Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para Amazon AppStream 2.0
Amazon AppStream 2.0 (prefijo de servicio: appstream) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon AppStream 2.0
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AssociateAppBlockBuilderAppBlock | Concede permiso para asociar el constructor de bloques de aplicaciones especificado con el bloque de aplicaciones | Escritura | |||
| AssociateApplicationFleet | Otorga permiso para asociar la aplicación especificada con la flota | Escritura | |||
| AssociateApplicationToEntitlement | Otorga permiso para asociar la aplicación especificada a la concesión de derechos especificada | Escritura | |||
| AssociateFleet | Otorga permiso para asociar la flota especificada con la pila especificada | Write | |||
| BatchAssociateUserStack | Otorga permiso para asociar los usuarios especificados con las pilas especificadas. Los usuarios de un grupo de usuarios no pueden asignarse a pilas con flotas que están unidas a un dominio de Active Directory. | Write | |||
| BatchDisassociateUserStack | Otorga permiso para desasociar los usuarios especificados de la pilas especificadas | Write | |||
| CopyImage | Otorga permiso para copiar la imagen especificada dentro de la misma región o en una nueva región dentro de la misma Cuenta de AWS | Escritura | |||
| CreateAppBlock | Otorga permiso para crear un bloque de aplicaciones. Los bloques de aplicaciones almacenan los detalles del disco duro virtual que contiene los archivos de la aplicación en un bucket de S3. También almacena el script de configuración con los detalles sobre cómo montar el disco duro virtual. Los bloques de aplicaciones solo se admiten para flotas elásticas. | Escritura | |||
| CreateAppBlockBuilder | Concede permiso para crear un constructor de bloques de aplicaciones. Un constructor de bloques de aplicaciones es una máquina virtual que se utiliza para crear un bloque de aplicaciones | Escritura | |||
| CreateAppBlockBuilderStreamingURL | Concede permiso para crear una URL para iniciar una sesión de streaming de constructor de bloques de aplicaciones | Escritura | |||
| CreateApplication | Otorga permiso para crear una aplicación en una cuenta de cliente. Las aplicaciones almacenan los detalles sobre cómo lanzar aplicaciones en instancias de streaming. Esto solo es admitido por flotas elásticas. | Escritura | |||
| CreateDirectoryConfig | Otorga permiso para crear un objeto Directory Config en AppStream 2.0. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. | Escritura | |||
| CreateEntitlement | Otorga permiso para crear una concesión de derechos para controlar el acceso a las aplicaciones en función de los atributos de usuario | Escritura | |||
| CreateFleet | Otorga permiso para crear una flota. Una flota es un grupo de instancias de streaming desde donde se lanzan y se transmiten aplicaciones a los usuarios. | Write | |||
| CreateImageBuilder | Otorga permiso para crear un constructor de imágenes. Un constructor de imágenes es una máquina virtual que se utiliza para crear una imagen. | Write | |||
| CreateImageBuilderStreamingURL | Otorga permiso para crear una URL para iniciar una sesión de streaming de constructor de imágenes | Write | |||
| CreateStack | Otorga permiso para crear una pila para comenzar a transmitir aplicaciones a los usuarios. Una pila se compone de una flota, políticas de acceso de usuarios y configuraciones de almacenamiento asociadas. | Write | |||
| CreateStreamingURL | Otorga permiso para crear una URL temporal para iniciar una sesión de streaming de AppStream 2.0 para el usuario especificado. Una URL de streaming permite probar el streaming de la aplicación sin configuración del usuario. | Escritura | |||
| CreateUpdatedImage | Otorga permiso para actualizar una imagen existente en la cuenta de cliente | Escritura | |||
| CreateUsageReportSubscription | Otorga permiso para crear una suscripción de informes de uso. Los informes de uso se generan a diario. | Write | |||
| CreateUser | Otorga permiso para crear un nuevo usuario en el grupo de usuarios | Escritura | |||
| DeleteAppBlock | Otorga permiso para eliminar el bloque de aplicaciones especificado | Escritura | |||
| DeleteAppBlockBuilder | Concede permiso para eliminar el constructor de bloques de aplicaciones especificado y liberar capacidad | Escritura | |||
| DeleteApplication | Otorga permiso para eliminar la aplicación especificada | Escritura | |||
| DeleteDirectoryConfig | Otorga permiso para eliminar el objeto Directory Config especificado de AppStream 2.0. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. | Escritura | |||
| DeleteEntitlement | Otorga permiso para eliminar la concesión de derechos especificada | Escritura | |||
| DeleteFleet | Otorga permiso para eliminar la flota especificada | Write | |||
| DeleteImage | Otorga permiso para eliminar la imagen especificada. No se puede eliminar la imagen cuando se está usando. | Write | |||
| DeleteImageBuilder | Otorga permiso para eliminar el constructor de imágenes especificado y liberar capacidad | Write | |||
| DeleteImagePermissions | Otorga permiso para eliminar permisos para la imagen privada especificada | Write | |||
| DeleteStack | Otorga permiso para eliminar la pila especificada. Una vez que se elimina la pila, el entorno de streaming de la aplicación proporcionado por la pila deja de estar a disposición de los usuarios. Además, se liberan las reservas realizadas para sesiones de streaming de la aplicación para la pila. | Write | |||
| DeleteUsageReportSubscription | Otorga permiso para desactivar la generación de informes de uso | Write | |||
| DeleteUser | Otorga permiso para eliminar un usuario del grupo de usuarios | Escritura | |||
| DescribeAppBlockBuilderAppBlockAssociations | Concede permiso para recuperar las asociaciones que están asociadas al constructor de bloques de aplicaciones o al bloque de aplicaciones especificados | Lectura | |||
| DescribeAppBlockBuilders | Concede permiso para recuperar una lista que describe uno o más constructores de bloques de aplicaciones especificados, si se proporcionan los nombres de dichos constructores. De lo contrario, se describen todos los constructores de bloques de aplicaciones de la cuenta | Lectura | |||
| DescribeAppBlocks | Otorga permiso para recuperar una lista que describe uno o varios bloques de aplicaciones especificados, si proporcionan los ARN de los bloques de aplicaciones. De lo contrario, se describen todos los bloques de aplicaciones de la cuenta. | Lectura | |||
| DescribeApplicationFleetAssociations | Otorga permiso para recuperar las asociaciones que están asociadas a la aplicación o la flota especificada | Lectura | |||
| DescribeApplications | Otorga permiso para recuperar una lista que describe una o más aplicaciones especificadas, si se proporcionan los ARN de la aplicación. De lo contrario, se describen todas las aplicaciones de la cuenta. | Lectura | |||
| DescribeDirectoryConfigs | Otorga permiso para recuperar una lista que describe uno o más objetos Directory Config especificados para AppStream 2.0, si se proporcionan los nombres de esos objetos. De lo contrario, se describen todos los objetos Directory Config en la cuenta. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. | Lectura | |||
| DescribeEntitlements | Otorga permiso para recuperar una o todas las concesiones de derechos para la pila especificada | Lectura | |||
| DescribeFleets | Otorga permiso para recuperar una lista que describe una o varias flotas especificadas, si proporcionan los nombres de las flotas. De lo contrario, se describen todas las flotas de la cuenta. | Read | |||
| DescribeImageBuilders | Otorga permiso para recuperar una lista que describe uno o más constructores de imágenes especificados, si se proporcionan los nombres de los constructores. De lo contrario, se describen todos los constructores de imágenes de la cuenta. | Read | |||
| DescribeImagePermissions | Otorga permiso para recuperar una lista que describa los permisos de los ID de Cuenta de AWS compartidos en una imagen privada de su propiedad | Read | |||
| DescribeImages | Otorga permiso para recuperar una lista que describe una o más imágenes especificadas, si se proporcionan los nombres o ARN de las imágenes. De lo contrario, se describen todas las imágenes de la cuenta. | Read | |||
| DescribeSessions | Otorga permiso para recuperar una lista que describe las sesiones de streaming para la flota y pila especificadas. Si se proporciona un ID de usuario para la pila y la flota, solo se describen las sesiones de streaming para ese usuario. | Read | |||
| DescribeStacks | Otorga permiso para recuperar una lista que describe una o más pilas especificadas, si se proporcionan los nombres de las pilas. De lo contrario, se describen todas las pilas de la cuenta. | Read | |||
| DescribeUsageReportSubscriptions | Otorga permiso para recuperar una lista que describe una o más suscripciones de informes de uso | Read | |||
| DescribeUserStackAssociations | Otorga permiso para recuperar una lista que describe los objetos UserStackAssociation | Read | |||
| DescribeUsers | Otorga permiso para recuperar una lista que describe los usuarios del grupo de usuarios | Read | |||
| DisableUser | Otorga permiso para desactivar el usuario especificado en el grupo de usuarios. Esta acción no elimina el usuario. | Escritura | |||
| DisassociateAppBlockBuilderAppBlock | Concede permiso para desasociar el constructor de bloques de aplicaciones especificado del bloque de aplicaciones | Escritura | |||
| DisassociateApplicationFleet | Otorga permiso para desasociar la aplicación especificada de la flota especificada. | Escritura | |||
| DisassociateApplicationFromEntitlement | Otorga permiso para desasociar la aplicación especificada de la concesión de derechos especificada | Escritura | |||
| DisassociateFleet | Otorga permiso para desasociar la flota especificada de la pila especificada | Write | |||
| EnableUser | Otorga permiso para habilitar un usuario en el grupo de usuarios | Write | |||
| ExpireSession | Otorga permiso para detener inmediatamente la sesión de streaming especificada | Write | |||
| ListAssociatedFleets | Otorga permiso para recuperar el nombre de la flota que está asociada a la pila especificada | Read | |||
| ListAssociatedStacks | Otorga permiso para recuperar el nombre de la pila con la que está asociada la flota especificada | Lectura | |||
| ListEntitledApplications | Otorga permiso para recuperar las aplicaciones asociadas con la concesión de derechos especificada | Enumeración | |||
| ListTagsForResource | Otorga permiso para recuperar una lista de todas las etiquetas para el recurso de AppStream 2.0 especificado. Se pueden etiquetar los siguientes recursos: constructores de imágenes, imágenes, flotas y pilas. | Lectura | |||
| StartAppBlockBuilder | Concede permiso para iniciar el constructor de bloques de aplicaciones especificado | Escritura | |||
| StartFleet | Otorga permiso para iniciar la flota especificada | Write | |||
| StartImageBuilder | Otorga permiso para iniciar el constructor de imágenes especificado | Escritura | |||
| StopAppBlockBuilder | Concede permiso para detener el constructor de bloques de aplicaciones especificado | Escritura | |||
| StopFleet | Otorga permiso para detener la flota especificada | Write | |||
| StopImageBuilder | Otorga permiso para detener el constructor de imágenes especificado | Write | |||
| Stream | Otorga permiso a los usuarios federados para iniciar sesión con sus credenciales existentes y transmitir aplicaciones desde la pila especificada | Write | |||
| TagResource | Otorga permiso para agregar o sobrescribir una o varias etiquetas para el recurso de AppStream 2.0 especificado. Se pueden etiquetar los siguientes recursos: constructores de imágenes, imágenes, flotas, pilas, bloques de aplicaciones y aplicaciones. | Etiquetado | |||
| UntagResource | Otorga permiso para desasociar una o varias etiquetas del recurso de AppStream 2.0 especificado | Etiquetado | |||
| UpdateAppBlockBuilder | Concede permiso para actualizar un constructor de bloques de aplicaciones especificado. Un constructor de bloques de aplicaciones es una máquina virtual que se utiliza para crear un bloque de aplicaciones | Escritura | |||
| UpdateApplication | Otorga permiso para actualizar los campos especificados en la aplicación especificada | Escritura | |||
| UpdateDirectoryConfig | Otorga permiso para actualizar el objeto Directory Config especificado en AppStream 2.0. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. | Escritura | |||
| UpdateEntitlement | Otorga permiso para actualizar los campos especificados para la concesión de derechos especificada | Escritura | |||
| UpdateFleet | Otorga permiso para actualizar la flota especificada. Cuando la flota se encuentra en el estado STOPPED (DETENIDO), se pueden actualizar todos los atributos, excepto el nombre de la flota. | Write | |||
| UpdateImagePermissions | Otorga permiso para agregar o actualizar permisos en la imagen privada especificada | Write | |||
| UpdateStack | Otorga permiso para actualizar los campos especificados en la pila especificada | Write | |||
Tipos de recurso definidos por Amazon AppStream 2.0
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| fleet |
arn:${Partition}:appstream:${Region}:${Account}:fleet/${FleetName}
|
|
| image |
arn:${Partition}:appstream:${Region}:${Account}:image/${ImageName}
|
|
| image-builder |
arn:${Partition}:appstream:${Region}:${Account}:image-builder/${ImageBuilderName}
|
|
| stack |
arn:${Partition}:appstream:${Region}:${Account}:stack/${StackName}
|
|
| app-block |
arn:${Partition}:appstream:${Region}:${Account}:app-block/${AppBlockName}
|
|
| application |
arn:${Partition}:appstream:${Region}:${Account}:application/${ApplicationName}
|
|
| app-block-builder |
arn:${Partition}:appstream:${Region}:${Account}:app-block-builder/${AppBlockBuilderName}
|
Claves de condición de Amazon AppStream 2.0
Amazon AppStream 2.0 define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| appstream:userId | Filtra el acceso por el ID del usuario de AppStream 2.0. | Cadena |
| aws:RequestTag/${TagKey} | Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por los pares clave-valor de etiqueta adjuntados al recurso | Cadena |
| aws:TagKeys | Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud | ArrayOfString |
