Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para AWS Service Catalog
AWS Service Catalog (prefijo de servicio:servicecatalog) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en IAM las políticas de permisos.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las APIoperaciones disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos deIAM.
Temas
Acciones definidas por AWS Service Catalog
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, se suele permitir o denegar el acceso a la API operación o al CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AcceptPortfolioShare | Otorga permiso para aceptar una cartera que se ha compartido con usted | Write | |||
| AssociateAttributeGroup | Concede el permiso para asociar un grupo de atributos a una aplicación | Write | |||
| AssociateBudgetWithResource | Otorga permiso para asociar un presupuesto a un recurso | Escritura | |||
| AssociatePrincipalWithPortfolio | Otorga permiso para asociar un IAM principal a una cartera, lo que da acceso al principal especificado a cualquier producto asociado a la cartera especificada | Escritura | |||
| AssociateProductWithPortfolio | Otorga permiso para asociar un producto a una cartera | Write | |||
| AssociateResource | Concede el permiso para asociar un recurso con una aplicación | Write |
cloudformation:DescribeStacks resource-groups:CreateGroup resource-groups:GetGroup resource-groups:Tag |
||
| AssociateServiceActionWithProvisioningArtifact | Otorga permiso para asociar una acción con un artefacto de aprovisionamiento | Escritura | |||
| AssociateTagOptionWithResource | Otorga permiso para asociar lo especificado TagOption a la cartera o el producto especificado | Escritura | |||
| BatchAssociateServiceActionWithProvisioningArtifact | Otorga permiso para asociar varias acciones de autoservicio con artefactos de aprovisionamiento | Write | |||
| BatchDisassociateServiceActionFromProvisioningArtifact | Otorga permiso para disociar un lote de acciones de autoservicio del artefacto de aprovisionamiento especificado | Write | |||
| CopyProduct | Otorga permiso para copiar el producto de origen especificado en el producto de destino especificado o un nuevo producto | Write | |||
| CreateApplication | Concede permiso para crear una aplicación. | Write |
iam:CreateServiceLinkedRole |
||
| CreateAttributeGroup | Concede el permiso para crear un grupo de atributos | Write | |||
| CreateConstraint | Otorga permiso para crear una restricción en un producto y cartera asociados | Write | |||
| CreatePortfolio | Otorga permiso para crear una cartera | Escritura | |||
| CreatePortfolioShare | Otorga permiso para compartir una cartera de la que eres propietario con otra persona Cuenta de AWS | Administración de permisos | |||
| CreateProduct | Otorga permiso para crear un producto y el primer artefacto de aprovisionamiento de ese producto | Write | |||
| CreateProvisionedProductPlan | Otorga permiso para agregar un nuevo plan de producto aprovisionado | Write | |||
| CreateProvisioningArtifact | Otorga permiso para agregar un nuevo artefacto de aprovisionamiento a un producto existente | Write | |||
| CreateServiceAction | Otorga permiso para crear una acción de autoservicio | Escritura | |||
| CreateTagOption | Otorga permiso para crear un TagOption | Escritura | |||
| DeleteApplication | Concede el permiso para eliminar una aplicación si se han quitado todas las asociaciones de la aplicación | Write | |||
| DeleteAttributeGroup | Concede el permiso para eliminar un grupo de atributos si se han quitado todas las asociaciones del grupo de atributos | Write | |||
| DeleteConstraint | Otorga permiso para quitar y eliminar una restricción existente de un producto y cartera asociados | Write | |||
| DeletePortfolio | Otorga permiso para eliminar una cartera si todas las asociaciones y usos compartidos se han quitado de la cartera | Escritura | |||
| DeletePortfolioShare | Otorga permiso para dejar de compartir una cartera de la que eres propietario y con la que la Cuenta de AWS compartiste anteriormente | Administración de permisos | |||
| DeleteProduct | Otorga permiso para eliminar un producto si se han eliminado todas las asociaciones del producto | Write | |||
| DeleteProvisionedProductPlan | Otorga permiso para eliminar un plan de producto aprovisionado | Write | |||
| DeleteProvisioningArtifact | Otorga permiso para eliminar un artefacto de aprovisionamiento de un producto | Escritura | |||
| DeleteResourcePolicy [solo permiso] | Concede permiso para eliminar una política basada en recursos para el recurso especificado | Escritura | |||
| DeleteServiceAction | Otorga permiso para eliminar una acción de autoservicio | Escritura | |||
| DeleteTagOption | Otorga permiso para eliminar lo especificado TagOption | Escritura | |||
| DescribeConstraint | Otorga permiso para describir una restricción | Read | |||
| DescribeCopyProductStatus | Otorga permiso para obtener el estado de la operación del producto de copia especificada | Read | |||
| DescribePortfolio | Otorga permiso para describir una cartera | Read | |||
| DescribePortfolioShareStatus | Otorga permiso para obtener el estado de la operación de participación de la cartera especificada | Read | |||
| DescribePortfolioShares | Otorga permiso para ver un resumen de cada una de las acciones de cartera que se crearon para la cartera especificada | List | |||
| DescribeProduct | Otorga permiso para describir un producto como usuario final | Read | |||
| DescribeProductAsAdmin | Otorga permiso para describir un producto como administrador | Read | |||
| DescribeProductView | Otorga permiso para describir un producto como usuario final | Read | |||
| DescribeProvisionedProduct | Otorga permiso para describir un producto aprovisionado | Read | |||
| DescribeProvisionedProductPlan | Otorga permiso para describir un plan de producto aprovisionado | Read | |||
| DescribeProvisioningArtifact | Otorga permiso para describir un artefacto de aprovisionamiento | Read | |||
| DescribeProvisioningParameters | Otorga permiso para describir los parámetros que debe especificar para aprovisionar correctamente un artefacto de aprovisionamiento especificado | Read | |||
| DescribeRecord | Otorga permiso para describir un registro y enumera las salidas | Read | |||
| DescribeServiceAction | Otorga permiso para describir una acción de autoservicio | Read | |||
| DescribeServiceActionExecutionParameters | Otorga permiso para obtener los parámetros predeterminados si ejecutó la acción de servicio especificada en el producto aprovisionado especificado | Lectura | |||
| DescribeTagOption | Otorga permiso para obtener información sobre lo especificado TagOption | Lectura | |||
| DisableAWSOrganizationsAccess | Otorga permiso para deshabilitar el intercambio de portafolios a través de la función AWS Organizations | Escritura | |||
| DisassociateAttributeGroup | Concede el permiso para desasociar un grupo de atributos de una aplicación | Write | |||
| DisassociateBudgetFromResource | Otorga permiso para disociar un presupuesto de un recurso | Escritura | |||
| DisassociatePrincipalFromPortfolio | Otorga permiso para desvincular un IAM principal de una cartera | Escritura | |||
| DisassociateProductFromPortfolio | Otorga permiso para disociar un producto de una cartera | Write | |||
| DisassociateResource | Concede el permiso para desasociar un recurso de una aplicación | Write |
resource-groups:DeleteGroup |
||
| DisassociateServiceActionFromProvisioningArtifact | Otorga permiso para eliminar la asociación de una acción de autoservicio especificada del artefacto de aprovisionamiento especificado | Escritura | |||
| DisassociateTagOptionFromResource | Otorga permiso para desasociar lo especificado TagOption del recurso especificado | Escritura | |||
| EnableAWSOrganizationsAccess | Otorga permiso para habilitar la función de compartir portafolios a través de AWS Organizations | Escritura | |||
| ExecuteProvisionedProductPlan | Otorga permiso para ejecutar un plan de producto aprovisionado | Write | |||
| ExecuteProvisionedProductServiceAction | Otorga permiso para ejecutar un plan de producto aprovisionado | Escritura | |||
| GetAWSOrganizationsAccessStatus | Otorga permiso para obtener el estado de acceso a la función de compartir portafolios de AWS la organización | Lectura | |||
| GetApplication | Concede el permiso para obtener una aplicación | Read | |||
| GetAssociatedResource | Otorga permiso para obtener información sobre un recurso asociado a una aplicación | Read | |||
| GetAttributeGroup | Concede el permiso para obtener un grupo de atributos | Lectura | |||
| GetConfiguration | Otorga permiso para leer AppRegistry las configuraciones | Lectura | |||
| GetProvisionedProductOutputs | Otorga permiso para obtener la salida del producto aprovisionado con el identificador del producto aprovisionado o el nombre | Lectura | |||
| GetResourcePolicy [solo permiso] | Concede permiso para obtener una política basada en recursos para el recurso especificado | Lectura | |||
| ImportAsProvisionedProduct | Concede el permiso para importar un recurso a un producto aprovisionado | Write | |||
| ListAcceptedPortfolioShares | Otorga permiso para enumerar las carteras que se han compartido con usted y que ha aceptado | Enumeración | |||
| ListApplications | Otorga permiso para enumerar sus aplicaciones | Enumeración | |||
| ListAssociatedAttributeGroups | Concede el permiso para enumerar los grupos de atributos asociados a una aplicación | List | |||
| ListAssociatedResources | Concede el permiso para enumerar los recursos asociados a una aplicación | Enumeración | |||
| ListAttributeGroups | Otorga permiso para enumerar sus grupos de atributos | Enumeración | |||
| ListAttributeGroupsForApplication | Otorga permiso para enumerar los grupos de atributos asociados a una aplicación específica | Enumeración | |||
| ListBudgetsForResource | Otorga permiso para enumerar todos los presupuestos asociados a un recurso | List | |||
| ListConstraintsForPortfolio | Otorga permiso para enumerar las restricciones asociadas a una cartera determinada | List | |||
| ListLaunchPaths | Otorga permiso para enumerar las diferentes formas de lanzar un producto determinado como usuario final | List | |||
| ListOrganizationPortfolioAccess | Otorga permiso para enumerar los nodos de la organización que tienen acceso a la cartera especificada | Enumeración | |||
| ListPortfolioAccess | Otorga permiso para enumerar las AWS cuentas con las que ha compartido una cartera determinada | Enumeración | |||
| ListPortfolios | Otorga permiso para publicar las carteras en su cuenta | List | |||
| ListPortfoliosForProduct | Otorga permiso para enumerar las carteras asociadas a un producto determinado | Enumeración | |||
| ListPrincipalsForPortfolio | Otorga permiso para incluir IAM los principales asociados a una cartera determinada | Enumeración | |||
| ListProvisionedProductPlans | Otorga permiso para publicar los planes de productos aprovisionados | List | |||
| ListProvisioningArtifacts | Otorga permiso para enumerar los artefactos de aprovisionamiento asociados a un producto determinado | List | |||
| ListProvisioningArtifactsForServiceAction | Otorga permiso para enumerar todos los artefactos de aprovisionamiento para la acción de autoservicio especificada | List | |||
| ListRecordHistory | Otorga permiso para mostrar todos los registros en su cuenta o todos los registros relacionados con un determinado producto aprovisionado | Enumeración | |||
| ListResourcesForTagOption | Otorga permiso para enumerar los recursos asociados a la especificada TagOption | Enumeración | |||
| ListServiceActions | Otorga permiso para enumerar todas las acciones de autoservicio | List | |||
| ListServiceActionsForProvisioningArtifact | Otorga permiso para enumerar todas las acciones de servicio asociadas al artefacto de aprovisionamiento especificado en su cuenta | Enumeración | |||
| ListStackInstancesForProvisionedProduct | Otorga permiso para enumerar la cuenta, la región y el estado de cada pila de instancias asociadas a un producto aprovisionado STACKSET de tipo CFN _ | Enumeración | |||
| ListTagOptions | Otorga permiso para enumerar las especificadas TagOptions o todas TagOptions | Enumeración | |||
| ListTagsForResource | Concede el permiso para enumerar las etiquetas de un recurso de información de catálogo de servicios | Lectura | |||
| NotifyProvisionProductEngineWorkflowResult | Concede permiso para notificar el resultado de la ejecución del motor de aprovisionamiento | Escritura | |||
| NotifyTerminateProvisionedProductEngineWorkflowResult | Concede permiso para notificar el resultado de la ejecución del motor de finalización | Escritura | |||
| NotifyUpdateProvisionedProductEngineWorkflowResult | Concede permiso para notificar el resultado de la ejecución del motor de actualización | Escritura | |||
| ProvisionProduct | Otorga permiso para aprovisionar un producto con un artefacto de aprovisionamiento especificado y parámetros de lanzamiento | Escritura | |||
| PutConfiguration | Otorga permiso para asignar AppRegistry configuraciones | Escritura | |||
| PutResourcePolicy [solo permiso] | Concede permiso para agregar una política basada en recursos para el recurso especificado | Escritura | |||
| RejectPortfolioShare | Otorga permiso para rechazar una cartera que se haya compartido con usted y que haya aceptado previamente | Write | |||
| ScanProvisionedProducts | Otorga permiso para publicar todos los productos aprovisionados en su cuenta | List | |||
| SearchProducts | Otorga permiso para publicar los productos disponibles para usted como usuario final | List | |||
| SearchProductsAsAdmin | Otorga permiso para enumerar todos los productos de su cuenta o todos los productos asociados a una determinada cartera | List | |||
| SearchProvisionedProducts | Otorga permiso para publicar todos los productos aprovisionados en su cuenta | Enumeración | |||
| SyncResource | Otorga permiso para sincronizar un recurso con su estado actual en AppRegistry | Escritura |
cloudformation:UpdateStack |
||
| TagResource | Concede el permiso para etiquetar un recurso de Service Catalog AppRegistry | Etiquetado | |||
| TerminateProvisionedProduct | Otorga permiso para finalizar un producto aprovisionado existente | Write | |||
| UntagResource | Concede el permiso para quitar una etiqueta de un recurso de Service Catalog AppRegistry | Etiquetado | |||
| UpdateApplication | Concede el permiso para actualizar los atributos de una aplicación existente | Write |
iam:CreateServiceLinkedRole |
||
| UpdateAttributeGroup | Concede el permiso para actualizar los atributos de un grupo de atributos existente | Write | |||
| UpdateConstraint | Otorga permiso para actualizar los campos de metadatos de una restricción existente | Write | |||
| UpdatePortfolio | Otorga permiso para actualizar los campos de metadatos o etiquetas de una cartera existente | Write | |||
| UpdatePortfolioShare | Otorga permiso para habilitar o desactivar el uso compartido de recursos para un recurso compartido de cartera existente | Permissions management | |||
| UpdateProduct | Otorga permiso para actualizar los campos de metadatos o etiquetas de un producto existente | Write | |||
| UpdateProvisionedProduct | Otorga permiso para actualizar un producto aprovisionado existente | Write | |||
| UpdateProvisionedProductProperties | Otorga permiso para actualizar las propiedades de un producto aprovisionado existente | Write | |||
| UpdateProvisioningArtifact | Otorga permiso para actualizar los campos de metadatos de un artefacto de aprovisionamiento existente | Write | |||
| UpdateServiceAction | Otorga permiso para actualizar una acción de autoservicio | Escritura | |||
| UpdateTagOption | Otorga permiso para actualizar lo especificado TagOption | Escritura |
Tipos de recursos definidos por AWS Service Catalog
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| Application |
arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}
|
|
| AttributeGroup |
arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}
|
|
| Portfolio |
arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}
|
|
| Product |
arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}
|
Claves de condición para AWS Service Catalog
AWS Service Catalog define las siguientes claves de condición que se pueden usar en el Condition elemento de una IAM política. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
nota
Para ver políticas de ejemplo que muestran cómo se pueden usar estas claves de condición en una IAM política, consulte Ejemplos de políticas de acceso para la administración de productos aprovisionados en la Guía del administrador de Service Catalog.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso | Cadena |
| aws:TagKeys | Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud | ArrayOfString |
| servicecatalog:Resource | Filtra el acceso controlando qué valor se puede especificar como parámetro de recurso en un recurso AppRegistry asociado API | Cadena |
| servicecatalog:ResourceType | Filtra el acceso controlando qué valor se puede especificar como ResourceType parámetro en un recurso AppRegistry asociado API | Cadena |
| servicecatalog:accountLevel | Filtra el acceso mediante usuarios para ver y realizar acciones en recursos creados por cualquier persona en la cuenta. | Cadena |
| servicecatalog:roleLevel | Filtra el acceso mediante usuarios para ver y realizar acciones en recursos creados por ellos o por cualquier persona federada en la misma función que ellos. | Cadena |
| servicecatalog:userLevel | Filtra el acceso mediante usuarios para ver y realizar acciones solo en recursos que ellos han creado. | Cadena |
