Ações, recursos e chaves de condição para o AWS Network Manager - Referência de autorização do serviço

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ações, recursos e chaves de condição para o AWS Network Manager

AWS O Network Manager (prefixo do serviço:networkmanager) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS Network Manager

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AcceptAttachment Concede permissão para aceitar a criação de um anexo entre uma fonte e um destino em uma rede principal Escrever

attachment*

ec2:DescribeRegions

AssociateConnectPeer Concede permissão para associar um Connect Peer Escrever

device*

global-network*

AssociateCustomerGateway Concede permissão para associar um gateway do cliente a um dispositivo Write

device*

global-network*

link

networkmanager:cgwArn

Concede permissão para associar um link a um dispositivo Write

device*

global-network*

link*

AssociateTransitGatewayConnectPeer Concede permissão para associar um par de conexão de gateway de trânsito a um dispositivo Escrever

device*

global-network*

link

networkmanager:tgwConnectPeerArn

CreateConnectAttachment Concede permissão para criar um anexo do Connect Escrever

attachment*

ec2:DescribeRegions

networkmanager:TagResource

core-network*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConnectPeer Concede permissão para criar uma conexão Connect Peer Escrever

attachment*

ec2:DescribeRegions

networkmanager:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConnection Concede permissão para criar uma nova conexão Escrever

global-network*

networkmanager:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCoreNetwork Concede permissão para criar uma nova rede principal Escrever

global-network*

ec2:DescribeRegions

networkmanager:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDevice Concede permissão para criar um novo dispositivo Write

global-network*

networkmanager:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGlobalNetwork Concede permissão para criar uma nova rede global Write

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

networkmanager:TagResource

Concede permissão para criar um novo link Write

global-network*

networkmanager:TagResource

site

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSite Concede permissão para criar um novo site Escrever

global-network*

networkmanager:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSiteToSiteVpnAttachment Concede permissão para criar um anexo de site-to-site VPN Escrever

core-network*

ec2:DescribeRegions

networkmanager:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

networkmanager:vpnConnectionArn

CreateTransitGatewayPeering Concede permissão para criar um emparelhamento do Transit Gateway Escrever

core-network*

ec2:DescribeRegions

networkmanager:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

networkmanager:tgwArn

CreateTransitGatewayRouteTableAttachment Concede permissão para criar um anexo do TGW RTB Escrever

peering*

ec2:DescribeRegions

networkmanager:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

networkmanager:tgwRtbArn

CreateVpcAttachment Concede permissão para criar um anexo do VPC Escrever

core-network*

ec2:DescribeRegions

networkmanager:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

networkmanager:vpcArn

networkmanager:subnetArns

DeleteAttachment Concede permissão para excluir um anexo Escrever

attachment*

ec2:DescribeRegions

DeleteConnectPeer Concede permissão para excluir um Connect Peer Escrever

connect-peer*

ec2:DescribeRegions

DeleteConnection Concede permissão para excluir uma conexão Escrever

connection*

global-network*

DeleteCoreNetwork Concede permissão para excluir uma rede principal Escrever

core-network*

ec2:DescribeRegions

DeleteCoreNetworkPolicyVersion Concede permissão para excluir a versão da política de rede principal Escrever

core-network*

DeleteDevice Concede permissão para excluir um dispositivo Write

device*

global-network*

DeleteGlobalNetwork Concede permissão para excluir uma rede global Write

global-network*

Concede permissão para excluir um link Escrever

global-network*

link*

DeletePeering Concede permissão para excluir um emparelhamento Escrever

peering*

ec2:DescribeRegions

DeleteResourcePolicy Concede permissão para excluir um recurso Escrever

core-network*

DeleteSite Concede permissão para excluir um site Write

global-network*

site*

DeregisterTransitGateway Concede permissão para cancelar o registro de um gateway de trânsito de uma rede global Write

global-network*

networkmanager:tgwArn

DescribeGlobalNetworks Concede permissão para descrever redes globais Lista

global-network

DisassociateConnectPeer Concede permissão para desassociar um Connect Peer Escrever

global-network*

DisassociateCustomerGateway Concede permissão para desassociar um gateway do cliente de um dispositivo Write

global-network*

networkmanager:cgwArn

Concede permissão para desassociar um link de um dispositivo Write

device*

global-network*

link*

DisassociateTransitGatewayConnectPeer Concede permissão para desassociar um par de conexão de gateway de trânsito de um dispositivo Escrever

global-network*

networkmanager:tgwConnectPeerArn

ExecuteCoreNetworkChangeSet Concede permissão para aplicar alterações à rede principal Escrever

core-network*

ec2:DescribeRegions

GetConnectAttachment Concede permissão para recuperar um anexo do Connect Leitura

attachment*

GetConnectPeer Concede permissão para recuperar um Connect Peer Leitura

connect-peer*

GetConnectPeerAssociations Concede permissão para descrever associações de Connect Peer Leitura

global-network*

GetConnections Concede permissão para descrever conexões Lista

global-network*

connection

GetCoreNetwork Concede permissão para recuperar uma rede principal Leitura

core-network*

GetCoreNetworkChangeEvents Concede permissão para recuperar uma lista de eventos de alterações de rede principal Leitura

core-network*

GetCoreNetworkChangeSet Concede permissão para recuperar uma lista de conjuntos de alterações de rede de núcleo Leitura

core-network*

GetCoreNetworkPolicy Concede permissão para recuperar a política de rede principal Leitura

core-network*

GetCustomerGatewayAssociations Concede permissão para descrever associações de gateway de clientes List

global-network*

GetDevices Concede permissão para descrever dispositivos List

global-network*

device

GetLinkAssociations Concede permissão para descrever associações de links List

global-network*

device

link

Concede permissão para descrever links Lista

global-network*

link

GetNetworkResourceCounts Concede permissão para retornar o número de recursos para uma rede global agrupada por tipo Leitura

global-network*

GetNetworkResourceRelationships Concede permissão para recuperar recursos relacionados para um recurso dentro da rede global Leitura

global-network*

GetNetworkResources Concede permissão para recuperar um recurso de rede global Leitura

global-network*

GetNetworkRoutes Concede permissão para recuperar rotas para uma tabela de rotas dentro da rede global Leitura

global-network*

GetNetworkTelemetry Concede permissão para recuperar objetos de telemetria de rede para a rede global Leitura

global-network*

GetResourcePolicy Concede permissão para recuperar uma política de recurso Leitura

core-network*

GetRouteAnalysis Concede permissão para recuperar uma configuração de análise de rota e um resultado Leitura

global-network*

GetSiteToSiteVpnAttachment Concede permissão para recuperar um anexo de site-to-site VPN Leitura

attachment*

GetSites Concede permissão para descrever redes globais List

global-network*

site

GetTransitGatewayConnectPeerAssociations Concede permissão para descrever associações de pares de conexão de gateway de trânsito Lista

global-network*

GetTransitGatewayPeering Concede permissão para recuperar um emparelhamento do Transit Gateway Leitura

peering*

GetTransitGatewayRegistrations Concede permissão para descrever registros de gateway de trânsito Lista

global-network*

GetTransitGatewayRouteTableAttachment Concede permissão para recuperar um anexo do TGW RTB Leitura

attachment*

GetVpcAttachment Concede permissão para recuperar um anexo da VPC Leitura

attachment*

ListAttachments Concede permissão para descrever anexos Lista

attachment*

ListConnectPeers Concede permissão para descrever Connect Peers Lista

connect-peer*

ListCoreNetworkPolicyVersions Concede permissão para listar versões de políticas de rede principal Lista

core-network*

ListCoreNetworks Concede permissão para listar redes principais Lista
ListOrganizationServiceAccessStatus Concede permissão para listar o status de acesso ao serviço da organização Lista
ListPeerings Concede permissão para descrever emparelhamentos Lista
ListTagsForResource Concede permissão para listar marcações para um recurso do Network Manager Leitura

attachment

connect-peer

connection

core-network

device

global-network

link

peering

site

aws:ResourceTag/${TagKey}

PutCoreNetworkPolicy Concede permissão para criar uma política de rede principal Escrever

core-network*

ec2:DescribeRegions

PutResourcePolicy Concede permissão para criar ou atualizar uma política de recurso Escrever

core-network*

RegisterTransitGateway Concede permissão para registrar um gateway de trânsito em uma rede global Escrever

global-network*

networkmanager:tgwArn

RejectAttachment Concede permissão para rejeitar solicitação de anexo Escrever

attachment*

RestoreCoreNetworkPolicyVersion Concede permissão para restaurar a política de rede principal para uma versão anterior Escrever

core-network*

ec2:DescribeRegions

StartOrganizationServiceAccessUpdate Concede permissão para iniciar a atualização do acesso ao serviço da organização Escrever
StartRouteAnalysis Concede permissão para iniciar uma análise de rota e armazena a configuração de análise Escrever

global-network*

TagResource Concede permissão para marcar um recurso do Gerenciador de rede Marcação

attachment

connect-peer

connection

core-network

device

global-network

link

peering

site

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource Concede permissão para desmarcar um recurso do Gerenciador de rede Marcação

attachment

connect-peer

connection

core-network

device

global-network

link

peering

site

aws:TagKeys

UpdateConnection Concede permissão para atualizar uma conexão Escrever

connection*

global-network*

UpdateCoreNetwork Concede permissão para atualizar uma rede princpal Escrever

core-network*

UpdateDevice Concede permissão para atualizar um dispositivo Write

device*

global-network*

UpdateGlobalNetwork Concede permissão para atualizar uma rede global Write

global-network*

Concede permissão para atualizar um link Escrever

global-network*

link*

UpdateNetworkResourceMetadata Concede permissão para adicionar ou atualizar pares de chave-valor de metadados no recurso de rede Escrever

global-network*

UpdateSite Concede permissão para atualizar um site Escrever

global-network*

site*

UpdateVpcAttachment Concede permissão para atualizar um anexo do VPC Escrever

attachment*

ec2:DescribeRegions

aws:RequestTag/${TagKey}

aws:TagKeys

networkmanager:subnetArns

Tipos de recursos definidos pelo AWS Network Manager

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
global-network arn:${Partition}:networkmanager::${Account}:global-network/${ResourceId}

aws:ResourceTag/${TagKey}

site arn:${Partition}:networkmanager::${Account}:site/${GlobalNetworkId}/${ResourceId}

aws:ResourceTag/${TagKey}

arn:${Partition}:networkmanager::${Account}:link/${GlobalNetworkId}/${ResourceId}

aws:ResourceTag/${TagKey}

device arn:${Partition}:networkmanager::${Account}:device/${GlobalNetworkId}/${ResourceId}

aws:ResourceTag/${TagKey}

connection arn:${Partition}:networkmanager::${Account}:connection/${GlobalNetworkId}/${ResourceId}

aws:ResourceTag/${TagKey}

core-network arn:${Partition}:networkmanager::${Account}:core-network/${ResourceId}

aws:ResourceTag/${TagKey}

attachment arn:${Partition}:networkmanager::${Account}:attachment/${ResourceId}

aws:ResourceTag/${TagKey}

connect-peer arn:${Partition}:networkmanager::${Account}:connect-peer/${ResourceId}

aws:ResourceTag/${TagKey}

peering arn:${Partition}:networkmanager::${Account}:peering/${ResourceId}

aws:ResourceTag/${TagKey}

Chaves de condição para o AWS Network Manager

AWS O Network Manager define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Tipo
aws:RequestTag/${TagKey} Filtra o acesso pelas etiquetas que são transmitidas na solicitação Segmento
aws:ResourceTag/${TagKey} Filtra o acesso pelas etiquetas associadas ao recurso Segmento
aws:TagKeys Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação ArrayOfCadeia
networkmanager:cgwArn Controla o acesso por quais gateways do cliente podem ser associados ou desassociados ARN
networkmanager:subnetArns Filtra o acesso pelo qual as sub-redes VPC podem ser adicionadas ou removidas de um anexo VPC ArrayOfARN
networkmanager:tgwArn Filtra o acesso pelo qual gateways de trânsito podem ser registrados, ter o registro cancelado ou emparelhados ARN
networkmanager:tgwConnectPeerArn Filtra o acesso pelo qual pares de conexão do Transit Gateway podem ser associados ou desassociados ARN
networkmanager:tgwRtbArn Filtra o acesso pelo qual a tabela de rotas do Transit Gateway pode ser usada para criar um anexo ARN
networkmanager:vpcArn Filtra o acesso pelo qual a VPC pode ser usada para um anexo de criação/atualização ARN
networkmanager:vpnConnectionArn Filtra o acesso pelo qual a VPN de local a local pode ser usada para um anexo de criação/atualização ARN