本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS AppFabric
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务 维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有资源 AWS 服务 和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 托管策略:AWSAppFabricReadOnlyAccess
您可以将 `AWSAppFabricReadOnlyAccess` 策略附加到 IAM 身份。此策略向 AppFabric 服务授予只读权限。
**注意**
该`AWSAppFabricReadOnlyAccess`策略不授予生产力功能 AppFabric 的只读访问权限。
**权限详细信息**
该策略包含以下权限:
+ `appfabric` – 授予获取应用捆绑包、列出应用捆绑包、获取应用授权、列出应用授权、获取摄取、列出摄取、获取摄取目标、列出摄取目标和列出资源标签的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appfabric:GetAppAuthorization",
"appfabric:GetAppBundle",
"appfabric:GetIngestion",
"appfabric:GetIngestionDestination",
"appfabric:ListAppAuthorizations",
"appfabric:ListAppBundles",
"appfabric:ListIngestionDestinations",
"appfabric:ListIngestions",
"appfabric:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略:AWSAppFabricFullAccess
您可以将 `AWSAppFabricFullAccess` 策略附加到 IAM 身份。此策略向 AppFabric 服务授予管理权限。
**重要**
该`AWSAppFabricFullAccess`政策不授予 AppFabric 对提高生产力功能的访问权限,因为这些功能目前处于预览状态。有关授予生产力功能访问权限的 AppFabric 更多信息,请参阅[AppFabric 有关生产力 IAM 策略示例](security_iam_id-based-policy-examples.md#appfabric-for-productivity-policy-examples)。
**权限详细信息**
该策略包含以下权限:
+ `appfabric`— 向授予完全管理权限 AppFabric。
+ `kms` – 授予列出别名的权限。
+ `s3` – 授予列出所有的 Amazon S3 存储桶和获取存储桶位置的权限。
+ `firehose`— 授予列出 Amazon Data Firehose 传输流和描述传输流的权限。
+ `iam`— 授予为创建`AWSServiceRoleForAppFabric`服务相关角色的 AppFabric权限。有关更多信息,请参阅 [将服务相关角色用于 AppFabric](using-service-linked-roles.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["appfabric:*"],
"Resource": "*"
},
{
"Sid": "KMSListAccess",
"Effect": "Allow",
"Action": ["kms:ListAliases"],
"Resource": "*"
},
{
"Sid": "S3ReadAccess",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "FirehoseReadAccess",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:ListDeliveryStreams"
],
"Resource": "*"
},
{
"Sid": "AllowUseOfServiceLinkedRole",
"Effect": "Allow",
"Action": ["iam:CreateServiceLinkedRole"],
"Condition": {
"StringEquals": {"iam:AWSServiceName": "appfabric.amazonaws.com"}
},
"Resource": "arn:aws:iam::*:role/aws-service-role/appfabric.amazonaws.com/AWSServiceRoleForAppFabric"
}
]
}
```
------
## AWS 托管策略:AWSAppFabricServiceRolePolicy
无法将 `AWSAppFabricServiceRolePolicy` 策略附加到 IAM 实体。此策略附加到允许代表您执行操作 AppFabric 的服务相关角色。有关更多信息,请参阅 [将服务相关角色用于 AppFabric](using-service-linked-roles.md)。
**权限详细信息**
该策略包含以下权限:
+ `cloudwatch`— 授予将指标数据放 AppFabric 入 Amazon CloudWatch `AWS/AppFabric` 命名空间的权限。有关中可用 AppFabric 指标的更多信息 CloudWatch,请参阅[AWS AppFabric 使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。
+ `s3`— 授予 AppFabric 将提取的数据放入您指定的 Amazon S3 存储桶的权限。
+ `firehose`— 授予将提取的数据放 AppFabric 入您指定的 Amazon Data Firehose 传输流的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchEmitMetric",
"Effect": "Allow",
"Action": ["cloudwatch:PutMetricData"],
"Resource": "*",
"Condition": {
"StringEquals": {"cloudwatch:namespace": "AWS/AppFabric"}
}
},
{
"Sid": "S3PutObject",
"Effect": "Allow",
"Action": ["s3:PutObject"],
"Resource": "arn:aws:s3:::*/AWSAppFabric/*",
"Condition": {
"StringEquals": {"s3:ResourceAccount": "${aws:PrincipalAccount}"}
}
},
{
"Sid": "FirehosePutRecord",
"Effect": "Allow",
"Action": ["firehose:PutRecordBatch"],
"Resource": "arn:aws:firehose:*:*:deliverystream/*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/AWSAppFabricManaged": "true"}
}
}
]
}
```
------
## AppFabric 更新到 AWS 托管策略
查看 AppFabric 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅[AppFabric 文档历史记录页面](doc-history.md)上的 RSS 信息源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSAppFabricReadOnlyAccess](#security-iam-awsmanpol-AWSAppFabricReadOnlyAccess) - 新策略 | AppFabric 添加了向 AppFabric服务授予只读权限的新策略。 | 2023 年 6 月 27 日 |
| [AWSAppFabricFullAccess](#security-iam-awsmanpol-AWSAppFabricFullAccess):新策略 | AppFabric 添加了向 AppFabric 服务授予管理权限的新策略。 | 2023 年 6 月 27 日 |
| [AWSAppFabricServiceRolePolicy](#security-iam-awsmanpol-AWSAppFabricServiceRolePolicy):新策略 | AppFabric 为`AWSServiceRoleForAppFabric`服务相关角色添加了新策略。 | 2023 年 6 月 27 日 |
| AppFabric 开始跟踪更改 | AppFabric 开始跟踪其 AWS 托管策略的更改。 | 2023 年 6 月 27 日 |