Empezar con AWS Supply Chain

En esta sección, puedes aprender a crear una AWS Supply Chain instancia, conceder roles de permisos de usuario, iniciar sesión en la aplicación AWS Supply Chain web y crear roles de permisos de usuario personalizados. An Cuenta de AWS puede tener hasta 10 AWS Supply Chain instancias activas o en estado de inicialización.

Temas

Mediante la consola de AWS Supply Chain

nota

Si su AWS cuenta es una cuenta de miembro de una AWS organización e incluye una política de control de servicios (SCP), asegúrese de que la organización SCP conceda los siguientes permisos a la cuenta de miembro. Si los siguientes permisos no están incluidos en la SCP política de la organización, no se podrá crear la AWS Supply Chain instancia.

Para acceder a la AWS Supply Chain consola, debes tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS Supply Chain recursos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.

No es necesario que concedas permisos mínimos de consola a los usuarios que realicen llamadas únicamente al AWS CLI o al AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la API operación que están intentando realizar.

Para garantizar que los usuarios y los roles puedan seguir utilizando la AWS Supply Chain consola, adjunte también la política ReadOnly AWS gestionada AWS Supply Chain ConsoleAccess o la política gestionada a las entidades. Para obtener más información, consulte Añadir permisos a un usuario en la Guía del IAM usuario.

El administrador de la consola necesita los siguientes permisos para crear y actualizar correctamente las instancias de AWS Supply Chain .


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Action": "scn:*",
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": [
				"s3:GetObject",
				"s3:PutObject",
				"s3:ListBucket",
				"s3:CreateBucket",
				"s3:PutBucketVersioning",
				"s3:PutBucketObjectLockConfiguration",
				"s3:PutEncryptionConfiguration",
				"s3:PutBucketPolicy",
				"s3:PutLifecycleConfiguration",
				"s3:PutBucketPublicAccessBlock",
				"s3:DeleteObject",
				"s3:ListAllMyBuckets",
				"s3:PutBucketOwnershipControls",
				"s3:PutBucketNotification",
				"s3:PutAccountPublicAccessBlock",
				"s3:PutBucketLogging",
				"s3:PutBucketTagging"
			],
			"Resource": "arn:aws:s3:::aws-supply-chain-*",
			"Effect": "Allow"
		},
		{
			"Action": [
				"cloudtrail:CreateTrail",
				"cloudtrail:PutEventSelectors",
				"cloudtrail:GetEventSelectors",
				"cloudtrail:StartLogging"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": [
				"events:DescribeRule",
				"events:PutRule",
				"events:PutTargets"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": [
				"chime:CreateAppInstance",
				"chime:DeleteAppInstance",
				"chime:PutAppInstanceRetentionSettings",
				"chime:TagResource"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": [
				"cloudwatch:PutMetricData",
				"cloudwatch:Describe*",
				"cloudwatch:Get*",
				"cloudwatch:List*"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:EnableAWSServiceAccess"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": [
				"kms:CreateGrant",
				"kms:RetireGrant",
				"kms:DescribeKey"
			],
			"Resource": key_arn,
			"Effect": "Allow"
		},
		{
			"Action": [
				"kms:ListAliases"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": [
				"iam:CreateRole",
				"iam:CreatePolicy",
				"iam:GetRole",
				"iam:PutRolePolicy",
				"iam:AttachRolePolicy",
				"iam:CreateServiceLinkedRole"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": [
				"sso:StartPeregrine",
				"sso:DescribeRegisteredRegions",
				"sso:ListDirectoryAssociations",
				"sso:GetPeregrineStatus",
				"sso:GetSSOStatus",
				"sso:ListProfiles",
				"sso:GetProfile",
				"sso:AssociateProfile",
				"sso:AssociateDirectory",
				"sso:RegisterRegion",
				"sso:StartSSO",
				"sso:CreateManagedApplicationInstance",
				"sso:DeleteManagedApplicationInstance",
				"sso:GetManagedApplicationInstance",
				"sso-directory:SearchUsers"
			],
			"Resource": "*",
			"Effect": "Allow"
		}
	]
}

key_arn especifica la clave que desea usar para la AWS Supply Chain instancia. Para conocer las mejores prácticas y restringir el acceso solo a las claves que desee utilizar AWS Supply Chain, consulte Especificar KMS las claves en las declaraciones IAM de política. Para representar todas KMS las claves, utilice solo un carácter comodín («*»).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos previos para su uso AWS Supply Chain

Creación de una instancia