Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Service Catalog
AWS Service Catalog (préfixe de service : servicecatalog) fournit les ressources, les actions et les clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS Service Catalog
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AcceptPortfolioShare | Accorde l'autorisation d'accepter un portefeuille qui a été partagé avec vous | Écriture | |||
| AssociateAttributeGroup | Accorde l'autorisation d'associer un groupe d'attributs à une application | Écriture | |||
| AssociateBudgetWithResource | Accorde l'autorisation d'associer un budget à une ressource | Écriture | |||
| AssociatePrincipalWithPortfolio | Accorde l'autorisation d'associer un principal IAM à un portefeuille, ce qui donne au principal spécifié l'accès à tous les produits associés au portefeuille indiqué | Écriture | |||
| AssociateProductWithPortfolio | Accorde l'autorisation d'associer un produit à un portefeuille | Écriture | |||
| AssociateResource | Accorde l'autorisation d'associer une ressource à une application | Écriture |
cloudformation:DescribeStacks resource-groups:CreateGroup resource-groups:GetGroup resource-groups:Tag |
||
| AssociateServiceActionWithProvisioningArtifact | Accorde l'autorisation d'associer une action à un artefact de provisionnement | Écriture | |||
| AssociateTagOptionWithResource | Accorde l'autorisation d'associer l'option TagOption spécifiée au portefeuille ou au produit indiqué | Écriture | |||
| BatchAssociateServiceActionWithProvisioningArtifact | Accorde l'autorisation d'associer plusieurs actions en libre-service à des artefacts de provisionnement | Écriture | |||
| BatchDisassociateServiceActionFromProvisioningArtifact | Accorde l'autorisation de dissocier un lot d'actions en libre-service de l'artefact de provisionnement spécifié | Écriture | |||
| CopyProduct | Accorde l'autorisation de copier le produit source spécifié dans le produit cible indiqué ou dans un nouveau produit | Écriture | |||
| CreateApplication | Accorde l'autorisation de créer une application | Écriture |
iam:CreateServiceLinkedRole |
||
| CreateAttributeGroup | Accorde l'autorisation de créer un groupe d'attributs | Écriture | |||
| CreateConstraint | Accorde l'autorisation de créer une contrainte sur un produit et un portefeuille associés | Écriture | |||
| CreatePortfolio | Accorde l'autorisation de créer un portefeuille | Écriture | |||
| CreatePortfolioShare | Accorde l'autorisation de partager un portefeuille que vous possédez avec un autre Compte AWS | Gestion des autorisations | |||
| CreateProduct | Accorde l'autorisation de créer un produit et le premier artefact de provisionnement de ce produit | Écriture | |||
| CreateProvisionedProductPlan | Accorde l'autorisation d'ajouter un nouveau plan de produit provisionné | Écriture | |||
| CreateProvisioningArtifact | Accorde l'autorisation d'ajouter un nouvel artefact de provisionnement à un produit existant | Écriture | |||
| CreateServiceAction | Accorde l'autorisation de créer une action en libre-service | Écriture | |||
| CreateTagOption | Accorde l'autorisation de créer une option TagOption | Écriture | |||
| DeleteApplication | Accorde l'autorisation de supprimer une application si toutes les associations ont été supprimées de celle-ci | Écriture | |||
| DeleteAttributeGroup | Accorde l'autorisation de supprimer un groupe d'attributs si toutes les associations ont été supprimées de celui-ci | Écriture | |||
| DeleteConstraint | Accorde l'autorisation de supprimer une contrainte existante d'un produit et d'un portefeuille associés | Écriture | |||
| DeletePortfolio | Accorde l'autorisation de supprimer un portefeuille si toutes les associations et tous les partages ont été éliminés du portefeuille | Écriture | |||
| DeletePortfolioShare | Accorde l'autorisation d'annuler le partage d'un portefeuille que vous possédez à partir d'un Compte AWS avec lequel vous avez partagé le portefeuille précédemment | Gestion des autorisations | |||
| DeleteProduct | Accorde l'autorisation de supprimer un produit si toutes les associations ont été supprimées de celui-ci | Écriture | |||
| DeleteProvisionedProductPlan | Accorde l'autorisation de supprimer un plan de produit provisionné | Écriture | |||
| DeleteProvisioningArtifact | Accorde l'autorisation de supprimer un artefact de provisionnement d'un produit | Écriture | |||
| DeleteServiceAction | Accorde l'autorisation de supprimer une action en libre-service | Écriture | |||
| DeleteTagOption | Accorde l'autorisation de supprimer l'option TagOption spécifiée | Écriture | |||
| DescribeConstraint | Accorde l'autorisation de décrire une contrainte | Lecture | |||
| DescribeCopyProductStatus | Accorde l'autorisation d'obtenir le statut de l'opération de copie spécifiée | Lecture | |||
| DescribePortfolio | Accorde l'autorisation de décrire un portefeuille | Lecture | |||
| DescribePortfolioShareStatus | Accorde l'autorisation d'obtenir le statut de l'opération de partage de portefeuille spécifiée | Lecture | |||
| DescribePortfolioShares | Accorde l'autorisation d'afficher un résumé de chacun des partages de portefeuille créés pour le portefeuille spécifié | Liste | |||
| DescribeProduct | Accorde l'autorisation de décrire un produit en tant qu'utilisateur final | Lecture | |||
| DescribeProductAsAdmin | Accorde l'autorisation de décrire un produit en tant qu'administrateur | Lecture | |||
| DescribeProductView | Accorde l'autorisation de décrire un produit en tant qu'utilisateur final | Lecture | |||
| DescribeProvisionedProduct | Accorde l'autorisation de décrire un produit provisionné | Lecture | |||
| DescribeProvisionedProductPlan | Accorde l'autorisation de décrire un plan de produit provisionné | Lecture | |||
| DescribeProvisioningArtifact | Accorde l'autorisation de décrire un artefact de provisionnement | Lecture | |||
| DescribeProvisioningParameters | Accorde l'autorisation de décrire les paramètres à spécifier pour réussir la mise en service d'un artefact de provisionnement spécifié | Lecture | |||
| DescribeRecord | Accorde l'autorisation de décrire un enregistrement et répertorie les sorties | Lecture | |||
| DescribeServiceAction | Accorde l'autorisation de décrire une action en libre-service | Lecture | |||
| DescribeServiceActionExecutionParameters | Accorde l'autorisation d'obtenir les paramètres par défaut si vous avez exécuté l'action de service spécifiée sur le produit provisionné spécifié | Lecture | |||
| DescribeTagOption | Accorde l'autorisation d'obtenir des informations sur l'option TagOption spécifiée | Lecture | |||
| DisableAWSOrganizationsAccess | Accorde l'autorisation de désactiver le partage de portefeuille via la fonction AWS Organizations | Écriture | |||
| DisassociateAttributeGroup | Accorde l'autorisation de dissocier un groupe d'attributs d'une application | Écriture | |||
| DisassociateBudgetFromResource | Accorde l'autorisation de dissocier un budget d'une ressource | Écriture | |||
| DisassociatePrincipalFromPortfolio | Accorde l'autorisation de dissocier un principal IAM d'un portefeuille | Écriture | |||
| DisassociateProductFromPortfolio | Accorde l'autorisation de dissocier un produit d'un portefeuille | Écriture | |||
| DisassociateResource | Accorde l'autorisation de dissocier une ressource d'une application. | Écriture |
resource-groups:DeleteGroup |
||
| DisassociateServiceActionFromProvisioningArtifact | Accorde l'autorisation de dissocier l'association d'actions en libre-service spécifiée de l'artefact de provisionnement indiqué | Écriture | |||
| DisassociateTagOptionFromResource | Accorde l'autorisation de dissocier l'option TagOption spécifiée de la ressource spécifiée | Écriture | |||
| EnableAWSOrganizationsAccess | Accorde l'autorisation d'activer la fonction de partage de portefeuille via AWS Organizations | Écriture | |||
| ExecuteProvisionedProductPlan | Accorde l'autorisation d'exécuter un plan de produit provisionné | Écriture | |||
| ExecuteProvisionedProductServiceAction | Accorde l'autorisation d'exécuter un plan de produit provisionné | Écriture | |||
| GetAWSOrganizationsAccessStatus | Accorde l'autorisation d'obtenir le statut d'accès de la fonction de partage de portefeuille AWS Organizations | Lecture | |||
| GetApplication | Accorde l'autorisation d'obtenir une application | Read | |||
| GetAssociatedResource | Accorde l'autorisation d'obtenir des informations sur une ressource associée à une application | Read | |||
| GetAttributeGroup | Accorde l'autorisation d'obtenir un groupe d'attributs | Lire | |||
| GetConfiguration | Accorde l'autorisation de lire les configurations d'AppRegistry | Lire | |||
| GetProvisionedProductOutputs | Accorde l'autorisation d'obtenir la sortie du produit provisionné avec l'ID ou le nom de celui-ci | Lecture | |||
| ImportAsProvisionedProduct | Accorde l'autorisation d'importer une ressource dans un produit provisionné | Écriture | |||
| ListAcceptedPortfolioShares | Accorde l'autorisation de répertorier les portefeuilles qui ont été partagés avec vous et que vous avez acceptés | Liste | |||
| ListApplications | Accorde l'autorisation de répertorier vos applications | Liste | |||
| ListAssociatedAttributeGroups | Accorde l'autorisation de répertorier les groupes d'attributs associés à une application | Liste | |||
| ListAssociatedResources | Accorde l'autorisation de répertorier les ressources associées à une application | Liste | |||
| ListAttributeGroups | Accorde l'autorisation de répertorier vos groupes d'attributs | Liste | |||
| ListAttributeGroupsForApplication | Accorde l'autorisation de répertorier les groupes d'attributs associés pour une application donnée | Liste | |||
| ListBudgetsForResource | Accorde l'autorisation de répertorier tous les budgets associés à une ressource | Liste | |||
| ListConstraintsForPortfolio | Accorde l'autorisation de répertorier les contraintes associées à un portefeuille donné | Liste | |||
| ListLaunchPaths | Accorde l'autorisation de répertorier les différentes façons de lancer un produit donné en tant qu'utilisateur final | Liste | |||
| ListOrganizationPortfolioAccess | Accorde l'autorisation de répertorier les nœuds d'organisation qui ont accès au portefeuille spécifié | Liste | |||
| ListPortfolioAccess | Accorde l'autorisation de répertorier les comptes AWS avec lesquels vous avez partagé un portefeuille donné | Liste | |||
| ListPortfolios | Accorde l'autorisation de répertorier les portefeuilles de votre compte | Liste | |||
| ListPortfoliosForProduct | Accorde l'autorisation de répertorier les portefeuilles associés à un produit donné | Liste | |||
| ListPrincipalsForPortfolio | Accorde l'autorisation de répertorier les mandataires IAM associés à un portefeuille donné | Liste | |||
| ListProvisionedProductPlans | Accorde l'autorisation de répertorier les plans de produits provisionnés | Liste | |||
| ListProvisioningArtifacts | Accorde l'autorisation de répertorier les artefacts de provisionnement associés à un produit donné | Liste | |||
| ListProvisioningArtifactsForServiceAction | Accorde l'autorisation de répertorier tous les artefacts de provisionnement pour l'action en libre-service spécifiée | Liste | |||
| ListRecordHistory | Accorde l'autorisation de répertorier tous les enregistrements de votre compte ou tous les enregistrements liés à un produit provisionné donné | Liste | |||
| ListResourcesForTagOption | Accorde l'autorisation de répertorier les ressources associées à l'option TagOption spécifiée | Liste | |||
| ListServiceActions | Accorde l'autorisation de répertorier toutes les actions en libre-service | Liste | |||
| ListServiceActionsForProvisioningArtifact | Accorde l'autorisation de répertorier toutes les actions de service associées à l'artefact de provisionnement spécifié dans votre compte | Liste | |||
| ListStackInstancesForProvisionedProduct | Accorde l'autorisation de répertorier le compte, la région et le statut de chaque instance de pile qui sont associés à un produit provisionné de type CFN_STACKSET | Liste | |||
| ListTagOptions | Accorde l'autorisation de répertorier toutes les options TagOptions ou celles spécifiées | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les balises d'une ressource appregistry de catalogue de services | Lire | |||
| NotifyProvisionProductEngineWorkflowResult | Accorde l'autorisation de notifier le résultat de l'exécution du moteur de provisionnement | Écrire | |||
| NotifyTerminateProvisionedProductEngineWorkflowResult | Accorde l'autorisation de notifier le résultat de l'exécution du moteur de terminaison | Écrire | |||
| NotifyUpdateProvisionedProductEngineWorkflowResult | Accorde l'autorisation de notifier le résultat de l'exécution du moteur de mise à jour | Écrire | |||
| ProvisionProduct | Accorde l'autorisation de provisionner un produit avec un artefact de provisionnement spécifié et des paramètres de lancement | Écrire | |||
| PutConfiguration | Accorde l'autorisation d'affecter les configurations d'AppRegistry | Écrire | |||
| RejectPortfolioShare | Accorde l'autorisation de rejeter un portefeuille qui a été partagé avec vous et que vous avez précédemment accepté | Écriture | |||
| ScanProvisionedProducts | Accorde l'autorisation de répertorier tous les produits provisionnés dans votre compte | Liste | |||
| SearchProducts | Accorde l'autorisation de mettre en vente les produits mis à votre disposition en tant qu'utilisateur final | Liste | |||
| SearchProductsAsAdmin | Accorde l'autorisation de répertorier tous les produits de votre compte ou tous les produits associés à un portefeuille donné | Liste | |||
| SearchProvisionedProducts | Accorde l'autorisation de répertorier tous les produits provisionnés dans votre compte | Liste | |||
| SyncResource | Accorde l'autorisation de synchroniser une ressource avec son état actuel dans AppRegistry | Écriture |
cloudformation:UpdateStack |
||
| TagResource | Accorde l'autorisation de baliser une ressource appregistry de catalogue de service | Balisage | |||
| TerminateProvisionedProduct | Accorde l'autorisation de résilier un produit provisionné existant | Écriture | |||
| UntagResource | Accorde l'autorisation de supprimer une balise d'une ressource appregistry de catalogue de service | Balisage | |||
| UpdateApplication | Accorde l'autorisation de mettre à jour les attributs d'une application existante | Écriture |
iam:CreateServiceLinkedRole |
||
| UpdateAttributeGroup | Accorde l'autorisation de mettre à jour les attributs d'un groupe d'attributs existant | Écriture | |||
| UpdateConstraint | Accorde l'autorisation de mettre à jour les champs de métadonnées d'une contrainte existante | Écriture | |||
| UpdatePortfolio | Accorde l'autorisation de mettre à jour les champs de métadonnées et/ou les balises d'un portefeuille existant | Écriture | |||
| UpdatePortfolioShare | Accorde l'autorisation d'activer ou de désactiver le partage de ressources pour un partage de portefeuille existant | Gestion des autorisations | |||
| UpdateProduct | Accorde l'autorisation de mettre à jour les champs de métadonnées et/ou les balises d'un produit existant | Écriture | |||
| UpdateProvisionedProduct | Accorde l'autorisation de mettre à jour un produit provisionné existant | Écriture | |||
| UpdateProvisionedProductProperties | Accorde l'autorisation de mettre à jour les propriétés d'un produit provisionné existant | Écriture | |||
| UpdateProvisioningArtifact | Accorde l'autorisation de mettre à jour les champs de métadonnées d'un artefact de provisionnement existant | Écriture | |||
| UpdateServiceAction | Accorde l'autorisation de mettre à jour une action en libre-service | Écriture | |||
| UpdateTagOption | Accorde l'autorisation de mettre à jour l'option TagOption spécifiée | Écriture |
Types de ressources définis par AWS Service Catalog
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| Application |
arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}
|
|
| AttributeGroup |
arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}
|
|
| Portfolio |
arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}
|
|
| Product |
arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}
|
Clés de condition pour AWS Service Catalog
AWS Service Catalog définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
Note
Pour obtenir des exemples de politiques qui expliquent comment ces clés de condition peuvent être utilisées dans une politique IAM, consultez Exemples de politiques d'accès pour la gestion des produits provisionnés dans le Guide de l'administrateur .
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la présence de paires clé-valeur d'identification dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource. | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de la présence de clés d'identification dans la demande | ArrayOfString |
| servicecatalog:Resource | Filtre l'accès en contrôlant la valeur qui peut être spécifiée en tant que paramètre Resource dans une API de ressources d'association AppRegistry | Chaîne |
| servicecatalog:ResourceType | Filtre l'accès en contrôlant la valeur qui peut être spécifiée en tant que paramètre ResourceType dans une API de ressources d'association AppRegistry | Chaîne |
| servicecatalog:accountLevel | Filtre l'accès par utilisateur pour afficher et effectuer des actions sur les ressources créées par n'importe quel utilisateur du compte | Chaîne |
| servicecatalog:roleLevel | Filtre l'accès par utilisateur pour afficher et effectuer des actions sur les ressources créées par eux ou n'importe quel utilisateur endossant le même rôle qu'eux | Chaîne |
| servicecatalog:userLevel | Filtre l'accès par utilisateur pour afficher et effectuer des actions uniquement sur les ressources qu'ils ont créées | Chaîne |
