Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Estrutura da política do IAM

PDF
RSS
Modo de foco
Estrutura da política do IAM - AWS Batch
Sintaxe da políticaAções de API para AWS BatchNomes de recursos da Amazon para AWS BatchTestar permissões

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Os tópicos a seguir explicam a estrutura de uma política do IAM.

Sintaxe da política

A política do IAM é um documento JSON que consiste em uma ou mais declarações. Cada instrução é estruturada da maneira a seguir.

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
    "key":"value"
    }
      }
    }
  ]
}

Há quatro elementos principais que compõem uma declaração:

  • Effect: o efeito pode ser Allow ou Deny. Por padrão, os usuários não têm permissão para usar recursos e ações de API. Então, todas as solicitações são negadas. Um permitir explícito substitui o padrão. Uma negar explícito substitui todas as permissões.

  • Ação: a ação é a ação de API específica para a qual você está concedendo ou negando permissão. Para obter instruções sobre como especificar a ação, consulte Ações de API para AWS Batch.

  • Recurso: o recurso afetado pela ação. Com algumas ações de API do AWS Batch é possível incluir recursos específicos na política que podem ser criados ou modificados pela ação. Para especificar um recurso na declaração, use o respectivo nome de recurso da Amazon (ARN). Para ter mais informações, consulte Permissões em nível de recurso suportadas para ações de API AWS Batch e Nomes de recursos da Amazon para AWS Batch. Se a operação da AWS Batch API atualmente não oferecer suporte a permissões em nível de recurso, inclua um caractere curinga (*) para especificar que todos os recursos podem ser afetados pela ação.

  • Condição: condições são opcionais. Elas podem ser usadas para controlar quando a política está em vigor.

Para obter mais informações sobre exemplos de declarações de política do IAM para AWS Batch, consulteRecurso: exemplos de políticas para AWS Batch.

Ações de API para AWS Batch

Em uma declaração de política do IAM, é possível especificar qualquer ação de API de qualquer serviço que dê suporte ao IAM. Para AWS Batch, use o seguinte prefixo com o nome da ação da API: batch: (por exemplo, batch:SubmitJob ebatch:CreateComputeEnvironment).

Para especificar várias ações em uma única declaração, separe cada ação com uma vírgula.

"Action": ["batch:action1", "batch:action2"]

Você também pode especificar várias ações incluindo um curinga (*). Por exemplo, é possível especificar todas as ações com um nome começando com a palavra "Describe".

"Action": "batch:Describe*"

Para especificar todas as ações AWS Batch da API, inclua um caractere curinga (*).

"Action": "batch:*"

Para ver uma lista de AWS Batch ações, consulte Ações na Referência AWS Batch da API.

Nomes de recursos da Amazon para AWS Batch

Cada declaração de política do IAM se aplica aos recursos que você especifica usando seus Amazon Resource Names (ARNs).

Um nome do recurso da Amazon (ARN) tem a seguinte sintaxe geral:

arn:aws:[service]:[region]:[account]:resourceType/resourcePath
serviço

O serviço (por exemplo, batch).

região

O Região da AWS para o recurso (por exemplo,us-east-2).

conta

O Conta da AWS ID, sem hífens (por exemplo,123456789012).

resourceType

O tipo de recurso (por exemplo, compute-environment).

resourcePath

Um caminho que identifica o recurso. É possível usar um curinga (*) nos caminhos.

AWS Batch Atualmente, as operações de API oferecem suporte a permissões em nível de recurso em várias operações de API. Para obter mais informações, consulte Permissões em nível de recurso suportadas para ações de API AWS Batch. Para especificar todos os recursos, ou se uma ação de API específica não for compatível ARNs, inclua um caractere curinga (*) no Resource elemento.

"Resource": "*"

Confirmar se os usuários têm as permissões necessárias

Antes de colocar uma política do IAM em vigor, verifique se ela concede aos usuários as permissões para usar as ações e recursos de API específicos de que eles precisam.

Para fazer isso, primeiro, crie um usuário do para fins de teste e anexe a política do IAM ao usuário de teste. Em seguia, faça uma solicitação como o usuário de teste. Você pode fazer solicitações de teste no console ou com a AWS CLI.

nota

Você também pode testar as políticas usando o Simulador de políticas do IAM. Para obter mais informações sobre o simulador de políticas, consulte Como trabalhar com o simulador de políticas do IAM no Guia do usuário do IAM.

Caso a política não conceda ao usuário as permissões que você esperava ou caso ela seja muito permissiva, você pode ajustar a política conforme necessário. Teste novamente até obter os resultados desejados.

Importante

Pode levar alguns minutos para que as alterações de política sejam propagadas até entrarem em vigor. Por isso, recomendamos que você aguarde pelo menos cinco minutos antes de testar as atualizações da política.

Caso uma verificação de autorização falhe, a solicitação retorna uma mensagem codificada com informações de diagnóstico. É possível decodificar a mensagem usando a ação DecodeAuthorizationMessage. Para obter mais informações, consulte DecodeAuthorizationMessagena Referência AWS Security Token Service da API e decode-authorization-messagena Referência de AWS CLI Comandos.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.