本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 的托管策略 AWS AppFabric
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 IAM 用户指南中的AWS 托管策略。
AWS 服务 维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 管理型策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 管理型策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有资源 AWS 服务 和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的AWS 管理型策略。
AWS 托管策略:AWSAppFabricReadOnlyAccess
您可以将 AWSAppFabricReadOnlyAccess 策略附加到 IAM 身份。此策略向 AppFabric 服务授予只读权限。
注意
该AWSAppFabricReadOnlyAccess策略不授予生产力功能 AppFabric 的只读访问权限。
权限详细信息
该策略包含以下权限:
-
appfabric– 授予获取应用捆绑包、列出应用捆绑包、获取应用授权、列出应用授权、获取摄取、列出摄取、获取摄取目标、列出摄取目标和列出资源标签的权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appfabric:GetAppAuthorization", "appfabric:GetAppBundle", "appfabric:GetIngestion", "appfabric:GetIngestionDestination", "appfabric:ListAppAuthorizations", "appfabric:ListAppBundles", "appfabric:ListIngestionDestinations", "appfabric:ListIngestions", "appfabric:ListTagsForResource" ], "Resource": "*" } ] }
AWS 托管策略:AWSAppFabricFullAccess
您可以将 AWSAppFabricFullAccess 策略附加到 IAM 身份。此策略向 AppFabric 服务授予管理权限。
重要
该AWSAppFabricFullAccess政策不授予 AppFabric 对提高生产力功能的访问权限,因为这些功能目前处于预览状态。有关授予生产力功能访问权限的 AppFabric 更多信息,请参阅AppFabric 有关生产力 IAM 策略示例。
权限详细信息
该策略包含以下权限:
-
appfabric— 向授予完全管理权限 AppFabric。 -
kms– 授予列出别名的权限。 -
s3– 授予列出所有的 Amazon S3 存储桶和获取存储桶位置的权限。 -
firehose— 授予列出 Amazon Data Firehose 传输流和描述传输流的权限。 -
iam— 授予为创建AWSServiceRoleForAppFabric服务相关角色的 AppFabric权限。有关更多信息,请参阅 将服务相关角色用于 AppFabric。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["appfabric:*"], "Resource": "*" }, { "Sid": "KMSListAccess", "Effect": "Allow", "Action": ["kms:ListAliases"], "Resource": "*" }, { "Sid": "S3ReadAccess", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "FirehoseReadAccess", "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:ListDeliveryStreams" ], "Resource": "*" }, { "Sid": "AllowUseOfServiceLinkedRole", "Effect": "Allow", "Action": ["iam:CreateServiceLinkedRole"], "Condition": { "StringEquals": {"iam:AWSServiceName": "appfabric.amazonaws.com"} }, "Resource": "arn:aws:iam::*:role/aws-service-role/appfabric.amazonaws.com/AWSServiceRoleForAppFabric" } ] }
AWS 托管策略:AWSAppFabricServiceRolePolicy
无法将 AWSAppFabricServiceRolePolicy 策略附加到 IAM 实体。此策略附加到允许代表您执行操作 AppFabric 的服务相关角色。有关更多信息,请参阅 将服务相关角色用于 AppFabric。
权限详细信息
该策略包含以下权限:
-
cloudwatch— 授予将指标数据放 AppFabric 入 Amazon CloudWatchAWS/AppFabric命名空间的权限。有关中可用 AppFabric 指标的更多信息 CloudWatch,请参阅AWS AppFabric 使用 Amazon 进行监控 CloudWatch。 -
s3— 授予 AppFabric 将提取的数据放入您指定的 Amazon S3 存储桶的权限。 -
firehose— 授予将提取的数据放 AppFabric 入您指定的 Amazon Data Firehose 传输流的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchEmitMetric", "Effect": "Allow", "Action": ["cloudwatch:PutMetricData"], "Resource": "*", "Condition": { "StringEquals": {"cloudwatch:namespace": "AWS/AppFabric"} } }, { "Sid": "S3PutObject", "Effect": "Allow", "Action": ["s3:PutObject"], "Resource": "arn:aws:s3:::*/AWSAppFabric/*", "Condition": { "StringEquals": {"s3:ResourceAccount": "${aws:PrincipalAccount}"} } }, { "Sid": "FirehosePutRecord", "Effect": "Allow", "Action": ["firehose:PutRecordBatch"], "Resource": "arn:aws:firehose:*:*:deliverystream/*", "Condition": { "StringEqualsIgnoreCase": {"aws:ResourceTag/AWSAppFabricManaged": "true"} } } ] }
AppFabric AWS 托管策略的更新
查看 AppFabric 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “AppFabric 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AppFabric 添加了向 AppFabric服务授予只读权限的新策略。 |
2023 年 6 月 27 日 | |
|
AppFabric 添加了向 AppFabric 服务授予管理权限的新策略。 |
2023 年 6 月 27 日 | |
|
AppFabric 为 |
2023 年 6 月 27 日 | |
|
AppFabric 已开始跟踪更改 |
AppFabric 开始跟踪其 AWS 托管策略的更改。 |
2023 年 6 月 27 日 |
