Ações, recursos e chaves de condição do Amazon API Gateway Management V2 - Referência de autorização do serviço

Ações, recursos e chaves de condição do Amazon API Gateway Management V2

O Amazon API Gateway Management V2 (prefixo de serviço: apigateway) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo Amazon API Gateway Management V2

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Tipos de recursos definidos pelo Amazon API Gateway Management V2

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
AccessLogSettings arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}/accesslogsettings
Api arn:${Partition}:apigateway:${Region}::/apis/${ApiId}

apigateway:Request/ApiKeyRequired

apigateway:Request/ApiName

apigateway:Request/AuthorizerType

apigateway:Request/AuthorizerUri

apigateway:Request/DisableExecuteApiEndpoint

apigateway:Request/EndpointType

apigateway:Request/RouteAuthorizationType

apigateway:Resource/ApiKeyRequired

apigateway:Resource/ApiName

apigateway:Resource/AuthorizerType

apigateway:Resource/AuthorizerUri

apigateway:Resource/DisableExecuteApiEndpoint

apigateway:Resource/EndpointType

apigateway:Resource/RouteAuthorizationType

aws:ResourceTag/${TagKey}

Apis arn:${Partition}:apigateway:${Region}::/apis

apigateway:Request/ApiKeyRequired

apigateway:Request/ApiName

apigateway:Request/AuthorizerType

apigateway:Request/AuthorizerUri

apigateway:Request/DisableExecuteApiEndpoint

apigateway:Request/EndpointType

apigateway:Request/RouteAuthorizationType

aws:ResourceTag/${TagKey}

ApiMapping arn:${Partition}:apigateway:${Region}::/domainnames/${DomainName}/apimappings/${ApiMappingId}

aws:ResourceTag/${TagKey}

ApiMappings arn:${Partition}:apigateway:${Region}::/domainnames/${DomainName}/apimappings

aws:ResourceTag/${TagKey}

Authorizer arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/authorizers/${AuthorizerId}

apigateway:Request/AuthorizerType

apigateway:Request/AuthorizerUri

apigateway:Resource/AuthorizerType

apigateway:Resource/AuthorizerUri

aws:ResourceTag/${TagKey}

Authorizers arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/authorizers

apigateway:Request/AuthorizerType

apigateway:Request/AuthorizerUri

aws:ResourceTag/${TagKey}

AuthorizersCache arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}/cache/authorizers
Cors arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/cors
Deployment arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/deployments/${DeploymentId}

aws:ResourceTag/${TagKey}

Deployments arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/deployments

apigateway:Request/StageName

aws:ResourceTag/${TagKey}

ExportedAPI arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/exports/${Specification}
Integration arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations/${IntegrationId}

aws:ResourceTag/${TagKey}

Integrations arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations

aws:ResourceTag/${TagKey}

IntegrationResponse arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations/${IntegrationId}/integrationresponses/${IntegrationResponseId}
IntegrationResponses arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations/${IntegrationId}/integrationresponses
Model arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/models/${ModelId}

aws:ResourceTag/${TagKey}

Models arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/models

aws:ResourceTag/${TagKey}

ModelTemplate arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/models/${ModelId}/template
Route arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}

apigateway:Request/ApiKeyRequired

apigateway:Request/RouteAuthorizationType

apigateway:Resource/ApiKeyRequired

apigateway:Resource/RouteAuthorizationType

aws:ResourceTag/${TagKey}

Routes arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes

apigateway:Request/ApiKeyRequired

apigateway:Request/RouteAuthorizationType

aws:ResourceTag/${TagKey}

RouteResponse arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}/routeresponses/${RouteResponseId}
RouteResponses arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}/routeresponses
RouteRequestParameter arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}/requestparameters/${RequestParameterKey}
RouteSettings arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}/routesettings/${RouteKey}
Stage arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}

apigateway:Request/AccessLoggingDestination

apigateway:Request/AccessLoggingFormat

apigateway:Resource/AccessLoggingDestination

apigateway:Resource/AccessLoggingFormat

aws:ResourceTag/${TagKey}

Stages arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages

apigateway:Request/AccessLoggingDestination

apigateway:Request/AccessLoggingFormat

aws:ResourceTag/${TagKey}

Chaves de condição para o Amazon API Gateway Management V2

O Amazon API Gateway Management V2 define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
apigateway:Request/AccessLoggingDestination Filtra o acesso pelo destino do log de acesso. Disponível durante as operações CreateStage e UpdateStage String
apigateway:Request/AccessLoggingFormat Filtra o acesso pelo formato do log de acesso. Disponível durante as operações CreateStage e UpdateStage String
apigateway:Request/ApiKeyRequired Filtra o acesso com base na necessidade de uma chave de API ou não. Disponível durante as operações CreateRoute e UpdateRoute. Também disponível como coleção durante a importação e reimportação ArrayOfBool
apigateway:Request/ApiName Filtra o acesso pelo nome da API. Disponível durante as operações CreateApi e UpdateApi String
apigateway:Request/AuthorizerType Filtra o acesso por tipo de autorizador na solicitação, por exemplo REQUEST ou JWT. Disponível durante CreateAuthorizer e UpdateAuthorizer. Também disponível durante a importação e a reimportação como um ArrayOfString ArrayOfString
apigateway:Request/AuthorizerUri Filtra o acesso pelo URI de uma função de autorizador do Lambda. Disponível durante CreateAuthorizer e UpdateAuthorizer. Também disponível durante a importação e a reimportação como um ArrayOfString ArrayOfString
apigateway:Request/DisableExecuteApiEndpoint Filtra o acesso pelo status do endpoint execute-api padrão. Disponível durante as operações CreateApi e UpdateApi Bool
apigateway:Request/EndpointType Filtra o acesso pelo tipo de endpoint. Disponível durante as operações CreateDomainName, UpdateDomainName, CreateApi e UpdateApi String
apigateway:Request/MtlsTrustStoreUri Filtra o acesso pelo URI do truststore usado para autenticação TLS mútua. Disponível durante as operações CreateDomainName e UpdateDomainName String
apigateway:Request/MtlsTrustStoreVersion Filtra o acesso pela versão do truststore usado para autenticação TLS mútua. Disponível durante as operações CreateDomainName e UpdateDomainName String
apigateway:Request/RouteAuthorizationType Filtra o acesso por tipo de autorização, por exemplo NONE, AWS_IAM, CUSTOM, JWT. Disponível durante as operações CreateRoute e UpdateRoute. Também disponível como coleção durante a importação ArrayOfString
apigateway:Request/SecurityPolicy Filtra o acesso pela versão do TLS. Disponível durante as operações CreateDomain e UpdateDomain ArrayOfString
apigateway:Request/StageName Filtra o acesso pelo nome de estágio da implantação que você tenta criar. Disponível durante a operação CreateDeployment String
apigateway:Resource/AccessLoggingDestination Filtra o acesso pelo destino do log de acesso do recurso Stage atual. Disponível durante as operações UpdateStage e DeleteStage String
apigateway:Resource/AccessLoggingFormat Filtra o acesso pelo formato do log de acesso do recurso Stage atual. Disponível durante as operações UpdateStage e DeleteStage String
apigateway:Resource/ApiKeyRequired Filtra o acesso com base na necessidade de uma chave de API ou não para o recurso Route existente. Disponível durante as operações UpdateRoute e DeleteRoute. Também disponível como uma coleção durante a reimportação ArrayOfBool
apigateway:Resource/ApiName Filtra o acesso pelo nome da API. Disponível durante as operações UpdateApi e DeleteApi String
apigateway:Resource/AuthorizerType Filtra o acesso pelo tipo atual de autorizador, por exemplo REQUEST ou JWT. Disponível durante as operações UpdateAuthorizer e DeleteAuthorizer. Também disponível durante a importação e a reimportação como um ArrayOfString ArrayOfString
apigateway:Resource/AuthorizerUri Filtra o acesso pelo URI do autorizador atual do Lambda associado à API atual. Disponível durante UpdateAuthorizer e DeleteAuthorizer. Também disponível como uma coleção durante a reimportação ArrayOfString
apigateway:Resource/DisableExecuteApiEndpoint Filtra o acesso pelo status do endpoint execute-api padrão. Disponível durante as operações UpdateApi e DeleteApi Bool
apigateway:Resource/EndpointType Filtra o acesso pelo tipo de endpoint. Disponível durante as operações UpdateDomainName, DeleteDomainName, UpdateApi e DeleteApi String
apigateway:Resource/MtlsTrustStoreUri Filtra o acesso pelo URI do truststore usado para autenticação TLS mútua. Disponível durante as operações UpdateDomainName e DeleteDomainName String
apigateway:Resource/MtlsTrustStoreVersion Filtra o acesso pela versão do truststore usado para autenticação TLS mútua. Disponível durante as operações UpdateDomainName e DeleteDomainName String
apigateway:Resource/RouteAuthorizationType Filtra o acesso pelo tipo de autorização do recurso Route existente, por exemplo NONE, AWS_IAM, CUSTOM. Disponível durante as operações UpdateRoute e DeleteRoute. Também disponível como uma coleção durante a reimportação ArrayOfString
apigateway:Resource/SecurityPolicy Filtra o acesso pela versão do TLS. Disponível durante as operações UpdateDomainName e DeleteDomainName ArrayOfString
aws:RequestTag/${TagKey} Filtra ações com base na presença de pares de chave-valor da etiqueta na solicitação String
aws:ResourceTag/${TagKey} Filtra ações com base nos pares de chave-valor da etiqueta anexados ao recurso String
aws:TagKeys Filtra ações com base na presença de chaves da etiqueta na solicitação ArrayOfString