Aktionen, Ressourcen und Bedingungsschlüssel für AWS Service Catalog - Service-Authorization-Referenz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktionen, Ressourcen und Bedingungsschlüssel für AWS Service Catalog

AWS Service Catalog (Dienstpräfix:servicecatalog) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM Berechtigungsrichtlinien bereit.

Referenzen:

Von AWS Service Catalog definierte Aktionen

Sie können die folgenden Aktionen im Action Element einer IAM Richtlinienerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie normalerweise den Zugriff auf den API Vorgang oder CLI Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.

Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie in ARN einer Anweisung mit dieser Aktion einen Ressourcentyp angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Resource Element in einer IAM Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp ein ARN Oder-Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.

Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.

Anmerkung

Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.

Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen

Aktionen Beschreibung Zugriffsebene Ressourcentypen (*erforderlich) Bedingungsschlüssel Abhängige Aktionen
AcceptPortfolioShare Gewährt die Berechtigung, ein Portfolio anzunehmen, das für Sie freigegeben wurde Write

Portfolio*

AssociateAttributeGroup Gewährt die Berechtigung, einer Anwendung eine Attributgruppe zuzuordnen Write

Application*

AttributeGroup*

AssociateBudgetWithResource Gewährt die Berechtigung, ein Budget mit einer Ressource zu verknüpfen Schreiben
AssociatePrincipalWithPortfolio Erteilt die Erlaubnis, einem Portfolio einen IAM Principal zuzuordnen, sodass der angegebene Principal Zugriff auf alle Produkte hat, die mit dem angegebenen Portfolio verknüpft sind Schreiben

Portfolio*

AssociateProductWithPortfolio Gewährt die Berechtigung, ein Produkt mit einem Portfolio zu verknüpfen Write
AssociateResource Gewährt die Berechtigung, einer Anwendung eine Ressource zuzuordnen Write

Application*

cloudformation:DescribeStacks

resource-groups:CreateGroup

resource-groups:GetGroup

resource-groups:Tag

servicecatalog:ResourceType

servicecatalog:Resource

AssociateServiceActionWithProvisioningArtifact Gewährt die Berechtigung zum Zuordnen einer Aktion zu einem Bereitstellungsartefakt Schreiben

Product*

AssociateTagOptionWithResource Erteilt die Erlaubnis, das angegebene Produkt TagOption dem angegebenen Portfolio oder Produkt zuzuordnen Schreiben

Portfolio

Product

BatchAssociateServiceActionWithProvisioningArtifact Gewährt die Berechtigung zum Zuordnen mehrerer Self-Service-Aktionen zu Bereitstellungsartefakten Write
BatchDisassociateServiceActionFromProvisioningArtifact Gewährt die Berechtigung, die Mapping eines Batch von Self-Service-Aktionen zu dem angegebenen Bereitstellungsartefakt aufzuheben Write
CopyProduct Gewährt die Berechtigung, das angegebene Quellprodukt in das angegebene Zielprodukt oder ein neues Produkt zu kopieren Write
CreateApplication Gewährt die Berechtigung zum Erstellen einer Anwendung Write

Application*

iam:CreateServiceLinkedRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAttributeGroup Gewährt die Berechtigung zum Erstellen einer Attributgruppe Write

AttributeGroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConstraint Gewährt die Berechtigung zum Erstellen einer Einschränkung für ein zugeordnetes Produkt und Portfolio Write

Product*

CreatePortfolio Gewährt die Berechtigung zum Erstellen eines Portfolios Schreiben

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePortfolioShare Erteilt die Erlaubnis, ein Portfolio, das Sie besitzen, mit einem anderen zu teilen AWS-Konto Berechtigungsverwaltung

Portfolio*

CreateProduct Gewährt die Berechtigung zum Erstellen eines Produkts und des ersten Bereitstellungs-Artefakts dieses Produkts Write

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProvisionedProductPlan Gewährt die Berechtigung zum Hinzufügen eines neuen bereitgestellten Produktplans Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

CreateProvisioningArtifact Gewährt die Berechtigung zum Hinzufügen eines neuen Bereitstellungsartefakts zu einem vorhandenen Produkt Write

Product*

CreateServiceAction Gewährt die Berechtigung zum Erstellen einer Self-Service-Aktion Schreiben
CreateTagOption Erteilt die Erlaubnis zum Erstellen eines TagOption Schreiben
DeleteApplication Gewährt die Berechtigung zum Löschen einer Anwendung, wenn alle Mappings aus der Anwendung entfernt wurden Write

Application*

DeleteAttributeGroup Gewährt die Berechtigung zum Löschen einer Attributgruppe, wenn alle Mappings aus der Attributgruppe entfernt wurden Write

AttributeGroup*

DeleteConstraint Gewährt die Berechtigung zum Entfernen und Löschen einer vorhandenen Einschränkung aus einem zugeordneten Produkt und Portfolio Write
DeletePortfolio Gewährt die Berechtigung zum Löschen eines Portfolios, wenn alle Mappings und Freigaben aus dem Portfolio entfernt wurden Schreiben

Portfolio*

DeletePortfolioShare Erteilt die Erlaubnis, die Freigabe eines Portfolios, das Ihnen gehört, und einem Portfolio, mit dem AWS-Konto Sie das Portfolio zuvor geteilt haben, aufzuheben Berechtigungsverwaltung

Portfolio*

DeleteProduct Gewährt die Berechtigung zum Löschen eines Produkts, wenn alle Mappings aus dem Produkt entfernt wurden Write

Product*

DeleteProvisionedProductPlan Gewährt die Berechtigung zum Löschen eines bereitgestellten Produktplans Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DeleteProvisioningArtifact Gewährt die Berechtigung zum Löschen eines Bereitstellungsartefakts aus einem Produkt Schreiben

Product*

DeleteResourcePolicy [nur Berechtigung] Erteilt die Berechtigung zum Löschen einer ressourcenbasierten Richtlinie für die angegebene Ressource Schreiben

Application

AttributeGroup

DeleteServiceAction Gewährt die Berechtigung zum Löschen einer Self-Service-Aktion Schreiben
DeleteTagOption Erteilt die Erlaubnis, die angegebene Datei zu löschen TagOption Schreiben
DescribeConstraint Gewährt die Berechtigung zum Beschreiben einer Einschränkung Read
DescribeCopyProductStatus Gewährt die Berechtigung, den Status des angegebenen Produktion zum Kopieren des Produkts abzurufen Read
DescribePortfolio Gewährt die Berechtigung zum Beschreiben eines Portfolios Read

Portfolio*

DescribePortfolioShareStatus Gewährt die Berechtigung, den Status der angegebenen Produktion zum Freigeben des Portfolios abzurufen Read
DescribePortfolioShares Gewährt die Berechtigung zum Anzeigen einer Zusammenfassung der einzelnen Portfolioaktien, die für das angegebene Portfolio erstellt wurden List

Portfolio*

DescribeProduct Gewährt die Berechtigung, ein Produkt als Endbenutzer zu beschreiben Read

Product*

DescribeProductAsAdmin Gewährt die Berechtigung, ein Produkt als Administrator zu beschreiben Read

Product*

DescribeProductView Gewährt die Berechtigung, ein Produkt als Endbenutzer zu beschreiben Read
DescribeProvisionedProduct Gewährt die Berechtigung, ein bereitgestelltes Produkt zu beschreiben Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisionedProductPlan Gewährt die Berechtigung zum Beschreiben eines bereitgestellten Produktplans Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeProvisioningArtifact Gewährt die Berechtigung zum Beschreiben eines Bereitstellungsartefakts Read

Product*

DescribeProvisioningParameters Gewährt die Berechtigung zur Beschreibung der Parameter, die Sie angeben müssen, um ein angegebenes Bereitstellungsartefakt erfolgreich bereitzustellen Read

Product*

DescribeRecord Gewährt die Berechtigung zur Beschreibung eines Datensatzes und listet alle Ausgaben auf Read

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeServiceAction Gewährt die Berechtigung zur Beschreibung einer Self-Service-Aktion Read
DescribeServiceActionExecutionParameters Gewährt die Berechtigung zum Abrufen der Standardparameter, wenn Sie die angegebene Service-Aktion für das angegebene bereitgestellte Produkt ausgeführt haben. Lesen

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

DescribeTagOption Erteilt die Erlaubnis, Informationen über das angegebene Objekt abzurufen TagOption Lesen
DisableAWSOrganizationsAccess Erteilt die Erlaubnis, das Teilen von Portfolios über die Funktion „ AWS Organizations“ zu deaktivieren Schreiben
DisassociateAttributeGroup Gewährt die Berechtigung, die Mapping einer Attributgruppe zu einer Anwendung zu trennen Write

Application*

AttributeGroup*

DisassociateBudgetFromResource Gewährt die Berechtigung, ein Budget von einer Ressource zu trennen Schreiben
DisassociatePrincipalFromPortfolio Erteilt die Erlaubnis, einen IAM Principal von einem Portfolio zu trennen Schreiben

Portfolio*

DisassociateProductFromPortfolio Gewährt die Berechtigung, die Mapping eines Produkts zu einem Portfolio aufzuheben Write
DisassociateResource Gewährt die Berechtigung, die Mapping einer Ressource zu einer Anwendung zu trennen Write

Application*

resource-groups:DeleteGroup

servicecatalog:ResourceType

servicecatalog:Resource

DisassociateServiceActionFromProvisioningArtifact Gewährt die Berechtigung zum Aufheben der Mapping der angegebenen Self-Service-Aktion zum angegebenen Bereitstellungsartefakt. Schreiben

Product*

DisassociateTagOptionFromResource Erteilt die Berechtigung, die angegebene Ressource TagOption von der angegebenen Ressource zu trennen Schreiben

Portfolio

Product

EnableAWSOrganizationsAccess Erteilt die Erlaubnis, die Funktion zum Teilen von Portfolios über AWS Organizations zu aktivieren Schreiben
ExecuteProvisionedProductPlan Gewährt die Berechtigung zum Ausführen eines bereitgestellten Produktplans Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ExecuteProvisionedProductServiceAction Gewährt die Berechtigung zum Ausführen eines bereitgestellten Produktplans Schreiben

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

GetAWSOrganizationsAccessStatus Erteilt die Erlaubnis, den Zugriffsstatus der Funktion zum Teilen von AWS Unternehmensportfolios abzurufen Lesen
GetApplication Gewährt die Berechtigung zum Abrufen einer Anwendung Read

Application*

GetAssociatedResource Gewährt die Berechtigung zum Abrufen von Informationen zu einer Anwendung Read

Application*

servicecatalog:ResourceType

servicecatalog:Resource

GetAttributeGroup Gewährt die Berechtigung zum Abrufen einer Attributgruppe Lesen

AttributeGroup*

GetConfiguration Erteilt die Berechtigung zum Lesen von AppRegistry Konfigurationen Lesen
GetProvisionedProductOutputs Gewährt die Berechtigung, die bereitgestellte Produktausgabe entweder mit einer bereitgestellten Produkt-ID oder einem Namen zu erhalten Lesen
GetResourcePolicy [nur Berechtigung] Erteilt die Berechtigung, eine ressourcenbasierte Richtlinie für die angegebene Ressource abzurufen Lesen

Application

AttributeGroup

ImportAsProvisionedProduct Gewährt die Berechtigung zum Importieren einer Ressource in ein bereitgestelltes Produkt Write

Product*

ListAcceptedPortfolioShares Gewährt die Berechtigung, die Portfolios aufzulisten, die für Sie freigegeben wurden und die Sie akzeptiert haben Auflisten
ListApplications Gewährt die Berechtigung zum Auflisten Ihrer Anwendungen Auflisten
ListAssociatedAttributeGroups Gewährt die Berechtigung, die einer Anwendung zugeordneten Attributgruppen aufzulisten List

Application*

ListAssociatedResources Gewährt die Berechtigung, die einer Anwendung zugeordneten Ressourcen aufzulisten Auflisten

Application*

ListAttributeGroups Gewährt die Berechtigung zum Auflisten Ihrer Attributgruppen Auflisten
ListAttributeGroupsForApplication Gewährt die Berechtigung zum Auflisten der zugeordneten Attributgruppen einer vorgegebenen Anwendung Auflisten

Application*

ListBudgetsForResource Gewährt die Berechtigung zum Auflisten aller Budgets, die einer Ressource zugeordnet sind List
ListConstraintsForPortfolio Gewährt die Berechtigung zum Auflisten von Einschränkungen, die mit einem bestimmten Portfolio verknüpft sind List
ListLaunchPaths Gewährt die Berechtigung, die verschiedenen Möglichkeiten zur Einführung eines bestimmten Produkts als Endbenutzer aufzulisten List

Product*

ListOrganizationPortfolioAccess Gewährt die Berechtigung zum Auflisten der Organisationsknoten, die Zugriff auf das angegebene Portfolio haben Auflisten
ListPortfolioAccess Erteilt die Berechtigung, die AWS Konten aufzulisten, mit denen Sie ein bestimmtes Portfolio geteilt haben Auflisten

Portfolio*

ListPortfolios Gewährt die Berechtigung, die Portfolios in Ihrem Konto aufzulisten List
ListPortfoliosForProduct Gewährt die Berechtigung zum Auflisten der Portfolios, die mit einem bestimmten Produkt verknüpft sind Auflisten

Product*

ListPrincipalsForPortfolio Erteilt die Erlaubnis, die mit einem bestimmten Portfolio verknüpften IAM Principals aufzulisten Auflisten

Portfolio*

ListProvisionedProductPlans Gewährt die Berechtigung zum Auflisten der bereitgestellten Produktpläne List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListProvisioningArtifacts Gewährt die Berechtigung zum Auflisten der Bereitstellungsartefakte, die einem bestimmten Produkt zugeordnet sind List

Product*

ListProvisioningArtifactsForServiceAction Gewährt die Berechtigung zum Auflisten aller Bereitstellungsartefakte für die angegebene Self-Service-Aktion List
ListRecordHistory Gewährt die Berechtigung zum Auflisten aller Datensätze in Ihrem Konto oder aller Datensätze zu einem bestimmten bereitgestellten Produkt Auflisten

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListResourcesForTagOption Erteilt die Berechtigung, die Ressourcen aufzulisten, die dem angegebenen Objekt zugeordnet sind TagOption Auflisten
ListServiceActions Gewährt die Berechtigung zum Auflisten aller Self-Service-Aktionen List
ListServiceActionsForProvisioningArtifact Gewährt die Berechtigung zum Auflisten aller Serviceaktionen, die dem angegebenen Bereitstellungsartefakt in Ihrem Konto zugeordnet sind Auflisten

Product*

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListStackInstancesForProvisionedProduct Erteilt die Berechtigung, das Konto, die Region und den Status aller Stack-Instances aufzulisten, die einem bereitgestellten Produkt STACKSET vom Typ CFN _ zugeordnet sind Auflisten

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

ListTagOptions Erteilt die Berechtigung, die angegebenen TagOptions oder alle aufzulisten TagOptions Auflisten
ListTagsForResource Gewährt die Berechtigung zum Auflisten der Tags für eine Service-Catalog-Appregistry-Ressource Lesen

Application

AttributeGroup

NotifyProvisionProductEngineWorkflowResult Gewährt die Berechtigung, das Ergebnis der Ausführung der Bereitstellungs-Engine mitzuteilen Schreiben
NotifyTerminateProvisionedProductEngineWorkflowResult Gewährt die Berechtigung, das Ergebnis der Ausführung der Terminierungs-Engine mitzuteilen Schreiben
NotifyUpdateProvisionedProductEngineWorkflowResult Gewährt die Berechtigung, das Ergebnis der Ausführung der Aktualisierungs-Engine mitzuteilen Schreiben
ProvisionProduct Gewährt die Berechtigung, ein Produkt mit einem angegebenen Bereitstellungsartefakt und Startparametern bereitzustellen Schreiben

Product*

PutConfiguration Erteilt die Berechtigung zum Zuweisen von AppRegistry Konfigurationen Schreiben
PutResourcePolicy [nur Berechtigung] Erteilt die Berechtigung zum Hinzufügen einer ressourcenbasierten Richtlinie für die angegebene Ressource Schreiben

Application

AttributeGroup

RejectPortfolioShare Gewährt die Berechtigung zum Ablehnen eines Portfolios, das für Sie freigegeben wurde, das Sie zuvor akzeptiert haben Write

Portfolio*

ScanProvisionedProducts Gewährt die Berechtigung, alle bereitgestellten Produkte in Ihrem Konto aufzulisten List

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SearchProducts Gewährt die Berechtigung, die Produkte anzubieten, die Ihnen als Endbenutzer zur Verfügung stehen List
SearchProductsAsAdmin Gewährt die Berechtigung zum Auflisten aller Produkte im Konto oder aller Produkte, die einem gegebenen Portfolio zugeordnet sind List
SearchProvisionedProducts Gewährt die Berechtigung, alle bereitgestellten Produkte in Ihrem Konto aufzulisten Auflisten

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

SyncResource Erteilt die Berechtigung zum Synchronisieren einer Ressource mit ihrem aktuellen Status in AppRegistry Schreiben

cloudformation:UpdateStack

TagResource Gewährt die Berechtigung zum Markieren einer Service-Catalog-Appregistry-Ressource Markieren

Application

AttributeGroup

aws:TagKeys

aws:RequestTag/${TagKey}

TerminateProvisionedProduct Gewährt die Berechtigung, ein vorhandenes bereitgestelltes Produkt zu beenden Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UntagResource Gewährt die Berechtigung zum Entfernen eines Tags aus einer Service-Catalog-Appregistry-Ressource Markieren

Application

AttributeGroup

aws:TagKeys

UpdateApplication Gewährt die Berechtigung zum Aktualisieren der Attribute einer vorhandenen Anwendung Write

Application*

iam:CreateServiceLinkedRole

UpdateAttributeGroup Gewährt die Berechtigung zum Aktualisieren der Attribute einer vorhandenen Attributgruppe Write

AttributeGroup*

UpdateConstraint Gewährt die Berechtigung zum Aktualisieren der Metadatenfelder einer vorhandenen Einschränkung Write
UpdatePortfolio Gewährt die Berechtigung zum Aktualisieren der Metadatenfelder und/oder Tags eines vorhandenen Portfolios Write

Portfolio*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdatePortfolioShare Gewährt die Berechtigung zum Aktivieren oder Deaktivieren der Ressourcenfreigabe für eine bestehende Portfoliofreigabe Berechtigungsverwaltung

Portfolio*

UpdateProduct Gewährt die Berechtigung zum Aktualisieren der Metadatenfelder und/oder Tags eines vorhandenen Produkts Write

Product*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateProvisionedProduct Gewährt die Berechtigung zum Aktualisieren eines vorhandenen bereitgestellten Produkts Write

servicecatalog:accountLevel

servicecatalog:roleLevel

servicecatalog:userLevel

UpdateProvisionedProductProperties Gewährt die Berechtigung zum Aktualisieren der Eigenschaften eines vorhandenen bereitgestellten Produkts Write
UpdateProvisioningArtifact Gewährt die Berechtigung zum Aktualisieren der Metadatenfelder eines vorhandenen Bereitstellungsartefakts Write

Product*

UpdateServiceAction Gewährt die Berechtigung zur Aktualisierung einer Self-Service-Aktion Schreiben
UpdateTagOption Erteilt die Erlaubnis, die angegebene Datei zu aktualisieren TagOption Schreiben

Von AWS Service Catalog definierte Ressourcentypen

Die folgenden Ressourcentypen werden von diesem Dienst definiert und können als Resource Element von IAM Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.

Ressourcentypen ARN Bedingungsschlüssel
Application arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}

aws:ResourceTag/${TagKey}

AttributeGroup arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}

aws:ResourceTag/${TagKey}

Portfolio arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}

aws:ResourceTag/${TagKey}

Product arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}

aws:ResourceTag/${TagKey}

Bedingungsschlüssel für AWS Service Catalog

AWS Service Catalog definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).

Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.

Anmerkung

Beispielrichtlinien, die zeigen, wie diese Bedingungsschlüssel in einer IAM Richtlinie verwendet werden können, finden Sie unter Beispielzugriffsrichtlinien für bereitgestelltes Produktmanagement im Service Catalog-Administratorhandbuch.

Bedingungsschlüssel Beschreibung Typ
aws:RequestTag/${TagKey} Filtert den Zugriff nach dem Vorhandensein von Tag-Schlüssel-Wert-Paaren in der Anforderung String
aws:ResourceTag/${TagKey} Filtert Aktionen nach Tag-Schlüssel-Werte-Paaren, die der Ressource angefügt sind String
aws:TagKeys Filtert den Zugriff durch das Vorhandensein von Tag-Schlüsseln in der Anforderung. ArrayOfString
servicecatalog:Resource Filtert den Zugriff, indem gesteuert wird, welcher Wert als Resource-Parameter in einer AppRegistry assoziierten Ressource angegeben werden kann API String
servicecatalog:ResourceType Filtert den Zugriff, indem gesteuert wird, welcher Wert als ResourceType Parameter in einer AppRegistry assoziierten Ressource angegeben werden kann API String
servicecatalog:accountLevel Filtert den Zugriff nach Benutzern, um Aktionen für Ressourcen anzuzeigen und auszuführen, die von beliebigen Benutzern im Konto erstellt wurden String
servicecatalog:roleLevel Filtert den Zugriff nach Benutzern, um Aktionen für Ressourcen anzuzeigen und auszuführen, die entweder von ihnen oder von Personen erstellt wurden, die mit derselben Rolle verbunden sind String
servicecatalog:userLevel Filtert den Zugriff nach Benutzern, um Aktionen nur für Ressourcen anzuzeigen und auszuführen, die sie erstellt haben String