本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS Service Catalog AppRegistry
## AWS 托管策略:`AWSServiceCatalogAdminFullAccess`
您可以附加`AWSServiceCatalogAdminFullAccess`到您的 IAM 实体。 AppRegistry 还将此策略附加 AppRegistry 到允许代表您执行操作的服务角色。
此策略授予允许完全访问管理员控制台视图的{{administrative}}权限,并授予创建和管理产品和产品组合的权限。
**权限详细信息**
该策略包含以下权限。
+ `servicecatalog`— 允许委托人拥有管理员控制台视图的全部权限,以及创建和管理产品组合和产品、管理限制、向最终用户授予访问权限以及在其中执行其他管理任务的能力。 AWS Service Catalog
+ `cloudformation`— 允许列出、读取、写入和标记 AWS CloudFormation 堆栈的 AWS Service Catalog 完全权限。
+ `config`— 允许通过 AWS Config访问产品组合、产品和预配置产品的 AWS Service Catalog 有限权限。
+ `iam`— 允许主体拥有查看和创建创建和管理产品和产品组合所需的服务用户、用户组或角色的全部权限。
+ `ssm`— AWS Service Catalog AWS Systems Manager 允许使用列出和阅读当前 AWS 账户和 AWS 区域中的 Systems Manager 文档。
查看策略:[AWSServiceCatalogAdminFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminFullAccess.html)。
## AWS 托管策略:`AWSServiceCatalogAdminReadOnlyAccess`
您可以附加`AWSServiceCatalogAdminReadOnlyAccess`到您的 IAM 实体。 AppRegistry 还将此策略附加 AppRegistry 到允许代表您执行操作的服务角色。
此策略授予允许完全访问管理员控制台视图的{{read-only}}权限。此策略不授予创建或管理产品和产品组合的访问权限。
**权限详细信息**
该策略包含以下权限。
+ `servicecatalog` — 允许主体拥有管理员控制台视图的只读权限。
+ `cloudformation`— 允许列出和读取 AWS CloudFormation 堆栈的 AWS Service Catalog 有限权限。
+ `config`— 允许通过 AWS Config访问产品组合、产品和预配置产品的 AWS Service Catalog 有限权限。
+ `iam`— 允许主体查看创建和管理产品和产品组合所需的服务用户、组或角色的有限权限。
+ `ssm`— AWS Service Catalog AWS Systems Manager 允许使用列出和阅读当前 AWS 账户和 AWS 区域中的 Systems Manager 文档。
查看策略:[AWSServiceCatalogAdminReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminReadOnlyAccess.html)。
## AWS 托管策略:`AWSServiceCatalogEndUserFullAccess`
您可以附加`AWSServiceCatalogEndUserFullAccess`到您的 IAM 实体。 AppRegistry 还将此策略附加 AppRegistry 到允许代表您执行操作的服务角色。
此策略授予允许完全访问最终用户控制台视图的{{contributor}}权限,并授予启动产品和管理预配置产品的权限。
**权限详细信息**
该策略包含以下权限。
+ `servicecatalog` – 允许主体对最终用户控制台视图的完全权限以及启动产品和管理预配置产品的权限。
+ `cloudformation`— 允许列出、读取、写入和标记 AWS CloudFormation 堆栈的 AWS Service Catalog 完全权限。
+ `config`— 允许 AWS Service Catalog 有限权限通过 AWS Config列出和阅读有关产品组合、产品和预配置产品的详细信息。
+ `ssm`— AWS Service Catalog 允许使用读 AWS Systems Manager 取当前 AWS 账户和 AWS 区域中的 Systems Manager 文档。
查看策略:[AWSServiceCatalogEndUserFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserFullAccess.html)。
## AWS 托管策略:`AWSServiceCatalogEndUserReadOnlyAccess`
您可以附加`AWSServiceCatalogEndUserReadOnlyAccess`到您的 IAM 实体。 AppRegistry 还将此策略附加 AppRegistry 到允许代表您执行操作的服务角色。
此策略授予的{{read-only}}权限允许对最终用户控制台视图进行只读访问。此策略不授予启动产品或管理预配置产品的权限。
**权限详细信息**
该策略包含以下权限。
+ `servicecatalog`— 允许主体拥有访问最终用户控制台视图的只读权限。
+ `cloudformation`— 允许列出和读取 AWS CloudFormation 堆栈的 AWS Service Catalog 有限权限。
+ `config`— 允许 AWS Service Catalog 有限权限通过 AWS Config列出和阅读有关产品组合、产品和预配置产品的详细信息。
+ `ssm`— AWS Service Catalog 允许使用读 AWS Systems Manager 取当前 AWS 账户和 AWS 区域中的 Systems Manager 文档。
查看策略:[AWSServiceCatalogEndUserReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserReadOnlyAccess.html)。
## AWS 托管策略:`AWSServiceCatalogSyncServiceRolePolicy`
AWS Service Catalog 将此策略附加到`AWSServiceRoleForServiceCatalogSync`服务相关角色 (SLR),允许 AWS Service Catalog 将外部存储库中的模板同步到 AWS Service Catalog 产品。
此策略授予的权限允许对 AWS Service Catalog 操作(例如,API 调用)和其他 AWS Service Catalog 依赖的 AWS 服务操作进行有限的访问。
**权限详细信息**
该策略包含以下权限。
+ `servicecatalog`— 允许 AWS Service Catalog 工件同步角色有限地访问 AWS Service Catalog 公共 API。
+ `codeconnections`— 允许 AWS Service Catalog 工件同步角色有限地访问CodeConnections 公共 API。
+ `cloudformation`— 允许 AWS Service Catalog 工件同步角色有限地访问 AWS CloudFormation 公共 API。
查看策略:[AWSServiceCatalogSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogSyncServiceRolePolicy.html)。
**Service-linked 角色详情**
AWS Service Catalog 将上述权限详细信息用于在用户创建或更新使用的 AWS Service Catalog CodeConnections产品时创建的`AWSServiceRoleForServiceCatalogSync`服务相关角色。您可以使用 AWS CLI、 AWS API 或通过 AWS Service Catalog 控制台修改此策略。有关如何创建、编辑和删除服务相关角色的更多信息,请参阅[为 AWS Service Catalog使用服务相关角色(SLR)](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles)。
`AWSServiceRoleForServiceCatalogSync`服务相关角色中包含的权限 AWS Service Catalog 允许代表客户执行以下操作。
+ `servicecatalog:ListProvisioningArtifacts`— 允许 AWS Service Catalog 工件同步角色列出同步到存储库中模板文件的给定 AWS Service Catalog 产品的配置工件。
+ `servicecatalog:DescribeProductAsAdmin`— 允许 AWS Service Catalog 工件同步角色使用 `DescribeProductAsAdmin` API 获取 AWS Service Catalog 产品及其关联的预配置工件的详细信息,这些工件已同步到存储库中的模板文件。构件同步角色使用此调用的输出来验证产品对预配置构件的服务限额限制。
+ `servicecatalog:DeleteProvisioningArtifact`— 允许 AWS Service Catalog 工件同步角色删除已置备的对象。
+ `servicecatalog:ListServiceActionsForProvisioningArtifact`— 允许 AWS Service Catalog 对象同步角色确定服务操作是否与置备对象相关联,并确保在关联服务操作时不会删除置备对象。
+ `servicecatalog:DescribeProvisioningArtifact`— 允许 AWS Service Catalog 工件同步角色从 `DescribeProvisioningArtifact` API 中检索详细信息,包括`SourceRevisionInfo`输出中提供的提交 ID。
+ `servicecatalog:CreateProvisioningArtifact`— 如果检测到外部存储库中的源模板文件发生了更改(例如,已提交 git-push),则允许工 AWS Service Catalog 件同步角色创建新的预配置工件。
+ `servicecatalog:UpdateProvisioningArtifact`— 允许 AWS Service Catalog 工件同步角色更新已连接或已同步产品的已配置对象。
+ `codeconnections:UseConnection`— 允许 AWS Service Catalog 工件同步角色使用现有连接来更新和同步产品。
+ `cloudformation:ValidateTemplate`— 允许 AWS Service Catalog 对象同步角色的有限访问权限 AWS CloudFormation 来验证外部存储库中使用的模板的模板格式,并验证是否 CloudFormation 可以支持该模板。
## AWS 托管策略:`AWSServiceCatalogOrgsDataSyncServiceRolePolicy`
AWS Service Catalog 将此策略附加到`AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关角色 (SLR), AWS Service Catalog 允许与同步。 AWS Organizations
此策略授予的权限允许对 AWS Service Catalog 操作(例如,API 调用)和其他 AWS Service Catalog 依赖的 AWS 服务操作进行有限的访问。
**权限详细信息**
该策略包含以下权限。
+ `organizations`— 允许 AWS Service Catalog 数据同步角色有限地访问 AWS Organizations 公共 API。
查看策略:[AWSServiceCatalogOrgsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogOrgsDataSyncServiceRolePolicy.html)。
**Service-linked 角色详情**
AWS Service Catalog 将上述权限详细信息用于在用户启用 AWS Organizations 共享产品组合访问权限或创建投资组合共享时创建的`AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关角色。您可以使用 AWS CLI、 AWS API 或通过 AWS Service Catalog 控制台修改此策略。有关如何创建、编辑和删除服务相关角色的更多信息,请参阅[为 AWS Service Catalog使用服务相关角色(SLR)](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles)。
`AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关角色中包含的权限 AWS Service Catalog 允许代表客户执行以下操作。
+ `organizations:DescribeAccount`— 允许 Org AWS Service Catalog anizations Data Sync 角色检索有关指定账户的 AWS Organizations相关信息。
+ `organizations:DescribeOrganization`— 允许 Organizations Data Sync 角色检索有关用户帐户所属组织的信息。 AWS Service Catalog
+ `organizations:ListAccounts`— 允许 Organizations Data Sync 角色列出用户组织中的帐户。 AWS Service Catalog
+ `organizations:ListChildren`— 允许 Or AWS Service Catalog ganizations Data Sync 角色列出包含在指定父组织单位或根目录中的所有组织单位 (UO) 或帐户。
+ `organizations:ListParents`— 允许 Organizations Data Sync 角色列出作为指定子 AWS Service Catalog 组织单位或账户直系父级的一个或多个根组织单位。
+ `organizations:ListAWSServiceAccessForOrganization`— 允许 AWS Service Catalog Organizations Data Sync 角色检索用户允许与其组织集成的 AWS 服务列表。
## 已弃用的策略
以下托管策略已弃用:
+ **ServiceCatalogAdminFullAccess**— **AWSServiceCatalogAdminFullAccess**改用。
+ **ServiceCatalogAdminReadOnlyAccess**— **AWSServiceCatalogAdminReadOnlyAccess**改用。
+ **ServiceCatalogEndUserFullAccess**— **AWSServiceCatalogEndUserFullAccess**改用。
+ **ServiceCatalogEndUserAccess**— **AWSServiceCatalogEndUserReadOnlyAccess**改用。
使用以下过程可确保管理员和最终用户获得使用当前策略的权限。
要从已弃用的策略迁移到当前策略,请参阅*《AWS Identity and Access Management 用户指南》*中的[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
## AppRegistry 更新到 AWS 托管策略
查看 AppRegistry 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AppRegistry 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy)— 更新托管策略 | AWS Service Catalog 已将`AWSServiceCatalogSyncServiceRolePolicy`政策更新`codestar-connections`为`codeconnections`。 | 2024 年 5 月 7 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— 更新托管策略 | AWS Service Catalog 更新了`AWSServiceCatalogAdminFullAccess`策略,增加了 AWS Service Catalog 管理员在其账户中创建`AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关角色 (SLR) 所需的权限。 | 2023 年 4 月 14 日 |
| [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy):新托管策略 | AWS Service Catalog 添加了`AWSServiceCatalogOrgsDataSyncServiceRolePolicy`附加到`AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关角色 (SLR) 的, AWS Service Catalog 允许与同步。 AWS Organizations此策略允许对所 AWS Service Catalog 依赖的 AWS Service Catalog 操作(例如 API 调用)和其他 AWS 服务操作进行有限的访问。 | 2023 年 4 月 14 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— 更新托管策略 | AWS Service Catalog 更新了`AWSServiceCatalogAdminFullAccess`策略,使其包含 AWS Service Catalog 管理员的所有权限,并创建了与的兼容性 AppRegistry。 | 2023 年 1 月 12 日 |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy):新托管策略 | AWS Service Catalog 添加了附加到`AWSServiceRoleForServiceCatalogSync`服务相关角色 (SLR) 的`AWSServiceCatalogSyncServiceRolePolicy`策略。此策略 AWS Service Catalog 允许将外部存储库中的模板同步到 AWS Service Catalog 产品。 | 2022 年 11 月 18 日 |
| [AWSServiceRoleForServiceCatalogSync](using-service-linked-roles.md#slr-permissions)— 新的服务相关角色 | AWS Service Catalog 添加了`AWSServiceRoleForServiceCatalogSync`服务相关角色 (SLR)。此角色是使用、创建、更新 CodeConnections 和描述产品的 AWS Service Catalog 预配对象所必需的。 AWS Service Catalog | 2022 年 11 月 18 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— 更新了托管策略 | AWS Service Catalog 更新了`AWSServiceCatalogAdminFullAccess`策略,使其包含 AWS Service Catalog 管理员所需的所有权限。该策略确定了管理员可以对所有 AWS Service Catalog 资源采取的具体操作,例如创建、描述、删除等。此外,该政策已更改为支持最近推出的基于属性的访问控制 (ABAC) 功能。 AWS Service Catalog ABAC 允许您将 `AWSServiceCatalogAdminFullAccess` 策略用作模板,根据标签允许或拒绝对 AWS Service Catalog 资源执行操作。有关更多信息,请参阅 *AWS Identity and Access Management* 中的[什么是适用于 AWS的 ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。 | 2022 年 9 月 30 日 |
| AppRegistry 已开始跟踪更改 | AppRegistry 开始跟踪其 AWS 托管策略的更改。 | 2022 年 9 月 15 日 |