Acciones, recursos y claves de condición para AWS AppSync - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS AppSync

AWS AppSync (prefijo de servicio: appsync) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para usarse en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS AppSync

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateApi Otorga permiso para adjuntar una API de GraphQL a un nombre de dominio personalizado en AppSync Escritura

domain*

CreateApiCache Otorga permiso para crear una caché API en AppSync Escritura
CreateApiKey Otorga permiso para crear una clave única que puede distribuir a los clientes que están ejecutando su API Escritura
CreateDataSource Concede permiso para crear un origen de datos Escritura
CreateDomainName Otorga permiso para crear un nombre de dominio personalizado en AppSync Escritura
CreateFunction Otorga permiso para crear una nueva función Escritura
CreateGraphqlApi Otorga permiso para crear una API de GraphQL, que es el recurso de AppSync de nivel superior Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

CreateResolver Otorga permiso para crear un solucionador. Un solucionador convierte las solicitudes entrantes a un formato que un origen de datos pueda comprender y convierte las respuestas del origen de datos en GraphQL Escritura
CreateType Otorga permiso para crear un nuevo tipo Escritura
DeleteApiCache Otorga permiso para eliminar una caché de API en AppSync Escritura
DeleteApiKey Otorga permiso para eliminar una clave API Escritura
DeleteDataSource Concede permiso para eliminar un origen de datos Escritura
DeleteDomainName Otorga permiso para eliminar un nombre de dominio personalizado en AppSync Escritura

domain*

DeleteFunction Otorga permiso para eliminar una función Escritura
DeleteGraphqlApi Otorga permiso para eliminar una API de GraphQL. Esto también limpiará cada recurso de AppSync por debajo de dicha API Escritura

graphqlapi*

aws:ResourceTag/${TagKey}

DeleteResolver Otorga permiso para eliminar un solucionador. Escritura
DeleteType Otorga permiso para eliminar un tipo Escritura
DisassociateApi Otorga permiso para separar una API de GraphQL a un nombre de dominio personalizado en AppSync Escritura

domain*

EvaluateMappingTemplate Otorga permiso para evaluar la asignación de plantillas Lectura
FlushApiCache Otorga permiso para vaciar una caché de API en AppSync Escritura
GetApiAssociation Otorga permiso para leer un nombre de dominio personalizado: detalles de asociación de API de GraphQL en AppSync Lectura

domain*

GetApiCache Otorga permiso para leer información sobre una caché de API en AppSync Lectura
GetDataSource Otorga permiso para recuperar un origen de datos Lectura
GetDomainName Otorga permiso para leer información sobre un nombre de dominio personalizado en AppSync Lectura

domain*

GetFunction Otorga permiso para recuperar una función Lectura
GetGraphqlApi Otorga permiso para recuperar una API de GraphQL Lectura

graphqlapi*

aws:ResourceTag/${TagKey}

GetIntrospectionSchema Otorga permisos para recuperar el esquema de introspección para una API de GraphQL Lectura
GetResolver Otorga permiso para recuperar un solucionador Lectura
GetSchemaCreationStatus Otorga permiso para recuperar el estado actual de una operación de creación de esquema Lectura
GetType Otorga permiso para recuperar un tipo Lectura
GraphQL Otorga permiso para enviar una consulta GraphQL a una API de GraphQL Escritura

field*

graphqlapi*

ListApiKeys Otorga permiso para enumerar las claves API de una API determinada List
ListDataSources Otorga permiso para enumerar los orígenes de datos de una API determinada List
ListDomainNames Otorga permiso para enumerar nombres de dominio personalizados en AppSync List
ListFunctions Otorga permiso para enumerar las funciones de una API determinada List
ListGraphqlApis Otorga permiso para enumerar sus API de GraphQL List
ListResolvers Otorga permiso para enumerar los solucionadores de una API y un tipo determinados List
ListResolversByFunction Otorga permiso para enumerar los solucionadores asociados a una función específica List
ListTagsForResource Concede permiso para enumerar las etiquetas de un recurso Lectura

graphqlapi

aws:ResourceTag/${TagKey}

ListTypes Otorga permiso para enumerar los tipos de una API determinada List
SetWebACL Otorga permiso para establecer una ACL web Escritura
StartSchemaCreation Otorga permiso para agregar un nuevo esquema a la API GraphQL. Esta operación es asíncrona: GetSchemaCreationStatus puede mostrar cuándo se ha completado Escritura
TagResource Concede permiso para etiquetar un recurso Etiquetado

graphqlapi*

graphqlapi

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

UntagResource Concede permiso para eliminar etiquetas en un recurso Etiquetado

graphqlapi*

graphqlapi

aws:TagKeys

UpdateApiCache Otorga permiso para actualizar una caché de API en AppSync Escritura
UpdateApiKey Otorga permiso para actualizar una clave API para una API determinada Escritura
UpdateDataSource Concede permiso para actualizar un origen de datos Escritura
UpdateDomainName Otorga permiso para actualizar un nombre de dominio personalizado en AppSync Escritura

domain*

UpdateFunction Otorga permiso para actualizar una función existente Escritura
UpdateGraphqlApi Otorga permiso para actualizar una API de GraphQL Escritura

graphqlapi*

iam:CreateServiceLinkedRole

aws:ResourceTag/${TagKey}

UpdateResolver Otorga permiso para actualizar un solucionador. Escritura
UpdateType Otorga permiso para actualizar un tipo Escritura

Tipos de recursos definidos por AWS AppSync

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
datasource arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/datasources/${DatasourceName}
domain arn:${Partition}:appsync:${Region}:${Account}:domainnames/${DomainName}
graphqlapi arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}

aws:ResourceTag/${TagKey}

field arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/types/${TypeName}/fields/${FieldName}
type arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/types/${TypeName}
function arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/functions/${FunctionId}

Claves de condición para AWS AppSync

AWS AppSync define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por los pares clave-valor de la etiqueta en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud ArrayOfString