As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição do AWS Service Catalog
AWS O Service Catalog (prefixo do serviço:servicecatalog) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em IAM políticas de permissão.
Referências:
-
Saiba como configurar este serviço.
-
Veja uma lista das APIoperações disponíveis para esse serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de IAM permissão.
Tópicos
Ações definidas pelo AWS Service Catalog
Você pode especificar as seguintes ações no Action elemento de uma declaração de IAM política. Use políticas para conceder permissões para executar uma operação na AWS. Quando você usa uma ação em uma política, geralmente permite ou nega acesso à API operação ou ao CLI comando com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o Resource elemento em uma IAM política, deverá incluir um padrão ARN ou para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| AcceptPortfolioShare | Concede permissão para aceitar um portfólio que foi compartilhado com você | Write | |||
| AssociateAttributeGroup | Concede permissão para associar um grupo de atributos a uma aplicação | Write | |||
| AssociateBudgetWithResource | Concede permissão para associar um orçamento a um recurso | Escrever | |||
| AssociatePrincipalWithPortfolio | Concede permissão para associar um IAM diretor a um portfólio, dando ao principal especificado acesso a quaisquer produtos associados ao portfólio especificado | Escrever | |||
| AssociateProductWithPortfolio | Concede permissão para associar um produto a um portfólio | Write | |||
| AssociateResource | Concede permissão para associar um recurso a uma aplicação | Write |
cloudformation:DescribeStacks resource-groups:CreateGroup resource-groups:GetGroup resource-groups:Tag |
||
| AssociateServiceActionWithProvisioningArtifact | Concede permissão para associar uma ação a um artefato de provisionamento | Escrever | |||
| AssociateTagOptionWithResource | Concede permissão para associar o especificado TagOption ao portfólio ou produto especificado | Escrever | |||
| BatchAssociateServiceActionWithProvisioningArtifact | Concede permissão para associar várias ações de autoatendimento a artefatos de provisionamento | Write | |||
| BatchDisassociateServiceActionFromProvisioningArtifact | Concede permissão para desassociar um lote de ações de autoatendimento do artefato de provisionamento especificado | Write | |||
| CopyProduct | Concede permissão para copiar o produto de origem especificado no produto de destino especificado ou em um novo produto | Write | |||
| CreateApplication | Concede permissão para criar um aplicativo | Write |
iam:CreateServiceLinkedRole |
||
| CreateAttributeGroup | Concede permissão para criar um grupo de atributos | Write | |||
| CreateConstraint | Concede permissão para criar uma restrição em um produto e um portfólio associados | Write | |||
| CreatePortfolio | Concede permissão para criar um portfólio | Escrever | |||
| CreatePortfolioShare | Concede permissão para compartilhar um portfólio que você possui com outra pessoa Conta da AWS | Gerenciamento de permissões | |||
| CreateProduct | Concede permissão para criar um produto e o primeiro artefato de provisionamento desse produto | Write | |||
| CreateProvisionedProductPlan | Concede permissão para adicionar um novo plano de produto provisionado | Write | |||
| CreateProvisioningArtifact | Concede permissão para adicionar um novo artefato de provisionamento a um produto existente | Write | |||
| CreateServiceAction | Concede permissão para criar uma ação de autoatendimento | Escrever | |||
| CreateTagOption | Concede permissão para criar um TagOption | Escrever | |||
| DeleteApplication | Concede permissão para excluir uma aplicação se todas as associações tiverem sido removidas da aplicação | Write | |||
| DeleteAttributeGroup | Concede permissão para excluir um grupo de atributos se todas as associações tiverem sido removidas do grupo de atributos | Write | |||
| DeleteConstraint | Concede permissão para remover e excluir uma restrição existente de um produto e um portfólio associados | Write | |||
| DeletePortfolio | Concede permissão para excluir um portfólio se todas as associações e os compartilhamentos tiverem sido removidos do portfólio | Escrever | |||
| DeletePortfolioShare | Concede permissão para cancelar o compartilhamento de um portfólio que você possui e com o Conta da AWS qual você compartilhou o portfólio anteriormente | Gerenciamento de permissões | |||
| DeleteProduct | Concede permissão para excluir um produto se todas as associações tiverem sido removidas do produto | Write | |||
| DeleteProvisionedProductPlan | Concede permissão para excluir um plano de produto provisionado | Write | |||
| DeleteProvisioningArtifact | Concede permissão para excluir um artefato de provisionamento de um produto | Escrever | |||
| DeleteResourcePolicy [somente permissão] | Concede permissão para excluir uma política baseada em recursos para o recurso especificado | Escrever | |||
| DeleteServiceAction | Concede permissão para excluir uma ação de autoatendimento | Escrever | |||
| DeleteTagOption | Concede permissão para excluir o especificado TagOption | Escrever | |||
| DescribeConstraint | Concede permissão para descrever uma restrição | Read | |||
| DescribeCopyProductStatus | Concede permissão para obter o status da operação de cópia especificada do produto | Read | |||
| DescribePortfolio | Concede permissão para descrever um portfólio | Read | |||
| DescribePortfolioShareStatus | Concede permissão para obter o status da operação de compartilhamento de portfólio especificada | Read | |||
| DescribePortfolioShares | Concede permissão para exibir um resumo de cada um dos compartilhamentos do portfólio que foram criados para o portfólio especificado | List | |||
| DescribeProduct | Concede permissão para descrever um produto como um usuário final | Read | |||
| DescribeProductAsAdmin | Concede permissão para descrever um produto como administrador | Read | |||
| DescribeProductView | Concede permissão para descrever um produto como um usuário final | Read | |||
| DescribeProvisionedProduct | Concede permissão para descrever um produto provisionado | Read | |||
| DescribeProvisionedProductPlan | Concede permissão para descrever um plano de produto provisionado | Read | |||
| DescribeProvisioningArtifact | Concede permissão para descrever um artefato de provisionamento | Read | |||
| DescribeProvisioningParameters | Concede permissão para descrever os parâmetros que você precisa especificar para provisionar um artefato de provisionamento especificado com êxito | Read | |||
| DescribeRecord | Concede permissão para descrever um registro e lista todas as saídas | Read | |||
| DescribeServiceAction | Concede permissão para descrever uma ação de autoatendimento | Read | |||
| DescribeServiceActionExecutionParameters | Concede permissão para obter os parâmetros padrão se você executou a ação de serviço especificada no produto provisionado especificado | Leitura | |||
| DescribeTagOption | Concede permissão para obter informações sobre o especificado TagOption | Leitura | |||
| DisableAWSOrganizationsAccess | Concede permissão para desativar o compartilhamento de portfólio por meio do recurso AWS Organizations | Escrever | |||
| DisassociateAttributeGroup | Concede permissão para desassociar um grupo de atributos de uma aplicação | Write | |||
| DisassociateBudgetFromResource | Concede permissão para desassociar um orçamento de um recurso | Escrever | |||
| DisassociatePrincipalFromPortfolio | Concede permissão para desassociar um IAM diretor de um portfólio | Escrever | |||
| DisassociateProductFromPortfolio | Concede permissão para desassociar um produto de um portfólio | Write | |||
| DisassociateResource | Concede permissão para desassociar um recurso de uma aplicação | Write |
resource-groups:DeleteGroup |
||
| DisassociateServiceActionFromProvisioningArtifact | Concede permissão para desassociar a associação da ação de autoatendimento especificada do artefato de provisionamento especificado | Escrever | |||
| DisassociateTagOptionFromResource | Concede permissão para desassociar o recurso especificado TagOption do especificado | Escrever | |||
| EnableAWSOrganizationsAccess | Concede permissão para ativar o recurso de compartilhamento de portfólio por meio de AWS Organizations | Escrever | |||
| ExecuteProvisionedProductPlan | Concede permissão para executar um plano de produto provisionado | Write | |||
| ExecuteProvisionedProductServiceAction | Concede permissão para executar um plano de produto provisionado | Escrever | |||
| GetAWSOrganizationsAccessStatus | Concede permissão para obter o status de acesso do recurso de compartilhamento do portfólio da AWS organização | Leitura | |||
| GetApplication | Concede permissão para obter uma aplicação | Read | |||
| GetAssociatedResource | Concede permissão para obter informações sobre um recurso associado a uma aplicação | Read | |||
| GetAttributeGroup | Concede permissão para obter um grupo de atributos | Leitura | |||
| GetConfiguration | Concede permissão para ler AppRegistry configurações | Leitura | |||
| GetProvisionedProductOutputs | Concede permissão para obter a saída do produto provisionado com o ID ou nome do produto provisionado | Leitura | |||
| GetResourcePolicy [somente permissão] | Concede permissão para obter uma política baseada em recursos para o recurso especificado | Leitura | |||
| ImportAsProvisionedProduct | Concede permissão para importar um recurso para um produto provisionado | Write | |||
| ListAcceptedPortfolioShares | Concede permissão para listar os portfólios que foram compartilhados com você e foram aceitos | Listar | |||
| ListApplications | Concede permissão para listar suas aplicações | Listar | |||
| ListAssociatedAttributeGroups | Concede permissão para listar os grupos de atributos associados a uma aplicação | List | |||
| ListAssociatedResources | Concede permissão para listar os recursos associados a uma aplicação | Listar | |||
| ListAttributeGroups | Concede permissão para listar seus grupos de atributos | Listar | |||
| ListAttributeGroupsForApplication | Concede permissão para listar os grupos de atributos associados a uma determinada aplicação | Listar | |||
| ListBudgetsForResource | Concede permissão para listar todos os orçamentos associados a um recurso | List | |||
| ListConstraintsForPortfolio | Concede permissão para listar as restrições associadas a determinado portfólio | List | |||
| ListLaunchPaths | Concede permissão para listar as diferentes maneiras de lançar determinado produto como um usuário final | List | |||
| ListOrganizationPortfolioAccess | Concede permissão para listar os nós da organização que têm acesso ao portfólio especificado | Listar | |||
| ListPortfolioAccess | Concede permissão para listar as AWS contas com as quais você compartilhou um determinado portfólio | Listar | |||
| ListPortfolios | Concede permissão para listar os portfólios na conta | List | |||
| ListPortfoliosForProduct | Concede permissão para listar os portfólios associados a determinado produto | Listar | |||
| ListPrincipalsForPortfolio | Concede permissão para listar IAM os diretores associados a um determinado portfólio | Listar | |||
| ListProvisionedProductPlans | Concede permissão para listar os planos de produtos provisionados | List | |||
| ListProvisioningArtifacts | Concede permissão para listar os artefatos de provisionamento associados a determinado produto | List | |||
| ListProvisioningArtifactsForServiceAction | Concede permissão para listar todos os artefatos de provisionamento para a ação de autoatendimento especificada | List | |||
| ListRecordHistory | Concede permissão para listar todos os registros na conta ou todos os registros relacionados a determinado produto provisionado | Listar | |||
| ListResourcesForTagOption | Concede permissão para listar os recursos associados ao especificado TagOption | Listar | |||
| ListServiceActions | Concede permissão para listar todas as ações de autoatendimento | List | |||
| ListServiceActionsForProvisioningArtifact | Concede permissão para listar todas as ações de serviço associadas ao artefato de provisionamento especificado na conta | Listar | |||
| ListStackInstancesForProvisionedProduct | Concede permissão para listar a conta, a região e o status de cada instância de pilha associada a um produto provisionado do STACKSET tipo CFN _ | Listar | |||
| ListTagOptions | Concede permissão para listar o especificado TagOptions ou todos TagOptions | Listar | |||
| ListTagsForResource | Concede permissão para listar as etiquetas de um recurso do AppRegistry do catálogo de serviços | Leitura | |||
| NotifyProvisionProductEngineWorkflowResult | Concede permissão para notificar o resultado da execução do mecanismo de provisionamento | Escrever | |||
| NotifyTerminateProvisionedProductEngineWorkflowResult | Concede permissão para notificar o resultado da execução do mecanismo de término | Escrever | |||
| NotifyUpdateProvisionedProductEngineWorkflowResult | Concede permissão para notificar o resultado da execução do mecanismo de atualização | Escrever | |||
| ProvisionProduct | Concede permissão para provisionar um produto com um artefato de provisionamento e parâmetros de execução especificados | Escrever | |||
| PutConfiguration | Concede permissão para atribuir AppRegistry configurações | Escrever | |||
| PutResourcePolicy [somente permissão] | Concede permissão para adicionar uma política baseada em recursos para o recurso especificado | Escrever | |||
| RejectPortfolioShare | Concede permissão para rejeitar um portfólio que foi compartilhado com você e que foi aceito anteriormente | Write | |||
| ScanProvisionedProducts | Concede permissão para listar todos os produtos provisionados na conta | List | |||
| SearchProducts | Concede permissão para listar os produtos disponíveis para você como usuário final | List | |||
| SearchProductsAsAdmin | Concede permissão para listar todos os produtos na conta ou todos os produtos associados a determinado portfólio | List | |||
| SearchProvisionedProducts | Concede permissão para listar todos os produtos provisionados na conta | Listar | |||
| SyncResource | Concede permissão para sincronizar um recurso com seu estado atual no AppRegistry | Escrever |
cloudformation:UpdateStack |
||
| TagResource | Concede permissão para marcar um recurso do AppRegistry do catálogo de serviços | Marcação | |||
| TerminateProvisionedProduct | Concede permissão para encerrar um produto provisionado existente | Write | |||
| UntagResource | Concede permissão para remover uma etiqueta de um recurso do AppRegistry do catálogo de serviços | Marcação | |||
| UpdateApplication | Concede permissão para atualizar os atributos de uma aplicação existente | Write |
iam:CreateServiceLinkedRole |
||
| UpdateAttributeGroup | Concede permissão para atualizar os atributos de um grupo de atributos existente | Write | |||
| UpdateConstraint | Concede permissão para atualizar os campos de metadados de uma restrição existente | Write | |||
| UpdatePortfolio | Concede permissão para atualizar os campos de metadados e/ou as etiquetas de um portfólio existente | Write | |||
| UpdatePortfolioShare | Concede permissão para ativar ou desativar o compartilhamento de recursos para um compartilhamento de portfólio existente | Permissions management | |||
| UpdateProduct | Concede permissão para atualizar os campos de metadados e/ou as etiquetas de um produto existente | Write | |||
| UpdateProvisionedProduct | Concede permissão para atualizar um produto provisionado existente | Write | |||
| UpdateProvisionedProductProperties | Concede permissão para atualizar as propriedades de um produto provisionado existente | Write | |||
| UpdateProvisioningArtifact | Concede permissão para atualizar os campos de metadados de um artefato de provisionamento existente | Write | |||
| UpdateServiceAction | Concede permissão para atualizar uma ação de autoatendimento | Escrever | |||
| UpdateTagOption | Concede permissão para atualizar o especificado TagOption | Escrever |
Tipos de recursos definidos pelo AWS Service Catalog
Os tipos de recursos a seguir são definidos por esse serviço e podem ser usados no Resource elemento das declarações de política de IAM permissão. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| Application |
arn:${Partition}:servicecatalog:${Region}:${Account}:/applications/${ApplicationId}
|
|
| AttributeGroup |
arn:${Partition}:servicecatalog:${Region}:${Account}:/attribute-groups/${AttributeGroupId}
|
|
| Portfolio |
arn:${Partition}:catalog:${Region}:${Account}:portfolio/${PortfolioId}
|
|
| Product |
arn:${Partition}:catalog:${Region}:${Account}:product/${ProductId}
|
Chaves de condição do AWS Service Catalog
AWS O Service Catalog define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma IAM política. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para ver as chaves de condição globais que estão disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
nota
Por exemplo, políticas que mostram como essas chaves de condição podem ser usadas em uma IAM política, consulte Example Access Policies for Provisioned Product Management no Service Catalog Administrator Guide.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra acesso pela presença de pares de chave-valor da etiqueta na solicitação | String |
| aws:ResourceTag/${TagKey} | Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso | String |
| aws:TagKeys | Filtra ações pela presença de chaves da etiqueta na solicitação | ArrayOfString |
| servicecatalog:Resource | Filtra o acesso controlando qual valor pode ser especificado como o parâmetro Resource em um recurso AppRegistry associado API | String |
| servicecatalog:ResourceType | Filtra o acesso controlando qual valor pode ser especificado como ResourceType parâmetro em um recurso AppRegistry associado API | String |
| servicecatalog:accountLevel | Filtra o acesso pelo usuário que pode ver e executar ações em recursos criados por qualquer pessoa na conta | String |
| servicecatalog:roleLevel | Filtra o acesso pelo usuário que pode ver e executar ações em recursos criados por eles ou por qualquer pessoa federada na mesma função que eles | String |
| servicecatalog:userLevel | Filtra o acesso pelo usuário que podem ver e executar ações apenas em recursos que criaram | String |
