AWS 资源 ARN 基本概念

于 2024-08-03 12:46:16 发布
阅读量549 收藏 8
点赞数 11
分类专栏: Big Data 文章标签: aws 云计算 ARN 大数据 big data
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wumingxiaoyao/article/details/140740417
版权

AWS 资源 ARN 基本概念

引言

前面 《AWS IAM 基本概念》了解了 AWS 身份和访问管理,是该了解 AWS 资源了,AWS 怎么控制访问资源

什么是 ARN

AWS ARN(Amazon Resource Name)是用于唯一标识 AWS 资源的字符串。ARN 在 AWS 中广泛使用,用于指定资源的权限、配置和管理。每个 ARN 都遵循特定的格式,包含有关资源类型、区域、账户和资源名称的信息。

ARN 格式

ARN 的通用格式如下:
arn:partition:service:region:account-id:resource

  • arn:固定的前缀,表示这是一个 ARN。
  • partition:AWS 的分区,例如 aws(用于大多数 AWS 区域)、aws-cn(用于中国区域)、aws-us-gov(用于美国政府区域)。
  • service:资源所属的 AWS 服务,例如 s3、ec2、iam。
  • region:资源所在的区域,例如 us-west-2、eu-central-1。某些全球性资源(如 IAM 资源)没有区域部分。
  • account-id:AWS 账户 ID,通常是 12 位数字。
  • resource:资源标识符,格式因服务而异。

ARN 示例

以下是一些常见的 ARN 示例:

S3 存储桶

arn:aws:s3:::my-bucket

partition:aws
service:s3
region:无(S3 是全球服务)
account-id:无
resource:my-bucket

EC2 实例

arn:aws:ec2:us-west-2:123456789012:instance/i-0abcd1234efgh5678

partition:aws
service:ec2
region:us-west-2
account-id:123456789012
resource:instance/i-0abcd1234efgh5678

IAM 角色

arn:aws:iam::123456789012:role/MyRole

partition:aws
service:iam
region:无(IAM 是全球服务)
account-id:123456789012
resource:role/MyRole

Lambda 函数

arn:aws:lambda:us-east-1:123456789012:function:MyFunction

partition:aws
service:lambda
region:us-east-1
account-id:123456789012
resource:function:MyFunction

ARN 用途

ARN 在 AWS 中有多种用途,包括但不限于:

  • 权限管理:在 IAM 策略中指定资源的权限。
  • 资源引用:在 CloudFormation 模板、CLI 命令和 API 调用中引用特定资源。
  • 日志和监控:在 CloudTrail 日志和 CloudWatch 事件中标识资源。

通过使用 ARN,AWS 可以确保每个资源在全球范围内都是唯一的,并且可以被精确地引用和管理。

ARN 权限管理

在 AWS 中,ARN(Amazon Resource Name)在权限管理中起着关键作用。通过使用 ARN,可以在 IAM 策略中精确地指定哪些资源可以被访问,以及可以执行哪些操作。以下是关于如何使用 ARN 进行权限管理的详细说明。

IAM 策略结构

IAM 策略是一个 JSON 文档,定义了允许或拒绝的操作。其基本结构如下:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow" | "Deny",
            "Action": "service:operation",
            "Resource": "arn:aws:service:region:account-id:resource"
        }
    ]
}

关键字段

  • Version:指定策略语言的版本。常用版本是 2012-10-17。
  • Statement:包含一个或多个权限声明。
  • Effect:指定是允许(Allow)还是拒绝(Deny)操作。
  • Action:指定允许或拒绝的操作,例如 s3:ListBucket、ec2:StartInstances。
  • Resource:指定操作作用的资源,使用 ARN 格式。

IAM 策略示例

以下是一些使用 ARN 进行权限管理的示例:

允许访问特定 S3 存储桶

  • Action:允许 s3:GetObject 和 s3:PutObject 操作。
  • Resource:指定 my-bucket 存储桶中的所有对象。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::my-bucket/*"
        }
    ]
}

允许启动和停止特定 EC2 实例

  • Action:允许 ec2:StartInstances 和 ec2:StopInstances 操作。
  • Resource:指定特定的 EC2 实例。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:us-west-2:123456789012:instance/i-0abcd1234efgh5678"
        }
    ]
}

允许访问特定 DynamoDB 表

  • Action:允许 dynamodb:PutItem 和 dynamodb:GetItem 操作。
  • Resource:指定特定的 DynamoDB 表。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:PutItem",
                "dynamodb:GetItem"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/MyTable"
        }
    ]
}

在 AWS 中,ARN(Amazon Resource Name)在权限管理中起着关键作用。通过使用 ARN,可以在 IAM 策略中精确地指定哪些资源可以被访问,以及可以执行哪些操作。以下是关于如何使用 ARN 进行权限管理的详细说明。

通配符

在 ARN 中,可以使用通配符 * 来匹配多个资源。例如:

  • arn:aws:s3:::my-bucket/*:匹配 my-bucket 存储桶中的所有对象。
  • arn:aws:ec2:us-west-2:123456789012:instance/*:匹配特定账户和区域中的所有 EC2 实例。

ARN 资源引用

在 AWS 中,ARN(Amazon Resource Name)用于唯一标识资源,并在各种服务和操作中引用这些资源。以下是一些常见的 ARN 资源引用场景和示例。

IAM 策略中的资源引用

在 IAM 策略中,可以使用 ARN 来指定哪些资源可以被访问。如上面 ARN 权限管理中的示例

AWS CLI 和 SDK 中的资源引用

在使用 AWS CLI 或 SDK 时,可以使用 ARN 来指定操作的目标资源。
示例:使用 AWS CLI 启动 EC2 实例

aws ec2 start-instances --instance-ids arn:aws:ec2:us-west-2:123456789012:instance/i-0abcd1234efgh5678

CloudFormation 模板中的资源引用

在 AWS CloudFormation 模板中,可以使用 ARN 来引用资源。
示例:引用 IAM 角色

Resources:
  MyInstanceProfile:
    Type: "AWS::IAM::InstanceProfile"
    Properties:
      Roles:
        - arn:aws:iam::123456789012:role/MyRole

Lambda 函数中的资源引用

在 AWS Lambda 函数中,可以使用 ARN 来指定触发器或目标资源。
示例:Lambda 函数触发 S3 事件

{
  "Type": "AWS::Lambda::Permission",
  "Properties": {
    "Action": "lambda:InvokeFunction",
    "FunctionName": "arn:aws:lambda:us-east-1:123456789012:function:MyFunction",
    "Principal": "s3.amazonaws.com",
    "SourceArn": "arn:aws:s3:::my-bucket"
  }
}

CloudWatch 事件中的资源引用

在 Amazon CloudWatch 事件中,可以使用 ARN 来指定事件目标。
示例:CloudWatch 事件触发 Lambda 函数

{
  "Type": "AWS::Events::Rule",
  "Properties": {
    "EventPattern": {
      "source": [
        "aws.ec2"
      ],
      "detail-type": [
        "EC2 Instance State-change Notification"
      ],
      "detail": {
        "state": [
          "running"
        ]
      }
    },
    "Targets": [
      {
        "Arn": "arn:aws:lambda:us-east-1:123456789012:function:MyFunction",
        "Id": "MyFunctionTarget"
      }
    ]
  }
}
wumingxiaoyao
关注
  • 11
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWS实战:Aurora到Redshift数据同步
JessicaWin
01-13 1187
使用dms实现aurora到redshift的数据同步
arn-rest-api
02-08
ARNAWS(Amazon Web Services)中的一个重要概念,用于唯一标识AWS资源,如S3存储桶、EC2实例等。REST API是一种网络应用编程接口设计风格,它基于HTTP协议,使用JSON作为数据交换格式。 描述中同样提到"arn-rest...
AWS IAM概念
最新发布
hyxhshl402的博客
06-04 817
Amazon Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 Amazon 资源的访问。
AWS Python应用
weixin_45325331的博客
07-06 1556
AWS Python基础
AWS SAP-C02教程1--计算资源
代码还是得自己扣
10-10 827
aws的计算资源介绍
AWS系列:深入了解IAM和访问控制
whatnamecaniuse的专栏
09-26 9166
写在前面:访问控制,换句话说,谁能在什么情况下访问哪些资源或者操作,是绝大部分应用程序需要仔细斟酌的问题。作为一个志存高远的云服务提供者,AWS自然也在访问控制上下了很大的力气,一步步完善,才有了今日的IAM:Identity and Access Management。如果你要想能够游刃有余地使用AWS的各种服务,在安全上的纰漏尽可能地少,那么,首先需要先深入了解 IAM。 基本概念 按照
aws apigateway 使用restapi集成lambda
10 学习笔记
03-05 400
aws apigateway 使用apigateway集成lambda
Android APP之接入AWS IOT实现发布订阅测试
weixin_42231929的博客
01-17 1297
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
Serverless Java:使用AWS Lambda构建无服务器应用
qq_29388687的博客
05-22 397
AWS Lambda是Amazon Web Services提供的一种无服务器计算服务,允许用户运行代码而无需预置或管理服务器。用户只需上传代码,Lambda即会在需要时自动运行代码,并按使用时间收费。
aws codepipeline 在pipeline构建过程中使用变量
10 学习笔记
01-01 2448
对于codepipeline来说,管道结构中的每个操作都有自身的结构和定义,本文主要讨论不同资源的输出变量。
Python库 | aws-cdk.aws-mediaconvert-1.32.0.tar.gz
03-01
使用aws-cdk.aws-mediaconvert-1.32.0的一个显著优势是,它集成了AWS CloudFormation的基础设施即代码(IaC)概念。这意味着你可以通过版本控制来管理MediaConvert作业的配置,并使用CDK的更新功能来实现无缝升级。...
Python库 | aws-cdk.aws-glue-1.1.0.tar.gz
03-01
AWS CDK 是一种定义云基础设施的方式,它允许开发者使用熟悉的编程语言(如Python)来创建、配置和部署云资源。CDK 提供了一种声明式的方式来构建基础设施即代码(Infrastructure as Code,IaC),这使得开发人员...
PyPI 官网下载 | aws-cdk.aws-synthetics-1.81.0.tar.gz
01-26
execution_role_arn="arn:aws:iam::123456789012:role/MyCanaryRole", run_time_in_seconds=60 ) ``` 通过这种方式,开发者可以利用CDK的强大功能,结合Synthetics的特性,实现对云应用的自动化测试和监控,提升...
PyPI 官网下载 | aws_cdk.aws_imagebuilder-1.60.0-py3-none-any.whl
02-06
AWS CDK的目标是将基础设施作为代码(IaC)的概念引入到软件开发流程中,使开发者可以使用高级抽象来构建、部署和管理AWS资源。Python是AWS CDK支持的语言之一,因此`aws_cdk.aws_imagebuilder`是AWS CDK的Python库...
PyPI 官网下载 | aws-cdk.aws-apigatewayv2-1.130.0.tar.gz
01-26
CDK的核心概念是合成,即用代码来描述AWS资源,然后将其转换为CloudFormation模板,这是一种声明性的方式来配置和管理AWS服务。aws-cdk.aws-apigatewayv2库是这个框架的一部分,专门用于处理API Gateway Version 2的...
tf_aws_ecs:用于创建AWS ECS资源的Terraform模块
02-04
`tf_aws_ecs` 是一个 Terraform 模块,专门用于简化在 AWS 上配置和管理 ECS 资源的过程。 ### 1. Terraform 模块 Terraform 模块是一种可重用的代码单元,能够帮助用户组织和抽象复杂的基础设施配置。`tf_aws_ecs...
aws-sp
03-31
标题“aws-sp”很可能指的是Amazon Web Services (AWS) Security Token Service (STS)。AWS STS是一种安全服务,它允许您在请求时获取...通过理解并应用这些概念,开发者可以更安全、有效地管理AWS资源的临时访问权限。
Python库 | aws_cdk.aws_cloudfront-1.106.0-py3-none-any.whl
03-14
CDK使用抽象概念(称为构造体)来表示AWS资源,这样可以更方便地编写、版本控制和复用基础设施代码。 **aws_cdk.aws_cloudfront库** `aws_cdk.aws_cloudfront`库是AWS CDK的一部分,它提供了对CloudFront服务的...
AWS的lambda arn作用
04-07
AWS Lambda ARN(Amazon Resource Name)是一个唯一的标识符,用于标识 AWS Lambda 函数资源。Lambda ARN 由以下几部分组成: arn:aws:lambda:region:account-id:function:function-name 其中,region 是 Lambda 函数所在的 AWS 区域,account-id 是帐户 ID,function-name 是 Lambda 函数的名称。 Lambda ARN 的作用是用于标识 Lambda 函数资源,以便在其他 AWS 服务中使用。例如,Lambda ARN 可以用于在 Amazon API Gateway 中调用 Lambda 函数,或者在 Amazon CloudFront 中使用 Lambda@Edge。 除了标识 Lambda 函数资源外,Lambda ARN 还可用于授权和访问控制。Lambda ARN 可以用作 AWS Identity and Access Management(IAM)策略中的资源标识符,以控制对 Lambda 函数的访问权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值