Tindakan, sumber daya, dan kunci kondisi untukAWSKatalog Layanan - Referensi Otorisasi Layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tindakan, sumber daya, dan kunci kondisi untukAWSKatalog Layanan

AWSKatalog Layanan (awalan layanan:servicecatalog) menyediakan sumber daya, tindakan, dan kunci konteks kondisi khusus layanan berikut untuk digunakan dalam kebijakan izin IAM.

Referensi:

Tindakan yang didefinisikan olehAWSKatalog Layanan

Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

YangJenis sumber dayakolom tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan diResourceelemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya denganResourceelemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sebagai diperlukan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

YangKunci kondisikolom tabel Tindakan mencakup kunci yang dapat Anda tentukan dalam pernyataan kebijakanConditionelemen. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihatKunci kondisikolom tabel jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalamJenis sumber dayameja. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan diJenis sumber daya (*wajib)kolom dari tabel Actions. Jenis sumber daya dalam tabel jenis sumber daya mencakupKunci kondisikolom, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihatTabel tindakan.

Tindakan Deskripsi Tingkat akses Jenis sumber daya (*wajib) Kunci kondisi Tindakan bergantung
AcceptPortfolioShare Memberikan izin untuk menerima portofolio yang telah dibagikan dengan Anda Tulis

Portfolio*

AssociateAttributeGroup Memberikan izin untuk mengaitkan grup atribut dengan aplikasi Tulis

Application*

AttributeGroup*

AssociateBudgetWithResource Memberikan izin untuk mengasosiasikan anggaran dengan sumber daya Tulis
AssociatePrincipalWithPortfolio Memberikan izin untuk mengasosiasikan prinsipal IAM dengan portofolio, memberikan akses pokok yang ditentukan ke produk apa pun yang terkait dengan portofolio yang ditentukan Tulis

Portfolio*

AssociateProductWithPortfolio Memberikan izin untuk mengasosiasikan produk dengan portofolio Tulis
AssociateResource Memberikan izin untuk mengasosiasikan sumber daya dengan aplikasi Tulis

Application*

cloudformation:DescribeStacks

resource-groups:CreateGroup

resource-groups:GetGroup

resource-groups:Tag

servicecatalog:ResourceType

servicecatalog:Resource

AssociateServiceActionWithProvisioningArtifact Memberikan izin untuk mengaitkan tindakan dengan artefak penyediaan Tulis

Product*

AssociateTagOptionWithResource Memberikan izin untuk mengasosiasikan yang ditentukanTagOptiondengan portofolio atau produk yang ditentukan Tulis

Portfolio

Product

BatchAssociateServiceActionWithProvisioningArtifact Memberikan izin untuk mengaitkan beberapa tindakan swalayan dengan menyediakan artefak Tulis
BatchDisassociateServiceActionFromProvisioningArtifact Memberikan izin untuk memisahkan sekumpulan tindakan swalayan dari artefak penyediaan yang ditentukan Tulis
CopyProduct Memberikan izin untuk menyalin produk sumber yang ditentukan ke produk target yang ditentukan atau produk baru Tulis
CreateApplication Memberikan izin untuk membuat aplikasi Tulis

Application*

iam:CreateServiceLinkedRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAttributeGroup Memberikan izin untuk membuat grup atribut Tulis

AttributeGroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConstraint Memberikan izin untuk membuat kendala pada produk dan portofolio terkait Tulis

Product*

CreatePortfolio Memberikan izin untuk membuat portofolio Tulis

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePortfolioShare Memberikan izin untuk berbagi portofolio yang Anda miliki dengan yang lainAkun AWS Manajemen izin

Portfolio*

CreateProduct Memberikan izin untuk membuat produk dan artefak penyediaan pertama produk tersebut Tulis

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProvisionedProductPlan Memberikan izin untuk menambahkan paket produk baru yang disediakan Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

CreateProvisioningArtifact Memberikan izin untuk menambahkan artefak penyediaan baru ke produk yang sudah ada Tulis

Product*

CreateServiceAction Memberikan izin untuk membuat tindakan swalayan Tulis
CreateTagOption Memberikan izin untuk membuatTagOption Tulis
DeleteApplication Memberikan izin untuk menghapus aplikasi jika semua asosiasi telah dihapus dari aplikasi Tulis

Application*

DeleteAttributeGroup Memberikan izin untuk menghapus grup atribut jika semua asosiasi telah dihapus dari grup atribut Tulis

AttributeGroup*

DeleteConstraint Memberikan izin untuk menghapus dan menghapus kendala yang ada dari produk dan portofolio terkait Tulis
DeletePortfolio Memberikan izin untuk menghapus portofolio jika semua asosiasi dan saham telah dihapus dari portofolio Tulis

Portfolio*

DeletePortfolioShare Memberikan izin untuk membatalkan pembagian portofolio yang Anda miliki dariAkun AWSAnda sebelumnya berbagi portofolio dengan Manajemen izin

Portfolio*

DeleteProduct Memberikan izin untuk menghapus produk jika semua asosiasi telah dihapus dari produk Tulis

Product*

DeleteProvisionedProductPlan Memberikan izin untuk menghapus paket produk yang disediakan Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DeleteProvisioningArtifact Memberikan izin untuk menghapus artefak penyediaan dari suatu produk Tulis

Product*

DeleteServiceAction Memberikan izin untuk menghapus tindakan swalayan Tulis
DeleteTagOption Memberikan izin untuk menghapus yang ditentukanTagOption Tulis
DescribeConstraint Memberikan izin untuk menggambarkan kendala Baca
DescribeCopyProductStatus Memberikan izin untuk mendapatkan status operasi produk salinan yang ditentukan Baca
DescribePortfolio Memberikan izin untuk mendeskripsikan portofolio Baca

Portfolio*

DescribePortfolioShareStatus Memberikan izin untuk mendapatkan status operasi berbagi portofolio yang ditentukan Baca
DescribePortfolioShares Memberikan izin untuk melihat ringkasan dari masing-masing saham portofolio yang dibuat untuk portofolio yang ditentukan Daftar

Portfolio*

DescribeProduct Memberikan izin untuk menggambarkan produk sebagai pengguna akhir Baca

Product*

DescribeProductAsAdmin Memberikan izin untuk menggambarkan produk sebagai admin Baca

Product*

DescribeProductView Memberikan izin untuk menggambarkan produk sebagai pengguna akhir Baca
DescribeProvisionedProduct Memberikan izin untuk mendeskripsikan produk yang disediakan Baca

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisionedProductPlan Memberikan izin untuk menjelaskan rencana produk yang disediakan Baca

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisioningArtifact Memberikan izin untuk menggambarkan artefak penyediaan Baca

Product*

DescribeProvisioningParameters Memberikan izin untuk mendeskripsikan parameter yang perlu Anda tentukan agar berhasil menyediakan artefak penyediaan yang ditentukan Baca

Product*

DescribeRecord Memberikan izin untuk mendeskripsikan catatan dan mencantumkan output apa pun Baca

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeServiceAction Memberikan izin untuk menggambarkan tindakan swalayan Baca
DescribeServiceActionExecutionParameters Memberikan izin untuk mendapatkan parameter default jika Anda menjalankan Tindakan Layanan yang ditentukan pada Produk Disediakan yang ditentukan Baca

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeTagOption Memberikan izin untuk mendapatkan informasi tentang yang ditentukanTagOption Baca
DisableAWSOrganizationsAccess Memberikan izin untuk menonaktifkan berbagi portofolio melaluiAWSFitur organisasi Tulis
DisassociateAttributeGroup Memberikan izin untuk memisahkan grup atribut dari aplikasi Tulis

Application*

AttributeGroup*

DisassociateBudgetFromResource Memberikan izin untuk memisahkan anggaran dari sumber daya Tulis
DisassociatePrincipalFromPortfolio Memberikan izin untuk memisahkan prinsipal IAM dari portofolio Tulis

Portfolio*

DisassociateProductFromPortfolio Memberikan izin untuk memisahkan produk dari portofolio Tulis
DisassociateResource Memberikan izin untuk memisahkan sumber daya dari aplikasi Tulis

Application*

resource-groups:DeleteGroup

servicecatalog:ResourceType

servicecatalog:Resource

DisassociateServiceActionFromProvisioningArtifact Memberikan izin untuk memisahkan asosiasi tindakan swalayan yang ditentukan dari artefak penyediaan yang ditentukan Tulis

Product*

DisassociateTagOptionFromResource Memberikan izin untuk memisahkan yang ditentukanTagOptiondari sumber daya yang ditentukan Tulis

Portfolio

Product

EnableAWSOrganizationsAccess Memberikan izin untuk mengaktifkan fitur berbagi portofolio melaluiAWSOrganisasi Tulis
ExecuteProvisionedProductPlan Memberikan izin untuk melaksanakan rencana produk yang disediakan Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ExecuteProvisionedProductServiceAction Memberikan izin untuk mengeksekusi rencana produk yang disediakan Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

GetAWSOrganizationsAccessStatus Memberikan izin untuk mendapatkan status aksesAWSFitur berbagi portofolio organisasi Baca
GetApplication Memberikan izin untuk mendapatkan aplikasi Baca

Application*

GetAssociatedResource Memberikan izin untuk mendapatkan informasi tentang sumber daya yang terkait dengan aplikasi Baca

Application*

servicecatalog:ResourceType

servicecatalog:Resource

GetAttributeGroup Memberikan izin untuk mendapatkan grup atribut Baca

AttributeGroup*

GetConfiguration Memberikan izin untuk membacaAppRegistrysusunan Baca
GetProvisionedProductOutputs Memberikan izin untuk mendapatkan output produk yang disediakan dengan id atau nama produk yang disediakan Baca
ImportAsProvisionedProduct Memberikan izin untuk mengimpor sumber daya ke dalam produk yang disediakan Tulis

Product*

ListAcceptedPortfolioShares Memberikan izin untuk mencantumkan portofolio yang telah dibagikan dengan Anda dan Anda telah menerima Daftar
ListApplications Memberikan izin untuk mencantumkan aplikasi Anda Daftar
ListAssociatedAttributeGroups Memberikan izin untuk mencantumkan grup atribut yang terkait dengan aplikasi Daftar

Application*

ListAssociatedResources Memberikan izin untuk mencantumkan sumber daya yang terkait dengan aplikasi Daftar

Application*

ListAttributeGroups Memberikan izin untuk mencantumkan grup atribut Daftar
ListAttributeGroupsForApplication Memberikan izin untuk mencantumkan grup atribut terkait untuk aplikasi tertentu Daftar

Application*

ListBudgetsForResource Memberikan izin untuk mencantumkan semua anggaran yang terkait dengan sumber daya Daftar
ListConstraintsForPortfolio Memberikan izin untuk mencantumkan batasan yang terkait dengan portofolio tertentu Daftar
ListLaunchPaths Memberikan izin untuk mencantumkan berbagai cara untuk meluncurkan produk tertentu sebagai pengguna akhir Daftar

Product*

ListOrganizationPortfolioAccess Memberikan izin untuk mencantumkan node organisasi yang memiliki akses ke portofolio yang ditentukan Daftar
ListPortfolioAccess Memberikan izin untuk mencantumkanAWSakun yang telah Anda bagikan portofolio tertentu Daftar

Portfolio*

ListPortfolios Memberikan izin untuk mencantumkan portofolio di akun Anda Daftar
ListPortfoliosForProduct Memberikan izin untuk mencantumkan portofolio yang terkait dengan produk tertentu Daftar

Product*

ListPrincipalsForPortfolio Memberikan izin untuk mencantumkan prinsipal IAM yang terkait dengan portofolio tertentu Daftar

Portfolio*

ListProvisionedProductPlans Memberikan izin untuk mencantumkan paket produk yang disediakan Daftar

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListProvisioningArtifacts Memberikan izin untuk mencantumkan artefak penyediaan yang terkait dengan produk tertentu Daftar

Product*

ListProvisioningArtifactsForServiceAction Memberikan izin untuk mencantumkan semua artefak penyediaan untuk tindakan swalayan yang ditentukan Daftar
ListRecordHistory Memberikan izin untuk mencantumkan semua catatan di akun Anda atau semua catatan yang terkait dengan produk yang diberikan Daftar

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListResourcesForTagOption Memberikan izin untuk mencantumkan sumber daya yang terkait dengan yang ditentukanTagOption Daftar
ListServiceActions Memberikan izin untuk mencantumkan semua tindakan swalayan Daftar
ListServiceActionsForProvisioningArtifact Memberikan izin untuk mencantumkan semua tindakan layanan yang terkait dengan artefak penyediaan yang ditentukan di akun Anda Daftar

Product*

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListStackInstancesForProvisionedProduct Memberikan izin untuk mencantumkan akun, wilayah, dan status setiap instans tumpukan yang dikaitkan dengan produk yang disediakan tipe CFN_STACKSET Daftar

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListTagOptions Memberikan izin untuk mencantumkan yang ditentukanTagOptionsatau semuaTagOptions Daftar
ListTagsForResource Memberikan izin untuk mencantumkan tag untuk sumber daya appregistry katalog layanan Baca

Application

AttributeGroup

NotifyProvisionProductEngineWorkflowResult Memberikan izin untuk memberitahukan hasil eksekusi mesin penyediaan Tulis
NotifyTerminateProvisionedProductEngineWorkflowResult Memberikan izin untuk memberitahukan hasil eksekusi mesin penghentian Tulis
NotifyUpdateProvisionedProductEngineWorkflowResult Memberikan izin untuk memberitahukan hasil eksekusi mesin pembaruan Tulis
ProvisionProduct Memberikan izin untuk menyediakan produk dengan artefak penyediaan tertentu dan parameter peluncuran Tulis

Product*

PutConfiguration Memberikan izin untuk menetapkanAppRegistrysusunan Tulis
RejectPortfolioShare Memberikan izin untuk menolak portofolio yang telah dibagikan dengan Anda yang sebelumnya Anda terima Tulis

Portfolio*

ScanProvisionedProducts Memberikan izin untuk mencantumkan semua produk yang disediakan di akun Anda Daftar

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SearchProducts Memberikan izin untuk mencantumkan produk yang tersedia untuk Anda sebagai pengguna akhir Daftar
SearchProductsAsAdmin Memberikan izin untuk mencantumkan semua produk di akun Anda atau semua produk yang terkait dengan portofolio tertentu Daftar
SearchProvisionedProducts Memberikan izin untuk mencantumkan semua produk yang disediakan di akun Anda Daftar

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SyncResource Memberikan izin untuk menyinkronkan sumber daya dengan status saat ini diAppRegistry Tulis

cloudformation:UpdateStack

TagResource Memberikan izin untuk menandai sumber daya appregistry katalog layanan Penandaan

Application

AttributeGroup

aws:TagKeys

aws:RequestTag/${TagKey}

TerminateProvisionedProduct Memberikan izin untuk mengakhiri produk yang sudah ada Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UntagResource Memberikan izin untuk menghapus tag dari sumber daya appregistry katalog layanan Penandaan

Application

AttributeGroup

aws:TagKeys

aws:RequestTag/${TagKey}

UpdateApplication Memberikan izin untuk memperbarui atribut aplikasi yang ada Tulis

Application*

iam:CreateServiceLinkedRole

UpdateAttributeGroup Memberikan izin untuk memperbarui atribut grup atribut yang ada Tulis

AttributeGroup*

UpdateConstraint Memberikan izin untuk memperbarui bidang metadata dari batasan yang ada Tulis
UpdatePortfolio Memberikan izin untuk memperbarui bidang metadata dan/atau tag portofolio yang ada Tulis

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdatePortfolioShare Memberikan izin untuk mengaktifkan atau menonaktifkan berbagi sumber daya untuk berbagi portofolio yang ada Manajemen izin

Portfolio*

UpdateProduct Memberikan izin untuk memperbarui bidang metadata dan/atau tag produk yang ada Tulis

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateProvisionedProduct Memberikan izin untuk memperbarui produk yang sudah ada Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UpdateProvisionedProductProperties Memberikan izin untuk memperbarui properti dari produk yang telah disediakan Tulis
UpdateProvisioningArtifact Memberikan izin untuk memperbarui bidang metadata dari artefak penyediaan yang ada Tulis

Product*

UpdateServiceAction Memberikan izin untuk memperbarui tindakan swalayan Tulis
UpdateTagOption Memberikan izin untuk memperbarui yang ditentukanTagOption Tulis

Jenis sumber daya yang ditentukan olehAWSKatalog Layanan

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Kunci ini ditampilkan di kolom terakhir dari tabel jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihatTabel jenis sumber daya.

Jenis sumber daya ARN Kunci syarat
Application arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}

aws:ResourceTag/${TagKey}

AttributeGroup arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}

aws:ResourceTag/${TagKey}

Portfolio arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}

aws:ResourceTag/${TagKey}

Product arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}

aws:ResourceTag/${TagKey}

Kunci kondisi untukAWSKatalog Layanan

AWSService Catalog mendefinisikan kunci kondisi berikut yang dapat digunakan dalamConditionelemen dari kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut dimana pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihatTabel kunci kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

catatan

Misalnya kebijakan yang menunjukkan bagaimana kunci kondisi ini dapat digunakan dalam kebijakan IAM, lihatContoh Kebijakan Akses untuk Manajemen Produk yang Disediakandi dalamPanduan Administrator Katalog Layanan.

Kunci syarat Deskripsi Tipe
aws:RequestTag/${TagKey} Memfilter akses dengan adanya pasangan kunci-nilai tag dalam permintaan String
aws:ResourceTag/${TagKey} Memfilter akses berdasarkan pasangan kunci-nilai tag yang dilampirkan ke sumber daya String
aws:TagKeys Memfilter akses dengan adanya kunci tag dalam permintaan ArrayOfString
servicecatalog:Resource Memfilter akses dengan mengontrol nilai apa yang dapat ditentukan sebagai parameter Sumber Daya dalam sebuahAppRegistryAPI sumber daya asosiasi String
servicecatalog:ResourceType Filter akses dengan mengontrol nilai apa yang dapat ditentukan sebagaiResourceTypeparameter dalamAppRegistryAPI sumber daya asosiasi String
servicecatalog:accountLevel Memfilter akses oleh pengguna untuk melihat dan melakukan tindakan pada sumber daya yang dibuat oleh siapa pun di akun String
servicecatalog:roleLevel Memfilter akses oleh pengguna untuk melihat dan melakukan tindakan pada sumber daya yang dibuat oleh mereka atau oleh siapa pun yang federasi ke peran yang sama seperti mereka String
servicecatalog:userLevel Memfilter akses oleh pengguna untuk melihat dan melakukan tindakan hanya pada sumber daya yang mereka buat String