AWS politiques gérées pour AWS Service Catalog AppRegistry - AWS Service Catalog
AWSServiceCatalogAdminFullAccessAWSServiceCatalogAdminReadOnlyAccessAWSServiceCatalogEndUserFullAccessAWSServiceCatalogEndUserReadOnlyAccessAWSServiceCatalogSyncServiceRolePolicyAWSServiceCatalogOrgsDataSyncServiceRolePolicyPolitiques déconseilléesMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS Service Catalog AppRegistry

AWS politique gérée : AWSServiceCatalogAdminFullAccess

Vous pouvez les associer AWSServiceCatalogAdminFullAccess à vos entités IAM. AppRegistry associe également cette politique à un rôle de service qui permet AppRegistry d'effectuer des actions en votre nom.

Cette politique accorde des autorisations administratives qui permettent un accès complet à la vue de la console de l'administrateur et accorde l'autorisation de créer et de gérer des produits et des portefeuilles.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • servicecatalog— Permet aux principaux d'accéder à la vue de la console de l'administrateur et de créer et de gérer des portefeuilles et des produits, de gérer les contraintes, d'accorder l'accès aux utilisateurs finaux et d'effectuer d'autres tâches administratives au sein AWS Service Catalog de cette console.

  • cloudformation— Autorise AWS Service Catalog toutes les autorisations pour répertorier, lire, écrire et étiqueter des AWS CloudFormation piles.

  • config— Autorise des autorisations AWS Service Catalog limitées sur les portefeuilles, les produits et les produits approvisionnés via AWS Config.

  • iam— Permet aux principaux d'accéder à toutes les autorisations nécessaires pour consulter et créer des utilisateurs de services, des groupes ou des rôles nécessaires à la création et à la gestion de produits et de portefeuilles.

  • ssm— Permet AWS Service Catalog de AWS Systems Manager répertorier et de lire les documents de Systems Manager dans le AWS compte courant et dans AWS la région.

Consultez la politique : AWSServiceCatalogAdminFullAccess.

AWS politique gérée : AWSServiceCatalogAdminReadOnlyAccess

Vous pouvez les associer AWSServiceCatalogAdminReadOnlyAccess à vos entités IAM. AppRegistry associe également cette politique à un rôle de service qui permet AppRegistry d'effectuer des actions en votre nom.

Cette politique accorde des autorisations en lecture seule qui permettent un accès complet à la vue de la console de l'administrateur. Cette politique n'accorde pas l'accès pour créer ou gérer des produits et des portefeuilles.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • servicecatalog— Permet aux principaux d'accéder en lecture seule à la vue de la console de l'administrateur.

  • cloudformation— Autorise des autorisations AWS Service Catalog limitées pour répertorier et lire les AWS CloudFormation piles.

  • config— Autorise des autorisations AWS Service Catalog limitées sur les portefeuilles, les produits et les produits approvisionnés via AWS Config.

  • iam— Accorde aux principaux des autorisations limitées leur permettant de consulter les utilisateurs du service, les groupes ou les rôles nécessaires à la création et à la gestion de produits et de portefeuilles.

  • ssm— Permet AWS Service Catalog de AWS Systems Manager répertorier et de lire les documents de Systems Manager dans le AWS compte courant et dans AWS la région.

Consultez la politique : AWSServiceCatalogAdminReadOnlyAccess.

AWS politique gérée : AWSServiceCatalogEndUserFullAccess

Vous pouvez les associer AWSServiceCatalogEndUserFullAccess à vos entités IAM. AppRegistry associe également cette politique à un rôle de service qui permet AppRegistry d'effectuer des actions en votre nom.

Cette politique accorde aux contributeurs des autorisations qui permettent un accès complet à la vue de la console de l'utilisateur final, ainsi que l'autorisation de lancer des produits et de gérer les produits provisionnés.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • servicecatalog— Accorde aux principaux des autorisations complètes sur la vue de la console de l'utilisateur final et la possibilité de lancer des produits et de gérer les produits approvisionnés.

  • cloudformation— Autorise AWS Service Catalog toutes les autorisations pour répertorier, lire, écrire et étiqueter des AWS CloudFormation piles.

  • config— Autorise des autorisations AWS Service Catalog limitées pour répertorier et lire les détails des portefeuilles, des produits et des produits approvisionnés via AWS Config.

  • ssm— Permet AWS Service Catalog de lire AWS Systems Manager les documents de Systems Manager dans le AWS compte courant et dans AWS la région.

Consultez la politique : AWSServiceCatalogEndUserFullAccess.

AWS politique gérée : AWSServiceCatalogEndUserReadOnlyAccess

Vous pouvez les associer AWSServiceCatalogEndUserReadOnlyAccess à vos entités IAM. AppRegistry associe également cette politique à un rôle de service qui permet AppRegistry d'effectuer des actions en votre nom.

Cette politique accorde des autorisations en lecture seule qui permettent un accès en lecture seule à la vue de la console de l'utilisateur final. Cette politique n'autorise pas le lancement de produits ou la gestion de produits approvisionnés.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • servicecatalog— Autorise les principaux à accéder en lecture seule à la vue de la console de l'utilisateur final.

  • cloudformation— Autorise des autorisations AWS Service Catalog limitées pour répertorier et lire les AWS CloudFormation piles.

  • config— Autorise des autorisations AWS Service Catalog limitées pour répertorier et lire les détails des portefeuilles, des produits et des produits approvisionnés via AWS Config.

  • ssm— Permet AWS Service Catalog de lire AWS Systems Manager les documents de Systems Manager dans le AWS compte courant et dans AWS la région.

Consultez la politique : AWSServiceCatalogEndUserReadOnlyAccess.

AWS politique gérée : AWSServiceCatalogSyncServiceRolePolicy

AWS Service Catalog associe cette politique au rôle AWSServiceRoleForServiceCatalogSync lié au service (SLR), ce qui permet de synchroniser les modèles AWS Service Catalog d'un référentiel externe avec les produits. AWS Service Catalog

Cette politique accorde des autorisations qui permettent un accès limité aux AWS Service Catalog actions (par exemple, les appels d'API) et aux autres actions de AWS service qui en AWS Service Catalog dépendent.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • servicecatalog— Permet au rôle de synchronisation des AWS Service Catalog artefacts de limiter l'accès aux API AWS Service Catalog publiques.

  • codeconnections— Permet au rôle de synchronisation des AWS Service Catalog artefacts de limiter l'accès aux API CodeConnections publiques.

  • cloudformation— Permet au rôle de synchronisation des AWS Service Catalog artefacts de limiter l'accès aux API AWS CloudFormation publiques.

Consultez la politique : AWSServiceCatalogSyncServiceRolePolicy.

Détails des rôles liés au service

AWS Service Catalog utilise les informations d'autorisation ci-dessus pour le rôle AWSServiceRoleForServiceCatalogSync lié au service créé lorsqu'un utilisateur crée ou met à jour un AWS Service Catalog produit qui utilise. CodeConnections Vous pouvez modifier cette politique à l'aide de la AWS CLI, de l' AWS API ou de la AWS Service Catalog console. Pour plus d'informations sur la création, la modification et la suppression de rôles liés à un service, reportez-vous à la section Utilisation de rôles liés à un service (SLR) pour. AWS Service Catalog

Les autorisations incluses dans le rôle AWSServiceRoleForServiceCatalogSync lié au service permettent d' AWS Service Catalog effectuer les actions suivantes pour le compte du client.

  • servicecatalog:ListProvisioningArtifacts— Permet au rôle de synchronisation des AWS Service Catalog artefacts de répertorier les artefacts d'approvisionnement pour un AWS Service Catalog produit donné qui sont synchronisés avec un fichier modèle dans un référentiel.

  • servicecatalog:DescribeProductAsAdmin— Permet au rôle de synchronisation des AWS Service Catalog artefacts d'utiliser l'DescribeProductAsAdminAPI pour obtenir des informations sur un AWS Service Catalog produit et ses artefacts provisionnés associés, qui sont synchronisés avec un fichier modèle dans un référentiel. Le rôle de synchronisation des artefacts utilise le résultat de cet appel pour vérifier la limite de quota de service du produit pour le provisionnement des artefacts.

  • servicecatalog:DeleteProvisioningArtifact— Permet au rôle de synchronisation des AWS Service Catalog artefacts de supprimer un artefact provisionné.

  • servicecatalog:ListServiceActionsForProvisioningArtifact— Permet au rôle de synchronisation des AWS Service Catalog artefacts de déterminer si des actions de service sont associées à un artefact de provisionnement et de garantir que l'artefact de provisionnement n'est pas supprimé si une action de service est associée.

  • servicecatalog:DescribeProvisioningArtifact— Permet au rôle de synchronisation des AWS Service Catalog artefacts de récupérer les détails de l'DescribeProvisioningArtifactAPI, y compris l'ID de validation, qui est fourni dans la SourceRevisionInfo sortie.

  • servicecatalog:CreateProvisioningArtifact— Permet au rôle de synchronisation des AWS Service Catalog artefacts de créer un nouvel artefact provisionné si une modification est détectée (par exemple, un git-push est validé) dans le fichier modèle source dans le référentiel externe.

  • servicecatalog:UpdateProvisioningArtifact— Permet au rôle de synchronisation des AWS Service Catalog artefacts de mettre à jour l'artefact provisionné pour un produit connecté ou synchronisé.

  • codeconnections:UseConnection— Permet au rôle de synchronisation des AWS Service Catalog artefacts d'utiliser la connexion existante pour mettre à jour et synchroniser un produit.

  • cloudformation:ValidateTemplate— Autorise un accès limité au rôle de synchronisation des AWS Service Catalog artefacts AWS CloudFormation pour valider le format du modèle utilisé dans un référentiel externe et vérifier s'il AWS CloudFormation est compatible avec le modèle.

AWS politique gérée : AWSServiceCatalogOrgsDataSyncServiceRolePolicy

AWS Service Catalog attache cette politique au rôle AWSServiceRoleForServiceCatalogOrgsDataSync lié au service (SLR), permettant AWS Service Catalog la synchronisation avec. AWS Organizations

Cette politique accorde des autorisations qui permettent un accès limité aux AWS Service Catalog actions (par exemple, les appels d'API) et aux autres actions de AWS service qui en AWS Service Catalog dépendent.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • organizations— Permet au rôle de synchronisation AWS Service Catalog des données de limiter l'accès aux API AWS Organizations publiques.

Consultez la politique : AWSServiceCatalogOrgsDataSyncServiceRolePolicy.

Détails des rôles liés au service

AWS Service Catalog utilise les informations d'autorisation ci-dessus pour le rôle AWSServiceRoleForServiceCatalogOrgsDataSync lié au service créé lorsqu'un utilisateur active l'accès au portefeuille AWS Organizations partagé ou crée un partage de portefeuille. Vous pouvez modifier cette politique à l'aide de la AWS CLI, de l' AWS API ou de la AWS Service Catalog console. Pour plus d'informations sur la création, la modification et la suppression de rôles liés à un service, reportez-vous à la section Utilisation de rôles liés à un service (SLR) pour. AWS Service Catalog

Les autorisations incluses dans le rôle AWSServiceRoleForServiceCatalogOrgsDataSync lié au service permettent d' AWS Service Catalog effectuer les actions suivantes pour le compte du client.

  • organizations:DescribeAccount— Permet au rôle AWS Service Catalog Organizations Data Sync de AWS Organizations récupérer les informations associées au compte spécifié.

  • organizations:DescribeOrganization— Permet au rôle AWS Service Catalog Organizations Data Sync de récupérer des informations sur l'organisation à laquelle appartient le compte de l'utilisateur.

  • organizations:ListAccounts— Permet au rôle AWS Service Catalog Organizations Data Sync de répertorier les comptes de l'organisation de l'utilisateur.

  • organizations:ListChildren— Permet au rôle AWS Service Catalog Organizations Data Sync de répertorier toutes les unités organisationnelles (UO) ou tous les comptes contenus dans l'unité d'organisation parent ou racine spécifiée.

  • organizations:ListParents— Permet au rôle AWS Service Catalog Organizations Data Sync de répertorier la racine ou les unités d'organisation qui servent de parent immédiat à l'unité d'organisation ou au compte enfant spécifié.

  • organizations:ListAWSServiceAccessForOrganization— Permet au rôle AWS Service Catalog Organizations Data Sync de récupérer la liste des AWS services que l'utilisateur a autorisés à intégrer à son organisation.

Politiques déconseillées

Les stratégies gérées obsolètes sont les suivantes :

  • ServiceCatalogAdminFullAccess— Utilisez AWSServiceCatalogAdminFullAccessplutôt.

  • ServiceCatalogAdminReadOnlyAccess— Utilisez AWSServiceCatalogAdminReadOnlyAccessplutôt.

  • ServiceCatalogEndUserFullAccess— Utilisez AWSServiceCatalogEndUserFullAccessplutôt.

  • ServiceCatalogEndUserAccess— Utilisez AWSServiceCatalogEndUserReadOnlyAccessplutôt.

Utilisez la procédure suivante pour vous assurer que les autorisations sont accordées à vos administrateurs et à vos utilisateurs finaux à l'aide des stratégies actuelles.

Pour migrer des politiques obsolètes vers les politiques actuelles, consultez la section Ajouter et supprimer des autorisations d'identité IAM dans AWS Identity and Access Management le Guide de l'utilisateur.

AppRegistry mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AppRegistry depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AppRegistry document.

Modification Description Date

AWSServiceCatalogSyncServiceRolePolicy— Mettre à jour la politique gérée

AWS Service Catalog a mis à jour la AWSServiceCatalogSyncServiceRolePolicy politique pour codestar-connections la remplacer parcodeconnections.

 7 mai 2024

AWSServiceCatalogAdminFullAccess— Mettre à jour la politique gérée

AWS Service Catalog a mis à jour la AWSServiceCatalogAdminFullAccess politique afin d'inclure les autorisations requises pour que l' AWS Service Catalog administrateur puisse créer le rôle AWSServiceRoleForServiceCatalogOrgsDataSync lié au service (SLR) dans son compte.

14 avril 2023

AWSServiceCatalogOrgsDataSyncServiceRolePolicy— Nouvelle politique gérée

AWS Service Catalog a ajouté leAWSServiceCatalogOrgsDataSyncServiceRolePolicy, qui est attaché au rôle AWSServiceRoleForServiceCatalogOrgsDataSync lié au service (SLR), AWS Service Catalog permettant la synchronisation avec. AWS Organizations Cette politique permet un accès limité aux AWS Service Catalog actions (par exemple, les appels d'API) et aux autres actions de AWS service qui en AWS Service Catalog dépendent.

14 avril 2023

AWSServiceCatalogAdminFullAccess— Mettre à jour la politique gérée

AWS Service Catalog a mis à jour la AWSServiceCatalogAdminFullAccess politique afin d'inclure toutes les autorisations pour l' AWS Service Catalog administrateur et de créer une compatibilité avec AppRegistry.

 12 janvier 2023

AWSServiceCatalogSyncServiceRolePolicy— Nouvelle politique gérée

AWS Service Catalog a ajouté la AWSServiceCatalogSyncServiceRolePolicy politique, qui est attachée au rôle AWSServiceRoleForServiceCatalogSync lié au service (SLR). Cette politique permet AWS Service Catalog de synchroniser les modèles d'un référentiel externe avec les AWS Service Catalog produits.

 18 novembre 2022

AWSServiceRoleForServiceCatalogSync— Nouveau rôle lié au service

AWS Service Catalog a ajouté le rôle AWSServiceRoleForServiceCatalogSync lié au service (SLR). Ce rôle est requis AWS Service Catalog pour utiliser CodeConnections et créer, mettre à jour et décrire les artefacts de AWS Service Catalog provisionnement pour un produit.

18 novembre 2022

AWSServiceCatalogAdminFullAccess— Politique gérée mise à jour

AWS Service Catalog a mis à jour la AWSServiceCatalogAdminFullAccess politique afin d'inclure toutes les autorisations requises pour un AWS Service Catalog administrateur. La politique identifie les actions spécifiques que l'administrateur peut effectuer sur toutes les AWS Service Catalog ressources, telles que créer, décrire, supprimer, etc. En outre, la politique a été modifiée pour prendre en charge une fonctionnalité récemment lancée, le contrôle d'accès basé sur les attributs (ABAC) pour AWS Service Catalog. ABAC vous permet d'utiliser la AWSServiceCatalogAdminFullAccess politique comme modèle pour autoriser ou refuser des actions sur les AWS Service Catalog ressources en fonction de balises. Pour plus d'informations sur l'ABAC, voir À quoi sert l'ABAC dans. AWSAWS Identity and Access Management

30 septembre 2022

AppRegistry a commencé à suivre les modifications

AppRegistry a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 15 septembre 2022