AWS 资源 ARN 基本概念

引言

前面 《AWS IAM 基本概念》了解了 AWS 身份和访问管理，是该了解 AWS 资源了，AWS 怎么控制访问资源

什么是 ARN

AWS ARN（Amazon Resource Name）是用于唯一标识 AWS 资源的字符串。ARN 在 AWS 中广泛使用，用于指定资源的权限、配置和管理。每个 ARN 都遵循特定的格式，包含有关资源类型、区域、账户和资源名称的信息。

ARN 格式

ARN 的通用格式如下：
arn:partition:service:region:account-id:resource

• arn：固定的前缀，表示这是一个 ARN。
• partition：AWS 的分区，例如 aws（用于大多数 AWS 区域）、aws-cn（用于中国区域）、aws-us-gov（用于美国政府区域）。
• service：资源所属的 AWS 服务，例如 s3、ec2、iam。
• region：资源所在的区域，例如 us-west-2、eu-central-1。某些全球性资源（如 IAM 资源）没有区域部分。
• account-id：AWS 账户 ID，通常是 12 位数字。
• resource：资源标识符，格式因服务而异。

ARN 示例

以下是一些常见的 ARN 示例：

S3 存储桶

arn:aws:s3:::my-bucket

partition：aws
service：s3
region：无（S3 是全球服务）
account-id：无
resource：my-bucket

EC2 实例

arn:aws:ec2:us-west-2:123456789012:instance/i-0abcd1234efgh5678

partition：aws
service：ec2
region：us-west-2
account-id：123456789012
resource：instance/i-0abcd1234efgh5678

IAM 角色

arn:aws:iam::123456789012:role/MyRole

partition：aws
service：iam
region：无（IAM 是全球服务）
account-id：123456789012
resource：role/MyRole

Lambda 函数

arn:aws:lambda:us-east-1:123456789012:function:MyFunction

partition：aws
service：lambda
region：us-east-1
account-id：123456789012
resource：function:MyFunction

ARN 用途

ARN 在 AWS 中有多种用途，包括但不限于：

• 权限管理：在 IAM 策略中指定资源的权限。
• 资源引用：在 CloudFormation 模板、CLI 命令和 API 调用中引用特定资源。
• 日志和监控：在 CloudTrail 日志和 CloudWatch 事件中标识资源。

通过使用 ARN，AWS 可以确保每个资源在全球范围内都是唯一的，并且可以被精确地引用和管理。

ARN 权限管理

在 AWS 中，ARN（Amazon Resource Name）在权限管理中起着关键作用。通过使用 ARN，可以在 IAM 策略中精确地指定哪些资源可以被访问，以及可以执行哪些操作。以下是关于如何使用 ARN 进行权限管理的详细说明。

IAM 策略结构

IAM 策略是一个 JSON 文档，定义了允许或拒绝的操作。其基本结构如下：

{"Version": "2012-10-17","Statement": [{"Effect": "Allow" | "Deny","Action": "service:operation","Resource": "arn:aws:service:region:account-id:resource"}]
}

关键字段

• Version：指定策略语言的版本。常用版本是 2012-10-17。
• Statement：包含一个或多个权限声明。
• Effect：指定是允许（Allow）还是拒绝（Deny）操作。
• Action：指定允许或拒绝的操作，例如 s3:ListBucket、ec2:StartInstances。
• Resource：指定操作作用的资源，使用 ARN 格式。

IAM 策略示例

以下是一些使用 ARN 进行权限管理的示例：

允许访问特定 S3 存储桶

• Action：允许 s3:GetObject 和 s3:PutObject 操作。
• Resource：指定 my-bucket 存储桶中的所有对象。

{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Action": ["s3:GetObject","s3:PutObject"],"Resource": "arn:aws:s3:::my-bucket/*"}]
}

允许启动和停止特定 EC2 实例

• Action：允许 ec2:StartInstances 和 ec2:StopInstances 操作。
• Resource：指定特定的 EC2 实例。

{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Action": ["ec2:StartInstances","ec2:StopInstances"],"Resource": "arn:aws:ec2:us-west-2:123456789012:instance/i-0abcd1234efgh5678"}]
}

允许访问特定 DynamoDB 表

• Action：允许 dynamodb:PutItem 和 dynamodb:GetItem 操作。
• Resource：指定特定的 DynamoDB 表。

{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Action": ["dynamodb:PutItem","dynamodb:GetItem"],"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/MyTable"}]
}

在 AWS 中，ARN（Amazon Resource Name）在权限管理中起着关键作用。通过使用 ARN，可以在 IAM 策略中精确地指定哪些资源可以被访问，以及可以执行哪些操作。以下是关于如何使用 ARN 进行权限管理的详细说明。

通配符

在 ARN 中，可以使用通配符 * 来匹配多个资源。例如：

• arn:aws:s3:::my-bucket/*：匹配 my-bucket 存储桶中的所有对象。
• arn:aws:ec2:us-west-2:123456789012:instance/*：匹配特定账户和区域中的所有 EC2 实例。

ARN 资源引用

在 AWS 中，ARN（Amazon Resource Name）用于唯一标识资源，并在各种服务和操作中引用这些资源。以下是一些常见的 ARN 资源引用场景和示例。

IAM 策略中的资源引用

在 IAM 策略中，可以使用 ARN 来指定哪些资源可以被访问。如上面 ARN 权限管理中的示例

AWS CLI 和 SDK 中的资源引用

在使用 AWS CLI 或 SDK 时，可以使用 ARN 来指定操作的目标资源。
示例：使用 AWS CLI 启动 EC2 实例

aws ec2 start-instances --instance-ids arn:aws:ec2:us-west-2:123456789012:instance/i-0abcd1234efgh5678

CloudFormation 模板中的资源引用

在 AWS CloudFormation 模板中，可以使用 ARN 来引用资源。
示例：引用 IAM 角色

Resources:MyInstanceProfile:Type: "AWS::IAM::InstanceProfile"Properties:Roles:- arn:aws:iam::123456789012:role/MyRole

Lambda 函数中的资源引用

在 AWS Lambda 函数中，可以使用 ARN 来指定触发器或目标资源。
示例：Lambda 函数触发 S3 事件

{"Type": "AWS::Lambda::Permission","Properties": {"Action": "lambda:InvokeFunction","FunctionName": "arn:aws:lambda:us-east-1:123456789012:function:MyFunction","Principal": "s3.amazonaws.com","SourceArn": "arn:aws:s3:::my-bucket"}
}

CloudWatch 事件中的资源引用

在 Amazon CloudWatch 事件中，可以使用 ARN 来指定事件目标。
示例：CloudWatch 事件触发 Lambda 函数

{"Type": "AWS::Events::Rule","Properties": {"EventPattern": {"source": ["aws.ec2"],"detail-type": ["EC2 Instance State-change Notification"],"detail": {"state": ["running"]}},"Targets": [{"Arn": "arn:aws:lambda:us-east-1:123456789012:function:MyFunction","Id": "MyFunctionTarget"}]}
}