Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para AWS Service Catalog
AWS Service Catalog (prefijo de servicio: servicecatalog) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para usarse en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por AWS Service Catalog
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AcceptPortfolioShare | Otorga permiso para aceptar una cartera que se ha compartido con usted | Write | |||
| AssociateAttributeGroup | Concede el permiso para asociar un grupo de atributos a una aplicación | Write | |||
| AssociateBudgetWithResource | Otorga permiso para asociar un presupuesto a un recurso | Write | |||
| AssociatePrincipalWithPortfolio | Otorga permiso para asociar una entidad principal de IAM con una cartera, lo que da acceso al principal especificado a los productos que estén asociados a la cartera especificada | Write | |||
| AssociateProductWithPortfolio | Otorga permiso para asociar un producto a una cartera | Write | |||
| AssociateResource | Concede el permiso para asociar un recurso con una aplicación | Write |
cloudformation:DescribeStacks resource-groups:CreateGroup resource-groups:GetGroup resource-groups:Tag |
||
| AssociateServiceActionWithProvisioningArtifact | Otorga permiso para asociar una acción con un artefacto de aprovisionamiento | Write | |||
| AssociateTagOptionWithResource | Otorga permiso para asociar la TagOption especificada a la cartera o el producto especificado | Write | |||
| BatchAssociateServiceActionWithProvisioningArtifact | Otorga permiso para asociar varias acciones de autoservicio con artefactos de aprovisionamiento | Write | |||
| BatchDisassociateServiceActionFromProvisioningArtifact | Otorga permiso para disociar un lote de acciones de autoservicio del artefacto de aprovisionamiento especificado | Write | |||
| CopyProduct | Otorga permiso para copiar el producto de origen especificado en el producto de destino especificado o un nuevo producto | Write | |||
| CreateApplication | Concede permiso para crear una aplicación. | Write |
iam:CreateServiceLinkedRole |
||
| CreateAttributeGroup | Concede el permiso para crear un grupo de atributos | Write | |||
| CreateConstraint | Otorga permiso para crear una restricción en un producto y cartera asociados | Write | |||
| CreatePortfolio | Otorga permiso para crear una cartera | Write | |||
| CreatePortfolioShare | Otorga permiso para compartir una cartera de su propiedad con otra Cuenta de AWS | Administración de permisos | |||
| CreateProduct | Otorga permiso para crear un producto y el primer artefacto de aprovisionamiento de ese producto | Write | |||
| CreateProvisionedProductPlan | Otorga permiso para agregar un nuevo plan de producto aprovisionado | Write | |||
| CreateProvisioningArtifact | Otorga permiso para agregar un nuevo artefacto de aprovisionamiento a un producto existente | Write | |||
| CreateServiceAction | Otorga permiso para crear una acción de autoservicio | Write | |||
| CreateTagOption | Otorga permiso para crear una TagOption | Write | |||
| DeleteApplication | Concede el permiso para eliminar una aplicación si se han quitado todas las asociaciones de la aplicación | Write | |||
| DeleteAttributeGroup | Concede el permiso para eliminar un grupo de atributos si se han quitado todas las asociaciones del grupo de atributos | Write | |||
| DeleteConstraint | Otorga permiso para quitar y eliminar una restricción existente de un producto y cartera asociados | Write | |||
| DeletePortfolio | Otorga permiso para eliminar una cartera si todas las asociaciones y usos compartidos se han quitado de la cartera | Write | |||
| DeletePortfolioShare | Otorga permiso para dejar de compartir una cartera de su propiedad con una Cuenta de AWS con la que compartió previamente la cartera. | Permissions management | |||
| DeleteProduct | Otorga permiso para eliminar un producto si se han eliminado todas las asociaciones del producto | Write | |||
| DeleteProvisionedProductPlan | Otorga permiso para eliminar un plan de producto aprovisionado | Write | |||
| DeleteProvisioningArtifact | Otorga permiso para eliminar un artefacto de aprovisionamiento de un producto | Write | |||
| DeleteServiceAction | Otorga permiso para eliminar una acción de autoservicio | Write | |||
| DeleteTagOption | Otorga permiso para eliminar la TagOption especificada | Write | |||
| DescribeConstraint | Otorga permiso para describir una restricción | Read | |||
| DescribeCopyProductStatus | Otorga permiso para obtener el estado de la operación del producto de copia especificada | Read | |||
| DescribePortfolio | Otorga permiso para describir una cartera | Read | |||
| DescribePortfolioShareStatus | Otorga permiso para obtener el estado de la operación de participación de la cartera especificada | Read | |||
| DescribePortfolioShares | Otorga permiso para ver un resumen de cada una de las acciones de cartera que se crearon para la cartera especificada | List | |||
| DescribeProduct | Otorga permiso para describir un producto como usuario final | Read | |||
| DescribeProductAsAdmin | Otorga permiso para describir un producto como administrador | Read | |||
| DescribeProductView | Otorga permiso para describir un producto como usuario final | Read | |||
| DescribeProvisionedProduct | Otorga permiso para describir un producto aprovisionado | Read | |||
| DescribeProvisionedProductPlan | Otorga permiso para describir un plan de producto aprovisionado | Read | |||
| DescribeProvisioningArtifact | Otorga permiso para describir un artefacto de aprovisionamiento | Read | |||
| DescribeProvisioningParameters | Otorga permiso para describir los parámetros que debe especificar para aprovisionar correctamente un artefacto de aprovisionamiento especificado | Read | |||
| DescribeRecord | Otorga permiso para describir un registro y enumera las salidas | Read | |||
| DescribeServiceAction | Otorga permiso para describir una acción de autoservicio | Read | |||
| DescribeServiceActionExecutionParameters | Otorga permiso para obtener los parámetros predeterminados si ejecutó la acción de servicio especificada en el producto aprovisionado especificado | Read | |||
| DescribeTagOption | Otorga permiso para obtener información acerca de la TagOption especificada | Read | |||
| DisableAWSOrganizationsAccess | Otorga permiso para desactivar el uso compartido de carteras mediante la función de AWS Organizations. | Write | |||
| DisassociateAttributeGroup | Concede el permiso para desasociar un grupo de atributos de una aplicación | Write | |||
| DisassociateBudgetFromResource | Otorga permiso para disociar un presupuesto de un recurso | Write | |||
| DisassociatePrincipalFromPortfolio | Otorga permiso para disociar una entidad principal de IAM de una cartera | Write | |||
| DisassociateProductFromPortfolio | Otorga permiso para disociar un producto de una cartera | Write | |||
| DisassociateResource | Concede el permiso para desasociar un recurso de una aplicación | Write |
resource-groups:DeleteGroup |
||
| DisassociateServiceActionFromProvisioningArtifact | Otorga permiso para eliminar la asociación de una acción de autoservicio especificada del artefacto de aprovisionamiento especificado | Write | |||
| DisassociateTagOptionFromResource | Otorga permiso para disociar la TagOption especificada del recurso especificado | Write | |||
| EnableAWSOrganizationsAccess | Otorga permiso para habilitar la función de uso compartido de carteras a través de AWS Organizations. | Write | |||
| ExecuteProvisionedProductPlan | Otorga permiso para ejecutar un plan de producto aprovisionado | Write | |||
| ExecuteProvisionedProductServiceAction | Otorga permiso para ejecutar un plan de producto aprovisionado | Write | |||
| GetAWSOrganizationsAccessStatus | Otorga permiso para obtener el estado de acceso de la función de uso compartido de la cartera de AWS Organization. | Read | |||
| GetApplication | Concede el permiso para obtener una aplicación | Read | |||
| GetAssociatedResource | Otorga permiso para obtener información sobre un recurso asociado a una aplicación | Read | |||
| GetAttributeGroup | Concede el permiso para obtener un grupo de atributos | Lectura | |||
| GetConfiguration | Otorga permiso para leer configuraciones de AppRegistry | Lectura | |||
| GetProvisionedProductOutputs | Otorga permiso para obtener la salida del producto aprovisionado con el identificador del producto aprovisionado o el nombre | Read | |||
| ImportAsProvisionedProduct | Concede el permiso para importar un recurso a un producto aprovisionado | Write | |||
| ListAcceptedPortfolioShares | Otorga permiso para enumerar las carteras que se han compartido con usted y que ha aceptado | Enumeración | |||
| ListApplications | Otorga permiso para enumerar sus aplicaciones | Enumeración | |||
| ListAssociatedAttributeGroups | Concede el permiso para enumerar los grupos de atributos asociados a una aplicación | List | |||
| ListAssociatedResources | Concede el permiso para enumerar los recursos asociados a una aplicación | Enumeración | |||
| ListAttributeGroups | Otorga permiso para enumerar sus grupos de atributos | Enumeración | |||
| ListAttributeGroupsForApplication | Otorga permiso para enumerar los grupos de atributos asociados a una aplicación específica | Enumeración | |||
| ListBudgetsForResource | Otorga permiso para enumerar todos los presupuestos asociados a un recurso | List | |||
| ListConstraintsForPortfolio | Otorga permiso para enumerar las restricciones asociadas a una cartera determinada | List | |||
| ListLaunchPaths | Otorga permiso para enumerar las diferentes formas de lanzar un producto determinado como usuario final | List | |||
| ListOrganizationPortfolioAccess | Otorga permiso para enumerar los nodos de la organización que tienen acceso a la cartera especificada | List | |||
| ListPortfolioAccess | Otorga permiso para enumerar las cuentas de AWS con las que ha compartido una cartera determinada. | List | |||
| ListPortfolios | Otorga permiso para publicar las carteras en su cuenta | List | |||
| ListPortfoliosForProduct | Otorga permiso para enumerar las carteras asociadas a un producto determinado | List | |||
| ListPrincipalsForPortfolio | Otorga permiso para enumerar los principales de IAM asociados a una cartera determinada | List | |||
| ListProvisionedProductPlans | Otorga permiso para publicar los planes de productos aprovisionados | List | |||
| ListProvisioningArtifacts | Otorga permiso para enumerar los artefactos de aprovisionamiento asociados a un producto determinado | List | |||
| ListProvisioningArtifactsForServiceAction | Otorga permiso para enumerar todos los artefactos de aprovisionamiento para la acción de autoservicio especificada | List | |||
| ListRecordHistory | Otorga permiso para mostrar todos los registros en su cuenta o todos los registros relacionados con un determinado producto aprovisionado | List | |||
| ListResourcesForTagOption | Otorga permiso para enumerar los recursos asociados a la TagOption especificada | List | |||
| ListServiceActions | Otorga permiso para enumerar todas las acciones de autoservicio | List | |||
| ListServiceActionsForProvisioningArtifact | Otorga permiso para enumerar todas las acciones de servicio asociadas al artefacto de aprovisionamiento especificado en su cuenta | List | |||
| ListStackInstancesForProvisionedProduct | Otorga permiso para enumerar la cuenta, la región y el estado de cada instancia de pila asociada a un producto aprovisionado de tipo CFN_STACKSET | List | |||
| ListTagOptions | Otorga permiso para enumerar las opciones de etiquetas especificadas o todas las opciones de etiquetas | List | |||
| ListTagsForResource | Concede el permiso para enumerar las etiquetas de un recurso de información de catálogo de servicios | Lectura | |||
| NotifyProvisionProductEngineWorkflowResult | Concede permiso para notificar el resultado de la ejecución del motor de aprovisionamiento | Escritura | |||
| NotifyTerminateProvisionedProductEngineWorkflowResult | Concede permiso para notificar el resultado de la ejecución del motor de finalización | Escritura | |||
| NotifyUpdateProvisionedProductEngineWorkflowResult | Concede permiso para notificar el resultado de la ejecución del motor de actualización | Escritura | |||
| ProvisionProduct | Otorga permiso para aprovisionar un producto con un artefacto de aprovisionamiento especificado y parámetros de lanzamiento | Escritura | |||
| PutConfiguration | Otorga permiso para asignar configuraciones de AppRegistry | Escritura | |||
| RejectPortfolioShare | Otorga permiso para rechazar una cartera que se haya compartido con usted y que haya aceptado previamente | Write | |||
| ScanProvisionedProducts | Otorga permiso para publicar todos los productos aprovisionados en su cuenta | List | |||
| SearchProducts | Otorga permiso para publicar los productos disponibles para usted como usuario final | List | |||
| SearchProductsAsAdmin | Otorga permiso para enumerar todos los productos de su cuenta o todos los productos asociados a una determinada cartera | List | |||
| SearchProvisionedProducts | Otorga permiso para publicar todos los productos aprovisionados en su cuenta | List | |||
| SyncResource | Concede el permiso para sincronizar un recurso con su estado actual en AppRegistry | Write |
cloudformation:UpdateStack |
||
| TagResource | Concede el permiso para etiquetar un recurso de Service Catalog AppRegistry | Etiquetado | |||
| TerminateProvisionedProduct | Otorga permiso para finalizar un producto aprovisionado existente | Write | |||
| UntagResource | Concede el permiso para quitar una etiqueta de un recurso de Service Catalog AppRegistry | Etiquetado | |||
| UpdateApplication | Concede el permiso para actualizar los atributos de una aplicación existente | Write |
iam:CreateServiceLinkedRole |
||
| UpdateAttributeGroup | Concede el permiso para actualizar los atributos de un grupo de atributos existente | Write | |||
| UpdateConstraint | Otorga permiso para actualizar los campos de metadatos de una restricción existente | Write | |||
| UpdatePortfolio | Otorga permiso para actualizar los campos de metadatos o etiquetas de una cartera existente | Write | |||
| UpdatePortfolioShare | Otorga permiso para habilitar o desactivar el uso compartido de recursos para un recurso compartido de cartera existente | Permissions management | |||
| UpdateProduct | Otorga permiso para actualizar los campos de metadatos o etiquetas de un producto existente | Write | |||
| UpdateProvisionedProduct | Otorga permiso para actualizar un producto aprovisionado existente | Write | |||
| UpdateProvisionedProductProperties | Otorga permiso para actualizar las propiedades de un producto aprovisionado existente | Write | |||
| UpdateProvisioningArtifact | Otorga permiso para actualizar los campos de metadatos de un artefacto de aprovisionamiento existente | Write | |||
| UpdateServiceAction | Otorga permiso para actualizar una acción de autoservicio | Write | |||
| UpdateTagOption | Otorga permiso para actualizar la TagOption especificada. | Write |
Tipos de recursos definidos por AWS Service Catalog
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| Application |
arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}
|
|
| AttributeGroup |
arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}
|
|
| Portfolio |
arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}
|
|
| Product |
arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}
|
Claves de condición para AWS Service Catalog
AWS Service Catalog define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.
A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
nota
Para acceder a ejemplos de políticas que muestran cómo pueden utilizarse estas claves de condición en una política de IAM, consulte Ejemplos de políticas para administrar productos aprovisionados en la Guía del administrador de Service Catalog.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso | Cadena |
| aws:TagKeys | Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud | ArrayOfString |
| servicecatalog:Resource | Filtra el acceso controlando qué valor puede especificarse como parámetro Resource en una API de recursos asociados de AppRegistry | Cadena |
| servicecatalog:ResourceType | Filtra el acceso controlando qué valor puede especificarse como parámetro ResourceType en una API de recursos asociados de AppRegistry | Cadena |
| servicecatalog:accountLevel | Filtra el acceso mediante usuarios para ver y realizar acciones en recursos creados por cualquier persona en la cuenta. | Cadena |
| servicecatalog:roleLevel | Filtra el acceso mediante usuarios para ver y realizar acciones en recursos creados por ellos o por cualquier persona federada en la misma función que ellos. | Cadena |
| servicecatalog:userLevel | Filtra el acceso mediante usuarios para ver y realizar acciones solo en recursos que ellos han creado. | Cadena |
