Ações, recursos e chaves de condição do AWS Service Catalog - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWS Service Catalog

O AWS Service Catalog (prefixo de serviço: servicecatalog) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS Service Catalog

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AcceptPortfolioShare Concede permissão para aceitar um portfólio que foi compartilhado com você Write

Portfolio*

AssociateAttributeGroup Concede permissão para associar um grupo de atributos a uma aplicação Write

Application*

AttributeGroup*

AssociateBudgetWithResource Concede permissão para associar um orçamento a um recurso Write
AssociatePrincipalWithPortfolio Concede permissão para associar um principal do IAM a um portfólio, concedendo ao principal especificado acesso a todos os produtos associados ao portfólio especificado Write

Portfolio*

AssociateProductWithPortfolio Concede permissão para associar um produto a um portfólio Write
AssociateResource Concede permissão para associar um recurso a uma aplicação Write

Application*

cloudformation:DescribeStacks

resource-groups:CreateGroup

resource-groups:GetGroup

resource-groups:Tag

servicecatalog:ResourceType

servicecatalog:Resource

AssociateServiceActionWithProvisioningArtifact Concede permissão para associar uma ação a um artefato de provisionamento Write

Product*

AssociateTagOptionWithResource Concede permissão para associar a TagOption especificada ao portfólio ou ao produto especificado Write

Portfolio

Product

BatchAssociateServiceActionWithProvisioningArtifact Concede permissão para associar várias ações de autoatendimento a artefatos de provisionamento Write
BatchDisassociateServiceActionFromProvisioningArtifact Concede permissão para desassociar um lote de ações de autoatendimento do artefato de provisionamento especificado Write
CopyProduct Concede permissão para copiar o produto de origem especificado no produto de destino especificado ou em um novo produto Write
CreateApplication Concede permissão para criar um aplicativo Write

Application*

iam:CreateServiceLinkedRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAttributeGroup Concede permissão para criar um grupo de atributos Write

AttributeGroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConstraint Concede permissão para criar uma restrição em um produto e um portfólio associados Write

Product*

CreatePortfolio Concede permissão para criar um portfólio Write

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePortfolioShare Concede permissão para compartilhar um portfólio de sua propriedade com outra Conta da AWS Permissions management

Portfolio*

CreateProduct Concede permissão para criar um produto e o primeiro artefato de provisionamento desse produto Write

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProvisionedProductPlan Concede permissão para adicionar um novo plano de produto provisionado Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

CreateProvisioningArtifact Concede permissão para adicionar um novo artefato de provisionamento a um produto existente Write

Product*

CreateServiceAction Concede permissão para criar uma ação de autoatendimento Write
CreateTagOption Concede permissão para criar um TagOption Write
DeleteApplication Concede permissão para excluir uma aplicação se todas as associações tiverem sido removidas da aplicação Write

Application*

DeleteAttributeGroup Concede permissão para excluir um grupo de atributos se todas as associações tiverem sido removidas do grupo de atributos Write

AttributeGroup*

DeleteConstraint Concede permissão para remover e excluir uma restrição existente de um produto e um portfólio associados Write
DeletePortfolio Concede permissão para excluir um portfólio se todas as associações e os compartilhamentos tiverem sido removidos do portfólio Write

Portfolio*

DeletePortfolioShare Concede permissão para cancelar o compartilhamento de um portfólio de sua propriedade de uma Conta da AWS com a qual você compartilhou o portfólio anteriormente Permissions management

Portfolio*

DeleteProduct Concede permissão para excluir um produto se todas as associações tiverem sido removidas do produto Write

Product*

DeleteProvisionedProductPlan Concede permissão para excluir um plano de produto provisionado Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DeleteProvisioningArtifact Concede permissão para excluir um artefato de provisionamento de um produto Escrever

Product*

DeleteResourcePolicy [somente permissão] Concede permissão para excluir uma política baseada em recursos para o recurso especificado Escrever

Application

AttributeGroup

DeleteServiceAction Concede permissão para excluir uma ação de autoatendimento Write
DeleteTagOption Concede permissão para excluir o TagOption especificado Write
DescribeConstraint Concede permissão para descrever uma restrição Read
DescribeCopyProductStatus Concede permissão para obter o status da operação de cópia especificada do produto Read
DescribePortfolio Concede permissão para descrever um portfólio Read

Portfolio*

DescribePortfolioShareStatus Concede permissão para obter o status da operação de compartilhamento de portfólio especificada Read
DescribePortfolioShares Concede permissão para exibir um resumo de cada um dos compartilhamentos do portfólio que foram criados para o portfólio especificado List

Portfolio*

DescribeProduct Concede permissão para descrever um produto como um usuário final Read

Product*

DescribeProductAsAdmin Concede permissão para descrever um produto como administrador Read

Product*

DescribeProductView Concede permissão para descrever um produto como um usuário final Read
DescribeProvisionedProduct Concede permissão para descrever um produto provisionado Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisionedProductPlan Concede permissão para descrever um plano de produto provisionado Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisioningArtifact Concede permissão para descrever um artefato de provisionamento Read

Product*

DescribeProvisioningParameters Concede permissão para descrever os parâmetros que você precisa especificar para provisionar um artefato de provisionamento especificado com êxito Read

Product*

DescribeRecord Concede permissão para descrever um registro e lista todas as saídas Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeServiceAction Concede permissão para descrever uma ação de autoatendimento Read
DescribeServiceActionExecutionParameters Concede permissão para obter os parâmetros padrão se você executou a ação de serviço especificada no produto provisionado especificado Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeTagOption Concede permissão para obter informações sobre o TagOption especificado Read
DisableAWSOrganizationsAccess Concede permissão para desabilitar o compartilhamento de portfólio por meio do recurso AWS Organizations Write
DisassociateAttributeGroup Concede permissão para desassociar um grupo de atributos de uma aplicação Write

Application*

AttributeGroup*

DisassociateBudgetFromResource Concede permissão para desassociar um orçamento de um recurso Write
DisassociatePrincipalFromPortfolio Concede permissão para desassociar um principal do IAM de um portfólio Write

Portfolio*

DisassociateProductFromPortfolio Concede permissão para desassociar um produto de um portfólio Write
DisassociateResource Concede permissão para desassociar um recurso de uma aplicação Write

Application*

resource-groups:DeleteGroup

servicecatalog:ResourceType

servicecatalog:Resource

DisassociateServiceActionFromProvisioningArtifact Concede permissão para desassociar a associação da ação de autoatendimento especificada do artefato de provisionamento especificado Write

Product*

DisassociateTagOptionFromResource Concede permissão para desassociar o TagOption especificado do recurso especificado Write

Portfolio

Product

EnableAWSOrganizationsAccess Concede permissão para habilitar o recurso de compartilhamento de portfólio pelo AWS Organizations Write
ExecuteProvisionedProductPlan Concede permissão para executar um plano de produto provisionado Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ExecuteProvisionedProductServiceAction Concede permissão para executar um plano de produto provisionado Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

GetAWSOrganizationsAccessStatus Concede permissão para obter o status de acesso do recurso de compartilhamento de portfólio do AWS Organizations Read
GetApplication Concede permissão para obter uma aplicação Read

Application*

GetAssociatedResource Concede permissão para obter informações sobre um recurso associado a uma aplicação Read

Application*

servicecatalog:ResourceType

servicecatalog:Resource

GetAttributeGroup Concede permissão para obter um grupo de atributos Leitura

AttributeGroup*

GetConfiguration Concede permissão para ler configurações do AppRegistry Leitura
GetProvisionedProductOutputs Concede permissão para obter a saída do produto provisionado com o ID ou nome do produto provisionado Leitura
GetResourcePolicy [somente permissão] Concede permissão para obter uma política baseada em recursos para o recurso especificado Leitura

Application

AttributeGroup

ImportAsProvisionedProduct Concede permissão para importar um recurso para um produto provisionado Write

Product*

ListAcceptedPortfolioShares Concede permissão para listar os portfólios que foram compartilhados com você e foram aceitos Listar
ListApplications Concede permissão para listar suas aplicações Listar
ListAssociatedAttributeGroups Concede permissão para listar os grupos de atributos associados a uma aplicação List

Application*

ListAssociatedResources Concede permissão para listar os recursos associados a uma aplicação Listar

Application*

ListAttributeGroups Concede permissão para listar seus grupos de atributos Listar
ListAttributeGroupsForApplication Concede permissão para listar os grupos de atributos associados a uma determinada aplicação Listar

Application*

ListBudgetsForResource Concede permissão para listar todos os orçamentos associados a um recurso List
ListConstraintsForPortfolio Concede permissão para listar as restrições associadas a determinado portfólio List
ListLaunchPaths Concede permissão para listar as diferentes maneiras de lançar determinado produto como um usuário final List

Product*

ListOrganizationPortfolioAccess Concede permissão para listar os nós da organização que têm acesso ao portfólio especificado List
ListPortfolioAccess Concede permissão para listar as contas da AWS com as quais você compartilhou um portfólio específico List

Portfolio*

ListPortfolios Concede permissão para listar os portfólios na conta List
ListPortfoliosForProduct Concede permissão para listar os portfólios associados a determinado produto List

Product*

ListPrincipalsForPortfolio Concede permissão para listar os principais do IAM associados a determinado portfólio List

Portfolio*

ListProvisionedProductPlans Concede permissão para listar os planos de produtos provisionados List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListProvisioningArtifacts Concede permissão para listar os artefatos de provisionamento associados a determinado produto List

Product*

ListProvisioningArtifactsForServiceAction Concede permissão para listar todos os artefatos de provisionamento para a ação de autoatendimento especificada List
ListRecordHistory Concede permissão para listar todos os registros na conta ou todos os registros relacionados a determinado produto provisionado List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListResourcesForTagOption Concede permissão para listar os recursos associados ao TagOption especificado List
ListServiceActions Concede permissão para listar todas as ações de autoatendimento List
ListServiceActionsForProvisioningArtifact Concede permissão para listar todas as ações de serviço associadas ao artefato de provisionamento especificado na conta List

Product*

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListStackInstancesForProvisionedProduct Concede permissão para listar a conta, a região e o status de cada instância de pilha associada a um produto provisionado do tipo CFN_STACKSET List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListTagOptions Concede permissão para listar os TagOptions especificados ou todos os TagOptions List
ListTagsForResource Concede permissão para listar as etiquetas de um recurso do AppRegistry do catálogo de serviços Leitura

Application

AttributeGroup

NotifyProvisionProductEngineWorkflowResult Concede permissão para notificar o resultado da execução do mecanismo de provisionamento Escrever
NotifyTerminateProvisionedProductEngineWorkflowResult Concede permissão para notificar o resultado da execução do mecanismo de término Escrever
NotifyUpdateProvisionedProductEngineWorkflowResult Concede permissão para notificar o resultado da execução do mecanismo de atualização Escrever
ProvisionProduct Concede permissão para provisionar um produto com um artefato de provisionamento e parâmetros de execução especificados Escrever

Product*

PutConfiguration Concede permissão para atribuir configurações do AppRegistry Escrever
PutResourcePolicy [somente permissão] Concede permissão para adicionar uma política baseada em recursos para o recurso especificado Escrever

Application

AttributeGroup

RejectPortfolioShare Concede permissão para rejeitar um portfólio que foi compartilhado com você e que foi aceito anteriormente Write

Portfolio*

ScanProvisionedProducts Concede permissão para listar todos os produtos provisionados na conta List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SearchProducts Concede permissão para listar os produtos disponíveis para você como usuário final List
SearchProductsAsAdmin Concede permissão para listar todos os produtos na conta ou todos os produtos associados a determinado portfólio List
SearchProvisionedProducts Concede permissão para listar todos os produtos provisionados na conta List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SyncResource Concede permissão para sincronizar um recurso com seu estado atual no AppRegistry Write

cloudformation:UpdateStack

TagResource Concede permissão para marcar um recurso do AppRegistry do catálogo de serviços Marcação

Application

AttributeGroup

aws:TagKeys

aws:RequestTag/${TagKey}

TerminateProvisionedProduct Concede permissão para encerrar um produto provisionado existente Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UntagResource Concede permissão para remover uma etiqueta de um recurso do AppRegistry do catálogo de serviços Marcação

Application

AttributeGroup

aws:TagKeys

UpdateApplication Concede permissão para atualizar os atributos de uma aplicação existente Write

Application*

iam:CreateServiceLinkedRole

UpdateAttributeGroup Concede permissão para atualizar os atributos de um grupo de atributos existente Write

AttributeGroup*

UpdateConstraint Concede permissão para atualizar os campos de metadados de uma restrição existente Write
UpdatePortfolio Concede permissão para atualizar os campos de metadados e/ou as etiquetas de um portfólio existente Write

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdatePortfolioShare Concede permissão para ativar ou desativar o compartilhamento de recursos para um compartilhamento de portfólio existente Permissions management

Portfolio*

UpdateProduct Concede permissão para atualizar os campos de metadados e/ou as etiquetas de um produto existente Write

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateProvisionedProduct Concede permissão para atualizar um produto provisionado existente Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UpdateProvisionedProductProperties Concede permissão para atualizar as propriedades de um produto provisionado existente Write
UpdateProvisioningArtifact Concede permissão para atualizar os campos de metadados de um artefato de provisionamento existente Write

Product*

UpdateServiceAction Concede permissão para atualizar uma ação de autoatendimento Write
UpdateTagOption Concede permissão para atualizar o TagOption especificado Write

Tipos de recursos definidos pelo AWS Service Catalog

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
Application arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}

aws:ResourceTag/${TagKey}

AttributeGroup arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}

aws:ResourceTag/${TagKey}

Portfolio arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}

aws:ResourceTag/${TagKey}

Product arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}

aws:ResourceTag/${TagKey}

Chaves de condição do AWS Service Catalog

O AWS Service Catalog define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

nota

Para obter exemplos de políticas que mostram como estas chaves de condição podem ser usadas em uma política do IAM, consulte Exemplo de políticas de acesso para gerenciamento de produtos provisionados no Guia do administrador do catálogo de serviços.

Chaves de condição Descrição Tipo
aws:RequestTag/${TagKey} Filtra acesso pela presença de pares de chave-valor da etiqueta na solicitação String
aws:ResourceTag/${TagKey} Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso String
aws:TagKeys Filtra ações pela presença de chaves da etiqueta na solicitação ArrayOfString
servicecatalog:Resource Filtra o acesso controlando qual valor pode ser especificado como o parâmetro Resource em uma API de recursos associada ao AppRegistry String
servicecatalog:ResourceType Filtra o acesso controlando qual valor pode ser especificado como o parâmetro ResourceType em uma API de recursos associada ao AppRegistry String
servicecatalog:accountLevel Filtra o acesso pelo usuário que pode ver e executar ações em recursos criados por qualquer pessoa na conta String
servicecatalog:roleLevel Filtra o acesso pelo usuário que pode ver e executar ações em recursos criados por eles ou por qualquer pessoa federada na mesma função que eles String
servicecatalog:userLevel Filtra o acesso pelo usuário que podem ver e executar ações apenas em recursos que criaram String