Acciones, recursos y claves de condición para AWS Service Catalog - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS Service Catalog

AWS Service Catalog (prefijo de servicio: servicecatalog) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para usarse en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Service Catalog

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AcceptPortfolioShare Otorga permiso para aceptar una cartera que se ha compartido con usted Write

Portfolio*

AssociateAttributeGroup Concede el permiso para asociar un grupo de atributos a una aplicación Write

Application*

AttributeGroup*

AssociateBudgetWithResource Otorga permiso para asociar un presupuesto a un recurso Write
AssociatePrincipalWithPortfolio Otorga permiso para asociar una entidad principal de IAM con una cartera, lo que da acceso al principal especificado a los productos que estén asociados a la cartera especificada Write

Portfolio*

AssociateProductWithPortfolio Otorga permiso para asociar un producto a una cartera Write
AssociateResource Concede el permiso para asociar un recurso con una aplicación Write

Application*

cloudformation:DescribeStacks

AssociateServiceActionWithProvisioningArtifact Otorga permiso para asociar una acción con un artefacto de aprovisionamiento Write

Product*

AssociateTagOptionWithResource Otorga permiso para asociar la TagOption especificada a la cartera o el producto especificado Write

Portfolio

Product

BatchAssociateServiceActionWithProvisioningArtifact Otorga permiso para asociar varias acciones de autoservicio con artefactos de aprovisionamiento Write
BatchDisassociateServiceActionFromProvisioningArtifact Otorga permiso para disociar un lote de acciones de autoservicio del artefacto de aprovisionamiento especificado Write
CopyProduct Otorga permiso para copiar el producto de origen especificado en el producto de destino especificado o un nuevo producto Write
CreateApplication Otorga permiso para crear una aplicación. Write

Application*

iam:CreateServiceLinkedRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAttributeGroup Concede el permiso para crear un grupo de atributos Write

AttributeGroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConstraint Otorga permiso para crear una restricción en un producto y cartera asociados Write

Product*

CreatePortfolio Otorga permiso para crear una cartera Write

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePortfolioShare Otorga permiso para compartir una cartera de su propiedad con otra Cuenta de AWS Permissions management

Portfolio*

CreateProduct Otorga permiso para crear un producto y el primer artefacto de aprovisionamiento de ese producto Write

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProvisionedProductPlan Otorga permiso para agregar un nuevo plan de producto aprovisionado Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

CreateProvisioningArtifact Otorga permiso para agregar un nuevo artefacto de aprovisionamiento a un producto existente Write

Product*

CreateServiceAction Otorga permiso para crear una acción de autoservicio Write
CreateTagOption Otorga permiso para crear una TagOption Write
DeleteApplication Concede el permiso para eliminar una aplicación si se han quitado todas las asociaciones de la aplicación Write

Application*

DeleteAttributeGroup Concede el permiso para eliminar un grupo de atributos si se han quitado todas las asociaciones del grupo de atributos Write

AttributeGroup*

DeleteConstraint Otorga permiso para quitar y eliminar una restricción existente de un producto y cartera asociados Write
DeletePortfolio Otorga permiso para eliminar una cartera si todas las asociaciones y usos compartidos se han quitado de la cartera Write

Portfolio*

DeletePortfolioShare Otorga permiso para dejar de compartir una cartera de su propiedad con una Cuenta de AWS con la que compartió previamente la cartera. Permissions management

Portfolio*

DeleteProduct Otorga permiso para eliminar un producto si se han eliminado todas las asociaciones del producto Write

Product*

DeleteProvisionedProductPlan Otorga permiso para eliminar un plan de producto aprovisionado Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DeleteProvisioningArtifact Otorga permiso para eliminar un artefacto de aprovisionamiento de un producto Write

Product*

DeleteServiceAction Otorga permiso para eliminar una acción de autoservicio Write
DeleteTagOption Otorga permiso para eliminar la TagOption especificada Write
DescribeConstraint Otorga permiso para describir una restricción Read
DescribeCopyProductStatus Otorga permiso para obtener el estado de la operación del producto de copia especificada Read
DescribePortfolio Otorga permiso para describir una cartera Read

Portfolio*

DescribePortfolioShareStatus Otorga permiso para obtener el estado de la operación de participación de la cartera especificada Read
DescribePortfolioShares Otorga permiso para ver un resumen de cada una de las acciones de cartera que se crearon para la cartera especificada List

Portfolio*

DescribeProduct Otorga permiso para describir un producto como usuario final Read

Product*

DescribeProductAsAdmin Otorga permiso para describir un producto como administrador Read

Product*

DescribeProductView Otorga permiso para describir un producto como usuario final Read
DescribeProvisionedProduct Otorga permiso para describir un producto aprovisionado Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisionedProductPlan Otorga permiso para describir un plan de producto aprovisionado Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisioningArtifact Otorga permiso para describir un artefacto de aprovisionamiento Read

Product*

DescribeProvisioningParameters Otorga permiso para describir los parámetros que debe especificar para aprovisionar correctamente un artefacto de aprovisionamiento especificado Read

Product*

DescribeRecord Otorga permiso para describir un registro y enumera las salidas Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeServiceAction Otorga permiso para describir una acción de autoservicio Read
DescribeServiceActionExecutionParameters Otorga permiso para obtener los parámetros predeterminados si ejecutó la acción de servicio especificada en el producto aprovisionado especificado Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeTagOption Otorga permiso para obtener información acerca de la TagOption especificada Read
DisableAWSOrganizationsAccess Otorga permiso para desactivar el uso compartido de carteras mediante la función de AWS Organizations. Write
DisassociateAttributeGroup Concede el permiso para desasociar un grupo de atributos de una aplicación Write

Application*

AttributeGroup*

DisassociateBudgetFromResource Otorga permiso para disociar un presupuesto de un recurso Write
DisassociatePrincipalFromPortfolio Otorga permiso para disociar una entidad principal de IAM de una cartera Write

Portfolio*

DisassociateProductFromPortfolio Otorga permiso para disociar un producto de una cartera Write
DisassociateResource Concede el permiso para desasociar un recurso de una aplicación Write

Application*

DisassociateServiceActionFromProvisioningArtifact Otorga permiso para eliminar la asociación de una acción de autoservicio especificada del artefacto de aprovisionamiento especificado Write

Product*

DisassociateTagOptionFromResource Otorga permiso para disociar la TagOption especificada del recurso especificado Write

Portfolio

Product

EnableAWSOrganizationsAccess Otorga permiso para habilitar la función de uso compartido de carteras a través de AWS Organizations. Write
ExecuteProvisionedProductPlan Otorga permiso para ejecutar un plan de producto aprovisionado Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ExecuteProvisionedProductServiceAction Otorga permiso para ejecutar un plan de producto aprovisionado Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

GetAWSOrganizationsAccessStatus Otorga permiso para obtener el estado de acceso de la función de uso compartido de la cartera de AWS Organization. Read
GetApplication Concede el permiso para obtener una aplicación Read

Application*

GetAssociatedResource Otorga permiso para obtener información sobre un recurso asociado a una aplicación Read

Application*

GetAttributeGroup Concede el permiso para obtener un grupo de atributos Read

AttributeGroup*

GetProvisionedProductOutputs Otorga permiso para obtener la salida del producto aprovisionado con el identificador del producto aprovisionado o el nombre Read
ImportAsProvisionedProduct Concede el permiso para importar un recurso a un producto aprovisionado Write

Product*

ListAcceptedPortfolioShares Otorga permiso para enumerar las carteras que se han compartido con usted y que ha aceptado List
ListApplications Otorga permiso para enumerar sus aplicaciones List
ListAssociatedAttributeGroups Concede el permiso para enumerar los grupos de atributos asociados a una aplicación List

Application*

ListAssociatedResources Concede el permiso para enumerar los recursos asociados a una aplicación List

Application*

ListAttributeGroups Otorga permiso para enumerar sus grupos de atributos List
ListAttributeGroupsForApplication Otorga permiso para enumerar los grupos de atributos asociados a una aplicación específica List

Application*

ListBudgetsForResource Otorga permiso para enumerar todos los presupuestos asociados a un recurso List
ListConstraintsForPortfolio Otorga permiso para enumerar las restricciones asociadas a una cartera determinada List
ListLaunchPaths Otorga permiso para enumerar las diferentes formas de lanzar un producto determinado como usuario final List

Product*

ListOrganizationPortfolioAccess Otorga permiso para enumerar los nodos de la organización que tienen acceso a la cartera especificada List
ListPortfolioAccess Otorga permiso para enumerar las cuentas de AWS con las que ha compartido una cartera determinada. List

Portfolio*

ListPortfolios Otorga permiso para publicar las carteras en su cuenta List
ListPortfoliosForProduct Otorga permiso para enumerar las carteras asociadas a un producto determinado List

Product*

ListPrincipalsForPortfolio Otorga permiso para enumerar los principales de IAM asociados a una cartera determinada List

Portfolio*

ListProvisionedProductPlans Otorga permiso para publicar los planes de productos aprovisionados List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListProvisioningArtifacts Otorga permiso para enumerar los artefactos de aprovisionamiento asociados a un producto determinado List

Product*

ListProvisioningArtifactsForServiceAction Otorga permiso para enumerar todos los artefactos de aprovisionamiento para la acción de autoservicio especificada List
ListRecordHistory Otorga permiso para mostrar todos los registros en su cuenta o todos los registros relacionados con un determinado producto aprovisionado List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListResourcesForTagOption Otorga permiso para enumerar los recursos asociados a la TagOption especificada List
ListServiceActions Otorga permiso para enumerar todas las acciones de autoservicio List
ListServiceActionsForProvisioningArtifact Otorga permiso para enumerar todas las acciones de servicio asociadas al artefacto de aprovisionamiento especificado en su cuenta List

Product*

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListStackInstancesForProvisionedProduct Otorga permiso para enumerar la cuenta, la región y el estado de cada instancia de pila asociada a un producto aprovisionado de tipo CFN_STACKSET List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListTagOptions Otorga permiso para enumerar las opciones de etiquetas especificadas o todas las opciones de etiquetas List
ListTagsForResource Concede el permiso para enumerar las etiquetas de un recurso de información de catálogo de servicios Read

Application

AttributeGroup

ProvisionProduct Otorga permiso para aprovisionar un producto con un artefacto de aprovisionamiento especificado y parámetros de lanzamiento Write

Product*

RejectPortfolioShare Otorga permiso para rechazar una cartera que se haya compartido con usted y que haya aceptado previamente Write

Portfolio*

ScanProvisionedProducts Otorga permiso para publicar todos los productos aprovisionados en su cuenta List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SearchProducts Otorga permiso para publicar los productos disponibles para usted como usuario final List
SearchProductsAsAdmin Otorga permiso para enumerar todos los productos de su cuenta o todos los productos asociados a una determinada cartera List
SearchProvisionedProducts Otorga permiso para publicar todos los productos aprovisionados en su cuenta List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SyncResource Concede el permiso para sincronizar un recurso con su estado actual en AppRegistry Write

cloudformation:UpdateStack

TagResource Concede el permiso para etiquetar un recurso de Service Catalog AppRegistry Etiquetado

Application

AttributeGroup

aws:TagKeys

aws:RequestTag/${TagKey}

TerminateProvisionedProduct Otorga permiso para finalizar un producto aprovisionado existente Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UntagResource Concede el permiso para quitar una etiqueta de un recurso de Service Catalog AppRegistry Etiquetado

Application

AttributeGroup

aws:TagKeys

aws:RequestTag/${TagKey}

UpdateApplication Concede el permiso para actualizar los atributos de una aplicación existente Write

Application*

iam:CreateServiceLinkedRole

UpdateAttributeGroup Concede el permiso para actualizar los atributos de un grupo de atributos existente Write

AttributeGroup*

UpdateConstraint Otorga permiso para actualizar los campos de metadatos de una restricción existente Write
UpdatePortfolio Otorga permiso para actualizar los campos de metadatos o etiquetas de una cartera existente Write

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdatePortfolioShare Otorga permiso para habilitar o desactivar el uso compartido de recursos para un recurso compartido de cartera existente Permissions management

Portfolio*

UpdateProduct Otorga permiso para actualizar los campos de metadatos o etiquetas de un producto existente Write

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateProvisionedProduct Otorga permiso para actualizar un producto aprovisionado existente Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UpdateProvisionedProductProperties Otorga permiso para actualizar las propiedades de un producto aprovisionado existente Write
UpdateProvisioningArtifact Otorga permiso para actualizar los campos de metadatos de un artefacto de aprovisionamiento existente Write

Product*

UpdateServiceAction Otorga permiso para actualizar una acción de autoservicio Write
UpdateTagOption Otorga permiso para actualizar la TagOption especificada. Write

Tipos de recursos definidos por AWS Service Catalog

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
Application arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}

aws:ResourceTag/${TagKey}

AttributeGroup arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}

aws:ResourceTag/${TagKey}

Portfolio arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}

aws:ResourceTag/${TagKey}

Product arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}

aws:ResourceTag/${TagKey}

Claves de condición para AWS Service Catalog

AWS Service Catalog efine las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

nota

Para acceder a ejemplos de políticas que muestran cómo pueden utilizarse estas claves de condición en una política de IAM, consulte Example Access Policies for Provisioned Product Management (Ejemplos de políticas para administrar productos aprovisionados) en la guía del administrador de AWS Service Catalog.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud ArrayOfString
servicecatalog:accountLevel Filtra el acceso mediante usuarios para ver y realizar acciones en recursos creados por cualquier persona en la cuenta. Cadena
servicecatalog:roleLevel Filtra el acceso mediante usuarios para ver y realizar acciones en recursos creados por ellos o por cualquier persona federada en la misma función que ellos. Cadena
servicecatalog:userLevel Filtra el acceso mediante usuarios para ver y realizar acciones solo en recursos que ellos han creado. Cadena