Referência geral da AWS
Guia de referência (Versão 1.0)

Nomes de recurso da Amazon (ARN)

Nomes de recurso da Amazon (ARNs) identificam apenas recursos da AWS. Nós exigimos um ARN quando você precisar especificar um recurso sem ambiguidade em toda a AWS como, por exemplo, políticas do IAM, tags do Amazon Relational Database Service (Amazon RDS) e chamadas de API.

Formato de Nome de região da Amazon (ARN)

A seguir estão os formatos gerais para ARNs; os componentes e valores específicos usados dependem do serviço da AWS. Para usar um ARN, substitua o texto em vermelho e itálico no exemplo por suas próprias informações.

arn:partition:service:region:account-id:resource-id arn:partition:service:region:account-id:resource-type/resource-id arn:partition:service:region:account-id:resource-type:resource-id
partição

A partição na qual o recurso está. Para Regiões padrão da AWS a partição é aws. Se você tem recursos em outras partições, a partição é aws-partitionname. Por exemplo, a partição de recursos na Região China (Pequim) é aws-cn.

serviço

O namespace de serviço que identifica o produto da AWS (por exemplo, Amazon S3, IAM ou Amazon RDS).

região

A Região na qual o recurso reside. Os ARNs de alguns recursos não exigem uma região, portanto, este componente pode ser omitido.

account-id

O ID da conta da AWS que possui o recurso, sem hifens. Por exemplo, 123456789012. Os ARNs de alguns recursos não exigem um número de conta, portanto, este componente pode ser omitido.

resource ou resource-type

O conteúdo dessa parte do ARN varia de acordo com o serviço. Um identificador de recurso pode ser o nome ou o ID do recurso (por exemplo, user/Bob ou instance/i-1234567890abcdef0) ou um caminho de recurso. Por exemplo, alguns identificadores de recursos incluem um recurso pai (sub-resource-type/parent-resource/sub-resource) ou um qualificador, como uma versão (resource-type:resource-name:qualifier).

Caminhos em ARNs

Alguns ARNs de recursos podem incluir um caminho. Por exemplo, no Amazon S3, o identificador de recursos é um nome de objeto que pode incluir barras (/) para formar um caminho. Da mesma forma, nomes de usuários e nomes de grupo do IAM podem incluir caminhos.

Em alguns casos, os caminhos podem incluir um caractere curinga, ou seja, um asterisco (*). Por exemplo, se você estiver escrevendo uma política do IAM, poderá especificar todos os usuários do IAM que têm o caminho product_1234 usando um curinga como este:

arn:aws:iam::123456789012:user/Development/product_1234/*

Da mesma forma, poderá especificar user/* para indicar todos os usuários ou group/* para indicar todos os grupos, como nos exemplos a seguir:

"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"

Você não pode usar um curinga para especificar todos os usuários no elemento Principal em uma política com base em recursos ou em uma política de confiança de função. Os grupos não são suportados como principais em nenhuma política.

O exemplo a seguir mostra ARNs para um bucket do Amazon S3 em que o nome do recurso inclui um caminho:

arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my_corporate_bucket/Development/*

Você não pode usar um curinga na parte do ARN que especifica o tipo de recurso, como o termo user em um ARN do IAM.

O mencionado a seguir não é permitido:

arn:aws:iam::123456789012:u*

ARNs de recursos

A documentação do AWS Identity and Access Management (IAM) lista os ARNs compatíveis com cada serviço, bem como se as ações de API oferecem suporte a permissões no nível do recurso. Para obter mais informações, consulte Ações, recursos e chaves de condição para serviços da AWS no Guia do usuário do IAM.

Os recursos a seguir são definidos pelos serviços da AWS, conforme documentado no Guia do usuário do IAM.