Visão geral da linguagem de políticas de acesso para o Amazon API Gateway - Amazon API Gateway
Elementos comuns em uma política de acesso

Visão geral da linguagem de políticas de acesso para o Amazon API Gateway

Esta página descreve os elementos básicos usados nas políticas de recursos do Amazon API Gateway.

As políticas de recursos são especificadas usando a mesma sintaxe que as políticas do IAM. Para obter as informações completas sobre a linguagem da política, consulte Visão geral de políticas do IAM e Referência de políticas do AWS Identity and Access Management no Guia do usuário do IAM.

Para obter informações sobre como um serviço da AWS determina se uma solicitação deve ser permitida ou negada, consulte Determinar se uma solicitação é permitida ou negada.

Elementos comuns em uma política de acesso

No sentido mais básico, uma política de recursos contém os seguintes elementos:

  • Recursos – APIs são os recursos do Amazon API Gateway para os quais você pode permitir ou negar permissões. Em uma política, você usa o nome de recurso da Amazon (ARN) para identificar o recurso. Também é possível usar a sintaxe abreviada, que o API Gateway expande automaticamente para o ARN completo ao salvar uma política de recursos. Para saber mais, consulte Exemplos de política de recursos do API Gateway.

    Para o formato do elemento Resource completo, consulte Formato de recurso das permissões para executar a API no API Gateway.

  • Ações — para cada recurso, o Amazon API Gateway oferece suporte a um conjunto de operações. Você identifica as operações de recursos que permitirão (ou negarão) usando palavras-chave de ação.

    Por exemplo, a execute-api:Invoke permissão permite que o usuário permissão para chamar uma API mediante a solicitação de um cliente.

    Para o formato do elemento Action, consulte Formato de ação das permissões para executar a API no API Gateway.

  • Efeito — qual é o efeito quando o usuário solicita a ação específica, que pode ser Allow ou Deny. Você também pode negar explicitamente o acesso a um recurso, o que pode fazer para ter a certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

    nota

    "Negação explícita" é a mesma coisa que "Negação por padrão".

    Uma “negação implícita” é diferente de uma “negação explícita”. Para obter mais informações, consulte A diferença entre negação por padrão e negação explícita.

  • Entidade principal: a conta ou o usuário que tem permissão de acesso a ações e recursos na instrução. Em uma política de recursos, a entidade principal é o usuário ou a conta que recebe essa permissão.

O exemplo de política de recursos a seguir mostra os elementos comuns de política anteriores. A política concede acesso a todas as APIs no account-id especificado na region especificada para qualquer usuário cujo endereço IP de origem esteja no bloco de endereço 123.4.5.6/24. A política nega todo o acesso à API se o IP de origem do usuário não estiver dentro do intervalo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}