本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS Service Catalog AppRegistry
## AWS 受管政策: `AWSServiceCatalogAdminFullAccess`
您可以將 `AWSServiceCatalogAdminFullAccess` 連接到 IAM 實體。AppRegistry 也會將此政策連接至服務角色,以允許 AppRegistry 代表您執行動作。
此政策會授予*管理*許可,以允許完整存取管理員主控台檢視,並授予建立和管理產品和產品組合的許可。
**許可詳細資訊**
此政策包含以下許可。
+ `servicecatalog` – 允許主體對管理員主控台檢視的完整許可,以及能夠建立和管理產品組合和產品、管理限制、授予最終使用者的存取權,以及在其中執行其他管理任務 AWS Service Catalog。
+ `cloudformation`– 允許列出、讀取、寫入和標記 AWS CloudFormation 堆疊 AWS Service Catalog 的完整許可。
+ `config`– 允許透過 對產品組合、產品和佈建產品的 AWS Service Catalog 有限許可 AWS Config。
+ `iam`– 允許主體檢視和建立建立和管理產品和產品組合所需的服務使用者、gropus 或角色的完整許可。
+ `ssm` – 允許 AWS Service Catalog 使用 AWS Systems Manager 列出和讀取目前 AWS 帳戶和 AWS 區域中的 Systems Manager 文件。
檢視政策:[AWSServiceCatalogAdminFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminFullAccess.html)。
## AWS 受管政策: `AWSServiceCatalogAdminReadOnlyAccess`
您可以將 `AWSServiceCatalogAdminReadOnlyAccess` 連接到 IAM 實體。AppRegistry 也會將此政策連接至服務角色,以允許 AppRegistry 代表您執行動作。
此政策授予*唯讀*許可,允許完整存取管理員主控台檢視。此政策不會授予建立或管理產品和產品組合的存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `servicecatalog` – 允許主體對管理員主控台檢視的唯讀許可。
+ `cloudformation`– 允許列出和讀取 AWS CloudFormation 堆疊的 AWS Service Catalog 有限許可。
+ `config`– 允許透過 對產品組合、產品和佈建產品的 AWS Service Catalog 有限許可 AWS Config。
+ `iam`– 允許主體檢視建立和管理產品和產品組合所需的服務使用者、群組或角色的有限許可。
+ `ssm` – 允許 AWS Service Catalog 使用 AWS Systems Manager 列出和讀取目前 AWS 帳戶和 AWS 區域中的 Systems Manager 文件。
檢視政策:[AWSServiceCatalogAdminReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminReadOnlyAccess.html)。
## AWS 受管政策: `AWSServiceCatalogEndUserFullAccess`
您可以將 `AWSServiceCatalogEndUserFullAccess` 連接到 IAM 實體。AppRegistry 也會將此政策連接至服務角色,以允許 AppRegistry 代表您執行動作。
此政策授予*參與者*許可,以允許完整存取最終使用者主控台檢視,並授予許可,以啟動產品和管理佈建產品。
**許可詳細資訊**
此政策包含以下許可。
+ `servicecatalog` – 允許主體對最終使用者主控台檢視的完整許可,以及啟動產品和管理佈建產品的能力。
+ `cloudformation`– 允許列出、讀取、寫入和標記 AWS CloudFormation 堆疊 AWS Service Catalog 的完整許可。
+ `config`– 允許 AWS Service Catalog 有限許可列出和讀取有關產品組合、產品和佈建產品的詳細資訊 AWS Config。
+ `ssm` – 允許 AWS Service Catalog 使用 AWS Systems Manager 讀取目前 AWS 帳戶和 AWS 區域中的 Systems Manager 文件。
檢視政策:[AWSServiceCatalogEndUserFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserFullAccess.html)。
## AWS 受管政策: `AWSServiceCatalogEndUserReadOnlyAccess`
您可以將 `AWSServiceCatalogEndUserReadOnlyAccess` 連接到 IAM 實體。AppRegistry 也會將此政策連接至服務角色,以允許 AppRegistry 代表您執行動作。
此政策授予*唯讀*許可,允許對最終使用者主控台檢視進行唯讀存取。此政策不會授予啟動產品或管理佈建產品的許可。
**許可詳細資訊**
此政策包含以下許可。
+ `servicecatalog` :允許主體對最終使用者主控台檢視的唯讀許可。
+ `cloudformation`– 允許列出和讀取 AWS CloudFormation 堆疊的 AWS Service Catalog 有限許可。
+ `config`– 允許 AWS Service Catalog 有限許可透過 列出和讀取有關產品組合、產品和佈建產品的詳細資訊 AWS Config。
+ `ssm` – 允許 AWS Service Catalog 使用 AWS Systems Manager 讀取目前 AWS 帳戶和 AWS 區域中的 Systems Manager 文件。
檢視政策:[AWSServiceCatalogEndUserReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserReadOnlyAccess.html)。
## AWS 受管政策: `AWSServiceCatalogSyncServiceRolePolicy`
AWS Service Catalog 將此政策連接至`AWSServiceRoleForServiceCatalogSync`服務連結角色 (SLR),允許 AWS Service Catalog 將外部儲存庫中的範本同步至 AWS Service Catalog 產品。
此政策會授予許可,允許有限存取 AWS Service Catalog 動作 (例如 API 呼叫) 和 AWS Service Catalog 依賴的其他 AWS 服務動作。
**許可詳細資訊**
此政策包含以下許可。
+ `servicecatalog` – 允許 AWS Service Catalog 成品同步角色限制對 AWS Service Catalog 公有 APIs存取。
+ `codeconnections`– 允許 AWS Service Catalog 成品同步角色限制對 CodeConnections 公有 APIs存取。
+ `cloudformation`– 允許 AWS Service Catalog 成品同步角色限制對 AWS CloudFormation 公有 APIs存取。
檢視政策:[AWSServiceCatalogSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogSyncServiceRolePolicy.html)。
**服務連結角色詳細資訊**
AWS Service Catalog 會將上述許可詳細資訊用於使用者建立或更新使用 CodeConnections AWS Service Catalog 的產品時所建立`AWSServiceRoleForServiceCatalogSync`的服務連結角色。您可以使用 AWS CLI、 AWS API 或透過 AWS Service Catalog 主控台修改此政策。如需如何建立、編輯和刪除服務連結角色的詳細資訊,請參閱[使用服務連結角色 (SLRs) AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles)。
`AWSServiceRoleForServiceCatalogSync` 服務連結角色中包含的許可 AWS Service Catalog 允許 代表客戶執行下列動作。
+ `servicecatalog:ListProvisioningArtifacts` — 允許 AWS Service Catalog 成品同步角色列出同步至儲存庫中範本檔案之指定 AWS Service Catalog 產品的佈建成品。
+ `servicecatalog:DescribeProductAsAdmin` — 允許 AWS Service Catalog 成品同步角色使用 `DescribeProductAsAdmin` API 來取得 AWS Service Catalog 產品的詳細資訊,及其與儲存庫中範本檔案同步的相關佈建成品。成品同步角色會使用來自此呼叫的輸出來驗證佈建成品的產品服務配額限制。
+ `servicecatalog:DeleteProvisioningArtifact` — 允許 AWS Service Catalog 成品同步角色刪除佈建的成品。
+ `servicecatalog:ListServiceActionsForProvisioningArtifact` — 允許 AWS Service Catalog 成品同步角色判斷服務動作是否與佈建成品相關聯,並確保如果與服務動作相關聯,則不會刪除佈建成品。
+ `servicecatalog:DescribeProvisioningArtifact` — 允許 AWS Service Catalog 成品同步角色從 `DescribeProvisioningArtifact` API 擷取詳細資訊,包括`SourceRevisionInfo`輸出中提供的遞交 ID。
+ `servicecatalog:CreateProvisioningArtifact` — 如果偵測到對外部儲存庫中的來源範本檔案進行變更 (例如,遞交 git-push),允許 AWS Service Catalog 成品同步角色建立新的佈建成品。
+ `servicecatalog:UpdateProvisioningArtifact` — 允許 AWS Service Catalog 成品同步角色更新已連線或同步產品的佈建成品。
+ `codeconnections:UseConnection` — 允許 AWS Service Catalog 成品同步角色使用現有的連線來更新和同步產品。
+ `cloudformation:ValidateTemplate` — 允許 AWS Service Catalog 成品同步角色限制對 的存取 AWS CloudFormation ,以驗證外部儲存庫中使用的範本的範本格式,並驗證 是否可以 CloudFormation 支援範本。
## AWS 受管政策: `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`
AWS Service Catalog 將此政策連接到`AWSServiceRoleForServiceCatalogOrgsDataSync`服務連結角色 (SLR) AWS Service Catalog ,允許 與 同步 AWS Organizations。
此政策會授予許可,允許有限存取 AWS Service Catalog 動作 (例如 API 呼叫) 和 AWS Service Catalog 依賴的其他 AWS 服務動作。
**許可詳細資訊**
此政策包含以下許可。
+ `organizations`— 允許 AWS Service Catalog 資料同步角色限制對 AWS Organizations 公有 APIs存取。
檢視政策:[AWSServiceCatalogOrgsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogOrgsDataSyncServiceRolePolicy.html)。
**服務連結角色詳細資訊**
AWS Service Catalog 會將上述許可詳細資訊用於使用者啟用 AWS Organizations 共用產品組合存取或建立產品組合共用時所建立`AWSServiceRoleForServiceCatalogOrgsDataSync`的服務連結角色。您可以使用 AWS CLI、 AWS API 或透過 AWS Service Catalog 主控台修改此政策。如需如何建立、編輯和刪除服務連結角色的詳細資訊,請參閱[使用服務連結角色 (SLRs) AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles)。
`AWSServiceRoleForServiceCatalogOrgsDataSync` 服務連結角色中包含的許可 AWS Service Catalog 允許 代表客戶執行下列動作。
+ `organizations:DescribeAccount` — 允許 AWS Service Catalog Organizations Data Sync 角色擷取指定帳戶的 AWS Organizations相關資訊。
+ `organizations:DescribeOrganization` — 允許 AWS Service Catalog Organizations Data Sync 角色擷取有關使用者帳戶所屬組織的資訊。
+ `organizations:ListAccounts` — 允許 AWS Service Catalog Organizations Data Sync 角色列出使用者組織中的帳戶。
+ `organizations:ListChildren` — 允許 AWS Service Catalog Organizations Data Sync 角色列出指定父 OU 或根中包含的所有組織單位 (UOs) 或帳戶。
+ `organizations:ListParents` — 允許 AWS Service Catalog Organizations Data Sync 角色列出做為指定子 OUs 或帳戶之直接父項的根或 OU。
+ `organizations:ListAWSServiceAccessForOrganization` — 允許 AWS Service Catalog Organizations Data Sync 角色擷取使用者啟用與其組織整合 AWS 的服務清單。
## 已棄用的政策
下列管理的政策已作廢。
+ **ServiceCatalogAdminFullAccess** – 改用 **AWSServiceCatalogAdminFullAccess**。
+ **ServiceCatalogAdminReadOnlyAccess** — 請改用 **AWSServiceCatalogAdminReadOnlyAccess**。
+ **ServiceCatalogEndUserFullAccess** – 改用 **AWSServiceCatalogEndUserFullAccess**。
+ **ServiceCatalogEndUserAccess** — 請改用 **AWSServiceCatalogEndUserReadOnlyAccess**。
使用下列程序以使用目前的政策確保系統管理員和最終使用者獲授予權限。
若要從已棄用的政策遷移到目前的政策,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
## AWS 受管政策的 AppRegistry 更新
檢視自此服務開始追蹤這些變更以來 AppRegistry AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AppRegistry 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy) – 更新受管政策 | AWS Service Catalog 已更新`AWSServiceCatalogSyncServiceRolePolicy`政策以`codestar-connections`變更為 `codeconnections`。 | 2024 年 5 月 7 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) – 更新受管政策 | AWS Service Catalog 已更新`AWSServiceCatalogAdminFullAccess`政策,以包含 AWS Service Catalog 管理員在其帳戶中建立`AWSServiceRoleForServiceCatalogOrgsDataSync`服務連結角色 (SLR) 所需的許可。 | 2023 年 4 月 14 日 |
| [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy) – 新的受管政策 | AWS Service Catalog 新增了連接到`AWSServiceRoleForServiceCatalogOrgsDataSync`服務連結角色 (SLR) 的 `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`, AWS Service Catalog 允許 與 同步 AWS Organizations。此政策允許有限存取 AWS Service Catalog 動作 (例如 API 呼叫),以及 AWS Service Catalog 所依賴的其他 AWS 服務動作。 | 2023 年 4 月 14 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) – 更新受管政策 | AWS Service Catalog 已更新`AWSServiceCatalogAdminFullAccess`政策,納入 AWS Service Catalog 管理員的所有許可,並建立與 AppRegistry 的相容性。 | 2023 年 1 月 12 日 |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy) – 新受管政策 | AWS Service Catalog 已新增 政策,該`AWSServiceCatalogSyncServiceRolePolicy`政策會連接至`AWSServiceRoleForServiceCatalogSync`服務連結角色 (SLR)。此政策允許 AWS Service Catalog 將外部儲存庫中的範本同步至 AWS Service Catalog 產品。 | 2022 年 11 月 18 日 |
| [AWSServiceRoleForServiceCatalogSync](using-service-linked-roles.md#slr-permissions) – 新的服務連結角色 | AWS Service Catalog 已新增`AWSServiceRoleForServiceCatalogSync`服務連結角色 (SLR)。需要此角色 AWS Service Catalog 才能使用 CodeConnections,以及建立、更新和描述產品的 AWS Service Catalog 佈建成品。 | 2022 年 11 月 18 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) – 更新了受管政策 | AWS Service Catalog 已更新`AWSServiceCatalogAdminFullAccess`政策,以包含 AWS Service Catalog 管理員的所有必要許可。政策會識別管理員可以對所有 AWS Service Catalog 資源採取的特定動作,例如建立、描述、刪除等。此外,政策已變更為支援最近啟動的功能,屬性型存取控制 (ABAC) AWS Service Catalog。ABAC 可讓您使用`AWSServiceCatalogAdminFullAccess`政策作為範本,以允許或拒絕根據標籤對 AWS Service Catalog 資源執行的動作。如需 ABAC 的詳細資訊,請參閱《》中的[什麼是 ABAC for AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)*AWS Identity and Access Management*。 | 2022 年 9 月 30 日 |
| AppRegistry 已開始追蹤變更 | AppRegistry 開始追蹤其 AWS 受管政策的變更。 | 2022 年 9 月 15 日 |