Uso de la Cloud Canvas Línea de comandos para administrar roles y Permisos - Lumberyard Guía del usuario

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Uso de la Cloud Canvas Línea de comandos para administrar roles y Permisos

Puedes utilizar la función lmbr_aws herramienta de línea de comandos para gestionar Cloud Canvas Control de acceso del administrador de recursos de. Por ejemplo, puede utilizar la herramienta para asumir un rol al ejecutar un comando o para administrar roles, permisos y mapeos de roles.

Asumir un rol

Más lmbr_aws Los comandos de la admiten un --assume-role (rol-de-asunto) <role-name> del argumento. Puedes utilizar esta para asumir un rol al ejecutar un comando.

Si se especifica, <role-name> debe ser el ID de recurso lógico de un IAM El recurso de rol de definido en ya sea el project-template.json o bien deployment-access-template.json de los archivos.

nota

Debe evitar definir roles que tengan el mismo nombre en ambos archivos. Si lo hace, el rol del archivo de implementación toma precedencia.

Si especifica un rol de acceso de implementación, el rol real utilizado depende de la implementación en que el comando está operando. Si el --deployment el argumento se ha especificado, : la implementación especificada se utiliza. Si el --deployment el argumento no se ha especificado y el usuario ha especificado una implementación predeterminada, la implementación predeterminada se utiliza. Si no se ha especificado una implementación predeterminada, la implementación predeterminada del proyecto se utiliza.

lmbr_aws utiliza sus credenciales de AWS configuradas para asumir el valor de del rol de. [EMPTY] Configuration para ver una descripción de cómo Las credenciales de están determinadas por. Las credenciales deben tener permiso para asumir el rol. Para más información información, consulte Concesión de un Permiso de usuario para cambiar de rol.

Antes de asumir el rol, el lmbr_aws herramienta utiliza credenciales para leer los datos de configuración del proyecto de AWS. El ProjectAccess La política administrada por en la project-template.json file y DeploymentAccess La política administrada por en la deployment-access-template.json del archivo concede los permisos necesarios para leer esta información. Usted puede asociar la política administrada correspondiente a cualquier IAM que el usuario funciona en un proyecto o implementación.

Tenga en cuenta que los usuarios administrativos creados para un AWS cuenta normalmente tiene permisos para asumir roles y leer la configuración del proyecto. Los usuarios administrativos normalmente tienen permiso para realizar cualquier en cualquier recurso propiedad de una cuenta de.

Comandos de gestión de roles

Los comandos de administración de roles administran la Papel de AWS::IAM::Role recurso en el paso project-template.json y deployment-access-template.json de los archivos. Después de utilizar estos comandos para realizar cambios, debe actualizar el proyecto o las pilas de acceso de implementación para que los cambios efecto. Para obtener información sobre los permisos para realizar esta acción, consulte Control del acceso a Recursos.

añadir función lmbr_aws

Añade un AWS IAM de recursos de rol de a la definición project-template.json file o bien deployment-access-template.json del archivo.

Argumento Descripción
‑‑role <role‑name> Se requiere. El nombre de la definición de recurso de rol.
‑‑project Opcional. Cuando está presente, especifica que se añada la definición de recurso de rol a la project-template.json file. De lo contrario, el rol La definición de recurso se agrega a la deployment-access-template.json del archivo.

función lmbr_aws eliminar

Elimina una AWS IAM Definición de recursos de rol de desde la project-template.json file o bien deployment-access-template.json del archivo.

Argumento Descripción
‑‑role <role‑name> Se requiere. El nombre de la definición de recurso de rol.
‑‑project Opcional. Cuando está presente, especifica que la definición de recurso de rol sea eliminado de la project-template.json file. De lo contrario, el campo La definición de recurso de rol de se elimina de la deployment-access-template.json del archivo.

lista de roles lmbr_aws

Muestra la lista de AWS IAM Las definiciones de rol de en la project-template.json y/o deployment-access-template.json de los archivos.

Argumento Descripción
‑‑deployment Opcional. Cualquiera de los dos --deployment o bien --project puede ser especificado. Si --deployment se especifica, solo los roles en la deployment-access-template.json del archivo se muestran en la lista.
‑‑project Opcional. Cualquiera de los dos --deployment o bien --project puede ser especificado. Si --project se especifica, solo los roles en la project-template.json file se enumeran en la lista.

Output

El resultado es similar al siguiente ejemplo.

Scope Name ---------- ------------------------------------------- Deployment DeploymentAdmin Deployment DeploymentOwner Deployment Player Deployment PlayerLoginRole Project ProjectAdmin Project ProjectOwner Project PlayerAccessTokenExchangeExecution Project ProjectResourceHandlerExecution
Columna Descripción
Alcance Indica si el rol está definido en el deployment-access-template.json o bien project-template.json del archivo.
Nombre Muestra el nombre de definición de recurso. Este es el nombre de recurso "lógico", no el nombre del recurso "físico" que identifica una instancia real del rol. [EMPTY] consulte los nombres de los recursos físicos, utilice la lmbr_aws project list-resources o bien lmbr_aws deployment list-resources del comando.

Administración de metadatos de permisos

Los comandos de administración de metadatos de permisos administran CloudCanvas Permissions metadatos en las definiciones de recursos en la resource-group-template.json de los archivos. Después de utilizar estos comandos para realizar cambios, debe actualizar el proyecto o las pilas de acceso de implementación para que los cambios efecto. Para obtener información sobre los permisos para realizar esta acción, consulte Control del acceso a Recursos.

Se ha añadido el permiso lmbr_aws

Añade Cloud Canvas Permissions los metadatos a una definición de recurso de en una resource-group-template.json del archivo.

Argumento Descripción
‑‑resource‑group <resource‑group‑name> Se requiere. El nombre de un grupo de recursos. Los metadatos se añadirán a un recurso definición en el grupo de recursos resource-group-template.json del archivo.
‑‑resource <resource‑name> Se requiere. El nombre de la definición de recurso en el resource-group-template.json del archivo.
‑‑role <abstract-role‑name> Se requiere. Identifica el rol de al que se concede el permiso.
‑‑action <action> [<action> ...] Se requiere. La acción que se permite. Puede especificar más de un acción.
‑‑suffix <suffix> [<suffix> ...] Opcional. Una cadena añadida al ARN del recurso. Puede especificar más de un sufijo.

Se ha eliminado el permiso lmbr_aws

Eliminación Cloud Canvas Permissions metadatos de una definición de recurso en un resource-group-template.json del archivo.

Argumento Descripción
‑‑resource‑group <resource‑group‑name> Se requiere. El nombre de un grupo de recursos. Los metadatos se eliminan de un recurso definición en el grupo de recursos especificado resource-group-template.json del archivo.
‑‑resource <resource‑name> Se requiere. El nombre de la definición de recurso en el resource-group-template.json del archivo.
‑‑role <abstract‑role‑name> Se requiere. Identifica los roles de los que se eliminan los permisos.
‑‑action <action> [<action> ...] Opcional. La acción que se elimina. Puede especificar más de una acción. Si no se especifica, se eliminan todos los permisos para el rol.
‑‑suffix <suffix> [<suffix> ...] Opcional. Una cadena añadida al ARN del recurso, que se elimina. Puedes especifique más de un sufijo.

lista de permisos lmbr_aws

Eliminación Cloud Canvas Permissions metadatos de una definición de recurso de en una resource-group-template.json del archivo.

Argumento Descripción
‑‑resource‑group <resource‑group‑name> Opcional. Enumera los metadatos de las definiciones de recursos del grupo de recursos. resource-group-template.json del archivo. Las listas predeterminadas de todos los grupos de recursos de.
‑‑resource <resource‑name> Opcional. El nombre de la definición de recurso en el resource-group-template.json del archivo. Las listas predeterminadas de todas las definiciones de recursos.
‑‑role <abstract‑role‑name> Opcional. Enumera los metadatos del rol abstracto especificado. Las listas predeterminadas para todos los roles abstractos.

Output

El resultado es similar al siguiente ejemplo.

Resource Group Resource Resource Type Roles Actions ARN Suffixes -------------- -------------------- --------------------- -------------- ---------------------------------------------------- ------------ DynamicContent ContentBucket AWS::S3::Bucket ServiceLambda s3:GetObject /* DynamicContent ContentBucket AWS::S3::Bucket ContentRequest s3:* /* DynamicContent ContentRequest AWS::Lambda::Function Player lambda:InvokeFunction DynamicContent ServiceLambda AWS::Lambda::Function ServiceApi lambda:InvokeFunction DynamicContent StagingSettingsTable AWS::DynamoDB::Table ServiceLambda dynamodb:GetItem, dynamodb:Scan, dynamodb:UpdateItem DynamicContent StagingSettingsTable AWS::DynamoDB::Table ContentRequest dynamodb:GetItem
Columna Descripción
Grupo de recursos Muestra el grupo de recursos donde se encontraron los metadatos de permisos.
Recurso Muestra el nombre de la definición del recurso con los metadatos.
Tipo de recurso Muestra el tipo de la definición del recurso con los metadatos.
Funciones Muestra los roles abstractos especificados por los metadatos de permisos.
Acciones Muestra las acciones especificadas por los metadatos de permiso.
Sufijos de ARN Muestra el sufijo añadido al ARN del recurso, tal y como especifica el permiso de metadatos.

Tip

Para ver todos los recursos a los que tienen acceso los jugadores a través del cliente de juego, utilice el comando :

lmbr_aws permission list --role Player

Administración de metadatos de asignación de roles

Los comandos de administración de metadatos de asignación de roles administran CloudCanvas RoleMappings metadatos en AWS::IAM:Role Definiciones de recursos de en la project-template.json y deployment-access-template.json de los archivos. Después de utilizar estos comandos para realizar cambios, debe actualizar el proyecto o las pilas de acceso de implementación para los cambios a en efecto. Para obtener información sobre los permisos para realizar esto acción, consulte Control del acceso a Recursos.

añadir asignación de roles lmbr_aws

Añade Cloud Canvas RoleMappings los metadatos a un AWS IAM La definición de rol de en la project-template.json o bien deployment-access-template.json del archivo.

Argumento Descripción
‑‑role <role‑name> Se requiere. El nombre de la definición de recurso de rol.
‑‑pattern <abstract‑role‑pattern> Identifica los roles abstractos asignados al rol. Tiene el formulario <resource-group-name>.<abstract-role-name>, donde <resource-group-name> puede ser *.
‑‑allow Cualquiera de los dos --allow o bien --deny debe especificarse. Indica que los permisos solicitados para el rol abstracto son permitido.
‑‑deny Cualquiera de los dos --allow o bien --deny debe especificarse. Indica que los permisos solicitados para el rol abstracto se deniegan.
‑‑project Opcional. Indica que la definición de rol está en la project-template.json del archivo. El valor predeterminado es para el rol definición para estar en el deployment-access-template.json del archivo.

Se ha eliminado el mapeo de roles lmbr_aws

Elimina una AWS IAM Definición de recursos de rol de desde la project-template.json file o bien deployment-access-template.json del archivo.

Argumento Descripción
‑‑role <role‑name> Se requiere. El nombre de la definición de recurso de rol.
‑‑pattern <abstract‑role‑pattern> Identifica los roles abstractos asignados al rol. Tiene el formulario <resource-group-name>.<abstract-role-name>, donde <resource-group-name> puede ser *.
‑‑project Opcional. Indica que la definición de rol está en la project-template.json file. El valor predeterminado es para el rol definición para estar en el deployment-access-template.json del archivo.

lista de asignación de roles lmbr_aws

Muestra la lista de AWS IAM Las definiciones de rol de en la project-template.json y/o deployment-access-template.json de los archivos.

Argumento Descripción
‑‑role <role‑name> Se requiere. La definición de rol con los metadatos para enumerar. El valor predeterminado es enumerar de todas las definiciones de rol.
‑‑pattern <abstract‑role‑pattern> El patrón de rol abstracto especificado por los metadatos enumerados. El valor predeterminado es enumerar los metadatos con cualquier patrón de rol abstracto.
‑‑deployment Opcional. Cualquiera de los dos --deployment o bien --project puede ser especificado. Enumera los metadatos de las definiciones de rol en la deployment-access-template.json del archivo. El valor predeterminado es enumerar metadatos de definiciones de rol en la project-template.json y deployment-access-template.json de los archivos.
‑‑project Opcional. Cualquiera de los dos --deployment o bien --project puede ser especificado. Enumera los metadatos de las definiciones de rol en la project-template.json file. El valor predeterminado es enumerar los metadatos de las definiciones de rol en la project-template.json y deployment-access-template.json de los archivos.

Output

El resultado es similar al siguiente ejemplo.

Scope Actual Role Abstract Role Effect ---------- ------------------------------- ----------------------------- ------ Deployment DeploymentAdmin *.DeploymentAdmin Allow Deployment DeploymentOwner *.DeploymentAdmin Allow Deployment DeploymentOwner *.DeploymentOwner Allow Deployment Player *.Player Allow Project ProjectAdmin *.ProjectAdmin Allow Project ProjectOwner *.ProjectAdmin Allow Project ProjectOwner *.ProjectOwner Allow
Columna Descripción
Alcance Muestra si el mapeo de roles provino de la project-template.json o bien deployment-access-template.json de los archivos.
Función real Muestra el nombre de la definición de recurso de rol con los metadatos de mapeo.
Función abstracta Muestra los roles abstractos (como se especifica en los metadatos de permisos) que se asignan a el rol.
Efecto Muestra si los permisos solicitados para el rol abstracto están permitidos o denegado.