Acciones Tipos de recurso Claves de condición

Acciones, recursos y claves de condición para AWS AppSync

AWS AppSync (prefijo de servicio:appsync) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en IAM las políticas de permisos.

Referencias:

Obtenga información para configurar este servicio.
Vea una lista de las APIoperaciones disponibles para este servicio.
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos deIAM.

Temas

Acciones definidas por AWS AppSync
Tipos de recursos definidos por AWS AppSync
Claves de condición de AWS AppSync

Acciones definidas por AWS AppSync

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, se suele permitir o denegar el acceso a la API operación o al CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones	Descripción	Nivel de acceso	Tipos de recursos (*necesarios)	Claves de condición	Acciones dependientes
AssociateApi	Otorga permiso para adjuntar un GraphQL API a un nombre de dominio personalizado en AppSync	Escritura	domain*
AssociateMergedGraphqlApi	Otorga permiso para asociar un elemento fusionado API a una fuente API	Escritura	graphqlapi*
AssociateSourceGraphqlApi	Otorga permiso para asociar una fuente API a una fuente fusionada API	Escritura	graphqlapi*
CreateApi	Otorga permiso para crear un API	Escritura		aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys	iam:CreateServiceLinkedRole
CreateApiCache	Otorga permiso para crear una API caché en AppSync	Escritura
CreateApiKey	Otorga permiso para crear una clave única que puede distribuir a los clientes que están ejecutando su API	Escritura
CreateChannelNamespace	Otorga permiso para crear un espacio de nombres de canal	Escritura	channelNamespace*
CreateChannelNamespace	Otorga permiso para crear un espacio de nombres de canal	Escritura		aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys
CreateDataSource	Concede permiso para crear un origen de datos	Escritura
CreateDomainName	Otorga permiso para crear un nombre de dominio personalizado en AppSync	Escritura
CreateFunction	Otorga permiso para crear una nueva función	Escritura
CreateGraphqlApi	Otorga permiso para crear un GraphQLAPI, que es el recurso de nivel superior AppSync	Escritura		aws:RequestTag/${TagKey} aws:TagKeys appsync:Visibility	iam:CreateServiceLinkedRole
CreateResolver	Otorga permiso para crear un solucionador. Un solucionador convierte las solicitudes entrantes a un formato que un origen de datos pueda comprender y convierte las respuestas del origen de datos en GraphQL	Escritura
CreateType	Otorga permiso para crear un nuevo tipo	Escritura
DeleteApi	Otorga permiso para eliminar unAPI. Esto también limpiará todos los AppSync recursos que se encuentren debajo de eso API	Escritura	api*
DeleteApi		Escritura		aws:ResourceTag/${TagKey}
DeleteApiCache	Otorga permiso para eliminar un API caché en AppSync	Escritura
DeleteApiKey	Otorga permiso para eliminar una API clave	Escritura
DeleteChannelNamespace	Otorga permiso para eliminar el espacio de nombres de un canal	Escritura	channelNamespace*
DeleteChannelNamespace		Escritura		aws:ResourceTag/${TagKey}
DeleteDataSource	Concede permiso para eliminar un origen de datos	Escritura
DeleteDomainName	Otorga permiso para eliminar un nombre de dominio personalizado en AppSync	Escritura	domain*
DeleteFunction	Otorga permiso para eliminar una función	Escritura
DeleteGraphqlApi	Otorga permiso para eliminar una API de GraphQL. Esto también limpiará todos los AppSync recursos que estén por debajo API	Escritura	graphqlapi*
DeleteGraphqlApi		Escritura		aws:ResourceTag/${TagKey}
DeleteResolver	Otorga permiso para eliminar un solucionador.	Escritura
DeleteResourcePolicy [solo permiso]	Concede permiso para eliminar una política de recursos	Escritura
DeleteType	Otorga permiso para eliminar un tipo	Escritura
DisassociateApi	Otorga permiso para separar un API GraphQL de un nombre de dominio personalizado en AppSync	Escritura	domain*
DisassociateMergedGraphqlApi	Otorga permiso para eliminar una fuente asociada API de una fuente fusionada API identificada por la fuente API	Escritura	mergedApiAssociation*
DisassociateSourceGraphqlApi	Otorga permiso para eliminar una fuente asociada API de una fusión API identificada por la fusión API	Escritura	sourceApiAssociation*
EvaluateCode	Concede permiso para evaluar código con un tiempo de ejecución y contexto	Lectura
EvaluateMappingTemplate	Otorga permiso para evaluar la asignación de plantillas	Lectura
EventConnect	Otorga permiso para conectarse a un evento API	Escritura	api*
EventPublish	Otorga permiso para publicar eventos en el espacio de nombres de un canal	Escritura	channelNamespace*
EventSubscribe	Otorga permiso para suscribirse al espacio de nombres de un canal	Escritura	channelNamespace*
FlushApiCache	Otorga permiso para vaciar una caché API AppSync	Escritura
GetApi	Otorga permiso para recuperar un API	Lectura	api*
GetApi	Otorga permiso para recuperar un API	Lectura		aws:ResourceTag/${TagKey}
GetApiAssociation	Otorga permiso para leer los detalles de la API asociación de nombres de dominio personalizados y GraphQL en AppSync	Lectura	domain*
GetApiCache	Otorga permiso para leer información sobre un API caché en AppSync	Lectura
GetChannelNamespace	Otorga permiso para recuperar el espacio de nombres de un canal	Lectura	channelNamespace*
GetChannelNamespace		Lectura		aws:ResourceTag/${TagKey}
GetDataSource	Otorga permiso para recuperar un origen de datos	Lectura
GetDataSourceIntrospection	Otorga permiso para recuperar una introspección del origen de datos	Lectura
GetDomainName	Otorga permiso para leer información sobre un nombre de dominio personalizado en AppSync	Lectura	domain*
GetFunction	Otorga permiso para recuperar una función	Lectura
GetGraphqlApi	Otorga permiso para recuperar un GraphQL API	Lectura	graphqlapi*
GetGraphqlApi	Otorga permiso para recuperar un GraphQL API	Lectura		aws:ResourceTag/${TagKey}
GetGraphqlApiEnvironmentVariables	Otorga permiso para recuperar las variables de entorno de un GraphQL API	Lectura
GetIntrospectionSchema	Otorga permiso para recuperar el esquema de introspección de un GraphQL API	Lectura
GetResolver	Otorga permiso para recuperar un solucionador	Lectura
GetResourcePolicy [solo permiso]	Concede permiso para leer una política de recursos	Lectura
GetSchemaCreationStatus	Otorga permiso para recuperar el estado actual de una operación de creación de esquema	Lectura
GetSourceApiAssociation	Otorga permiso para leer información sobre una fuente asociada fusionada API API	Lectura	sourceApiAssociation*
GetType	Otorga permiso para recuperar un tipo	Lectura
GraphQL [solo permiso]	Otorga permiso para enviar una consulta de GraphQL a un GraphQL API	Escritura	field*
GraphQL [solo permiso]		Escritura	graphqlapi*
ListApiKeys	Otorga permiso para enumerar las API claves de una determinada API	Enumeración
ListApis	Otorga permiso para publicar APIs	Enumeración		aws:ResourceTag/${TagKey}
ListChannelNamespaces	Otorga permiso para incluir el espacio de nombres de los canales	Enumeración	api*
ListChannelNamespaces		Enumeración		aws:ResourceTag/${TagKey}
ListDataSources	Otorga permiso para enumerar las fuentes de datos de un determinado API	Enumeración
ListDomainNames	Otorga permiso para enumerar nombres de dominio personalizados en AppSync	Enumeración
ListFunctions	Otorga permiso para enumerar las funciones de un determinado API	Enumeración
ListGraphqlApis	Otorga permiso para publicar GraphQL APIs	Enumeración
ListResolvers	Otorga permiso para enumerar los resolutores de un tipo y determinado API	Enumeración
ListResolversByFunction	Otorga permiso para enumerar los solucionadores asociados a una función específica	Enumeración
ListSourceApiAssociations	Otorga permiso para enumerar la fuente APIs asociada a una combinación determinada API	Enumeración
ListTagsForResource	Concede permiso para enumerar las etiquetas de un recurso	Lectura	api
			channelNamespace
			graphqlapi
				aws:ResourceTag/${TagKey}
ListTypes	Otorga permiso para enumerar los tipos de una determinada API	Enumeración
ListTypesByAssociation	Otorga permiso para enumerar los tipos de una API asociación fusionada API y de origen determinada	Enumeración
PutGraphqlApiEnvironmentVariables	Otorga permiso para actualizar las variables de entorno de un GraphQL API	Escritura
PutResourcePolicy [solo permiso]	Concede permiso para establecer una política de recursos	Escritura
SetWebACL	Otorga permiso para configurar una web ACL	Escritura
SourceGraphQL [solo permiso]	Otorga permiso para enviar una consulta de GraphQL a una fuente API de un archivo fusionado API	Escritura	field*
SourceGraphQL [solo permiso]		Escritura	graphqlapi*
StartDataSourceIntrospection	Concede permiso para hacer una introspección de un origen de datos	Escritura
StartSchemaCreation	Otorga permiso para añadir un nuevo esquema a tu GraphQLAPI. Esta operación es asíncrona, es decir, GetSchemaCreationStatus puede mostrar cuándo se ha completado	Escritura
StartSchemaMerge	Otorga permiso para iniciar una fusión de esquemas para una fuente combinada API y asociada determinada API	Escritura	sourceApiAssociation*
TagResource	Concede permiso para etiquetar un recurso	Etiquetado	api*
			channelNamespace*
			graphqlapi*
			api
			channelNamespace
			graphqlapi
				aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys
UntagResource	Concede permiso para eliminar etiquetas en un recurso	Etiquetado	api*
			channelNamespace*
			graphqlapi*
			api
			channelNamespace
			graphqlapi
				aws:TagKeys aws:ResourceTag/${TagKey}
UpdateApi	Otorga permiso para actualizar un API	Escritura	api*		iam:CreateServiceLinkedRole
UpdateApi	Otorga permiso para actualizar un API	Escritura		aws:ResourceTag/${TagKey}
UpdateApiCache	Otorga permiso para actualizar una API caché en AppSync	Escritura
UpdateApiKey	Otorga permiso para actualizar una API clave para una determinada API	Escritura
UpdateChannelNamespace	Otorga permiso para actualizar el espacio de nombres de un canal	Escritura	channelNamespace*
UpdateChannelNamespace		Escritura		aws:ResourceTag/${TagKey}
UpdateDataSource	Concede permiso para actualizar un origen de datos	Escritura
UpdateDomainName	Otorga permiso para actualizar un nombre de dominio personalizado en AppSync	Escritura	domain*
UpdateFunction	Otorga permiso para actualizar una función existente	Escritura
UpdateGraphqlApi	Otorga permiso para actualizar un GraphQL API	Escritura	graphqlapi*		iam:CreateServiceLinkedRole
UpdateGraphqlApi	Otorga permiso para actualizar un GraphQL API	Escritura		aws:ResourceTag/${TagKey}
UpdateResolver	Otorga permiso para actualizar un solucionador.	Escritura
UpdateSourceApiAssociation	Otorga permiso para actualizar una asociación de API fuentes API fusionada	Escritura	sourceApiAssociation*
UpdateType	Otorga permiso para actualizar un tipo	Escritura

Tipos de recursos definidos por AWS AppSync

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso	ARN	Claves de condición
datasource	`arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/datasources/${DatasourceName}`
domain	`arn:${Partition}:appsync:${Region}:${Account}:domainnames/${DomainName}`
graphqlapi	`arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}`	aws:ResourceTag/${TagKey}
field	`arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/types/${TypeName}/fields/${FieldName}`
type	`arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/types/${TypeName}`
function	`arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}/functions/${FunctionId}`
sourceApiAssociation	`arn:${Partition}:appsync:${Region}:${Account}:apis/${MergedGraphQLAPIId}/sourceApiAssociations/${Associationid}`
mergedApiAssociation	`arn:${Partition}:appsync:${Region}:${Account}:apis/${SourceGraphQLAPIId}/mergedApiAssociations/${Associationid}`
api	`arn:${Partition}:appsync:${Region}:${Account}:apis/${ApiId}`	aws:ResourceTag/${TagKey}
channelNamespace	`arn:${Partition}:appsync:${Region}:${Account}:apis/${ApiId}/channelNamespace/${ChannelNamespaceName}`	aws:ResourceTag/${TagKey}

Claves de condición de AWS AppSync

AWS AppSync define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una IAM política. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición	Descripción	Tipo
appsync:Visibility	Filtra el acceso según la visibilidad de un API	Cadena
aws:RequestTag/${TagKey}	Filtra el acceso por los pares clave-valor de la etiqueta en la solicitud	Cadena
aws:ResourceTag/${TagKey}	Filtra el acceso por los pares clave-valor de etiqueta adjuntados al recurso	Cadena
aws:TagKeys	Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud	ArrayOfString

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Amazon AppStream 2.0

AWS Artefacto