本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
“资源级权限” 一词是指能够指定允许用户对其执行操作的资源。 AWS Batch 部分支持资源级权限。对于某些 AWS Batch 操作,您可以根据必须满足的条件来控制何时允许用户使用这些操作。您还可以根据允许用户使用的特定资源进行控制。例如,您可以向用户授予提交作业的权限,但仅授予特定作业队列的权限,并且仅具有特定的作业定义。
有关 B AWS atch 定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《服务授权参考》中的 “AWS 批处理操作、资源和条件密钥”。 ARNs
以下列表描述了当前支持资源级权限的 AWS Batch API 操作。该列表还描述了每个操作支持的资源 ARNs、资源和条件键。
重要
如果 AWS Batch API 操作未在此列表中列出,则该操作不支持资源级权限。如果 AWS Batch API 操作不支持资源级权限,则可以向用户授予使用该操作的权限。但是,您必须为策略语句的资源元素添加通配符 (*)。
- 操作
-
CancelJob, CreateComputeEnvironment, CreateJobQueue, CreateSchedulingPolicy, DeleteComputeEnvironment, DeleteJobQueue, DeleteSchedulingPolicy, DeregisterJobDefinition, GetJobQueueSnapshot, ListTagsForResource, RegisterJobDefinition, SubmitJob, TagResource, TerminateJob, UntagResource, UpdateComputeEnvironment, UpdateSchedulingPolicy, UpdateJobQueue
- CancelJob
-
取消 AWS Batch 队列中的作业。
- 资源
-
- 任务
-
arn: aws: batch::: job/
regionaccountjobId- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- CreateComputeEnvironment
-
创建 AWS Batch 计算环境。
- 资源
-
- 计算环境
-
arn: aws: batch::: 计算环境/
regionaccountcompute-environment-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 条件键
-
aws:RequestTag/${TagKey}(字符串)-
根据在请求中传递的标签筛选操作。
aws:TagKeys(字符串)-
根据在请求中传递的标签键筛选操作。
- CreateJobQueue
-
创建 AWS Batch 任务队列。
- 资源
-
- 计算环境
-
arn: aws: batch::: 计算环境/
regionaccountcompute-environment-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 作业队列
-
arn: aws: batch::: job-queue/
regionaccountqueue-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 计划策略
-
arn: aws: batch::: 调度策略/
regionaccountscheduling-policy-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 条件键
-
aws:RequestTag/${TagKey}(字符串)-
根据在请求中传递的标签筛选操作。
aws:TagKeys(字符串)-
根据在请求中传递的标签键筛选操作。
- DeleteComputeEnvironment
-
删除 AWS Batch 计算环境。
- 资源
-
- 计算环境
-
arn: aws: batch::: 计算环境/
regionaccountcompute-environment-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- CreateSchedulingPolicy
-
创建 AWS Batch 调度策略。
- 资源
-
- 计划策略
-
arn: aws: batch::: 调度策略/
regionaccountscheduling-policy-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 条件键
-
aws:RequestTag/${TagKey}(字符串)-
根据在请求中传递的标签筛选操作。
aws:TagKeys(字符串)-
根据在请求中传递的标签键筛选操作。
- DeleteJobQueue
-
删除指定的作业队列。删除作业队列最终会删除队列中的所有作业。作业的删除速度约为每秒 16 个作业。
- 资源
-
- 作业队列
-
arn: aws: batch::: job-queue/
regionaccountqueue-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- DeleteSchedulingPolicy
-
删除指定的计划策略。
- 资源
-
- 计划策略
-
arn: aws: batch::: 调度策略/
regionaccountscheduling-policy-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- DeregisterJobDefinition
-
注销 AWS Batch 作业定义。
- 资源
-
- 作业定义
-
arn: aws: batch::: job-definition/:
regionaccountdefinition-namerevision- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- GetJobQueueSnapshot
-
提供与单个作业队列关联的前 100 个
RUNNABLE作业的列表。- 资源
-
- 作业队列
-
arn: aws: batch::: job-queue/
regionaccountqueue-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
-
列出指定资源的标签。
- 资源
-
- 计算环境
-
arn: aws: batch::: 计算环境/
regionaccountcompute-environment-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 任务
-
arn: aws: batch::: job/
regionaccountjobId- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 作业定义
-
arn: aws: batch::: job-definition/:
regionaccountdefinition-namerevision- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 作业队列
-
arn: aws: batch::: job-queue/
regionaccountqueue-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 计划策略
-
arn: aws: batch::: 调度策略/
regionaccountscheduling-policy-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- RegisterJobDefinition
-
注册一个 AWS Batch 定义。
- 资源
-
- 作业定义
-
arn: aws: batch::: job-definition/
regionaccountdefinition-name
- 条件键
-
batch:AWSLogsCreateGroup(布尔值)-
当此参数为 true 时,将会为日志创建
awslogs-group。 batch:AWSLogsGroup(字符串)-
日志所在的
awslogs组。 batch:AWSLogsRegion(字符串)-
日志发送到的区域。
batch:AWSLogsStreamPrefix(字符串)-
awslogs日志流前缀。 batch:Image(字符串)-
用于启动作业的 Docker 映像。
batch:LogDriver(字符串)-
用于作业的日志驱动程序。
batch:Privileged(布尔值)-
当此参数为 true 时,将会为该作业的容器提供对主机容器实例的提升权限。
batch:User(字符串)-
要在该作业的容器中使用的用户名或数字 UID。
aws:RequestTag/${TagKey}(字符串)-
根据在请求中传递的标签筛选操作。
aws:TagKeys(字符串)-
根据在请求中传递的标签键筛选操作。
- SubmitJob
-
根据 AWS Batch 作业定义提交作业。
- 资源
-
- 任务
-
arn: aws: batch::: job/
regionaccountjobId- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 作业定义
-
arn: aws: batch::: job-definition/ [:]
regionaccountdefinition-namerevision- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
注意
只有当作业定义Amazon 资源名称(ARN)的格式为
arn:aws:batch:时才能使用此密钥region:account_number:job-definition/definition-name:revision.
- 作业队列
-
arn: aws: batch::: job-queue/
regionaccountqueue-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- TagResource
-
标记指定的资源。
- 资源
-
- 计算环境
-
arn: aws: batch::: 计算环境/
regionaccountcompute-environment-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 任务
-
arn: aws: batch::: job/
regionaccountjobId- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 作业定义
-
arn: aws: batch::: job-definition/:
regionaccountdefinition-namerevision- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 作业队列
-
arn: aws: batch::: job-queue/
regionaccountqueue-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 计划策略
-
arn: aws: batch::: 调度策略/
regionaccountscheduling-policy-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 条件键
-
aws:RequestTag/${TagKey}(字符串)-
根据在请求中传递的标签筛选操作。
aws:TagKeys(字符串)-
根据在请求中传递的标签键筛选操作。
- TerminateJob
-
终止作业队列中的作 AWS Batch 业。
- 资源
-
- 任务
-
arn: aws: batch::: job/
regionaccountjobId- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- UntagResource
-
取消对指定资源的标记。
- 资源
-
- 计算环境
-
arn: aws: batch::: 计算环境/
regionaccountcompute-environment-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 任务
-
arn: aws: batch::: job/
regionaccountjobId- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 作业定义
-
arn: aws: batch::: job-definition/:
regionaccountdefinition-namerevision- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 作业队列
-
arn: aws: batch::: job-queue/
regionaccountqueue-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 计划策略
-
arn: aws: batch::: 调度策略/
regionaccountscheduling-policy-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 条件键
-
aws:TagKeys(字符串)-
根据在请求中传递的标签键筛选操作。
- UpdateComputeEnvironment
-
更新 AWS Batch 计算环境。
- 资源
-
- 计算环境
-
arn: aws: batch::: 计算环境/
regionaccountcompute-environment-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- UpdateJobQueue
-
更新作业队列。
- 资源
-
- 作业队列
-
arn: aws: batch::: job-queue/
regionaccountqueue-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- 计划策略
-
arn: aws: batch::: 调度策略/
regionaccountscheduling-policy-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
- UpdateSchedulingPolicy
-
更新计划策略。
- 资源
-
- 计划策略
-
arn: aws: batch::: 调度策略/
regionaccountscheduling-policy-name- 条件键
-
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
AWS Batch API 操作的条件密钥
AWS Batch 定义了在 IAM 策略Condition元素中使用的以下条件键。您可以使用这些键细化应用策略语句的条件。要查看对所有服务都可用的全局条件键,请参阅 IAM 用户指南中的可用的全局条件键。
batch:AWSLogsCreateGroup(布尔值)-
当此参数为 true 时,将会为日志创建
awslogs-group。 batch:AWSLogsGroup(字符串)-
日志所在的
awslogs组。 batch:AWSLogsRegion(字符串)-
日志 AWS 区域 的发送目的地。
batch:AWSLogsStreamPrefix(字符串)-
awslogs日志流前缀。 batch:Image(字符串)-
用于启动作业的 Docker 映像。
batch:LogDriver(字符串)-
用于作业的日志驱动程序。
batch:Privileged(布尔值)-
当此参数为 true 时,将对作业容器提供对主机容器实例的提升的权限(类似于根用户)。
aws:ResourceTag/${TagKey}(字符串)-
根据与资源关联的标签筛选操作。
aws:RequestTag/${TagKey}(字符串)-
根据在请求中传递的标签筛选操作。
-
根据发送到的
shareIdentifier参数筛选操作SubmitJob。 aws:TagKeys(字符串)-
根据在请求中传递的标签键筛选操作。
batch:User(字符串)-
要在容器中使用的用户名或数字用户 ID (uid)。
