Tindakan, sumber daya, dan kunci kondisi untuk AWS CloudFormation - Referensi Otorisasi Layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tindakan, sumber daya, dan kunci kondisi untuk AWS CloudFormation

AWS CloudFormation (awalan layanan:cloudformation) menyediakan kunci konteks sumber daya, tindakan, dan kondisi khusus layanan berikut untuk digunakan dalam kebijakan izin IAM.

Referensi:

Tindakan yang didefinisikan oleh AWS CloudFormation

Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.

Tindakan Deskripsi Tingkat akses Jenis sumber daya (*diperlukan) Kunci syarat Tindakan bergantung
ActivateOrganizationsAccess Memberikan izin untuk mengaktifkan akses tepercaya antara StackSets dan Organizations. Dengan akses tepercaya antara StackSets dan Organizations diaktifkan, akun manajemen memiliki izin untuk membuat dan mengelola StackSets organisasi Anda Tulis
ActivateType Memberikan izin untuk mengaktifkan ekstensi pihak ketiga publik, membuatnya tersedia untuk digunakan dalam templat tumpukan Tulis
BatchDescribeTypeConfigurations Memberikan izin untuk mengembalikan data konfigurasi untuk ekstensi yang ditentukan CloudFormation Baca
CancelUpdateStack Memberikan izin untuk membatalkan pembaruan pada tumpukan yang ditentukan Tulis

stack*

ContinueUpdateRollback Memberikan izin untuk terus memutar kembali tumpukan yang berada dalam status UPDATE_ROLLBACK_FAILED ke status UPDATE_ROLLBACK_COMPLETE Tulis

stack*

cloudformation:RoleArn

CreateChangeSet Memberikan izin untuk membuat daftar perubahan untuk tumpukan Tulis

stack*

cloudformation:ChangeSetName

cloudformation:ResourceTypes

cloudformation:ImportResourceTypes

cloudformation:RoleArn

cloudformation:StackPolicyUrl

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGeneratedTemplate Memberikan izin untuk membuat template dari sumber daya yang ada yang belum dikelola CloudFormation Tulis
CreateStack Memberikan izin untuk membuat tumpukan seperti yang ditentukan dalam template Tulis

stack*

cloudformation:ResourceTypes

cloudformation:RoleArn

cloudformation:StackPolicyUrl

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStackInstances Memberikan izin untuk membuat instance tumpukan untuk akun yang ditentukan, dalam wilayah yang ditentukan Tulis

stackset*

stackset-target

type

aws:TagKeys

cloudformation:TargetRegion

CreateStackSet Memberikan izin untuk membuat stackset seperti yang ditentukan dalam template Tulis

cloudformation:RoleArn

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUploadBucket[hanya izin] Memberikan izin untuk mengunggah templat ke bucket Amazon S3. Hanya digunakan oleh AWS CloudFormation konsol dan tidak didokumentasikan dalam referensi API Tulis
DeactivateOrganizationsAccess Memberikan izin untuk menonaktifkan akses tepercaya antara dan StackSets Organizations. Jika akses tepercaya dinonaktifkan, akun manajemen tidak memiliki izin untuk membuat dan mengelola layanan yang dikelola StackSets untuk organisasi Anda Tulis
DeactivateType Memberikan izin untuk menonaktifkan ekstensi publik yang sebelumnya diaktifkan di akun dan wilayah ini Tulis
DeleteChangeSet Memberikan izin untuk menghapus set perubahan yang ditentukan. Menghapus set perubahan memastikan bahwa tidak ada yang mengeksekusi set perubahan yang salah Tulis

stack*

cloudformation:ChangeSetName

DeleteGeneratedTemplate Memberikan izin untuk menghapus template yang dihasilkan Tulis
DeleteStack Memberikan izin untuk menghapus tumpukan tertentu Tulis

stack*

cloudformation:RoleArn

DeleteStackInstances Memberikan izin untuk menghapus instance tumpukan untuk akun yang ditentukan, di wilayah yang ditentukan Tulis

stackset*

stackset-target

type

cloudformation:TargetRegion

DeleteStackSet Memberikan izin untuk menghapus stackset tertentu Tulis

stackset*

DeregisterType Memberikan izin untuk membatalkan pendaftaran versi tipe atau tipe yang ada CloudFormation Tulis
DescribeAccountLimits Memberikan izin untuk mengambil batas akun Anda AWS CloudFormation Baca
DescribeChangeSet Memberikan izin untuk mengembalikan deskripsi untuk set perubahan yang ditentukan Baca

stack*

cloudformation:ChangeSetName

DescribeChangeSetHooks Memberikan izin untuk mengembalikan informasi pemanggilan Hook untuk set perubahan yang ditentukan Baca

stack*

cloudformation:ChangeSetName

DescribeGeneratedTemplate Memberikan izin untuk mendeskripsikan template yang dihasilkan. Outputnya mencakup rincian tentang kemajuan pembuatan template yang dihasilkan Baca
DescribeOrganizationsAccess Memberikan izin untuk mengembalikan informasi tentang status akun OrganizationAccess Baca
DescribePublisher Memberikan izin untuk mengembalikan informasi tentang penerbit CloudFormation ekstensi Baca
DescribeResourceScan Memberikan izin untuk menjelaskan detail pemindaian sumber daya Baca
DescribeStackDriftDetectionStatus Memberikan izin untuk mengembalikan informasi tentang operasi deteksi drift tumpukan Baca
DescribeStackEvents Memberikan izin untuk mengembalikan semua peristiwa terkait tumpukan untuk tumpukan tertentu Baca

stack*

DescribeStackInstance Memberikan izin untuk mengembalikan instance tumpukan yang terkait dengan kumpulan tumpukan yang ditentukan,Akun AWS, dan wilayah Baca

stackset*

DescribeStackResource Memberikan izin untuk mengembalikan deskripsi sumber daya yang ditentukan dalam tumpukan yang ditentukan Baca

stack*

DescribeStackResourceDrifts Memberikan izin untuk mengembalikan informasi drift untuk sumber daya yang telah diperiksa untuk drift di tumpukan yang ditentukan Baca

stack*

DescribeStackResources Memberikan izin untuk mengembalikan deskripsi AWS sumber daya untuk menjalankan dan menghapus tumpukan Baca

stack*

DescribeStackSet Memberikan izin untuk mengembalikan deskripsi set tumpukan yang ditentukan Baca

stackset*

DescribeStackSetOperation Memberikan izin untuk mengembalikan deskripsi operasi set tumpukan yang ditentukan Baca

stackset*

DescribeStacks Memberikan izin untuk mengembalikan deskripsi untuk tumpukan yang ditentukan, dan ke semua tumpukan saat digunakan dalam kombinasi dengan tindakan ListStacks Daftar

stack

cloudformation:ListStacks

DescribeType Memberikan izin untuk mengembalikan informasi tentang CloudFormation jenis yang diminta Baca
DescribeTypeRegistration Memberikan izin untuk mengembalikan informasi tentang proses pendaftaran untuk suatu tipe CloudFormation Baca
DetectStackDrift Memberikan izin untuk mendeteksi apakah konfigurasi sebenarnya tumpukan berbeda, atau telah melayang, dari konfigurasi yang diharapkan, seperti yang didefinisikan dalam template tumpukan dan nilai apa pun yang ditentukan sebagai parameter templat Baca

stack*

DetectStackResourceDrift Memberikan izin untuk mengembalikan informasi tentang apakah konfigurasi aktual sumber daya berbeda, atau telah melayang, dari konfigurasi yang diharapkan, seperti yang didefinisikan dalam template tumpukan dan nilai apa pun yang ditentukan sebagai parameter templat Baca

stack*

DetectStackSetDrift Memberikan izin untuk memungkinkan pengguna mendeteksi penyimpangan pada kumpulan tumpukan dan instance tumpukan milik kumpulan tumpukan itu Baca

stackset*

EstimateTemplateCost Memberikan izin untuk mengembalikan perkiraan biaya bulanan template Baca

cloudformation:TemplateUrl

ExecuteChangeSet Memberikan izin untuk memperbarui tumpukan menggunakan informasi masukan yang diberikan saat set perubahan yang ditentukan dibuat Tulis

stack*

cloudformation:ChangeSetName

GetGeneratedTemplate Memberikan izin untuk mengambil template yang dihasilkan Baca
GetStackPolicy Memberikan izin untuk mengembalikan kebijakan tumpukan untuk tumpukan tertentu Baca

stack*

GetTemplate Memberikan izin untuk mengembalikan badan template untuk tumpukan tertentu Baca

stack*

GetTemplateSummary Memberikan izin untuk mengembalikan informasi tentang template baru atau yang sudah ada Baca

stack

stackset

cloudformation:TemplateUrl

ImportStacksToStackSet Memberikan izin untuk memungkinkan pengguna mengimpor tumpukan yang ada ke stackset baru atau yang sudah ada Tulis

stackset*

ListChangeSets Memberikan izin untuk mengembalikan ID dan status setiap perubahan aktif yang ditetapkan untuk tumpukan. Misalnya, AWS CloudFormation daftar mengubah set yang berada dalam status CREATE_IN_PROGRESS atau CREATE_PENDING Daftar

stack*

ListExports Memberikan izin untuk mencantumkan semua nilai keluaran yang diekspor di akun dan wilayah tempat Anda memanggil tindakan ini Daftar
ListGeneratedTemplates Memberikan izin untuk membuat daftar templat yang Anda hasilkan di Wilayah ini Daftar
ListImports Memberikan izin untuk mencantumkan semua tumpukan yang mengimpor nilai keluaran yang diekspor Daftar
ListResourceScanRelatedResources Memberikan izin untuk membuat daftar sumber daya terkait untuk daftar sumber daya dari pemindaian sumber daya. Respons menunjukkan apakah setiap sumber daya yang dikembalikan sudah dikelola oleh CloudFormation Daftar
ListResourceScanResources Memberikan izin untuk membuat daftar sumber daya dari pemindaian sumber daya. Hasilnya dapat disaring berdasarkan pengenal sumber daya, awalan tipe sumber daya, kunci tag, dan nilai tag Daftar
ListResourceScans Memberikan izin untuk membuat daftar pemindaian sumber daya dari yang terbaru hingga yang terlama. Secara default akan mengembalikan hingga 10 pemindaian sumber daya Daftar
ListStackInstanceResourceDrifts Memberikan izin untuk mengembalikan informasi drift untuk sumber daya yang telah diperiksa untuk drift dalam instance tumpukan yang ditentukan Daftar

stackset*

ListStackInstances Memberikan izin untuk mengembalikan informasi ringkasan tentang instance tumpukan yang terkait dengan kumpulan tumpukan yang ditentukan Daftar

stackset*

ListStackResources Memberikan izin untuk mengembalikan deskripsi semua sumber daya dari tumpukan yang ditentukan Daftar

stack*

ListStackSetOperationResults Memberikan izin untuk mengembalikan informasi ringkasan tentang hasil operasi set tumpukan Daftar

stackset*

ListStackSetOperations Memberikan izin untuk mengembalikan informasi ringkasan tentang operasi yang dilakukan pada kumpulan tumpukan Daftar

stackset*

ListStackSets Memberikan izin untuk mengembalikan informasi ringkasan tentang kumpulan tumpukan yang terkait dengan pengguna Daftar
ListStacks Memberikan izin untuk mengembalikan informasi ringkasan untuk tumpukan yang statusnya cocok dengan yang ditentukan. StackStatusFilter Dalam kombinasi dengan DescribeStacks tindakan, memberikan izin untuk membuat daftar deskripsi untuk tumpukan Daftar
ListTypeRegistrations Memberikan izin untuk mencantumkan upaya pendaftaran CloudFormation jenis Daftar
ListTypeVersions Memberikan izin untuk membuat daftar versi dari jenis tertentu CloudFormation Daftar
ListTypes Memberikan izin untuk membuat daftar jenis yang tersedia CloudFormation Daftar
PublishType Memberikan izin untuk mempublikasikan ekstensi yang ditentukan ke CloudFormation registri sebagai ekstensi publik di wilayah ini Tulis
RecordHandlerProgress Memberikan izin untuk merekam kemajuan handler Tulis

stack*

RegisterPublisher Memberikan izin untuk mendaftarkan akun sebagai penerbit ekstensi publik di registri CloudFormation Tulis
RegisterType Memberikan izin untuk mendaftarkan tipe baru CloudFormation Tulis
RollbackStack Memberikan izin untuk mengembalikan tumpukan ke status stabil terakhir Tulis

stack*

cloudformation:RoleArn

SetStackPolicy Memberikan izin untuk menetapkan kebijakan tumpukan untuk tumpukan tertentu Manajemen izin

stack*

cloudformation:StackPolicyUrl

SetTypeConfiguration Memberikan izin untuk mengatur data konfigurasi untuk CloudFormation ekstensi terdaftar, di akun dan wilayah yang diberikan Tulis
SetTypeDefaultVersion Memberikan izin untuk mengatur versi CloudFormation tipe mana yang berlaku untuk operasi CloudFormation Tulis
SignalResource Memberikan izin untuk mengirim sinyal ke sumber daya yang ditentukan dengan status sukses atau gagal Tulis

stack*

StartResourceScan Memberikan izin untuk memulai pemindaian sumber daya di akun ini di Wilayah ini Tulis
StopStackSetOperation Memberikan izin untuk menghentikan operasi yang sedang berlangsung pada kumpulan tumpukan dan instance tumpukan terkait Tulis

stackset*

TagResource Memberikan izin untuk menandai sumber daya cloudformation Pemberian tag

changeset

stack

stackset

aws:TagKeys

aws:RequestTag/${TagKey}

TestType Memberikan izin untuk menguji ekstensi terdaftar untuk memastikannya memenuhi semua persyaratan yang diperlukan untuk diterbitkan dalam registri CloudFormation Tulis
UntagResource Memberikan izin untuk menghapus tag sumber daya cloudformation Pemberian tag

changeset

stack

stackset

aws:TagKeys

UpdateGeneratedTemplate Memberikan izin untuk memperbarui template yang dihasilkan. Ini dapat digunakan untuk mengubah nama, menambah dan menghapus sumber daya, menyegarkan sumber daya, dan mengubah DeletionPolicy dan UpdateReplacePolicy pengaturan Tulis
UpdateStack Memberikan izin untuk memperbarui tumpukan seperti yang ditentukan dalam template Tulis

stack*

cloudformation:ResourceTypes

cloudformation:RoleArn

cloudformation:StackPolicyUrl

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateStackInstances Memberikan izin untuk memperbarui nilai parameter untuk instance tumpukan untuk akun yang ditentukan, dalam wilayah yang ditentukan Tulis

stackset*

stackset-target

type

cloudformation:TargetRegion

UpdateStackSet Memberikan izin untuk memperbarui stackset seperti yang ditentukan dalam template Tulis

stackset*

stackset-target

type

cloudformation:RoleArn

cloudformation:TemplateUrl

cloudformation:TargetRegion

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateTerminationProtection Memberikan izin untuk memperbarui perlindungan penghentian untuk tumpukan yang ditentukan Tulis

stack*

ValidateTemplate Memberikan izin untuk memvalidasi template tertentu Baca

cloudformation:TemplateUrl

Jenis sumber daya didefinisikan oleh AWS CloudFormation

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.

Jenis sumber daya ARN Kunci syarat
changeset arn:${Partition}:cloudformation:${Region}:${Account}:changeSet/${ChangeSetName}/${Id}

aws:ResourceTag/${TagKey}

stack arn:${Partition}:cloudformation:${Region}:${Account}:stack/${StackName}/${Id}

aws:ResourceTag/${TagKey}

stackset arn:${Partition}:cloudformation:${Region}:${Account}:stackset/${StackSetName}:${Id}

aws:ResourceTag/${TagKey}

stackset-target arn:${Partition}:cloudformation:${Region}:${Account}:stackset-target/${StackSetTarget}
type arn:${Partition}:cloudformation:${Region}:${Account}:type/resource/${Type}
generatedtemplate arn:${Partition}:cloudformation:${Region}:${Account}:generatedTemplate/${Id}
resourcescan arn:${Partition}:cloudformation:${Region}:${Account}:resourceScan/${Id}

Kunci kondisi untuk AWS CloudFormation

AWS CloudFormation mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut dimana pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

Kunci syarat Deskripsi Jenis
aws:RequestTag/${TagKey} Filter akses berdasarkan tanda yang diberikan dalam permintaan String
aws:ResourceTag/${TagKey} Filter akses dengan tanda yang terkait dengan sumber daya String
aws:TagKeys Filter akses berdasarkan kunci tanda yang diberikan dalam permintaan ArrayOfString
cloudformation:ChangeSetName Memfilter akses dengan nama set AWS CloudFormation perubahan. Gunakan untuk mengontrol set perubahan mana yang dapat dieksekusi atau dihapus oleh pengguna IAM String
cloudformation:ImportResourceTypes Memfilter akses berdasarkan jenis sumber daya template, sepertiAWS: :EC2: :Instance. Gunakan untuk mengontrol tipe sumber daya mana yang dapat digunakan pengguna IAM saat mereka ingin mengimpor sumber daya ke tumpukan String
cloudformation:ResourceTypes Memfilter akses berdasarkan jenis sumber daya template, sepertiAWS: :EC2: :Instance. Gunakan untuk mengontrol jenis sumber daya yang dapat digunakan pengguna IAM saat mereka membuat atau memperbarui tumpukan ArrayOfString
cloudformation:RoleArn Memfilter akses oleh ARN dari peran layanan IAM. Gunakan untuk mengontrol peran layanan yang dapat digunakan pengguna IAM untuk bekerja dengan tumpukan atau mengubah set ARN
cloudformation:StackPolicyUrl Memfilter akses dengan URL kebijakan tumpukan Amazon S3. Gunakan untuk mengontrol kebijakan tumpukan mana yang dapat dikaitkan pengguna IAM dengan tumpukan selama tindakan membuat atau memperbarui tumpukan String
cloudformation:TargetRegion Memfilter akses berdasarkan wilayah target set stack. Gunakan untuk mengontrol wilayah mana yang dapat digunakan pengguna IAM saat mereka membuat atau memperbarui kumpulan tumpukan ArrayOfString
cloudformation:TemplateUrl Memfilter akses dengan URL template Amazon S3. Gunakan untuk mengontrol templat mana yang dapat digunakan pengguna IAM saat mereka membuat atau memperbarui tumpukan String