Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tindakan, sumber daya, dan kunci kondisi untuk AWS CloudFormation
AWS CloudFormation (awalan layanan:cloudformation) menyediakan kunci konteks sumber daya, tindakan, dan kondisi khusus layanan berikut untuk digunakan dalam kebijakan izin IAM.
Referensi:
-
Pelajari cara mengonfigurasi layanan ini.
-
Lihat daftar Operasi API yang tersedia untuk layanan ini.
-
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan izin IAM.
Topik
Tindakan yang didefinisikan oleh AWS CloudFormation
Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.
Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.
catatan
Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.
Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.
| Tindakan | Deskripsi | Tingkat akses | Jenis sumber daya (*diperlukan) | Kunci syarat | Tindakan bergantung |
|---|---|---|---|---|---|
| ActivateOrganizationsAccess | Memberikan izin untuk mengaktifkan akses tepercaya antara StackSets dan Organizations. Dengan akses tepercaya antara StackSets dan Organizations diaktifkan, akun manajemen memiliki izin untuk membuat dan mengelola StackSets organisasi Anda | Tulis | |||
| ActivateType | Memberikan izin untuk mengaktifkan ekstensi pihak ketiga publik, membuatnya tersedia untuk digunakan dalam templat tumpukan | Tulis | |||
| BatchDescribeTypeConfigurations | Memberikan izin untuk mengembalikan data konfigurasi untuk ekstensi yang ditentukan CloudFormation | Baca | |||
| CancelUpdateStack | Memberikan izin untuk membatalkan pembaruan pada tumpukan yang ditentukan | Tulis | |||
| ContinueUpdateRollback | Memberikan izin untuk terus memutar kembali tumpukan yang berada dalam status UPDATE_ROLLBACK_FAILED ke status UPDATE_ROLLBACK_COMPLETE | Tulis | |||
| CreateChangeSet | Memberikan izin untuk membuat daftar perubahan untuk tumpukan | Tulis | |||
| CreateGeneratedTemplate | Memberikan izin untuk membuat template dari sumber daya yang ada yang belum dikelola CloudFormation | Tulis | |||
| CreateStack | Memberikan izin untuk membuat tumpukan seperti yang ditentukan dalam template | Tulis | |||
| CreateStackInstances | Memberikan izin untuk membuat instance tumpukan untuk akun yang ditentukan, dalam wilayah yang ditentukan | Tulis | |||
| CreateStackSet | Memberikan izin untuk membuat stackset seperti yang ditentukan dalam template | Tulis | |||
| CreateUploadBucket[hanya izin] | Memberikan izin untuk mengunggah template ke bucket Amazon S3. Hanya digunakan oleh AWS CloudFormation konsol dan tidak didokumentasikan dalam referensi API | Tulis | |||
| DeactivateOrganizationsAccess | Memberikan izin untuk menonaktifkan akses tepercaya antara dan StackSets Organizations. Jika akses tepercaya dinonaktifkan, akun manajemen tidak memiliki izin untuk membuat dan mengelola layanan yang dikelola StackSets untuk organisasi Anda | Tulis | |||
| DeactivateType | Memberikan izin untuk menonaktifkan ekstensi publik yang sebelumnya diaktifkan di akun dan wilayah ini | Tulis | |||
| DeleteChangeSet | Memberikan izin untuk menghapus set perubahan yang ditentukan. Menghapus set perubahan memastikan bahwa tidak ada yang mengeksekusi set perubahan yang salah | Tulis | |||
| DeleteGeneratedTemplate | Memberikan izin untuk menghapus template yang dihasilkan | Tulis | |||
| DeleteStack | Memberikan izin untuk menghapus tumpukan tertentu | Tulis | |||
| DeleteStackInstances | Memberikan izin untuk menghapus instance tumpukan untuk akun yang ditentukan, di wilayah yang ditentukan | Tulis | |||
| DeleteStackSet | Memberikan izin untuk menghapus stackset tertentu | Tulis | |||
| DeregisterType | Memberikan izin untuk membatalkan pendaftaran versi tipe atau tipe yang ada CloudFormation | Tulis | |||
| DescribeAccountLimits | Memberikan izin untuk mengambil batas akun Anda AWS CloudFormation | Baca | |||
| DescribeChangeSet | Memberikan izin untuk mengembalikan deskripsi untuk set perubahan yang ditentukan | Baca | |||
| DescribeChangeSetHooks | Memberikan izin untuk mengembalikan informasi pemanggilan Hook untuk set perubahan yang ditentukan | Baca | |||
| DescribeGeneratedTemplate | Memberikan izin untuk mendeskripsikan template yang dihasilkan. Outputnya mencakup rincian tentang kemajuan pembuatan template yang dihasilkan | Baca | |||
| DescribeOrganizationsAccess | Memberikan izin untuk mengembalikan informasi tentang status akun OrganizationAccess | Baca | |||
| DescribePublisher | Memberikan izin untuk mengembalikan informasi tentang penerbit CloudFormation ekstensi | Baca | |||
| DescribeResourceScan | Memberikan izin untuk menjelaskan detail pemindaian sumber daya | Baca | |||
| DescribeStackDriftDetectionStatus | Memberikan izin untuk mengembalikan informasi tentang operasi deteksi drift tumpukan | Baca | |||
| DescribeStackEvents | Memberikan izin untuk mengembalikan semua peristiwa terkait tumpukan untuk tumpukan tertentu | Baca | |||
| DescribeStackInstance | Memberikan izin untuk mengembalikan instance tumpukan yang terkait dengan kumpulan tumpukan yang ditentukan, Akun AWS, dan wilayah | Baca | |||
| DescribeStackResource | Memberikan izin untuk mengembalikan deskripsi sumber daya yang ditentukan dalam tumpukan yang ditentukan | Baca | |||
| DescribeStackResourceDrifts | Memberikan izin untuk mengembalikan informasi drift untuk sumber daya yang telah diperiksa untuk drift di tumpukan yang ditentukan | Baca | |||
| DescribeStackResources | Memberikan izin untuk mengembalikan deskripsi AWS sumber daya untuk menjalankan dan menghapus tumpukan | Baca | |||
| DescribeStackSet | Memberikan izin untuk mengembalikan deskripsi set tumpukan yang ditentukan | Baca | |||
| DescribeStackSetOperation | Memberikan izin untuk mengembalikan deskripsi operasi set tumpukan yang ditentukan | Baca | |||
| DescribeStacks | Memberikan izin untuk mengembalikan deskripsi untuk tumpukan yang ditentukan, dan ke semua tumpukan saat digunakan dalam kombinasi dengan tindakan ListStacks | Daftar |
cloudformation:ListStacks |
||
| DescribeType | Memberikan izin untuk mengembalikan informasi tentang CloudFormation jenis yang diminta | Baca | |||
| DescribeTypeRegistration | Memberikan izin untuk mengembalikan informasi tentang proses pendaftaran untuk suatu tipe CloudFormation | Baca | |||
| DetectStackDrift | Memberikan izin untuk mendeteksi apakah konfigurasi sebenarnya tumpukan berbeda, atau telah melayang, dari konfigurasi yang diharapkan, seperti yang didefinisikan dalam template tumpukan dan nilai apa pun yang ditentukan sebagai parameter templat | Baca | |||
| DetectStackResourceDrift | Memberikan izin untuk mengembalikan informasi tentang apakah konfigurasi aktual sumber daya berbeda, atau telah melayang, dari konfigurasi yang diharapkan, seperti yang didefinisikan dalam template tumpukan dan nilai apa pun yang ditentukan sebagai parameter templat | Baca | |||
| DetectStackSetDrift | Memberikan izin untuk memungkinkan pengguna mendeteksi penyimpangan pada kumpulan tumpukan dan instance tumpukan milik kumpulan tumpukan itu | Baca | |||
| EstimateTemplateCost | Memberikan izin untuk mengembalikan perkiraan biaya bulanan template | Baca | |||
| ExecuteChangeSet | Memberikan izin untuk memperbarui tumpukan menggunakan informasi masukan yang diberikan saat set perubahan yang ditentukan dibuat | Tulis | |||
| GetGeneratedTemplate | Memberikan izin untuk mengambil template yang dihasilkan | Baca | |||
| GetStackPolicy | Memberikan izin untuk mengembalikan kebijakan tumpukan untuk tumpukan tertentu | Baca | |||
| GetTemplate | Memberikan izin untuk mengembalikan badan template untuk tumpukan tertentu | Baca | |||
| GetTemplateSummary | Memberikan izin untuk mengembalikan informasi tentang template baru atau yang sudah ada | Baca | |||
| ImportStacksToStackSet | Memberikan izin untuk memungkinkan pengguna mengimpor tumpukan yang ada ke stackset baru atau yang sudah ada | Tulis | |||
| ListChangeSets | Memberikan izin untuk mengembalikan ID dan status setiap perubahan aktif yang ditetapkan untuk tumpukan. Misalnya, AWS CloudFormation daftar mengubah set yang berada dalam status CREATE_IN_PROGRESS atau CREATE_PENDING | Daftar | |||
| ListExports | Memberikan izin untuk mencantumkan semua nilai keluaran yang diekspor di akun dan wilayah tempat Anda memanggil tindakan ini | Daftar | |||
| ListGeneratedTemplates | Memberikan izin untuk membuat daftar templat yang Anda hasilkan di Wilayah ini | Daftar | |||
| ListImports | Memberikan izin untuk mencantumkan semua tumpukan yang mengimpor nilai keluaran yang diekspor | Daftar | |||
| ListResourceScanRelatedResources | Memberikan izin untuk membuat daftar sumber daya terkait untuk daftar sumber daya dari pemindaian sumber daya. Respons menunjukkan apakah setiap sumber daya yang dikembalikan sudah dikelola oleh CloudFormation | Daftar | |||
| ListResourceScanResources | Memberikan izin untuk membuat daftar sumber daya dari pemindaian sumber daya. Hasilnya dapat disaring berdasarkan pengenal sumber daya, awalan tipe sumber daya, kunci tag, dan nilai tag | Daftar | |||
| ListResourceScans | Memberikan izin untuk membuat daftar pemindaian sumber daya dari yang terbaru hingga yang terlama. Secara default akan mengembalikan hingga 10 pemindaian sumber daya | Daftar | |||
| ListStackInstanceResourceDrifts | Memberikan izin untuk mengembalikan informasi drift untuk sumber daya yang telah diperiksa untuk drift dalam instance tumpukan yang ditentukan | Daftar | |||
| ListStackInstances | Memberikan izin untuk mengembalikan informasi ringkasan tentang instance tumpukan yang terkait dengan kumpulan tumpukan yang ditentukan | Daftar | |||
| ListStackResources | Memberikan izin untuk mengembalikan deskripsi semua sumber daya dari tumpukan yang ditentukan | Daftar | |||
| ListStackSetAutoDeploymentTargets | Memberikan izin untuk mengembalikan informasi ringkasan tentang Target Penerapan StackSet Otomatis | Daftar | |||
| ListStackSetOperationResults | Memberikan izin untuk mengembalikan informasi ringkasan tentang hasil operasi set tumpukan | Daftar | |||
| ListStackSetOperations | Memberikan izin untuk mengembalikan informasi ringkasan tentang operasi yang dilakukan pada kumpulan tumpukan | Daftar | |||
| ListStackSets | Memberikan izin untuk mengembalikan informasi ringkasan tentang kumpulan tumpukan yang terkait dengan pengguna | Daftar | |||
| ListStacks | Memberikan izin untuk mengembalikan informasi ringkasan untuk tumpukan yang statusnya cocok dengan yang ditentukan. StackStatusFilter Dalam kombinasi dengan DescribeStacks tindakan, memberikan izin untuk membuat daftar deskripsi untuk tumpukan | Daftar | |||
| ListTypeRegistrations | Memberikan izin untuk mencantumkan upaya pendaftaran CloudFormation jenis | Daftar | |||
| ListTypeVersions | Memberikan izin untuk membuat daftar versi dari jenis tertentu CloudFormation | Daftar | |||
| ListTypes | Memberikan izin untuk membuat daftar jenis yang tersedia CloudFormation | Daftar | |||
| PublishType | Memberikan izin untuk mempublikasikan ekstensi yang ditentukan ke CloudFormation registri sebagai ekstensi publik di wilayah ini | Tulis | |||
| RecordHandlerProgress | Memberikan izin untuk merekam kemajuan handler | Tulis | |||
| RegisterPublisher | Memberikan izin untuk mendaftarkan akun sebagai penerbit ekstensi publik di registri CloudFormation | Tulis | |||
| RegisterType | Memberikan izin untuk mendaftarkan tipe baru CloudFormation | Tulis | |||
| RollbackStack | Memberikan izin untuk mengembalikan tumpukan ke status stabil terakhir | Tulis | |||
| SetStackPolicy | Memberikan izin untuk menetapkan kebijakan tumpukan untuk tumpukan tertentu | Manajemen izin | |||
| SetTypeConfiguration | Memberikan izin untuk mengatur data konfigurasi untuk CloudFormation ekstensi terdaftar, di akun dan wilayah yang diberikan | Tulis | |||
| SetTypeDefaultVersion | Memberikan izin untuk mengatur versi CloudFormation tipe mana yang berlaku untuk operasi CloudFormation | Tulis | |||
| SignalResource | Memberikan izin untuk mengirim sinyal ke sumber daya yang ditentukan dengan status sukses atau gagal | Tulis | |||
| StartResourceScan | Memberikan izin untuk memulai pemindaian sumber daya di akun ini di Wilayah ini | Tulis | |||
| StopStackSetOperation | Memberikan izin untuk menghentikan operasi yang sedang berlangsung pada kumpulan tumpukan dan instance tumpukan terkait | Tulis | |||
| TagResource | Memberikan izin untuk menandai sumber daya cloudformation | Penandaan | |||
| TestType | Memberikan izin untuk menguji ekstensi terdaftar untuk memastikannya memenuhi semua persyaratan yang diperlukan untuk diterbitkan dalam registri CloudFormation | Tulis | |||
| UntagResource | Memberikan izin untuk menghapus tag sumber daya cloudformation | Penandaan | |||
| UpdateGeneratedTemplate | Memberikan izin untuk memperbarui template yang dihasilkan. Ini dapat digunakan untuk mengubah nama, menambah dan menghapus sumber daya, menyegarkan sumber daya, dan mengubah DeletionPolicy dan UpdateReplacePolicy pengaturan | Tulis | |||
| UpdateStack | Memberikan izin untuk memperbarui tumpukan seperti yang ditentukan dalam template | Tulis | |||
| UpdateStackInstances | Memberikan izin untuk memperbarui nilai parameter untuk instance tumpukan untuk akun yang ditentukan, dalam wilayah yang ditentukan | Tulis | |||
| UpdateStackSet | Memberikan izin untuk memperbarui stackset seperti yang ditentukan dalam template | Tulis | |||
| UpdateTerminationProtection | Memberikan izin untuk memperbarui perlindungan penghentian untuk tumpukan yang ditentukan | Tulis | |||
| ValidateTemplate | Memberikan izin untuk memvalidasi template tertentu | Baca |
Jenis sumber daya didefinisikan oleh AWS CloudFormation
Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.
| Jenis sumber daya | ARN | Kunci syarat |
|---|---|---|
| changeset |
arn:${Partition}:cloudformation:${Region}:${Account}:changeSet/${ChangeSetName}/${Id}
|
|
| stack |
arn:${Partition}:cloudformation:${Region}:${Account}:stack/${StackName}/${Id}
|
|
| stackset |
arn:${Partition}:cloudformation:${Region}:${Account}:stackset/${StackSetName}:${Id}
|
|
| stackset-target |
arn:${Partition}:cloudformation:${Region}:${Account}:stackset-target/${StackSetTarget}
|
|
| type |
arn:${Partition}:cloudformation:${Region}:${Account}:type/resource/${Type}
|
|
| generatedtemplate |
arn:${Partition}:cloudformation:${Region}:${Account}:generatedTemplate/${Id}
|
|
| resourcescan |
arn:${Partition}:cloudformation:${Region}:${Account}:resourceScan/${Id}
|
Kunci kondisi untuk AWS CloudFormation
AWS CloudFormation mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.
| Kunci syarat | Deskripsi | Jenis |
|---|---|---|
| aws:RequestTag/${TagKey} | Filter akses berdasarkan tanda yang diberikan dalam permintaan | String |
| aws:ResourceTag/${TagKey} | Filter akses dengan tanda yang terkait dengan sumber daya | String |
| aws:TagKeys | Filter akses berdasarkan kunci tanda yang diberikan dalam permintaan | ArrayOfString |
| cloudformation:ChangeSetName | Memfilter akses dengan nama set AWS CloudFormation perubahan. Gunakan untuk mengontrol set perubahan mana yang dapat dieksekusi atau dihapus oleh pengguna IAM | String |
| cloudformation:ImportResourceTypes | Memfilter akses berdasarkan jenis sumber daya template, seperti AWS: :EC2: :Instance. Gunakan untuk mengontrol tipe sumber daya mana yang dapat digunakan pengguna IAM saat mereka ingin mengimpor sumber daya ke tumpukan | String |
| cloudformation:ResourceTypes | Memfilter akses berdasarkan jenis sumber daya template, seperti AWS: :EC2: :Instance. Gunakan untuk mengontrol jenis sumber daya yang dapat digunakan pengguna IAM saat mereka membuat atau memperbarui tumpukan | ArrayOfString |
| cloudformation:RoleArn | Memfilter akses oleh ARN dari peran layanan IAM. Gunakan untuk mengontrol peran layanan yang dapat digunakan pengguna IAM untuk bekerja dengan tumpukan atau mengubah set | ARN |
| cloudformation:StackPolicyUrl | Memfilter akses dengan URL kebijakan tumpukan Amazon S3. Gunakan untuk mengontrol kebijakan tumpukan mana yang dapat diasosiasikan pengguna IAM dengan tumpukan selama tindakan membuat atau memperbarui tumpukan | String |
| cloudformation:TargetRegion | Memfilter akses berdasarkan wilayah target set stack. Gunakan untuk mengontrol wilayah mana yang dapat digunakan pengguna IAM saat mereka membuat atau memperbarui kumpulan tumpukan | ArrayOfString |
| cloudformation:TemplateUrl | Memfilter akses dengan URL template Amazon S3. Gunakan untuk mengontrol templat mana yang dapat digunakan pengguna IAM saat mereka membuat atau memperbarui tumpukan | String |
