Acciones, recursos y claves de condición para Amazon AppStream 2.0 - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para Amazon AppStream 2.0

Amazon AppStream 2.0 (prefijo de servicio: appstream) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon AppStream 2.0

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateApplicationFleet Otorga permiso para asociar la aplicación especificada con la la flota. Escritura

application*

fleet*

aws:ResourceTag/${TagKey}

AssociateApplicationToEntitlement Otorga permiso para asociar la aplicación especificada a la concesión de derechos especificada Escritura

stack*

AssociateFleet Otorga permiso para asociar la flota especificada con la pila especificada. Write

fleet*

stack*

aws:ResourceTag/${TagKey}

BatchAssociateUserStack Otorga permiso para asociar los usuarios especificados con las pilas especificadas. Los usuarios de un grupo de usuarios no pueden asignarse a pilas con flotas que están unidas a un dominio de Active Directory. Write

stack*

aws:ResourceTag/${TagKey}

BatchDisassociateUserStack Otorga permiso para desasociar los usuarios especificados de la pilas especificadas. Write

stack*

aws:ResourceTag/${TagKey}

CopyImage Otorga permiso para copiar la imagen especificada dentro de la misma región o en una nueva región dentro de la misma Cuenta de AWS. Escritura

image*

aws:ResourceTag/${TagKey}

CreateAppBlock Otorga permiso para crear un bloque de aplicaciones. Los bloques de aplicaciones almacenan los detalles del disco duro virtual que contiene los archivos de la aplicación en un bucket de S3. También almacena el script de configuración con los detalles sobre cómo montar el disco duro virtual. Los bloques de aplicaciones solo se admiten para flotas elásticas. Escritura

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateApplication Otorga permiso para crear una aplicación en una cuenta de cliente. Las aplicaciones almacenan los detalles sobre cómo lanzar aplicaciones en instancias de streaming. Esto solo es admitido por flotas elásticas. Escritura

app-block*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateDirectoryConfig Otorga permiso para crear un objeto Directory Config en AppStream 2.0. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. Escritura
CreateEntitlement Otorga permiso para crear una concesión de derechos para controlar el acceso a las aplicaciones en función de los atributos de usuario Escritura

stack*

CreateFleet Otorga permiso para crear una flota. Una flota es un grupo de instancias de streaming desde donde se lanzan y se transmiten aplicaciones a los usuarios. Write

fleet*

image

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageBuilder Otorga permiso para crear un constructor de imágenes. Un constructor de imágenes es una máquina virtual que se utiliza para crear una imagen. Write

image*

image-builder*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageBuilderStreamingURL Otorga permiso para crear una URL para iniciar una sesión de streaming de constructor de imágenes. Write

image-builder*

aws:ResourceTag/${TagKey}

CreateStack Otorga permiso para crear una pila para comenzar a transmitir aplicaciones a los usuarios. Una pila se compone de una flota, políticas de acceso de usuarios y configuraciones de almacenamiento asociadas. Write

stack*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStreamingURL Otorga permiso para crear una URL temporal para iniciar una sesión de streaming de AppStream 2.0 para el usuario especificado. Una URL de streaming permite probar el streaming de la aplicación sin configuración del usuario. Escritura

fleet*

stack*

aws:ResourceTag/${TagKey}

CreateUpdatedImage Otorga permiso para actualizar una imagen existente en la cuenta de cliente Escritura

image*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateUsageReportSubscription Otorga permiso para crear una suscripción de informes de uso. Los informes de uso se generan a diario. Write
CreateUser Otorga permiso para crear un nuevo usuario en el grupo de usuarios. Escritura
DeleteAppBlock Otorga permiso para eliminar el bloque de aplicaciones especificado. Escritura

app-block*

aws:ResourceTag/${TagKey}

DeleteApplication Otorga permiso para eliminar la aplicación especificada. Escritura

application*

aws:ResourceTag/${TagKey}

DeleteDirectoryConfig Otorga permiso para eliminar el objeto Directory Config especificado de AppStream 2.0. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. Escritura
DeleteEntitlement Otorga permiso para eliminar la concesión de derechos especificada Escritura

stack*

DeleteFleet Otorga permiso para eliminar la flota especificada. Write

fleet*

aws:ResourceTag/${TagKey}

DeleteImage Otorga permiso para eliminar la imagen especificada. No se puede eliminar la imagen cuando se está usando. Write

image*

aws:ResourceTag/${TagKey}

DeleteImageBuilder Otorga permiso para eliminar el constructor de imágenes especificado y liberar capacidad. Write

image-builder*

aws:ResourceTag/${TagKey}

DeleteImagePermissions Otorga permiso para eliminar permisos para la imagen privada especificada. Write

image*

aws:ResourceTag/${TagKey}

DeleteStack Otorga permiso para eliminar la pila especificada. Una vez que se elimina la pila, el entorno de streaming de la aplicación proporcionado por la pila deja de estar a disposición de los usuarios. Además, se liberan las reservas realizadas para sesiones de streaming de la aplicación para la pila. Write

stack*

aws:ResourceTag/${TagKey}

DeleteUsageReportSubscription Otorga permiso para desactivar la generación de informes de uso. Write
DeleteUser Otorga permiso para eliminar un usuario del grupo de usuarios. Escritura
DescribeAppBlocks Otorga permiso para recuperar una lista que describe uno o varios bloques de aplicaciones especificados, si proporcionan los ARN de los bloques de aplicaciones. De lo contrario, se describen todos los bloques de aplicaciones de la cuenta. Lectura

app-block

DescribeApplicationFleetAssociations Otorga permiso para recuperar las asociaciones que están asociadas a la aplicación o la flota especificada. Lectura

application

fleet

DescribeApplications Otorga permiso para recuperar una lista que describe una o más aplicaciones especificadas, si se proporcionan los ARN de la aplicación. De lo contrario, se describen todas las aplicaciones de la cuenta. Lectura

application

DescribeDirectoryConfigs Otorga permiso para recuperar una lista que describe uno o más objetos Directory Config especificados para AppStream 2.0, si se proporcionan los nombres de esos objetos. De lo contrario, se describen todos los objetos Directory Config en la cuenta. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. Lectura
DescribeEntitlements Otorga permiso para recuperar una o todas las concesiones de derechos para la pila especificada Lectura

stack*

DescribeFleets Otorga permiso para recuperar una lista que describe una o varias flotas especificadas, si proporcionan los nombres de las flotas. De lo contrario, se describen todas las flotas de la cuenta. Read

fleet

DescribeImageBuilders Otorga permiso para recuperar una lista que describe uno o más constructores de imágenes especificados, si se proporcionan los nombres de los constructores. De lo contrario, se describen todos los constructores de imágenes de la cuenta. Read

image-builder

DescribeImagePermissions Otorga permiso para recuperar una lista que describa los permisos de los ID de Cuenta de AWS compartidos en una imagen privada de su propiedad. Read

image*

DescribeImages Otorga permiso para recuperar una lista que describe una o más imágenes especificadas, si se proporcionan los nombres o ARN de las imágenes. De lo contrario, se describen todas las imágenes de la cuenta. Read

image

DescribeSessions Otorga permiso para recuperar una lista que describe las sesiones de streaming para la flota y pila especificadas. Si se proporciona un ID de usuario para la pila y la flota, solo se describen las sesiones de streaming para ese usuario. Read

fleet*

stack*

DescribeStacks Otorga permiso para recuperar una lista que describe una o más pilas especificadas, si se proporcionan los nombres de las pilas. De lo contrario, se describen todas las pilas de la cuenta. Read

stack

DescribeUsageReportSubscriptions Otorga permiso para recuperar una lista que describe una o más suscripciones de informes de uso. Read
DescribeUserStackAssociations Otorga permiso para recuperar una lista que describe los objetos UserStackAssociation. Read

stack

DescribeUsers Otorga permiso para recuperar una lista que describe los usuarios del grupo de usuarios. Read
DisableUser Otorga permiso para desactivar el usuario especificado en el grupo de usuarios. Esta acción no elimina el usuario. Escritura
DisassociateApplicationFleet Otorga permiso para desasociar la aplicación especificada de la flota especificada. Escritura

application*

fleet*

aws:ResourceTag/${TagKey}

DisassociateApplicationFromEntitlement Otorga permiso para desasociar la aplicación especificada de la concesión de derechos especificada Escritura

stack*

DisassociateFleet Otorga permiso para desasociar la flota especificada de la pila especificada. Write

fleet*

stack*

aws:ResourceTag/${TagKey}

EnableUser Otorga permiso para habilitar un usuario en el grupo de usuarios. Write
ExpireSession Otorga permiso para detener inmediatamente la sesión de streaming especificada. Write
ListAssociatedFleets Otorga permiso para recuperar el nombre de la flota que está asociada a la pila especificada. Read

stack*

ListAssociatedStacks Otorga permiso para recuperar el nombre de la pila con la que está asociada la flota especificada. Lectura

fleet*

ListEntitledApplications Otorga permiso para recuperar las aplicaciones asociadas con la concesión de derechos especificada List

stack*

ListTagsForResource Otorga permiso para recuperar una lista de todas las etiquetas para el recurso de AppStream 2.0 especificado. Se pueden etiquetar los siguientes recursos: constructores de imágenes, imágenes, flotas y pilas. Read
StartFleet Otorga permiso para iniciar la flota especificada. Write

fleet*

aws:ResourceTag/${TagKey}

StartImageBuilder Otorga permiso para iniciar el constructor de imágenes especificado. Write

image-builder*

aws:ResourceTag/${TagKey}

StopFleet Otorga permiso para detener la flota especificada. Write

fleet*

aws:ResourceTag/${TagKey}

StopImageBuilder Otorga permiso para detener el constructor de imágenes especificado. Write

image-builder*

aws:ResourceTag/${TagKey}

Stream Otorga permiso a los usuarios federados para iniciar sesión con sus credenciales existentes y transmitir aplicaciones desde la pila especificada. Write

stack*

appstream:userId

TagResource Otorga permiso para agregar o sobrescribir una o varias etiquetas para el recurso de AppStream 2.0 especificado. Se pueden etiquetar los siguientes recursos: constructores de imágenes, imágenes, flotas, pilas, bloques de aplicaciones y aplicaciones. Etiquetado

app-block

application

fleet

image

image-builder

stack

aws:RequestTag/${TagKey}

aws:TagKeys

aws:ResourceTag/${TagKey}

UntagResource Otorga permiso para desasociar una o varias etiquetas del recurso de AppStream 2.0 especificado. Etiquetado

app-block

application

fleet

image

image-builder

stack

aws:TagKeys

UpdateApplication Otorga permiso para actualizar los campos especificados en la aplicación especificada. Escritura

application*

app-block

aws:ResourceTag/${TagKey}

UpdateDirectoryConfig Otorga permiso para actualizar el objeto Directory Config especificado en AppStream 2.0. Este objeto incluye la información de configuración necesaria para unir constructores de imágenes y flotas a dominios de Microsoft Active Directory. Escritura
UpdateEntitlement Otorga permiso para actualizar los campos especificados para la concesión de derechos especificada Escritura

stack*

UpdateFleet Otorga permiso para actualizar la flota especificada. Cuando la flota se encuentra en el estado STOPPED (DETENIDO), se pueden actualizar todos los atributos, excepto el nombre de la flota. Write

fleet*

image

aws:ResourceTag/${TagKey}

UpdateImagePermissions Otorga permiso para agregar o actualizar permisos en la imagen privada especificada. Write

image*

aws:ResourceTag/${TagKey}

UpdateStack Otorga permiso para actualizar los campos especificados en la pila especificada. Write

stack*

aws:ResourceTag/${TagKey}

Tipos de recurso definidos por Amazon AppStream 2.0

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
fleet arn:${Partition}:appstream:${Region}:${Account}:fleet/${FleetName}

aws:ResourceTag/${TagKey}

image arn:${Partition}:appstream:${Region}:${Account}:image/${ImageName}

aws:ResourceTag/${TagKey}

image-builder arn:${Partition}:appstream:${Region}:${Account}:image-builder/${ImageBuilderName}

aws:ResourceTag/${TagKey}

stack arn:${Partition}:appstream:${Region}:${Account}:stack/${StackName}

aws:ResourceTag/${TagKey}

app-block arn:${Partition}:appstream:${Region}:${Account}:app-block/${AppBlockName}

aws:ResourceTag/${TagKey}

application arn:${Partition}:appstream:${Region}:${Account}:application/${ApplicationName}

aws:ResourceTag/${TagKey}

Claves de condición de Amazon AppStream 2.0

Amazon AppStream 2.0 define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
appstream:userId Filtra el acceso por el ID del usuario de AppStream 2.0. Cadena
aws:RequestTag/${TagKey} Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud ArrayOfString