AWS verwaltete Richtlinien für AWS AppSync - AWS AppSync
AWSAppSyncInvokeFullAccessAWSAppSyncSchemaAuthorAWSAppSyncPushToCloudWatchLogsAWSAppSyncAdministratorAWSAppSyncServiceRolePolicyRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für AWS AppSync

Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um vom IAMKunden verwaltete Richtlinien zu erstellen, die Ihrem Team nur die Berechtigungen gewähren, die es benötigt. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und eine Beschreibung der Richtlinien für Jobfunktionen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien für Jobfunktionen.

AWS verwaltete Richtlinie: AWSAppSyncInvokeFullAccess

Verwenden Sie die AWSAppSyncInvokeFullAccess AWS verwaltete Richtlinie, um Ihren Administratoren den Zugriff auf den AWS AppSync Service über die Konsole oder unabhängig zu ermöglichen.

Sie können die AWSAppSyncInvokeFullAccess Richtlinie an Ihre IAM Identitäten anhängen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • AWS AppSync— Ermöglicht vollen Administratorzugriff auf alle Ressourcen in AWS AppSync

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:GraphQL",
                "appsync:GetGraphqlApi",
                "appsync:ListGraphqlApis",
                "appsync:ListApiKeys"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AWSAppSyncSchemaAuthor

Verwenden Sie die AWSAppSyncSchemaAuthor AWS verwaltete Richtlinie, um IAM Benutzern den Zugriff zu ermöglichen, um ihre GraphQL-Schemas zu erstellen, zu aktualisieren und abzufragen. Informationen darüber, was Benutzer mit diesen Berechtigungen tun können, finden Sie unter. GraphQL APIs entwerfen mit AWS AppSync

Sie können die AWSAppSyncSchemaAuthor Richtlinie an Ihre IAM Identitäten anhängen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • AWS AppSync— Erlaubt die folgenden Aktionen:

    • GraphQL-Schemas erstellen

    • Ermöglicht die Erstellung, Änderung und Löschung von GraphQL-Typen, Resolvern und Funktionen

    • Evaluierung der Logik von Anfrage- und Antwortvorlagen

    • Evaluieren von Code anhand einer Laufzeit und eines Kontextes

    • Senden von GraphQL-Abfragen an GraphQL APIs

    • GraphQL-Daten abrufen

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:GraphQL",
                "appsync:CreateResolver",
                "appsync:CreateType",
                "appsync:DeleteResolver",
                "appsync:DeleteType",
                "appsync:GetResolver",
                "appsync:GetType",
                "appsync:GetDataSource",
                "appsync:GetSchemaCreationStatus",
                "appsync:GetIntrospectionSchema",
                "appsync:GetGraphqlApi",
                "appsync:ListTypes",
                "appsync:ListApiKeys",
                "appsync:ListResolvers",
                "appsync:ListDataSources",
                "appsync:ListGraphqlApis",
                "appsync:StartSchemaCreation",
                "appsync:UpdateResolver",
                "appsync:UpdateType",
                "appsync:TagResource",
                "appsync:UntagResource",
                "appsync:ListTagsForResource",
                "appsync:CreateFunction",
                "appsync:UpdateFunction",
                "appsync:GetFunction",
                "appsync:DeleteFunction",
                "appsync:ListFunctions",
                "appsync:ListResolversByFunction",
                "appsync:EvaluateMappingTemplate",
                "appsync:EvaluateCode"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AWSAppSyncPushToCloudWatchLogs

AWS AppSync verwendet Amazon CloudWatch, um die Leistung Ihrer Anwendung zu überwachen, indem es Protokolle generiert, die Sie zur Fehlerbehebung und Optimierung Ihrer GraphQL-Anfragen verwenden können. Weitere Informationen finden Sie unter Verwendung CloudWatch zur Überwachung und Protokollierung von GraphQL-Daten API.

Verwenden Sie die AWSAppSyncPushToCloudWatchLogs AWS verwaltete Richtlinie, um das AWS AppSync Senden von Protokollen an das CloudWatch Konto eines IAM Benutzers zu ermöglichen.

Sie können die AWSAppSyncPushToCloudWatchLogs Richtlinie an Ihre IAM Identitäten anhängen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • CloudWatch Logs— Ermöglicht AWS AppSync das Erstellen von Protokollgruppen und Streams mit bestimmten Namen. AWS AppSyncüberträgt Protokollereignisse in den angegebenen Protokollstream.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AWSAppSyncAdministrator

Verwenden Sie die AWSAppSyncAdministrator AWS verwaltete Richtlinie, um Ihren Administratoren Zugriff auf alle Optionen AWS AppSync mit Ausnahme der AWS Konsole zu gewähren.

Sie können eine Verbindung AWSAppSyncAdministrator zu Ihren IAM Entitäten herstellen. AWS AppSync ordnet diese Richtlinie auch einer Servicerolle zu, sodass sie Aktionen in Ihrem Namen ausführen kann.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • AWS AppSync— Ermöglicht vollen Administratorzugriff auf alle Ressourcen in AWS AppSync

  • IAM— Erlaubt die folgenden Aktionen:

    • Erstellen von dienstbezogenen Rollen, AWS AppSync damit Sie Ressourcen in anderen Diensten in Ihrem Namen analysieren können

    • Löschen von dienstbezogenen Rollen

    • Weitergabe von dienstbezogenen Rollen an andere AWS Dienste, um die Rolle später zu übernehmen und Aktionen in Ihrem Namen auszuführen

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "appsync.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "appsync.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:DeleteServiceLinkedRole",
                "iam:GetServiceLinkedRoleDeletionStatus"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*"
        }
    ]
}

AWS verwaltete Richtlinie: AWSAppSyncServiceRolePolicy

Verwenden Sie die AWSAppSyncServiceRolePolicy AWS verwaltete Richtlinie, um den Zugriff auf AWS Dienste und Ressourcen zu ermöglichen, die AWS AppSync diese verwenden oder verwalten.

Sie können keine Verbindungen AWSAppSyncServiceRolePolicy zu Ihren IAM Entitäten herstellen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es AWS AppSync ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Dienstbezogene Rollen für AWS AppSync.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • X-Ray— AWS AppSync verwendet AWS X-Ray , um Daten über Anfragen zu sammeln, die im Rahmen Ihrer Anwendung gestellt wurden. Weitere Informationen finden Sie unter Wird verwendet AWS X-Ray , um Anfragen zu verfolgen in AWS AppSync.

    Diese Richtlinie ermöglicht die folgenden Aktionen:

    • Abrufen von Stichprobenregeln und deren Ergebnissen

    • Trace-Daten an den X-Ray-Daemon senden

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingTargets",
                "xray:GetSamplingRules",
                "xray:GetSamplingStatisticSummaries"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS AppSync Aktualisierungen der AWS verwalteten Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die AWS AppSync seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS Feed auf der Seite AWS AppSync Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung Beschreibung Datum

AWSAppSyncSchemaAuthor – Aktualisierung auf eine bestehende Richtlinie

Es wurde eine EvaluateCode Richtlinienaktion hinzugefügt, die es Benutzern ermöglicht, Code anhand einer Laufzeit und eines Kontextes auszuwerten.

 07. Februar 2023

AWSAppSyncSchemaAuthor – Aktualisierung auf eine bestehende Richtlinie

Es wurden Richtlinienaktionen hinzugefügt, um die Funktionen zum Auflisten, Abrufen, Erstellen, Aktualisieren und Löschen für eine zu ermöglichenAPI.

Es wurde eine EvaluateMappingTemplate Richtlinienaktion hinzugefügt, mit der Benutzer die Logik der Vorlagen für die Zuordnung von Anfragen und Antworten auf Resolver auswerten können.

Es wurden Richtlinienaktionen hinzugefügt, um das Markieren von Ressourcen zu ermöglichen.

 25. August 2022

AWS AppSync hat begonnen, Änderungen zu verfolgen

AWS AppSync hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.

 25. August 2022