本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Elastic Load Balancing V2 的操作、资源和条件键
AWS Elastic Load Balancing V2(服务前缀:elasticloadbalancing
)提供了以下特定于服务的资源、操作和条件上下文密钥,供在IAM权限策略中使用。
参考:
-
了解如何配置该服务。
-
查看此服务可用的API操作列表。
-
了解如何使用IAM权限策略保护此服务及其资源。
主题
AWS Elastic Load Balancing V2 定义的操作
您可以在IAM策略声明的Action
元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。当您在策略中使用操作时,通常会允许或拒绝访问具有相同名称的API操作或CLI命令。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource
元素中指定策略应用的所有资源(“*”)。如果该列包含资源类型,则可以在带有该操作ARN的语句中指定该类型的资源类型。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您使用IAM策略中的Resource
元素限制资源访问权限,则必须为每种必需的资源类型包含ARN或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition
元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
---|---|---|---|---|---|
AddListenerCertificates | 授予将指定证书添加至指定安全侦听器的权限 | 写入 | |||
AddTags | 授予将指定标签添加到指定负载均衡器的权限。每个负载均衡器最多可以有 10 个标签 | 标记 | |||
AddTrustStoreRevocations | 授予向信任存储添加撤销的权限 | 写入 | |||
CreateListener | 授予为指定应用程序负载均衡器创建侦听器的权限 | 写入 |
elasticloadbalancing:AddTags |
||
elasticloadbalancing:ResourceTag/${TagKey} |
|||||
CreateLoadBalancer | 授予权限以创建负载均衡器 | 写入 |
elasticloadbalancing:AddTags |
||
elasticloadbalancing:ResourceTag/${TagKey} |
|||||
CreateRule | 授予为指定探测器创建规则的权限 | 写入 |
elasticloadbalancing:AddTags |
||
CreateTargetGroup | 授予创建目标组的权限 | 写入 |
elasticloadbalancing:AddTags |
||
CreateTrustStore | 授予创建信任存储的权限 | 写入 |
elasticloadbalancing:AddTags |
||
DeleteListener | 授予删除指定侦听器的权限 | 写入 | |||
DeleteLoadBalancer | 授予删除指定负载均衡器的权限 | 写入 | |||
DeleteRule | 授予删除指定规则的权限 | 写入 | |||
DeleteSharedTrustStoreAssociation | 授予删除指定共享信任存储关联的权限 | 写入 | |||
DeleteTargetGroup | 授予删除指定目标组的权限 | 写入 | |||
DeleteTrustStore | 授予删除指定信任存储的权限 | 写入 | |||
DeregisterTargets | 授予从指定目标组注销指定目标的权限 | 写入 | |||
DescribeAccountLimits | 授予描述 Elastic Load Balancing 资源限制的权限 AWS 账户 | 读取 | |||
DescribeListenerAttributes | 授予描述指定监听器属性的权限 | 读取 | |||
DescribeListenerCertificates | 授予描述指定安全侦听器的证书的权限 | 读取 | |||
DescribeListeners | 授予描述指定侦听器或指定应用程序负载均衡器的侦听器的权限 | 读取 | |||
DescribeLoadBalancerAttributes | 授予描述指定负载均衡器的属性的权限 | 读取 | |||
DescribeLoadBalancers | 授予描述指定的负载均衡器的权限。如果未指定负载均衡器,则该调用将描述您的所有负载均衡器 | 读取 | |||
DescribeRules | 授予描述指定规则或指定侦听器的规则的权限 | 读取 | |||
DescribeSSLPolicies | 授予描述用于SSL协商的指定策略或所有策略的权限 | 读取 | |||
DescribeTags | 授予描述与指定资源关联的标签的权限 | 读取 | |||
DescribeTargetGroupAttributes | 授予描述指定目标组的属性的权限 | 读取 | |||
DescribeTargetGroups | 授予描述指定目标组或您的所有目标组的权限 | 读取 | |||
DescribeTargetHealth | 授予描述指定目标或您的所有目标的运行状况的权限 | 读取 | |||
DescribeTrustStoreAssociations | 授予描述信任存储的关联的权限 | 读取 | |||
DescribeTrustStoreRevocations | 授予描述指定信任存储撤销或与信任存储相关的所有撤销的权限 | 读取 | |||
DescribeTrustStores | 授予描述指定信任存储或您的所有信任存储的权限 | 读取 | |||
GetResourcePolicy | 授予检索与资源关联的资源策略的权限 | 读取 | |||
GetTrustStoreCaCertificatesBundle | 授予检索信任存储 CA 证书捆绑包的权限 | 读取 | |||
GetTrustStoreRevocationContent | 授予检索信任存储撤销内容的权限 | 读取 | |||
ModifyListener | 授予修改指定侦听器的指定属性的权限 | 写入 | |||
elasticloadbalancing:ResourceTag/${TagKey} |
|||||
ModifyListenerAttributes | 授予修改指定监听器属性的权限 | 写入 | |||
ModifyLoadBalancerAttributes | 授予修改指定负载均衡器的属性的权限 | 写入 | |||
ModifyRule | 授予修改指定规则的权限 | 写入 | |||
ModifyTargetGroup | 授予修改在评估指定目标组中目标的运行状况时所使用运行状况检查的权限 | 写入 | |||
ModifyTargetGroupAttributes | 授予修改指定目标值的指定属性的权限 | 写入 | |||
ModifyTrustStore | 授予修改指定信任存储的权限 | 写入 | |||
RegisterTargets | 授予将指定目标注册到指定目标组的权限 | 写入 | |||
RemoveListenerCertificates | 授予移除指定安全侦听器的指定证书的权限 | 写入 | |||
RemoveTags | 授予从指定负载均衡器中移除一个或多个标签的权限 | 标记 | |||
RemoveTrustStoreRevocations | 授予从信任存储中移除撤销的权限 | 写入 | |||
SetIpAddressType | 授予设置指定负载均衡器的子网所使用 IP 地址类型的权限 | 写入 | |||
SetRulePriorities | 授予设置指定规则的优先级的权限 | 写入 | |||
SetSecurityGroups | 授予将指定安全组关联到指定负载均衡器的权限 | 写入 | |||
SetSubnets | 授予为指定负载均衡器的指定子网启用可用区的权限 | 写入 | |||
SetWebAcl [仅权限] | 授予权限以 WebAcl 授予以下权限 WAF | 写入 |
AWS Elastic Load Balancing V2 定义的资源类型
以下资源类型由此服务定义,可以在IAM权限策略语句的Resource
元素中使用。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
资源类型 | ARN | 条件键 |
---|---|---|
listener/app |
arn:${Partition}:elasticloadbalancing:${Region}:${Account}:listener/app/${LoadBalancerName}/${LoadBalancerId}/${ListenerId}
|
|
listener-rule/app |
arn:${Partition}:elasticloadbalancing:${Region}:${Account}:listener-rule/app/${LoadBalancerName}/${LoadBalancerId}/${ListenerId}/${ListenerRuleId}
|
|
listener/net |
arn:${Partition}:elasticloadbalancing:${Region}:${Account}:listener/net/${LoadBalancerName}/${LoadBalancerId}/${ListenerId}
|
|
listener-rule/net |
arn:${Partition}:elasticloadbalancing:${Region}:${Account}:listener-rule/net/${LoadBalancerName}/${LoadBalancerId}/${ListenerId}/${ListenerRuleId}
|
|
loadbalancer/app/ |
arn:${Partition}:elasticloadbalancing:${Region}:${Account}:loadbalancer/app/${LoadBalancerName}/${LoadBalancerId}
|
|
loadbalancer/net/ |
arn:${Partition}:elasticloadbalancing:${Region}:${Account}:loadbalancer/net/${LoadBalancerName}/${LoadBalancerId}
|
|
targetgroup |
arn:${Partition}:elasticloadbalancing:${Region}:${Account}:targetgroup/${TargetGroupName}/${TargetGroupId}
|
|
truststore |
arn:${Partition}:elasticloadbalancing:${Region}:${Account}:truststore/${TrustStoreName}/${TrustStoreId}
|
AWS Elastic Load Balancing V2 的条件键
AWS Elastic Load Balancing V2 定义了可以在IAM策略Condition
元素中使用的以下条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
条件键 | 描述 | 类型 |
---|---|---|
aws:RequestTag/${TagKey} | 按请求中允许的标签键值对筛选访问 | 字符串 |
aws:ResourceTag/${TagKey} | 按某个资源的标签键值对筛选访问 | 字符串 |
aws:TagKeys | 按请求中允许的标签键列表筛选访问 | ArrayOfString |
elasticloadbalancing:CreateAction | 按资源API创建操作的名称筛选访问权限 | String |
elasticloadbalancing:ListenerProtocol | 按请求中允许的侦听器协议筛选访问权限 | String |
elasticloadbalancing:ResourceTag/${TagKey} | 按附加到资源的标签键值对的前言字符串筛选访问 | String |
elasticloadbalancing:Scheme | 按请求中允许的负载均衡器方案筛选访问权限 | String |
elasticloadbalancing:SecurityGroup | 筛选请求中允许的安全组IDs的访问权限 | ArrayOfString |
elasticloadbalancing:SecurityPolicy | 按请求中允许SSL的安全策略筛选访问权限 | ArrayOfString |
elasticloadbalancing:Subnet | 按请求中允许IDs的子网筛选访问权限 | ArrayOfString |