Ações, recursos e chaves de condição do AWSControl Tower - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWSControl Tower

O AWSControl tower (prefixo de serviço: controltower) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWSControl Tower

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
CreateManagedAccount [somente permissão] Concede permissão para criar uma conta gerenciada pelo AWSControl Tower. Write
DeregisterManagedAccount [somente permissão] Concede permissão para cancelar uma conta criada pelo Account Factory do AWSControl Tower. Write
DeregisterOrganizationalUnit [somente permissão] Concede permissão para cancelar o registro de uma unidade organizacional do gerenciamento do AWSControl Tower. Write
DescribeAccountFactoryConfig [somente permissão] Concede permissão para descrever a configuração atual do Account Factory. Read
DescribeCoreService [somente permissão] Concede permissão para descrever os recursos gerenciados pelas contas principais do AWSControl Tower. Read
DescribeGuardrail [somente permissão] Concede permissão para descrever uma proteção. Read
DescribeGuardrailForTarget [somente permissão] Concede permissão para descrever uma proteção de uma unidade organizacional. Read
DescribeManagedAccount [somente permissão] Concede permissão para descrever uma conta criada pelo Account Factory. Read
DescribeManagedOrganizationalUnit [somente permissão] Concede permissão para descrever uma unidade organizacional do AWSOrganizations gerenciada pelo AWSControl Tower. Read
DescribeSingleSignOn [somente permissão] Concede permissão para descrever a configuração atual de SSO do AWSControl Tower. Read
DisableGuardrail [somente permissão] Concede permissão para desabilitar uma proteção de uma unidade organizacional. Write
EnableGuardrail [somente permissão] Concede permissão para habilitar uma proteção de uma unidade organizacional. Write
GetAvailableUpdates [somente permissão] Concede permissão para listar as atualizações disponíveis para a implantação atual do AWSControl Tower. Read
GetGuardrailComplianceStatus [somente permissão] Concede permissão para obter o status atual de conformidade de uma proteção. Read
GetHomeRegion [somente permissão] Concede permissão para obter a região de origem da configuração do AWSControl Tower. Read
GetLandingZoneStatus [somente permissão] Concede permissão para obter o status atual da configuração da zona de aterrissagem. Read
ListDirectoryGroups [somente permissão] Concede permissão para listar os grupos atuais de diretórios disponíveis pelo SSO. List
ListEnabledGuardrails [somente permissão] Concede permissão para listar proteções habilitadas no momento. List
ListGuardrailViolations [somente permissão] Concede permissão para listar violações existentes da proteção. List
ListGuardrails [somente permissão] Concede permissão para listar todas as proteções disponíveis. List
ListGuardrailsForTarget [somente permissão] Concede permissão para listar as proteções de uma unidade organizacional e o estado atual delas. List
ListManagedAccounts [somente permissão] Concede permissão para listar as contas gerenciadas pelo AWSControl Tower. List
ListManagedAccountsForGuardrail [somente permissão] Concede permissão para listar as contas gerenciadas com uma proteção específica aplicada. List
ListManagedAccountsForParent [somente permissão] Concede permissão para listar as contas gerenciadas de uma unidade organizacional. List
ListManagedOrganizationalUnits [somente permissão] Concede permissão para listar as unidades organizacionais gerenciadas pelo AWSControl Tower. List
ListManagedOrganizationalUnitsForGuardrail [somente permissão] Concede permissão para listar as unidades organizacionais gerenciadas que têm uma proteção específica aplicada. List
ManageOrganizationalUnit [somente permissão] Concede permissão para configurar uma unidade organizacional a ser gerenciada pelo AWSControl Tower. Write
SetupLandingZone [somente permissão] Concede permissão para configurar ou atualizar a zona de aterrissagem do AWSControl Tower. Write
UpdateAccountFactoryConfig [somente permissão] Concede permissão para atualizar a configuração do Account Factory. Write

Tipos de recurso definidos pelo AWSControl Tower

O AWSControl Tower não oferece suporte à especificação do ARN de um recurso no elemento Resourcede uma instrução de política do IAM. Para conceder acesso ao AWSControl Tower, especifique “Resource”: “*”na política.

Chaves de condição do AWSControl Tower

O Control Tower não tem chaves de contexto específicas do serviço que possam ser usadas no elemento Condition das instruções de política. Para obter a lista das chaves de contexto globais disponíveis para todos os serviços, consulte Chaves disponíveis para condições.