本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 的 受管政策 AWS Proton
若要將許可新增至使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立IAM客戶受管政策需要時間和專業知識,為您的團隊提供他們所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱 IAM 使用者指南 中的AWS 受管政策。
AWS 服務 維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如, ReadOnlyAccess AWS 受管政策提供所有 AWS 服務 和資源的唯讀存取權。當服務啟動新功能時, AWS 會為新的操作和資源新增唯讀許可。如需任務函數政策的清單和描述,請參閱 IAM 使用者指南 中的AWS 任務函數的受管政策。
AWS Proton 提供受管IAM政策和信任關係,您可以連接到允許不同層級控制資源和API操作的使用者、群組或角色。您可以直接套用這些政策,也可以使用它們開始建立您自己的政策。
下列信任關係會用於每個 AWS Proton 受管政策。
{ "Version": "2012-10-17", "Statement": { "Sid": "ExampleTrustRelationshipWithProtonConfusedDeputyPrevention", "Effect": "Allow", "Principal": { "Service": "proton.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws::proton:*:123456789012:environment/*" } } } }
AWS 受管政策: AWSProtonFullAccess
您可以 AWSProtonFullAccess 連接至您的IAM實體。 AWS Proton 也可以將此政策連接至 AWS Proton 允許代表您執行動作的服務角色。
此政策會授予管理許可,允許完全存取 AWS Proton 動作,並限制存取 AWS Proton 其他依賴 AWS 的服務動作。
此政策包含下列金鑰動作命名空間:
-
proton– 允許管理員完整存取 AWS Proton APIs。 -
iam– 允許管理員將角色傳遞至 AWS Proton。這是必要的,以便 AWS Proton 可以代表管理員API呼叫其他 服務。 -
kms– 允許管理員將授予新增至客戶受管金鑰。 -
codeconnections– 允許管理員列出和傳遞程式碼連線,以便 使用 AWS Proton。
此政策包含以下許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ProtonPermissions", "Effect": "Allow", "Action": [ "proton:*", "codestar-connections:ListConnections", "kms:ListAliases", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "CreateGrantPermissions", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "proton.*.amazonaws.com" } } }, { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "proton.amazonaws.com" } } }, { "Sid": "CreateServiceLinkedRolePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/sync.proton.amazonaws.com/AWSServiceRoleForProtonSync", "Condition": { "StringEquals": { "iam:AWSServiceName": "sync.proton.amazonaws.com" } } }, { "Sid": "CodeStarConnectionsPermissions", "Effect": "Allow", "Action": [ "codestar-connections:PassConnection" ], "Resource": [ "arn:aws:codestar-connections:*:*:connection/*", "arn:aws:codeconnections:*:*:connection/*" ], "Condition": { "StringEquals": { "codestar-connections:PassedToService": "proton.amazonaws.com" } } }, { "Sid": "CodeConnectionsPermissions", "Effect": "Allow", "Action": [ "codeconnections:PassConnection" ], "Resource": [ "arn:aws:codestar-connections:*:*:connection/*", "arn:aws:codeconnections:*:*:connection/*" ], "Condition": { "StringEquals": { "codeconnections:PassedToService": "proton.amazonaws.com" } } } ] }
AWS 受管政策: AWSProtonDeveloperAccess
您可以 AWSProtonDeveloperAccess 連接至您的IAM實體。 AWS Proton 也可以將此政策連接至 AWS Proton 允許代表您執行動作的服務角色。
此政策授予許可,允許有限存取 AWS Proton 動作和其他 AWS Proton 依賴 AWS 的動作。這些許可的範圍旨在支援建立和部署 AWS Proton 服務的開發人員角色。
此政策不提供 AWS Proton 範本和環境建立、刪除和更新的存取權APIs。如果開發人員需要的許可比此政策提供的更有限,我們建議您建立範圍縮小的自訂政策,以授予最低權限 。
此政策包含下列金鑰動作命名空間:
-
proton– 允許貢獻者存取一組有限的 AWS Proton APIs。 -
codeconnections– 允許貢獻者列出和傳遞程式碼連線,以便 使用 AWS Proton。
此政策包含以下許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ProtonPermissions", "Effect": "Allow", "Action": [ "codecommit:ListRepositories", "codepipeline:GetPipeline", "codepipeline:GetPipelineExecution", "codepipeline:GetPipelineState", "codepipeline:ListPipelineExecutions", "codepipeline:ListPipelines", "codestar-connections:ListConnections", "codestar-connections:UseConnection", "proton:CancelServiceInstanceDeployment", "proton:CancelServicePipelineDeployment", "proton:CreateService", "proton:DeleteService", "proton:GetAccountRoles", "proton:GetAccountSettings", "proton:GetEnvironment", "proton:GetEnvironmentAccountConnection", "proton:GetEnvironmentTemplate", "proton:GetEnvironmentTemplateMajorVersion", "proton:GetEnvironmentTemplateMinorVersion", "proton:GetEnvironmentTemplateVersion", "proton:GetRepository", "proton:GetRepositorySyncStatus", "proton:GetResourcesSummary", "proton:GetService", "proton:GetServiceInstance", "proton:GetServiceTemplate", "proton:GetServiceTemplateMajorVersion", "proton:GetServiceTemplateMinorVersion", "proton:GetServiceTemplateVersion", "proton:GetTemplateSyncConfig", "proton:GetTemplateSyncStatus", "proton:ListEnvironmentAccountConnections", "proton:ListEnvironmentOutputs", "proton:ListEnvironmentProvisionedResources", "proton:ListEnvironments", "proton:ListEnvironmentTemplateMajorVersions", "proton:ListEnvironmentTemplateMinorVersions", "proton:ListEnvironmentTemplates", "proton:ListEnvironmentTemplateVersions", "proton:ListRepositories", "proton:ListRepositorySyncDefinitions", "proton:ListServiceInstanceOutputs", "proton:ListServiceInstanceProvisionedResources", "proton:ListServiceInstances", "proton:ListServicePipelineOutputs", "proton:ListServicePipelineProvisionedResources", "proton:ListServices", "proton:ListServiceTemplateMajorVersions", "proton:ListServiceTemplateMinorVersions", "proton:ListServiceTemplates", "proton:ListServiceTemplateVersions", "proton:ListTagsForResource", "proton:UpdateService", "proton:UpdateServiceInstance", "proton:UpdateServicePipeline", "s3:ListAllMyBuckets", "s3:ListBucket" ], "Resource": "*" }, { "Sid": "CodeStarConnectionsPermissions", "Effect": "Allow", "Action": "codestar-connections:PassConnection", "Resource": [ "arn:aws:codestar-connections:*:*:connection/*", "arn:aws:codeconnections:*:*:connection/*" ], "Condition": { "StringEquals": { "codestar-connections:PassedToService": "proton.amazonaws.com" } } }, { "Sid": "CodeConnectionsPermissions", "Effect": "Allow", "Action": "codeconnections:PassConnection", "Resource": [ "arn:aws:codestar-connections:*:*:connection/*", "arn:aws:codeconnections:*:*:connection/*" ], "Condition": { "StringEquals": { "codeconnections:PassedToService": "proton.amazonaws.com" } } } ] }
AWS 受管政策: AWSProtonReadOnlyAccess
您可以 AWSProtonReadOnlyAccess 連接至您的IAM實體。 AWS Proton 也可以將此政策連接至 AWS Proton 允許代表您執行動作的服務角色。
此政策授予許可,允許唯讀存取 AWS Proton 動作,以及有限唯讀存取 AWS Proton 其他依賴 AWS 的服務動作。
此政策包含下列金鑰動作命名空間:
-
proton– 允許貢獻者唯讀存取 AWS Proton APIs。
此政策包含以下許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codepipeline:ListPipelineExecutions", "codepipeline:ListPipelines", "codepipeline:GetPipeline", "codepipeline:GetPipelineState", "codepipeline:GetPipelineExecution", "proton:GetAccountRoles", "proton:GetAccountSettings", "proton:GetEnvironment", "proton:GetEnvironmentAccountConnection", "proton:GetEnvironmentTemplate", "proton:GetEnvironmentTemplateMajorVersion", "proton:GetEnvironmentTemplateMinorVersion", "proton:GetEnvironmentTemplateVersion", "proton:GetRepository", "proton:GetRepositorySyncStatus", "proton:GetResourcesSummary", "proton:GetService", "proton:GetServiceInstance", "proton:GetServiceTemplate", "proton:GetServiceTemplateMajorVersion", "proton:GetServiceTemplateMinorVersion", "proton:GetServiceTemplateVersion", "proton:GetTemplateSyncConfig", "proton:GetTemplateSyncStatus", "proton:ListEnvironmentAccountConnections", "proton:ListEnvironmentOutputs", "proton:ListEnvironmentProvisionedResources", "proton:ListEnvironments", "proton:ListEnvironmentTemplateMajorVersions", "proton:ListEnvironmentTemplateMinorVersions", "proton:ListEnvironmentTemplates", "proton:ListEnvironmentTemplateVersions", "proton:ListRepositories", "proton:ListRepositorySyncDefinitions", "proton:ListServiceInstanceOutputs", "proton:ListServiceInstanceProvisionedResources", "proton:ListServiceInstances", "proton:ListServicePipelineOutputs", "proton:ListServicePipelineProvisionedResources", "proton:ListServices", "proton:ListServiceTemplateMajorVersions", "proton:ListServiceTemplateMinorVersions", "proton:ListServiceTemplates", "proton:ListServiceTemplateVersions", "proton:ListTagsForResource" ], "Resource": "*" } ] }
AWS 受管政策: AWSProtonSyncServiceRolePolicy
AWS Proton 會將此政策連接至 AWS Proton 允許執行範本同步 AWSServiceRoleForProtonSync 的服務連結角色。
此政策授予許可,允許有限存取 AWS Proton 動作和其他 AWS Proton 依賴 AWS 的服務動作。
此政策包含下列金鑰動作命名空間:
-
proton– 允許 AWS Proton 同步限制存取 AWS Proton APIs。 -
codeconnections– 允許 AWS Proton 同步限制存取 CodeConnections APIs。
如需 許可詳細資訊的資訊 AWSProtonSyncServiceRolePolicy,請參閱 的服務連結角色許可 AWS Proton。
AWS 受管政策: AWSProtonCodeBuildProvisioningBasicAccess
許可 CodeBuild 需要執行 建置以進行 AWS Proton CodeBuild 佈建。您可以AWSProtonCodeBuildProvisioningBasicAccess連接至 CodeBuild 佈建角色。
此政策授予 AWS Proton CodeBuild Provisioning 運作的最低許可。它授予許可, CodeBuild 允許 產生建置日誌。它還授予許可,讓 Proton 將基礎設施作為程式碼 (IaC輸出提供給 AWS Proton 使用者。它不提供 IaC 工具管理基礎設施所需的許可。
此政策包含下列金鑰動作命名空間:
-
logs‐ 允許 CodeBuild 產生建置日誌。如果沒有此許可, CodeBuild 將無法啟動。 -
proton‐ 允許 CodeBuild 佈建命令呼叫aws proton notify-resource-deployment-status-change來更新指定 AWS Proton 資源的 IaaC 輸出。
此政策包含以下許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/codebuild/AWSProton-*" ] }, { "Effect": "Allow", "Action": "proton:NotifyResourceDeploymentStatusChange", "Resource": "arn:aws:proton:*:*:*" } ] }
AWS 受管政策: AWSProtonCodeBuildProvisioningServiceRolePolicy
AWS Proton 會將此政策連接至 AWS Proton 允許執行 CodeBuild型佈建 AWSServiceRoleForProtonCodeBuildProvisioning 的服務連結角色。
此政策授予許可,允許有限存取 AWS Proton 依賴 AWS 的服務動作。
此政策包含下列金鑰動作命名空間:
-
cloudformation– 允許 AWS Proton CodeBuild型佈建限制對 的存取 AWS CloudFormation APIs。 -
codebuild– 允許 AWS Proton CodeBuild型佈建限制對 的存取 CodeBuild APIs。 -
iam– 允許管理員將角色傳遞至 AWS Proton。這是必要的,以便 AWS Proton 可以代表管理員API呼叫其他 服務。 -
servicequotas– 允許 AWS Proton 檢查 CodeBuild 並行建置限制,以確保適當的建置佇列。
此政策包含以下許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:DeleteStack", "cloudformation:UpdateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ListStackResources" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/AWSProton-CodeBuild-*" ] }, { "Effect": "Allow", "Action": [ "codebuild:CreateProject", "codebuild:DeleteProject", "codebuild:UpdateProject", "codebuild:StartBuild", "codebuild:StopBuild", "codebuild:RetryBuild", "codebuild:BatchGetBuilds", "codebuild:BatchGetProjects" ], "Resource": "arn:aws:codebuild:*:*:project/AWSProton*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEqualsIfExists": { "iam:PassedToService": "codebuild.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "servicequotas:GetServiceQuota" ], "Resource": "*" } ] }
AWS 受管政策: AwsProtonServiceGitSyncServiceRolePolicy
AWS Proton 會將此政策連接至 AWS Proton 允許執行服務同步 AwsProtonServiceGitSyncServiceRolePolicy 的服務連結角色。
此政策會授予許可,允許有限存取 AWS Proton 動作和其他 AWS Proton 依賴 AWS 的服務動作。
此政策包含下列金鑰動作命名空間:
-
proton– 允許 AWS Proton 同步限制存取 AWS Proton APIs。
如需 許可詳細資訊的資訊 AwsProtonServiceGitSyncServiceRolePolicy,請參閱 的服務連結角色許可 AWS Proton。
AWS Proton 受 AWS 管政策的更新
檢視自此服務開始追蹤這些變更 AWS Proton 以來, 受 AWS 管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS Proton 文件歷史記錄頁面上的RSS摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
|
服務連結角色搭配 Git 儲存庫使用 Git 同步的受管政策,已針對具有兩個服務字首的資源更新。如需詳細資訊,請參閱使用 和 受管政策 的服務連結角色AWS CodeConnections。 https://docs.aws.amazon.com/dtconsole/latest/userguide/security-iam-awsmanpol.html |
2024 年 4 月 25 日 |
|
|
服務連結角色搭配 Git 儲存庫使用 Git 同步的受管政策,已針對具有兩個服務字首的資源更新。如需詳細資訊,請參閱使用 和 受管政策 的服務連結角色AWS CodeConnections。 https://docs.aws.amazon.com/dtconsole/latest/userguide/security-iam-awsmanpol.html |
2024 年 4 月 25 日 |
|
|
服務連結角色搭配 Git 儲存庫使用 Git 同步的受管政策,已針對具有兩個服務字首的資源更新。如需詳細資訊,請參閱使用 和 受管政策 的服務連結角色AWS CodeConnections。 https://docs.aws.amazon.com/dtconsole/latest/userguide/security-iam-awsmanpol.html |
2024 年 4 月 25 日 |
|
AWS Proton 更新了此政策來新增許可,以確保帳戶具有必要的 CodeBuild 並行建置限制,以便使用 CodeBuild 佈建。 |
2023 年 5 月 12 日 | |
|
AWS Proton 已新增允許 AWS Proton 執行服務同步的新政策。此政策用於AWSServiceRoleForProtonServiceSync服務連結角色。 |
2023 年 3 月 31 日 | |
|
AWSProtonDeveloperAccess – 更新現有政策 |
AWS Proton 已新增可讓您檢視範本摘要、部署的範本資源和過時資源的新 |
2022 年 11 月 18 日 |
|
AWSProtonReadOnlyAccess – 更新現有政策 |
AWS Proton 已新增可讓您檢視範本摘要、部署的範本資源和過時資源的新 |
2022 年 11 月 18 日 |
|
AWS Proton 新增了新的政策,提供執行佈建建置所需的 CodeBuild 許可 AWS Proton CodeBuild 。 |
2022 年 11 月 16 日 | |
|
AWS Proton 新增了新的政策 AWS Proton ,以允許 執行與 CodeBuild型佈建相關的操作。此政策用於AWSServiceRoleForProtonCodeBuildProvisioning服務連結角色。 |
2022 年 9 月 2 日 | |
|
AWSProtonFullAccess – 更新現有政策 |
AWS Proton 已更新此政策,以提供新 AWS Proton API操作的存取權,並修正某些 AWS Proton 主控台操作的許可問題。 |
2022 年 3 月 30 日 |
|
AWSProtonDeveloperAccess – 更新現有政策 |
AWS Proton 更新此政策以提供新 AWS Proton API操作的存取權,並修正某些 AWS Proton 主控台操作的許可問題。 |
2022 年 3 月 30 日 |
|
AWSProtonReadOnlyAccess – 更新現有政策 |
AWS Proton 更新此政策以提供新 AWS Proton API操作的存取權,並修正某些 AWS Proton 主控台操作的許可問題。 |
2022 年 3 月 30 日 |
|
AWS Proton 新增了新的政策 AWS Proton ,以允許 執行與範本同步相關的操作。此政策用於AWSServiceRoleForProtonSync服務連結角色。 |
2021 年 11 月 23 日 | |
|
AWSProtonFullAccess – 新政策 |
AWS Proton 新增了新的政策,以提供對操作和 AWS Proton 主控台的管理角色存取權 AWS Proton API。 |
2021 年 6 月 9 日 |
|
AWSProtonDeveloperAccess – 新政策 |
AWS Proton 已新增新政策,以提供開發人員角色對 AWS Proton API操作和 AWS Proton 主控台的存取權。 |
2021 年 6 月 9 日 |
|
AWSProtonReadOnlyAccess – 新政策 |
AWS Proton 新增了新政策,以提供操作 AWS Proton API和 AWS Proton 主控台的唯讀存取權。 |
2021 年 6 月 9 日 |
|
AWS Proton 已開始追蹤變更。 |
AWS Proton 已開始追蹤其 AWS 受管政策的變更。 |
2021 年 6 月 9 日 |
