Lumberyard
Guía del usuario (Version 1.21)

Metadatos de permisos para definiciones de recursos

Para determinar qué permisos deben estar en una política, el recurso Custom::AccessControl buscará metadatos de permisos de Cloud Canvas en definiciones de recursos de las pilas de grupos de recursos. En el siguiente ejemplo, los metadatos del recurso Messages dan a la función SayHello de AWS Lambda permiso para introducir elementos en una tabla de Amazon DynamoDB. Los metadatos del recurso SayHello dan a los jugadores permiso para invocar la función SayHello de Lambda.

... "Messages": { "Type": "AWS::DynamoDB::Table", "Properties": { "AttributeDefinitions": [ { "AttributeName": "PlayerId", "AttributeType": "S" } ], "KeySchema": [ { "AttributeName": "PlayerId", "KeyType": "HASH" } ], "ProvisionedThroughput": { "ReadCapacityUnits": { "Ref": "ReadCapacityUnits" }, "WriteCapacityUnits": { "Ref": "WriteCapacityUnits" } } }, "Metadata": { "CloudCanvas": { "Permissions": [ { "AbstractRole": "SayHello", "Action": "dynamodb:PutItem" } ] } } }, "SayHello": { "Type": "AWS::Lambda::Function", "Properties": { "Description": "Example of a function called by the game to write data into a DynamoDB table.", "Handler": "main.say_hello", "Role": { "Fn::GetAtt": [ "SayHelloConfiguration", "Role" ] }, "Runtime": { "Fn::GetAtt": [ "SayHelloConfiguration", "Runtime" ] }, "Code": { "S3Bucket": { "Fn::GetAtt": [ "SayHelloConfiguration", "ConfigurationBucket" ] }, "S3Key": { "Fn::GetAtt": [ "SayHelloConfiguration", "ConfigurationKey" ] } } }, "Metadata": { "CloudCanvas": { "Permissions": [ { "AbstractRole": "Player", "Action": "lambda:InvokeFunction" } ] } } }, ...

Puede utilizar la herramienta de línea de comando lmbr_aws para administrar los metadatos de permisos en las definiciones de recursos en un archivo resource-template.json de un grupo de recursos. Para obtener más información, consulte Administración de los metadatos de los permisos.

Propiedades

Cada objeto de metadatos Permission de Cloud Canvas puede tener las siguientes propiedades.

  • Propiedad Descripción
    AbstractRole Cadena o lista de cadenas necesaria. Identifica el rol cuya política reflejará el permiso. Para obtener más información, consulte Metadatos de mapeo de roles.
    Action Cadena o lista de cadenas necesaria. Identifica las acciones que se han de colocar en la política. Esto se usa como propiedad de acción de una instrucción de la política. Consulte Claves de contexto de condición y acciones de servicios de AWS para su uso en políticas de IAM para ver una lista de acciones compatibles con IAM.
    ResourceSuffix Cadena o lista de cadenas opcional. Proporciona valores adjuntos al ARN en la propiedad de recursos de una instrucción en la política. Hay un valor de la propiedad Resource para cada sufijo enumerado. Si no se muestran sufijos, el valor de la propiedad Resource será el ARN del recurso sin sufijo.

Véase también

Para obtener información general sobre la seguridad en el administrador de recursos de Cloud Canvas, consulte Descripción del sistema de seguridad del administrador de recursos.

En esta página: