本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的操作、资源和条件键 AWS Resilience Hub
AWS Resilience Hub(服务前缀:resiliencehub)提供以下特定于服务的资源、操作和条件上下文密钥,供在 IAM 权限策略中使用。
参考:
操作定义为 AWS Resilience Hub
您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的访问级别列描述如何对操作进行分类(列出、读取、权限管理或标记)。此分类可以帮助您了解当您在策略中使用操作时,相应操作授予的访问级别。有关访问级别的更多信息,请参阅策略摘要中的访问级别。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
操作表的依赖操作列显示成功调用操作可能需要的其他权限。除了操作本身的权限以外,可能还需要这些权限。若某个操作指定依赖操作,则这些依赖关系可能适用于为该操作定义的其他资源,而不仅仅是表中列出的第一个资源。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AcceptResourceGroupingRecommendations | 授予权限以接受资源分组建议 | 写入 | |||
| AddDraftAppVersionResourceMappings | 授予权限以添加应用程序版本资源映射草稿 | 写入 |
cloudformation:DescribeStacks cloudformation:ListStackResources resource-groups:GetGroup resource-groups:ListGroupResources servicecatalog:GetApplication servicecatalog:ListAssociatedResources |
||
| BatchUpdateRecommendationStatus | 授予包含或排除一项或多项操作建议的权限 | 写入 | |||
| CreateApp | 授予创建应用程序的权限 | 写入 |
iam:PassRole |
||
| CreateAppVersionAppComponent | 授予创建应用程序组件的权限 | 写入 | |||
| CreateAppVersionResource | 授予创建应用程序资源的权限 | 写入 | |||
| CreateAssertion | 授予为服务创建断言的权限 | 写入 | |||
| CreateInputSource | 授予为服务创建输入源的权限 | 写入 | |||
| CreatePolicy | 授予权限以创建定义可用性和灾难恢复要求的弹性策略 | 写入 | |||
| CreateRecommendationTemplate | 授予创建建议模板的权限 | 写入 |
s3:CreateBucket s3:ListBucket s3:PutObject |
||
| CreateReport | 授予为服务创建报告的权限 | 写入 | |||
| CreateResiliencyPolicy | 授予权限以创建弹性策略 | 写入 | |||
| CreateService | 授予创建服务的权限 | 写入 | |||
| CreateServiceFunction | 授予创建服务函数的权限 | 写入 | |||
| CreateServiceFunctionResources | 授予创建服务功能资源的权限 | 写入 | |||
| CreateSystem | 授予创建代表服务逻辑分组的系统的权限 | 写入 | |||
| CreateUserJourney | 授予在系统内创建用户旅程的权限 | 写入 | |||
| DeleteApp | 授予权限以批量删除应用程序 | 写入 | |||
| DeleteAppAssessment | 授予权限以批量删除应用程序评估 | 写入 | |||
| DeleteAppInputSource | 授予删除应用程序输入来源的权限 | 写入 | |||
| DeleteAppVersionAppComponent | 授予删除应用程序组件的权限 | 写入 | |||
| DeleteAppVersionResource | 授予删除应用程序资源的权限 | 写入 | |||
| DeleteAssertion | 授予删除断言的权限 | 写入 | |||
| DeleteInputSource | 授予删除输入源的权限 | 写入 | |||
| DeletePolicy | 授予删除弹性策略的权限 | 写入 | |||
| DeleteRecommendationTemplate | 授予权限以批量删除建议模板 | 写入 | |||
| DeleteResiliencyPolicy | 授予权限以批量删除弹性策略 | 写入 | |||
| DeleteService | 授予删除服务的权限 | 写入 | |||
| DeleteServiceFunction | 授予删除服务函数的权限 | 写入 | |||
| DeleteServiceFunctionResources | 授予删除服务功能资源的权限 | 写入 | |||
| DeleteSystem | 授予删除系统的权限 | 写入 | |||
| DeleteUserJourney | 授予删除用户旅程的权限 | 写入 | |||
| DescribeApp | 授予描述应用程序的权限 | 读取 | |||
| DescribeAppAssessment | 授予描述应用程序评估的权限 | 读取 | |||
| DescribeAppVersion | 授予描述应用程序版本的权限 | 读取 | |||
| DescribeAppVersionAppComponent | 授予描述应用程序版本应用程序组件的权限 | 读取 | |||
| DescribeAppVersionResource | 授予描述应用程序版本资源的权限 | 读取 | |||
| DescribeAppVersionResourcesResolutionStatus | 授予描述应用程序分辨率的权限 | 读取 | |||
| DescribeAppVersionTemplate | 授予权限以描述应用程序模板版本 | 读取 | |||
| DescribeDraftAppVersionResourcesImportStatus | 授予描述草稿应用程序版本资源导入状态的权限 | 读取 | |||
| DescribeMetricsExport | 授予权限以描述指标导出 | 读取 | |||
| DescribeResiliencyPolicy | 授予权限以描述弹性策略 | 读取 | |||
| DescribeResourceGroupingRecommendationTask | 授予权限以描述分组推荐流程的最新状态 | 读取 | |||
| GetFailureModeFinding | 授予检索故障模式查找结果的权限 | 读取 | |||
| GetPolicy | 授予检索弹性策略的权限 | 读取 | |||
| GetService | 授予检索服务的权限 | 读取 | |||
| GetSystem | 授予检索系统的权限 | 读取 | |||
| GetUserJourney | 授予检索用户旅程的权限 | 读取 | |||
| ImportApp | 授予将 V1 应用程序导入 V2 资源模型的权限 | 写入 | |||
| ImportPolicy | 授予将 V1 策略导入 V2 的权限 | 写入 | |||
| ImportResourcesToDraftAppVersion | 授予权限以将资源导入应用程序版本草稿 | 写入 |
cloudformation:DescribeStacks cloudformation:ListStackResources resource-groups:GetGroup resource-groups:ListGroupResources servicecatalog:GetApplication servicecatalog:ListAssociatedResources |
||
| ListAlarmRecommendations | 授予列出告警建议的权限 | 列表 | |||
| ListAppAssessmentComplianceDrifts | 授予列出在运行评测时检测到的合规性偏差的权限 | 列表 | |||
| ListAppAssessmentResourceDrifts | 授予权限以列出在运行评测时检测到的资源偏差 | 列表 | |||
| ListAppAssessments | 授予列出应用程序评估的权限 | 列表 | |||
| ListAppComponentCompliances | 授予列出应用程序组件合规性的权限 | 列表 | |||
| ListAppComponentRecommendations | 授予列出应用程序组件建议的权限 | 列表 | |||
| ListAppInputSources | 授予列出应用程序输入来源的权限 | 列表 | |||
| ListAppVersionAppComponents | 授予列出应用程序版本应用程序组件的权限 | 列表 | |||
| ListAppVersionResourceMappings | 授予应用程序版本资源映射的权限 | 列表 | |||
| ListAppVersionResources | 授予权限以列出应用程序资源 | 列表 | |||
| ListAppVersions | 授予列出应用程序版本的权限 | 列表 | |||
| ListApps | 授予列出应用程序的权限 | 列表 | |||
| ListAssertions | 授予列出服务断言的权限 | 读取 | |||
| ListDependencies | 授予列出为服务发现的依赖项的权限 | 读取 | |||
| ListFailureModeAssessments | 授予列出故障模式评估的权限 | 读取 | |||
| ListFailureModeFindings | 授予列出故障模式发现结果的权限 | 读取 | |||
| ListInputSources | 授予列出服务输入源的权限 | 读取 | |||
| ListMetrics | 授予权限以列出指标 | 列表 | |||
| ListPolicies | 授予列出弹性策略的权限 | 读取 | |||
| ListRecommendationTemplates | 授予列出建议模板的权限 | 列表 | |||
| ListReports | 授予列出报告的权限 | 读取 | |||
| ListResiliencyPolicies | 授予列出弹性策略的权限 | 列表 | |||
| ListResourceGroupingRecommendations | 授予权限以列出资源分组建议 | 列表 | |||
| ListResources | 授予列出服务资源的权限 | 读取 | |||
| ListServiceEvents | 授予列出服务事件的权限 | 读取 | |||
| ListServiceFunctions | 授予列出服务函数的权限 | 读取 | |||
| ListServiceTopologyEdges | 授予列出服务拓扑边的权限 | 读取 | |||
| ListServices | 授予列出服务的权限 | 读取 | |||
| ListSopRecommendations | 授予列出 SOP 建议的权限 | 列表 | |||
| ListSuggestedResiliencyPolicies | 授予列出建议的弹性策略的权限 | 列表 | |||
| ListSystemEvents | 授予列出系统事件的权限 | 读取 | |||
| ListSystems | 授予列出系统的权限 | 读取 | |||
| ListTagsForResource | 授予权限以列出资源的标签 | 读取 | |||
| ListTestRecommendations | 授予列出测试建议的权限 | 列表 | |||
| ListUnsupportedAppVersionResources | 授予列出不受支持的应用程序版本资源的权限 | 列表 | |||
| ListUserJourneys | 授予列出系统用户旅程的权限 | 读取 | |||
| PublishAppVersion | 授予发布应用程序版本的权限 | 写入 | |||
| PutDraftAppVersionTemplate | 授予权限以放置应用程序版本模板草稿 | 写入 | |||
| RejectResourceGroupingRecommendations | 授予权限以拒绝资源分组建议 | 写入 | |||
| RemoveDraftAppVersionResourceMappings | 授予权限以删除应用程序版本映射草稿 | 写入 | |||
| ResolveAppVersionResources | 授予权限以解析应用程序版本资源 | 写入 |
cloudformation:DescribeStacks cloudformation:ListStackResources resource-groups:GetGroup resource-groups:ListGroupResources servicecatalog:GetApplication servicecatalog:ListAssociatedResources |
||
| StartAppAssessment | 授予创建应用程序评估的权限 | 写入 |
cloudformation:DescribeStacks cloudformation:ListStackResources cloudwatch:DescribeAlarms cloudwatch:GetMetricData cloudwatch:GetMetricStatistics cloudwatch:PutMetricData ec2:DescribeRegions fis:GetExperimentTemplate fis:ListExperimentTemplates fis:ListExperiments resource-groups:GetGroup resource-groups:ListGroupResources servicecatalog:GetApplication servicecatalog:ListAssociatedResources ssm:GetParametersByPath |
||
| StartFailureModeAssessment | 授予启动故障模式评估的权限 | 写入 | |||
| StartMetricsExport | 授予权限以启动指标导出 | 写入 | |||
| StartResourceGroupingRecommendationTask | 授予权限以启动分组建议生成流程 | 写入 | |||
| TagResource | 授予权限以分配资源标签 | 标签 | |||
| UntagResource | 授予权限以取消标记资源 | 标签 | |||
| UpdateApp | 授予更新应用程序的权限 | 写入 |
iam:PassRole |
||
| UpdateAppVersion | 授予更新应用程序版本的权限 | 写入 | |||
| UpdateAppVersionAppComponent | 授予更新应用程序组件的权限 | 写入 | |||
| UpdateAppVersionResource | 授予更新应用程序资源的权限 | 写入 | |||
| UpdateAssertion | 授予更新断言的权限 | 写入 | |||
| UpdateDependency | 授予更新依赖项分类的权限 | 写入 | |||
| UpdateFailureModeFinding | 授予更新故障模式查找结果的权限 | 写入 | |||
| UpdatePolicy | 授予更新弹性策略的权限 | 写入 | |||
| UpdateResiliencyPolicy | 授予权限以更新弹性策略 | 写入 | |||
| UpdateService | 授予更新服务的权限 | 写入 | |||
| UpdateServiceFunction | 授予更新服务功能的权限 | 写入 | |||
| UpdateSystem | 授予更新系统的权限 | 写入 | |||
| UpdateUserJourney | 授予更新用户旅程的权限 | 写入 | |||
由定义的资源类型 AWS Resilience Hub
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| resiliency-policy |
arn:${Partition}:resiliencehub:${Region}:${Account}:resiliency-policy/${ResiliencyPolicyId}
|
|
| application |
arn:${Partition}:resiliencehub:${Region}:${Account}:app/${AppId}
|
|
| app-assessment |
arn:${Partition}:resiliencehub:${Region}:${Account}:app-assessment/${AppAssessmentId}
|
|
| recommendation-template |
arn:${Partition}:resiliencehub:${Region}:${Account}:recommendation-template/${RecommendationTemplateId}
|
|
| policy |
arn:${Partition}:resiliencehub:${Region}:${Account}:policy/${PolicyId}
|
|
| service |
arn:${Partition}:resiliencehub:${Region}:${Account}:service/${ServiceId}
|
|
| system |
arn:${Partition}:resiliencehub:${Region}:${Account}:system/${SystemId}
|
的条件键 AWS Resilience Hub
AWS Resilience Hub 定义了以下条件键,这些条件键可用于 IAM 策略的Condition元素。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅 AWS 全局条件上下文键。
| 条件键 | 描述 | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | 根据在请求中是否具有标签键值对来筛选访问权限 | 字符串 |
| aws:ResourceTag/${TagKey} | 按附加到资源的标签键值对筛选操作 | 字符串 |
| aws:TagKeys | 按请求中传递的标签键筛选访问权限 | ArrayOfString |
