Ações, recursos e chaves de condição do AWS Proton - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWS Proton

O AWS Proton (prefixo de serviço: proton) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS Proton

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AcceptEnvironmentAccountConnection Concede permissão para rejeitar uma solicitação de conexão de conta de ambiente de outra conta de ambiente Write

environment-account-connection*

CancelComponentDeployment Concede permissão para cancelar a implantação do componente Write

component*

CancelEnvironmentDeployment Concede permissão para cancelar uma implantação de ambiente Write

environment*

proton:EnvironmentTemplate

CancelServiceInstanceDeployment Concede permissão para cancelar uma implantação de instância de serviço Write

service-instance*

proton:ServiceTemplate

CancelServicePipelineDeployment Concede permissão para cancelar uma implantação de pipeline de serviço Write

service*

proton:ServiceTemplate

CreateComponent Concede permissão para criar um componente Write

component*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateEnvironment Concede permissão para criar um ambiente Write

environment*

iam:PassRole

aws:TagKeys

aws:RequestTag/${TagKey}

proton:EnvironmentTemplate

CreateEnvironmentAccountConnection Concede permissão para criar uma conexão de conta de ambiente Write

aws:TagKeys

aws:RequestTag/${TagKey}

CreateEnvironmentTemplate Concede permissão para criar um modelo de ambiente Write

environment-template*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateEnvironmentTemplateMajorVersion Concede permissão para criar uma versão principal do modelo de ambiente. DEFASADO: em vez disso, use CreateEnvironmentTemplateVersion Write

environment-template*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateEnvironmentTemplateMinorVersion Concede permissão para criar uma versão secundária de modelo de ambiente. DEFASADO: em vez disso, use CreateEnvironmentTemplateVersion Write

environment-template*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateEnvironmentTemplateVersion Concede permissão para criar uma versão de modelo de ambiente Write

environment-template*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateRepository Concede permissão para criar um repositório Write

repository*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateService Concede permissão para criar um serviço Write

service*

codestar-connections:PassConnection

aws:TagKeys

aws:RequestTag/${TagKey}

proton:ServiceTemplate

CreateServiceTemplate Concede permissão para criar um modelo de serviço Write

service-template*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceTemplateMajorVersion Concede permissão para criar uma versão principal do modelo de serviço. DEFASADO: em vez disso, use CreateServiceTemplateVersion Write

service-template*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceTemplateMinorVersion Concede permissão para criar uma versão secundária do modelo de serviço. DEFASADO: em vez disso, use CreateServiceTemplateVersion Write

service-template*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceTemplateVersion Concede permissão para criar uma versão de modelo de serviço Write

service-template*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateTemplateSyncConfig Concede permissão para criar um modelo sync config Write
DeleteAccountRoles Concede permissão para excluir funções da conta. DEFASADO: em vez disso, use UpdateAccountSettings Write
DeleteComponent Concede permissão para excluir um componente Write

component*

DeleteEnvironment Concede permissão para excluir um ambiente Write

environment*

proton:EnvironmentTemplate

DeleteEnvironmentAccountConnection Concede permissão para excluir uma conexão de conta de ambiente Write

environment-account-connection*

DeleteEnvironmentTemplate Concede permissão para excluir um modelo de ambiente Write

environment-template*

DeleteEnvironmentTemplateMajorVersion Concede permissão para excluir uma versão principal do modelo de ambiente. DEFASADO: em vez disso, use DeleteEnvironmentTemplateVersion Write

environment-template*

DeleteEnvironmentTemplateMinorVersion Concede permissão para excluir uma versão secundária do modelo de ambiente. DEFASADO: em vez disso, use DeleteEnvironmentTemplateVersion Write

environment-template*

DeleteEnvironmentTemplateVersion Concede permissão para excluir uma versão de modelo de ambiente Write

environment-template*

DeleteRepository Concede permissão para excluir um repositório Write

repository*

DeleteService Concede permissão para excluir um serviço Write

service*

proton:ServiceTemplate

DeleteServiceTemplate Concede permissão para excluir um modelo de serviço Write

service-template*

DeleteServiceTemplateMajorVersion Concede permissão para excluir uma versão principal do modelo de serviço. DEFASADO: em vez disso, use DeleteServiceTemplateVersion Write

service-template*

DeleteServiceTemplateMinorVersion Concede permissão para excluir uma versão secundária do modelo de serviço. DEFASADO: em vez disso, use DeleteServiceTemplateVersion Write

service-template*

DeleteServiceTemplateVersion Concede permissão para excluir uma versão de modelo de serviço Write

service-template*

DeleteTemplateSyncConfig Concede permissão para excluir um TemplateSyncConfig Write
GetAccountRoles Concede permissão para obter funções da conta. DEFASADO: em vez disso, use GetAccountSettings Read
GetAccountSettings Concede permissão para descrever as configurações da conta Read
GetComponent Concede permissão para descrever um componente Read

component*

GetEnvironment Concede permissão para descrever um ambiente Read

environment*

GetEnvironmentAccountConnection Concede permissão para descrever uma conexão de conta de ambiente Read

environment-account-connection*

GetEnvironmentTemplate Concede permissão para descrever um modelo de ambiente Read

environment-template*

GetEnvironmentTemplateMajorVersion Concede permissão para obter uma versão principal do modelo de ambiente. DEFASADO: em vez disso, use GetEnvironmentTemplateVersion Read

environment-template*

GetEnvironmentTemplateMinorVersion Concede permissão para obter uma versão secundária de modelo de ambiente. DEFASADO: em vez disso, use GetEnvironmentTemplateVersion Read

environment-template*

GetEnvironmentTemplateVersion Concede permissão para descrever uma versão de modelo de ambiente Read

environment-template*

GetRepository Concede permissão para descrever um repositório Read

repository*

GetRepositorySyncStatus Concede permissão para obter o status de sincronização mais recente de um repositório Read
GetService Concede permissão para descrever um serviço Read

service*

GetServiceInstance Concede permissão para descrever uma instância de serviço Read

service-instance*

GetServiceTemplate Concede permissão para descrever um modelo de serviço Read

service-template*

GetServiceTemplateMajorVersion Concede permissão para obter uma versão principal do modelo de serviço. DEFASADO: em vez disso, use GetServiceTemplateVersion Read

service-template*

GetServiceTemplateMinorVersion Concede permissão para obter uma versão secundária do modelo de serviço. DEFASADO: em vez disso, use GetServiceTemplateVersion Read

service-template*

GetServiceTemplateVersion Concede permissão para descrever uma versão de modelo de serviço Read

service-template*

GetTemplateSyncConfig Concede permissão para descrever um TemplateSyncConfig Read
GetTemplateSyncStatus Concede permissão para descrever o status de sincronização de um modelo Read
ListComponentOutputs Concede permissão para listar saídas de componente List

component*

ListComponentProvisionedResources Concede permissão para listar os recursos provisionados do componente List

component*

ListComponents Concede permissão para listar componentes List

environment

service

service-instance

ListEnvironmentAccountConnections Concede permissão para listar conexões de conta de ambiente List

environment-account-connection*

ListEnvironmentOutputs Concede permissão para listar as saídas do ambiente List

environment*

ListEnvironmentProvisionedResources Concede permissão para listar os recursos provisionados do ambiente List

environment*

ListEnvironmentTemplateMajorVersions Concede permissão para listar versões principais do modelo de ambiente. DEFASADO: em vez disso, use ListEnvironmentTemplateVersions List

environment-template*

ListEnvironmentTemplateMinorVersions Concede permissão para listar versões secundárias de um modelo de ambiente. DEFASADO: em vez disso, use ListEnvironmentTemplateVersions List

environment-template*

ListEnvironmentTemplateVersions Concede permissão para listar versões de modelos de ambiente List

environment-template*

ListEnvironmentTemplates Concede permissão para listar modelos de ambiente List
ListEnvironments Concede permissão para listar ambientes List
ListRepositories Concede permissão para listar repositórios List
ListRepositorySyncDefinitions Concede permissão para listar definições de sincronização do repositório List
ListServiceInstanceOutputs Concede permissão para listar as saídas das instâncias de serviço List

service*

service-instance*

ListServiceInstanceProvisionedResources Concede permissão para listar os recursos provisionados da instância List

service*

service-instance*

ListServiceInstances Concede permissão para listar instâncias de serviço List
ListServicePipelineOutputs Concede permissão para listar as saídas do pipeline de serviço List

service*

ListServicePipelineProvisionedResources Concede permissão para listar os recursos provisionados do pipeline List

service*

ListServiceTemplateMajorVersions Concede permissão para listar as principais versões do modelo de serviço. DEFASADO: em vez disso, use ListServiceTemplateVersions List

service-template*

ListServiceTemplateMinorVersions Concede permissão para listar versões secundárias do modelo de serviço. DEFASADO: em vez disso, use ListServiceTemplateVersions List

service-template*

ListServiceTemplateVersions Concede permissão para listar versões de modelos de serviço List

service-template*

ListServiceTemplates Concede permissão para listar modelos de serviço List
ListServices Concede permissão para listar serviços List
ListTagsForResource Concede permissão para listar etiquetas de um recurso Read

component

environment

environment-account-connection

environment-template

environment-template-major-version

environment-template-minor-version

environment-template-version

repository

service

service-instance

service-template

service-template-major-version

service-template-minor-version

service-template-version

NotifyResourceDeploymentStatusChange Concede permissão para notificar o Proton sobre alterações de status de implantação de recursos Write

environment

service-instance

RejectEnvironmentAccountConnection Concede permissão para rejeitar uma solicitação de conexão de conta de ambiente de outra conta de ambiente Write

environment-account-connection*

TagResource Concede permissão para adicionar etiquetas a um recurso Marcação

component

environment

environment-account-connection

environment-template

environment-template-major-version

environment-template-minor-version

environment-template-version

repository

service

service-instance

service-template

service-template-major-version

service-template-minor-version

service-template-version

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource Concede permissão para remover etiquetas de um recurso Marcação

component

environment

environment-account-connection

environment-template

environment-template-major-version

environment-template-minor-version

environment-template-version

repository

service

service-instance

service-template

service-template-major-version

service-template-minor-version

service-template-version

aws:TagKeys

UpdateAccountRoles Concede permissão para atualizar as funções da conta. DEFASADO: em vez disso, use UpdateAccountSettings Write

iam:PassRole

UpdateAccountSettings Concede permissão para atualizar as configurações da conta Write

iam:PassRole

UpdateComponent Concede permissão para atualizar um componente Write

component*

UpdateEnvironment Concede permissão para atualizar um ambiente Write

environment*

iam:PassRole

proton:EnvironmentTemplate

UpdateEnvironmentAccountConnection Concede permissão para atualizar uma conexão de conta de ambiente Write

environment-account-connection*

UpdateEnvironmentTemplate Concede permissão para atualizar um modelo de ambiente Write

environment-template*

UpdateEnvironmentTemplateMajorVersion Concede permissão para atualizar uma versão principal do modelo de ambiente. DEFASADO: em vez disso, use UpdateEnvironmentTemplateVersion Write

environment-template*

UpdateEnvironmentTemplateMinorVersion Concede permissão para atualizar uma versão secundária do modelo de ambiente. DEFASADO: em vez disso, use UpdateEnvironmentTemplateVersion Write

environment-template*

UpdateEnvironmentTemplateVersion Concede permissão para atualizar uma versão de modelo de ambiente Write

environment-template*

UpdateService Concede permissão para atualizar um serviço Write

service*

proton:ServiceTemplate

UpdateServiceInstance Concede permissão para atualizar uma instância de serviço Write

service-instance*

proton:ServiceTemplate

UpdateServicePipeline Concede permissão para atualizar um pipeline de serviço Write

service*

proton:ServiceTemplate

UpdateServiceTemplate Concede permissão para atualizar um modelo de serviço Write

service-template*

UpdateServiceTemplateMajorVersion Concede permissão para atualizar uma versão principal do modelo de serviço. DEFASADO: em vez disso, use UpdateServiceTemplateVersion Write

service-template*

UpdateServiceTemplateMinorVersion Concede permissão para criar uma versão secundária do modelo de serviço. DEFASADO: em vez disso, use UpdateServiceTemplateVersion Write

service-template*

UpdateServiceTemplateVersion Concede permissão para atualizar uma versão de modelo de serviço Write

service-template*

UpdateTemplateSyncConfig Concede permissão para atualizar um TemplateSyncConfig Write

Tipos de recursos definidos pelo AWS Proton

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
environment-template arn:${Partition}:proton:${Region}:${Account}:environment-template/${Name}

aws:ResourceTag/${TagKey}

environment-template-version arn:${Partition}:proton:${Region}:${Account}:environment-template/${TemplateName}:${MajorVersion}.${MinorVersion}

aws:ResourceTag/${TagKey}

environment-template-major-version arn:${Partition}:proton:${Region}:${Account}:environment-template/${TemplateName}:${MajorVersionId}

aws:ResourceTag/${TagKey}

environment-template-minor-version arn:${Partition}:proton:${Region}:${Account}:environment-template/${TemplateName}:${MajorVersionId}.${MinorVersionId}

aws:ResourceTag/${TagKey}

service-template arn:${Partition}:proton:${Region}:${Account}:service-template/${Name}

aws:ResourceTag/${TagKey}

service-template-version arn:${Partition}:proton:${Region}:${Account}:service-template/${TemplateName}:${MajorVersion}.${MinorVersion}

aws:ResourceTag/${TagKey}

service-template-major-version arn:${Partition}:proton:${Region}:${Account}:service-template/${TemplateName}:${MajorVersionId}

aws:ResourceTag/${TagKey}

service-template-minor-version arn:${Partition}:proton:${Region}:${Account}:service-template/${TemplateName}:${MajorVersionId}.${MinorVersionId}

aws:ResourceTag/${TagKey}

environment arn:${Partition}:proton:${Region}:${Account}:environment/${Name}

aws:ResourceTag/${TagKey}

service arn:${Partition}:proton:${Region}:${Account}:service/${Name}

aws:ResourceTag/${TagKey}

service-instance arn:${Partition}:proton:${Region}:${Account}:service/${ServiceName}/service-instance/${Name}

aws:ResourceTag/${TagKey}

environment-account-connection arn:${Partition}:proton:${Region}:${Account}:environment-account-connection/${Id}

aws:ResourceTag/${TagKey}

repository arn:${Partition}:proton:${Region}:${Account}:repository/${Provider}:${Name}

aws:ResourceTag/${TagKey}

component arn:${Partition}:proton:${Region}:${Account}:component/${Id}

aws:ResourceTag/${TagKey}

Chaves de condição do AWS Proton

O AWS Proton define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra o acesso por pares de chave-valor da etiqueta na solicitação String
aws:ResourceTag/${TagKey} Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso String
aws:TagKeys Filtra o acesso pelas chaves da etiqueta na solicitação ArrayOfString
proton:EnvironmentTemplate Filtra o acesso por um modelo de ambiente especificado relacionado a um recurso String
proton:ServiceTemplate Filtra o acesso por um modelo de serviço especificado relacionado a um recurso String