Nomes de recurso da Amazon (ARN) - Referência geral da AWS

Nomes de recurso da Amazon (ARN)

Nomes de recurso da Amazon (ARNs) identificam apenas recursos da AWS. Nós exigimos um ARN quando você precisar especificar um recurso sem ambiguidade em toda a AWS como, por exemplo, políticas do IAM, tags do Amazon Relational Database Service (Amazon RDS) e chamadas de API.

Formato

A seguir estão os formatos gerais de ARNs. Os formatos específicos dependem do recurso. Para usar um ARN, substitua o texto em itálico pelas informações específicas do recurso. Lembre-se de que os ARNs para alguns recursos omitem a região, o ID da conta, ou a região e o ID da conta.

arn:partition:service:region:account-id:resource-id arn:partition:service:region:account-id:resource-type/resource-id arn:partition:service:region:account-id:resource-type:resource-id
partição

A partição na qual o recurso está localizado. Uma partição é um grupo de regiões da AWS. Cada conta da AWS tem escopo para uma partição.

As partições a seguir são compatíveis:

  • aws – Regiões padrão

  • aws-cn - Regiões da China

  • aws-us-gov – Regiões AWS GovCloud (US)

serviço

O namespace de serviço que identifica o produto da AWS. Por exemplo, s3 para recursos do Amazon S3.

região

A região. Por exemplo, us-east-2 para Leste dos EUA (Ohio).

account-id

O ID da conta da AWS que possui o recurso, sem hifens. Por exemplo, 123456789012.

resource-id

O identificador do recurso. Essa parte do ARN pode ser o nome ou o ID do recurso ou um caminho do recurso. Por exemplo, user/Bob para um usuário do IAM ou instance/i-1234567890abcdef0 para uma instância do EC2. Alguns identificadores de recursos incluem um recurso pai (sub-resource-type/parent-resource/sub-resource) ou um qualificador, como uma versão (resource-type:resource-name:qualifier).

Caminhos em ARNs

Os ARNs de recursos podem incluir um caminho. Por exemplo, no Amazon S3, o identificador de recursos é um nome de objeto que pode incluir barras (/) para formar um caminho. Da mesma forma, nomes de usuários e nomes de grupo do IAM podem incluir caminhos.

Os caminhos podem incluir um caractere curinga, ou seja, um asterisco (*). Por exemplo, se você estiver escrevendo uma política do IAM, poderá especificar todos os usuários do IAM que têm o caminho product_1234 usando um curinga conforme segue:

arn:aws:iam::123456789012:user/Development/product_1234/*

Da mesma forma, poderá especificar user/* para indicar todos os usuários ou group/* para indicar todos os grupos, como nos exemplos a seguir:

"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"

Você não pode usar um curinga para especificar todos os usuários no elemento Principal em uma política com base em recursos ou em uma política de confiança de função. Os grupos não são suportados como principais em nenhuma política.

O exemplo a seguir mostra ARNs para um bucket do Amazon S3 em que o nome do recurso inclui um caminho:

arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my_corporate_bucket/Development/*

Você não pode usar um curinga na parte do ARN que especifica o tipo de recurso, como o termo user em um ARN do IAM.

O mencionado a seguir não é permitido:

arn:aws:iam::123456789012:u*

ARNs de recursos

A documentação do AWS Identity and Access Management (IAM) lista os ARNs compatíveis por cada serviço para uso em permissões no nível do recurso. Para obter mais informações, consulte Ações, recursos e chaves de condição para serviços da AWS no Guia do usuário do IAM.