Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für AWS AppSync
AWS AppSync (Dienstpräfix:appsync) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigt eine Liste der für diesen Dienst verfügbaren API Operationen an.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von AWS AppSync definierte Aktionen
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie normalerweise den Zugriff auf den API Vorgang oder CLI Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie in ARN einer Anweisung mit dieser Aktion einen Ressourcentyp angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Resource Element in einer IAM Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp ein ARN Oder-Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AssociateApi | Erteilt die Erlaubnis, ein GraphQL API an einen benutzerdefinierten Domainnamen anzuhängen in AppSync | Schreiben | |||
| AssociateMergedGraphqlApi | Erteilt die Erlaubnis, ein zusammengeführtes Objekt einer API Quelle zuzuordnen API | Schreiben | |||
| AssociateSourceGraphqlApi | Erteilt die Berechtigung, eine Quelle API einer zusammengeführten Quelle zuzuordnen API | Schreiben | |||
| CreateApi | Erteilt die Erlaubnis zum Erstellen eines API | Schreiben |
iam:CreateServiceLinkedRole |
||
| CreateApiCache | Erteilt die Erlaubnis zum Erstellen eines API Caches in AppSync | Schreiben | |||
| CreateApiKey | Erteilt die Erlaubnis, einen eindeutigen Schlüssel zu erstellen, den Sie an Clients verteilen können, die Ihren API | Schreiben | |||
| CreateChannelNamespace | Erteilt die Erlaubnis, einen Channel-Namespace zu erstellen | Schreiben | |||
| CreateDataSource | Gewährt die Berechtigung zum Erstellen einer Datenquelle | Schreiben | |||
| CreateDomainName | Erteilt die Berechtigung zum Erstellen eines benutzerdefinierten Domainnamens in AppSync | Schreiben | |||
| CreateFunction | Gewährt Berechtigungen zum Erstellen eines neuen Function-Objekts | Schreiben | |||
| CreateGraphqlApi | Erteilt die Erlaubnis, eine GraphQL zu erstellenAPI, die Ressource der obersten Ebene AppSync | Schreiben |
iam:CreateServiceLinkedRole |
||
| CreateResolver | Gewährt die Berechtigung zum Erstellen eines Resolver-Endpunkts. Ein Resolver konvertiert eingehende Anfragen in ein Format, das eine Datenquelle verstehen kann, und er konvertiert die Antworten der Datenquelle in GraphQL | Schreiben | |||
| CreateType | Gewährt die Berechtigung zum Erstellen eines neuen Objekttyps. | Schreiben | |||
| DeleteApi | Erteilt die Erlaubnis zum Löschen einerAPI. Dadurch werden auch alle AppSync Ressourcen, die darunter liegen, bereinigt API | Schreiben | |||
| DeleteApiCache | Erteilt die Erlaubnis zum Löschen eines API Caches in AppSync | Schreiben | |||
| DeleteApiKey | Erteilt die Berechtigung zum Löschen eines API Schlüssels | Schreiben | |||
| DeleteChannelNamespace | Erteilt die Erlaubnis, einen Kanal-Namespace zu löschen | Schreiben | |||
| DeleteDataSource | Gewährt die Berechtigung zum Löschen einer Datenquelle | Schreiben | |||
| DeleteDomainName | Erteilt die Berechtigung zum Löschen eines benutzerdefinierten Domainnamens in AppSync | Schreiben | |||
| DeleteFunction | Gewährt die Berechtigung zum Löschen einer Lambda-Funktion | Schreiben | |||
| DeleteGraphqlApi | Gewährt Berechtigungen zum Löschen eines GraphQL-API-Objekts. Dadurch werden auch alle AppSync Ressourcen, die darunter liegen, bereinigt API | Schreiben | |||
| DeleteResolver | Gewährt die Berechtigung zum Löschen einer Resolver-Regel | Schreiben | |||
| DeleteResourcePolicy [nur Berechtigung] | Gewährt die Berechtigung zum Entfernen einer Ressourcenrichtlinie | Schreiben | |||
| DeleteType | Gewährt die Berechtigung zum Löschen eines Ereignistyps. | Schreiben | |||
| DisassociateApi | Erteilt die Erlaubnis, ein GraphQL von einem benutzerdefinierten Domainnamen API zu trennen in AppSync | Schreiben | |||
| DisassociateMergedGraphqlApi | Erteilt die Erlaubnis, eine zugeordnete Quelle API aus einer durch die Quelle API identifizierten Zusammenführung zu entfernen API | Schreiben | |||
| DisassociateSourceGraphqlApi | Erteilt die Berechtigung, eine zugeordnete Quelle API aus einer Zusammenführung zu entfernen, die durch die Zusammenführung API identifiziert wurde API | Schreiben | |||
| EvaluateCode | Gewährt die Berechtigung zum Auswerten von Code mit einer Laufzeit und einem Kontext | Lesen | |||
| EvaluateMappingTemplate | Erteilung der Berechtigung zur Auswertung der Vorlagenzuordnung | Lesen | |||
| EventConnect | Erteilt die Berechtigung, eine Verbindung zu einem Ereignis herzustellen API | Schreiben | |||
| EventPublish | Erteilt die Erlaubnis, Ereignisse in einem Kanal-Namespace zu veröffentlichen | Schreiben | |||
| EventSubscribe | Erteilt die Erlaubnis, einen Kanal-Namespace zu abonnieren | Schreiben | |||
| FlushApiCache | Erteilt die Erlaubnis, einen Cache zu leeren API AppSync | Schreiben | |||
| GetApi | Erteilt die Erlaubnis zum Abrufen eines API | Lesen | |||
| GetApiAssociation | Erteilt die Berechtigung zum Lesen des benutzerdefinierten Domainnamens - API GraphQL-Assoziationsdetails in AppSync | Lesen | |||
| GetApiCache | Erteilt die Berechtigung zum Lesen von Informationen über einen API Cache in AppSync | Lesen | |||
| GetChannelNamespace | Erteilt die Berechtigung zum Abrufen eines Kanal-Namespaces | Lesen | |||
| GetDataSource | Gewährt Berechtigungen zum Abrufen eines DataSource-Objekts | Lesen | |||
| GetDataSourceIntrospection | Gewährt Berechtigungen zum Abrufen einer Datenquellen-Introspektion | Lesen | |||
| GetDomainName | Erteilt die Berechtigung zum Lesen von Informationen über einen benutzerdefinierten Domainnamen in AppSync | Lesen | |||
| GetFunction | Gewährt Berechtigungen zum Abrufen eines Function-Objekts | Lesen | |||
| GetGraphqlApi | Erteilt die Erlaubnis zum Abrufen eines GraphQL API | Lesen | |||
| GetGraphqlApiEnvironmentVariables | Erteilt die Erlaubnis, die Umgebungsvariablen für ein GraphQL abzurufen API | Lesen | |||
| GetIntrospectionSchema | Erteilt die Erlaubnis, das Introspektionsschema für ein GraphQL abzurufen API | Lesen | |||
| GetResolver | Gewährt Berechtigungen zum Abrufen eines Resolver-Objekts | Lesen | |||
| GetResourcePolicy [nur Berechtigung] | Gewährt die Berechtigung zum Lesen einer Ressourcenrichtlinie | Lesen | |||
| GetSchemaCreationStatus | Gewährt Berechtigungen zum Abrufen des aktuellen Status einer Produktion zum Erstellen eines Schemas | Lesen | |||
| GetSourceApiAssociation | Erteilt die Erlaubnis, Informationen über eine zusammengeführte zugehörige Quelle zu lesen API API | Lesen | |||
| GetType | Gewährt die Berechtigung zum Abrufen einer Regel | Lesen | |||
| GraphQL | Erteilt die Erlaubnis, eine GraphQL-Abfrage an ein GraphQL zu senden API | Schreiben | |||
| ListApiKeys | Erteilt die Erlaubnis, die API Schlüssel für eine bestimmte Datei aufzulisten API | Auflisten | |||
| ListApis | Erteilt die Erlaubnis zum Auflisten APIs | Auflisten | |||
| ListChannelNamespaces | Erteilt die Erlaubnis, den Channel-Namespace aufzulisten | Auflisten | |||
| ListDataSources | Erteilt die Berechtigung, die Datenquellen für einen bestimmten Wert aufzulisten API | Auflisten | |||
| ListDomainNames | Erteilt die Berechtigung zur Aufzählung benutzerdefinierter Domänennamen in AppSync | Auflisten | |||
| ListFunctions | Erteilt die Berechtigung, die Funktionen für eine bestimmte Datei aufzulisten API | Auflisten | |||
| ListGraphqlApis | Erteilt die Erlaubnis, GraphQL aufzulisten APIs | Auflisten | |||
| ListResolvers | Erteilt die Erlaubnis, die Resolver für einen bestimmten API and-Typ aufzulisten | Auflisten | |||
| ListResolversByFunction | Gewährt Berechtigungen zum Auflisten der Resolver, die einer bestimmten Funktion zugeordnet sind | Auflisten | |||
| ListSourceApiAssociations | Erteilt die Erlaubnis, eine Quelle aufzulisten, die einer bestimmten Zusammenführung APIs zugeordnet ist API | Auflisten | |||
| ListTagsForResource | Gewährt die Berechtigung zum Auflisten der Tags für eine Ressource | Lesen | |||
| ListTypes | Erteilt die Erlaubnis, die Typen für eine bestimmte Datei aufzulisten API | Auflisten | |||
| ListTypesByAssociation | Erteilt die Berechtigung, die Typen für eine bestimmte zusammengeführte Zuordnung API und API Quellzuordnung aufzulisten | Auflisten | |||
| PutGraphqlApiEnvironmentVariables | Erteilt die Erlaubnis, die Umgebungsvariablen für ein GraphQL zu aktualisieren API | Schreiben | |||
| PutResourcePolicy [nur Berechtigung] | Gewährt die Berechtigung zum Festlegen einer Ressourcenrichtlinie | Schreiben | |||
| SetWebACL | Erteilt die Erlaubnis, ein Web einzurichten ACL | Schreiben | |||
| SourceGraphQL [nur Berechtigung] | Erteilt die Erlaubnis, eine GraphQL-Abfrage an eine Quelle einer zusammengeführten API Datei zu senden API | Schreiben | |||
| StartDataSourceIntrospection | Gewährt Berechtigungen zur Introspektion einer Datenquelle | Schreiben | |||
| StartSchemaCreation | Erteilt die Erlaubnis, Ihrem GraphQL API ein neues Schema hinzuzufügen. Dieser Vorgang ist asynchron — es GetSchemaCreationStatus kann angezeigt werden, wann er abgeschlossen ist | Schreiben | |||
| StartSchemaMerge | Erteilt die Berechtigung, eine Schemazusammenführung für eine bestimmte zusammengeführte API und zugeordnete Quelle zu initiieren API | Schreiben | |||
| TagResource | Gewährt die Berechtigung zum Markieren einer Ressource mit Tags | Markieren | |||
| UntagResource | Gewährt die Berechtigung zum Aufheben der Markierung einer Ressource | Tagging | |||
| UpdateApi | Erteilt die Erlaubnis zum Aktualisieren eines API | Schreiben |
iam:CreateServiceLinkedRole |
||
| UpdateApiCache | Erteilt die Erlaubnis zum Aktualisieren eines API Caches in AppSync | Schreiben | |||
| UpdateApiKey | Erteilt die Berechtigung zum Aktualisieren eines API Schlüssels für einen bestimmten API | Schreiben | |||
| UpdateChannelNamespace | Erteilt die Erlaubnis, einen Kanal-Namespace zu aktualisieren | Schreiben | |||
| UpdateDataSource | Gewährt die Berechtigung zum Aktualisieren einer Datenquelle | Schreiben | |||
| UpdateDomainName | Erteilt die Berechtigung zum Aktualisieren eines benutzerdefinierten Domainnamens in AppSync | Schreiben | |||
| UpdateFunction | Gewährt Berechtigungen zum Aktualisieren eines vorhandenen Function-Objekts | Schreiben | |||
| UpdateGraphqlApi | Erteilt die Erlaubnis, ein GraphQL zu aktualisieren API | Schreiben |
iam:CreateServiceLinkedRole |
||
| UpdateResolver | Gewährt die Berechtigung zum Aktualisieren einer Reservierung. | Schreiben | |||
| UpdateSourceApiAssociation | Erteilt die Erlaubnis, eine zusammengeführte API API Quellzuordnung zu aktualisieren | Schreiben | |||
| UpdateType | Gewährt Berechtigungen zum Aktualisieren eines Type-Objekts | Schreiben |
Von AWS AppSync definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| datasource |
arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/datasources/${DatasourceName}
|
|
| domain |
arn:${Partition}:appsync:${Region}:${Account}:domainnames/${DomainName}
|
|
| graphqlapi |
arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}
|
|
| field |
arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/types/${TypeName}/fields/${FieldName}
|
|
| type |
arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/types/${TypeName}
|
|
| function |
arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/functions/${FunctionId}
|
|
| sourceApiAssociation |
arn:${Partition}:appsync:${Region}:${Account}:apis/${MergedGraphQLAPIId}/sourceApiAssociations/${Associationid}
|
|
| mergedApiAssociation |
arn:${Partition}:appsync:${Region}:${Account}:apis/${SourceGraphQLAPIId}/mergedApiAssociations/${Associationid}
|
|
| api |
arn:${Partition}:appsync:${Region}:${Account}:apis/${ApiId}
|
|
| channelNamespace |
arn:${Partition}:appsync:${Region}:${Account}:apis/${ApiId}/channelNamespace/${ChannelNamespaceName}
|
Bedingungsschlüssel für AWS AppSync
AWS AppSync definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| appsync:Visibility | Filtert den Zugriff nach der Sichtbarkeit eines API | String |
| aws:RequestTag/${TagKey} | Filtert den Zugriff durch die Tag-Schlüssel-Wert-Paare in der Anforderung | String |
| aws:ResourceTag/${TagKey} | Filtert Aktionen nach Tag-Schlüsselwertpaaren, die der Ressource angefügt sind | String |
| aws:TagKeys | Filtert den Zugriff durch das Vorhandensein von Tag-Schlüsseln in der Anforderung. | ArrayOfString |
