Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kunci tindakan, sumber daya, dan kondisi untuk AWS Service Catalog
AWS Service Catalog (awalan layanan:servicecatalog
) menyediakan sumber daya khusus layanan, tindakan, dan kunci konteks kondisi berikut untuk digunakan dalam kebijakan izin IAM.
Referensi:
-
Pelajari cara mengonfigurasi layanan ini.
-
Lihat daftar Operasi API yang tersedia untuk layanan ini.
-
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan izin IAM.
Topik
Tindakan yang ditentukan oleh AWS Service Catalog
Anda dapat menyebutkan tindakan berikut dalam elemen Action
pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource
elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource
elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.
Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition
elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.
catatan
Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.
Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.
Tindakan | Deskripsi | Tingkat akses | Jenis sumber daya (*diperlukan) | Kunci syarat | Tindakan bergantung |
---|---|---|---|---|---|
AcceptPortfolioShare | Memberikan izin untuk menerima portofolio yang telah dibagikan dengan Anda | Tulis | |||
AssociateAttributeGroup | Memberikan izin untuk mengaitkan grup atribut dengan aplikasi | Tulis | |||
AssociateBudgetWithResource | Memberikan izin untuk mengaitkan anggaran dengan sumber daya | Tulis | |||
AssociatePrincipalWithPortfolio | Memberikan izin untuk mengaitkan prinsipal IAM dengan portofolio, memberikan akses utama yang ditentukan ke produk apa pun yang terkait dengan portofolio yang ditentukan | Tulis | |||
AssociateProductWithPortfolio | Memberikan izin untuk mengaitkan produk dengan portofolio | Tulis | |||
AssociateResource | Memberikan izin untuk mengaitkan sumber daya dengan aplikasi | Tulis |
cloudformation:DescribeStacks resource-groups:CreateGroup resource-groups:GetGroup resource-groups:Tag |
||
AssociateServiceActionWithProvisioningArtifact | Memberikan izin untuk mengaitkan tindakan dengan artefak penyediaan | Tulis | |||
AssociateTagOptionWithResource | Memberikan izin untuk mengaitkan yang ditentukan TagOption dengan portofolio atau produk yang ditentukan | Tulis | |||
BatchAssociateServiceActionWithProvisioningArtifact | Memberikan izin untuk mengaitkan beberapa tindakan swalayan dengan artefak penyediaan | Tulis | |||
BatchDisassociateServiceActionFromProvisioningArtifact | Memberikan izin untuk memisahkan sejumlah tindakan swalayan dari artefak penyediaan yang ditentukan | Tulis | |||
CopyProduct | Memberikan izin untuk menyalin produk sumber yang ditentukan ke produk target yang ditentukan atau produk baru | Tulis | |||
CreateApplication | Memberikan izin untuk membuat aplikasi | Tulis |
iam:CreateServiceLinkedRole |
||
CreateAttributeGroup | Memberikan izin untuk membuat grup atribut | Tulis | |||
CreateConstraint | Memberikan izin untuk membuat kendala pada produk dan portofolio terkait | Tulis | |||
CreatePortfolio | Memberikan izin untuk membuat portofolio | Tulis | |||
CreatePortfolioShare | Memberikan izin untuk berbagi portofolio yang Anda miliki dengan yang lain Akun AWS | Manajemen izin | |||
CreateProduct | Memberikan izin untuk membuat produk dan artefak penyediaan pertama produk tersebut | Tulis | |||
CreateProvisionedProductPlan | Memberikan izin untuk menambahkan paket produk baru yang disediakan | Tulis | |||
CreateProvisioningArtifact | Memberikan izin untuk menambahkan artefak penyediaan baru ke produk yang sudah ada | Tulis | |||
CreateServiceAction | Memberikan izin untuk membuat tindakan swalayan | Tulis | |||
CreateTagOption | Memberikan izin untuk membuat TagOption | Tulis | |||
DeleteApplication | Memberikan izin untuk menghapus aplikasi jika semua asosiasi telah dihapus dari aplikasi | Tulis | |||
DeleteAttributeGroup | Memberikan izin untuk menghapus grup atribut jika semua asosiasi telah dihapus dari grup atribut | Tulis | |||
DeleteConstraint | Memberikan izin untuk menghapus dan menghapus kendala yang ada dari produk dan portofolio terkait | Tulis | |||
DeletePortfolio | Memberikan izin untuk menghapus portofolio jika semua asosiasi dan saham telah dihapus dari portofolio | Tulis | |||
DeletePortfolioShare | Memberikan izin untuk membatalkan pembagian portofolio yang Anda miliki dari portofolio yang sebelumnya Akun AWS Anda bagikan | Manajemen izin | |||
DeleteProduct | Memberikan izin untuk menghapus produk jika semua asosiasi telah dihapus dari produk | Tulis | |||
DeleteProvisionedProductPlan | Memberikan izin untuk menghapus paket produk yang disediakan | Tulis | |||
DeleteProvisioningArtifact | Memberikan izin untuk menghapus artefak penyediaan dari produk | Tulis | |||
DeleteServiceAction | Memberikan izin untuk menghapus tindakan swalayan | Tulis | |||
DeleteTagOption | Memberikan izin untuk menghapus yang ditentukan TagOption | Tulis | |||
DescribeConstraint | Memberikan izin untuk menggambarkan kendala | Baca | |||
DescribeCopyProductStatus | Memberikan izin untuk mendapatkan status operasi produk salinan yang ditentukan | Baca | |||
DescribePortfolio | Memberikan izin untuk mendeskripsikan portofolio | Baca | |||
DescribePortfolioShareStatus | Memberikan izin untuk mendapatkan status operasi pembagian portofolio yang ditentukan | Baca | |||
DescribePortfolioShares | Memberikan izin untuk melihat ringkasan dari masing-masing saham portofolio yang dibuat untuk portofolio yang ditentukan | Daftar | |||
DescribeProduct | Memberikan izin untuk menggambarkan produk sebagai pengguna akhir | Baca | |||
DescribeProductAsAdmin | Memberikan izin untuk mendeskripsikan produk sebagai admin | Baca | |||
DescribeProductView | Memberikan izin untuk menggambarkan produk sebagai pengguna akhir | Baca | |||
DescribeProvisionedProduct | Memberikan izin untuk mendeskripsikan produk yang disediakan | Baca | |||
DescribeProvisionedProductPlan | Memberikan izin untuk menjelaskan rencana produk yang disediakan | Baca | |||
DescribeProvisioningArtifact | Memberikan izin untuk menggambarkan artefak penyediaan | Baca | |||
DescribeProvisioningParameters | Memberikan izin untuk menjelaskan parameter yang perlu Anda tentukan agar berhasil menyediakan artefak penyediaan tertentu | Baca | |||
DescribeRecord | Memberikan izin untuk mendeskripsikan catatan dan mencantumkan output apa pun | Baca | |||
DescribeServiceAction | Memberikan izin untuk menggambarkan tindakan swalayan | Baca | |||
DescribeServiceActionExecutionParameters | Memberikan izin untuk mendapatkan parameter default jika Anda menjalankan Tindakan Layanan yang ditentukan pada Produk yang Disediakan yang ditentukan | Baca | |||
DescribeTagOption | Memberikan izin untuk mendapatkan informasi tentang yang ditentukan TagOption | Baca | |||
DisableAWSOrganizationsAccess | Memberikan izin untuk menonaktifkan berbagi portofolio melalui fitur AWS Organizations | Tulis | |||
DisassociateAttributeGroup | Memberikan izin untuk memisahkan grup atribut dari aplikasi | Tulis | |||
DisassociateBudgetFromResource | Memberikan izin untuk memisahkan anggaran dari sumber daya | Tulis | |||
DisassociatePrincipalFromPortfolio | Memberikan izin untuk memisahkan kepala sekolah IAM dari portofolio | Tulis | |||
DisassociateProductFromPortfolio | Memberikan izin untuk memisahkan produk dari portofolio | Tulis | |||
DisassociateResource | Memberikan izin untuk memisahkan sumber daya dari aplikasi | Tulis |
resource-groups:DeleteGroup |
||
DisassociateServiceActionFromProvisioningArtifact | Memberikan izin untuk memisahkan asosiasi tindakan swalayan yang ditentukan dari artefak penyediaan yang ditentukan | Tulis | |||
DisassociateTagOptionFromResource | Memberikan izin untuk memisahkan yang ditentukan TagOption dari sumber daya yang ditentukan | Tulis | |||
EnableAWSOrganizationsAccess | Memberikan izin untuk mengaktifkan fitur berbagi portofolio melalui AWS Organizations | Tulis | |||
ExecuteProvisionedProductPlan | Memberikan izin untuk menjalankan rencana produk yang disediakan | Tulis | |||
ExecuteProvisionedProductServiceAction | Memberikan izin untuk mengeksekusi rencana produk yang disediakan | Tulis | |||
GetAWSOrganizationsAccessStatus | Memberikan izin untuk mendapatkan status akses fitur berbagi portofolio AWS Organisasi | Baca | |||
GetApplication | Memberikan izin untuk mendapatkan aplikasi | Baca | |||
GetAssociatedResource | Memberikan izin untuk mendapatkan informasi tentang sumber daya yang terkait dengan aplikasi | Baca | |||
GetAttributeGroup | Memberikan izin untuk mendapatkan grup atribut | Baca | |||
GetConfiguration | Memberikan izin untuk membaca konfigurasi AppRegistry | Baca | |||
GetProvisionedProductOutputs | Memberikan izin untuk mendapatkan output produk yang disediakan dengan id atau nama produk yang disediakan | Baca | |||
ImportAsProvisionedProduct | Memberikan izin untuk mengimpor sumber daya ke produk yang disediakan | Tulis | |||
ListAcceptedPortfolioShares | Memberikan izin untuk membuat daftar portofolio yang telah dibagikan dengan Anda dan Anda telah menerimanya | Daftar | |||
ListApplications | Memberikan izin untuk membuat daftar aplikasi Anda | Daftar | |||
ListAssociatedAttributeGroups | Memberikan izin untuk mencantumkan grup atribut yang terkait dengan aplikasi | Daftar | |||
ListAssociatedResources | Memberikan izin untuk membuat daftar sumber daya yang terkait dengan aplikasi | Daftar | |||
ListAttributeGroups | Memberikan izin untuk membuat daftar grup atribut Anda | Daftar | |||
ListAttributeGroupsForApplication | Memberikan izin untuk mencantumkan grup atribut terkait untuk aplikasi tertentu | Daftar | |||
ListBudgetsForResource | Memberikan izin untuk membuat daftar semua anggaran yang terkait dengan sumber daya | Daftar | |||
ListConstraintsForPortfolio | Memberikan izin untuk membuat daftar kendala yang terkait dengan portofolio tertentu | Daftar | |||
ListLaunchPaths | Memberikan izin untuk membuat daftar berbagai cara untuk meluncurkan produk tertentu sebagai pengguna akhir | Daftar | |||
ListOrganizationPortfolioAccess | Memberikan izin untuk membuat daftar node organisasi yang memiliki akses ke portofolio yang ditentukan | Daftar | |||
ListPortfolioAccess | Memberikan izin untuk membuat daftar AWS akun yang telah Anda bagikan portofolio yang diberikan | Daftar | |||
ListPortfolios | Memberikan izin untuk membuat daftar portofolio di akun Anda | Daftar | |||
ListPortfoliosForProduct | Memberikan izin untuk membuat daftar portofolio yang terkait dengan produk tertentu | Daftar | |||
ListPrincipalsForPortfolio | Memberikan izin untuk membuat daftar prinsipal IAM yang terkait dengan portofolio tertentu | Daftar | |||
ListProvisionedProductPlans | Memberikan izin untuk membuat daftar paket produk yang disediakan | Daftar | |||
ListProvisioningArtifacts | Memberikan izin untuk membuat daftar artefak penyediaan yang terkait dengan produk tertentu | Daftar | |||
ListProvisioningArtifactsForServiceAction | Memberikan izin untuk membuat daftar semua artefak penyediaan untuk tindakan swalayan yang ditentukan | Daftar | |||
ListRecordHistory | Memberikan izin untuk mencantumkan semua catatan di akun Anda atau semua catatan yang terkait dengan produk yang disediakan | Daftar | |||
ListResourcesForTagOption | Memberikan izin untuk membuat daftar sumber daya yang terkait dengan yang ditentukan TagOption | Daftar | |||
ListServiceActions | Memberikan izin untuk membuat daftar semua tindakan swalayan | Daftar | |||
ListServiceActionsForProvisioningArtifact | Memberikan izin untuk mencantumkan semua tindakan layanan yang terkait dengan artefak penyediaan yang ditentukan di akun Anda | Daftar | |||
ListStackInstancesForProvisionedProduct | Memberikan izin untuk mencantumkan akun, wilayah, dan status setiap instance tumpukan yang terkait dengan produk yang disediakan tipe CFN_STACKSET | Daftar | |||
ListTagOptions | Memberikan izin untuk daftar yang ditentukan TagOptions atau semua TagOptions | Daftar | |||
ListTagsForResource | Memberikan izin untuk mencantumkan tag untuk sumber daya appregistry katalog layanan | Baca | |||
NotifyProvisionProductEngineWorkflowResult | Memberikan izin untuk memberitahukan hasil eksekusi mesin penyediaan | Tulis | |||
NotifyTerminateProvisionedProductEngineWorkflowResult | Memberikan izin untuk memberi tahu hasil eksekusi mesin yang dihentikan | Tulis | |||
NotifyUpdateProvisionedProductEngineWorkflowResult | Memberikan izin untuk memberi tahu hasil eksekusi mesin pembaruan | Tulis | |||
ProvisionProduct | Memberikan izin untuk menyediakan produk dengan artefak penyediaan tertentu dan parameter peluncuran | Tulis | |||
PutConfiguration | Memberikan izin untuk menetapkan konfigurasi AppRegistry | Tulis | |||
RejectPortfolioShare | Memberikan izin untuk menolak portofolio yang telah dibagikan kepada Anda yang sebelumnya Anda terima | Tulis | |||
ScanProvisionedProducts | Memberikan izin untuk mencantumkan semua produk yang disediakan di akun Anda | Daftar | |||
SearchProducts | Memberikan izin untuk mencantumkan produk yang tersedia bagi Anda sebagai pengguna akhir | Daftar | |||
SearchProductsAsAdmin | Memberikan izin untuk mencantumkan semua produk di akun Anda atau semua produk yang terkait dengan portofolio tertentu | Daftar | |||
SearchProvisionedProducts | Memberikan izin untuk mencantumkan semua produk yang disediakan di akun Anda | Daftar | |||
SyncResource | Memberikan izin untuk menyinkronkan sumber daya dengan statusnya saat ini AppRegistry | Tulis |
cloudformation:UpdateStack |
||
TagResource | Memberikan izin untuk menandai sumber daya appregistry katalog layanan | Penandaan | |||
TerminateProvisionedProduct | Memberikan izin untuk menghentikan produk yang sudah ada | Tulis | |||
UntagResource | Memberikan izin untuk menghapus tag dari sumber daya appregistry katalog layanan | Penandaan | |||
UpdateApplication | Memberikan izin untuk memperbarui atribut aplikasi yang ada | Tulis |
iam:CreateServiceLinkedRole |
||
UpdateAttributeGroup | Memberikan izin untuk memperbarui atribut grup atribut yang ada | Tulis | |||
UpdateConstraint | Memberikan izin untuk memperbarui bidang metadata dari kendala yang ada | Tulis | |||
UpdatePortfolio | Memberikan izin untuk memperbarui bidang metadata dan/atau tag portofolio yang ada | Tulis | |||
UpdatePortfolioShare | Memberikan izin untuk mengaktifkan atau menonaktifkan berbagi sumber daya untuk berbagi portofolio yang ada | Manajemen izin | |||
UpdateProduct | Memberikan izin untuk memperbarui bidang metadata dan/atau tag produk yang ada | Tulis | |||
UpdateProvisionedProduct | Memberikan izin untuk memperbarui produk yang sudah ada | Tulis | |||
UpdateProvisionedProductProperties | Memberikan izin untuk memperbarui properti produk yang sudah disediakan | Tulis | |||
UpdateProvisioningArtifact | Memberikan izin untuk memperbarui bidang metadata dari artefak penyediaan yang ada | Tulis | |||
UpdateServiceAction | Memberikan izin untuk memperbarui tindakan swalayan | Tulis | |||
UpdateTagOption | Memberikan izin untuk memperbarui yang ditentukan TagOption | Tulis |
Jenis sumber daya yang ditentukan oleh AWS Service Catalog
Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource
pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.
Jenis sumber daya | ARN | Kunci syarat |
---|---|---|
Application |
arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}
|
|
AttributeGroup |
arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}
|
|
Portfolio |
arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}
|
|
Product |
arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}
|
Kunci kondisi untuk AWS Service Catalog
AWS Service Catalog mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition
elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.
catatan
Misalnya kebijakan yang menunjukkan bagaimana kunci kondisi ini dapat digunakan dalam kebijakan IAM, lihat Contoh Kebijakan Akses untuk Manajemen Produk yang Disediakan dalam Panduan Administrator Service Catalog.
Kunci syarat | Deskripsi | Jenis |
---|---|---|
aws:RequestTag/${TagKey} | Memfilter akses dengan adanya pasangan nilai kunci tag dalam permintaan | String |
aws:ResourceTag/${TagKey} | Memfilter akses dengan pasangan nilai kunci tag yang dilampirkan ke sumber daya | String |
aws:TagKeys | Memfilter akses dengan adanya kunci tag dalam permintaan | ArrayOfString |
servicecatalog:Resource | Memfilter akses dengan mengontrol nilai apa yang dapat ditentukan sebagai parameter Resource di API sumber daya AppRegistry asosiasi | String |
servicecatalog:ResourceType | Memfilter akses dengan mengontrol nilai apa yang dapat ditentukan sebagai ResourceType parameter dalam API sumber daya AppRegistry asosiasi | String |
servicecatalog:accountLevel | Memfilter akses oleh pengguna untuk melihat dan melakukan tindakan pada sumber daya yang dibuat oleh siapa pun di akun | String |
servicecatalog:roleLevel | Memfilter akses oleh pengguna untuk melihat dan melakukan tindakan pada sumber daya yang dibuat oleh mereka atau oleh siapa pun yang bergabung ke dalam peran yang sama dengan mereka | String |
servicecatalog:userLevel | Memfilter akses oleh pengguna untuk melihat dan melakukan tindakan hanya pada sumber daya yang mereka buat | String |