As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição para AWS Resilience Hub
AWS O Resilience Hub (prefixo do serviço:resiliencehub) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas por AWS Resilience Hub
Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Nível de acesso da tabela Ações descreve como a ação é classificada (lista, leitura, gravação, gerenciamento de permissões ou marcação). Esta classificação pode ajudar você a compreender o nível de acesso que uma ação concede quando a usa em uma política. Para obter mais informações sobre níveis de acesso, consulte Níveis de acesso em resumos de políticas.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
A coluna Ações dependentes da tabela Ações mostra permissões adicionais que podem ser necessárias para chamar uma ação com êxito. Essas permissões podem ser necessárias além da permissão para a ação em si. Quando uma ação especifica ações dependentes, essas dependências podem se aplicar a recursos adicionais definidos para essa ação, não somente ao primeiro recurso listado na tabela.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| AcceptResourceGroupingRecommendations | Concede permissão para aceitar recomendações de agrupamento de recursos | Gravar | |||
| AddDraftAppVersionResourceMappings | Concede permissão para adicionar mapeamentos de recursos de versão da aplicação de rascunho | Gravar |
cloudformation:DescribeStacks cloudformation:ListStackResources resource-groups:GetGroup resource-groups:ListGroupResources servicecatalog:GetApplication servicecatalog:ListAssociatedResources |
||
| BatchUpdateRecommendationStatus | Concede permissão para incluir ou excluir uma ou mais recomendações operacionais | Gravar | |||
| CreateApp | Concede permissão para criar aplicação | Gravar |
iam:PassRole |
||
| CreateAppVersionAppComponent | Concede permissão para criar componentes de uma aplicação | Gravar | |||
| CreateAppVersionResource | Concede permissão para criar recursos de uma aplicação | Gravar | |||
| CreateAssertion | Concede permissão para criar uma declaração para um serviço | Gravar | |||
| CreateInputSource | Concede permissão para criar uma fonte de entrada para um serviço | Gravar | |||
| CreatePolicy | Concede permissão para criar uma política de resiliência que define os requisitos de disponibilidade e recuperação de desastres | Gravar | |||
| CreateRecommendationTemplate | Concede permissão para criar um modelo de recomendação | Gravar |
s3:CreateBucket s3:ListBucket s3:PutObject |
||
| CreateReport | Concede permissão para criar um relatório para um serviço | Gravar | |||
| CreateResiliencyPolicy | Concede permissão para criar uma política de resiliência | Gravar | |||
| CreateService | Concede permissão para criar um serviço | Gravar | |||
| CreateServiceFunction | Concede permissão para criar uma função de serviço | Gravar | |||
| CreateServiceFunctionResources | Concede permissão para criar recursos de funções de serviço | Gravar | |||
| CreateSystem | Concede permissão para criar um sistema que represente um agrupamento lógico de serviços | Gravar | |||
| CreateUserJourney | Concede permissão para criar uma jornada de usuário dentro de um sistema | Gravar | |||
| DeleteApp | Concede permissão para excluir aplicação em lote | Gravar | |||
| DeleteAppAssessment | Concede permissão para excluir avaliação de aplicação em lote | Gravar | |||
| DeleteAppInputSource | Concede permissão para remover a fonte de entrada da aplicação | Gravar | |||
| DeleteAppVersionAppComponent | Concede permissão para excluir componentes de uma aplicação | Gravar | |||
| DeleteAppVersionResource | Concede permissão para excluir recursos de uma aplicação | Gravar | |||
| DeleteAssertion | Concede permissão para excluir uma afirmação | Gravar | |||
| DeleteInputSource | Concede permissão para excluir uma fonte de entrada | Gravar | |||
| DeletePolicy | Concede permissão para excluir uma política de resiliência | Gravar | |||
| DeleteRecommendationTemplate | Concede permissão para excluir um modelo de recomendação em lote | Gravar | |||
| DeleteResiliencyPolicy | Concede permissão para excluir uma política de resiliência em lote | Gravar | |||
| DeleteService | Concede permissão para excluir um serviço | Gravar | |||
| DeleteServiceFunction | Concede permissão para excluir uma função de serviço | Gravar | |||
| DeleteServiceFunctionResources | Concede permissão para excluir recursos da função de serviço | Gravar | |||
| DeleteSystem | Concede permissão para excluir um sistema | Gravar | |||
| DeleteUserJourney | Concede permissão para excluir uma jornada do usuário | Gravar | |||
| DescribeApp | Concede permissão para descrever aplicação | Ler | |||
| DescribeAppAssessment | Concede permissão para descrever avaliação de aplicação | Ler | |||
| DescribeAppVersion | Concede permissão para descrever a versão de uma aplicação | Ler | |||
| DescribeAppVersionAppComponent | Concede permissão para descrever o componente de app da versão de uma aplicação | Ler | |||
| DescribeAppVersionResource | Concede permissão para descrever o recurso de uma versão de uma aplicação | Ler | |||
| DescribeAppVersionResourcesResolutionStatus | Concede permissão para descrever resolução de aplicação | Ler | |||
| DescribeAppVersionTemplate | Concede permissão para descrever um modelo de versão de aplicação | Ler | |||
| DescribeDraftAppVersionResourcesImportStatus | Concede permissão para descrever o status de importação de recursos de versão da aplicação de rascunho | Ler | |||
| DescribeMetricsExport | Concede permissão para descrever uma exportação de métricas | Ler | |||
| DescribeResiliencyPolicy | Concede permissão para descrever política de resiliência | Ler | |||
| DescribeResourceGroupingRecommendationTask | Concede permissão para descrever o status mais recente do processo de recomendação de agrupamento | Ler | |||
| GetFailureModeFinding | Concede permissão para recuperar uma descoberta do modo de falha | Ler | |||
| GetPolicy | Concede permissão para recuperar uma política de resiliência | Ler | |||
| GetService | Concede permissão para recuperar um serviço | Ler | |||
| GetSystem | Concede permissão para recuperar um sistema | Ler | |||
| GetUserJourney | Concede permissão para recuperar a jornada do usuário | Ler | |||
| ImportApp | Concede permissão para importar um aplicativo V1 para o modelo de recursos V2 | Gravar | |||
| ImportPolicy | Concede permissão para importar uma política V1 para a V2 | Gravar | |||
| ImportResourcesToDraftAppVersion | Concede permissão para importar recursos de versão da aplicação de rascunho | Gravar |
cloudformation:DescribeStacks cloudformation:ListStackResources resource-groups:GetGroup resource-groups:ListGroupResources servicecatalog:GetApplication servicecatalog:ListAssociatedResources |
||
| ListAlarmRecommendations | Concede permissão para listar recomendação de alarme | Lista | |||
| ListAppAssessmentComplianceDrifts | Concede permissão para listar desvios de conformidade que foram detectados durante a execução de uma avaliação | Lista | |||
| ListAppAssessmentResourceDrifts | Concede permissão para listar desvios de recurso que foram detectados durante a execução de uma avaliação | Lista | |||
| ListAppAssessments | Concede permissão para listar avaliação de aplicação | Lista | |||
| ListAppComponentCompliances | Concede permissão para listar conformidades dos componentes de uma aplicação | Lista | |||
| ListAppComponentRecommendations | Concede permissão para listar recomendações de componentes de aplicações | Lista | |||
| ListAppInputSources | Concede permissão para listar as fontes de entrada da aplicação | Lista | |||
| ListAppVersionAppComponents | Concede permissão para listar componentes de app da versão de uma aplicação | Lista | |||
| ListAppVersionResourceMappings | Concede permissão para mapeamentos de recursos de versão da aplicação | Lista | |||
| ListAppVersionResources | Concede permissão para listar os recursos da aplicação | Lista | |||
| ListAppVersions | Concede permissão para listar versão da aplicação | Lista | |||
| ListApps | Concede permissão para listar aplicações | Lista | |||
| ListAssertions | Concede permissão para listar afirmações para um serviço | Ler | |||
| ListDependencies | Concede permissão para listar dependências descobertas para serviços | Ler | |||
| ListFailureModeAssessments | Concede permissão para listar avaliações do modo de falha | Ler | |||
| ListFailureModeFindings | Concede permissão para listar as descobertas do modo de falha | Ler | |||
| ListInputSources | Concede permissão para listar fontes de entrada para um serviço | Ler | |||
| ListMetrics | Concede permissão para listar métricas | Lista | |||
| ListPolicies | Concede permissão para listar políticas de resiliência | Ler | |||
| ListRecommendationTemplates | Concede permissão para listar modelos de recomendação | Lista | |||
| ListReports | Concede permissão para listar relatórios | Ler | |||
| ListResiliencyPolicies | Concede permissão para listar suas políticas de resiliência | Lista | |||
| ListResourceGroupingRecommendations | Concede permissão para listar recomendações de agrupamento de recursos | Lista | |||
| ListResources | Concede permissão para listar recursos para um serviço | Ler | |||
| ListServiceEvents | Concede permissão para listar eventos para um serviço | Ler | |||
| ListServiceFunctions | Concede permissão para listar as funções do serviço | Ler | |||
| ListServiceTopologyEdges | Concede permissão para listar as bordas da topologia do serviço | Ler | |||
| ListServices | Concede permissão para listar serviços | Ler | |||
| ListSopRecommendations | Concede permissão para listar recomendação de SOP | Lista | |||
| ListSuggestedResiliencyPolicies | Concede permissão para listar suas políticas de resiliência sugeridas | Lista | |||
| ListSystemEvents | Concede permissão para listar eventos para um sistema | Ler | |||
| ListSystems | Concede permissão para listar sistemas | Ler | |||
| ListTagsForResource | Concede permissão para listar as etiquetas de um recurso | Ler | |||
| ListTestRecommendations | Concede permissão para listar recomendações de teste | Lista | |||
| ListUnsupportedAppVersionResources | Concede permissão para listar recursos de versão de aplicações sem suporte | Lista | |||
| ListUserJourneys | Concede permissão para listar as viagens do usuário para um sistema | Ler | |||
| PublishAppVersion | Concede permissão para publicar versão da aplicação | Gravar | |||
| PutDraftAppVersionTemplate | Concede permissão para colocar um modelo de versão da aplicação | Gravar | |||
| RejectResourceGroupingRecommendations | Concede permissão para rejeitar recomendações de agrupamento de recursos | Gravar | |||
| RemoveDraftAppVersionResourceMappings | Concede permissão para remover mapeamentos de recursos de aplicação de rascunho | Gravar | |||
| ResolveAppVersionResources | Concede permissão para resolver recursos de versão da aplicação | Gravar |
cloudformation:DescribeStacks cloudformation:ListStackResources resource-groups:GetGroup resource-groups:ListGroupResources servicecatalog:GetApplication servicecatalog:ListAssociatedResources |
||
| StartAppAssessment | Concede permissão para criar avaliação de aplicação | Gravar |
cloudformation:DescribeStacks cloudformation:ListStackResources cloudwatch:DescribeAlarms cloudwatch:GetMetricData cloudwatch:GetMetricStatistics cloudwatch:PutMetricData ec2:DescribeRegions fis:GetExperimentTemplate fis:ListExperimentTemplates fis:ListExperiments resource-groups:GetGroup resource-groups:ListGroupResources servicecatalog:GetApplication servicecatalog:ListAssociatedResources ssm:GetParametersByPath |
||
| StartFailureModeAssessment | Concede permissão para iniciar uma avaliação do modo de falha | Gravar | |||
| StartMetricsExport | Concede permissão para iniciar a exportação de métricas | Gravar | |||
| StartResourceGroupingRecommendationTask | Concede permissão para iniciar o processo de geração de recomendações de agrupamento | Gravar | |||
| TagResource | Concede permissão para atribuir uma tag de recurso | Tags | |||
| UntagResource | Concede permissão para desmarcar um recurso | Tags | |||
| UpdateApp | Concede permissão para atualizar aplicação | Gravar |
iam:PassRole |
||
| UpdateAppVersion | Concede permissão para atualizar a versão da aplicação | Gravar | |||
| UpdateAppVersionAppComponent | Concede permissão para excluir componentes de app de uma aplicação | Gravar | |||
| UpdateAppVersionResource | Concede permissão para atualizar o recurso de uma aplicação | Gravar | |||
| UpdateAssertion | Concede permissão para atualizar uma afirmação | Gravar | |||
| UpdateDependency | Concede permissão para atualizar uma classificação de dependência | Gravar | |||
| UpdateFailureModeFinding | Concede permissão para atualizar uma descoberta do modo de falha | Gravar | |||
| UpdatePolicy | Concede permissão para atualizar uma política de resiliência | Gravar | |||
| UpdateResiliencyPolicy | Concede permissão para atualizar política de resiliência | Gravar | |||
| UpdateService | Concede permissão para atualizar um serviço | Gravar | |||
| UpdateServiceFunction | Concede permissão para atualizar uma função de serviço | Gravar | |||
| UpdateSystem | Concede permissão para atualizar um sistema | Gravar | |||
| UpdateUserJourney | Concede permissão para atualizar a jornada do usuário | Gravar | |||
Tipos de recursos definidos por AWS Resilience Hub
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Resource types | ARN | Chaves de condição |
|---|---|---|
| resiliency-policy |
arn:${Partition}:resiliencehub:${Region}:${Account}:resiliency-policy/${ResiliencyPolicyId}
|
|
| application |
arn:${Partition}:resiliencehub:${Region}:${Account}:app/${AppId}
|
|
| app-assessment |
arn:${Partition}:resiliencehub:${Region}:${Account}:app-assessment/${AppAssessmentId}
|
|
| recommendation-template |
arn:${Partition}:resiliencehub:${Region}:${Account}:recommendation-template/${RecommendationTemplateId}
|
|
| policy |
arn:${Partition}:resiliencehub:${Region}:${Account}:policy/${PolicyId}
|
|
| service |
arn:${Partition}:resiliencehub:${Region}:${Account}:service/${ServiceId}
|
|
| system |
arn:${Partition}:resiliencehub:${Region}:${Account}:system/${SystemId}
|
Chaves de condição para AWS Resilience Hub
AWS O Resilience Hub define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de contexto de condição globais da AWS.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra acesso pela presença de pares de chave-valor da etiqueta na solicitação | String |
| aws:ResourceTag/${TagKey} | Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso | String |
| aws:TagKeys | Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação | ArrayOfString |
