AWS Control Tower 的動作、資源和條件索引鍵

AWS Control Tower （服務字首：controltower）提供下列服務特定的資源、動作和條件內容索引鍵，可用於IAM許可政策。

參考資料：

了解如何設定此服務。
檢視API此服務可用的操作清單。
了解如何使用IAM許可政策來保護此服務及其資源。

主題

AWS Control Tower 定義的動作
AWS Control Tower 定義的資源類型
AWS Control Tower 的條件索引鍵

AWS Control Tower 定義的動作

您可以在IAM政策陳述式的 Action元素中指定下列動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用動作時，通常會允許或拒絕對相同名稱API的操作或CLI命令的存取。不過，在某些情況下，單一動作可控制對多個操作的存取。或者，某些操作需要多種不同的動作。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值，您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型，則您可以在具有該動作ARN的陳述式中指定該類型的。如果動作具有一或多個必要資源，呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在IAM政策中使用 Resource元素限制資源存取，則必須為每個所需資源類型包含 ARN或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要)，則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊，請參閱「資源類型」資料表的條件索引鍵欄。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄，其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊，請參閱動作資料表。

動作	描述	存取層級	資源類型 (*必填項目)	條件索引鍵	相依動作
CreateLandingZone	准許建立登陸區域	寫入		aws:RequestTag/${TagKey} aws:TagKeys	controltower:TagResource
CreateManagedAccount [僅限許可]	准許建立 AWS Control Tower 管理的帳戶	寫入
DeleteLandingZone	准許刪除 AWS Control Tower 登陸區域	寫入	LandingZone*
DeregisterManagedAccount [僅限許可]	准許從 AWS Control Tower 取消註冊透過帳戶工廠建立的帳戶	寫入
DeregisterOrganizationalUnit [僅限許可]	准許從 AWS Control Tower 管理取消註冊組織單位	寫入
DescribeAccountFactoryConfig [僅限許可]	准許描述目前的 Account Factory 組態	讀取
DescribeCoreService [僅限許可]	准許描述 AWS Control Tower 中核心帳戶管理的資源	讀取
DescribeGuardrail [僅限許可]	准許描述防護機制	讀取
DescribeGuardrailForTarget [僅限許可]	准許描述組織單位的防護機制	讀取
DescribeLandingZoneConfiguration [僅限許可]	准許描述目前的登陸區域組態	讀取
DescribeManagedAccount [僅限許可]	准許描述透過 Account Factory 建立的帳戶	讀取
DescribeManagedOrganizationalUnit [僅限許可]	准許描述由 AWS Control Tower 管理 AWS 的組織組織單位	讀取
DescribeRegisterOrganizationalUnitOperation [僅限許可]	准許描述登記組織單位操作	讀取
DescribeSingleSignOn [僅限許可]	准許描述目前的 AWS Control Tower IAM Identity Center 組態	讀取
DisableBaseline	准許停用目標上的基準	寫入	EnabledBaseline*
DisableControl	准許從組織單位移除控制項	寫入	EnabledControl*
DisableGuardrail [僅限許可]	准許從組織單位停用防護機制	寫入
EnableBaseline	准許在目標上啟用基準	寫入		aws:RequestTag/${TagKey} aws:TagKeys	controltower:TagResource
EnableControl	准許啟動組織單位控制項	寫入	EnabledControl		controltower:TagResource
EnableControl	准許啟動組織單位控制項	寫入		aws:RequestTag/${TagKey} aws:TagKeys
EnableGuardrail [僅限許可]	准許對組織單位啟用防護機制	寫入
GetAccountInfo [僅限許可]	准許描述帳戶電子郵件，並驗證其是否存在	讀取
GetAvailableUpdates [僅限許可]	准許列出目前 AWS Control Tower 部署的可用更新	讀取
GetBaseline	准許取得基準詳細資訊	讀取	Baseline*
GetBaselineOperation	准許取得特定基準操作的目前狀態	讀取
GetControlOperation	准許取得特定 EnabledControl 或 DisableControl 操作的目前狀態	讀取
GetEnabledBaseline	准許取得已啟用的基準	讀取	EnabledBaseline*
GetEnabledControl	准許從組織單位取得啟用的控制項	讀取	EnabledControl*
GetGuardrailComplianceStatus [僅限許可]	准許取得防護機制目前的規範遵循狀態	讀取
GetHomeRegion [僅限許可]	准許取得 AWS Control Tower 設定的主區域	讀取
GetLandingZone	准許取得登陸區域設定的目前狀態	讀取	LandingZone*
GetLandingZoneDriftStatus	准許取得目前登陸區域偏離狀態	讀取
GetLandingZoneOperation	准許取得特定登陸區域操作的目前狀態	讀取
GetLandingZoneStatus [僅限許可]	准許取得登陸區域設定的目前狀態	讀取
ListBaselines	准許列出基準	清單
ListControlOperations	准許列出所有控制操作	清單
ListDirectoryGroups [僅限許可]	准許列出透過 IAM Identity Center 可用的目前目錄群組	清單
ListDriftDetails	准許列出 AWS Control Tower 中的漂移事件	讀取
ListEnabledBaselines	准許列出已啟用的基準	清單
ListEnabledControls	准許列出指定組織單位中的所有已啟用的控制項	清單
ListEnabledGuardrails [僅限許可]	准許列出目前已啟用的防護機制	清單
ListExtendGovernancePrecheckDetails [僅限許可]	准許列出組織單位的預先檢查詳細資訊	清單
ListExternalConfigRuleCompliance	准許列出外部 AWS Config 規則的合規	讀取
ListGuardrailViolations [僅限許可]	准許列出現有防護機制違規	清單
ListGuardrails [僅限許可]	准許列出所有可用防護機制	清單
ListGuardrailsForTarget [僅限許可]	准許列出組織單位防護機制及其目前狀態	清單
ListLandingZoneOperations	准許列出所有登陸區域操作	清單
ListLandingZones	准許列出所有登陸區域	清單
ListManagedAccounts [僅限許可]	准許列出透過 AWS Control Tower 管理的帳戶	清單
ListManagedAccountsForGuardrail [僅限許可]	准許列出套用指定防護機制的受管帳戶	清單
ListManagedAccountsForParent [僅限許可]	准許在組織單位下列出受管帳戶	清單
ListManagedOrganizationalUnits [僅限許可]	准許列出 AWS Control Tower 管理的組織單位	清單
ListManagedOrganizationalUnitsForGuardrail [僅限許可]	准許列出已套用指定防護機制的受管組織單位	清單
ListTagsForResource	准許列出資源的標籤	讀取	EnabledBaseline
			EnabledControl
			LandingZone
ManageOrganizationalUnit [僅限許可]	准許設定由 AWS Control Tower 管理的組織單位	寫入
PerformPreLaunchChecks [僅限許可]	准許在帳戶中執行驗證	讀取
ResetEnabledBaseline	准許重設已啟用的基準	寫入	EnabledBaseline*
ResetLandingZone	准許重設登陸區域	寫入	LandingZone*
SetupLandingZone [僅限許可]	准許設定或更新 AWS Control Tower 登陸區域	寫入
TagResource	准許將標籤新增至資源	標記	EnabledBaseline
			EnabledControl
			LandingZone
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	授予許可來從資源中移除標籤	標記	EnabledBaseline
			EnabledControl
			LandingZone
				aws:TagKeys
UpdateAccountFactoryConfig [僅限許可]	准許更新 Account Factory 組態	寫入
UpdateEnabledBaseline	准許更新已啟用的基準	寫入	EnabledBaseline*
UpdateEnabledControl	准許更新組織單位的啟用控制項	寫入	EnabledControl*
UpdateLandingZone	准許更新登陸區域	寫入	LandingZone*

AWS Control Tower 定義的資源類型

下列資源類型由此服務定義，可用於IAM許可政策陳述式的 Resource元素。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊，請參閱資源類型資料表。

資源類型	ARN	條件索引鍵
EnabledControl	`arn:${Partition}:controltower:${Region}:${Account}:enabledcontrol/${EnabledControlId}`	aws:ResourceTag/${TagKey}
Baseline	`arn:${Partition}:controltower:${Region}::baseline/${BaselineId}`
EnabledBaseline	`arn:${Partition}:controltower:${Region}:${Account}:enabledbaseline/${EnabledBaselineId}`	aws:ResourceTag/${TagKey}
LandingZone	`arn:${Partition}:controltower:${Region}:${Account}:landingzone/${LandingZoneId}`	aws:ResourceTag/${TagKey}

AWS Control Tower 的條件索引鍵

AWS Control Tower 定義下列條件索引鍵，可用於IAM政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊，請參閱條件索引鍵表。

若要檢視所有服務都可使用的全域條件鍵，請參閱可用全域條件鍵。

條件索引鍵	描述	類型
aws:RequestTag/${TagKey}	依要求中傳遞的標籤來篩選存取權	字串
aws:ResourceTag/${TagKey}	依與資源關聯的標籤來篩選存取權	字串
aws:TagKeys	依要求中傳遞的標籤索引鍵來篩選存取權	ArrayOfString

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

AWS 控制目錄

AWS 成本和用量報告