Elementos de política JSON do IAM: Action - AWS Identity and Access Management

Elementos de política JSON do IAM: Action

O elemento Action descreve a ação ou ações específicas que serão permitidas ou negadas. As instruções devem incluir um elemento Action ou NotAction. Cada serviço da AWS tem seu próprio conjunto de ações que descrevem as tarefas que você pode executar com aquele serviço. Por exemplo, a lista de ações para o Amazon S3 pode ser encontrada em Especificação de permissões em uma política no Guia do desenvolvedor do Amazon Simple Storage Service, a lista de ações para o Amazon EC2 pode ser encontrada no Amazon EC2 API Reference e a lista de ações para o AWS Identity and Access Management pode ser encontrada no IAM API Reference. Para encontrar a lista de ações para outros serviços, consulte a documentação de referência de APIs do serviço.

Você especifica um valor usando um namespace de serviço, como um prefixo de ação (iam, ec2 sqs, sns, s3 etc.) seguido pelo nome da ação para permitir ou negar. O nome deve corresponder a uma ação compatível com o serviço. O prefixo e o nome da ação não diferenciam entre letras maiúsculas e minúsculas. Por exemplo, iam:ListAccessKeys é o mesmo que IAM:listaccesskeys. Os exemplos a seguir mostram elementos Action para diferentes serviços.

Ação do Amazon SQS

"Action": "sqs:SendMessage"

Ação do Amazon EC2

"Action": "ec2:StartInstances"

Ação do IAM

"Action": "iam:ChangePassword"

Ação do Amazon S3

"Action": "s3:GetObject"

Você pode especificar vários valores para o elemento Action.

"Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "ec2:StartInstances", "iam:ChangePassword", "s3:GetObject" ]

Você pode usar um curinga (*) para conceder acesso a todas as ações que o produto específico da AWS oferece. Por exemplo, o seguinte elemento Action se aplica a todas as ações do S3.

"Action": "s3:*"

Você também pode usar curingas (*) como parte do nome da ação. Por exemplo, o seguinte elemento Action se aplica a todas as ações do IAM que incluem a string AccessKey, incluindo CreateAccessKey, DeleteAccessKey, ListAccessKeys e UpdateAccessKey.

"Action": "iam:*AccessKey*"

Alguns serviços permitem que você limite as ações que estão disponíveis. Por exemplo, o Amazon SQS permite que você disponibilize apenas um subconjunto de todas as ações possíveis do Amazon SQS. Neste caso, o curinga * não permite o controle completo da fila; ele permite apenas o subconjunto de ações que você compartilhou. Para obter mais informações, consulte Compreensão de permissões no Guia do desenvolvedor do Amazon Simple Queue Service.