Claves de condición, recursos y acciones de Amazon AppStream 2.0 - AWS Identity and Access Management

Claves de condición, recursos y acciones de Amazon AppStream 2.0

Amazon AppStream 2.0 (prefijo de servicio: appstream) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon AppStream 2.0

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateFleet Concede permiso para asociar la flota especificada con la pila especificada. Escritura

fleet*

stack*

aws:ResourceTag/${TagKey}

BatchAssociateUserStack Concede permiso para asociar los usuarios especificados con las pilas especificadas. Los usuarios de un grupo de usuarios no pueden asignarse a pilas con flotas que están unidas a un dominio de Active Directory. Escritura

stack*

aws:ResourceTag/${TagKey}

BatchDisassociateUserStack Concede permiso para desasociar los usuarios especificados de la pilas especificadas. Escritura

stack*

aws:ResourceTag/${TagKey}

CopyImage Concede permiso para copiar la imagen especificada dentro de la misma región o en una nueva región dentro de la misma cuenta de AWS. Escritura

image*

aws:ResourceTag/${TagKey}

CreateDirectoryConfig Concede permiso para crear un objeto Directory Config en AppStream 2.0. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. Escritura
CreateFleet Concede permiso para crear una flota. Una flota es un grupo de instancias de streaming desde donde se lanzan y se transmiten aplicaciones a los usuarios. Escritura

fleet*

image*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageBuilder Concede permiso para crear un constructor de imágenes. Un constructor de imágenes es una máquina virtual que se utiliza para crear una imagen. Escritura

image*

image-builder*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageBuilderStreamingURL Concede permiso para crear una URL para iniciar una sesión de streaming de constructor de imágenes. Escritura

image-builder*

aws:ResourceTag/${TagKey}

CreateStack Concede permiso para crear una pila para comenzar a transmitir aplicaciones a los usuarios. Una pila se compone de una flota, políticas de acceso de usuarios y configuraciones de almacenamiento asociadas. Escritura

stack*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStreamingURL Concede permiso para crear una URL temporal para iniciar una sesión de streaming de AppStream 2.0 para el usuario especificado. Una URL de streaming permite probar el streaming de la aplicación sin configuración del usuario. Escritura

fleet*

stack*

aws:ResourceTag/${TagKey}

CreateUsageReportSubscription Concede permiso para crear una suscripción de informes de uso. Los informes de uso se generan a diario. Escritura
CreateUser Concede permiso para crear un nuevo usuario en el grupo de usuarios. Escritura
DeleteDirectoryConfig Concede permiso para eliminar el objeto Directory Config especificado de AppStream 2.0. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. Escritura
DeleteFleet Concede permiso para eliminar la flota especificada. Escritura

fleet*

aws:ResourceTag/${TagKey}

DeleteImage Concede permiso para eliminar la imagen especificada. No se puede eliminar la imagen cuando se está usando. Escritura

image*

aws:ResourceTag/${TagKey}

DeleteImageBuilder Concede permiso para eliminar el constructor de imágenes especificado y liberar capacidad. Escritura

image-builder*

aws:ResourceTag/${TagKey}

DeleteImagePermissions Concede permiso para eliminar permisos para la imagen privada especificada. Escritura

image*

aws:ResourceTag/${TagKey}

DeleteStack Concede permiso para eliminar la pila especificada. Una vez que se elimina la pila, el entorno de streaming de la aplicación proporcionado por la pila deja de estar a disposición de los usuarios. Además, se liberan las reservas realizadas para sesiones de streaming de la aplicación para la pila. Escritura

stack*

aws:ResourceTag/${TagKey}

DeleteUsageReportSubscription Concede permiso para deshabilitar la generación de informes de uso. Escritura
DeleteUser Concede permiso para eliminar un usuario del grupo de usuarios. Escritura
DescribeDirectoryConfigs Concede permiso para recuperar una lista que describe uno o más objetos Directory Config especificados para AppStream 2.0, si se proporcionan los nombres de esos objetos. De lo contrario, se describen todos los objetos Directory Config en la cuenta. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. Lectura
DescribeFleets Concede permiso para recuperar una lista que describe una o varias flotas especificadas, si proporcionan los nombres de las flotas. De lo contrario, se describen todas las flotas de la cuenta. Lectura

fleet

DescribeImageBuilders Concede permiso para recuperar una lista que describe uno o más constructores de imágenes especificados, si se proporcionan los nombres de los constructores. De lo contrario, se describen todos los constructores de imágenes de la cuenta. Lectura

image-builder

DescribeImagePermissions Concede permiso para recuperar una lista que describe los permisos de los ID de cuenta de AWS compartidos en una imagen privada de su propiedad. Lectura

image*

DescribeImages Concede permiso para recuperar una lista que describe una o más imágenes especificadas, si se proporcionan los nombres o ARN de las imágenes. De lo contrario, se describen todas las imágenes de la cuenta. Lectura

image

DescribeSessions Concede permiso para recuperar una lista que describe las sesiones de streaming para la flota y pila especificadas. Si se proporciona un ID de usuario para la pila y la flota, solo se describen las sesiones de streaming para ese usuario. Lectura

fleet*

stack*

DescribeStacks Concede permiso para recuperar una lista que describe una o más pilas especificadas, si se proporcionan los nombres de las pilas. De lo contrario, se describen todas las pilas de la cuenta. Lectura

stack

DescribeUsageReportSubscriptions Concede permiso para recuperar una lista que describe una o más suscripciones de informes de uso. Lectura
DescribeUserStackAssociations Concede permiso para recuperar una lista que describe los objetos UserStackAssociation. Lectura

stack

DescribeUsers Concede permiso para recuperar una lista que describe los usuarios del grupo de usuarios. Lectura
DisableUser Concede permiso para deshabilitar el usuario especificado en el grupo de usuarios. Esta acción no elimina el usuario. Escritura
DisassociateFleet Concede permiso para desasociar la flota especificada de la pila especificada. Escritura

fleet*

stack*

aws:ResourceTag/${TagKey}

EnableUser Concede permiso para habilitar un usuario en el grupo de usuarios. Escritura
ExpireSession Concede permiso para detener inmediatamente la sesión de streaming especificada. Escritura
GetImageBuilders [solo permiso] Concede permiso para recuperar una lista que describe uno o más constructores de imágenes especificados, si se proporcionan los nombres de los constructores. De lo contrario, se describen todos los constructores de imágenes de la cuenta. Lectura
GetParametersForThemeAssetUpload [solo permiso] Concede permiso para cargar activos de temas. Escritura
ListAssociatedFleets Concede permiso para recuperar el nombre de la flota que está asociada a la pila especificada. Lectura

stack*

ListAssociatedStacks Concede permiso para recuperar el nombre de la pila con la que está asociada la flota especificada. Lectura

fleet*

ListTagsForResource Concede permiso para recuperar una lista de todas las etiquetas para el recurso de AppStream 2.0 especificado. Se pueden etiquetar los siguientes recursos: constructores de imágenes, imágenes, flotas y pilas. Lectura
StartFleet Concede permiso para iniciar la flota especificada. Escritura

fleet*

aws:ResourceTag/${TagKey}

StartImageBuilder Concede permiso para iniciar el constructor de imágenes especificado. Escritura

image-builder*

aws:ResourceTag/${TagKey}

StopFleet Concede permiso para detener la flota especificada. Escritura

fleet*

aws:ResourceTag/${TagKey}

StopImageBuilder Concede permiso para detener el constructor de imágenes especificado. Escritura

image-builder*

aws:ResourceTag/${TagKey}

Stream Concede permiso a los usuarios federados para iniciar sesión con sus credenciales existentes y transmitir aplicaciones desde la pila especificada. Escritura

stack*

appstream:userId

TagResource Concede permiso para añadir o sobrescribir una o varias etiquetas para el recurso de AppStream 2.0 especificado. Se pueden etiquetar los siguientes recursos: constructores de imágenes, imágenes, flotas y pilas. Etiquetado

fleet

image

image-builder

stack

aws:RequestTag/${TagKey}

aws:TagKeys

aws:ResourceTag/${TagKey}

UntagResource Concede permiso para desasociar una o varias etiquetas del recurso de AppStream 2.0 especificado. Etiquetado

fleet

image

image-builder

stack

aws:TagKeys

UpdateDirectoryConfig Concede permiso para actualizar el objeto Directory Config especificado en AppStream 2.0. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. Escritura
UpdateFleet Concede permiso para actualizar la flota especificada. Cuando la flota se encuentra en el estado STOPPED (DETENIDO), se pueden actualizar todos los atributos, excepto el nombre de la flota. Escritura

fleet*

image

aws:ResourceTag/${TagKey}

UpdateImagePermissions Concede permiso para añadir o actualizar permisos en la imagen privada especificada. Escritura

image*

aws:ResourceTag/${TagKey}

UpdateStack Concede permiso para actualizar los campos especificados en la pila especificada. Escritura

stack*

aws:ResourceTag/${TagKey}

Tipos de recurso definidos por Amazon AppStream 2.0

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
fleet arn:${Partition}:appstream:${Region}:${Account}:fleet/${FleetName}

aws:ResourceTag/${TagKey}

image arn:${Partition}:appstream:${Region}:${Account}:image/${ImageName}

aws:ResourceTag/${TagKey}

image-builder arn:${Partition}:appstream:${Region}:${Account}:image-builder/${ImageBuilderName}

aws:ResourceTag/${TagKey}

stack arn:${Partition}:appstream:${Region}:${Account}:stack/${StackName}

aws:ResourceTag/${TagKey}

Claves de condición de Amazon AppStream 2.0

Amazon AppStream 2.0 define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
appstream:userId Filtra el acceso por el ID del usuario de AppStream 2.0. Cadena
aws:RequestTag/${TagKey} Filtra acciones en función de la presencia de pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de pares de clave-valor de etiqueta asociados al recurso. Cadena
aws:TagKeys Filtra acciones en función de la presencia de claves de etiqueta en la solicitud. Cadena