Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS CloudFormation
AWS CloudFormation (préfixe de service :cloudformation) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS CloudFormation
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| ActivateOrganizationsAccess | Accorde l'autorisation d'activer un accès sécurisé entre StackSets et Organizations. Lorsque l'accès sécurisé entre StackSets et Organizations est activé, le compte de gestion dispose des autorisations nécessaires pour créer et gérer StackSets pour votre organisation | Écrire | |||
| ActivateType | Accorde l'autorisation d'activer une extension tierce publique, ce qui la rend disponible pour une utilisation dans les modèles de pile | Écrire | |||
| BatchDescribeTypeConfigurations | Accorde l'autorisation de renvoyer les données de configuration pour les CloudFormation extensions spécifiées | Lecture | |||
| CancelUpdateStack | Accorde l'autorisation d'annuler une mise à jour sur la pile spécifiée | Écriture | |||
| ContinueUpdateRollback | Accorde l'autorisation de continuer à restaurer une pile qui se trouve dans l'état UPDATE_ROLLBACK_FAILED vers l'état UPDATE_ROLLBACK_COMPLETE | Écriture | |||
| CreateChangeSet | Accorde l'autorisation de créer une liste de modifications pour une pile | Écrire | |||
| CreateGeneratedTemplate | Accorde l'autorisation de créer un modèle à partir de ressources existantes qui ne sont pas déjà gérées avec CloudFormation | Écrire | |||
| CreateStack | Accorde l'autorisation de créer une pile comme spécifié dans le modèle | Écriture | |||
| CreateStackInstances | Accorde l'autorisation de créer des instances de piles pour les comptes spécifiés, dans les régions spécifiées | Écriture | |||
| CreateStackSet | Accorde l'autorisation de créer un ensemble de piles comme spécifié dans le modèle | Écriture | |||
| CreateUploadBucket [autorisation uniquement] | Accorde l'autorisation de télécharger des modèles vers des compartiments Amazon S3 Utilisé uniquement par la AWS CloudFormation console et n'est pas documenté dans la référence de l'API | Écrire | |||
| DeactivateOrganizationsAccess | Accorde l'autorisation de désactiver l'accès sécurisé entre StackSets et Organizations. Si l'accès sécurisé est désactivé, le compte de gestion n'est pas autorisé à créer et à gérer des services gérés pour votre StackSets organisation | Écrire | |||
| DeactivateType | Accorde l'autorisation de désactiver une extension publique précédemment activée dans ce compte et cette région | Écrire | |||
| DeleteChangeSet | Accorde l'autorisation de supprimer le jeu de modifications spécifié La suppression des jeux de modifications garantit que personne n'exécutera un jeu de modifications inapproprié | Écrire | |||
| DeleteGeneratedTemplate | Accorde l'autorisation de supprimer un modèle généré | Écrire | |||
| DeleteStack | Accorde l'autorisation de supprimer une pile spécifiée | Écriture | |||
| DeleteStackInstances | Accorde l'autorisation de supprimer des instances de piles pour les comptes spécifiés, dans les régions spécifiées | Écriture | |||
| DeleteStackSet | Accorde l'autorisation de supprimer un ensemble de piles spécifié | Écrire | |||
| DeregisterType | Accorde l'autorisation de désenregistrer un CloudFormation type ou une version de type existant | Écrire | |||
| DescribeAccountLimits | Accorde l'autorisation de récupérer les AWS CloudFormation limites de votre compte | Lecture | |||
| DescribeChangeSet | Accorde l'autorisation de renvoyer la description du jeu de modifications spécifié | Lecture | |||
| DescribeChangeSetHooks | Accorde l'autorisation pour renvoyer les informations d'invocation Hook pour le jeu de modifications spécifié | Lecture | |||
| DescribeGeneratedTemplate | Accorde l'autorisation de décrire un modèle généré. La sortie inclut des détails sur la progression de la création d'un modèle généré | Lecture | |||
| DescribeOrganizationsAccess | Accorde l'autorisation de renvoyer des informations sur le OrganizationAccess statut du compte | Lecture | |||
| DescribePublisher | Accorde l'autorisation de renvoyer des informations sur CloudFormation l'éditeur d'une extension | Lecture | |||
| DescribeResourceScan | Accorde l'autorisation de décrire les détails d'une analyse des ressources | Lecture | |||
| DescribeStackDriftDetectionStatus | Accorde l'autorisation de renvoyer des informations sur une opération de détection de dérive de pile | Lecture | |||
| DescribeStackEvents | Accorde l'autorisation de renvoyer tous les événements associés à une pile spécifiée | Lecture | |||
| DescribeStackInstance | Accorde l'autorisation de renvoyer l'instance de pile associée à l'ensemble de piles et à la région spécifiés Compte AWS | Lecture | |||
| DescribeStackResource | Accorde l'autorisation de renvoyer une description de la ressource spécifiée dans la pile spécifiée | Lecture | |||
| DescribeStackResourceDrifts | Accorde l'autorisation de renvoyer les informations de dérive pour les ressources qui ont été vérifiées pour dérive dans la pile spécifiée | Lecture | |||
| DescribeStackResources | Accorde l'autorisation de renvoyer les descriptions AWS des ressources pour les piles en cours d'exécution et supprimées | Lecture | |||
| DescribeStackSet | Accorde l'autorisation de renvoyer la description de l'ensemble de piles spécifié | Lecture | |||
| DescribeStackSetOperation | Accorde l'autorisation de renvoyer la description de l'opération de l'ensemble de piles spécifiée | Lecture | |||
| DescribeStacks | Accorde l'autorisation de renvoyer la description de la pile spécifiée et de toutes les piles lorsqu'elle est utilisée en combinaison avec l'action ListStacks | Liste |
cloudformation:ListStacks |
||
| DescribeType | Accorde l'autorisation de renvoyer des informations sur le CloudFormation type demandé | Lecture | |||
| DescribeTypeRegistration | Accorde l'autorisation de renvoyer des informations sur le processus d'enregistrement pour un CloudFormation type | Lecture | |||
| DetectStackDrift | Accorde l'autorisation de détecter si la configuration actuelle d'une pile diffère, ou a dérivé, de sa configuration attendue, telle que définie dans le modèle de pile, et des valeurs spécifiées comme paramètres du modèle | Lecture | |||
| DetectStackResourceDrift | Accorde l'autorisation de renvoyer des informations permettant de savoir si la configuration actuelle d'une pile diffère, ou a dérivé, de sa configuration attendue, telle que définie dans le modèle de pile, et des valeurs spécifiées comme paramètres du modèle | Lecture | |||
| DetectStackSetDrift | Accorde l'autorisation aux utilisateurs de détecter la dérive sur un ensemble de piles et les instances de piles qui appartiennent à cet ensemble de piles | Lecture | |||
| EstimateTemplateCost | Accorde l'autorisation de renvoyer le coût mensuel estimé d'un modèle | Lecture | |||
| ExecuteChangeSet | Accorde l'autorisation de mettre à jour une pile à l'aide des informations d'entrée qui ont été fournies lorsque le jeu de modifications spécifié a été créé | Écrire | |||
| GetGeneratedTemplate | Accorde l'autorisation de récupérer un modèle généré | Lecture | |||
| GetStackPolicy | Accorde l'autorisation de renvoyer la politique de pile d'une pile spécifiée | Lecture | |||
| GetTemplate | Accorde l'autorisation de renvoyer le corps du modèle d'une pile spécifiée | Lecture | |||
| GetTemplateSummary | Accorde l'autorisation de renvoyer des informations sur un modèle nouveau ou existant | Lecture | |||
| ImportStacksToStackSet | Accorde l'autorisation de permettre aux utilisateurs d'importer des piles existantes dans un ensemble de piles nouveau ou existant | Écrire | |||
| ListChangeSets | Accorde l'autorisation de renvoyer l'ID et l'état de chaque jeu de modifications actif pour une pile. Par exemple, AWS CloudFormation répertorie les ensembles de modifications dont l'état est CREATE_IN_PROGRESS ou CREATE_PENDING | Liste | |||
| ListExports | Accorde l'autorisation de répertorier toutes les valeurs de sortie exportées dans le compte et la région où vous appelez cette action | Liste | |||
| ListGeneratedTemplates | Accorde l'autorisation de répertorier les modèles que vous avez générés dans cette région | Liste | |||
| ListImports | Accorde l'autorisation de répertorier toutes les piles qui importent une valeur de sortie exportée | Liste | |||
| ListResourceScanRelatedResources | Accorde l'autorisation de répertorier les ressources associées pour une liste de ressources issue d'une analyse des ressources. La réponse indique si chaque ressource renvoyée est déjà gérée par CloudFormation | Liste | |||
| ListResourceScanResources | Accorde l'autorisation de répertorier les ressources issues d'une analyse des ressources. Les résultats peuvent être filtrés par identifiant de ressource, préfixe de type de ressource, clé de balise et valeur de balise | Liste | |||
| ListResourceScans | Accorde l'autorisation de répertorier les analyses de ressources du plus récent au plus ancien. Par défaut, il renverra jusqu'à 10 analyses de ressources | Liste | |||
| ListStackInstanceResourceDrifts | Accorde l'autorisation de renvoyer des informations sur la dérive pour les ressources dont la dérive a été vérifiée dans l'instance de pile spécifiée | Liste | |||
| ListStackInstances | Accorde l'autorisation de renvoyer des informations récapitulatives sur les instances de piles associées à l'ensemble de piles spécifié | Liste | |||
| ListStackResources | Accorde l'autorisation de renvoyer des descriptions de toutes les ressources de la pile spécifiée | Liste | |||
| ListStackSetAutoDeploymentTargets | Accorde l'autorisation de renvoyer des informations récapitulatives sur les cibles de déploiement StackSet automatique | Liste | |||
| ListStackSetOperationResults | Accorde l'autorisation de renvoyer des informations récapitulatives sur les résultats d'une opération d'un ensemble de piles | Liste | |||
| ListStackSetOperations | Accorde l'autorisation de renvoyer des informations récapitulatives sur les opérations effectuées sur un ensemble de piles | Liste | |||
| ListStackSets | Accorde l'autorisation de renvoyer des informations récapitulatives sur les ensembles de piles associés à l'utilisateur | Liste | |||
| ListStacks | Accorde l'autorisation de renvoyer les informations récapitulatives pour les piles dont le statut correspond à celui spécifié StackStatusFilter. En combinaison avec l' DescribeStacks action, accorde l'autorisation de répertorier les descriptions des piles | Liste | |||
| ListTypeRegistrations | Accorde l'autorisation de répertorier CloudFormation les tentatives d'enregistrement | Liste | |||
| ListTypeVersions | Accorde l'autorisation de répertorier les versions d'un CloudFormation type particulier | Liste | |||
| ListTypes | Accorde l'autorisation de répertorier les CloudFormation types disponibles | Liste | |||
| PublishType | Accorde l'autorisation de publier l'extension spécifiée dans le CloudFormation registre en tant qu'extension publique dans cette région | Écrire | |||
| RecordHandlerProgress | Accorde l'autorisation d'enregistrer la progression du gestionnaire | Écrire | |||
| RegisterPublisher | Accorde l'autorisation d'enregistrer un compte en tant qu'éditeur d'extensions publiques dans le CloudFormation registre | Écrire | |||
| RegisterType | Autorise l'enregistrement d'un nouveau CloudFormation type | Écrire | |||
| RollbackStack | Accorde l’autorisation de restaurer la pile au dernier état stable | Écrire | |||
| SetStackPolicy | Accorde l'autorisation de définir une politique de pile d'une pile spécifiée | Gestion des autorisations | |||
| SetTypeConfiguration | Accorde l'autorisation de définir les données de configuration pour une CloudFormation extension enregistrée, dans le compte et la région donnés | Écrire | |||
| SetTypeDefaultVersion | Accorde l'autorisation de définir quelle version d'un CloudFormation type s'applique aux CloudFormation opérations | Écrire | |||
| SignalResource | Accorde l'autorisation d'envoyer un signal à la ressource spécifiée avec un état de succès ou d'échec | Écrire | |||
| StartResourceScan | Autorise le lancement d'une analyse des ressources de ce compte dans cette région | Écrire | |||
| StopStackSetOperation | Accorde l'autorisation d'arrêter une opération en cours sur un ensemble de piles et ses instances de piles associées | Écriture | |||
| TagResource | Accorde l'autorisation de baliser les ressources cloudformation | Identification | |||
| TestType | Permet de tester une extension enregistrée afin de s'assurer qu'elle répond à toutes les exigences nécessaires pour être publiée dans le CloudFormation registre | Écrire | |||
| UntagResource | Accorde l'autorisation de supprimer les balises des ressources cloudformation | Identification | |||
| UpdateGeneratedTemplate | Accorde l'autorisation de mettre à jour un modèle généré. Cela peut être utilisé pour modifier le nom, ajouter et supprimer des ressources, actualiser les ressources et modifier les UpdateReplacePolicy paramètres DeletionPolicy et | Écrire | |||
| UpdateStack | Accorde l'autorisation de mettre à jour une pile comme spécifié dans le modèle | Écriture | |||
| UpdateStackInstances | Accorde l'autorisation de mettre à jour les valeurs des paramètres pour les instances de piles pour les comptes spécifiés, dans les régions spécifiées | Écriture | |||
| UpdateStackSet | Accorde l'autorisation de mettre à jour un jeu de pile comme spécifié dans le modèle | Écriture | |||
| UpdateTerminationProtection | Accorde l'autorisation de mettre à jour la protection de terminaison pour la pile spécifiée | Écriture | |||
| ValidateTemplate | Accorde l'autorisation de valider un modèle spécifié | Lecture |
Types de ressources définis par AWS CloudFormation
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| changeset |
arn:${Partition}:cloudformation:${Region}:${Account}:changeSet/${ChangeSetName}/${Id}
|
|
| stack |
arn:${Partition}:cloudformation:${Region}:${Account}:stack/${StackName}/${Id}
|
|
| stackset |
arn:${Partition}:cloudformation:${Region}:${Account}:stackset/${StackSetName}:${Id}
|
|
| stackset-target |
arn:${Partition}:cloudformation:${Region}:${Account}:stackset-target/${StackSetTarget}
|
|
| type |
arn:${Partition}:cloudformation:${Region}:${Account}:type/resource/${Type}
|
|
| generatedtemplate |
arn:${Partition}:cloudformation:${Region}:${Account}:generatedTemplate/${Id}
|
|
| resourcescan |
arn:${Partition}:cloudformation:${Region}:${Account}:resourceScan/${Id}
|
Clés de condition pour AWS CloudFormation
AWS CloudFormation définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des identifications transmises dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des identifications associées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande | ArrayOfString |
| cloudformation:ChangeSetName | Filtre l'accès en fonction du nom du groupe de AWS CloudFormation modifications. Utilisez-le pour contrôler les jeux de modifications que les utilisateurs IAM peuvent exécuter ou supprimer | Chaîne |
| cloudformation:ImportResourceTypes | Filtre l'accès en fonction des types de ressources du modèle, tels que ::EC2 AWS : :Instance. Utilisez-le pour contrôler les types de ressources avec lesquels les utilisateurs IAM peuvent travailler lorsqu'ils souhaitent importer une ressource dans une pile | Chaîne |
| cloudformation:ResourceTypes | Filtre l'accès en fonction des types de ressources du modèle, tels que ::EC2 AWS : :Instance. Utilisez-les pour contrôler les types de ressource dont les utilisateurs IAM peuvent se servir lorsqu'ils créent ou mettent à jour une pile | ArrayOfString |
| cloudformation:RoleArn | Filtre l'accès en fonction de l'ARN d'un rôle de service IAM. Utilisez-le pour contrôler le rôle de service dont les utilisateurs IAM peuvent se servir pour utiliser des piles ou des jeux de modifications | ARN |
| cloudformation:StackPolicyUrl | Filtre l'accès en fonction d'une URL de politique de pile Amazon S3. Utilisez-la pour contrôler les politiques de pile que les utilisateurs IAM peuvent associer à une pile pendant la création ou la mise à jour de cette dernière. | Chaîne |
| cloudformation:TargetRegion | Filtre l'accès par région cible de jeu de piles. Utilisez-la pour contrôler les modèles auxquels les utilisateurs IAM peuvent se reporter lorsqu'ils créent ou mettent à jour des jeux de piles. | ArrayOfString |
| cloudformation:TemplateUrl | Filtre l'accès en fonction d'une URL de modèle Amazon S3. Utilisez-la pour contrôler les modèles auxquels les utilisateurs IAM peuvent se reporter lorsqu'ils créent ou mettent à jour des piles | Chaîne |
