ARNs para recursos AWS Cloud Map Informações sobre propriedade de recursos Gerenciamento de acesso aos recursos Especificação de elementos de política: recursos, ações, efeitos e entidades de segurança Especificando condições em uma política do IAM

Gerenciando as permissões de acesso aos seus AWS Cloud Map recursos

Cada AWS recurso pertence a uma AWS conta, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões.

nota

Administrador de conta (ou usuário administrador) é um usuário com privilégios correspondentes. Para obter mais informações sobre administradores, consulte Práticas recomendadas do IAM no Guia do usuário do IAM.

Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados às permissões concedidas e as ações que eles podem executar.

ARNs para recursos AWS Cloud Map

É possível conceder ou negar permissões em nível de recurso a namespaces e serviços para operações selecionadas. Para ter mais informações, consulte AWS Cloud Map Referência de permissões da API.

Informações sobre propriedade de recursos

Uma AWS conta possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário do recurso é a AWS conta da entidade principal (ou seja, a conta do usuário raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação de criação do recurso.

Os seguintes exemplos mostram como isso funciona:

Se você usar as credenciais da conta de usuário raiz da sua AWS conta para criar um namespace HTTP, sua AWS conta é a proprietária do recurso.
Se você criar um usuário do IAM em sua AWS conta e conceder permissões para criar um namespace HTTP para esse usuário, o usuário poderá criar um namespace HTTP. No entanto, sua conta da AWS , à qual o usuário pertence, é proprietária do recurso namespace HTTP.
Se você criar uma função do IAM em sua AWS conta com permissões para criar um namespace HTTP, qualquer pessoa que possa assumir a função poderá criar um namespace HTTP. Sua conta da AWS , à qual pertence o perfil, é proprietária do recurso namespace HTTP.

Gerenciamento de acesso aos recursos

Uma política de permissões especifica quem tem acesso a quê. Esta seção explica as opções para a criação das políticas de permissões do AWS Cloud Map. Para obter informações gerais sobre a sintaxe e as descrições de política do IAM, consulte a Referência da política do IAM no Guia do usuário do IAM.

As políticas anexadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade (políticas do IAM) e as políticas anexadas a um recurso são conhecidas como políticas baseadas em recurso. O AWS Cloud Map oferece suporte apenas às políticas baseadas em identidade (políticas do IAM).

Tópicos

Políticas baseadas em identidade (políticas do IAM)
Políticas baseadas em recursos

Políticas baseadas em identidade (políticas do IAM)

Você pode anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:

Anexar uma política de permissões a um usuário ou grupo na sua conta – Um administrador de conta pode usar uma política de permissões associada a um determinado usuário para conceder permissões para que esse usuário crie recursos do AWS Cloud Map .
Anexe uma política de permissões a uma função (conceda permissões entre contas) — Você pode conceder permissão para realizar AWS Cloud Map ações a um usuário que foi criado por outra AWS conta. Para fazer isso, anexe uma política de permissões a uma função do IAM e permita que o usuário da outra conta assuma a função. O exemplo a seguir explica como isso funciona para duas contas da AWS , conta A e conta B:
1. O administrador da conta A cria uma função do IAM e anexa à função uma política de permissões que concede permissões para criar ou acessar recursos de propriedade da conta A.
2. O administrador da conta A associa uma política de confiança à função. A política de confiança identifica a conta B como a principal que pode assumir a função.
3. O administrador da conta B pode delegar permissões para assumir a função para usuários ou grupos na conta B. Isso permite que os usuários na conta B criem ou acessem recursos na conta A.
Para obter mais informações sobre como delegar permissões para usuários em outra conta da AWS , consulte Gerenciamento de acesso no Guia do usuário do IAM.

O exemplo de política a seguir permite que um usuário execute a CreatePublicDnsNamespaceação para criar um namespace DNS público para qualquer conta. AWS As permissões do Amazon Route 53 são necessárias porque quando você cria um namespace DNS público, AWS Cloud Map também cria uma zona hospedada do Route 53:


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "servicediscovery:CreatePublicDnsNamespace",
            "route53:CreateHostedZone",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName"
         ],
         "Resource":"*"
      }
   ]
}

Se você quiser que a política se aplique a namespaces DNS privados, você precisa conceder permissões para usar a ação. AWS Cloud Map CreatePrivateDnsNamespace Além disso, você concede permissão para usar as mesmas ações do Route 53 do exemplo anterior porque AWS Cloud Map cria uma zona hospedada privada do Route 53. Você também pode conceder permissão para usar duas ações do Amazon EC2, DescribeVpcs e DescribeRegions:


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "servicediscovery:CreatePrivateDnsNamespace",
            "route53:CreateHostedZone",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName"
         ],
         "Resource":"*"
      },
      {
         "Effect": "Allow",
         "Action": [
            "ec2:DescribeVpcs",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      }
   ]
}

Para obter mais informações sobre como anexar políticas às identidades do AWS Cloud Map, consulte. Usando políticas baseadas em identidade (políticas do IAM) para AWS Cloud Map Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do usuário do IAM.

Políticas baseadas em recursos

Outros produtos, como o Amazon S3, também permitem a anexação de políticas de permissões aos recursos. Por exemplo, você pode anexar uma política a um bucket do S3 para gerenciar as permissões de acesso a esse bucket. AWS Cloud Map não oferece suporte para anexar políticas aos recursos.

Especificação de elementos de política: recursos, ações, efeitos e entidades de segurança

AWS Cloud Map inclui ações de API (consulte a Referência da AWS Cloud Map API) que você pode usar em cada AWS Cloud Map recurso (consulteARNs para recursos AWS Cloud Map). Você pode conceder a um usuário ou a um usuário federado permissões para executar uma ou todas essas ações. Observe que algumas ações de API, como a criação de um namespace DNS público, exigem permissões para executar mais de uma ação.

Estes são os elementos de política básicos:

Recurso: use um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para ter mais informações, consulte ARNs para recursos AWS Cloud Map.
Ação: você usa palavras-chave de ação para identificar as ações de recurso que deseja permitir ou negar. Por exemplo, dependendo do especificadoEffect, a servicediscovery:CreateHttpNamespace permissão permite ou nega ao usuário a capacidade de realizar a AWS Cloud Map CreateHttpNamespaceação.
Efeito: você especifica o efeito (permitir ou negar) quando um usuário tenta executar a ação no recurso especificado. Se você não conceder acesso explícito a uma ação, o acesso será negado implicitamente. Você também pode negar explicitamente o acesso a um recurso a fim de ter certeza de que um usuário não conseguirá acessá-lo, mesmo que uma política diferente conceda acesso.
Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é implicitamente a entidade principal. Para as políticas baseadas em recurso, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (aplica-se somente a políticas baseadas em recurso). O AWS Cloud Map não aceita politicas baseadas em recurso.

Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte Referência da política do IAM no Guia do usuário do IAM.

Para obter uma lista das ações da AWS Cloud Map API e dos recursos aos quais elas se aplicam, consulteAWS Cloud Map Referência de permissões da API.

Especificando condições em uma política do IAM

Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar quando uma política deve entrar em vigor. Por exemplo, talvez você queira que uma política só seja aplicada após uma data específica ou que uma política seja aplicada somente a determinado namespace.

Para expressar condições, você usa chaves de condição predefinidas. AWS Cloud Map define seu próprio conjunto de chaves de condição e também oferece suporte ao uso de algumas chaves de condição globais. Para obter mais informações, consulte os tópicos a seguir.

Para obter informações sobre chaves de AWS Cloud Map condição, consulteAWS Cloud Map Referência de permissões da API.
Para obter informações sobre chaves de condição AWS globais, consulte Chaves de contexto de condição AWS global no Guia do usuário do IAM.
Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Elementos de política do IAM JSON: condição no Manual do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Identity and Access Management

Usando políticas do IAM para AWS Cloud Map