Actions Types de ressources Clés de condition

Actions, ressources et clés de condition pour Amazon VPC Lattice

Amazon VPC Lattice (préfixe de service :vpc-lattice) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans les politiques d'autorisation. IAM

Références :

Découvrez comment configurer ce service.
Consultez la liste des APIopérations disponibles pour ce service.
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.

Rubriques

Actions définies par Amazon VPC Lattice
Types de ressources définis par Amazon VPC Lattice
Clés de condition pour Amazon VPC Lattice

Actions définies par Amazon VPC Lattice

Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions	Description	Niveau d'accès	Types de ressources (*obligatoire)	Clés de condition	Actions dépendantes
CreateAccessLogSubscription	Accorde l'autorisation de créer un abonnement aux journaux d'accès	Écrire	AccessLogSubscription*		logs:CreateLogDelivery logs:GetLogDelivery
CreateAccessLogSubscription		Écrire		aws:TagKeys aws:RequestTag/${TagKey}
CreateListener	Accorde l'autorisation de créer un écouteur	Écrire	Listener*
CreateListener	Accorde l'autorisation de créer un écouteur	Écrire		vpc-lattice:Protocol vpc-lattice:TargetGroupArns aws:TagKeys aws:RequestTag/${TagKey}
CreateRule	Accorde l'autorisation de créer une règle	Écrire	Rule*
CreateRule	Accorde l'autorisation de créer une règle	Écrire		vpc-lattice:TargetGroupArns aws:TagKeys aws:RequestTag/${TagKey}
CreateService	Accorde l'autorisation de créer un service	Écrire	Service*		iam:CreateServiceLinkedRole
CreateService	Accorde l'autorisation de créer un service	Écrire		vpc-lattice:AuthType aws:TagKeys aws:RequestTag/${TagKey}
CreateServiceNetwork	Accorde l'autorisation de créer un réseau de services	Écrire	ServiceNetwork*		iam:CreateServiceLinkedRole
CreateServiceNetwork	Accorde l'autorisation de créer un réseau de services	Écrire		vpc-lattice:AuthType aws:TagKeys aws:RequestTag/${TagKey}
CreateServiceNetworkServiceAssociation	Accorde l'autorisation de créer un réseau de services et une association de services	Écrire	Service*
			ServiceNetwork*
			ServiceNetworkServiceAssociation*
				vpc-lattice:ServiceNetworkArn vpc-lattice:ServiceArn aws:TagKeys aws:RequestTag/${TagKey}
CreateServiceNetworkVpcAssociation	Accorde l'autorisation de créer un réseau de services et une VPC association	Écrire	ServiceNetwork*		ec2:DescribeVpcs
			ServiceNetworkVpcAssociation*
				vpc-lattice:VpcId vpc-lattice:ServiceNetworkArn vpc-lattice:SecurityGroupIds aws:TagKeys aws:RequestTag/${TagKey}
CreateTargetGroup	Accorde l'autorisation de créer un groupe cible	Écrire	TargetGroup*		iam:CreateServiceLinkedRole
CreateTargetGroup	Accorde l'autorisation de créer un groupe cible	Écrire		vpc-lattice:VpcId aws:TagKeys aws:RequestTag/${TagKey}
DeleteAccessLogSubscription	Accorde l'autorisation de supprimer un abonnement aux journaux d'accès	Écrire	AccessLogSubscription*		logs:DeleteLogDelivery logs:GetLogDelivery
DeleteAccessLogSubscription		Écrire		aws:ResourceTag/${TagKey}
DeleteAuthPolicy	Accorde l'autorisation de supprimer une politique d'authentification	Gestion des autorisations	Service
DeleteAuthPolicy		Gestion des autorisations	ServiceNetwork
DeleteListener	Accorde l'autorisation de supprimer un écouteur	Écrire	Listener*
DeleteListener	Accorde l'autorisation de supprimer un écouteur	Écrire		aws:ResourceTag/${TagKey}
DeleteResourcePolicy	Accorde l'autorisation de supprimer une politique de ressource	Écrire	Service
DeleteResourcePolicy		Écrire	ServiceNetwork
DeleteRule	Accorde l'autorisation de supprimer une règle	Écrire	Rule*
DeleteRule	Accorde l'autorisation de supprimer une règle	Écrire		aws:ResourceTag/${TagKey}
DeleteService	Accorde l'autorisation de supprimer un service	Écrire	Service*
DeleteService	Accorde l'autorisation de supprimer un service	Écrire		aws:ResourceTag/${TagKey}
DeleteServiceNetwork	Accorde l'autorisation de supprimer un réseau de services	Écrire	ServiceNetwork*
DeleteServiceNetwork	Accorde l'autorisation de supprimer un réseau de services	Écrire		aws:ResourceTag/${TagKey}
DeleteServiceNetworkServiceAssociation	Accorde l'autorisation de supprimer une association de services de réseau de services	Écrire	ServiceNetworkServiceAssociation*
DeleteServiceNetworkServiceAssociation		Écrire		vpc-lattice:ServiceNetworkArn vpc-lattice:ServiceArn aws:ResourceTag/${TagKey}
DeleteServiceNetworkVpcAssociation	Autorise la suppression d'un réseau de services et d'une VPC association	Écrire	ServiceNetworkVpcAssociation*
DeleteServiceNetworkVpcAssociation		Écrire		vpc-lattice:VpcId vpc-lattice:ServiceNetworkArn aws:ResourceTag/${TagKey}
DeleteTargetGroup	Accorde l'autorisation de supprimer un groupe cible	Écrire	TargetGroup*
DeleteTargetGroup	Accorde l'autorisation de supprimer un groupe cible	Écrire		aws:ResourceTag/${TagKey}
DeregisterTargets	Accorde l'autorisation d'annuler l'enregistrement des cibles d'un groupe cible	Écrire	TargetGroup*
GetAccessLogSubscription	Accorde l'autorisation d'obtenir des informations sur un abonnement de journaux d'accès	Lecture	AccessLogSubscription*		logs:GetLogDelivery
GetAccessLogSubscription		Lecture		aws:ResourceTag/${TagKey}
GetAuthPolicy	Accorde l'autorisation d'obtenir des informations sur une politique d'authentification	Lecture	Service
GetAuthPolicy		Lecture	ServiceNetwork
GetListener	Accorde l'autorisation d'obtenir des informations sur un écouteur	Lecture	Listener*
GetListener		Lecture		aws:ResourceTag/${TagKey}
GetResourcePolicy	Accorde l'autorisation d'obtenir des informations sur une politique de ressources	Lecture	Service
GetResourcePolicy		Lecture	ServiceNetwork
GetRule	Accorde l'autorisation d'obtenir des informations sur une règle	Lecture	Rule*
GetRule		Lecture		aws:ResourceTag/${TagKey}
GetService	Accorde l'autorisation d'obtenir des informations sur un service	Lecture	Service*
GetService		Lecture		aws:ResourceTag/${TagKey}
GetServiceNetwork	Accorde l'autorisation d'obtenir des informations sur un réseau de services	Lecture	ServiceNetwork*
GetServiceNetwork		Lecture		aws:ResourceTag/${TagKey}
GetServiceNetworkServiceAssociation	Accorde l'autorisation d'obtenir des informations sur un réseau de services et une association de services	Lecture	ServiceNetworkServiceAssociation*
GetServiceNetworkServiceAssociation		Lecture		vpc-lattice:ServiceNetworkArn vpc-lattice:ServiceArn aws:ResourceTag/${TagKey}
GetServiceNetworkVpcAssociation	Accorde l'autorisation d'obtenir des informations sur un réseau de services et une VPC association	Lecture	ServiceNetworkVpcAssociation*
GetServiceNetworkVpcAssociation		Lecture		vpc-lattice:VpcId vpc-lattice:ServiceNetworkArn aws:ResourceTag/${TagKey}
GetTargetGroup	Accorde l'autorisation d'obtenir des informations sur un groupe de cible	Lecture	TargetGroup*
GetTargetGroup		Lecture		aws:ResourceTag/${TagKey}
ListAccessLogSubscriptions	Accorde l'autorisation de répertorier une partie ou la totalité des abonnements aux journaux d'accès concernant un réseau de services ou un service	Liste
ListListeners	Accorde l'autorisation de répertorier une partie ou la totalité des écouteurs	Liste
ListRules	Accorde l'autorisation de répertorier une partie ou la totalité des règles	Liste
ListServiceNetworkServiceAssociations	Accorde l'autorisation de répertorier une partie ou la totalité des réseaux de services et associations de services	Liste		vpc-lattice:ServiceNetworkArn vpc-lattice:ServiceArn
ListServiceNetworkVpcAssociations	Accorde l'autorisation de répertorier une partie ou la totalité des réseaux de services et VPC des associations	Liste		vpc-lattice:VpcId vpc-lattice:ServiceNetworkArn
ListServiceNetworks	Accorde l'autorisation de répertorier les réseaux de services appartenant à un compte d'appelant ou partagés avec celui-ci	Liste
ListServices	Accorde l'autorisation de répertorier les services appartenant à un compte d'appelant ou partagés avec celui-ci	Liste
ListTagsForResource	Accorde l'autorisation de répertorier les balises d'une ressource vpc-lattice	Lecture
ListTargetGroups	Accorde l'autorisation de répertorier une partie ou la totalité des groupes cibles	Liste
ListTargets	Accorde l'autorisation de répertorier une partie ou la totalité des cibles dans un groupe cible	Liste	TargetGroup*
PutAuthPolicy	Accorde l'autorisation de créer ou de mettre à jour la politique d'authentification pour un réseau de services ou un service	Gestion des autorisations	Service
PutAuthPolicy		Gestion des autorisations	ServiceNetwork
PutResourcePolicy	Accorde l'autorisation de créer une politique de ressources pour un réseau de services ou un service	Écrire	Service
PutResourcePolicy		Écrire	ServiceNetwork
RegisterTargets	Accorde l'autorisation d'enregistrer des cibles à un groupe cible	Écrire	TargetGroup*
TagResource	Accorde l'autorisation de baliser une ressource vpc-lattice	Identification	AccessLogSubscription
			Listener
			Rule
			Service
			ServiceNetwork
			ServiceNetworkServiceAssociation
			ServiceNetworkVpcAssociation
			TargetGroup
				aws:TagKeys aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}
UntagResource	Accorde l'autorisation d'annuler le balisage d'une ressource vpc-lattice	Identification	AccessLogSubscription
			Listener
			Rule
			Service
			ServiceNetwork
			ServiceNetworkServiceAssociation
			ServiceNetworkVpcAssociation
			TargetGroup
				aws:TagKeys
UpdateAccessLogSubscription	Accorde l'autorisation de mettre à jour un abonnement aux journaux d'accès	Écrire	AccessLogSubscription*		logs:GetLogDelivery logs:UpdateLogDelivery
UpdateAccessLogSubscription		Écrire		aws:ResourceTag/${TagKey}
UpdateListener	Accorde l'autorisation de mettre à jour un écouteur	Écrire	Listener*
UpdateListener	Accorde l'autorisation de mettre à jour un écouteur	Écrire		vpc-lattice:TargetGroupArns aws:ResourceTag/${TagKey}
UpdateRule	Accorde l'autorisation de mettre à jour une règle	Écrire	Rule*
UpdateRule	Accorde l'autorisation de mettre à jour une règle	Écrire		vpc-lattice:TargetGroupArns aws:ResourceTag/${TagKey}
UpdateService	Accorde l'autorisation de mettre à jour un service	Écrire	Service*
UpdateService	Accorde l'autorisation de mettre à jour un service	Écrire		vpc-lattice:AuthType aws:ResourceTag/${TagKey}
UpdateServiceNetwork	Accorde l'autorisation de mettre à jour un réseau de service	Écrire	ServiceNetwork*
UpdateServiceNetwork		Écrire		vpc-lattice:AuthType aws:ResourceTag/${TagKey}
UpdateServiceNetworkVpcAssociation	Autorise la mise à jour d'un réseau de services et d'une VPC association	Écrire	ServiceNetworkVpcAssociation*		ec2:DescribeSecurityGroups ec2:DescribeVpcs
UpdateServiceNetworkVpcAssociation		Écrire		vpc-lattice:VpcId vpc-lattice:ServiceNetworkArn vpc-lattice:SecurityGroupIds aws:ResourceTag/${TagKey}
UpdateTargetGroup	Accorde l'autorisation de mettre à jour un groupe cible	Écrire	TargetGroup*
UpdateTargetGroup	Accorde l'autorisation de mettre à jour un groupe cible	Écrire		aws:ResourceTag/${TagKey}

Types de ressources définis par Amazon VPC Lattice

Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources	ARN	Clés de condition
ServiceNetwork	`arn:${Partition}:vpc-lattice:${Region}:${Account}:servicenetwork/${ServiceNetworkId}`	aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys vpc-lattice:AuthType
Service	`arn:${Partition}:vpc-lattice:${Region}:${Account}:service/${ServiceId}`	aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys vpc-lattice:AuthType
ServiceNetworkVpcAssociation	`arn:${Partition}:vpc-lattice:${Region}:${Account}:servicenetworkvpcassociation/${ServiceNetworkVpcAssociationId}`	aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys vpc-lattice:SecurityGroupIds vpc-lattice:ServiceNetworkArn vpc-lattice:VpcId
ServiceNetworkServiceAssociation	`arn:${Partition}:vpc-lattice:${Region}:${Account}:servicenetworkserviceassociation/${ServiceNetworkServiceAssociationId}`	aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys vpc-lattice:ServiceArn vpc-lattice:ServiceNetworkArn
TargetGroup	`arn:${Partition}:vpc-lattice:${Region}:${Account}:targetgroup/${TargetGroupId}`	aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys vpc-lattice:VpcId
Listener	`arn:${Partition}:vpc-lattice:${Region}:${Account}:service/${ServiceId}/listener/${ListenerId}`	aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys vpc-lattice:Protocol vpc-lattice:TargetGroupArns
Rule	`arn:${Partition}:vpc-lattice:${Region}:${Account}:service/${ServiceId}/listener/${ListenerId}/rule/${RuleId}`	aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys vpc-lattice:TargetGroupArns
AccessLogSubscription	`arn:${Partition}:vpc-lattice:${Region}:${Account}:accesslogsubscription/${AccessLogSubscriptionId}`	aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys

Clés de condition pour Amazon VPC Lattice

Amazon VPC Lattice définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition	Description	Type
aws:RequestTag/${TagKey}	Filtre l'accès en fonction de la présence de paires clé-valeur d'identification dans la demande	Chaîne
aws:ResourceTag/${TagKey}	Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource.	Chaîne
aws:TagKeys	Filtre l'accès en fonction de la présence de clés d'identification dans la demande	ArrayOfString
vpc-lattice:AuthType	Filtre l'accès en fonction du type d'authentification spécifié dans la demande	Chaîne
vpc-lattice:Protocol	Filtre l'accès en fonction du protocole spécifié dans la demande	Chaîne
vpc-lattice:SecurityGroupIds	Filtre l'accès en fonction IDs des groupes de sécurité	ArrayOfString
vpc-lattice:ServiceArn	Filtre l'accès en fonction ARN d'un service	ARN
vpc-lattice:ServiceNetworkArn	Filtre l'accès par le biais ARN d'un réseau de services	ARN
vpc-lattice:TargetGroupArns	Filtre l'accès par groupes cibles ARNs	ArrayOfARN
vpc-lattice:VpcId	Filtre l'accès en fonction de l'identifiant d'un cloud privé virtuel (VPC)	Chaîne

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon Verified Permissions

Amazon VPC Lattice Services