Ações, recursos e chaves de condição do AWS Well-Architected Tool - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWS Well-Architected Tool

O AWS Well-Architected Tool (prefixo de serviço: wellarchitected) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS Well-Architected Tool

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AssociateLenses Concede permissão para associar uma lente à workload especificada Write

workload*

CreateLensShare Concede permissão a um proprietário de uma lente para compartilhar com outros AWS contas e usuários do IAM Write

lens*

CreateLensVersion Concede permissão para criar uma nova versão de lentes Write

lens*

CreateMilestone Concede permissão para criar um novo marco para a workload especificada Write

workload*

CreateWorkload Concede permissão para criar uma nova workload Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkloadShare Concede permissão para compartilhar uma workload com outra conta Write

workload*

DeleteLens Concede permissão para excluir uma lente Write

lens*

DeleteLensShare Concede permissão para excluir um compartilhamento de lentes existente Write

lens*

DeleteWorkload Concede permissão para excluir uma workload existente Write

workload*

DeleteWorkloadShare Concede permissão para excluir um compartilhamento de workload existente Write

workload*

DisassociateLenses Concede permissão para desassociar uma lente da workload especificada Write

workload*

ExportLens Concede permissão para exportar uma lente existente Read

lens*

GetAnswer Concede permissão para recuperar a resposta especificada da revisão de lente especificada Read

workload*

GetLens Concede permissão para obter uma lente existente Read

lens*

aws:ResourceTag/${TagKey}

GetLensReview Concede permissão para recuperar a revisão de lente especificada da workload especificada Read

workload*

GetLensReviewReport Concede permissão para recuperar o relatório para a revisão de lente especificada Read

workload*

GetLensVersionDifference Concede permissão para obter a diferença entre a versão especificada da lente e a versão mais recente da lente disponível Read

lens*

GetMilestone Concede permissão para recuperar o marco especificado da workload especificada Read

workload*

GetWorkload Concede permissão para recuperar a workload especificada Read

workload*

aws:ResourceTag/${TagKey}

ImportLens Concede permissão para importar novas lentes Write

aws:RequestTag/${TagKey}

aws:TagKeys

ListAnswers Concede permissão para listar as respostas da revisão de lente especificada List

workload*

ListLensReviewImprovements Concede permissão para listar as melhorias da revisão de lente especificada List

workload*

ListLensReviews Concede permissão para listar as revisões de lente da workload especificada List

workload*

ListLensShares Concede permissão para listar todos os compartilhamentos criados para uma lente List

lens*

ListLenses Concede permissão para listar as lentes disponíveis para esta conta List
ListMilestones Concede permissão para listar os marcos da workload especificada List

workload*

ListNotifications Concede permissão para listar notificações relacionadas à conta ou ao recurso especificado List
ListShareInvitations Concede permissão para listar os convites de compartilhamento de workload da conta ou usuário especificado List
ListTagsForResource Concede permissão para listar etiquetas para um recurso Well-Architected Read

lens

workload

aws:ResourceTag/${TagKey}

ListWorkloadShares Concede permissão para listar os compartilhamentos de workload da workload especificada List

workload*

ListWorkloads Concede permissão para listar as cargas de trabalho nesta conta List
TagResource Concede permissão para marcar um recurso Well-Architected Marcação

lens

workload

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource Concede permissão para desmarcar um recurso Well-Architected Marcação

lens

workload

aws:TagKeys

UpdateAnswer Concede permissão para atualizar propriedades da resposta especificada Write

workload*

UpdateGlobalSettings Concede permissão para atualizar configurações de forma a habilitar o suporte de aws-organization Write
UpdateLensReview Concede permissão para atualizar as propriedades da revisão de lente especificada Write

workload*

UpdateShareInvitation Concede permissão para atualizar o status do convite de compartilhamento de workload especificado Write

workload*

UpdateWorkload Concede permissão para atualizar propriedades da workload especificada Write

workload*

UpdateWorkloadShare Concede permissão para atualizar propriedades da workload especificada Write

workload*

UpgradeLensReview Concede permissão para atualizar a revisão de lente especificada para usar a versão mais recente da lente associada Write

workload*

Tipos de recursos definidos pelo AWS Well-Architected Tool

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
workload arn:${Partition}:wellarchitected:${Region}:${Account}:workload/${ResourceId}

aws:ResourceTag/${TagKey}

lens arn:${Partition}:wellarchitected:${Region}:${Account}:lens/${ResourceId}

aws:ResourceTag/${TagKey}

Chaves de condição do AWS Well-Architected Tool

O AWS Well-Architected Tool define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra o acesso por pares de chave-valor da etiqueta na solicitação String
aws:ResourceTag/${TagKey} Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso String
aws:TagKeys Filtra o acesso pelas chaves da etiqueta na solicitação ArrayOfString