AWS políticas gestionadas para AWS AppSync - AWS AppSync GraphQL

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para AWS AppSync

Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Se necesita tiempo y experiencia para crear políticas de IAM administradas por el cliente que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del usuario de IAM.

AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

AWS política gestionada: AWSApp SyncInvokeFullAccess

Utilice la política AWSAppSyncInvokeFullAccess AWS gestionada para permitir a los administradores acceder al AWS AppSync servicio a través de la consola o de forma independiente.

Puede adjuntar la política de AWSAppSyncInvokeFullAccess a las identidades de IAM.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • AWS AppSync— Permite el acceso administrativo total a todos los recursos de AWS AppSync

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appsync:GraphQL", "appsync:GetGraphqlApi", "appsync:ListGraphqlApis", "appsync:ListApiKeys" ], "Resource": "*" } ] }

AWS política gestionada: AWSApp SyncSchemaAuthor

Utilice la política AWSAppSyncSchemaAuthor AWS gestionada para permitir a los usuarios de IAM acceder para crear, actualizar y consultar sus esquemas de GraphQL. Para obtener información sobre lo que los usuarios pueden hacer con estos permisos, consulte Diseño de API de GraphQL con AWS AppSync.

Puede adjuntar la política de AWSAppSyncSchemaAuthor a las identidades de IAM.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • AWS AppSync: permite las siguientes acciones.

    • Crear esquemas de GraphQL

    • Permitir crear, modificar y eliminar tipos, solucionadores y funciones de GraphQL

    • Evaluar la lógica de las plantillas de solicitud y respuesta

    • Evaluar código con un tiempo de ejecución y contexto

    • Envío de consultas de GraphQL a GraphQL APIs

    • Recuperar datos de GraphQL

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appsync:GraphQL", "appsync:CreateResolver", "appsync:CreateType", "appsync:DeleteResolver", "appsync:DeleteType", "appsync:GetResolver", "appsync:GetType", "appsync:GetDataSource", "appsync:GetSchemaCreationStatus", "appsync:GetIntrospectionSchema", "appsync:GetGraphqlApi", "appsync:ListTypes", "appsync:ListApiKeys", "appsync:ListResolvers", "appsync:ListDataSources", "appsync:ListGraphqlApis", "appsync:StartSchemaCreation", "appsync:UpdateResolver", "appsync:UpdateType", "appsync:TagResource", "appsync:UntagResource", "appsync:ListTagsForResource", "appsync:CreateFunction", "appsync:UpdateFunction", "appsync:GetFunction", "appsync:DeleteFunction", "appsync:ListFunctions", "appsync:ListResolversByFunction", "appsync:EvaluateMappingTemplate", "appsync:EvaluateCode" ], "Resource": "*" } ] }

AWS política gestionada: AWSApp SyncPushToCloudWatchLogs

AWS AppSync utiliza Amazon CloudWatch para supervisar el rendimiento de su aplicación mediante la generación de registros que puede utilizar para solucionar problemas y optimizar sus solicitudes de GraphQL. Para obtener más información, consulte Uso CloudWatch para monitorear y registrar datos de la API de GraphQL.

Utilice la política AWSAppSyncPushToCloudWatchLogs AWS gestionada para poder enviar registros AWS AppSync a la cuenta de un usuario de IAM. CloudWatch

Puede adjuntar la política de AWSAppSyncPushToCloudWatchLogs a las identidades de IAM.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • CloudWatch Logs— Permite AWS AppSync crear grupos de registros y flujos con nombres específicos. AWS AppSyncenvía los eventos de registro al flujo de registro especificado.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }

AWS política gestionada: AWSApp SyncAdministrator

Utilice la política AWSAppSyncAdministrator AWS gestionada para permitir a los administradores acceder a todas las AWS AppSync aplicaciones excepto a la AWS consola.

Puede adjuntarlas AWSAppSyncAdministrator a sus entidades de IAM. AWS AppSync también vincula esta política a un rol de servicio que le permite realizar acciones en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • AWS AppSync— Permite el acceso administrativo total a todos los recursos de AWS AppSync

  • IAM: permite las siguientes acciones.

    • Crear funciones vinculadas a los servicios AWS AppSync para poder analizar los recursos de otros servicios en su nombre

    • Eliminar roles vinculados a servicios

    • Transferir las funciones vinculadas al servicio a otros AWS servicios para que las asuman más adelante y realicen acciones en tu nombre

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appsync:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "appsync.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "appsync.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*" } ] }

AWS política gestionada: AWSApp SyncServiceRolePolicy

Use la política AWSAppSyncServiceRolePolicy AWS administrada para permitir el acceso a AWS los servicios y recursos que AWS AppSync usa o administra.

No puede asociar AWSAppSyncServiceRolePolicy a sus entidades IAM. Esta política está asociada a un rol vinculado al servicio que permite AWS AppSync realizar acciones en su nombre. Para obtener más información, consulte Funciones vinculadas al servicio para AWS AppSync.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • X-Ray— se AWS AppSync utiliza AWS X-Ray para recopilar datos sobre las solicitudes realizadas en su solicitud. Para obtener más información, consulte Uso de AWS X-Ray para rastrear solicitudes en AWS AppSync.

    Esta política permite las acciones siguientes:

    • Recuperar las reglas de muestreo y sus resultados

    • Enviar datos de seguimiento al daemon X-Ray

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingTargets", "xray:GetSamplingRules", "xray:GetSamplingStatisticSummaries" ], "Resource": [ "*" ] } ] }

Actualizaciones de AWS AppSync en las políticas administradas de AWS

Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas AWS AppSync desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS AppSync documento.

Cambio Descripción Fecha

AWSAppSyncSchemaAuthor: actualización de una política existente

Se añadió una acción de política de EvaluateCode para permitir a los usuarios evaluar código con un tiempo de ejecución y contexto.

7 de febrero de 2023

AWSAppSyncSchemaAuthor: actualización de una política existente

Se añadieron acciones de políticas para permitir las funciones de lista, obtención, creación, actualización y eliminación en una API.

Se añadió una acción política EvaluateMappingTemplate para permitir a los usuarios evaluar la lógica de la plantilla de asignación de solucionadores de solicitudes y respuestas.

Se añadieron acciones políticas para permitir el etiquetado de recursos.

25 de agosto de 2022

AWS AppSync comenzó a rastrear los cambios

AWS AppSync comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.

25 de agosto de 2022