本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Security Agent 的動作、資源和條件索引鍵
AWS Security Agent (服務字首:securityagent) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Security Agent 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了 動作本身的許可之外,還可能需要這些許可。當動作指定相依動作時,這些相依性可能適用於針對該動作定義的其他資源,而不只是資料表中列出的第一個資源。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AddArtifact | 准許為指定的代理程式空間新增成品 | 寫入 | |||
| BatchDeletePentests | 准許在單一請求中刪除多個滲透測試 | 寫入 |
kms:Decrypt |
||
| BatchGetAgentSpaces | 准許在單一請求中擷取多個代理程式空間 | 讀取 |
kms:Decrypt |
||
| BatchGetArtifactMetadata | 准許擷取指定代理程式空間的一或多個成品中繼資料記錄 | 讀取 | |||
| BatchGetFindings | 准許在單一請求中擷取多個安全測試問題清單 | 讀取 |
kms:Decrypt |
||
| BatchGetPentestJobContentMetadata | 准許在單一請求中擷取多個 pentest 任務內容中繼資料 | 讀取 |
kms:Decrypt |
||
| BatchGetPentestJobTasks | 准許在單一請求中擷取多個 pentest 任務 | 讀取 |
kms:Decrypt |
||
| BatchGetPentestJobs | 准許在單一請求中擷取多個安全測試任務 | 讀取 |
kms:Decrypt |
||
| BatchGetPentests | 准許在單一請求中擷取多個滲透測試 | 讀取 |
kms:Decrypt |
||
| BatchGetTargetDomains | 准許在單一請求中擷取多個目標網域 | 讀取 | |||
| CreateAgentSpace | 准許建立客服人員空間記錄 | 寫入 |
kms:Decrypt kms:DescribeKey kms:GenerateDataKeyWithoutPlaintext |
||
| CreateApplication | 准許建立新的應用程式 | 寫入 |
iam:PassRole kms:DescribeKey sso:CreateApplication |
||
| CreateDesignReview | 准許建立設計檢閱 | 寫入 | |||
| CreateIntegration | 准許建立安全測試整合 | 寫入 | |||
| CreateMembership | 准許將單一成員新增至具有指定角色的代理程式空間 | 寫入 | |||
| CreateOneTimeLoginSession | 准許建立一次性登入工作階段 | 寫入 | |||
| CreatePentest | 准許建立新的滲透測試組態 | 寫入 |
kms:Decrypt |
||
| CreateSecurityRequirement | 准許新增客戶受管安全要求 | 寫入 | |||
| CreateTargetDomain | 准許建立目標網域記錄 | 寫入 | |||
| DeleteAgentSpace | 准許刪除客服人員空間記錄 | 寫入 |
kms:Decrypt |
||
| DeleteApplication | 准許刪除應用程式 | 寫入 | |||
| DeleteArtifact | 准許刪除成品 | 寫入 | |||
| DeleteDesignReview | 准許刪除設計檢閱 | 寫入 | |||
| DeleteIntegration | 准許刪除應用程式的整合 | 寫入 | |||
| DeleteMembership | 准許移除與代理程式空間相關聯的單一成員 | 寫入 | |||
| DeleteSecurityRequirement | 准許刪除客戶受管安全要求 | 寫入 | |||
| DeleteTargetDomain | 准許刪除目標網域記錄 | 寫入 | |||
| GetApplication | 准許依應用程式 ID 取得應用程式詳細資訊 | 讀取 | |||
| GetArtifact | 准許擷取指定代理程式空間的成品 | 讀取 | |||
| GetDesignReview | 准許取得相關代理程式空間設計檢閱的狀態 | 讀取 | |||
| GetDesignReviewArtifact | 准許取得特定文件的設計檢閱成品 | 讀取 | |||
| GetDesignReviewFeedback | 准許取得設計評論的意見回饋 | 讀取 | |||
| GetIntegration | 准許依 ID 取得整合中繼資料 | 讀取 | |||
| GetSecurityRequirement | 准許擷取安全需求 | 讀取 | |||
| InitiateProviderRegistration | 准許啟動指定提供者的 Security Agent 應用程式註冊 (例如:GitHub) | 寫入 | |||
| ListAgentSpaces | 准許列出代理程式空間 | 清單 | |||
| ListApplications | 准許列出帳戶中的所有應用程式 | 清單 | |||
| ListArtifacts | 准許列出指定代理程式空間的所有成品 | 清單 | |||
| ListDesignReviewComments | 准許列出設計評論 | 清單 | |||
| ListDesignReviews | 准許列出指定代理程式空間的所有設計檢閱 | 清單 | |||
| ListDiscoveredEndpoints | 准許使用選用的 URI 字首篩選列出與 pentest 任務相關聯的探索端點 | 清單 |
kms:Decrypt |
||
| ListFindings | 准許列出具有篩選和分頁支援的調查結果 | 清單 |
kms:Decrypt |
||
| ListIntegratedResources | 准許列出代理程式空間的整合資源 | 清單 | |||
| ListIntegrations | 准許取得發起人的 擁有的整合 AWS 帳戶 | 清單 | |||
| ListMemberships | 准許列出與具有分頁支援之代理程式空間相關聯的所有成員 | 清單 | |||
| ListPentestJobTasks | 准許列出與五項測試任務相關聯的五項測試任務 | 清單 |
kms:Decrypt |
||
| ListPentestJobsForPentest | 准許列出與滲透測試相關聯的滲透測試任務 | 清單 |
kms:Decrypt |
||
| ListPentests | 准許列出依狀態選擇性篩選的滲透測試 | 清單 |
kms:Decrypt |
||
| ListResourcesFromIntegration | 准許從整合列出資源 | 清單 | |||
| ListSecurityRequirements | 准許列出所有安全需求 | 清單 | |||
| ListTagsForResource | 准許列出資源的標籤 | 讀取 | |||
| ListTargetDomains | 准許列出目標網域 | 清單 | |||
| PutDesignReviewFeedback | 准許提交設計評論的意見回饋 | 寫入 | |||
| StartCodeRemediation | 准許開始問題清單的程式碼修復 | 寫入 |
kms:Decrypt kms:GenerateDataKey |
||
| StartPentestJob | 准許啟動滲透測試的執行 | 寫入 |
kms:Decrypt kms:GenerateDataKey |
||
| StopPentestJob | 准許停止執行中的滲透測試 | 寫入 |
kms:Decrypt |
||
| TagResource | 准許將 標籤新增至資源 | 標記 | |||
| ToggleManagedSecurityRequirement | 准許切換受管安全要求的狀態 | 寫入 | |||
| UntagResource | 授予許可來從資源中移除標籤 | 標記 | |||
| UpdateAgentSpace | 准許更新客服人員空間記錄 | 寫入 |
kms:Decrypt |
||
| UpdateApplication | 准許更新應用程式組態 | 寫入 |
iam:PassRole kms:DescribeKey |
||
| UpdateFinding | 准許更新具有新詳細資訊或狀態的現有安全調查結果 | 寫入 |
kms:Decrypt |
||
| UpdateIntegratedResources | 准許更新代理程式空間的整合資源 | 寫入 | |||
| UpdatePentest | 准許使用新組態或設定更新現有的滲透測試 | 寫入 |
kms:Decrypt |
||
| UpdateSecurityRequirement | 准許更新客戶受管安全要求 | 寫入 | |||
| UpdateTargetDomain | 准許更新目標網域記錄 | 寫入 | |||
| VerifyTargetDomain | 准許驗證已註冊目標網域的擁有權 | 寫入 |
AWS Security Agent 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| Application |
arn:${Partition}:securityagent:${Region}:${Account}:application/${ApplicationId}
|
|
| SecurityRequirementPack |
arn:${Partition}:securityagent:${Region}:${Account}:security-requirement-pack/${SecurityRequirementPackId}
|
|
| Integration |
arn:${Partition}:securityagent:${Region}:${Account}:integration/${IntegrationId}
|
|
| AgentSpace |
arn:${Partition}:securityagent:${Region}:${Account}:agent-space/${AgentId}
|
|
| TargetDomain |
arn:${Partition}:securityagent:${Region}:${Account}:target-domain/${TargetDomainId}
|
AWS Security Agent 的條件索引鍵
AWS Security Agent 定義了下列條件索引鍵,可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依要求中傳遞的標籤來篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源關聯的標籤來篩選存取權 | 字串 |
| aws:TagKeys | 依要求中傳遞的標籤索引鍵來篩選存取權 | ArrayOfString |
