AWS 的 受管政策AWS Proton - AWS Proton

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 的 受管政策AWS Proton

若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自己撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶 中使用。如需有關 AWS 受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS 服務 會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。

此外,AWS 支援跨越多項服務之任務職能的受管政策。例如,ReadOnlyAccess AWS 受管政策提供針對所有 AWS 服務 和資源的唯讀存取權限。當服務啟動新功能時,AWS 會為新的操作和資源新增唯讀許可。如需任務職能政策的清單和說明,請參閱《IAM 使用者指南》有關任務職能的 AWS 受管政策

AWS Proton提供受管 IAM 政策和信任關係,您可將其連接至 IAM 使用者、群組或角色,允許對資源和 API 操作進行不同層級的控制。您可以直接套用這些政策,也可以使用它們開始建立您自己的政策。

以下信任關係是用於每個AWS Proton受管政策。

{ "Version": "2012-10-17", "Statement": { "Sid": "ExampleTrustRelationshipWithProtonConfusedDeputyPrevention", "Effect": "Allow", "Principal": { "Service": "proton.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws::proton:*:123456789012:environment/*" } } } }

AWS受管政策: AWSProtonFullAccess

您可以附加 AWSProtonFullAccess 至 IAM 實體。AWS Proton也將此政策連接到允許的服務角色AWS Proton代表您執行動作。

此政策授與允許完整權限的管理許可AWS Proton行動和有限的訪問其他AWS服務動作AWS Proton取決於.

此原則包含下列主要動作命名空間:

  • proton— 允許管理員完整存取AWS ProtonAPI。

  • iam— 允許管理員將角色傳遞給AWS Proton。這是必需的,以便AWS Proton可以代表系統管理員對其他服務進行 API 呼叫。

  • kms— 允許管理員將授與新增至客戶受管理的金鑰。

  • codestar-connections— 允許管理員列出並傳遞代碼之星連接,以便他們可以使用AWS Proton。

此政策包含以下許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "proton:*", "kms:ListAliases", "kms:DescribeKey", "codestar-connections:ListConnections" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "proton.*.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "proton.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/sync.proton.amazonaws.com/AWSServiceRoleForProtonSync", "Condition": { "StringEquals": { "iam:AWSServiceName": "sync.proton.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "codestar-connections:PassConnection" ], "Resource": "arn:aws:codestar-connections:*:*:connection/*", "Condition": { "StringEquals": { "codestar-connections:PassedToService": "proton.amazonaws.com" } } } ] }

AWS受管政策: AWSProtonDeveloperAccess

您可以附加 AWSProtonDeveloperAccess 可搭配 IAM 實體。AWS Proton也將此政策連接到允許的服務角色AWS Proton代表您執行動作。

此政策授與允許允許有限存取的許可AWS Proton行動和其他AWS動作AWS Proton取決於. 這些權限的範圍旨在支援建立和部署的開發人員角色AWS Proton服務。

此政策未提供對AWS Proton樣板, 以及, 環境建立、刪除和更新API。如果開發人員需要的權限甚至超過此原則所提供的權限,我們建議您建立一個限定範圍的自訂政策以授予最低權限

此原則包含下列主要動作命名空間:

  • proton— 允許貢獻者訪問有限的一組AWS ProtonAPI。

  • codestar-connections-允許貢獻者列出並傳遞代碼星連接,以便它們可以被使用AWS Proton。

此政策包含以下許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codecommit:ListRepositories", "codepipeline:GetPipeline", "codepipeline:GetPipelineExecution", "codepipeline:GetPipelineState", "codepipeline:ListPipelineExecutions", "codepipeline:ListPipelines", "codestar-connections:ListConnections", "codestar-connections:UseConnection", "proton:CancelServiceInstanceDeployment", "proton:CancelServicePipelineDeployment", "proton:CreateService", "proton:DeleteService", "proton:GetAccountRoles", "proton:GetAccountSettings", "proton:GetEnvironment", "proton:GetEnvironmentAccountConnection", "proton:GetEnvironmentTemplate", "proton:GetEnvironmentTemplateMajorVersion", "proton:GetEnvironmentTemplateMinorVersion", "proton:GetEnvironmentTemplateVersion", "proton:GetRepository", "proton:GetRepositorySyncStatus", "proton:GetService", "proton:GetServiceInstance", "proton:GetServiceTemplate", "proton:GetServiceTemplateMajorVersion", "proton:GetServiceTemplateMinorVersion", "proton:GetServiceTemplateVersion", "proton:GetTemplateSyncConfig", "proton:GetTemplateSyncStatus", "proton:ListEnvironmentAccountConnections", "proton:ListEnvironmentOutputs", "proton:ListEnvironmentProvisionedResources", "proton:ListEnvironments", "proton:ListEnvironmentTemplateMajorVersions", "proton:ListEnvironmentTemplateMinorVersions", "proton:ListEnvironmentTemplates", "proton:ListEnvironmentTemplateVersions", "proton:ListRepositories", "proton:ListRepositorySyncDefinitions", "proton:ListServiceInstanceOutputs", "proton:ListServiceInstanceProvisionedResources", "proton:ListServiceInstances", "proton:ListServicePipelineOutputs", "proton:ListServicePipelineProvisionedResources", "proton:ListServices", "proton:ListServiceTemplateMajorVersions", "proton:ListServiceTemplateMinorVersions", "proton:ListServiceTemplates", "proton:ListServiceTemplateVersions", "proton:ListTagsForResource", "proton:UpdateService", "proton:UpdateServiceInstance", "proton:UpdateServicePipeline", "s3:ListAllMyBuckets", "s3:ListBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": "codestar-connections:PassConnection", "Resource": "arn:aws:codestar-connections:*:*:connection/*", "Condition": { "StringEquals": { "codestar-connections:PassedToService": "proton.amazonaws.com" } } } ] }

AWS受管政策: AWSProtonReadOnlyAccess

您可以附加 AWSProtonReadOnlyAccess 至 IAM 實體。AWS Proton也將此政策連接到允許的服務角色AWS Proton代表您執行動作。

此政策授與允許唯讀權限的許可AWS Proton動作與其他人的有限唯讀存取AWS服務動作AWS Proton取決於.

此原則包含下列主要動作命名空間:

  • proton— 允許貢獻者唯讀存取AWS ProtonAPI。

此政策包含以下許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codepipeline:ListPipelineExecutions", "codepipeline:ListPipelines", "codepipeline:GetPipeline", "codepipeline:GetPipelineState", "codepipeline:GetPipelineExecution", "proton:GetAccountRoles", "proton:GetAccountSettings", "proton:GetEnvironment", "proton:GetEnvironmentAccountConnection", "proton:GetEnvironmentTemplate", "proton:GetEnvironmentTemplateMajorVersion", "proton:GetEnvironmentTemplateMinorVersion", "proton:GetEnvironmentTemplateVersion", "proton:GetRepository", "proton:GetRepositorySyncStatus", "proton:GetService", "proton:GetServiceInstance", "proton:GetServiceTemplate", "proton:GetServiceTemplateMajorVersion", "proton:GetServiceTemplateMinorVersion", "proton:GetServiceTemplateVersion", "proton:GetTemplateSyncConfig", "proton:GetTemplateSyncStatus", "proton:ListEnvironmentAccountConnections", "proton:ListEnvironmentOutputs", "proton:ListEnvironmentProvisionedResources", "proton:ListEnvironments", "proton:ListEnvironmentTemplateMajorVersions", "proton:ListEnvironmentTemplateMinorVersions", "proton:ListEnvironmentTemplates", "proton:ListEnvironmentTemplateVersions", "proton:ListRepositories", "proton:ListRepositorySyncDefinitions", "proton:ListServiceInstanceOutputs", "proton:ListServiceInstanceProvisionedResources", "proton:ListServiceInstances", "proton:ListServicePipelineOutputs", "proton:ListServicePipelineProvisionedResources", "proton:ListServices", "proton:ListServiceTemplateMajorVersions", "proton:ListServiceTemplateMinorVersions", "proton:ListServiceTemplates", "proton:ListServiceTemplateVersions", "proton:ListTagsForResource" ], "Resource": "*" } ] }

AWS受管政策: AWSProtonSyncServiceRolePolicy

AWS Proton將此政策連接至 AWSServiceRoleForProtonSync 允許的服務連結角色AWS Proton以執行範本同步。

此政策授與允許允許有限存取的許可AWS Proton行動和其他AWS服務動作AWS Proton取決於.

此原則包含下列主要動作命名空間:

  • proton— 允許AWS Proton將受限存取AWS ProtonAPI。

  • codestar-connections— 允許AWS Proton同步 AWS 的有限存取 CodeStar 連線的 API。

此政策包含以下許可。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SyncToProton", "Effect": "Allow", "Action": [ "proton:UpdateServiceTemplateVersion", "proton:UpdateServiceTemplate", "proton:UpdateEnvironmentTemplateVersion", "proton:UpdateEnvironmentTemplate", "proton:GetServiceTemplateVersion", "proton:GetServiceTemplate", "proton:GetEnvironmentTemplateVersion", "proton:GetEnvironmentTemplate", "proton:DeleteServiceTemplateVersion", "proton:DeleteEnvironmentTemplateVersion", "proton:CreateServiceTemplateVersion", "proton:CreateServiceTemplate", "proton:CreateEnvironmentTemplateVersion", "proton:CreateEnvironmentTemplate", "proton:ListEnvironmentTemplateVersions", "proton:ListServiceTemplateVersions", "proton:CreateEnvironmentTemplateMajorVersion", "proton:CreateServiceTemplateMajorVersion" ], "Resource": "*" }, { "Sid": "AccessGitRepos", "Effect": "Allow", "Action": [ "codestar-connections:UseConnection" ], "Resource": "arn:aws:codestar-connections:*:*:connection/*" } ] }

AWS 受管政策的 AWS Proton 更新項目

檢視自 AWS Proton 開始追蹤 AWS 受管政策變更以來的更新詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 AWS Proton文件歷史記錄頁面上的 RSS 摘要。

變更 描述 日期

AWSProtonFullAccess – 更新現有政策

AWS Proton更新此政策以提供對新AWS ProtonAPI 操作並修復某些人的權限問題AWS Proton控制台操作。

2022 年 3 月 30 日

AWSProtonDeveloperAccess – 更新現有政策

AWS Proton更新此政策以提供對新AWS ProtonAPI 操作並修復某些人的權限問題AWS Proton控制台操作。

2022 年 3 月 30 日

AWSProtonReadOnlyAccess – 更新現有政策

AWS Proton更新此政策以提供對新AWS ProtonAPI 操作並修復某些人的權限問題AWS Proton控制台操作。

2022 年 3 月 30 日

AWSProtonSyncServiceRolePolicy – 新政策

AWS Proton新增了允許AWS Proton以執行與範本同步相關的作業。該策略用於AWSServiceRoleForProtonSync服務連結角色

2021 年 11 月 23 日

AWSProtonFullAccess – 新政策

AWS Proton已新增新原則以提供系統管理角色存取權AWS ProtonAPI 操作與AWS Protonconsole (

2021 年 6 月 9

AWSProtonDeveloperAccess – 新政策

AWS Proton新增了一項新政策,以提供對AWS ProtonAPI 操作與AWS Protonconsole (

2021 年 6 月 9

AWSProtonReadOnlyAccess – 新政策

AWS Proton新增了一項新政策AWS ProtonAPI 操作與AWS Protonconsole (

2021 年 6 月 9

AWS Proton開始追蹤變更。

AWS Proton 已開始追蹤其 AWS 受管政策的變更。

2021 年 6 月 9