AWS kebijakan terkelola untuk AWS AppSync

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan terkelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

AWS kebijakan terkelola: AWSAppSyncInvokeFullAccess

Gunakan kebijakan AWSAppSyncInvokeFullAccess AWS terkelola untuk mengizinkan administrator mengakses AWS AppSync layanan melalui konsol atau secara independen.

Anda dapat melampirkan kebijakan AWSAppSyncInvokeFullAccess ke identitas IAM Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

• AWS AppSync— Memungkinkan akses administratif penuh ke semua sumber daya di AWS AppSync

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:GraphQL",
                "appsync:GetGraphqlApi",
                "appsync:ListGraphqlApis",
                "appsync:ListApiKeys"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AWSAppSyncSchemaAuthor

Gunakan kebijakan AWSAppSyncSchemaAuthor AWS terkelola untuk memungkinkan pengguna IAM mengakses untuk membuat, memperbarui, dan menanyakan skema GraphQL mereka. Untuk informasi tentang apa yang dapat dilakukan pengguna dengan izin ini, lihatMerancang GraphQL API.

Anda dapat melampirkan kebijakan AWSAppSyncSchemaAuthor ke identitas IAM Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

• AWS AppSync— Memungkinkan tindakan berikut:

  • Membuat skema GraphQL

  • Mengizinkan pembuatan, modifikasi, dan penghapusan tipe, resolver, dan fungsi GraphQL

  • Mengevaluasi logika template permintaan dan respons

  • Mengevaluasi kode dengan runtime dan konteks

  • Mengirim kueri GraphQL ke GraphQL API

  • Mengambil data GraphQL

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:GraphQL",
                "appsync:CreateResolver",
                "appsync:CreateType",
                "appsync:DeleteResolver",
                "appsync:DeleteType",
                "appsync:GetResolver",
                "appsync:GetType",
                "appsync:GetDataSource",
                "appsync:GetSchemaCreationStatus",
                "appsync:GetIntrospectionSchema",
                "appsync:GetGraphqlApi",
                "appsync:ListTypes",
                "appsync:ListApiKeys",
                "appsync:ListResolvers",
                "appsync:ListDataSources",
                "appsync:ListGraphqlApis",
                "appsync:StartSchemaCreation",
                "appsync:UpdateResolver",
                "appsync:UpdateType",
                "appsync:TagResource",
                "appsync:UntagResource",
                "appsync:ListTagsForResource",
                "appsync:CreateFunction",
                "appsync:UpdateFunction",
                "appsync:GetFunction",
                "appsync:DeleteFunction",
                "appsync:ListFunctions",
                "appsync:ListResolversByFunction",
                "appsync:EvaluateMappingTemplate",
                "appsync:EvaluateCode"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AWSAppSyncPushToCloudWatchLogs

AWS AppSync menggunakan Amazon CloudWatch untuk memantau kinerja aplikasi Anda dengan membuat log yang dapat Anda gunakan untuk memecahkan masalah dan mengoptimalkan permintaan GraphQL Anda. Untuk informasi selengkapnya, lihat Pemantauan dan pencatatan.

Gunakan kebijakan AWSAppSyncPushToCloudWatchLogs AWS terkelola AWS AppSync untuk memungkinkan mendorong log ke CloudWatch akun pengguna IAM.

Anda dapat melampirkan kebijakan AWSAppSyncPushToCloudWatchLogs ke identitas IAM Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

• CloudWatch Logs— Memungkinkan AWS AppSync untuk membuat grup log dan aliran dengan nama tertentu. AWS AppSyncmendorong peristiwa log ke aliran log yang ditentukan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AWSAppSyncAdministrator

Gunakan kebijakan AWSAppSyncAdministrator AWS terkelola untuk mengizinkan administrator mengakses semua AWS AppSync kecuali AWS konsol.

Anda dapat melampirkan AWSAppSyncAdministrator ke entitas IAM Anda. AWS AppSync juga melampirkan kebijakan ini ke peran layanan yang memungkinkannya melakukan tindakan atas nama Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

• AWS AppSync— Memungkinkan akses administratif penuh ke semua sumber daya di AWS AppSync

• IAM— Memungkinkan tindakan berikut:

  • Membuat peran terkait layanan AWS AppSync untuk memungkinkan menganalisis sumber daya di layanan lain atas nama Anda

  • Menghapus peran terkait layanan

  • Meneruskan peran terkait layanan ke AWS layanan lain untuk mengambil peran nanti dan untuk melakukan tindakan atas nama Anda

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "appsync.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "appsync.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:DeleteServiceLinkedRole",
                "iam:GetServiceLinkedRoleDeletionStatus"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*"
        }
    ]
}

AWS kebijakan terkelola: AWSAppSyncServiceRolePolicy

Gunakan kebijakan AWSAppSyncServiceRolePolicy AWS terkelola untuk mengizinkan akses ke AWS layanan dan sumber daya yang AWS AppSync menggunakan atau mengelola.

Anda tidak dapat melampirkan AWSAppSyncServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan AWS AppSync untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk AWS AppSync.

Detail izin

Kebijakan ini mencakup izin berikut.

• X-Ray— AWS AppSync digunakan AWS X-Ray untuk mengumpulkan data tentang permintaan yang dibuat dalam aplikasi Anda. Untuk informasi selengkapnya, lihat Menelusuri denganAWS X-Ray.

  Kebijakan ini memungkinkan tindakan berikut:

  • Mengambil aturan pengambilan sampel dan hasilnya

  • Mengirim data jejak ke daemon X-Ray

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingTargets",
                "xray:GetSamplingRules",
                "xray:GetSamplingStatisticSummaries"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS AppSync pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola AWS AppSync sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS AppSync dokumen.

Perubahan	Deskripsi	Tanggal
AWSAppSyncSchemaAuthor - Pembaruan ke kebijakan yang tersedia	Menambahkan tindakan EvaluateCode kebijakan untuk memungkinkan pengguna mengevaluasi kode dengan runtime dan konteks.	7 Februari 2023
AWSAppSyncSchemaAuthor - Pembaruan ke kebijakan yang tersedia	Menambahkan tindakan kebijakan untuk mengizinkan daftar, mendapatkan, membuat, memperbarui, dan menghapus fungsi untuk API. Menambahkan tindakan EvaluateMappingTemplate kebijakan untuk memungkinkan pengguna mengevaluasi logika template pemetaan resolver permintaan dan respons. Menambahkan tindakan kebijakan untuk memungkinkan penandaan sumber daya.	Agustus 25, 2022
AWS AppSync mulai melacak perubahan	AWS AppSync mulai melacak perubahan untuk kebijakan yang AWS dikelola.	Agustus 25, 2022