Claves de condición, recursos y acciones de Amazon VPC Lattice - Referencia de autorizaciones de servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Claves de condición, recursos y acciones de Amazon VPC Lattice

Amazon VPC Lattice (prefijo de servicio:vpc-lattice) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos. IAM

Referencias:

Acciones definidas por Amazon VPC Lattice

Puede especificar las siguientes acciones en el Action elemento de una declaración de IAM política. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, normalmente se permite o deniega el acceso a la API operación o CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
CreateAccessLogSubscription Otorga permiso para crear una suscripción de registro de acceso Escritura

AccessLogSubscription*

logs:CreateLogDelivery

logs:GetLogDelivery

aws:TagKeys

aws:RequestTag/${TagKey}

CreateListener Otorga permiso para crear un oyente Escritura

Listener*

vpc-lattice:Protocol

vpc-lattice:TargetGroupArns

aws:TagKeys

aws:RequestTag/${TagKey}

CreateRule Concede permiso para crear una regla Escritura

Rule*

vpc-lattice:TargetGroupArns

aws:TagKeys

aws:RequestTag/${TagKey}

CreateService Otorga permiso para crear un servicio. Escritura

Service*

iam:CreateServiceLinkedRole

vpc-lattice:AuthType

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceNetwork Otorga permiso para crear una red de servicios Escritura

ServiceNetwork*

iam:CreateServiceLinkedRole

vpc-lattice:AuthType

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceNetworkServiceAssociation Otorga permiso para crear una red de servicios y una asociación de servicios Escritura

Service*

ServiceNetwork*

ServiceNetworkServiceAssociation*

vpc-lattice:ServiceNetworkArn

vpc-lattice:ServiceArn

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceNetworkVpcAssociation Otorga permiso para crear una red de servicios y una VPC asociación Escritura

ServiceNetwork*

ec2:DescribeVpcs

ServiceNetworkVpcAssociation*

vpc-lattice:VpcId

vpc-lattice:ServiceNetworkArn

vpc-lattice:SecurityGroupIds

aws:TagKeys

aws:RequestTag/${TagKey}

CreateTargetGroup Concede permiso para crear un grupo de destino. Escritura

TargetGroup*

iam:CreateServiceLinkedRole

vpc-lattice:VpcId

aws:TagKeys

aws:RequestTag/${TagKey}

DeleteAccessLogSubscription Otorga permiso para eliminar una suscripción de registro de acceso Escritura

AccessLogSubscription*

logs:DeleteLogDelivery

logs:GetLogDelivery

aws:ResourceTag/${TagKey}

DeleteAuthPolicy Otorga permiso para eliminar una política de autenticación Administración de permisos

Service

ServiceNetwork

DeleteListener Otorga permiso para eliminar un oyente Escritura

Listener*

aws:ResourceTag/${TagKey}

DeleteResourcePolicy Concede permiso para eliminar una política de recursos. Escritura

Service

ServiceNetwork

DeleteRule Otorga permiso para eliminar una regla Escritura

Rule*

aws:ResourceTag/${TagKey}

DeleteService Otorga permiso para eliminar un servicio. Escritura

Service*

aws:ResourceTag/${TagKey}

DeleteServiceNetwork Otorga permiso para eliminar una red de servicios Escritura

ServiceNetwork*

aws:ResourceTag/${TagKey}

DeleteServiceNetworkServiceAssociation Otorga permiso para eliminar una asociación de servicios de red de servicios Escritura

ServiceNetworkServiceAssociation*

vpc-lattice:ServiceNetworkArn

vpc-lattice:ServiceArn

aws:ResourceTag/${TagKey}

DeleteServiceNetworkVpcAssociation Otorga permiso para eliminar una red y una VPC asociación de servicios Escritura

ServiceNetworkVpcAssociation*

vpc-lattice:VpcId

vpc-lattice:ServiceNetworkArn

aws:ResourceTag/${TagKey}

DeleteTargetGroup Otorga permiso para eliminar un grupo de destino Escritura

TargetGroup*

aws:ResourceTag/${TagKey}

DeregisterTargets Otorga permiso para dar de baja destinos de un grupo de destinos Escritura

TargetGroup*

GetAccessLogSubscription Otorga permiso para obtener información sobre una suscripción de registro de acceso Lectura

AccessLogSubscription*

logs:GetLogDelivery

aws:ResourceTag/${TagKey}

GetAuthPolicy Otorga permiso para obtener información sobre una política de autenticación Lectura

Service

ServiceNetwork

GetListener Otorga permiso para obtener información sobre un oyente Lectura

Listener*

aws:ResourceTag/${TagKey}

GetResourcePolicy Otorga permiso para obtener información sobre una política de recursos Lectura

Service

ServiceNetwork

GetRule Otorga permiso para obtener información sobre una regla Lectura

Rule*

aws:ResourceTag/${TagKey}

GetService Otorga permiso para obtener información sobre un servicio Lectura

Service*

aws:ResourceTag/${TagKey}

GetServiceNetwork Otorga permiso para obtener información sobre una red de servicios Lectura

ServiceNetwork*

aws:ResourceTag/${TagKey}

GetServiceNetworkServiceAssociation Otorga permiso para obtener información sobre una red de servicios y una asociación de servicios Lectura

ServiceNetworkServiceAssociation*

vpc-lattice:ServiceNetworkArn

vpc-lattice:ServiceArn

aws:ResourceTag/${TagKey}

GetServiceNetworkVpcAssociation Otorga permiso para obtener información sobre una red y una VPC asociación de servicios Lectura

ServiceNetworkVpcAssociation*

vpc-lattice:VpcId

vpc-lattice:ServiceNetworkArn

aws:ResourceTag/${TagKey}

GetTargetGroup Otorga permiso para obtener información sobre un grupo de destino Lectura

TargetGroup*

aws:ResourceTag/${TagKey}

ListAccessLogSubscriptions Otorga permiso para enumerar algunas o todas las suscripciones de registro de acceso sobre una red de servicios o un servicio Enumeración
ListListeners Otorga permiso para enumerar algunos o todos los oyentes Enumeración
ListRules Otorga permiso para enumerar algunas o todas las reglas Enumeración
ListServiceNetworkServiceAssociations Otorga permiso para enumerar algunas o todas las redes de servicios y asociaciones servicios Enumeración

vpc-lattice:ServiceNetworkArn

vpc-lattice:ServiceArn

ListServiceNetworkVpcAssociations Otorga permiso para incluir algunas o todas las redes y VPC asociaciones de servicios Enumeración

vpc-lattice:VpcId

vpc-lattice:ServiceNetworkArn

ListServiceNetworks Otorga permiso para enumerar las redes de servicios propiedad de una cuenta de intermediario o compartidas con dicha cuenta Enumeración
ListServices Otorga permiso para enumerar los servicios propiedad de una cuenta de intermediario o compartidos con dicha cuenta Enumeración
ListTagsForResource Otorga permiso para enumerar etiquetas de un recurso vpc-lattice Lectura
ListTargetGroups Otorga permiso para enumerar algunos o todos los grupos de destino Enumeración
ListTargets Otorga permiso para enumerar algunos o todos los destinos de un grupo de destino Enumeración

TargetGroup*

PutAuthPolicy Otorga permiso para crear o actualizar la política de autenticación de una red de servicios o de un servicio Administración de permisos

Service

ServiceNetwork

PutResourcePolicy Otorga permiso para crear una política de recursos para una red de servicios o un servicio Escritura

Service

ServiceNetwork

RegisterTargets Otorga permiso para registrar destinos en un grupo de destino Escritura

TargetGroup*

TagResource Otorga permiso para etiquetar un recurso vpc-lattice Etiquetado

AccessLogSubscription

Listener

Rule

Service

ServiceNetwork

ServiceNetworkServiceAssociation

ServiceNetworkVpcAssociation

TargetGroup

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource Otorga permiso para quitar la etiqueta de un recurso vpc-lattice Etiquetado

AccessLogSubscription

Listener

Rule

Service

ServiceNetwork

ServiceNetworkServiceAssociation

ServiceNetworkVpcAssociation

TargetGroup

aws:TagKeys

UpdateAccessLogSubscription Otorga permiso para actualizar una suscripción de registro de acceso Escritura

AccessLogSubscription*

logs:GetLogDelivery

logs:UpdateLogDelivery

aws:ResourceTag/${TagKey}

UpdateListener Otorga permiso para actualizar un oyente Escritura

Listener*

vpc-lattice:TargetGroupArns

aws:ResourceTag/${TagKey}

UpdateRule Otorga permiso para actualizar una regla Escritura

Rule*

vpc-lattice:TargetGroupArns

aws:ResourceTag/${TagKey}

UpdateService Otorga permiso para actualizar un servicio. Escritura

Service*

vpc-lattice:AuthType

aws:ResourceTag/${TagKey}

UpdateServiceNetwork Otorga permiso para actualizar una red de servicios Escritura

ServiceNetwork*

vpc-lattice:AuthType

aws:ResourceTag/${TagKey}

UpdateServiceNetworkVpcAssociation Otorga permiso para actualizar una red y una VPC asociación de servicios Escritura

ServiceNetworkVpcAssociation*

ec2:DescribeSecurityGroups

ec2:DescribeVpcs

vpc-lattice:VpcId

vpc-lattice:ServiceNetworkArn

vpc-lattice:SecurityGroupIds

aws:ResourceTag/${TagKey}

UpdateTargetGroup Otorga permiso para actualizar un grupo de destino Escritura

TargetGroup*

aws:ResourceTag/${TagKey}

Tipos de recursos definidos por Amazon VPC Lattice

Este servicio define los siguientes tipos de recursos y se pueden utilizar como Resource elemento de las declaraciones de política de IAM permisos. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
ServiceNetwork arn:${Partition}:vpc-lattice:${Region}:${Account}:servicenetwork/${ServiceNetworkId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:AuthType

Service arn:${Partition}:vpc-lattice:${Region}:${Account}:service/${ServiceId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:AuthType

ServiceNetworkVpcAssociation arn:${Partition}:vpc-lattice:${Region}:${Account}:servicenetworkvpcassociation/${ServiceNetworkVpcAssociationId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:SecurityGroupIds

vpc-lattice:ServiceNetworkArn

vpc-lattice:VpcId

ServiceNetworkServiceAssociation arn:${Partition}:vpc-lattice:${Region}:${Account}:servicenetworkserviceassociation/${ServiceNetworkServiceAssociationId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:ServiceArn

vpc-lattice:ServiceNetworkArn

TargetGroup arn:${Partition}:vpc-lattice:${Region}:${Account}:targetgroup/${TargetGroupId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:VpcId

Listener arn:${Partition}:vpc-lattice:${Region}:${Account}:service/${ServiceId}/listener/${ListenerId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:Protocol

vpc-lattice:TargetGroupArns

Rule arn:${Partition}:vpc-lattice:${Region}:${Account}:service/${ServiceId}/listener/${ListenerId}/rule/${RuleId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

vpc-lattice:TargetGroupArns

AccessLogSubscription arn:${Partition}:vpc-lattice:${Region}:${Account}:accesslogsubscription/${AccessLogSubscriptionId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

Claves de estado de Amazon VPC Lattice

Amazon VPC Lattice define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una IAM política. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud ArrayOfString
vpc-lattice:AuthType Filtra el acceso por el tipo de autenticación especificado en la solicitud Cadena
vpc-lattice:Protocol Filtra el acceso por el protocolo especificado en la solicitud Cadena
vpc-lattice:SecurityGroupIds Filtra el acceso por grupos IDs de seguridad ArrayOfString
vpc-lattice:ServiceArn Filtra el acceso por ARN parte de un servicio ARN
vpc-lattice:ServiceNetworkArn Filtra el acceso por parte ARN de una red de servicios ARN
vpc-lattice:TargetGroupArns Filtra el acceso por parte ARNs de los grupos objetivo ArrayOfARN
vpc-lattice:VpcId Filtra el acceso por el ID de una nube privada virtual (VPC) Cadena