本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS for AWS AppFabric 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務 維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務 和 資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 受管政策: AWSAppFabricReadOnlyAccess
您可將 `AWSAppFabricReadOnlyAccess` 政策連接到 IAM 身分。此政策會將唯讀許可授予 AppFabric 服務。
**注意**
此`AWSAppFabricReadOnlyAccess`政策不會授予 AppFabric 的唯讀存取權,以實現生產力功能。
**許可詳細資訊**
此政策包含以下許可:
+ `appfabric` – 准許取得應用程式套件、列出應用程式套件、取得應用程式授權、列出應用程式授權、取得擷取、列出擷取、取得擷取目的地、列出擷取目的地,以及列出資源標籤。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appfabric:GetAppAuthorization",
"appfabric:GetAppBundle",
"appfabric:GetIngestion",
"appfabric:GetIngestionDestination",
"appfabric:ListAppAuthorizations",
"appfabric:ListAppBundles",
"appfabric:ListIngestionDestinations",
"appfabric:ListIngestions",
"appfabric:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策: AWSAppFabricFullAccess
您可將 `AWSAppFabricFullAccess` 政策連接到 IAM 身分。此政策會將管理許可授予 AppFabric 服務。
**重要**
`AWSAppFabricFullAccess` 政策不會授予 AppFabric 的生產力功能存取權,因為它們目前處於預覽狀態。如需針對生產力功能對 AppFabric 執行存取權的詳細資訊,請參閱 [適用於生產力的 AppFabric IAM 政策範例](security_iam_id-based-policy-examples.md#appfabric-for-productivity-policy-examples)。
**許可詳細資訊**
此政策包含以下許可:
+ `appfabric` – 授予 AppFabric 完整的管理許可。
+ `kms` – 准許列出別名。
+ `s3` – 准許列出所有 Amazon S3 儲存貯體,並取得儲存貯體位置。
+ `firehose` – 准許列出 Amazon Data Firehose 交付串流,並描述交付串流。
+ `iam` – 准許為 AppFabric 建立`AWSServiceRoleForAppFabric`服務連結角色。如需詳細資訊,請參閱[使用 AppFabric 的服務連結角色](using-service-linked-roles.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["appfabric:*"],
"Resource": "*"
},
{
"Sid": "KMSListAccess",
"Effect": "Allow",
"Action": ["kms:ListAliases"],
"Resource": "*"
},
{
"Sid": "S3ReadAccess",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "FirehoseReadAccess",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:ListDeliveryStreams"
],
"Resource": "*"
},
{
"Sid": "AllowUseOfServiceLinkedRole",
"Effect": "Allow",
"Action": ["iam:CreateServiceLinkedRole"],
"Condition": {
"StringEquals": {"iam:AWSServiceName": "appfabric.amazonaws.com"}
},
"Resource": "arn:aws:iam::*:role/aws-service-role/appfabric.amazonaws.com/AWSServiceRoleForAppFabric"
}
]
}
```
------
## AWS 受管政策: AWSAppFabricServiceRolePolicy
您無法將 `AWSAppFabricServiceRolePolicy` 政策附加至 IAM 實體。此政策會連接到服務連結角色,允許 AppFabric 代表您執行動作。如需詳細資訊,請參閱[使用 AppFabric 的服務連結角色](using-service-linked-roles.md)。
**許可詳細資訊**
此政策包含以下許可:
+ `cloudwatch` – 准許 AppFabric 將指標資料放入 Amazon CloudWatch `AWS/AppFabric`命名空間。如需 CloudWatch 中可用 AppFabric 指標的詳細資訊,請參閱 [搭配 Amazon CloudWatch 的 Monitoring AWS AppFabric](monitoring-cloudwatch.md)。
+ `s3` – 准許 AppFabric 將擷取的資料放入您指定的 Amazon S3 儲存貯體。
+ `firehose` – 准許 AppFabric 將擷取的資料放入您指定的 Amazon Data Firehose 交付串流。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchEmitMetric",
"Effect": "Allow",
"Action": ["cloudwatch:PutMetricData"],
"Resource": "*",
"Condition": {
"StringEquals": {"cloudwatch:namespace": "AWS/AppFabric"}
}
},
{
"Sid": "S3PutObject",
"Effect": "Allow",
"Action": ["s3:PutObject"],
"Resource": "arn:aws:s3:::*/AWSAppFabric/*",
"Condition": {
"StringEquals": {"s3:ResourceAccount": "${aws:PrincipalAccount}"}
}
},
{
"Sid": "FirehosePutRecord",
"Effect": "Allow",
"Action": ["firehose:PutRecordBatch"],
"Resource": "arn:aws:firehose:*:*:deliverystream/*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/AWSAppFabricManaged": "true"}
}
}
]
}
```
------
## AWS 受管政策的 AppFabric 更新
檢視自此服務開始追蹤這些變更以來,AppFabric AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 [AppFabric 文件歷史記錄](doc-history.md)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSAppFabricReadOnlyAccess](#security-iam-awsmanpol-AWSAppFabricReadOnlyAccess) – 新政策 | AppFabric 新增了新的政策,將唯讀許可授予 AppFabric 服務。 | 2023 年 6 月 27 日 |
| [AWSAppFabricFullAccess](#security-iam-awsmanpol-AWSAppFabricFullAccess) – 新政策 | AppFabric 新增了新的政策,將管理許可授予 AppFabric 服務。 | 2023 年 6 月 27 日 |
| [AWSAppFabricServiceRolePolicy](#security-iam-awsmanpol-AWSAppFabricServiceRolePolicy) – 新政策 | AppFabric 新增`AWSServiceRoleForAppFabric`了服務連結角色的新政策。 | 2023 年 6 月 27 日 |
| AppFabric 已開始追蹤變更 | AppFabric 開始追蹤其 AWS 受管政策的變更。 | 2023 年 6 月 27 日 |