Tindakan, sumber daya, dan tombol kondisi untuk AWS Control Tower - Referensi Otorisasi Layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tindakan, sumber daya, dan tombol kondisi untuk AWS Control Tower

AWS Control Tower (awalan layanan:controltower) menyediakan sumber daya, tindakan, dan kunci konteks kondisi khusus layanan berikut untuk digunakan dalam kebijakan izin IAM.

Referensi:

Tindakan yang ditentukan oleh AWS Control Tower

Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.

Tindakan Deskripsi Tingkat akses Jenis sumber daya (*diperlukan) Kunci syarat Tindakan bergantung
CreateLandingZone Memberikan izin untuk membuat landing zone Tulis

aws:RequestTag/${TagKey}

aws:TagKeys

controltower:TagResource

CreateManagedAccount[hanya izin] Memberikan izin untuk membuat akun yang dikelola oleh AWS Control Tower Tulis
DeleteLandingZone Memberikan izin untuk menghapus landing zone AWS Control Tower Tulis

LandingZone*

DeregisterManagedAccount[hanya izin] Memberikan izin untuk membatalkan pendaftaran akun yang dibuat melalui pabrik akun dari Control Tower AWS Tulis
DeregisterOrganizationalUnit[hanya izin] Memberikan izin untuk membatalkan pendaftaran unit organisasi dari manajemen Control Tower AWS Tulis
DescribeAccountFactoryConfig[hanya izin] Memberikan izin untuk menjelaskan konfigurasi pabrik akun saat ini Baca
DescribeCoreService[hanya izin] Memberikan izin untuk mendeskripsikan sumber daya yang dikelola oleh akun inti di AWS Control Tower Baca
DescribeGuardrail[hanya izin] Memberikan izin untuk menggambarkan pagar pembatas Baca
DescribeGuardrailForTarget[hanya izin] Memberikan izin untuk menggambarkan pagar pembatas untuk unit organisasi Baca
DescribeLandingZoneConfiguration[hanya izin] Memberikan izin untuk menjelaskan konfigurasi Zona Pendaratan saat ini Baca
DescribeManagedAccount[hanya izin] Memberikan izin untuk mendeskripsikan akun yang dibuat melalui pabrik akun Baca
DescribeManagedOrganizationalUnit[hanya izin] Memberikan izin untuk mendeskripsikan unit AWS organisasi Organizations yang dikelola oleh AWS Control Tower Baca
DescribeRegisterOrganizationalUnitOperation[hanya izin] Memberikan izin untuk mendeskripsikan Operasi Unit Organisasi Register Baca
DescribeSingleSignOn[hanya izin] Memberikan izin untuk mendeskripsikan konfigurasi AWS Control Tower &SSO; saat ini Baca
DisableBaseline Memberikan izin untuk menonaktifkan Baseline pada target Tulis

EnabledBaseline*

DisableControl Memberikan izin untuk menghapus kontrol dari unit organisasi Tulis

EnabledControl*

DisableGuardrail[hanya izin] Memberikan izin untuk menonaktifkan pagar pembatas dari unit organisasi Tulis
EnableBaseline Memberikan izin untuk mengaktifkan Baseline pada target Tulis

aws:RequestTag/${TagKey}

aws:TagKeys

controltower:TagResource

EnableControl Memberikan izin untuk mengaktifkan kontrol untuk unit organisasi Tulis

EnabledControl

controltower:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

EnableGuardrail[hanya izin] Memberikan izin untuk mengaktifkan pagar pembatas ke unit organisasi Tulis
GetAccountInfo[hanya izin] Memberikan izin untuk mendeskripsikan email akun dan memvalidasi bahwa email itu ada Baca
GetAvailableUpdates[hanya izin] Memberikan izin untuk membuat daftar pembaruan yang tersedia untuk penerapan AWS Control Tower saat ini Baca
GetBaseline Memberikan izin untuk mendapatkan rincian Baseline Baca

Baseline*

GetBaselineOperation Memberikan izin untuk mendapatkan status operasi Baseline tertentu saat ini Baca
GetControlOperation Memberikan izin untuk mendapatkan status tertentu EnabledControl atau DisableControl operasi saat ini Baca
GetEnabledBaseline Memberikan izin untuk mendapatkan Baseline yang diaktifkan Baca

EnabledBaseline*

GetEnabledControl Memberikan izin untuk mendapatkan kontrol yang diaktifkan dari unit organisasi Baca

EnabledControl*

GetGuardrailComplianceStatus[hanya izin] Memberikan izin untuk mendapatkan status kepatuhan pagar pembatas saat ini Baca
GetHomeRegion[hanya izin] Memberikan izin untuk mendapatkan wilayah asal pengaturan AWS Control Tower Baca
GetLandingZone Memberikan izin untuk mendapatkan status pengaturan landing zone saat ini Baca

LandingZone*

GetLandingZoneDriftStatus Memberikan izin untuk mendapatkan status drift landing zone saat ini Baca
GetLandingZoneOperation Memberikan izin untuk mendapatkan status operasi landing zone tertentu saat ini Baca
GetLandingZoneStatus[hanya izin] Memberikan izin untuk mendapatkan status pengaturan landing zone saat ini Baca
ListBaselines Memberikan izin untuk membuat daftar Baseline Daftar
ListDirectoryGroups[hanya izin] Memberikan izin untuk membuat daftar grup direktori saat ini yang tersedia melalui &SSO; Daftar
ListDriftDetails Memberikan izin untuk membuat daftar kejadian drift di Control Tower AWS Baca
ListEnabledBaselines Memberikan izin untuk membuat daftar Baseline yang diaktifkan Daftar
ListEnabledControls Memberikan izin untuk mencantumkan semua kontrol yang diaktifkan dalam unit organisasi tertentu Daftar
ListEnabledGuardrails[hanya izin] Memberikan izin untuk mencantumkan pagar pembatas yang saat ini diaktifkan Daftar
ListExtendGovernancePrecheckDetails[hanya izin] Memberikan izin untuk mencantumkan rincian Prececk untuk Unit Organisasi Daftar
ListExternalConfigRuleCompliance Memberikan izin untuk membuat daftar kepatuhan aturan AWS Config eksternal Baca
ListGuardrailViolations[hanya izin] Memberikan izin untuk membuat daftar pelanggaran pagar pembatas yang ada Daftar
ListGuardrails[hanya izin] Memberikan izin untuk membuat daftar semua pagar pembatas yang tersedia Daftar
ListGuardrailsForTarget[hanya izin] Memberikan izin untuk membuat daftar pagar pembatas dan statusnya saat ini untuk unit organisasi Daftar
ListLandingZones Memberikan izin untuk membuat daftar semua zona pendaratan Daftar
ListManagedAccounts[hanya izin] Memberikan izin untuk membuat daftar akun yang dikelola melalui AWS Control Tower Daftar
ListManagedAccountsForGuardrail[hanya izin] Memberikan izin untuk membuat daftar akun terkelola dengan pagar pembatas tertentu diterapkan Daftar
ListManagedAccountsForParent[hanya izin] Memberikan izin untuk membuat daftar akun terkelola di bawah unit organisasi Daftar
ListManagedOrganizationalUnits[hanya izin] Memberikan izin untuk membuat daftar unit organisasi yang dikelola oleh AWS Control Tower Daftar
ListManagedOrganizationalUnitsForGuardrail[hanya izin] Memberikan izin untuk membuat daftar unit organisasi terkelola yang memiliki pagar pembatas tertentu diterapkan Daftar
ListTagsForResource Memberikan izin untuk membuat daftar tag untuk sumber daya Baca

EnabledBaseline

EnabledControl

LandingZone

ManageOrganizationalUnit[hanya izin] Memberikan izin untuk mendirikan unit organisasi yang akan dikelola oleh AWS Control Tower Tulis
PerformPreLaunchChecks[hanya izin] Memberikan izin untuk melakukan validasi di akun Baca
ResetEnabledBaseline Memberikan izin untuk mengatur ulang Baseline yang diaktifkan Tulis

EnabledBaseline*

ResetLandingZone Memberikan izin untuk mengatur ulang landing zone Tulis

LandingZone*

SetupLandingZone[hanya izin] Memberikan izin untuk mengatur atau memperbarui landing zone AWS Control Tower Tulis
TagResource Memberikan izin untuk menambahkan tag ke sumber daya Pemberian tag

EnabledBaseline

EnabledControl

LandingZone

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Memberikan izin untuk menghapus tag dari sumber daya Pemberian tag

EnabledBaseline

EnabledControl

LandingZone

aws:TagKeys

UpdateAccountFactoryConfig[hanya izin] Memberikan izin untuk memperbarui konfigurasi pabrik akun Tulis
UpdateEnabledBaseline Memberikan izin untuk memperbarui Baseline yang diaktifkan Tulis

EnabledBaseline*

UpdateEnabledControl Memberikan izin untuk memperbarui kontrol yang diaktifkan untuk unit organisasi Tulis

EnabledControl*

UpdateLandingZone Memberikan izin untuk memperbarui landing zone Tulis

LandingZone*

Jenis sumber daya yang ditentukan oleh AWS Control Tower

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.

Jenis sumber daya ARN Kunci syarat
EnabledControl arn:${Partition}:controltower:${Region}:${Account}:enabledcontrol/${EnabledControlId}

aws:ResourceTag/${TagKey}

Baseline arn:${Partition}:controltower:${Region}::baseline/${BaselineId}
EnabledBaseline arn:${Partition}:controltower:${Region}:${Account}:enabledbaseline/${EnabledBaselineId}

aws:ResourceTag/${TagKey}

LandingZone arn:${Partition}:controltower:${Region}:${Account}:landingzone/${LandingZoneId}

aws:ResourceTag/${TagKey}

Kunci kondisi untuk AWS Control Tower

AWS Control Tower mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut dimana pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

Kunci syarat Deskripsi Jenis
aws:RequestTag/${TagKey} Filter akses berdasarkan tanda yang diberikan dalam permintaan String
aws:ResourceTag/${TagKey} Filter akses dengan tanda yang terkait dengan sumber daya String
aws:TagKeys Filter akses berdasarkan kunci tanda yang diberikan dalam permintaan ArrayOfString