Estrutura da política Políticas gerenciadas pela AWS Exemplo de políticas

Gerenciamento de identidade e acesso aos Savings Plans

O AWS Identity and Access Management (IAM) é um serviço da AWS que ajuda a controlar o acesso aos recursos da AWS de forma segura. Como administrador, você pode criar funções na conta AWS para seus usuários. Você controla as permissões dos usuários para executar tarefas usando recursos da AWS. Você pode usar o IAM sem custo adicional.

Por padrão, os usuários não têm permissões para recursos e operações do Savings Plans. Para os usuários gerenciarem recursos do Savings Plans você deve criar uma função e delegar permissões. Siga as instruções em Criar uma função para um usuário no Guia do usuário do IAM.

Estrutura da política

A política do IAM é um documento JSON que consiste em uma ou mais declarações. Cada instrução é estruturada da maneira a seguir.


{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

Existem vários elementos que compõem uma instrução:

Efeito: o efeito pode ser Allow ou Deny. Por padrão, os usuários não têm permissão para usar recursos e ações da API. Por isso, todas as solicitações são negadas. Uma permissão explícita substitui o padrão. Uma negação explícita substitui todas as permissões.
Ação: é a ação de API específica para a qual você está concedendo ou negando permissão.
Recurso: o recurso afetado pela ação. Algumas ações de API do Amazon EC2 permitem incluir recursos específicos na política que podem ser criados ou modificados pela ação. Para especificar um recurso na declaração, você precisa usar o Nome de recurso da Amazon (ARN). Para mais informações, consulte Ações definidas pelo Savings Plans.
Condição: condições são opcionais. Elas podem ser usadas para controlar quando a política está em vigor. Para mais informações, consulte Chaves de condição para os Savings Plans.

Políticas gerenciadas pela AWS

As políticas gerenciadas criadas pela AWS concedem as permissões necessárias para casos de uso comuns. Após criar uma função para o usuário assumir, você pode anexar a política a ela conforme o acesso necessário. Cada política concede acesso a todas ou a algumas das ações de API para os Savings Plans.

A seguir estão as políticas AWS gerenciadas para Savings Plans:

Acesso total aos Savings Plans: concede acesso total aos Savings Plans.
Acesso somente leitura aos Savings Plans: concede acesso somente para leitura dos Savings Plans.

Exemplo de políticas

Em uma declaração de política do IAM, é possível especificar qualquer ação de API de qualquer serviço que dê suporte ao IAM. Use o seguinte prefixo com o nome da ação de API para os Savings Plans: savingsplans:. Por exemplo:

savingsplans:CreateSavingsPlan
savingsplans:DescribeSavingsPlans

Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme o seguinte:


"Action": ["savingsplans:action1", "savingsplans:action2"]

Também é possível especificar várias ações usando asteriscos. Por exemplo, é possível especificar todas as ações cujo nome começa com a palavra "Describe" da seguinte forma:


"Action": "savingsplans:Describe*"

Para especificar todas as ações de API dos Savings Plans, use o asterisco (*) da seguinte maneira:


"Action": "savingsplans:*"

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Automatização com a Amazon EventBridge

Registrar chamadas de API dos Savings Plans com o AWS CloudTrail.