Como oAWS Serverless Application RepositoryFunciona com o IAM - AWS Serverless Application Repository

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como oAWS Serverless Application RepositoryFunciona com o IAM

Antes de usar o IAM para gerenciar o acesso aoAWS Serverless Application Repository, você deve entender quais recursos do IAM estão disponíveis para uso com oAWS Serverless Application Repository.

Para obter uma visão geral de como o IAM funciona, consulteEntender como o IAM funcionanoManual do usuário do IAM. Para obter uma visão detalhada de como oAWS Serverless Application Repositorye outrosAWSserviços funcionam com o IAM, consulteAWSServiços compatíveis com o IAMnoManual do usuário do IAM.

AWS Serverless Application Repository Políticas baseadas em identidade

Com as políticas baseadas em identidade do IAM, é possível especificar ações ou recursos permitidos ou negados, bem como as condições sob as quais as ações são permitidas ou negadas. O AWS Serverless Application Repository oferece suporte a ações, recursos e chaves de condição específicos. Para conhecer todos os elementos usados em uma política JSON, consulte Referência de elementos de política JSON do IAM no Manual do usuário do IAM.

A seguir, um exemplo de uma política de permissões.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateApplication", "Effect": "Allow", "Action": [ "serverlessrepo:CreateApplication" ], "Resource": "*" }, { "Sid": "CreateApplicationVersion", "Effect": "Allow", "Action": [ "serverlessrepo:CreateApplicationVersion" ], "Resource": "arn:partition:serverlessrepo:region:account-id:applications/application-name" } ] }

A política tem duas instruções:

  • A primeira instrução concede permissões para a ação serverlessrepo:CreateApplication do AWS Serverless Application Repository em todos os recursos do AWS Serverless Application Repository, conforme especificado pelo caractere curinga (*) como o valor Resource.

  • A segunda instrução concede permissão para oAWS Serverless Application Repositoryaçãoserverlessrepo:CreateApplicationVersionem umAWSrecurso usando o Amazon Resource Name (ARN) para umAWS Serverless Application Repositoryaplicativo. O aplicativo é especificado pelo valor Resource.

A política não especifica o elemento Principal porque, em uma política baseada em identidade, não se especifica o principal que obtém as permissões. Quando você anexar uma política um usuário, o usuário será o principal implícito. Quando você anexa uma política de permissão a uma função do IAM, o principal identificado na política de confiança da função obtém as permissões.

Para obter uma tabela que mostra todos osAWS Serverless Application RepositoryOperações de API do e oAWSRecursos aos quais se aplicam, consulteAWS Serverless Application RepositoryPermissões da API do: Referência de ações e recursos.

Ações

Os administradores podem usar AWS as políticas JSON da para especificar quem tem acesso a quê. Ou seja, qual principal pode executar ações em quais recursos, e em que condições.

O elemento Action de uma política JSON descreve as ações que você pode usar para permitir ou negar acesso em uma política. As ações de política geralmente têm o mesmo nome que a operação de API da AWS associada. Existem algumas exceções, como ações somente de permissão, que não têm uma operação de API correspondente. Há também algumas operações que exigem várias ações em uma política. Essas ações adicionais são chamadas de ações dependentes.

Inclua ações em uma política para conceder permissões para executar a operação associada.

Ações de políticas noAWS Serverless Application RepositoryUse o seguinte prefixo antes da ação: serverlessrepo:. Por exemplo, para conceder a alguém permissão para executar umAWS Serverless Application Repositoryinstância com oAWS Serverless Application Repository SearchApplicationsOperação da API, você inclui oserverlessrepo:SearchApplicationsação em sua política. As instruções de política devem incluir um elemento Action ou NotAction. O AWS Serverless Application Repository define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.

Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme o seguinte:

"Action": [ "serverlessrepo:action1", "serverlessrepo:action2" ]

Você também pode especificar várias ações usando caracteres curinga (*). Por exemplo, para especificar todas as ações que começam com a palavra List, inclua a seguinte ação:

"Action": "serverlessrepo:List*"

Para ver uma lista de ações do AWS Serverless Application Repository, consulte Ações definidas pelo AWS Serverless Application Repository no Manual do usuário do IAM.

Recursos

Os administradores podem usar AWS as políticas JSON da para especificar quem tem acesso a quê. Ou seja, qual principal pode executar ações em quais recursos, e em que condições.

O elemento Resource de política JSON especifica o objeto ou os objetos aos quais a ação se aplica. As instruções devem incluir um elemento Resource ou um elemento NotResource. Como prática recomendada, especifique um recurso usando seu Nome de recurso da Amazon (ARN). Isso pode ser feito para ações que oferecem suporte a um tipo de recurso específico, conhecido como permissões em nível de recurso.

Para ações que não oferecem suporte a permissões em nível de recurso, como operações de listagem, use um curinga (*) para indicar que a instrução se aplica a todos os recursos.

"Resource": "*"

NoAWS Serverless Application Repository, o principalAWSrecurso é umAWS Serverless Application Repository aplicativo.AWS Serverless Application RepositoryOs aplicativos do têm nomes de recursos da Amazon (ARNs) exclusivos associados a eles, conforme mostrado na tabela a seguir.

Tipo de recurso do AWS Formato do nome de recurso da Amazon (ARN)
Aplicativo

arn:partition:serverlessrepo:region:account-id:applications/application-name

Para obter mais informações sobre o formato de ARNs, consulte Nomes de recursos da Amazon (ARNs) e namespaces de serviços da AWS.

Veja a seguir um exemplo de política que concede permissões para oserverlessrepo:ListApplicationsação em todosAWSrecursos da AWS. Na implementação atual, oAWS Serverless Application Repositorynão oferece suporte à identificação específica do.AWSrecursos usando oAWSARNs de recursos (também chamados de permissões de recursos) para algumas das ações de API do. Nesses casos, você deve especificar um caractere curinga (*).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListExistingApplications", "Effect": "Allow", "Action": [ "serverlessrepo:ListApplications" ], "Resource": "*" } ] }

Para obter uma tabela que mostra todos osAWS Serverless Application RepositoryAções de API do e oAWSRecursos aos quais se aplicam, consulteAWS Serverless Application RepositoryPermissões da API do: Referência de ações e recursos.

Chaves de condição

O AWS Serverless Application Repository não fornece nenhuma chave de condição específica ao serviço, mas oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição globais da AWS, consulte Chaves de contexto de condição globais da AWS no Manual do usuário do IAM.

Exemplos

Para visualizar exemplos de políticas baseadas em identidade do AWS Serverless Application Repository, consulte Exemplos de políticas baseadas em identidade do AWS Serverless Application Repository.

AWS Serverless Application RepositoryPolíticas de aplicativos

As políticas de aplicativos determinam as ações que um principal ou PrincipalOrg especificado pode executar em umAWS Serverless Application Repositoryaplicativo.

Você pode adicionar permissões à política associada a um aplicativo do AWS Serverless Application Repository. Políticas de permissões associadas aAWS Serverless Application Repositoryaplicativos são referidos comoPolíticas de aplicativos. Políticas de aplicativossão extensões dePolíticas baseadas em recursos do IAM. O recurso principal é oAWS Serverless Application Repositoryaplicativo. Você pode usar políticas de aplicativo do AWS Serverless Application Repository para gerenciar permissões a implantação de aplicativos.

As políticas do aplicativo do AWS Serverless Application Repository são usadas principalmente por editores para conceder permissão aos consumidores para implantar os aplicativos e as operações relacionadas, como pesquisar e visualizar detalhes dos aplicativos. Os editores podem definir permissões de aplicativos às três seguintes categorias:

  • Private— aplicativos que foram criados com a mesma conta e não foram compartilhados com outras contas. Você tem permissão para implantar aplicativos que foram criados usando oAWSconta.

  • Compartilhado de modo privado— Aplicativos que o editor compartilhou explicitamente com um conjunto específico deAWScontas ouAWSOrganizations. Você tem permissão para implantar aplicativos que foram compartilhados com oAWSconta ouAWSOrganização.

  • Compartilhado publicly— Aplicações que o editor compartilhou com todos. Você tem permissão para implantar aplicativos compartilhados publicamente.

Você pode conceder permissões usando oAWS CLI, oAWSSDKs ou oAWS Management Console.

Exemplos

Para ver exemplos de gerenciamentoAWS Serverless Application RepositoryPolíticas de aplicativos do, consulteAWS Serverless Application RepositoryExemplos de políticas do aplicativo do.

Autorização baseada em tags do AWS Serverless Application Repository

O AWS Serverless Application Repository não oferece suporte para controlar o acesso a recursos ou ações com base em tags.

AWS Serverless Application RepositoryFunções do IAM

Uma função do IAM é uma entidade dentro da sua AWS conta da que tem permissões específicas.

Usar credenciais temporárias com o AWS Serverless Application Repository

É possível usar credenciais temporárias para fazer login com federação, assumir uma função do IAM ou assumir uma função entre contas. Você obtém credenciais de segurança temporárias chamandoAWS STSOperações de API do, comoAssumeRoleouGetFederationFicha.

O AWS Serverless Application Repository oferece suporte ao uso de credenciais temporárias.

Funções vinculadas ao serviço

O AWS Serverless Application Repository não oferece suporte a funções vinculadas ao serviço.

Funções de serviço

O AWS Serverless Application Repository não oferece suporte a funções de serviço.