Nomes de recurso da Amazon (ARN) - Referência geral do AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Nomes de recurso da Amazon (ARN)

Nomes de recurso da Amazon (ARNs) identificam apenas recursos da AWS. Nós exigimos um ARN quando você precisar especificar um recurso sem ambiguidade em toda aAWS, como políticas do IAM, tags do Amazon Relational Database Service (Amazon RDS) e chamadas de API.

OReferência de autorização do serviçolista os ARNs que você pode usar nas políticas do IAM.

Formato ARN

A seguir estão os formatos gerais de ARNs. Os formatos específicos dependem do recurso. Para usar um ARN, substitua o texto em itálico pelas informações específicas do recurso. Lembre-se de que os ARNs para alguns recursos omitem a região, o ID da conta, ou a região e o ID da conta.

arn:partition:service:region:account-id:resource-id arn:partition:service:region:account-id:resource-type/resource-id arn:partition:service:region:account-id:resource-type:resource-id
partition

A partição na qual o recurso está localizado. Uma partição é um grupo de regiões da AWS. Cada conta da AWS tem escopo para uma partição.

Estas são as partições compatíveis:

  • aws – Regiões AWS

  • aws-cn- Regiões da China

  • aws-us-gov – Regiões AWS GovCloud (US)

service

O namespace de serviço que identifica oAWSProduto. Por exemplo,s3para o Amazon S3. Para localizar um espaço de nomes de serviço, abra oReferência de autorização do serviço, abra a página do serviço e encontre a frase “prefixo de serviço” na primeira frase. Por exemplo, o texto a seguir aparece na primeira frase da página para o Amazon S3:

(service prefix: s3)
region

O Código da região. Por exemplo,us-east-2para Leste dos EUA (Ohio). Para obter a lista de códigos de região, consulteEndpoints regionais.

account-id

O ID daAWSconta que possui o recurso, sem hifens. Por exemplo, 123456789012.

resource-id

O identificador do recurso. Essa parte do ARN pode ser o nome ou o ID do recurso ou um caminho do recurso. Por exemplo, user/Bob para um usuário do IAM ou instance/i-1234567890abcdef0 para uma instância do EC2. Alguns identificadores de recursos incluem um recurso pai (sub-resource-type/parent-resource/sub-resource) ou um qualificador, como uma versão (resource-type:resource-name:qualifier).

Caminhos em ARNs

Os ARNs de recursos podem incluir um caminho. Por exemplo, no Amazon S3, o identificador de recursos é um nome de objeto que pode incluir barras (/) para formar um caminho. Da mesma forma, nomes de usuários e nomes de grupo do IAM podem incluir caminhos.

Os caminhos podem incluir um caractere curinga, ou seja, um asterisco (*). Por exemplo, se você estiver escrevendo uma política do IAM, poderá especificar todos os usuários do IAM que têm o caminhoproduct_1234usando um caractere curinga da seguinte forma:

arn:aws:iam::123456789012:user/Development/product_1234/*

Da mesma forma, poderá especificar user/* para indicar todos os usuários ou group/* para indicar todos os grupos, como nos exemplos a seguir:

"Resource":"arn:aws:iam::123456789012:user/*" "Resource":"arn:aws:iam::123456789012:group/*"

O exemplo a seguir mostra ARNs para um bucket do Amazon S3 em que o nome do recurso inclui um caminho:

arn:aws:s3:::my_corporate_bucket/* arn:aws:s3:::my_corporate_bucket/Development/*

Uso incorreto de curinga

Você não pode usar um curinga na parte do ARN que especifica o tipo de recurso, como o termouserem um ARN do IAM. Por exemplo, o seguinte não é permitido.

arn:aws:iam::123456789012:u*   <== not allowed