Kunci tindakan, sumber daya, dan kondisi untuk AWS Service Catalog - Referensi Otorisasi Layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kunci tindakan, sumber daya, dan kondisi untuk AWS Service Catalog

AWS Service Catalog (awalan layanan:servicecatalog) menyediakan sumber daya khusus layanan, tindakan, dan kunci konteks kondisi berikut untuk digunakan dalam kebijakan izin IAM.

Referensi:

Tindakan yang ditentukan oleh AWS Service Catalog

Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.

Tindakan Deskripsi Tingkat akses Jenis sumber daya (*diperlukan) Kunci syarat Tindakan bergantung
AcceptPortfolioShare Memberikan izin untuk menerima portofolio yang telah dibagikan dengan Anda Tulis

Portfolio*

AssociateAttributeGroup Memberikan izin untuk mengaitkan grup atribut dengan aplikasi Tulis

Application*

AttributeGroup*

AssociateBudgetWithResource Memberikan izin untuk mengaitkan anggaran dengan sumber daya Tulis
AssociatePrincipalWithPortfolio Memberikan izin untuk mengaitkan prinsipal IAM dengan portofolio, memberikan akses utama yang ditentukan ke produk apa pun yang terkait dengan portofolio yang ditentukan Tulis

Portfolio*

AssociateProductWithPortfolio Memberikan izin untuk mengaitkan produk dengan portofolio Tulis
AssociateResource Memberikan izin untuk mengaitkan sumber daya dengan aplikasi Tulis

Application*

cloudformation:DescribeStacks

resource-groups:CreateGroup

resource-groups:GetGroup

resource-groups:Tag

servicecatalog:ResourceType

servicecatalog:Resource

AssociateServiceActionWithProvisioningArtifact Memberikan izin untuk mengaitkan tindakan dengan artefak penyediaan Tulis

Product*

AssociateTagOptionWithResource Memberikan izin untuk mengaitkan yang ditentukan TagOption dengan portofolio atau produk yang ditentukan Tulis

Portfolio

Product

BatchAssociateServiceActionWithProvisioningArtifact Memberikan izin untuk mengaitkan beberapa tindakan swalayan dengan artefak penyediaan Tulis
BatchDisassociateServiceActionFromProvisioningArtifact Memberikan izin untuk memisahkan sejumlah tindakan swalayan dari artefak penyediaan yang ditentukan Tulis
CopyProduct Memberikan izin untuk menyalin produk sumber yang ditentukan ke produk target yang ditentukan atau produk baru Tulis
CreateApplication Memberikan izin untuk membuat aplikasi Tulis

Application*

iam:CreateServiceLinkedRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAttributeGroup Memberikan izin untuk membuat grup atribut Tulis

AttributeGroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConstraint Memberikan izin untuk membuat kendala pada produk dan portofolio terkait Tulis

Product*

CreatePortfolio Memberikan izin untuk membuat portofolio Tulis

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePortfolioShare Memberikan izin untuk berbagi portofolio yang Anda miliki dengan yang lain Akun AWS Manajemen izin

Portfolio*

CreateProduct Memberikan izin untuk membuat produk dan artefak penyediaan pertama produk tersebut Tulis

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProvisionedProductPlan Memberikan izin untuk menambahkan paket produk baru yang disediakan Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

CreateProvisioningArtifact Memberikan izin untuk menambahkan artefak penyediaan baru ke produk yang sudah ada Tulis

Product*

CreateServiceAction Memberikan izin untuk membuat tindakan swalayan Tulis
CreateTagOption Memberikan izin untuk membuat TagOption Tulis
DeleteApplication Memberikan izin untuk menghapus aplikasi jika semua asosiasi telah dihapus dari aplikasi Tulis

Application*

DeleteAttributeGroup Memberikan izin untuk menghapus grup atribut jika semua asosiasi telah dihapus dari grup atribut Tulis

AttributeGroup*

DeleteConstraint Memberikan izin untuk menghapus dan menghapus kendala yang ada dari produk dan portofolio terkait Tulis
DeletePortfolio Memberikan izin untuk menghapus portofolio jika semua asosiasi dan saham telah dihapus dari portofolio Tulis

Portfolio*

DeletePortfolioShare Memberikan izin untuk membatalkan pembagian portofolio yang Anda miliki dari portofolio yang sebelumnya Akun AWS Anda bagikan Manajemen izin

Portfolio*

DeleteProduct Memberikan izin untuk menghapus produk jika semua asosiasi telah dihapus dari produk Tulis

Product*

DeleteProvisionedProductPlan Memberikan izin untuk menghapus paket produk yang disediakan Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DeleteProvisioningArtifact Memberikan izin untuk menghapus artefak penyediaan dari produk Tulis

Product*

DeleteServiceAction Memberikan izin untuk menghapus tindakan swalayan Tulis
DeleteTagOption Memberikan izin untuk menghapus yang ditentukan TagOption Tulis
DescribeConstraint Memberikan izin untuk menggambarkan kendala Baca
DescribeCopyProductStatus Memberikan izin untuk mendapatkan status operasi produk salinan yang ditentukan Baca
DescribePortfolio Memberikan izin untuk mendeskripsikan portofolio Baca

Portfolio*

DescribePortfolioShareStatus Memberikan izin untuk mendapatkan status operasi pembagian portofolio yang ditentukan Baca
DescribePortfolioShares Memberikan izin untuk melihat ringkasan dari masing-masing saham portofolio yang dibuat untuk portofolio yang ditentukan Daftar

Portfolio*

DescribeProduct Memberikan izin untuk menggambarkan produk sebagai pengguna akhir Baca

Product*

DescribeProductAsAdmin Memberikan izin untuk mendeskripsikan produk sebagai admin Baca

Product*

DescribeProductView Memberikan izin untuk menggambarkan produk sebagai pengguna akhir Baca
DescribeProvisionedProduct Memberikan izin untuk mendeskripsikan produk yang disediakan Baca

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisionedProductPlan Memberikan izin untuk menjelaskan rencana produk yang disediakan Baca

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisioningArtifact Memberikan izin untuk menggambarkan artefak penyediaan Baca

Product*

DescribeProvisioningParameters Memberikan izin untuk menjelaskan parameter yang perlu Anda tentukan agar berhasil menyediakan artefak penyediaan tertentu Baca

Product*

DescribeRecord Memberikan izin untuk mendeskripsikan catatan dan mencantumkan output apa pun Baca

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeServiceAction Memberikan izin untuk menggambarkan tindakan swalayan Baca
DescribeServiceActionExecutionParameters Memberikan izin untuk mendapatkan parameter default jika Anda menjalankan Tindakan Layanan yang ditentukan pada Produk yang Disediakan yang ditentukan Baca

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeTagOption Memberikan izin untuk mendapatkan informasi tentang yang ditentukan TagOption Baca
DisableAWSOrganizationsAccess Memberikan izin untuk menonaktifkan berbagi portofolio melalui fitur AWS Organizations Tulis
DisassociateAttributeGroup Memberikan izin untuk memisahkan grup atribut dari aplikasi Tulis

Application*

AttributeGroup*

DisassociateBudgetFromResource Memberikan izin untuk memisahkan anggaran dari sumber daya Tulis
DisassociatePrincipalFromPortfolio Memberikan izin untuk memisahkan kepala sekolah IAM dari portofolio Tulis

Portfolio*

DisassociateProductFromPortfolio Memberikan izin untuk memisahkan produk dari portofolio Tulis
DisassociateResource Memberikan izin untuk memisahkan sumber daya dari aplikasi Tulis

Application*

resource-groups:DeleteGroup

servicecatalog:ResourceType

servicecatalog:Resource

DisassociateServiceActionFromProvisioningArtifact Memberikan izin untuk memisahkan asosiasi tindakan swalayan yang ditentukan dari artefak penyediaan yang ditentukan Tulis

Product*

DisassociateTagOptionFromResource Memberikan izin untuk memisahkan yang ditentukan TagOption dari sumber daya yang ditentukan Tulis

Portfolio

Product

EnableAWSOrganizationsAccess Memberikan izin untuk mengaktifkan fitur berbagi portofolio melalui AWS Organizations Tulis
ExecuteProvisionedProductPlan Memberikan izin untuk menjalankan rencana produk yang disediakan Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ExecuteProvisionedProductServiceAction Memberikan izin untuk mengeksekusi rencana produk yang disediakan Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

GetAWSOrganizationsAccessStatus Memberikan izin untuk mendapatkan status akses fitur berbagi portofolio AWS Organisasi Baca
GetApplication Memberikan izin untuk mendapatkan aplikasi Baca

Application*

GetAssociatedResource Memberikan izin untuk mendapatkan informasi tentang sumber daya yang terkait dengan aplikasi Baca

Application*

servicecatalog:ResourceType

servicecatalog:Resource

GetAttributeGroup Memberikan izin untuk mendapatkan grup atribut Baca

AttributeGroup*

GetConfiguration Memberikan izin untuk membaca konfigurasi AppRegistry Baca
GetProvisionedProductOutputs Memberikan izin untuk mendapatkan output produk yang disediakan dengan id atau nama produk yang disediakan Baca
ImportAsProvisionedProduct Memberikan izin untuk mengimpor sumber daya ke produk yang disediakan Tulis

Product*

ListAcceptedPortfolioShares Memberikan izin untuk membuat daftar portofolio yang telah dibagikan dengan Anda dan Anda telah menerimanya Daftar
ListApplications Memberikan izin untuk membuat daftar aplikasi Anda Daftar
ListAssociatedAttributeGroups Memberikan izin untuk mencantumkan grup atribut yang terkait dengan aplikasi Daftar

Application*

ListAssociatedResources Memberikan izin untuk membuat daftar sumber daya yang terkait dengan aplikasi Daftar

Application*

ListAttributeGroups Memberikan izin untuk membuat daftar grup atribut Anda Daftar
ListAttributeGroupsForApplication Memberikan izin untuk mencantumkan grup atribut terkait untuk aplikasi tertentu Daftar

Application*

ListBudgetsForResource Memberikan izin untuk membuat daftar semua anggaran yang terkait dengan sumber daya Daftar
ListConstraintsForPortfolio Memberikan izin untuk membuat daftar kendala yang terkait dengan portofolio tertentu Daftar
ListLaunchPaths Memberikan izin untuk membuat daftar berbagai cara untuk meluncurkan produk tertentu sebagai pengguna akhir Daftar

Product*

ListOrganizationPortfolioAccess Memberikan izin untuk membuat daftar node organisasi yang memiliki akses ke portofolio yang ditentukan Daftar
ListPortfolioAccess Memberikan izin untuk membuat daftar AWS akun yang telah Anda bagikan portofolio yang diberikan Daftar

Portfolio*

ListPortfolios Memberikan izin untuk membuat daftar portofolio di akun Anda Daftar
ListPortfoliosForProduct Memberikan izin untuk membuat daftar portofolio yang terkait dengan produk tertentu Daftar

Product*

ListPrincipalsForPortfolio Memberikan izin untuk membuat daftar prinsipal IAM yang terkait dengan portofolio tertentu Daftar

Portfolio*

ListProvisionedProductPlans Memberikan izin untuk membuat daftar paket produk yang disediakan Daftar

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListProvisioningArtifacts Memberikan izin untuk membuat daftar artefak penyediaan yang terkait dengan produk tertentu Daftar

Product*

ListProvisioningArtifactsForServiceAction Memberikan izin untuk membuat daftar semua artefak penyediaan untuk tindakan swalayan yang ditentukan Daftar
ListRecordHistory Memberikan izin untuk mencantumkan semua catatan di akun Anda atau semua catatan yang terkait dengan produk yang disediakan Daftar

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListResourcesForTagOption Memberikan izin untuk membuat daftar sumber daya yang terkait dengan yang ditentukan TagOption Daftar
ListServiceActions Memberikan izin untuk membuat daftar semua tindakan swalayan Daftar
ListServiceActionsForProvisioningArtifact Memberikan izin untuk mencantumkan semua tindakan layanan yang terkait dengan artefak penyediaan yang ditentukan di akun Anda Daftar

Product*

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListStackInstancesForProvisionedProduct Memberikan izin untuk mencantumkan akun, wilayah, dan status setiap instance tumpukan yang terkait dengan produk yang disediakan tipe CFN_STACKSET Daftar

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListTagOptions Memberikan izin untuk daftar yang ditentukan TagOptions atau semua TagOptions Daftar
ListTagsForResource Memberikan izin untuk mencantumkan tag untuk sumber daya appregistry katalog layanan Baca

Application

AttributeGroup

NotifyProvisionProductEngineWorkflowResult Memberikan izin untuk memberitahukan hasil eksekusi mesin penyediaan Tulis
NotifyTerminateProvisionedProductEngineWorkflowResult Memberikan izin untuk memberi tahu hasil eksekusi mesin yang dihentikan Tulis
NotifyUpdateProvisionedProductEngineWorkflowResult Memberikan izin untuk memberi tahu hasil eksekusi mesin pembaruan Tulis
ProvisionProduct Memberikan izin untuk menyediakan produk dengan artefak penyediaan tertentu dan parameter peluncuran Tulis

Product*

PutConfiguration Memberikan izin untuk menetapkan konfigurasi AppRegistry Tulis
RejectPortfolioShare Memberikan izin untuk menolak portofolio yang telah dibagikan kepada Anda yang sebelumnya Anda terima Tulis

Portfolio*

ScanProvisionedProducts Memberikan izin untuk mencantumkan semua produk yang disediakan di akun Anda Daftar

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SearchProducts Memberikan izin untuk mencantumkan produk yang tersedia bagi Anda sebagai pengguna akhir Daftar
SearchProductsAsAdmin Memberikan izin untuk mencantumkan semua produk di akun Anda atau semua produk yang terkait dengan portofolio tertentu Daftar
SearchProvisionedProducts Memberikan izin untuk mencantumkan semua produk yang disediakan di akun Anda Daftar

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SyncResource Memberikan izin untuk menyinkronkan sumber daya dengan statusnya saat ini AppRegistry Tulis

cloudformation:UpdateStack

TagResource Memberikan izin untuk menandai sumber daya appregistry katalog layanan Penandaan

Application

AttributeGroup

aws:TagKeys

aws:RequestTag/${TagKey}

TerminateProvisionedProduct Memberikan izin untuk menghentikan produk yang sudah ada Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UntagResource Memberikan izin untuk menghapus tag dari sumber daya appregistry katalog layanan Penandaan

Application

AttributeGroup

aws:TagKeys

aws:RequestTag/${TagKey}

UpdateApplication Memberikan izin untuk memperbarui atribut aplikasi yang ada Tulis

Application*

iam:CreateServiceLinkedRole

UpdateAttributeGroup Memberikan izin untuk memperbarui atribut grup atribut yang ada Tulis

AttributeGroup*

UpdateConstraint Memberikan izin untuk memperbarui bidang metadata dari kendala yang ada Tulis
UpdatePortfolio Memberikan izin untuk memperbarui bidang metadata dan/atau tag portofolio yang ada Tulis

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdatePortfolioShare Memberikan izin untuk mengaktifkan atau menonaktifkan berbagi sumber daya untuk berbagi portofolio yang ada Manajemen izin

Portfolio*

UpdateProduct Memberikan izin untuk memperbarui bidang metadata dan/atau tag produk yang ada Tulis

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateProvisionedProduct Memberikan izin untuk memperbarui produk yang sudah ada Tulis

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UpdateProvisionedProductProperties Memberikan izin untuk memperbarui properti produk yang sudah disediakan Tulis
UpdateProvisioningArtifact Memberikan izin untuk memperbarui bidang metadata dari artefak penyediaan yang ada Tulis

Product*

UpdateServiceAction Memberikan izin untuk memperbarui tindakan swalayan Tulis
UpdateTagOption Memberikan izin untuk memperbarui yang ditentukan TagOption Tulis

Jenis sumber daya yang ditentukan oleh AWS Service Catalog

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.

Jenis sumber daya ARN Kunci syarat
Application arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}

aws:ResourceTag/${TagKey}

AttributeGroup arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}

aws:ResourceTag/${TagKey}

Portfolio arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}

aws:ResourceTag/${TagKey}

Product arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}

aws:ResourceTag/${TagKey}

Kunci kondisi untuk AWS Service Catalog

AWS Service Catalog mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

catatan

Misalnya kebijakan yang menunjukkan bagaimana kunci kondisi ini dapat digunakan dalam kebijakan IAM, lihat Contoh Kebijakan Akses untuk Manajemen Produk yang Disediakan dalam Panduan Administrator Service Catalog.

Kunci syarat Deskripsi Jenis
aws:RequestTag/${TagKey} Memfilter akses dengan adanya pasangan nilai kunci tag dalam permintaan String
aws:ResourceTag/${TagKey} Memfilter akses dengan pasangan nilai kunci tag yang dilampirkan ke sumber daya String
aws:TagKeys Memfilter akses dengan adanya kunci tag dalam permintaan ArrayOfString
servicecatalog:Resource Memfilter akses dengan mengontrol nilai apa yang dapat ditentukan sebagai parameter Resource di API sumber daya AppRegistry asosiasi String
servicecatalog:ResourceType Memfilter akses dengan mengontrol nilai apa yang dapat ditentukan sebagai ResourceType parameter dalam API sumber daya AppRegistry asosiasi String
servicecatalog:accountLevel Memfilter akses oleh pengguna untuk melihat dan melakukan tindakan pada sumber daya yang dibuat oleh siapa pun di akun String
servicecatalog:roleLevel Memfilter akses oleh pengguna untuk melihat dan melakukan tindakan pada sumber daya yang dibuat oleh mereka atau oleh siapa pun yang bergabung ke dalam peran yang sama dengan mereka String
servicecatalog:userLevel Memfilter akses oleh pengguna untuk melihat dan melakukan tindakan hanya pada sumber daya yang mereka buat String