本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
適用於 Amazon AppStream 2.0 的動作、資源和條件金鑰
Amazon AppStream 2.0 (服務前置詞:appstream) 提供下列服務特定資源、動作和條件內容金鑰,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
Amazon 定義的操作 AppStream 2.0
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AssociateAppBlockBuilderAppBlock | 准許將指定的應用程式區塊建置器與應用程式區塊建立關聯 | 寫入 | |||
| AssociateApplicationFleet | 准許將指定的應用程式與機群建立關聯 | 寫入 | |||
| AssociateApplicationToEntitlement | 准許將指定的應用程式與指定的權利建立關聯 | 寫入 | |||
| AssociateFleet | 授予許可,將指定的機群與指定的堆疊建立關聯 | 寫入 | |||
| BatchAssociateUserStack | 授予許可,將指定的使用者與指定的堆疊建立關聯。如果堆疊的機群已加入 Active Directory 網域中,則無法將使用者集區中的使用者指派給這些堆疊。 | 寫入 | |||
| BatchDisassociateUserStack | 授予許可,取消指定使用者與指定堆疊的關聯 | 寫入 | |||
| CopyImage | 授予在同一區域內複製指定映像檔或相同區域內的新區域的權限 AWS 帳戶 | 寫入 | |||
| CreateAppBlock | 准許建立應用程式區塊。應用程式區塊會在 S3 儲存貯體中儲存包含應用程式檔案的虛擬硬碟的詳細資訊。此外,應用程式區塊也會儲存安裝指令碼,以及關於如何掛載虛擬硬碟的詳細資訊。應用程式區塊僅適用於 Elastic 機群 | 寫入 | |||
| CreateAppBlockBuilder | 准許建立應用程式區塊建置器。應用程式區塊建置器是用來建立應用程式區塊的虛擬機器 | 寫入 | |||
| CreateAppBlockBuilderStreamingURL | 准許建立 URL 以啟動應用程式區塊建置器串流工作階段 | 寫入 | |||
| CreateApplication | 准許在客戶帳戶中建立應用程式。應用程式會儲存關於如何在串流執行個體上啟動應用程式的詳細資訊。這僅適用於 Elastic 機群 | 寫入 | |||
| CreateDirectoryConfig | 授與在 AppStream 2.0 中建立目錄 Config 物件的權限。此物件包含將機群和映像建置器加入 Microsoft Active Directory 網域所需的組態資訊。 | 寫入 | |||
| CreateEntitlement | 授予建立權利以根據使用者屬性控制應用程式存取權的許可 | 寫入 | |||
| CreateFleet | 授予許可來建立機群。機群是一個串流執行個體群組,使用者應用程式會從其中啟動及串流 | 寫入 | |||
| CreateImageBuilder | 授予許可來建立映像建置器。映像建置器是用來建立映像的虛擬機器。 | 寫入 | |||
| CreateImageBuilderStreamingURL | 授予許可來建立 URL,啟動映像建置器串流工作階段 | 寫入 | |||
| CreateStack | 授予許可來建立堆疊,開始向使用者串流應用程式。堆疊由相關聯的機群、使用者存取政策和儲存體組態組成。 | 寫入 | |||
| CreateStreamingURL | 授予建立暫時 URL 的權限,以便為指定的使用者啟動 AppStream 2.0 串流工作階段。串流 URL 可對應用程式串流進行測試,而不需要使用者設定 | 寫入 | |||
| CreateUpdatedImage | 准許更新客戶帳戶中的現有影像 | 寫入 | |||
| CreateUsageReportSubscription | 授予許可來建立用量報告訂閱。用量報告會每天產生 | 寫入 | |||
| CreateUser | 授予許可,在使用者集區中建立新使用者 | 寫入 | |||
| DeleteAppBlock | 准許刪除指定的應用程式區塊 | 寫入 | |||
| DeleteAppBlockBuilder | 准許刪除指定的應用程式區塊建置器和釋出容量 | 寫入 | |||
| DeleteApplication | 准許刪除指定的應用程式 | 寫入 | |||
| DeleteDirectoryConfig | 授與從 AppStream 2.0 刪除指定目錄 Config 物件的權限。此物件包含將機群和映像建置器加入 Microsoft Active Directory 網域所需的組態資訊。 | 寫入 | |||
| DeleteEntitlement | 准許刪除指定的權利 | 寫入 | |||
| DeleteFleet | 授予許可來刪除指定的機群 | 寫入 | |||
| DeleteImage | 授予許可來刪除指定的映像。映像在使用中時無法刪除 | 寫入 | |||
| DeleteImageBuilder | 授予許可來刪除指定的映像建置器和釋出容量 | 寫入 | |||
| DeleteImagePermissions | 授予許可,為指定的私有映像刪除許可 | 寫入 | |||
| DeleteStack | 授予許可來刪除指定的堆疊。在刪除堆疊後,使用者將無法再使用由堆疊提供的應用程式串流環境。此外,針對堆疊的應用程式串流工作階段進行的任何保留都將被釋出 | 寫入 | |||
| DeleteUsageReportSubscription | 授予許可來停用用量報告的產生 | 寫入 | |||
| DeleteUser | 授予許可,從使用者集區刪除使用者 | 寫入 | |||
| DescribeAppBlockBuilderAppBlockAssociations | 准許擷取與指定應用程式區塊建置器或應用程式區塊相關的關聯 | 讀取 | |||
| DescribeAppBlockBuilders | 如果提供了應用程式區塊建置器名稱,則准許擷取描述一或多個指定應用程式區塊建置器的清單。若未提供,則描述帳戶中的所有應用程式區塊 | 讀取 | |||
| DescribeAppBlocks | 如果提供了應用程式區塊 ARN,則會准許擷取描述一或多個指定的應用程式區塊的清單。否則,會描述帳戶中的所有應用程式區塊 | 讀取 | |||
| DescribeApplicationFleetAssociations | 准許擷取與指定的應用程式或機群有關的關聯 | 讀取 | |||
| DescribeApplications | 如果提供了應用程式 ARN,則會准許擷取描述一或多個指定的應用程式的清單。否則,會描述帳戶中的所有應用程式 | 讀取 | |||
| DescribeDirectoryConfigs | 如果提供這些物件的名稱,則授與擷取描述 AppStream 2.0 版一或多個指定目錄 Config 物件之清單的權限。否則,會說明帳戶中所有的 Directory Config 物件。此物件包含將機群和映像建置器加入 Microsoft Active Directory 網域所需的組態資訊。 | 讀取 | |||
| DescribeEntitlements | 授予許可,擷取指定堆疊的一個或所有權利 | 讀取 | |||
| DescribeFleets | 如果提供了機群名稱,則會准許擷取說明一或多個指定的機群清單。否則,會說明帳戶中的所有機群 | 讀取 | |||
| DescribeImageBuilders | 如果提供了映像建置器名稱,則會准許擷取說明一或多個指定的映像建置器清單。否則,會說明帳戶中的所有映像建置器 | 讀取 | |||
| DescribeImagePermissions | 授予權限以擷取清單,該清單描述您擁有的私人映像上共用 AWS 帳戶 ID 的權限 | 讀取 | |||
| DescribeImages | 如果提供了映像名稱或映像 ARN,則會准許擷取說明一或多個指定的映像清單。否則,會說明帳戶中的所有映像 | 讀取 | |||
| DescribeSessions | 准許擷取說明指定堆疊和機群之串流工作階段的清單。如果已經針對堆疊和機群提供了使用者 ID,則只說明該使用者的串流工作階段 | 讀取 | |||
| DescribeStacks | 如果提供了堆疊名稱,則會准許擷取說明一或多個指定的堆疊清單。否則,會說明帳戶中的所有堆疊 | 讀取 | |||
| DescribeUsageReportSubscriptions | 准許擷取說明一或多個用量報告訂閱的清單 | 讀取 | |||
| DescribeUserStackAssociations | 授與擷取描述 UserStackAssociation 物件之清單的權限 | 讀取 | |||
| DescribeUsers | 准許擷取說明使用者集區中使用者的清單 | 讀取 | |||
| DisableUser | 授予許可,停用使用者集區中指定的使用者。這個動作不會刪除使用者 | 寫入 | |||
| DisassociateAppBlockBuilderAppBlock | 准許將指定的應用程式區塊建置器與應用程式區塊取消關聯 | 寫入 | |||
| DisassociateApplicationFleet | 准許取消指定應用程式與指定機群的關聯 | 寫入 | |||
| DisassociateApplicationFromEntitlement | 准許取消指定應用程式與指定權利的關聯 | 寫入 | |||
| DisassociateFleet | 授予許可,取消指定機群與指定堆疊的關聯 | 寫入 | |||
| EnableUser | 授予許可,在使用者集區中啟用使用者 | 寫入 | |||
| ExpireSession | 授予許可來立即停止指定串流工作階段 | 寫入 | |||
| ListAssociatedFleets | 准許擷取與指定堆疊相關聯的機群名稱 | 讀取 | |||
| ListAssociatedStacks | 准許擷取與指定機群相關聯的堆疊名稱 | 讀取 | |||
| ListEntitledApplications | 准許擷取與指定的權利關聯的應用程式 | 清單 | |||
| ListTagsForResource | 授予擷取指定 AppStream 2.0 資源之所有標籤清單的權限。可以對下列資料加上標記:映像建置器、映像、機群和堆疊 | 讀取 | |||
| StartAppBlockBuilder | 准許啟動指定的應用程式區塊建置器 | 寫入 | |||
| StartFleet | 授予許可來啟動指定的機群 | 寫入 | |||
| StartImageBuilder | 授予許可來啟動指定的映像建置器 | 寫入 | |||
| StopAppBlockBuilder | 准許停止指定的應用程式區塊建置器 | 寫入 | |||
| StopFleet | 授予許可來停止指定的機群 | 寫入 | |||
| StopImageBuilder | 授予許可來停止指定的映像建置器 | 寫入 | |||
| Stream | 透過從指定堆疊使用現有登入資料及串流應用程式,授予聯合使用者登入的許可 | 寫入 | |||
| TagResource | 授予新增或覆寫指定 AppStream 2.0 資源之一或多個標籤的權限。可以對下列資源加上標記:Image Builder、映像、機群、堆疊、應用程式區塊和應用程式 | 標記 | |||
| UntagResource | 授予取消一個或多個標籤與指定 AppStream 2.0 資源之間關聯的權限 | 標記 | |||
| UpdateAppBlockBuilder | 准許更新特定應用程式區塊建置器。應用程式區塊建置器是用來建立應用程式區塊的虛擬機器 | 寫入 | |||
| UpdateApplication | 准許更新指定應用程式的指定欄位 | 寫入 | |||
| UpdateDirectoryConfig | 授與在 AppStream 2.0 中更新指定目錄 Config 物件的權限。此物件包含將機群和映像建置器加入 Microsoft Active Directory 網域所需的組態資訊。 | 寫入 | |||
| UpdateEntitlement | 授予許可來更新指定權利的指定欄位。 | 寫入 | |||
| UpdateFleet | 授予許可來更新指定的機群。當機群處於「STOPPED」(停止) 狀態時,機群名稱以外的所有屬性皆可更新 | 寫入 | |||
| UpdateImagePermissions | 授予許可,為指定的私有映像新增或更新許可 | 寫入 | |||
| UpdateStack | 授予許可來更新指定堆疊的指定欄位。 | 寫入 | |||
Amazon AppStream 2.0 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作資料表中的每個動作都會指明可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| fleet |
arn:${Partition}:appstream:${Region}:${Account}:fleet/${FleetName}
|
|
| image |
arn:${Partition}:appstream:${Region}:${Account}:image/${ImageName}
|
|
| image-builder |
arn:${Partition}:appstream:${Region}:${Account}:image-builder/${ImageBuilderName}
|
|
| stack |
arn:${Partition}:appstream:${Region}:${Account}:stack/${StackName}
|
|
| app-block |
arn:${Partition}:appstream:${Region}:${Account}:app-block/${AppBlockName}
|
|
| application |
arn:${Partition}:appstream:${Region}:${Account}:application/${ApplicationName}
|
|
| app-block-builder |
arn:${Partition}:appstream:${Region}:${Account}:app-block-builder/${AppBlockBuilderName}
|
Amazon AppStream 2.0 的條件鍵
Amazon AppStream 2.0 定義了下列可用於 IAM 政策Condition元素的條件金鑰。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵資料表。
若要檢視所有服務都可使用的全域條件索引鍵,請參閱可用全域條件索引鍵。
| 條件索引鍵 | 描述 | Type |
|---|---|---|
| appstream:userId | 通過 AppStream 2.0 用戶的 ID 過濾訪問 | 字串 |
| aws:RequestTag/${TagKey} | 依請求中的標籤鍵值對是否存在篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依連接到資源的標籤鍵值對篩選存取權 | 字串 |
| aws:TagKeys | 依請求中是否存在標籤索引鍵來篩選存取 | ArrayOfString |
