Como aAWS Serverless Application Repository funcionam com o IAM - AWS Serverless Application Repository
AWS Serverless Application Repository Políticas baseadas em identidade AWS Serverless Application RepositoryPolíticas de aplicativosAutorização baseada em tags do AWS Serverless Application RepositoryAWS Serverless Application RepositoryFunções do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como aAWS Serverless Application Repository funcionam com o IAM

Antes de usar o IAM para gerenciar o acesso aoAWS Serverless Application Repository, você deve entender quais recursos do IAM estão disponíveis para uso com oAWS Serverless Application Repository.

Para obter uma visão geral de como o IAM funciona, consulte Entendendo como o IAM funciona no Guia do usuário do IAM. Para obter uma visão de alto nível de como o serviçoAWS Serverless Application Repository e outrosAWS serviços da funcionam com o IAM, consulte AWSServiços da que funcionam com o IAM no Guia do usuário do usuário do IAM.

AWS Serverless Application Repository Políticas baseadas em identidade

Com as políticas baseadas em identidade do IAM, é possível especificar ações ou recursos permitidos ou negados, bem como as condições sob as quais as ações são permitidas ou negadas. O AWS Serverless Application Repository oferece suporte a ações, recursos e chaves de condição específicos. Para conhecer todos os elementos usados em uma política JSON, consulte Referência de elementos de política JSON do IAM no Manual do usuário do IAM.

A seguir, um exemplo de uma política de permissões.

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateApplication",
            "Effect": "Allow",
            "Action": [
                "serverlessrepo:CreateApplication"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateApplicationVersion",
            "Effect": "Allow",
            "Action": [
                "serverlessrepo:CreateApplicationVersion"
            ],
            "Resource": "arn:partition:serverlessrepo:region:account-id:applications/application-name"
        }
    ]
}

A política tem duas instruções:

  • A primeira instrução concede permissões para a ação serverlessrepo:CreateApplication do AWS Serverless Application Repository em todos os recursos do AWS Serverless Application Repository, conforme especificado pelo caractere curinga (*) como o valor Resource.

  • A segunda declaração concede permissão para aAWS Serverless Application Repository açãoserverlessrepo:CreateApplicationVersion em umAWS recurso usando o Amazon Resource Name (ARN) para umAWS Serverless Application Repository aplicativo. O aplicativo é especificado pelo valor Resource.

A política não especifica o elemento Principal porque, em uma política baseada em identidade, não se especifica o principal que obtém as permissões. Quando você anexar uma política um usuário, o usuário será o principal implícito. Quando você anexa uma política de permissão a um perfil do IAM, o principal identificado na política de confiança do perfil obtém as permissões.

Para ver uma tabela mostrando todas as operações daAWS Serverless Application Repository API e osAWS recursos aos quais elas se aplicam, consulteAWS Serverless Application RepositoryPermissões da API do: Referência de ações e recursos.

Ações

Os administradores podem usar AWS as políticas JSON da para especificar quem tem acesso a quê. Ou seja, qual principal pode executar ações em quais recursos, e em que condições.

O elemento Action de uma política JSON descreve as ações que você pode usar para permitir ou negar acesso em uma política. As ações de política geralmente têm o mesmo nome que a operação de API da AWS associada. Existem algumas exceções, como ações somente de permissão, que não têm uma operação de API correspondente. Há também algumas operações que exigem várias ações em uma política. Essas ações adicionais são chamadas de ações dependentes.

Inclua ações em uma política para conceder permissões para executar a operação associada.

As ações de política no AWS Serverless Application Repository usam o seguinte prefixo antes da ação: serverlessrepo:. Por exemplo, para conceder permissão a alguém para executar uma instância do AWS Serverless Application Repository com a operação da API SearchApplications do AWS Serverless Application Repository, inclua a ação serverlessrepo:SearchApplications na política da pessoa. As instruções de política devem incluir um elemento Action ou NotAction. O AWS Serverless Application Repository define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.

Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme o seguinte:

"Action": [
      "serverlessrepo:action1",
      "serverlessrepo:action2"
]

Você também pode especificar várias ações usando caracteres curinga (*). Por exemplo, para especificar todas as ações que começam com a palavra List, inclua a seguinte ação:

"Action": "serverlessrepo:List*"

Para ver uma lista de ações do AWS Serverless Application Repository, consulte Ações definidas pelo AWS Serverless Application Repository no Manual do usuário do IAM.

Recursos

Os administradores podem usar AWS as políticas JSON da para especificar quem tem acesso a quê. Ou seja, qual principal pode executar ações em quais recursos, e em que condições.

O elemento Resource de política JSON especifica o objeto ou os objetos aos quais a ação se aplica. As instruções devem incluir um elemento Resource ou um elemento NotResource. Como prática recomendada, especifique um recurso usando seu Nome do recurso da Amazon (ARN). Isso pode ser feito para ações que oferecem suporte a um tipo de recurso específico, conhecido como permissões em nível de recurso.

Para ações que não oferecem suporte a permissões em nível de recurso, como operações de listagem, use um curinga (*) para indicar que a instrução se aplica a todos os recursos.

"Resource": "*"

NoAWS Serverless Application Repository, oAWS recurso principal é umAWS Serverless Application Repository aplicativo. AWS Serverless Application Repositoryaplicativos têm nomes de recurso da Amazon (ARNs) exclusivos associados, conforme mostrado na tabela a seguir.

Tipo de recurso do AWS Formato do nome de recurso da Amazon (ARN)
Aplicação

arn:partition:serverlessrepo:region:account-id:applications/application-name

Para obter mais informações sobre o formato de ARNs, consulte Nomes de recursos da Amazon (ARNs) e namespaces de serviços da AWS.

Veja a seguir um exemplo de política que concede permissões para aserverlessrepo:ListApplications ação em todos osAWS recursos. Na implementação atual, oAWS Serverless Application Repository não oferece suporte à identificação deAWS recursos específicos usando ARNs deAWS recursos (também chamados de permissões de recursos) para algumas das ações de API. Nesses casos, você deve especificar um caractere curinga (*).

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListExistingApplications",
            "Effect": "Allow",
            "Action": [
                "serverlessrepo:ListApplications"
            ],
            "Resource": "*"
        }
    ]
}

Para obter uma tabela que mostra todas as ações de API doAWS Serverless Application Repository API do API do API do API do API do API Gateway eAWS os recursos aos quais elas se aplicam, consulteAWS Serverless Application RepositoryPermissões da API do: Referência de ações e recursos.

Chaves de condição

O AWS Serverless Application Repository não fornece nenhuma chave de condição específica ao serviço, mas oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição globais da AWS, consulte Chaves de contexto de condição globais da AWS no Manual do usuário do IAM.

Exemplos

Para visualizar exemplos de políticas baseadas em identidade do AWS Serverless Application Repository, consulte Exemplos de políticas baseadas em identidade do AWS Serverless Application Repository.

AWS Serverless Application RepositoryPolíticas de aplicativos

As políticas do aplicativo determinam as ações que um diretor específico ou PrincipalOrg pode executar em umAWS Serverless Application Repository aplicativo.

Você pode adicionar permissões à política associada a um aplicativo do AWS Serverless Application Repository. As políticas de permissões anexadas aosAWS Serverless Application Repository aplicativos são chamadas de políticas de aplicativos. As políticas de aplicativos são extensões das políticas baseadas em recursos do IAM. O recurso principal é oAWS Serverless Application Repository aplicativo. Você pode usar políticas de aplicativo do AWS Serverless Application Repository para gerenciar permissões a implantação de aplicativos.

As políticas do aplicativo do AWS Serverless Application Repository são usadas principalmente por editores para conceder permissão aos consumidores para implantar os aplicativos e as operações relacionadas, como pesquisar e visualizar detalhes dos aplicativos. Os editores podem definir permissões de aplicativos às três seguintes categorias:

  • Privado — Aplicativos que foram criados com a mesma conta e não foram compartilhados com nenhuma outra conta. Você tem permissão para implantar aplicativos que foram criados usando suaAWS conta.

  • Compartilhado de forma privada — Aplicativos que o editor compartilhou explicitamente com um conjunto específico deAWS contas ouAWS Organizations. Você tem permissão para implantar aplicativos que foram compartilhados com suaAWS conta ouAWS organização.

  • Compartilhado publicamente — Aplicativos que o editor compartilhou com todos. Você tem permissão para implantar aplicativos compartilhados publicamente.

Você pode conceder permissões usando osAWS CLI,AWS os SDKs ouAWS Management Console o.

Exemplos

Para ver exemplos de gerenciamento de políticas deAWS Serverless Application Repository aplicativos, consulteAWS Serverless Application RepositoryExemplos de políticas de aplicativos.

Autorização baseada em tags do AWS Serverless Application Repository

O AWS Serverless Application Repository não oferece suporte para controlar o acesso a recursos ou ações com base em tags.

AWS Serverless Application RepositoryFunções do IAM

Perfil do IAM é uma entidade dentro da sua conta da AWS que tem permissões específicas.

Usar credenciais temporárias com o AWS Serverless Application Repository

É possível usar credenciais temporárias para fazer login com federação, assumir uma função do IAM ou assumir uma função entre contas. As credenciais de segurança temporárias são obtidas chamando operações de API de API doAWS STS API do API do API do API do API do API do AssumeRoleGetFederationToken

O AWS Serverless Application Repository oferece suporte ao uso de credenciais temporárias.

Funções vinculadas ao serviço

O AWS Serverless Application Repository não oferece suporte a funções vinculadas ao serviço.

Funções de serviço

O AWS Serverless Application Repository não oferece suporte a funções de serviço.