本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS Amplify
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策: AdministratorAccess-Amplify
您可將 `AdministratorAccess-Amplify` 政策連接到 IAM 身分。Amplify 也會將此政策連接至允許 Amplify 代表您執行動作的服務角色。
在 Amplify 主控台中部署後端時,您必須建立 Amplify 用來建立和管理 AWS 資源`Amplify-Backend Deployment`的服務角色。IAM 會將 `AdministratorAccess-Amplify`受管政策連接至`Amplify-Backend Deployment`服務角色。
此政策授予帳戶管理許可,同時明確允許直接存取 Amplify 應用程式建立和管理後端所需的資源。
**許可詳細資訊**
此政策可讓您存取多個 AWS 服務,包括 IAM 動作。這些動作可讓具有此政策的身分使用 AWS Identity and Access Management 來建立具有任何許可的其他身分。這允許許可提升,且此政策應視為與`AdministratorAccess`政策一樣強大。
此政策會授予所有 資源`iam:PassRole`的動作許可。這是支援 Amazon Cognito 使用者集區組態的必要項目。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AdministratorAccess-Amplify](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess-Amplify.html)。
## AWS 受管政策:AmplifyBackendDeployFullAccess
您可將 `AmplifyBackendDeployFullAccess` 政策連接到 IAM 身分。
此政策授予 Amplify 使用 部署 Amplify 後端資源的完整存取許可 AWS Cloud Development Kit (AWS CDK)。許可會延遲至具有必要`AdministratorAccess`政策許可 AWS CDK 的角色。
**許可詳細資訊**
此政策包含執行下列 的許可。
+ `Amplify`– 擷取已部署應用程式的中繼資料。
+ `CloudFormation`– 建立、更新和刪除 Amplify 受管堆疊。
+ `SSM`– 建立、更新和刪除 Amplify 受管 SSM 參數存放區`String`和`SecureString`參數。
+ `AWS AppSync`– AWS AppSync 更新和擷取結構描述、解析程式和函數資源。其目的是支援 Gen 2 沙盒熱插拔功能。
+ `Lambda`– 更新和擷取 Amplify 受管函數的組態。其目的是支援 Gen 2 沙盒熱插拔功能。
擷取 Lambda 函數的標籤。目的是支援客戶定義的 Lambda 函數。
+ `Amazon S3`– 擷取 Amplify 部署資產。
+ `AWS Security Token Service`– 讓 AWS Cloud Development Kit (AWS CDK) CLI 擔任部署角色。
+ `Amazon RDS`– 讀取資料庫執行個體、叢集和代理的中繼資料。
+ `Amazon EC2`– 讀取子網路的可用區域資訊。
+ `CloudWatch Logs`– 擷取客戶 Lambda 函數的日誌。目的是允許 Amplify 雲端開發沙盒環境將 Lambda 函數的日誌串流到客戶的終端機。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AmplifyBackendDeployFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmplifyBackendDeployFullAccess.html)。
## Amplify AWS 受管政策的更新
檢視自此服務開始追蹤 Amplify AWS 受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [的文件歷史記錄 AWS Amplify](document-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 更新現有政策 | 新增 `logs:FilterLogEvents` 資源的讀取存取權,以允許 Amplify 從建立自訂日誌群組的函數串流日誌。這是現有串流 Lambda 函數日誌功能的延伸。 | 2024 年 11 月 14 日 |
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 更新現有政策 | 新增 `lambda:ListTags`和 `logs:FilterLogEvents` 資源的讀取存取權,以支援客戶定義的 Lambda 函數。這些許可允許 Amplify 雲端開發沙盒環境將 Lambda 函數的日誌串流到客戶的終端機。 | 2024 年 7 月 18 日 |
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 更新現有政策 | 新增`arn:aws:ssm:*:*:parameter/cdk-bootstrap/*`資源的讀取存取權,以允許 Amplify 偵測客戶帳戶中的 CDK 引導版本。 | 2024 年 5 月 31 日 |
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 更新現有政策 | 使用資源和帳戶條件範圍的 Amazon RDS 和 Amazon EC2 唯讀許可來新增`AmplifyDiscoverRDSVpcConfig`政策陳述式。這些許可支援 Amplify Gen 2 `npx amplify generate schema-from-database`命令,可讓客戶從現有的 SQL 資料庫產生 Typescript 資料結構描述。
新增 `rds:DescribeDBProxies`、`rds:DescribeDBInstances`、`rds:DescribeDBSubnetGroups`、 `rds:DescribeDBClusters`和 `ec2:DescribeSubnets`許可。`npx amplify generate schema-from-database` 命令需要這些許可來檢查指定的資料庫主機是否託管在 Amazon RDS 中,並自動產生佈建由 SQL 資料庫支援之 AWS AppSync API 所需的其他資源所需的 Amazon VPC 組態。 | 2024 年 4 月 17 日 |
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 更新現有政策 | 新增`cloudformation:DeleteStack`政策動作,以支援在呼叫 `DeleteBranch` API 時刪除堆疊。
新增`lambda:GetFunction`政策動作以支援熱插拔函數。
新增`lambda:UpdateFunctionConfiguration`政策動作以支援 Lambda 函數的更新。 | 2024 年 4 月 5 日 |
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 更新至現有政策 | 新增 `cloudformation:TagResource`和 `cloudformation:UnTagResource`許可,以支援對 CloudFormation APIs呼叫。 | 2024 年 4 月 4 日 |
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 更新現有政策 | 新增`lambda:InvokeFunction`政策動作以支援 AWS Cloud Development Kit (AWS CDK) 熱插拔。會 AWS CDK 直接呼叫 Lambda 函數來執行 Amazon S3 資產熱插拔。
新增`lambda:UpdateFunctionCode`政策動作以支援熱插拔函數。 | 2024 年 1 月 2 日 |
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 更新現有政策 | 新增政策動作以支援 `UpdateApiKey`操作。這是在退出並重新啟動沙盒後啟用成功應用程式部署的必要條件,而不會刪除資源。 | 2023 年 11 月 17 日 |
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 更新現有政策 | 新增支援 Amplify 應用程式部署的`amplify:GetBackendEnvironment`許可。 | 2023 年 11 月 6 日 |
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – 新政策 | Amplify 新增了具有部署 Amplify 後端資源所需最低許可的新政策。 | 2023 年 10 月 8 日 |
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 更新至現有政策 | 新增 Amplify 命令列界面 (CLI) 所需的ecr:DescribeRepositories許可。 | 2023 年 6 月 1 日 |
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 更新至現有政策 | 新增政策動作,以支援從 AWS AppSync 資源移除標籤。
新增政策動作以支援 Amazon Polly 資源。
新增政策動作,以支援更新 OpenSearch 網域組態。
新增政策動作,以支援從角色 AWS Identity and Access Management 移除標籤。
新增政策動作,以支援從 Amazon DynamoDB 資源移除標籤。
將 `cloudfront:GetCloudFrontOriginAccessIdentity`和 `cloudfront:GetCloudFrontOriginAccessIdentityConfig`許可新增至`CLISDKCalls`陳述式區塊,以支援 Amplify 發佈和託管工作流程。
將 `s3:PutBucketPublicAccessBlock` 許可新增至`CLIManageviaCFNPolicy`陳述式區塊, AWS CLI 以允許 支援在內部儲存貯體上啟用 Amazon S3 封鎖公開存取功能的 Amazon S3 安全最佳實務。
將 `cloudformation:DescribeStacks`許可新增至`CLISDKCalls`陳述式區塊,以支援擷取客戶在 Amplify 後端處理器中重試時的 CloudFormation 堆疊,以避免在堆疊更新時重複執行。
將 `cloudformation:ListStacks` 許可新增至`CLICloudformationPolicy`陳述式區塊。需要此許可才能完全支援 CloudFormation DescribeStacks 動作。 | 2023 年 2 月 24 日 |
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 更新至現有政策 | 新增政策動作,以允許 Amplify 伺服器端轉譯功能將應用程式指標推送至客戶 中的 CloudWatch AWS 帳戶。 | 2022 年 8 月 30 日 |
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 更新至現有政策 | 新增政策動作以封鎖對 Amplify 部署 Amazon S3 儲存貯體的公開存取。 | 2022 年 4 月 27 日 |
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 更新至現有政策 | 新增動作以允許客戶刪除其伺服器端轉譯 (SSR) 應用程式。這也允許成功刪除對應的 CloudFront 分佈。
新增動作以允許客戶指定不同的 Lambda 函數,以使用 Amplify CLI 處理現有事件來源的事件。透過這些變更, AWS Lambda 將能夠執行 [UpdateEventSourceMapping](https://docs.aws.amazon.com/lambda/latest/dg/API_UpdateEventSourceMapping.html) 動作。 | 2022 年 4 月 17 日 |
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 更新至現有政策 | 新增政策動作,以啟用所有資源上的 Amplify UI Builder 動作。 | 2021 年 12 月 2 日 |
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 更新至現有政策 | 新增政策動作以支援使用社交身分提供者的 Amazon Cognito 身分驗證功能。
新增政策動作以支援 Lambda 層。
新增政策動作以支援 Amplify Storage 類別。 | 2021 年 11 月 8 日 |
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 更新至現有政策 | 新增 Amazon Lex 動作以支援 Amplify Interactions 類別。
新增 Amazon Rekognition 動作以支援 Amplify 預測類別。
新增 Amazon Cognito 動作,以支援 Amazon Cognito 使用者集區上的 MFA 組態。
新增 CloudFormation 動作以支援 CloudFormation StackSets。
新增 Amazon Location Service 動作以支援 Amplify Geo 類別。
新增 Lambda 動作以支援 Amplify 中的 Lambda 層。
新增 CloudWatch Logs 動作以支援 CloudWatch Events。
新增 Amazon S3 動作以支援 Amplify Storage 類別。
新增政策動作以支援伺服器端轉譯 (SSR) 應用程式。 | 2021 年 9 月 27 日 |
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) – 更新至現有政策 | 將所有 Amplify 動作合併為單一`amplify:*`動作。
新增 Amazon S3 動作以支援加密客戶 Amazon S3 儲存貯體。
新增 IAM 許可界限動作,以支援已啟用許可界限的 Amplify 應用程式。
新增 Amazon SNS 動作以支援檢視起始電話號碼,以及檢視、建立、驗證和刪除目的地電話號碼。
Amplify Studio:新增 Amazon Cognito AWS Lambda、、IAM 和 CloudFormation 政策動作,以在 Amplify 主控台和 Amplify Studio 中啟用管理後端。
新增 AWS Systems Manager (SSM) 政策陳述式來管理 Amplify 環境秘密。
新增動作 CloudFormation `ListResources`以支援 Amplify 應用程式的 Lambda 層。 | 2021 年 7 月 28 日 |
| Amplify 已開始追蹤變更 | Amplify 開始追蹤其 AWS 受管政策的變更。 | 2021 年 7 月 28 日 |