Ações, recursos e chaves de condição dos serviços da AWS
Cada serviço da AWS pode definir ações, recursos e chaves de contexto de condição para uso em políticas do IAM. Este tópico descreve como os elementos fornecidos para cada serviço estão documentados.
Cada tópico consiste em tabelas que fornecem a lista de ações, recursos e chaves de condição disponíveis.
A tabela de ações
A tabela Actions (Ações) lista todas as ações que você pode usar em um elemento Action
de declaração de política do IAM. Nem todas as operações da API que são definidas por um serviço podem ser usadas como uma ação em uma política do IAM. Além disso, um serviço pode definir algumas ações que não correspondem diretamente a uma operação da API. Use esta lista para determinar quais ações podem ser usadas em uma política do IAM. Para obter mais informações sobre os elementos Action
, Resource
ou Condition
, consulte Referência de elementos de políticas JSON do IAM. As colunas Actions (Ações) e Description (Descrição) da tabela são autodescritivas.
-
A coluna Access level (Nível de acesso) descreve como a ação é classificada (lista, leitura, gravação, gerenciamento de permissões ou marcação). Esta classificação pode ajudar você a compreender o nível de acesso que uma ação concede quando a usa em uma política. Para obter mais informações sobre níveis de acesso, consulte Noções básicas sobre resumos de nível de acesso em resumos de política.
-
A coluna Tipos de recursos indica se a ação é compatível com permissões em nível de recurso. Se a coluna estiver vazia, a ação não oferecerá suporte a permissões no nível do recurso e você deverá especificar todos os recursos ("*") em sua política. Se a coluna incluir um tipo de recurso, você poderá especificar o ARN do recurso no elemento
Resource
da política. Para obter mais informações sobre esse recurso, consulte essa linha na tabela Resource Types (Tipos de recursos). Todas as ações e recursos incluídos em uma declaração devem ser compatíveis entre si. Se você especificar um recurso que não é válido para a ação, qualquer solicitação para usar essa ação falhará e oEffect
da declaração não será aplicado.Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.
-
A coluna Condition keys (Chaves de condição) inclui chaves que você pode especificar em um elemento
Condition
da declaração de política. As chaves de condição podem ser compatíveis com uma ação ou com uma ação e um recurso específico. Preste atenção se a chave está na mesma linha que um tipo de recurso específico. Essa tabela não inclui chaves de condição globais que estão disponíveis para qualquer ação ou em circunstâncias não relacionadas. Para obter mais informações sobre chaves de condição globais, consulte Chaves de contexto de condição globais da AWS. -
A coluna Dependent actions (Ações dependentes) inclui todas as permissões adicionais que você deve ter, além da permissão para a própria ação, para chamar a ação com êxito. Isso pode ser necessário se a ação acessar mais de um recurso.
A tabela de tipos de recursos
A tabela Resource Types (Tipos de recursos) lista todos os tipos de recursos que você pode especificar como um ARN no elemento Resource
da política. Nem todo tipo de recurso pode ser especificado com cada ação. Alguns tipos de recursos funcionam apenas com determinadas ações. Se você especificar um tipo de recurso em uma instrução com uma ação que não oferece suporte a esse tipo de recurso, a instrução não permitirá o acesso. Para obter mais informações sobre o elemento Resource
, consulte Elementos de políticas JSON do IAM: recurso.
-
A coluna ARN especifica o nome do recurso da Amazon (ARN) que você deve usar para fazer referência a recursos desse tipo. As partes que são precedidas por um $ devem ser substituídas pelos valores reais de seu cenário. Por exemplo, se você vir
$user-name
em um ARN, deverá substituir essa string pelo nome do usuário real do IAM ou por uma variável de política que contenha um nome do usuário do IAM. Para obter mais informações sobre ARNs, consulte ARNs do IAM. -
A coluna Condition Keys (Chaves de condição) especifica chaves de contexto de condição que você pode incluir em uma declaração de política do IAM apenas quando esse recurso e uma ação compatível estão incluídos na declaração.
A tabela de chaves de condição
A tabela Condition Keys (Chaves de condição) lista todas as chaves de contexto de condição que você pode usar em um elemento Condition
de declaração de política do IAM. Nem todas as chaves podem ser especificadas com cada ação ou recurso. Algumas chaves só funcionam com certos tipos de ações e recursos. Para obter mais informações sobre o elemento Condition
, consulte Elementos de políticas JSON do IAM: condição.
-
A coluna Type (Tipo) especifica o tipo de dados da chave de condição. Esse tipo de dados determina quais operadores de condição você pode usar para comparar valores na solicitação com os valores na declaração de política. Você deve usar um operador que seja apropriado para o tipo de dados. Se você usar um operador incorreto, a correspondência sempre falhará e a declaração da política nunca se aplicará.
Se a coluna Type (Tipo) especificar uma “Lista de...” um dos tipos simples, você poderá usar várias chaves e valores em suas políticas. Faça isso usando prefixos de conjunto de condições com os operadores. Use o prefixo
ForAllValues
para especificar que todos os valores na solicitação devem corresponder a um valor na declaração de política. Use o prefixoForAnyValue
para especificar que pelo menos um valor na solicitação corresponde a um dos valores na declaração de política.
Tópicos
- AWS Account Management
- AWS Ativar
- Alexa for Business
- AmazonMediaImport
- AWS Amplify
- AWS Amplify Admin
- AWS Amplify UI Builder
- APIs do Apache Kafka para clusters do Amazon MSK
- Amazon API Gateway
- Amazon API Gateway Management
- Amazon API Gateway Management V2
- AWS App Mesh
- AWS Visualização do App Mesh
- AWS App Runner
- AWS AppConfig
- Amazon AppFlow
- Amazon AppIntegrations
- AWS Application Auto Scaling
- AWS Application Cost Profiler Service
- Application Discovery Arsenal
- AWS Application Discovery Service
- AWS Application Migration Service
- Amazon AppStream 2.0
- AWS AppSync
- AWS Artifact
- Amazon Athena
- AWS Audit Manager
- AWS Auto Scaling
- AWS Backup
- AWS Backup Gateway
- AWSArmazenamento do Backup
- Lote do AWS
- AWS Billing and Cost Management
- AWS Billing Conductor
- Amazon Braket
- AWS Budget Service
- AWS BugBust
- AWS Certificate Manager
- AWS Certificate Manager Private Certificate Authority
- Chatbot da AWS
- Amazon Chime
- Nuvem AWS Control API
- Amazon Cloud Directory
- Nuvem AWS Map
- AWS Cloud9
- AWS CloudFormation
- Amazon CloudFront
- AWS CloudHSM
- Amazon CloudSearch
- AWS CloudShell
- AWS CloudTrail
- Amazon CloudWatch
- Amazon CloudWatch Application Insights
- Amazon CloudWatch Evidently
- Amazon CloudWatch Logs
- AWS CloudWatch RUM
- Amazon CloudWatch Synthetics
- AWS CodeArtifact
- AWS CodeBuild
- AWS CodeCommit
- AWS CodeDeploy
- Serviço de comandos de host seguro do AWS CodeDeploy
- Amazon CodeGuru
- Amazon CodeGuru Profiler
- Amazon CodeGuru Reviewer
- AWS CodePipeline
- AWS CodeStar
- AWS CodeStar Connections
- AWS CodeStar Notifications
- Amazon Cognito Identity
- Amazon Cognito Sync
- Grupos de usuários do Amazon Cognito
- Amazon Comprehend
- Amazon Comprehend Medical
- AWS Compute Optimizer
- AWS Config
- Amazon Connect
- Amazon Connect Customer Profiles
- Amazon Connect Voice ID
- Amazon Connect Wisdom
- AWS Connector Service
- AWS Control Tower
- AWSRelatório de custos e uso da
- AWS Cost Explorer Service
- AWS Data Exchange
- Amazon Data Lifecycle Manager
- AWS Data Pipeline
- AWS Database Migration Service
- Database Query Metadata Service
- AWS DataSync
- AWS DeepComposer
- AWS DeepLens
- AWS DeepRacer
- Amazon Detective
- AWS Device Farm
- Amazon DevOps Guru
- AWS Direct Connect
- AWS Directory Service
- Amazon DynamoDB
- Amazon DynamoDB Accelerator (DAX)
- Amazon EC2
- Amazon EC2 Auto Scaling
- Amazon EC2 Image Builder
- Amazon EC2 Instance Connect
- AWS Elastic Beanstalk
- Amazon Elastic Block Store
- Amazon Elastic Container Registry
- Amazon Elastic Container Registry
- Amazon Elastic Container Service
- AWS Elastic Disaster Recovery
- Amazon Elastic File System
- Amazon Elastic Inference
- Amazon Elastic Kubernetes Service
- Elastic Load Balancing
- Elastic Load Balancing V2
- Amazon Elastic MapReduce
- Amazon Elastic Transcoder
- Amazon ElastiCache
- Dispositivos e software do AWS Elemental
- AWS Elemental Appliances and Software Activation Service
- AWS Elemental MediaConnect
- AWS Elemental MediaConvert
- AWS Elemental MediaLive
- AWS Elemental MediaPackage
- AWS Elemental MediaPackage VOD
- AWS Elemental MediaStore
- AWS Elemental MediaTailor
- Casos de suporte elementar
- Elemental Support Content.
- Amazon EMR em EKS (EMR Containers)
- Amazon EMR Serverless
- Amazon EventBridge
- Amazon EventBridge Schemas
- AWS Fault Injection Simulator
- Amazon FinSpace
- AWS Firewall Manager
- Amazon Forecast
- Amazon Fraud Detector
- Amazon FreeRTOS
- Amazon FSx
- Amazon GameLift
- Amazon GameSparks
- AWS Global Accelerator
- AWS Glue
- AWS Glue DataBrew
- AWS Ground Station
- Amazon GroundTruth Labeling
- Amazon GuardDuty
- AWS Health APIs and Notifications
- Amazon HealthLake
- Alto volume de comunicações de saída
- Amazon Honeycode
- AWS IAM Access Analyzer
- AWS IAM Identity Center (sucessor do AWS Single Sign-On)
- Identity and Access Management
- AWS Identity and Access Management Roles Anywhere
- AWSArmazenamento de identidades do
- AWS Identity Sync
- AWS Import Export Disk Service
- Amazon Inspector
- Amazon Inspector2
- Amazon Interactive Video Service
- Chat do Amazon Interactive Video Service
- AWS IoT
- AWS IoT 1-Click
- AWS IoT Analytics
- AWS IoT Core Device Advisor
- AWS IoT Core for LoRaWAN
- AWS IoT Device Tester
- AWS IoT Events
- AWS IoT Fleet Hub for Device Management
- AWS IoT FleetWise
- AWS IoT Greengrass
- AWS IoT Greengrass V2
- AWS IoT Jobs DataPlane
- AWS IoT RoboRunner
- AWS IoT SiteWise
- AWS IoT Things Graph
- AWS IoT TwinMaker
- AWS IQ
- AWS IQ Permissions
- Amazon Kendra
- AWS Key Management Service
- Amazon Keyspaces (for Apache Cassandra)
- Amazon Kinesis
- Amazon Kinesis Analytics
- Amazon Kinesis Analytics V2
- Amazon Kinesis Firehose
- Amazon Kinesis Video Streams
- AWS Lake Formation
- AWS Lambda
- Launch Wizard
- Amazon Lex
- Amazon Lex V2
- AWS License Manager
- Amazon Lightsail
- Amazon Location
- Amazon Lookout for Equipment
- Amazon Lookout for Metrics
- Amazon Lookout for Vision
- Amazon Machine Learning
- Amazon Macie
- AWS Mainframe Modernization Service
- Amazon Managed Blockchain
- Amazon Managed Grafana
- Amazon Managed Service for Prometheus
- Amazon Managed Streaming for Apache Kafka
- Amazon Managed Streaming for Kafka Connect
- Amazon Managed Workflows for Apache Airflow
- AWS Marketplace
- AWS MarketplaceCatálogo do
- AWS Marketplace Commerce Analytics Service
- AWS Marketplace Serviço de autorização
- AWS Marketplace Image Building Service
- AWS Marketplace Management Portal
- AWS MarketplaceServiço de medição do
- AWS Marketplace Marketplace privado
- AWS Marketplace Procurement Systems Integration
- AWS Marketplace Vendor Insights
- Amazon Mechanical Turk
- Amazon MemoryDB
- Serviço de entrega de mensagens da Amazon
- AWS Microservice Extractor for .NET
- AWS Migration Hub
- AWS Migration Hub Orchestrator
- AWS Migration Hub Refactor Spaces
- AWS Migration Hub Strategy Recommendations
- Amazon Mobile Analytics
- AWS Mobile Hub
- Amazon Monitron
- Amazon MQ
- Amazon Neptune
- AWS Network Firewall
- Gerenciador de rede AWS
- Amazon Nimble Studio
- Amazon OpenSearch Service
- AWS OpsWorks
- AWS OpsWorks Configuration Management
- AWS Organizations
- AWS Outposts
- AWS Panorama
- AWS Performance Insights
- Amazon Personalize
- Amazon Pinpoint
- Serviço de e-mail do Amazon Pinpoint
- SMS e serviço de voz do Amazon Pinpoint
- Amazon Pinpoint SMS Voice V2
- Amazon Polly
- Tabela de preços da AWS
- AWS Proton
- AWS Purchase Orders Console
- Amazon QLDB
- Amazon QuickSight
- Amazon RDS
- API Data do Amazon RDS
- Autenticação do IAM do Amazon RDS
- AWS Recycle Bin
- Amazon Redshift
- API de dados do Amazon Redshift
- Amazon Redshift Serverless
- Amazon Rekognition
- AWS Resilience Hub Service
- AWS Resource Access Manager
- API de marcação por etiquetas de resource groups da Amazon
- AWS Resource Groups
- Amazon RHEL Knowledgebase Portal
- AWS RoboMaker
- Amazon Route 53
- Domínios do Amazon Route 53
- Amazon Route 53 Recovery Cluster
- Amazon Route 53 Recovery Controls
- Amazon Route 53 Recovery Readiness
- Amazon Route 53 Resolver
- Amazon S3
- Amazon S3 Glacier
- Amazon S3 Object Lambda
- Amazon S3 on Outposts
- Amazon SageMaker
- Amazon SageMaker Ground Truth Synthetic
- AWSSavings Plans do
- AWS Secrets Manager
- Security Hub da AWS
- AWS Security Token Service
- AWS Server Migration Service
- AWS Serverless Application Repository
- AWS Service Catalog
- Service Quotas
- Amazon SES
- Serviço de gateway de mensagens do gerenciador de sessões da Amazon
- AWS Shield
- AWS Signer
- Amazon Simple Email Service v2
- Amazon Simple Workflow Service
- Amazon SimpleDB
- AWS Snow Device Management
- AWS Snowball
- Amazon SNS
- AWS SQL Workbench
- Amazon SQS
- AWS SSO Directory
- AWS Step Functions
- AWS Storage Gateway
- Amazon Sumerian
- AWS Support
- AWS Sustainability
- AWS Systems Manager
- AWS Systems Manager GUI Connect
- AWS Systems Manager Incident Manager
- AWS Systems Manager Incident Manager Contacts
- AWS Tag Editor
- AWS Tax Settings
- Amazon Textract
- Amazon Timestream
- AWS Tiros
- Amazon Transcribe
- AWS Transfer Family
- Amazon Translate
- AWS Trusted Advisor
- AWS WAF
- AWS WAF Regional
- AWS WAF V2
- AWS Well-Architected Tool
- Amazon WorkDocs
- Amazon WorkLink
- Amazon WorkMail
- Amazon WorkMail Message Flow
- Amazon WorkSpaces
- Amazon WorkSpaces Application Manager
- Amazon WorkSpaces Web
- AWS X-Ray