AWS Deadline Cloud 的操作、资源和条件键 - 服务授权参考

AWS Deadline Cloud 的操作、资源和条件键

AWS Deadline Cloud(服务前缀:deadline)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS Deadline Cloud 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AssociateMemberToFarm 授予权限以将成员与场关联 权限管理

farm*

identitystore:DescribeGroup

identitystore:DescribeUser

identitystore:ListGroupMembershipsForMember

deadline:AssociatedMembershipLevel

deadline:MembershipLevel

AssociateMemberToFleet 授予权限以将成员与实例集关联 权限管理

fleet*

identitystore:DescribeGroup

identitystore:DescribeUser

identitystore:ListGroupMembershipsForMember

deadline:AssociatedMembershipLevel

deadline:MembershipLevel

AssociateMemberToJob 授予权限以将成员与作业关联 权限管理

job*

identitystore:DescribeGroup

identitystore:DescribeUser

identitystore:ListGroupMembershipsForMember

deadline:AssociatedMembershipLevel

deadline:MembershipLevel

AssociateMemberToQueue 授予权限以将成员与队列关联 权限管理

queue*

identitystore:DescribeGroup

identitystore:DescribeUser

identitystore:ListGroupMembershipsForMember

deadline:AssociatedMembershipLevel

deadline:MembershipLevel

AssumeFleetRoleForRead 授予权限以担任只读访问权限的实例集角色 写入

fleet*

identitystore:ListGroupMembershipsForMember

AssumeFleetRoleForWorker 授予权限以担任工作人员的实例集角色 写入

worker*

AssumeQueueRoleForRead 授予权限以担任只读访问权限的队列角色 写入

queue*

identitystore:ListGroupMembershipsForMember

AssumeQueueRoleForUser 授予权限以担任用户的队列角色 写入

queue*

identitystore:ListGroupMembershipsForMember

AssumeQueueRoleForWorker 授予权限以担任工作人员的队列角色 写入

queue*

worker*

BatchGetJobEntity 授予权限以获取工作人员的作业实体 读取

worker*

CopyJobTemplate 授予权限以将作业模板复制到 Amazon S3 存储桶 写入

job*

identitystore:ListGroupMembershipsForMember

s3:PutObject

CreateBudget 授予权限以创建存储桶 写入

budget*

identitystore:ListGroupMembershipsForMember

CreateFarm 授予权限以创建场 写入

farm*

deadline:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFleet 授予权限以创建机群 写入

fleet*

deadline:TagResource

iam:PassRole

identitystore:ListGroupMembershipsForMember

logs:CreateLogGroup

aws:RequestTag/${TagKey}

aws:TagKeys

CreateJob 授予权限以创建作业 写入

job*

identitystore:ListGroupMembershipsForMember

CreateLicenseEndpoint 授予权限以为授权软件或产品创建许可证端点 写入

license-endpoint*

deadline:TagResource

ec2:CreateTags

ec2:CreateVpcEndpoint

ec2:DescribeVpcEndpoints

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMonitor 授予创建监视器的权限 写入

monitor*

iam:PassRole

sso:CreateApplication

sso:DeleteApplication

sso:PutApplicationAssignmentConfiguration

sso:PutApplicationAuthenticationMethod

sso:PutApplicationGrant

CreateQueue 授予权限以创建队列 写入

queue*

deadline:TagResource

iam:PassRole

identitystore:ListGroupMembershipsForMember

logs:CreateLogGroup

s3:ListBucket

aws:RequestTag/${TagKey}

aws:TagKeys

CreateQueueEnvironment 授予权限以创建队列环境 写入

queue*

identitystore:ListGroupMembershipsForMember

CreateQueueFleetAssociation 授予权限以创建队列实例集关联 写入

fleet*

identitystore:ListGroupMembershipsForMember

queue*

CreateStorageProfile 授予权限以为场创建存储配置文件 写入

farm*

identitystore:ListGroupMembershipsForMember

CreateWorker 授予创建工件的权限 写入

worker*

DeleteBudget 授予权限以删除预算 写入

budget*

identitystore:ListGroupMembershipsForMember

DeleteFarm 授予权限以删除场 写入

farm*

identitystore:ListGroupMembershipsForMember

DeleteFleet 授予删除机群的权限 写入

fleet*

identitystore:ListGroupMembershipsForMember

DeleteLicenseEndpoint 授予权限以删除许可证端点 写入

license-endpoint*

ec2:DeleteVpcEndpoints

ec2:DescribeVpcEndpoints

DeleteMeteredProduct 授予权限以删除计量产品 写入

metered-product*

DeleteMonitor 授予删除监视器的权限 写入

monitor*

sso:DeleteApplication

DeleteQueue 授予权限以删除队列 写入

queue*

identitystore:ListGroupMembershipsForMember

DeleteQueueEnvironment 授予权限以删除队列环境 写入

queue*

identitystore:ListGroupMembershipsForMember

DeleteQueueFleetAssociation 授予权限以删除队列实例集关联 写入

fleet*

identitystore:ListGroupMembershipsForMember

queue*

DeleteStorageProfile 授予权限以删除存储配置文件 写入

farm*

identitystore:ListGroupMembershipsForMember

DeleteWorker 授予删除工件的权限 写入

worker*

DisassociateMemberFromFarm 授予权限以取消成员与场的关联 权限管理

farm*

identitystore:ListGroupMembershipsForMember

deadline:AssociatedMembershipLevel

DisassociateMemberFromFleet 授予权限以取消成员与实例集的关联 权限管理

fleet*

identitystore:ListGroupMembershipsForMember

deadline:AssociatedMembershipLevel

DisassociateMemberFromJob 授予权限以取消成员与作业的关联 权限管理

job*

identitystore:ListGroupMembershipsForMember

deadline:AssociatedMembershipLevel

DisassociateMemberFromQueue 授予权限以取消成员与队列的关联 权限管理

queue*

identitystore:ListGroupMembershipsForMember

deadline:AssociatedMembershipLevel

GetApplicationVersion 授予权限以获取应用程序的最新版本 读取

monitor*

GetBudget 授予权限以获取预算 读取

budget*

identitystore:ListGroupMembershipsForMember

GetFarm 授予权限以获取场 读取

farm*

identitystore:ListGroupMembershipsForMember

GetFleet 授予权限以获取实例集 读取

fleet*

identitystore:ListGroupMembershipsForMember

GetJob 授予权限以获取作业 读取

job*

identitystore:ListGroupMembershipsForMember

GetJobTemplate [仅权限] 授予权限以读取作业模板 写入

job*

GetLicenseEndpoint 授予权限以获取许可证端点 读取

license-endpoint*

GetMonitor 授予权限以获取监视器 读取

monitor*

GetQueue 授予权限以获取队列 读取

queue*

identitystore:ListGroupMembershipsForMember

GetQueueEnvironment 授予权限以获取队列环境详细信息 读取

queue*

identitystore:ListGroupMembershipsForMember

GetQueueFleetAssociation 授予权限以获取队列实例集关联 读取

fleet*

identitystore:ListGroupMembershipsForMember

queue*

GetSession 授予权限以获取作业的会话 读取

job*

identitystore:ListGroupMembershipsForMember

GetSessionAction 授予权限以获取作业的会话操作 读取

job*

identitystore:ListGroupMembershipsForMember

GetSessionsStatisticsAggregation 授予权限以获取会话的所有收集统计数据 读取

farm

identitystore:ListGroupMembershipsForMember

fleet

queue

GetStep 授予权限以获取作业中的步骤 读取

job*

identitystore:ListGroupMembershipsForMember

GetStorageProfile 授予权限以获取存储配置文件 读取

farm*

identitystore:ListGroupMembershipsForMember

GetStorageProfileForQueue 授予权限以获取队列的存储配置文件 读取

queue*

identitystore:ListGroupMembershipsForMember

GetTask 授予权限以获取作业任务 读取

job*

identitystore:ListGroupMembershipsForMember

GetWorker 授予获取工件的权限 读取

worker*

identitystore:ListGroupMembershipsForMember

ListAvailableMeteredProducts 授予权限以列出许可证端点中的所有可用计量产品 列出
ListBudgets 授予权限以列出场的所有预算 列出

budget*

identitystore:ListGroupMembershipsForMember

ListFarmMembers 授予权限以列出场的所有成员 列出

farm*

identitystore:ListGroupMembershipsForMember

ListFarms 授予权限以列出所有场 列出

farm*

identitystore:DescribeGroup

identitystore:DescribeUser

identitystore:ListGroupMembershipsForMember

deadline:PrincipalId

deadline:RequesterPrincipalId

ListFleetMembers 授予权限以列出实例集的所有成员 列出

fleet*

identitystore:ListGroupMembershipsForMember

ListFleets 授予列出所有机群的权限 列出

fleet*

identitystore:DescribeGroup

identitystore:DescribeUser

identitystore:ListGroupMembershipsForMember

deadline:PrincipalId

deadline:RequesterPrincipalId

ListJobMembers 授予权限以列出作业的所有成员 列出

job*

identitystore:ListGroupMembershipsForMember

ListJobParameterDefinitions 授予权限以获取作业模板中的作业参数定义 列出

job*

identitystore:ListGroupMembershipsForMember

ListJobs 授予权限以列出队列中的所有作业 列出

job*

identitystore:DescribeGroup

identitystore:DescribeUser

identitystore:ListGroupMembershipsForMember

deadline:PrincipalId

deadline:RequesterPrincipalId

ListLicenseEndpoints 授予权限以列出所有许可证端点 列出

license-endpoint*

ListMeteredProducts 授予权限以列出许可证端点中的所有计量产品 列出

metered-product*

ListMonitors 授予权限以列出所有监视器 列出

monitor*

ListQueueEnvironments 授予权限以列出队列关联的所有队列环境 列出

queue*

identitystore:ListGroupMembershipsForMember

ListQueueFleetAssociations 授予权限以列出所有队列实例集关联 列出

farm

identitystore:ListGroupMembershipsForMember

fleet

queue

ListQueueMembers 授予权限以列出队列中的所有成员 列出

queue*

identitystore:ListGroupMembershipsForMember

ListQueues 授予权限以列出场中的所有队列 列出

queue*

identitystore:DescribeGroup

identitystore:DescribeUser

identitystore:ListGroupMembershipsForMember

deadline:PrincipalId

deadline:RequesterPrincipalId

ListSessionActions 授予权限以列出作业的所有会话操作 列出

job*

identitystore:ListGroupMembershipsForMember

ListSessions 授予权限以列出作业的所有会话 列出

job*

identitystore:ListGroupMembershipsForMember

ListSessionsForWorker 授予权限以列出工作人员的所有会话 列出

worker*

identitystore:ListGroupMembershipsForMember

ListStepConsumers 授予权限以列出作业步骤的步骤使用者 列出

job*

identitystore:ListGroupMembershipsForMember

ListStepDependencies 授予权限以列出作业步骤的依赖项 列出

job*

identitystore:ListGroupMembershipsForMember

ListSteps 授予权限以列出作业的所有步骤 列出

job*

identitystore:ListGroupMembershipsForMember

ListStorageProfiles 授予权限以列出场中的所有存储配置文件 列出

farm*

identitystore:ListGroupMembershipsForMember

ListStorageProfilesForQueue 授予权限以列出队列中的所有存储配置文件 列出

queue*

identitystore:ListGroupMembershipsForMember

ListTagsForResource 授予权限以列出指定 Deadline Cloud 资源的所有标签 列出

farm

fleet

license-endpoint

queue

ListTasks 授予权限以列出作业的所有任务 列出

job*

identitystore:ListGroupMembershipsForMember

ListWorkers 授予权限以列出实例集中的所有工作人员 列出

worker*

identitystore:ListGroupMembershipsForMember

PutMeteredProduct 授予权限以将计量产品添加到许可证端点 写入

metered-product*

SearchJobs 授予权限以在多个队列中搜索作业 列出

queue*

identitystore:ListGroupMembershipsForMember

SearchSteps 授予权限以搜索单个作业中的步骤或者搜索多个队列的步骤 列出

job

identitystore:ListGroupMembershipsForMember

queue

SearchTasks 授予权限以搜索单个作业中的任务或者搜索多个队列的任务 列出

job

identitystore:ListGroupMembershipsForMember

queue

SearchWorkers 授予权限以在多个实例集中搜索工作人员 列出

fleet*

identitystore:ListGroupMembershipsForMember

StartSessionsStatisticsAggregation 授予权限以获取会话的所有收集统计数据 读取

fleet

identitystore:ListGroupMembershipsForMember

queue

TagResource 授予权限以便为指定的 Deadline Cloud 资源添加或覆盖一个或多个标签 标记

farm

fleet

license-endpoint

queue

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 授予权限以将一个或多个标签与指定的 Deadline Cloud 资源取消关联 标记

farm

fleet

license-endpoint

queue

aws:TagKeys

UpdateBudget 授予权限以更新预算 写入

budget*

identitystore:ListGroupMembershipsForMember

UpdateFarm 授予权限以更新场 写入

farm*

identitystore:ListGroupMembershipsForMember

UpdateFleet 授予权限以更新实例集 写入

fleet*

iam:PassRole

identitystore:ListGroupMembershipsForMember

UpdateJob 授予权限以更新作业 写入

job*

identitystore:ListGroupMembershipsForMember

UpdateMonitor 授予更新监视器的权限 写入

monitor*

iam:PassRole

sso:PutApplicationGrant

sso:UpdateApplication

UpdateQueue 授予权限以更新队列 写入

queue*

iam:PassRole

identitystore:ListGroupMembershipsForMember

UpdateQueueEnvironment 授予权限以更新队列环境 写入

queue*

identitystore:ListGroupMembershipsForMember

UpdateQueueFleetAssociation 授予权限以更新队列实例集关联 写入

fleet*

identitystore:ListGroupMembershipsForMember

queue*

UpdateSession 授予权限以更新作业的会话 写入

job*

identitystore:ListGroupMembershipsForMember

UpdateStep 授予权限以更新作业的步骤 写入

job*

identitystore:ListGroupMembershipsForMember

UpdateStorageProfile 授予权限以为场更新存储配置文件 写入

farm*

identitystore:ListGroupMembershipsForMember

UpdateTask 授予权限以更新任务 写入

job*

identitystore:ListGroupMembershipsForMember

UpdateWorker 授予权限以更新工件 写入

worker*

logs:CreateLogStream

UpdateWorkerSchedule 授予权限以更新工作人员的计划 写入

worker*

logs:CreateLogStream

AWS Deadline Cloud 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
budget arn:${Partition}:deadline:${Region}:${Account}:farm/${FarmId}/budget/${BudgetId}

deadline:FarmMembershipLevels

farm arn:${Partition}:deadline:${Region}:${Account}:farm/${FarmId}

aws:ResourceTag/${TagKey}

deadline:FarmMembershipLevels

fleet arn:${Partition}:deadline:${Region}:${Account}:farm/${FarmId}/fleet/${FleetId}

aws:ResourceTag/${TagKey}

deadline:FarmMembershipLevels

deadline:FleetMembershipLevels

job arn:${Partition}:deadline:${Region}:${Account}:farm/${FarmId}/queue/${QueueId}/job/${JobId}

deadline:FarmMembershipLevels

deadline:JobMembershipLevels

deadline:QueueMembershipLevels

license-endpoint arn:${Partition}:deadline:${Region}:${Account}:license-endpoint/${LicenseEndpointId}

aws:ResourceTag/${TagKey}

metered-product arn:${Partition}:deadline:${Region}:${Account}:license-endpoint/${LicenseEndpointId}/metered-product/${ProductId}
monitor arn:${Partition}:deadline:${Region}:${Account}:monitor/${MonitorId}
queue arn:${Partition}:deadline:${Region}:${Account}:farm/${FarmId}/queue/${QueueId}

aws:ResourceTag/${TagKey}

deadline:FarmMembershipLevels

deadline:QueueMembershipLevels

worker arn:${Partition}:deadline:${Region}:${Account}:farm/${FarmId}/fleet/${FleetId}/worker/${WorkerId}

deadline:FarmMembershipLevels

deadline:FleetMembershipLevels

AWS Deadline Cloud 的条件键

AWS Deadline Cloud 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按请求中传递的标签筛选访问权限 String
aws:ResourceTag/${TagKey} 按与资源关联的标签筛选访问权限 String
aws:TagKeys 按请求中传递的标签键筛选访问权限 字符串数组
deadline:AssociatedMembershipLevel 按请求中提供的主体的关联成员资格级别筛选访问权限 String
deadline:FarmMembershipLevels 按场的成员资格级别筛选访问权限 字符串数组
deadline:FleetMembershipLevels 按实例集的成员资格级别筛选访问权限 字符串数组
deadline:JobMembershipLevels 按作业的成员资格级别筛选访问权限 字符串数组
deadline:MembershipLevel 按请求中传递的成员资格级别筛选访问权限 String
deadline:PrincipalId 根据请求中提供的主体 ID 筛选访问权限 String
deadline:QueueMembershipLevels 按队列的成员资格级别筛选访问权限 字符串数组
deadline:RequesterPrincipalId 按调用 Deadline Cloud API 的用户筛选访问权限 String