Amazon API Gateway Management V2 的動作、資源和條件索引鍵 - 服務授權參考
動作資源類型條件索引鍵

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon API Gateway Management V2 的動作、資源和條件索引鍵

Amazon API Gateway Management V2 (服務字首:apigateway) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。

參考資料:

Amazon API Gateway Management V2 定義的動作

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS 中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果此欄包含資源類型,則您可以在包含該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,發起人必須具有將動作與這些資源搭配使用的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊,請參閱動作表

動作 描述 存取層級 資源類型 (*必填項目) 條件索引鍵 相依動作
DELETE 准許刪除特定資源 寫入

AccessLogSettings

Api

ApiMapping

Authorizer

AuthorizersCache

Cors

Deployment

Integration

IntegrationResponse

Model

Route

RouteRequestParameter

RouteResponse

RouteSettings

Stage

VpcLink

aws:RequestTag/${TagKey}

aws:TagKeys

GET 准許讀取特定資源 讀取

AccessLogSettings

Api

ApiMapping

ApiMappings

Apis

Authorizer

Authorizers

AuthorizersCache

Cors

Deployment

Deployments

ExportedAPI

Integration

IntegrationResponse

IntegrationResponses

Integrations

Model

ModelTemplate

Models

Route

RouteRequestParameter

RouteResponse

RouteResponses

RouteSettings

Routes

Stage

Stages

VpcLink

VpcLinks

PATCH 准許更新特定資源 寫入

Api

ApiMapping

Authorizer

Deployment

Integration

IntegrationResponse

Model

Route

RouteRequestParameter

RouteResponse

Stage

VpcLink

aws:RequestTag/${TagKey}

aws:TagKeys

POST 准許建立特定資源 寫入

ApiMappings

Apis

Authorizers

Deployments

IntegrationResponses

Integrations

Models

RouteResponses

Routes

Stages

VpcLinks

aws:RequestTag/${TagKey}

aws:TagKeys

PUT 准許更新特定資源 寫入

Api

Apis

aws:RequestTag/${TagKey}

aws:TagKeys

Amazon API Gateway Management V2 定義的資源類型

此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在表格的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型表

資源類型 ARN 條件索引鍵
AccessLogSettings arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}/accesslogsettings
Api arn:${Partition}:apigateway:${Region}::/apis/${ApiId}

apigateway:Request/ApiKeyRequired

apigateway:Request/ApiName

apigateway:Request/AuthorizerType

apigateway:Request/AuthorizerUri

apigateway:Request/DisableExecuteApiEndpoint

apigateway:Request/EndpointType

apigateway:Request/RouteAuthorizationType

apigateway:Resource/ApiKeyRequired

apigateway:Resource/ApiName

apigateway:Resource/AuthorizerType

apigateway:Resource/AuthorizerUri

apigateway:Resource/DisableExecuteApiEndpoint

apigateway:Resource/EndpointType

apigateway:Resource/RouteAuthorizationType

aws:ResourceTag/${TagKey}

Apis arn:${Partition}:apigateway:${Region}::/apis

apigateway:Request/ApiKeyRequired

apigateway:Request/ApiName

apigateway:Request/AuthorizerType

apigateway:Request/AuthorizerUri

apigateway:Request/DisableExecuteApiEndpoint

apigateway:Request/EndpointType

apigateway:Request/RouteAuthorizationType

aws:ResourceTag/${TagKey}

ApiMapping arn:${Partition}:apigateway:${Region}::/domainnames/${DomainName}/apimappings/${ApiMappingId}

aws:ResourceTag/${TagKey}

ApiMappings arn:${Partition}:apigateway:${Region}::/domainnames/${DomainName}/apimappings

aws:ResourceTag/${TagKey}

Authorizer arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/authorizers/${AuthorizerId}

apigateway:Request/AuthorizerType

apigateway:Request/AuthorizerUri

apigateway:Resource/AuthorizerType

apigateway:Resource/AuthorizerUri

aws:ResourceTag/${TagKey}

Authorizers arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/authorizers

apigateway:Request/AuthorizerType

apigateway:Request/AuthorizerUri

aws:ResourceTag/${TagKey}

AuthorizersCache arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}/cache/authorizers
Cors arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/cors
Deployment arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/deployments/${DeploymentId}

aws:ResourceTag/${TagKey}

Deployments arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/deployments

apigateway:Request/StageName

aws:ResourceTag/${TagKey}

ExportedAPI arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/exports/${Specification}
Integration arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations/${IntegrationId}

aws:ResourceTag/${TagKey}

Integrations arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations

aws:ResourceTag/${TagKey}

IntegrationResponse arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations/${IntegrationId}/integrationresponses/${IntegrationResponseId}
IntegrationResponses arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations/${IntegrationId}/integrationresponses
Model arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/models/${ModelId}

aws:ResourceTag/${TagKey}

Models arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/models

aws:ResourceTag/${TagKey}

ModelTemplate arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/models/${ModelId}/template
Route arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}

apigateway:Request/ApiKeyRequired

apigateway:Request/RouteAuthorizationType

apigateway:Resource/ApiKeyRequired

apigateway:Resource/RouteAuthorizationType

aws:ResourceTag/${TagKey}

Routes arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes

apigateway:Request/ApiKeyRequired

apigateway:Request/RouteAuthorizationType

aws:ResourceTag/${TagKey}

RouteResponse arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}/routeresponses/${RouteResponseId}
RouteResponses arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}/routeresponses
RouteRequestParameter arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}/requestparameters/${RequestParameterKey}
RouteSettings arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}/routesettings/${RouteKey}
Stage arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}

apigateway:Request/AccessLoggingDestination

apigateway:Request/AccessLoggingFormat

apigateway:Resource/AccessLoggingDestination

apigateway:Resource/AccessLoggingFormat

aws:ResourceTag/${TagKey}

Stages arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages

apigateway:Request/AccessLoggingDestination

apigateway:Request/AccessLoggingFormat

aws:ResourceTag/${TagKey}

arn:${Partition}:apigateway:${Region}::/vpclinks/${VpcLinkId}

aws:ResourceTag/${TagKey}

arn:${Partition}:apigateway:${Region}::/vpclinks

aws:ResourceTag/${TagKey}

Amazon API Gateway Management V2 的條件索引鍵

Amazon API Gateway Management V2 定義了下列條件索引鍵,可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表

若要檢視所有服務都可使用的全域條件索引鍵,請參閱可用的全域條件索引鍵

條件索引鍵 描述 類型
apigateway:Request/AccessLoggingDestination 依存取記錄目標篩選存取權。在 CreateStage 和 UpdateStage 操作期間可用 字串
apigateway:Request/AccessLoggingFormat 依存取記錄格式篩選存取權。在 CreateStage 和 UpdateStage 操作期間可用 字串
apigateway:Request/ApiKeyRequired 依 API 的要求篩選存取。在 CreateRoute 和 UpdateRoute 操作期間可用 在匯入和重新匯入期間也可用作集合 ArrayOfBool
apigateway:Request/ApiName 依 API 名稱篩選存取權。在 CreateApi 和 UpdateApi 操作期間可用 字串
apigateway:Request/AuthorizerType 依請求中的授權者類型篩選存取權,例如 REQUEST 或 JWT。在 CreateAuthorizer 和 UpdateAuthorizer 期間可用。在匯入和重新匯入期間也可以作為 ArrayOfString 使用 ArrayOfString
apigateway:Request/AuthorizerUri 依 Lambda 授權者函數的 URI 篩選存取權。在 CreateAuthorizer 和 UpdateAuthorizer 期間可用。在匯入和重新匯入期間也可以作為 ArrayOfString 使用 ArrayOfString
apigateway:Request/DisableExecuteApiEndpoint 依預設執行 API 端點的狀態篩選存取權。在 CreateApi 和 UpdateApi 操作期間可用 Bool
apigateway:Request/EndpointType 依端點類型篩選存取權。在 CreateDomainName、UpdateDomainName、CreateApi 和 UpdateApi 操作期間可用 ArrayOfString
apigateway:Request/MtlsTrustStoreUri 依用於交互 TLS 身分驗證之信任庫 URI 篩選存取權。在 CreateDomainName 和 UpdateDomainName 操作期間可用 字串
apigateway:Request/MtlsTrustStoreVersion 依用於交互 TLS 身分驗證之信任庫版本篩選存取權。在 CreateDomainName 和 UpdateDomainName 操作期間可用 字串
apigateway:Request/RouteAuthorizationType 依授權類型篩選存取權,例如 NONE、AWS_IAM、CUSTOM、JWT。在 CreateRoute 和 UpdateRoute 操作期間可用 在匯入期間也可用作集合 ArrayOfString
apigateway:Request/SecurityPolicy 依 TLS 版本篩選存取權。在 CreateDomain 和 UpdateDomain 操作期間可用 ArrayOfString
apigateway:Request/StageName 依您嘗試建立之部署的階段名稱篩選存取權。在 CreateDeployment 操作期間可用 字串
apigateway:Resource/AccessLoggingDestination 依目前 Stage 資源的存取記錄目標篩選存取權。在 UpdateStage 和 DeleteStage 操作期間可用 字串
apigateway:Resource/AccessLoggingFormat 依目前 Stage 資源的存取記錄格式篩選存取權。在 UpdateStage 和 DeleteStage 操作期間可用 字串
apigateway:Resource/ApiKeyRequired 依現有 Route 資源的 API 金鑰要求篩選存取。在 UpdateRoute 和 DeleteRoute 操作期間可用 在重新匯入期間也可用作集合 ArrayOfBool
apigateway:Resource/ApiName 依 API 名稱篩選存取權。在 UpdateApi 和 DeleteApi 操作期間可用 字串
apigateway:Resource/AuthorizerType 依授權者的當前類型篩選存取權,例如 REQUEST 或 JWT。在 UpdateAuthorizer 和 DeleteAuthorizer 操作期間可用。在匯入和重新匯入期間也可以作為 ArrayOfString 使用 ArrayOfString
apigateway:Resource/AuthorizerUri 依與目前 API 關聯的目前 Lambda 授權者 URI 篩選存取權。在 UpdateAuthorizer 和 DeleteAuthorizer 期間可用。在重新匯入期間也可用作集合 ArrayOfString
apigateway:Resource/DisableExecuteApiEndpoint 依預設執行 API 端點的狀態篩選存取權。在 UpdateApi 和 DeleteApi 操作期間可用 Bool
apigateway:Resource/EndpointType 依端點類型篩選存取權。在更新 UpdateDomainName、DeleteDomainName、UpdateApi 和 DeleteApi 操作期間可用 ArrayOfString
apigateway:Resource/MtlsTrustStoreUri 依用於交互 TLS 身分驗證之信任庫 URI 篩選存取權。在 UpdateDomainName 和 DeleteDomainName 操作期間可用 字串
apigateway:Resource/MtlsTrustStoreVersion 依用於交互 TLS 身分驗證之信任庫版本篩選存取權。在 UpdateDomainName 和 DeleteDomainName 操作期間可用 字串
apigateway:Resource/RouteAuthorizationType 依現有 Route 資源的授權類型篩選存取,例如 NONE、AWS_IAM、CUSTOM。在 UpdateRoute 和 DeleteRoute 操作期間可用 在重新匯入期間也可用作集合 ArrayOfString
apigateway:Resource/SecurityPolicy 依 TLS 版本篩選存取權。在 UpdateDomainName 和 DeleteDomainName 操作期間可用 ArrayOfString
aws:RequestTag/${TagKey} 依請求中的標籤鍵值對是否存在篩選存取權 字串
aws:ResourceTag/${TagKey} 依連接到資源的標籤鍵值對篩選存取權 字串
aws:TagKeys 依請求中的標籤索引鍵是否存在來篩選存取 ArrayOfString