para esse serviço são agrupadas por Ações não categorizadas, Tipos de recurso não categorizados e nível de acesso. Por exemplo, duas ações Gravação são definidas do total de 29 ações Gravação disponíveis para o serviço.


        Imagem da caixa de diálogo de resumo de serviços

A página do resumo de serviços de uma política gerenciada inclui as seguintes informações:

  1. Se a política não conceder permissões para todas as ações, recursos e condições definidos para o serviço na política, um banner de aviso aparecerá na parte superior da página. O resumo de serviços inclui detalhes sobre o problema. Para saber como os resumos de política ajudam a entender e solucionar problemas das permissões concedidas por sua política, consulte Minha política não concede as permissões esperadas.

  2. Próximo ao link Voltar aparece o nome do serviço (neste caso, S3). O resumo de serviços desse serviço inclui a lista de ações permitidas que são definidas na política. Se em vez disso, o texto (Explicitamente negado) for exibido ao lado do nome de um serviço, as ações listadas na tabela do resumo de serviços serão explicitamente negadas.

  3. Escolha { } JSON para ver detalhes adicionais sobre a política. Faça isso para visualizar todas as condições que são aplicadas às ações. (Se você estiver visualizando o resumo de serviços para uma política em linha que esteja anexado diretamente a um usuário, será necessário fechar a caixa de diálogo do resumo de serviços e voltar para o resumo de políticas para acessar o documento de política JSON.)

  4. Para visualizar o resumo de uma ação específica, digite palavras-chave na caixa de pesquisa para reduzir a lista de ações disponíveis.

  5. Ação (2 de 69 ações) – Essa coluna lista as ações que são definidas na política e fornece os recursos e as condições para cada ação. Se a política conceder permissões para a ação, o nome da ação será vinculado à tabela resumo da ação. A contagem indica o número de ações reconhecidas que fornecem permissões. O total é o número de ações conhecidas do serviço. Neste exemplo, 2 ações fornecem permissões de um total de 69 ações conhecidas do S3.

  6. Mostrar/ocultar 67 restantes – Escolha este link para expandir ou ocultar a tabela para incluir ações que são conhecidas, mas não fornecem permissões para este serviço. Expandir o link também exibe avisos para os elementos que não fornecem permissões.

  7. Tipos de recurso não reconhecidos – Esta política inclui pelo menos um tipo de recurso não reconhecido na política para esse serviço. Use este aviso para verificar se um tipo de recurso pode incluir um erro de digitação. Se o tipo de recurso estiver correto, talvez o serviço não seja totalmente compatível com os resumos de políticas, esteja em pré-visualização ou seja um serviço personalizado. Para solicitar o suporte do resumo de políticas para um tipo de recurso específico em um serviço disponível, consulte O serviço não é compatível com os resumos de políticas do IAM. Neste exemplo, o nome do serviço autoscling está sem um a.

  8. Ações não reconhecidas – Essa política inclui pelo menos uma ação não reconhecida na política para esse serviço. Use este aviso para verificar se uma ação pode incluir um erro de digitação. Se o nome da ação estiver correto, talvez o serviço não seja totalmente compatível com os resumos de políticas, esteja em pré-visualização ou seja um serviço personalizado. Para solicitar o suporte do resumos de políticas para uma ação específica em um serviço disponível, consulte O serviço não é compatível com os resumos de políticas do IAM. Neste exemplo, a ação DeletObject está sem um e.

    nota

    O IAM revisa nomes de serviço, ações e tipos de recurso para serviços que oferecem suporte a resumos de políticas. Contudo, seu resumo de política pode incluir um valor de recurso ou uma condição que não existe. Sempre teste as políticas com o simulador de políticas.

  9. Para as ações que o IAM reconhece, a tabela agrupa essas ações em pelo menos uma ou até quatro seções, dependendo do nível de acesso que a política permite ou nega. As seções são Lista, Leitura, Gravação e Gerenciamento de permissões. Veja também o número de ações que são definidas a partir do número total de ações disponíveis em cada nível de acesso. Para exibir a classificação de nível de acesso atribuída a cada ação em um serviço, consulte Ações, recursos e chaves de condição de serviços da AWS.

  10. As reticências (…) indicam que todas as ações estão incluídas na página, mas estamos mostrando apenas as linhas com informações relevantes para esta política. Quando você visualizar esta página no AWS Management Console, verá todas as ações para o seu serviço.

  11. (Sem acesso) – Esta política inclui uma ação que não fornece permissões.

  12. Ações que fornecem permissões incluem um link para o resumo da ação.

  13. Recursos – Essa coluna mostra os recursos que a política define para o serviço. O IAM não verifica se o recurso se aplica a cada ação. Neste exemplo, ações no serviço do S3 são permitidas somente para os recursos de bucket developer_bucket do Amazon S3. Dependendo das informações que o serviço fornece ao IAM, talvez seja exibido um ARN, como arn:aws:s3:::developer_bucket/*, ou um tipo de recurso definido, como BucketName = developer_bucket.

    nota

    Essa coluna pode incluir um recurso de um serviço diferente. Se a declaração de política que inclui o recurso não incluir as ações e os recursos do mesmo serviço, a política incluirá recursos incompatíveis. O IAM não avisa sobre recursos incompatíveis quando você cria uma política ou quando visualiza uma política no resumo da política. O IAM também não indica se a ação se aplica aos recursos, somente se o serviço corresponder. Se essa coluna incluir um recurso incompatível, será necessário analisar sua política para busca de erros. Para compreender melhor suas políticas, sempre teste-as com o simulador de políticas.

  14. Aviso de recurso – Para ações com recursos que não fornecem permissões completas, você verá um dos seguintes avisos:

    • Esta ação não oferece suporte para permissões no nível do recurso. Isso requer um caractere curinga (*) para o recurso. – Isso significa que a política inclui as permissões no nível de recurso, mas deve incluir "Resource": ["*"] para fornecer permissões para esta ação.

    • Esta ação não tem um recurso aplicável. – Isso significa que a ação é incluída na política sem um recurso compatível.

    • Esta ação não tem um recurso e uma condição aplicáveis. – Isso significa que a ação é incluída na política sem um recurso e sem uma condição compatíveis. Neste caso, há também uma condição incluída na política para esse serviço, mas não há condições que se aplicam a esta ação.

    Para a ação ListAllMyBuckets, essa política inclui o último aviso, pois a ação não é compatível com as permissões no nível do serviço e não é compatível com a chave de condição s3:x-amz-acl. Se você corrigir o problema de recurso ou condição, o problema restante aparecerá em um aviso detalhado.

  15. Solicitar condição – Essa coluna mostra se as ações associadas ao recurso estão sujeitas às condições. Para saber mais sobre essas condições, escolha { } JSON para revisar o documento de política JSON.

  16. Aviso de condição – Para ações com condições que não fornecem permissões completas, você verá um dos seguintes avisos:

    • <CONDITION_KEY> não é uma chave de condição compatível para esta ação. – Isso significa que a política inclui uma chave de condição para o serviço que não é compatível com esta ação.

    • Várias chaves de condição não são compatíveis com esta ação. – Isso significa que a política inclui mais de uma chave de condição para o serviço que não é compatível com esta ação.

    Para GetObject, essa política inclui a chave de condição s3:x-amz-acl, que não funciona com esta ação. Embora a ação seja compatível com o recurso, a política não concede permissões para esta ação porque a condição nunca será verdadeira para esta ação.