AWS SAMmodelos de política do - AWS Serverless Application Model

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS SAMmodelos de política do

AWS SAMpermite que você escolha de uma lista de modelos de política para definir o escopo das permissões de funções do Lambda para os recursos que são usados pelo aplicativo.

AWS SAMaplicativos naAWS Serverless Application Repositoryque usam modelos de políticas não exigem confirmações especiais do cliente para implantar o aplicativo doAWS Serverless Application Repository.

Se deseja solicitar um novo modelo de política a ser adicionado, faça o seguinte:

  1. Envie uma solicitação pull no arquivo de origem policy_templates.json nodevelopramificação doAWS SAM GitHub projeto do. É possível encontrar o arquivo de origem nopolicy_templates.jsonno GitHub website.

  2. Envie um problema naAWS SAM GitHub que inclui os motivos da sua solicitação pull e um link para a solicitação. Use este link para enviar um novo problema: AWS Serverless Application Model: problemas.

Sintaxe

Para cada modelo de política que você especificar noAWS SAMarquivo de modelo, você deve sempre especificar um objeto que contenha os valores de espaço reservado do modelo de política. Se um modelo de política não exigir nenhum valor de espaço reservado, você deverá especificar um objeto vazio.

YAML

MyFunction: Type: AWS::Serverless::Function Properties: Policies: - PolicyTemplateName1: # Policy template with placeholder value Key1: Value1 - PolicyTemplateName2: {} # Policy template with no placeholder value

Exemplos

Exemplo 1: Modelo de política do

O exemplo a seguir mostra que o modelo de política SQSPollerPolicy espera um QueueName como recurso. OAWS SAMmodelo recupera o nome do”MyQueue“Fila do Amazon SQS, que você pode criar no mesmo aplicativo ou solicitado como um parâmetro para ele.

MyFunction: Type: 'AWS::Serverless::Function' Properties: CodeUri: ${codeuri} Handler: hello.handler Runtime: python2.7 Policies: - SQSPollerPolicy: QueueName: !GetAtt MyQueue.QueueName

Exemplo 2: Modelo de política do

O exemplo a seguir contém o modelo de política CloudWatchPutMetricPolítica, que não tem valores de espaços reservados.

nota

Mesmo que não haja valores de espaço reservado, você deve especificar um objeto vazio, caso contrário, ocorrerá um erro.

MyFunction: Type: 'AWS::Serverless::Function' Properties: CodeUri: ${codeuri} Handler: hello.handler Runtime: python2.7 Policies: - CloudWatchPutMetricPolicy: {}

Tabela de política do

Veja a seguir uma tabela dos modelos de política disponíveis.

Modelo de política Descrição
AcmGetCertificatePolicy Concede permissão para ler um certificado deAWS Certificate Manager.
AMIDescribePolicy Concede permissão para descrever imagens de máquina da Amazon (AMIs).
AthenaQueryPolítica Concede permissões para executar consultas do Athena.
AWSSecretsManagerGetSecretValuePolicy Concede permissão para obter o valor secreto do especificadoAWS Secrets Managersegredo do.
AWSSecretsManagerRotationPolicy Dá permissão para alternar um segredoAWS Secrets Manager.
CloudFormationDescribeStacksPolítica Dá permissão para descreverAWS CloudFormationpilhas.
CloudWatchDashboardPolicy Concede permissões para colocar métricas para operar CloudWatchpainéis do.
CloudWatchDescribeAlarmHistoryPolicy Dá permissão para descrever CloudWatch histórico do alarme.
CloudWatchPutMetricPolítica Concede permissão para enviar métricas para CloudWatch.
CodeCommitCrudPolicy Concede permissões para criar/ler/atualizar/excluir objetos dentro de um CodeCommit repositório do.
CodeCommitReadPolicy Concede permissões para ler objetos dentro de um CodeCommitrepositório do.
CodePipelineLambdaExecutionPolítica Concede permissão para uma função do Lambda invocada por CodePipeline para relatar o status do trabalho.
CodePipelineReadOnlyPolítica Concede permissão de leitura para obter detalhes sobre um CodePipeline pipeline.
ComprehendBasicAccessPolicy Concede permissão para detectar entidades, frases-chave, linguagens e sentimentos.
CostExplorerReadOnlyPolítica Concede permissão somente leitura às APIs do Cost Explorer somente leitura para o histórico de cobrança.
DynamoDBBackupFullAccessPolicy Concede permissão de leitura e gravação para backups sob demanda do DynamoDB para uma tabela.
DynamoDBCrudPolicy Concede permissões create, read, update e delete para uma tabela do Amazon DynamoDB.
DynamoDBReadPolicy Concede permissão somente leitura a uma tabela do DynamoDB.
DynamoDBReconfigurePolicy Concede permissão para reconfigurar uma tabela do DynamoDB.
DynamoDBRestoreFromBackupPolicy Concede permissão para restaurar uma tabela do DynamoDB a partir do backup.
DynamoDBStreamReadPolítica Concede permissão para descrever e ler fluxos e registros do DynamoDB.
DynamoDBWritePolicy Concede permissão somente gravação a uma tabela do DynamoDB.
EC2CopyImagePolítica Concede permissão para copiar imagens do Amazon EC2.
EC2DescribePolicy Concede permissão para descrever as instâncias do Amazon Elastic Compute Cloud (Amazon EC2).
EcsRunTaskPolicy Concede permissão para iniciar uma nova tarefa para uma definição de tarefa.
EFSWriteAccessPolítica Concede permissão para montar um sistema de arquivos do Amazon EFS com acesso de gravação.
EKSDescribePolicy Concede permissão para descrever ou listar clusters do Amazon EKS.
ElasticMapReduceAddJobFlowStepsPolicy Concede permissão para adicionar novas etapas a um cluster em execução.
ElasticMapReduceCancelStepsPolicy Concede permissão para cancelar uma ou mais mais mais mais mais mais etapas pendentes em um cluster em execução.
ElasticMapReduceModifyInstanceFleetPolítica Concede permissão para listar detalhes e modificar capacidades para frotas de exemplo dentro de um cluster.
ElasticMapReduceModifyInstanceGroupsPolítica Concede permissão para listar detalhes e modificar configurações para grupos de instâncias em um cluster.
ElasticMapReduceSetTerminationProtectionPolítica Concede permissão para definir a proteção contra encerramento para um cluster.
ElasticMapReduceTerminateJobFlowsPolítica Concede permissão para desligar um cluster do.
ElasticsearchHttpPostPolicy Concede permissão POST à Amazon OpenSearch Serviço.
EventBridgePutEventsPolítica Concede permissão para enviar eventos para EventBridge.
FilterLogEventsPolicy Dá permissão para filtrar CloudWatch Registra eventos de um grupo de logs específico.
FirehoseCrudPolítica Concede permissão para criar, gravar, atualizar e excluir um fluxo de entrega do Kinesis Data Firehose.
FirehoseWritePolítica Concede permissão para gravar em um delivery stream do Kinesis Data Firehose.
KinesisCrudPolítica Concede permissão para criar, publicar e excluir um stream do Amazon Kinesis.
KinesisStreamReadPolicy Concede permissão para listar e ler um fluxo do Amazon Kinesis.
KMSDecryptPolicy Dá permissão para descriptografar com umAWS Key Management Service(AWS KMS) chave do.
KMSEncryptPolicy Concede permissão para criptografar com umAWS Key Management Service(AWS KMS) chave do.
LambdaInvokePolítica Concede permissão para invocar umAWS Lambdafunção, alias ou versão.
MobileAnalyticsWriteOnlyAccessPolicy Concede permissão somente gravação para colocar dados de eventos para todos os recursos do aplicativo.
OrganizationsListAccountsPolicy Concede permissão somente leitura para listar nomes e IDs de contas secundárias.
PinpointEndpointAccessPolicy Concede permissão para obter e atualizar endpoints para um aplicativo Amazon Pinpoint.
PollyFullAccessPolicy Concede permissão de acesso total aos recursos do léxico do Amazon Polly.
RekognitionDetectOnlyPolicy Concede permissão para detectar faces, rótulos e texto.
RekognitionFacesManagementPolicy Concede permissão para adicionar, excluir e pesquisar faces em uma coleção do Amazon Rekognition.
RekognitionFacesPolítica Concede permissão para comparar e detectar faces e rótulos.
RekognitionLabelsPolítica Concede permissão para detectar rótulos de objeto e moderação.
RekognitionNoDataAccessPolítica Concede permissão para comparar e detectar faces e rótulos.
RekognitionReadPolítica Dá permissão para listar e pesquisar rostos.
RekognitionWriteOnlyAccessPolítica Concede permissão para criar faces de coleção e índice.
Route53ChangeResourceRecordSetsPolítica Concede permissão para alterar conjuntos de registros de recursos no Route 53.
S3CrudPolicy Concede permissão para criar, ler, atualizar e excluir para atuar nos objetos em um bucket do Amazon S3.
S3FullAccessPolítica Concede permissão de acesso total para agir nos objetos em um bucket do Amazon S3.
S3ReadPolicy Concede permissão somente leitura para ler objetos em um bucket do Amazon Simple Storage Service (Amazon S3).
S3WritePolicy Concede permissão de gravação para gravar objetos em um bucket do Amazon S3.
SageMakerCreateEndpointConfigPolicy Concede permissão para criar uma configuração de endpoint no SageMaker.
SageMakerCreateEndpointPolítica Concede permissão para criar um endpoint no SageMaker.
ServerlessRepoReadWriteAccessPolicy Concede permissão para criar e listar aplicativos noAWS Serverless Application RepositoryserviçoServiço.
SESBulkTemplatedCrudPolicy Dá permissão para enviar e-mail, e-mail com modelo, e-mails em massa com modelos e verificar a identidade.
SESCrudPolicy Dá permissão para enviar e-mail e verificar a identidade.
SESEmailTemplateCrudPolicy Concede permissão para criar, obter, listar, atualizar e excluir modelos de e-mail do Amazon SES.
SESSendBouncePolítica Concede SendBounce permissão para uma identidade do Amazon Simple Email Service (Amazon SES).
SNSCrudPolicy Concede permissão para criar, publicar e assinar tópicos do Amazon SNS.
SNSPublishMessagePolítica Concede permissão para publicar uma mensagem em um tópico do Amazon Simple Notification Service (Amazon SNS).
SQSPollerPolicy Concede permissão para sondar uma fila do Amazon Simple Queue Service (Amazon SQS).
SQSSendMessagePolítica Concede permissão para enviar mensagens para uma fila do Amazon SQS.
SSMParameterReadPolítica Concede permissão para acessar parâmetros de um armazenamento de parâmetros do Amazon EC2 Systems Manager (SSM) para carregar segredos nessa conta.
StepFunctionsExecutionPolicy Concede permissão para iniciar uma execução de máquina de estado do Step Functions.
TextractDetectAnalyzePolicy Dá acesso para detectar e analisar documentos com o Amazon Textract.
TextractGetResultPolicy Dá acesso para obter documentos detectados e analisados do Amazon Textract.
TextractPolicy Concede acesso total ao Amazon Textract.
VPCAccessPolicy Dá acesso para criar, excluir, descrever e desanexar interfaces de rede elásticas.

Solução de problemas

SAM CLI erro: “É necessário especificar valores de parâmetros válidos para o modelo de política '<policy-template-name>'”

Ao executar sam build, você verá o seguinte erro:

"Must specify valid parameter values for policy template '<policy-template-name>'"
            

Isso significa que você não passou um objeto vazio ao declarar um modelo de política que não tem nenhum valor de espaço reservado.

Para corrigir isso, declare a política como no exemplo a seguir paraCloudWatchPutMetricPolítica.

MyFunction: Policies: - CloudWatchPutMetricPolicy: {}