Ações, recursos e chaves de condição do AWS Service Catalog
O AWS Service Catalog (prefixo de serviço: servicecatalog
) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo AWS Service Catalog
Você pode especificar as seguintes ações no elemento Action
de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource
de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource
em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition
da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
---|---|---|---|---|---|
AcceptPortfolioShare | Concede permissão para aceitar um portfólio que foi compartilhado com você | Write | |||
AssociateAttributeGroup | Concede permissão para associar um grupo de atributos a uma aplicação | Write | |||
AssociateBudgetWithResource | Concede permissão para associar um orçamento a um recurso | Write | |||
AssociatePrincipalWithPortfolio | Concede permissão para associar um principal do IAM a um portfólio, concedendo ao principal especificado acesso a todos os produtos associados ao portfólio especificado | Write | |||
AssociateProductWithPortfolio | Concede permissão para associar um produto a um portfólio | Write | |||
AssociateResource | Concede permissão para associar um recurso a uma aplicação | Write |
cloudformation:DescribeStacks resource-groups:CreateGroup resource-groups:GetGroup resource-groups:Tag |
||
AssociateServiceActionWithProvisioningArtifact | Concede permissão para associar uma ação a um artefato de provisionamento | Write | |||
AssociateTagOptionWithResource | Concede permissão para associar a TagOption especificada ao portfólio ou ao produto especificado | Write | |||
BatchAssociateServiceActionWithProvisioningArtifact | Concede permissão para associar várias ações de autoatendimento a artefatos de provisionamento | Write | |||
BatchDisassociateServiceActionFromProvisioningArtifact | Concede permissão para desassociar um lote de ações de autoatendimento do artefato de provisionamento especificado | Write | |||
CopyProduct | Concede permissão para copiar o produto de origem especificado no produto de destino especificado ou em um novo produto | Write | |||
CreateApplication | Concede permissão para criar um aplicativo | Write |
iam:CreateServiceLinkedRole |
||
CreateAttributeGroup | Concede permissão para criar um grupo de atributos | Write | |||
CreateConstraint | Concede permissão para criar uma restrição em um produto e um portfólio associados | Write | |||
CreatePortfolio | Concede permissão para criar um portfólio | Write | |||
CreatePortfolioShare | Concede permissão para compartilhar um portfólio de sua propriedade com outra Conta da AWS | Permissions management | |||
CreateProduct | Concede permissão para criar um produto e o primeiro artefato de provisionamento desse produto | Write | |||
CreateProvisionedProductPlan | Concede permissão para adicionar um novo plano de produto provisionado | Write | |||
CreateProvisioningArtifact | Concede permissão para adicionar um novo artefato de provisionamento a um produto existente | Write | |||
CreateServiceAction | Concede permissão para criar uma ação de autoatendimento | Write | |||
CreateTagOption | Concede permissão para criar um TagOption | Write | |||
DeleteApplication | Concede permissão para excluir uma aplicação se todas as associações tiverem sido removidas da aplicação | Write | |||
DeleteAttributeGroup | Concede permissão para excluir um grupo de atributos se todas as associações tiverem sido removidas do grupo de atributos | Write | |||
DeleteConstraint | Concede permissão para remover e excluir uma restrição existente de um produto e um portfólio associados | Write | |||
DeletePortfolio | Concede permissão para excluir um portfólio se todas as associações e os compartilhamentos tiverem sido removidos do portfólio | Write | |||
DeletePortfolioShare | Concede permissão para cancelar o compartilhamento de um portfólio de sua propriedade de uma Conta da AWS com a qual você compartilhou o portfólio anteriormente | Permissions management | |||
DeleteProduct | Concede permissão para excluir um produto se todas as associações tiverem sido removidas do produto | Write | |||
DeleteProvisionedProductPlan | Concede permissão para excluir um plano de produto provisionado | Write | |||
DeleteProvisioningArtifact | Concede permissão para excluir um artefato de provisionamento de um produto | Escrever | |||
DeleteResourcePolicy [somente permissão] | Concede permissão para excluir uma política baseada em recursos para o recurso especificado | Escrever | |||
DeleteServiceAction | Concede permissão para excluir uma ação de autoatendimento | Write | |||
DeleteTagOption | Concede permissão para excluir o TagOption especificado | Write | |||
DescribeConstraint | Concede permissão para descrever uma restrição | Read | |||
DescribeCopyProductStatus | Concede permissão para obter o status da operação de cópia especificada do produto | Read | |||
DescribePortfolio | Concede permissão para descrever um portfólio | Read | |||
DescribePortfolioShareStatus | Concede permissão para obter o status da operação de compartilhamento de portfólio especificada | Read | |||
DescribePortfolioShares | Concede permissão para exibir um resumo de cada um dos compartilhamentos do portfólio que foram criados para o portfólio especificado | List | |||
DescribeProduct | Concede permissão para descrever um produto como um usuário final | Read | |||
DescribeProductAsAdmin | Concede permissão para descrever um produto como administrador | Read | |||
DescribeProductView | Concede permissão para descrever um produto como um usuário final | Read | |||
DescribeProvisionedProduct | Concede permissão para descrever um produto provisionado | Read | |||
DescribeProvisionedProductPlan | Concede permissão para descrever um plano de produto provisionado | Read | |||
DescribeProvisioningArtifact | Concede permissão para descrever um artefato de provisionamento | Read | |||
DescribeProvisioningParameters | Concede permissão para descrever os parâmetros que você precisa especificar para provisionar um artefato de provisionamento especificado com êxito | Read | |||
DescribeRecord | Concede permissão para descrever um registro e lista todas as saídas | Read | |||
DescribeServiceAction | Concede permissão para descrever uma ação de autoatendimento | Read | |||
DescribeServiceActionExecutionParameters | Concede permissão para obter os parâmetros padrão se você executou a ação de serviço especificada no produto provisionado especificado | Read | |||
DescribeTagOption | Concede permissão para obter informações sobre o TagOption especificado | Read | |||
DisableAWSOrganizationsAccess | Concede permissão para desabilitar o compartilhamento de portfólio por meio do recurso AWS Organizations | Write | |||
DisassociateAttributeGroup | Concede permissão para desassociar um grupo de atributos de uma aplicação | Write | |||
DisassociateBudgetFromResource | Concede permissão para desassociar um orçamento de um recurso | Write | |||
DisassociatePrincipalFromPortfolio | Concede permissão para desassociar um principal do IAM de um portfólio | Write | |||
DisassociateProductFromPortfolio | Concede permissão para desassociar um produto de um portfólio | Write | |||
DisassociateResource | Concede permissão para desassociar um recurso de uma aplicação | Write |
resource-groups:DeleteGroup |
||
DisassociateServiceActionFromProvisioningArtifact | Concede permissão para desassociar a associação da ação de autoatendimento especificada do artefato de provisionamento especificado | Write | |||
DisassociateTagOptionFromResource | Concede permissão para desassociar o TagOption especificado do recurso especificado | Write | |||
EnableAWSOrganizationsAccess | Concede permissão para habilitar o recurso de compartilhamento de portfólio pelo AWS Organizations | Write | |||
ExecuteProvisionedProductPlan | Concede permissão para executar um plano de produto provisionado | Write | |||
ExecuteProvisionedProductServiceAction | Concede permissão para executar um plano de produto provisionado | Write | |||
GetAWSOrganizationsAccessStatus | Concede permissão para obter o status de acesso do recurso de compartilhamento de portfólio do AWS Organizations | Read | |||
GetApplication | Concede permissão para obter uma aplicação | Read | |||
GetAssociatedResource | Concede permissão para obter informações sobre um recurso associado a uma aplicação | Read | |||
GetAttributeGroup | Concede permissão para obter um grupo de atributos | Leitura | |||
GetConfiguration | Concede permissão para ler configurações do AppRegistry | Leitura | |||
GetProvisionedProductOutputs | Concede permissão para obter a saída do produto provisionado com o ID ou nome do produto provisionado | Leitura | |||
GetResourcePolicy [somente permissão] | Concede permissão para obter uma política baseada em recursos para o recurso especificado | Leitura | |||
ImportAsProvisionedProduct | Concede permissão para importar um recurso para um produto provisionado | Write | |||
ListAcceptedPortfolioShares | Concede permissão para listar os portfólios que foram compartilhados com você e foram aceitos | Listar | |||
ListApplications | Concede permissão para listar suas aplicações | Listar | |||
ListAssociatedAttributeGroups | Concede permissão para listar os grupos de atributos associados a uma aplicação | List | |||
ListAssociatedResources | Concede permissão para listar os recursos associados a uma aplicação | Listar | |||
ListAttributeGroups | Concede permissão para listar seus grupos de atributos | Listar | |||
ListAttributeGroupsForApplication | Concede permissão para listar os grupos de atributos associados a uma determinada aplicação | Listar | |||
ListBudgetsForResource | Concede permissão para listar todos os orçamentos associados a um recurso | List | |||
ListConstraintsForPortfolio | Concede permissão para listar as restrições associadas a determinado portfólio | List | |||
ListLaunchPaths | Concede permissão para listar as diferentes maneiras de lançar determinado produto como um usuário final | List | |||
ListOrganizationPortfolioAccess | Concede permissão para listar os nós da organização que têm acesso ao portfólio especificado | List | |||
ListPortfolioAccess | Concede permissão para listar as contas da AWS com as quais você compartilhou um portfólio específico | List | |||
ListPortfolios | Concede permissão para listar os portfólios na conta | List | |||
ListPortfoliosForProduct | Concede permissão para listar os portfólios associados a determinado produto | List | |||
ListPrincipalsForPortfolio | Concede permissão para listar os principais do IAM associados a determinado portfólio | List | |||
ListProvisionedProductPlans | Concede permissão para listar os planos de produtos provisionados | List | |||
ListProvisioningArtifacts | Concede permissão para listar os artefatos de provisionamento associados a determinado produto | List | |||
ListProvisioningArtifactsForServiceAction | Concede permissão para listar todos os artefatos de provisionamento para a ação de autoatendimento especificada | List | |||
ListRecordHistory | Concede permissão para listar todos os registros na conta ou todos os registros relacionados a determinado produto provisionado | List | |||
ListResourcesForTagOption | Concede permissão para listar os recursos associados ao TagOption especificado | List | |||
ListServiceActions | Concede permissão para listar todas as ações de autoatendimento | List | |||
ListServiceActionsForProvisioningArtifact | Concede permissão para listar todas as ações de serviço associadas ao artefato de provisionamento especificado na conta | List | |||
ListStackInstancesForProvisionedProduct | Concede permissão para listar a conta, a região e o status de cada instância de pilha associada a um produto provisionado do tipo CFN_STACKSET | List | |||
ListTagOptions | Concede permissão para listar os TagOptions especificados ou todos os TagOptions | List | |||
ListTagsForResource | Concede permissão para listar as etiquetas de um recurso do AppRegistry do catálogo de serviços | Leitura | |||
NotifyProvisionProductEngineWorkflowResult | Concede permissão para notificar o resultado da execução do mecanismo de provisionamento | Escrever | |||
NotifyTerminateProvisionedProductEngineWorkflowResult | Concede permissão para notificar o resultado da execução do mecanismo de término | Escrever | |||
NotifyUpdateProvisionedProductEngineWorkflowResult | Concede permissão para notificar o resultado da execução do mecanismo de atualização | Escrever | |||
ProvisionProduct | Concede permissão para provisionar um produto com um artefato de provisionamento e parâmetros de execução especificados | Escrever | |||
PutConfiguration | Concede permissão para atribuir configurações do AppRegistry | Escrever | |||
PutResourcePolicy [somente permissão] | Concede permissão para adicionar uma política baseada em recursos para o recurso especificado | Escrever | |||
RejectPortfolioShare | Concede permissão para rejeitar um portfólio que foi compartilhado com você e que foi aceito anteriormente | Write | |||
ScanProvisionedProducts | Concede permissão para listar todos os produtos provisionados na conta | List | |||
SearchProducts | Concede permissão para listar os produtos disponíveis para você como usuário final | List | |||
SearchProductsAsAdmin | Concede permissão para listar todos os produtos na conta ou todos os produtos associados a determinado portfólio | List | |||
SearchProvisionedProducts | Concede permissão para listar todos os produtos provisionados na conta | List | |||
SyncResource | Concede permissão para sincronizar um recurso com seu estado atual no AppRegistry | Write |
cloudformation:UpdateStack |
||
TagResource | Concede permissão para marcar um recurso do AppRegistry do catálogo de serviços | Marcação | |||
TerminateProvisionedProduct | Concede permissão para encerrar um produto provisionado existente | Write | |||
UntagResource | Concede permissão para remover uma etiqueta de um recurso do AppRegistry do catálogo de serviços | Marcação | |||
UpdateApplication | Concede permissão para atualizar os atributos de uma aplicação existente | Write |
iam:CreateServiceLinkedRole |
||
UpdateAttributeGroup | Concede permissão para atualizar os atributos de um grupo de atributos existente | Write | |||
UpdateConstraint | Concede permissão para atualizar os campos de metadados de uma restrição existente | Write | |||
UpdatePortfolio | Concede permissão para atualizar os campos de metadados e/ou as etiquetas de um portfólio existente | Write | |||
UpdatePortfolioShare | Concede permissão para ativar ou desativar o compartilhamento de recursos para um compartilhamento de portfólio existente | Permissions management | |||
UpdateProduct | Concede permissão para atualizar os campos de metadados e/ou as etiquetas de um produto existente | Write | |||
UpdateProvisionedProduct | Concede permissão para atualizar um produto provisionado existente | Write | |||
UpdateProvisionedProductProperties | Concede permissão para atualizar as propriedades de um produto provisionado existente | Write | |||
UpdateProvisioningArtifact | Concede permissão para atualizar os campos de metadados de um artefato de provisionamento existente | Write | |||
UpdateServiceAction | Concede permissão para atualizar uma ação de autoatendimento | Write | |||
UpdateTagOption | Concede permissão para atualizar o TagOption especificado | Write |
Tipos de recursos definidos pelo AWS Service Catalog
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource
de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
Tipos de recursos | ARN | Chaves de condição |
---|---|---|
Application |
arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}
|
|
AttributeGroup |
arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}
|
|
Portfolio |
arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}
|
|
Product |
arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}
|
Chaves de condição do AWS Service Catalog
O AWS Service Catalog define as seguintes chaves de condição que podem ser usadas no elemento Condition
de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
nota
Para obter exemplos de políticas que mostram como estas chaves de condição podem ser usadas em uma política do IAM, consulte Exemplo de políticas de acesso para gerenciamento de produtos provisionados no Guia do administrador do catálogo de serviços.
Chaves de condição | Descrição | Tipo |
---|---|---|
aws:RequestTag/${TagKey} | Filtra acesso pela presença de pares de chave-valor da etiqueta na solicitação | String |
aws:ResourceTag/${TagKey} | Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso | String |
aws:TagKeys | Filtra ações pela presença de chaves da etiqueta na solicitação | ArrayOfString |
servicecatalog:Resource | Filtra o acesso controlando qual valor pode ser especificado como o parâmetro Resource em uma API de recursos associada ao AppRegistry | String |
servicecatalog:ResourceType | Filtra o acesso controlando qual valor pode ser especificado como o parâmetro ResourceType em uma API de recursos associada ao AppRegistry | String |
servicecatalog:accountLevel | Filtra o acesso pelo usuário que pode ver e executar ações em recursos criados por qualquer pessoa na conta | String |
servicecatalog:roleLevel | Filtra o acesso pelo usuário que pode ver e executar ações em recursos criados por eles ou por qualquer pessoa federada na mesma função que eles | String |
servicecatalog:userLevel | Filtra o acesso pelo usuário que podem ver e executar ações apenas em recursos que criaram | String |