Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Service Catalog
AWS Service Catalog (préfixe de service :servicecatalog) fournit les ressources, actions et clés contextuelles de condition spécifiques au service suivantes à utiliser dans IAM les politiques d'autorisation.
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par AWS Service Catalog
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AcceptPortfolioShare | Accorde l'autorisation d'accepter un portefeuille qui a été partagé avec vous | Écriture | |||
| AssociateAttributeGroup | Accorde l'autorisation d'associer un groupe d'attributs à une application | Écriture | |||
| AssociateBudgetWithResource | Accorde l'autorisation d'associer un budget à une ressource | Écrire | |||
| AssociatePrincipalWithPortfolio | Accorde l'autorisation d'associer un IAM mandant à un portefeuille, donnant au principal spécifié l'accès à tous les produits associés au portefeuille spécifié | Écrire | |||
| AssociateProductWithPortfolio | Accorde l'autorisation d'associer un produit à un portefeuille | Écriture | |||
| AssociateResource | Accorde l'autorisation d'associer une ressource à une application | Écriture |
cloudformation:DescribeStacks resource-groups:CreateGroup resource-groups:GetGroup resource-groups:Tag |
||
| AssociateServiceActionWithProvisioningArtifact | Accorde l'autorisation d'associer une action à un artefact de provisionnement | Écrire | |||
| AssociateTagOptionWithResource | Accorde l'autorisation d'associer le produit spécifié TagOption au portefeuille ou au produit spécifié | Écrire | |||
| BatchAssociateServiceActionWithProvisioningArtifact | Accorde l'autorisation d'associer plusieurs actions en libre-service à des artefacts de provisionnement | Écriture | |||
| BatchDisassociateServiceActionFromProvisioningArtifact | Accorde l'autorisation de dissocier un lot d'actions en libre-service de l'artefact de provisionnement spécifié | Écriture | |||
| CopyProduct | Accorde l'autorisation de copier le produit source spécifié dans le produit cible indiqué ou dans un nouveau produit | Écriture | |||
| CreateApplication | Accorde l'autorisation de créer une application | Écriture |
iam:CreateServiceLinkedRole |
||
| CreateAttributeGroup | Accorde l'autorisation de créer un groupe d'attributs | Écriture | |||
| CreateConstraint | Accorde l'autorisation de créer une contrainte sur un produit et un portefeuille associés | Écriture | |||
| CreatePortfolio | Accorde l'autorisation de créer un portefeuille | Écrire | |||
| CreatePortfolioShare | Accorde l'autorisation de partager un portefeuille que vous possédez avec un autre Compte AWS | Gestion des autorisations | |||
| CreateProduct | Accorde l'autorisation de créer un produit et le premier artefact de provisionnement de ce produit | Écriture | |||
| CreateProvisionedProductPlan | Accorde l'autorisation d'ajouter un nouveau plan de produit provisionné | Écriture | |||
| CreateProvisioningArtifact | Accorde l'autorisation d'ajouter un nouvel artefact de provisionnement à un produit existant | Écriture | |||
| CreateServiceAction | Accorde l'autorisation de créer une action en libre-service | Écrire | |||
| CreateTagOption | Accorde l'autorisation de créer un TagOption | Écrire | |||
| DeleteApplication | Accorde l'autorisation de supprimer une application si toutes les associations ont été supprimées de celle-ci | Écriture | |||
| DeleteAttributeGroup | Accorde l'autorisation de supprimer un groupe d'attributs si toutes les associations ont été supprimées de celui-ci | Écriture | |||
| DeleteConstraint | Accorde l'autorisation de supprimer une contrainte existante d'un produit et d'un portefeuille associés | Écriture | |||
| DeletePortfolio | Accorde l'autorisation de supprimer un portefeuille si toutes les associations et tous les partages ont été éliminés du portefeuille | Écrire | |||
| DeletePortfolioShare | Accorde l'autorisation d'annuler le partage d'un portefeuille que vous possédez et avec Compte AWS lequel vous l'avez déjà partagé | Gestion des autorisations | |||
| DeleteProduct | Accorde l'autorisation de supprimer un produit si toutes les associations ont été supprimées de celui-ci | Écriture | |||
| DeleteProvisionedProductPlan | Accorde l'autorisation de supprimer un plan de produit provisionné | Écriture | |||
| DeleteProvisioningArtifact | Accorde l'autorisation de supprimer un artefact de provisionnement d'un produit | Écrire | |||
| DeleteResourcePolicy [autorisation uniquement] | Accorde l'autorisation de supprimer une politique basée sur les ressources pour la ressource spécifiée | Écrire | |||
| DeleteServiceAction | Accorde l'autorisation de supprimer une action en libre-service | Écrire | |||
| DeleteTagOption | Accorde l'autorisation de supprimer le fichier spécifié TagOption | Écrire | |||
| DescribeConstraint | Accorde l'autorisation de décrire une contrainte | Lecture | |||
| DescribeCopyProductStatus | Accorde l'autorisation d'obtenir le statut de l'opération de copie spécifiée | Lecture | |||
| DescribePortfolio | Accorde l'autorisation de décrire un portefeuille | Lecture | |||
| DescribePortfolioShareStatus | Accorde l'autorisation d'obtenir le statut de l'opération de partage de portefeuille spécifiée | Lecture | |||
| DescribePortfolioShares | Accorde l'autorisation d'afficher un résumé de chacun des partages de portefeuille créés pour le portefeuille spécifié | Liste | |||
| DescribeProduct | Accorde l'autorisation de décrire un produit en tant qu'utilisateur final | Lecture | |||
| DescribeProductAsAdmin | Accorde l'autorisation de décrire un produit en tant qu'administrateur | Lecture | |||
| DescribeProductView | Accorde l'autorisation de décrire un produit en tant qu'utilisateur final | Lecture | |||
| DescribeProvisionedProduct | Accorde l'autorisation de décrire un produit provisionné | Lecture | |||
| DescribeProvisionedProductPlan | Accorde l'autorisation de décrire un plan de produit provisionné | Lecture | |||
| DescribeProvisioningArtifact | Accorde l'autorisation de décrire un artefact de provisionnement | Lecture | |||
| DescribeProvisioningParameters | Accorde l'autorisation de décrire les paramètres à spécifier pour réussir la mise en service d'un artefact de provisionnement spécifié | Lecture | |||
| DescribeRecord | Accorde l'autorisation de décrire un enregistrement et répertorie les sorties | Lecture | |||
| DescribeServiceAction | Accorde l'autorisation de décrire une action en libre-service | Lecture | |||
| DescribeServiceActionExecutionParameters | Accorde l'autorisation d'obtenir les paramètres par défaut si vous avez exécuté l'action de service spécifiée sur le produit provisionné spécifié | Lecture | |||
| DescribeTagOption | Accorde l'autorisation d'obtenir des informations sur le spécifié TagOption | Lecture | |||
| DisableAWSOrganizationsAccess | Accorde l'autorisation de désactiver le partage de portefeuille via la fonctionnalité AWS Organizations | Écrire | |||
| DisassociateAttributeGroup | Accorde l'autorisation de dissocier un groupe d'attributs d'une application | Écriture | |||
| DisassociateBudgetFromResource | Accorde l'autorisation de dissocier un budget d'une ressource | Écrire | |||
| DisassociatePrincipalFromPortfolio | Permet de dissocier un IAM capital d'un portefeuille | Écrire | |||
| DisassociateProductFromPortfolio | Accorde l'autorisation de dissocier un produit d'un portefeuille | Écriture | |||
| DisassociateResource | Accorde l'autorisation de dissocier une ressource d'une application. | Écriture |
resource-groups:DeleteGroup |
||
| DisassociateServiceActionFromProvisioningArtifact | Accorde l'autorisation de dissocier l'association d'actions en libre-service spécifiée de l'artefact de provisionnement indiqué | Écrire | |||
| DisassociateTagOptionFromResource | Accorde l'autorisation de dissocier la ressource spécifiée TagOption de la ressource spécifiée | Écrire | |||
| EnableAWSOrganizationsAccess | Accorde l'autorisation d'activer la fonctionnalité de partage de portefeuille via AWS Organizations | Écrire | |||
| ExecuteProvisionedProductPlan | Accorde l'autorisation d'exécuter un plan de produit provisionné | Écriture | |||
| ExecuteProvisionedProductServiceAction | Accorde l'autorisation d'exécuter un plan de produit provisionné | Écrire | |||
| GetAWSOrganizationsAccessStatus | Accorde l'autorisation d'obtenir le statut d'accès à la fonctionnalité de partage de portefeuille de AWS l'organisation | Lecture | |||
| GetApplication | Accorde l'autorisation d'obtenir une application | Read | |||
| GetAssociatedResource | Accorde l'autorisation d'obtenir des informations sur une ressource associée à une application | Read | |||
| GetAttributeGroup | Accorde l'autorisation d'obtenir un groupe d'attributs | Lecture | |||
| GetConfiguration | Accorde l'autorisation de lire AppRegistry les configurations | Lecture | |||
| GetProvisionedProductOutputs | Accorde l'autorisation d'obtenir la sortie du produit provisionné avec l'ID ou le nom de celui-ci | Lecture | |||
| GetResourcePolicy [autorisation uniquement] | Accorde l'autorisation d'obtenir une politique basée sur les ressources pour la ressource spécifiée | Lecture | |||
| ImportAsProvisionedProduct | Accorde l'autorisation d'importer une ressource dans un produit provisionné | Écriture | |||
| ListAcceptedPortfolioShares | Accorde l'autorisation de répertorier les portefeuilles qui ont été partagés avec vous et que vous avez acceptés | Liste | |||
| ListApplications | Accorde l'autorisation de répertorier vos applications | Liste | |||
| ListAssociatedAttributeGroups | Accorde l'autorisation de répertorier les groupes d'attributs associés à une application | Liste | |||
| ListAssociatedResources | Accorde l'autorisation de répertorier les ressources associées à une application | Liste | |||
| ListAttributeGroups | Accorde l'autorisation de répertorier vos groupes d'attributs | Liste | |||
| ListAttributeGroupsForApplication | Accorde l'autorisation de répertorier les groupes d'attributs associés pour une application donnée | Liste | |||
| ListBudgetsForResource | Accorde l'autorisation de répertorier tous les budgets associés à une ressource | Liste | |||
| ListConstraintsForPortfolio | Accorde l'autorisation de répertorier les contraintes associées à un portefeuille donné | Liste | |||
| ListLaunchPaths | Accorde l'autorisation de répertorier les différentes façons de lancer un produit donné en tant qu'utilisateur final | Liste | |||
| ListOrganizationPortfolioAccess | Accorde l'autorisation de répertorier les nœuds d'organisation qui ont accès au portefeuille spécifié | Liste | |||
| ListPortfolioAccess | Accorde l'autorisation de répertorier les AWS comptes avec lesquels vous avez partagé un portefeuille donné | Liste | |||
| ListPortfolios | Accorde l'autorisation de répertorier les portefeuilles de votre compte | Liste | |||
| ListPortfoliosForProduct | Accorde l'autorisation de répertorier les portefeuilles associés à un produit donné | Liste | |||
| ListPrincipalsForPortfolio | Permet de répertorier les IAM principaux associés à un portefeuille donné | Liste | |||
| ListProvisionedProductPlans | Accorde l'autorisation de répertorier les plans de produits provisionnés | Liste | |||
| ListProvisioningArtifacts | Accorde l'autorisation de répertorier les artefacts de provisionnement associés à un produit donné | Liste | |||
| ListProvisioningArtifactsForServiceAction | Accorde l'autorisation de répertorier tous les artefacts de provisionnement pour l'action en libre-service spécifiée | Liste | |||
| ListRecordHistory | Accorde l'autorisation de répertorier tous les enregistrements de votre compte ou tous les enregistrements liés à un produit provisionné donné | Liste | |||
| ListResourcesForTagOption | Accorde l'autorisation de répertorier les ressources associées à la ressource spécifiée TagOption | Liste | |||
| ListServiceActions | Accorde l'autorisation de répertorier toutes les actions en libre-service | Liste | |||
| ListServiceActionsForProvisioningArtifact | Accorde l'autorisation de répertorier toutes les actions de service associées à l'artefact de provisionnement spécifié dans votre compte | Liste | |||
| ListStackInstancesForProvisionedProduct | Accorde l'autorisation de répertorier le compte, la région et le statut de chaque pile d'instances associées à un produit provisionné STACKSET de type CFN _ | Liste | |||
| ListTagOptions | Accorde l'autorisation de répertorier les informations spécifiées TagOptions ou toutes TagOptions | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les balises d'une ressource appregistry de catalogue de services | Lecture | |||
| NotifyProvisionProductEngineWorkflowResult | Accorde l'autorisation de notifier le résultat de l'exécution du moteur de provisionnement | Écrire | |||
| NotifyTerminateProvisionedProductEngineWorkflowResult | Accorde l'autorisation de notifier le résultat de l'exécution du moteur de terminaison | Écrire | |||
| NotifyUpdateProvisionedProductEngineWorkflowResult | Accorde l'autorisation de notifier le résultat de l'exécution du moteur de mise à jour | Écrire | |||
| ProvisionProduct | Accorde l'autorisation de provisionner un produit avec un artefact de provisionnement spécifié et des paramètres de lancement | Écrire | |||
| PutConfiguration | Accorde l'autorisation d'attribuer des AppRegistry configurations | Écrire | |||
| PutResourcePolicy [autorisation uniquement] | Accorde l'autorisation d'ajouter une politique basée sur les ressources pour la ressource spécifiée | Écrire | |||
| RejectPortfolioShare | Accorde l'autorisation de rejeter un portefeuille qui a été partagé avec vous et que vous avez précédemment accepté | Écriture | |||
| ScanProvisionedProducts | Accorde l'autorisation de répertorier tous les produits provisionnés dans votre compte | Liste | |||
| SearchProducts | Accorde l'autorisation de mettre en vente les produits mis à votre disposition en tant qu'utilisateur final | Liste | |||
| SearchProductsAsAdmin | Accorde l'autorisation de répertorier tous les produits de votre compte ou tous les produits associés à un portefeuille donné | Liste | |||
| SearchProvisionedProducts | Accorde l'autorisation de répertorier tous les produits provisionnés dans votre compte | Liste | |||
| SyncResource | Accorde l'autorisation de synchroniser une ressource avec son état actuel dans AppRegistry | Écrire |
cloudformation:UpdateStack |
||
| TagResource | Accorde l'autorisation de baliser une ressource appregistry de catalogue de service | Balisage | |||
| TerminateProvisionedProduct | Accorde l'autorisation de résilier un produit provisionné existant | Écriture | |||
| UntagResource | Accorde l'autorisation de supprimer une balise d'une ressource appregistry de catalogue de service | Balisage | |||
| UpdateApplication | Accorde l'autorisation de mettre à jour les attributs d'une application existante | Écriture |
iam:CreateServiceLinkedRole |
||
| UpdateAttributeGroup | Accorde l'autorisation de mettre à jour les attributs d'un groupe d'attributs existant | Écriture | |||
| UpdateConstraint | Accorde l'autorisation de mettre à jour les champs de métadonnées d'une contrainte existante | Écriture | |||
| UpdatePortfolio | Accorde l'autorisation de mettre à jour les champs de métadonnées et/ou les balises d'un portefeuille existant | Écriture | |||
| UpdatePortfolioShare | Accorde l'autorisation d'activer ou de désactiver le partage de ressources pour un partage de portefeuille existant | Gestion des autorisations | |||
| UpdateProduct | Accorde l'autorisation de mettre à jour les champs de métadonnées et/ou les balises d'un produit existant | Écriture | |||
| UpdateProvisionedProduct | Accorde l'autorisation de mettre à jour un produit provisionné existant | Écriture | |||
| UpdateProvisionedProductProperties | Accorde l'autorisation de mettre à jour les propriétés d'un produit provisionné existant | Écriture | |||
| UpdateProvisioningArtifact | Accorde l'autorisation de mettre à jour les champs de métadonnées d'un artefact de provisionnement existant | Écriture | |||
| UpdateServiceAction | Accorde l'autorisation de mettre à jour une action en libre-service | Écrire | |||
| UpdateTagOption | Accorde l'autorisation de mettre à jour le paramètre spécifié TagOption | Écrire |
Types de ressources définis par AWS Service Catalog
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| Application |
arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}
|
|
| AttributeGroup |
arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}
|
|
| Portfolio |
arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}
|
|
| Product |
arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}
|
Clés de condition pour AWS Service Catalog
AWS Service Catalog définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
Note
Pour des exemples de politiques qui montrent comment ces clés de condition peuvent être utilisées dans une IAM politique, consultez les exemples de politiques d'accès pour la gestion des produits provisionnés dans le Guide de l'administrateur du Service Catalog.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la présence de paires clé-valeur d'identification dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource. | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de la présence de clés d'identification dans la demande | ArrayOfString |
| servicecatalog:Resource | Filtre l'accès en contrôlant la valeur qui peut être spécifiée comme paramètre Resource dans une ressource AppRegistry associée API | Chaîne |
| servicecatalog:ResourceType | Filtre l'accès en contrôlant la valeur qui peut être spécifiée comme ResourceType paramètre dans une ressource AppRegistry associée API | Chaîne |
| servicecatalog:accountLevel | Filtre l'accès par utilisateur pour afficher et effectuer des actions sur les ressources créées par n'importe quel utilisateur du compte | Chaîne |
| servicecatalog:roleLevel | Filtre l'accès par utilisateur pour afficher et effectuer des actions sur les ressources créées par eux ou n'importe quel utilisateur endossant le même rôle qu'eux | Chaîne |
| servicecatalog:userLevel | Filtre l'accès par utilisateur pour afficher et effectuer des actions uniquement sur les ressources qu'ils ont créées | Chaîne |
