Exemplos de políticas do AWS IAM

Utilize esses modelos completos de política IAM para tipos de fluxo de trabalho comuns. Cada um segue o princípio do menor privilégio, restringindo o acesso a recursos específicos.

fluxo de trabalho de mensagens SQS

Restringir o acesso a uma fila específica:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:us-west-2:123456789012:my-workflow-queue"
    },
    {
      "Effect": "Allow",
      "Action": "sqs:GetQueueAttributes",
      "Resource": "arn:aws:sqs:us-west-2:123456789012:my-workflow-queue"
    }
  ]
}

Substitua us-west-2 pela sua região, 123456789012 pelo seu ID de conta AWS e my-workflow-queue pelo nome da sua fila.

fluxo de trabalho de gerenciamento do EC2

Restringir o acesso a categorias específicas por meio de tag:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["ec2:DescribeInstances", "ec2:DescribeTags"],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:StopInstances",
        "ec2:StartInstances",
        "ec2:ModifyInstanceAttribute"
      ],
      "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "production"
        }
      }
    }
  ]
}

Esta política permite que o fluxo de trabalho pare/inicie/modifique apenas instâncias da tag EC2 com Environment=production.

Fluxo de trabalho do DynamoDB

Restringir o acesso a uma tabela específica:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["dynamodb:Query", "dynamodb:GetItem", "dynamodb:PutItem"],
      "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/WorkflowData"
    }
  ]
}

Substitua WorkflowData pelo nome da sua tabela.

Fluxo de trabalho do Gerente de Sistemas

Restringir o acesso a documentos de automação específicos:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["ssm:CreateDocument", "ssm:DeleteDocument"],
      "Resource": "arn:aws:ssm:us-east-1:123456789012:document/WorkflowAutomation-*"
    },
    {
      "Effect": "Allow",
      "Action": ["ssm:StartAutomationExecution", "ssm:GetAutomationExecution"],
      "Resource": [
        "arn:aws:ssm:us-east-1:123456789012:automation-definition/WorkflowAutomation-*:*",
        "arn:aws:ssm:us-east-1:123456789012:automation-execution/*"
      ]
    }
  ]
}

Isso restringe os documentos de automação àqueles prefixados com WorkflowAutomation-.

Fluxo de trabalho API Gateway

Restringir o acesso a uma API específica:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["apigateway:GET", "apigateway:PUT"],
      "Resource": "arn:aws:apigateway:us-west-2::/restapis/abc123xyz/*"
    }
  ]
}

Substitua abc123xyz pelo seu ID do API Gateway.

Recursos adicionais

Para obter informações completas sobre permissões da AWS:

Políticas gerenciadas de integração comAWS : Lista completa de permissões AWS por serviço, além de modelos do CloudFormation que você pode adaptar.
Configurar AWS API polling: Padrões de configuração adicionais

Importante

Esses recursos usam o ID da conta 754728514883 para integração na nuvem (monitoramento). Para automação de fluxo de trabalho, use sempre 253490767857.

Visão geral das credenciais da AWS

Compare os métodos de autenticação e escolha o correto

Configuração da função do IAM

Configurar função do IAM para fluxos de trabalho de produção (recomendado)

Configuração de usuário IAM

Configurar usuário do IAM com chaves de acesso para testes

Ações da AWS

Navegue por EC2, Lambda, S3, SQS e outras ações da AWS

Esta tradução de máquina é fornecida para sua comodidade.

fluxo de trabalho de mensagens SQS .css-21sua1{background:none;border:none;width:0;padding:0;}