Ações, recursos e chaves de condição do AWS Proton
O AWS Proton (prefixo de serviço: proton) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo AWS Proton
Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| AcceptEnvironmentAccountConnection | Concede permissão para rejeitar uma solicitação de conexão de conta de ambiente de outra conta de ambiente | Escrever | |||
| CancelComponentDeployment | Concede permissão para cancelar a implantação do componente | Escrever | |||
| CancelEnvironmentDeployment | Concede permissão para cancelar uma implantação de ambiente | Write | |||
| CancelServiceInstanceDeployment | Concede permissão para cancelar uma implantação de instância de serviço | Write | |||
| CancelServicePipelineDeployment | Concede permissão para cancelar uma implantação de pipeline de serviço | Escrever | |||
| CreateComponent | Concede permissão para criar um componente | Escrever | |||
| CreateEnvironment | Concede permissão para criar um ambiente | Write |
iam:PassRole |
||
| CreateEnvironmentAccountConnection | Concede permissão para criar uma conexão de conta de ambiente | Write | |||
| CreateEnvironmentTemplate | Concede permissão para criar um modelo de ambiente | Escrever | |||
| CreateEnvironmentTemplateMajorVersion | Concede permissão para criar uma versão principal do modelo de ambiente. DEFASADO: em vez disso, use CreateEnvironmentTemplateVersion | Escrever | |||
| CreateEnvironmentTemplateMinorVersion | Concede permissão para criar uma versão secundária de modelo de ambiente. DEFASADO: em vez disso, use CreateEnvironmentTemplateVersion | Write | |||
| CreateEnvironmentTemplateVersion | Concede permissão para criar uma versão de modelo de ambiente | Escrever | |||
| CreateRepository | Concede permissão para criar um repositório | Escrever | |||
| CreateService | Concede permissão para criar um serviço | Escrever |
codestar-connections:PassConnection |
||
| CreateServiceInstance | Concede permissão para criar uma instância de serviço | Escrever | |||
| CreateServiceSyncConfig | Concede permissão para criar uma configuração de sincronização de serviço | Escrever | |||
| CreateServiceTemplate | Concede permissão para criar um modelo de serviço | Escrever | |||
| CreateServiceTemplateMajorVersion | Concede permissão para criar uma versão principal do modelo de serviço. DEFASADO: em vez disso, use CreateServiceTemplateVersion | Escrever | |||
| CreateServiceTemplateMinorVersion | Concede permissão para criar uma versão secundária do modelo de serviço. DEFASADO: em vez disso, use CreateServiceTemplateVersion | Write | |||
| CreateServiceTemplateVersion | Concede permissão para criar uma versão de modelo de serviço | Escrever | |||
| CreateTemplateSyncConfig | Concede permissão para criar um modelo sync config | Escrever | |||
| DeleteAccountRoles | Concede permissão para excluir funções da conta. DEFASADO: em vez disso, use UpdateAccountSettings | Escrever | |||
| DeleteComponent | Concede permissão para excluir um componente | Escrever | |||
| DeleteDeployment | Concede permissão para excluir uma implantação | Escrever | |||
| DeleteEnvironment | Concede permissão para excluir um ambiente | Write | |||
| DeleteEnvironmentAccountConnection | Concede permissão para excluir uma conexão de conta de ambiente | Write | |||
| DeleteEnvironmentTemplate | Concede permissão para excluir um modelo de ambiente | Escrever | |||
| DeleteEnvironmentTemplateMajorVersion | Concede permissão para excluir uma versão principal do modelo de ambiente. DEFASADO: em vez disso, use DeleteEnvironmentTemplateVersion | Escrever | |||
| DeleteEnvironmentTemplateMinorVersion | Concede permissão para excluir uma versão secundária do modelo de ambiente. DEFASADO: em vez disso, use DeleteEnvironmentTemplateVersion | Write | |||
| DeleteEnvironmentTemplateVersion | Concede permissão para excluir uma versão de modelo de ambiente | Escrever | |||
| DeleteRepository | Concede permissão para excluir um repositório | Escrever | |||
| DeleteService | Concede permissão para excluir um serviço | Escrever | |||
| DeleteServiceSyncConfig | Concede permissão para excluir uma configuração de sincronização de serviço | Escrever | |||
| DeleteServiceTemplate | Concede permissão para excluir um modelo de serviço | Escrever | |||
| DeleteServiceTemplateMajorVersion | Concede permissão para excluir uma versão principal do modelo de serviço. DEFASADO: em vez disso, use DeleteServiceTemplateVersion | Escrever | |||
| DeleteServiceTemplateMinorVersion | Concede permissão para excluir uma versão secundária do modelo de serviço. DEFASADO: em vez disso, use DeleteServiceTemplateVersion | Write | |||
| DeleteServiceTemplateVersion | Concede permissão para excluir uma versão de modelo de serviço | Escrever | |||
| DeleteTemplateSyncConfig | Concede permissão para excluir um TemplateSyncConfig | Escrever | |||
| GetAccountRoles | Concede permissão para obter funções da conta. DEFASADO: em vez disso, use GetAccountSettings | Read | |||
| GetAccountSettings | Concede permissão para descrever as configurações da conta | Leitura | |||
| GetComponent | Concede permissão para descrever um componente | Leitura | |||
| GetDeployment | Concede permissão para descrever uma implantação | Leitura | |||
| GetEnvironment | Concede permissão para descrever um ambiente | Read | |||
| GetEnvironmentAccountConnection | Concede permissão para descrever uma conexão de conta de ambiente | Read | |||
| GetEnvironmentTemplate | Concede permissão para descrever um modelo de ambiente | Leitura | |||
| GetEnvironmentTemplateMajorVersion | Concede permissão para obter uma versão principal do modelo de ambiente. DEFASADO: em vez disso, use GetEnvironmentTemplateVersion | Leitura | |||
| GetEnvironmentTemplateMinorVersion | Concede permissão para obter uma versão secundária de modelo de ambiente. DEFASADO: em vez disso, use GetEnvironmentTemplateVersion | Read | |||
| GetEnvironmentTemplateVersion | Concede permissão para descrever uma versão de modelo de ambiente | Leitura | |||
| GetRepository | Concede permissão para descrever um repositório | Leitura | |||
| GetRepositorySyncStatus | Concede permissão para obter o status de sincronização mais recente de um repositório | Leitura | |||
| GetResourceTemplateVersionStatusCounts | Concede permissão para listar contagens de status de versão de modelo de recurso | Leitura | |||
| GetResourcesSummary | Concede permissão para obter um resumo de recursos | Leitura | |||
| GetService | Concede permissão para descrever um serviço | Read | |||
| GetServiceInstance | Concede permissão para descrever uma instância de serviço | Leitura | |||
| GetServiceInstanceSyncStatus | Concede permissão para descrever o status de sincronização de uma instância de serviço | Leitura | |||
| GetServiceSyncBlockerSummary | Concede permissão para descrever bloqueadores de sincronização de serviços de um serviço ou instância de serviço | Leitura | |||
| GetServiceSyncConfig | Concede permissão para descrever uma configuração de sincronização de serviço | Leitura | |||
| GetServiceTemplate | Concede permissão para descrever um modelo de serviço | Leitura | |||
| GetServiceTemplateMajorVersion | Concede permissão para obter uma versão principal do modelo de serviço. DEFASADO: em vez disso, use GetServiceTemplateVersion | Leitura | |||
| GetServiceTemplateMinorVersion | Concede permissão para obter uma versão secundária do modelo de serviço. DEFASADO: em vez disso, use GetServiceTemplateVersion | Read | |||
| GetServiceTemplateVersion | Concede permissão para descrever uma versão de modelo de serviço | Leitura | |||
| GetTemplateSyncConfig | Concede permissão para descrever um TemplateSyncConfig | Leitura | |||
| GetTemplateSyncStatus | Concede permissão para descrever o status de sincronização de um modelo | Leitura | |||
| ListComponentOutputs | Concede permissão para listar saídas de componente | Listar | |||
| ListComponentProvisionedResources | Concede permissão para listar os recursos provisionados do componente | Listar | |||
| ListComponents | Concede permissão para listar componentes | Listar | |||
| ListDeployments | Concede permissão para listar implantações | Listar | |||
| ListEnvironmentAccountConnections | Concede permissão para listar conexões de conta de ambiente | Listar | |||
| ListEnvironmentOutputs | Concede permissão para listar as saídas do ambiente | Listar | |||
| ListEnvironmentProvisionedResources | Concede permissão para listar os recursos provisionados do ambiente | Listar | |||
| ListEnvironmentTemplateMajorVersions | Concede permissão para listar versões principais do modelo de ambiente. DEFASADO: em vez disso, use ListEnvironmentTemplateVersions | Listar | |||
| ListEnvironmentTemplateMinorVersions | Concede permissão para listar versões secundárias de um modelo de ambiente. DEFASADO: em vez disso, use ListEnvironmentTemplateVersions | List | |||
| ListEnvironmentTemplateVersions | Concede permissão para listar versões de modelos de ambiente | List | |||
| ListEnvironmentTemplates | Concede permissão para listar modelos de ambiente | List | |||
| ListEnvironments | Concede permissão para listar ambientes | Listar | |||
| ListRepositories | Concede permissão para listar repositórios | Listar | |||
| ListRepositorySyncDefinitions | Concede permissão para listar definições de sincronização do repositório | Listar | |||
| ListServiceInstanceOutputs | Concede permissão para listar as saídas das instâncias de serviço | Listar | |||
| ListServiceInstanceProvisionedResources | Concede permissão para listar os recursos provisionados da instância | Listar | |||
| ListServiceInstances | Concede permissão para listar instâncias de serviço | Listar | |||
| ListServicePipelineOutputs | Concede permissão para listar as saídas do pipeline de serviço | Listar | |||
| ListServicePipelineProvisionedResources | Concede permissão para listar os recursos provisionados do pipeline | Listar | |||
| ListServiceTemplateMajorVersions | Concede permissão para listar as principais versões do modelo de serviço. DEFASADO: em vez disso, use ListServiceTemplateVersions | Listar | |||
| ListServiceTemplateMinorVersions | Concede permissão para listar versões secundárias do modelo de serviço. DEFASADO: em vez disso, use ListServiceTemplateVersions | List | |||
| ListServiceTemplateVersions | Concede permissão para listar versões de modelos de serviço | List | |||
| ListServiceTemplates | Concede permissão para listar modelos de serviço | List | |||
| ListServices | Concede permissão para listar serviços | Listar | |||
| ListTagsForResource | Concede permissão para listar etiquetas de um recurso | Leitura | |||
| NotifyResourceDeploymentStatusChange | Concede permissão para notificar o Proton sobre alterações de status de implantação de recursos | Escrever | |||
| RejectEnvironmentAccountConnection | Concede permissão para rejeitar uma solicitação de conexão de conta de ambiente de outra conta de ambiente | Escrever | |||
| TagResource | Concede permissão para adicionar tags a um recurso | Marcação | |||
| UntagResource | Concede permissão para remover etiquetas de um recurso | Tags | |||
| UpdateAccountRoles | Concede permissão para atualizar as funções da conta. DEFASADO: em vez disso, use UpdateAccountSettings | Write |
iam:PassRole |
||
| UpdateAccountSettings | Concede permissão para atualizar as configurações da conta | Escrever |
iam:PassRole |
||
| UpdateComponent | Concede permissão para atualizar um componente | Escrever | |||
| UpdateEnvironment | Concede permissão para atualizar um ambiente | Write |
iam:PassRole |
||
| UpdateEnvironmentAccountConnection | Concede permissão para atualizar uma conexão de conta de ambiente | Write | |||
| UpdateEnvironmentTemplate | Concede permissão para atualizar um modelo de ambiente | Escrever | |||
| UpdateEnvironmentTemplateMajorVersion | Concede permissão para atualizar uma versão principal do modelo de ambiente. DEFASADO: em vez disso, use UpdateEnvironmentTemplateVersion | Escrever | |||
| UpdateEnvironmentTemplateMinorVersion | Concede permissão para atualizar uma versão secundária do modelo de ambiente. DEFASADO: em vez disso, use UpdateEnvironmentTemplateVersion | Write | |||
| UpdateEnvironmentTemplateVersion | Concede permissão para atualizar uma versão de modelo de ambiente | Write | |||
| UpdateService | Concede permissão para atualizar um serviço | Write | |||
| UpdateServiceInstance | Concede permissão para atualizar uma instância de serviço | Write | |||
| UpdateServicePipeline | Concede permissão para atualizar um pipeline de serviço | Escrever | |||
| UpdateServiceSyncBlocker | Concede permissão para atualizar um bloqueador de sincronização de serviço | Escrever | |||
| UpdateServiceSyncConfig | Concede permissão para atualizar uma configuração de sincronização de serviço | Escrever | |||
| UpdateServiceTemplate | Concede permissão para atualizar um modelo de serviço | Escrever | |||
| UpdateServiceTemplateMajorVersion | Concede permissão para atualizar uma versão principal do modelo de serviço. DEFASADO: em vez disso, use UpdateServiceTemplateVersion | Escrever | |||
| UpdateServiceTemplateMinorVersion | Concede permissão para criar uma versão secundária do modelo de serviço. DEFASADO: em vez disso, use UpdateServiceTemplateVersion | Write | |||
| UpdateServiceTemplateVersion | Concede permissão para atualizar uma versão de modelo de serviço | Escrever | |||
| UpdateTemplateSyncConfig | Concede permissão para atualizar um TemplateSyncConfig | Escrever |
Tipos de recursos definidos pelo AWS Proton
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| environment-template |
arn:${Partition}:proton:${Region}:${Account}:environment-template/${Name}
|
|
| environment-template-version |
arn:${Partition}:proton:${Region}:${Account}:environment-template/${TemplateName}:${MajorVersion}.${MinorVersion}
|
|
| environment-template-major-version |
arn:${Partition}:proton:${Region}:${Account}:environment-template/${TemplateName}:${MajorVersionId}
|
|
| environment-template-minor-version |
arn:${Partition}:proton:${Region}:${Account}:environment-template/${TemplateName}:${MajorVersionId}.${MinorVersionId}
|
|
| service-template |
arn:${Partition}:proton:${Region}:${Account}:service-template/${Name}
|
|
| service-template-version |
arn:${Partition}:proton:${Region}:${Account}:service-template/${TemplateName}:${MajorVersion}.${MinorVersion}
|
|
| service-template-major-version |
arn:${Partition}:proton:${Region}:${Account}:service-template/${TemplateName}:${MajorVersionId}
|
|
| service-template-minor-version |
arn:${Partition}:proton:${Region}:${Account}:service-template/${TemplateName}:${MajorVersionId}.${MinorVersionId}
|
|
| environment |
arn:${Partition}:proton:${Region}:${Account}:environment/${Name}
|
|
| service |
arn:${Partition}:proton:${Region}:${Account}:service/${Name}
|
|
| service-instance |
arn:${Partition}:proton:${Region}:${Account}:service/${ServiceName}/service-instance/${Name}
|
|
| environment-account-connection |
arn:${Partition}:proton:${Region}:${Account}:environment-account-connection/${Id}
|
|
| repository |
arn:${Partition}:proton:${Region}:${Account}:repository/${Provider}:${Name}
|
|
| component |
arn:${Partition}:proton:${Region}:${Account}:component/${Id}
|
|
| deployment |
arn:${Partition}:proton:${Region}:${Account}:deployment/${Id}
|
Chaves de condição do AWS Proton
O AWS Proton define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra o acesso por pares de chave-valor da etiqueta na solicitação | String |
| aws:ResourceTag/${TagKey} | Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso | String |
| aws:TagKeys | Filtra o acesso pelas chaves da etiqueta na solicitação | ArrayOfString |
| proton:EnvironmentTemplate | Filtra o acesso por um modelo de ambiente especificado relacionado a um recurso | String |
| proton:ServiceTemplate | Filtra o acesso por um modelo de serviço especificado relacionado a um recurso | String |
