AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS CloudFormation 的操作、资源和条件键

AWS CloudFormation(服务前缀:cloudformation)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS CloudFormation 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源列指示每个操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
CancelUpdateStack 取消指定堆栈的更新。 写入

stack*

ContinueUpdateRollback 对于处于 UPDATE_ROLLBACK_FAILED 状态的指定堆栈,请继续将它回滚到 UPDATE_ROLLBACK_COMPLETE 状态。 写入

stack*

cloudformation:RoleArn

CreateChangeSet 为堆栈创建更改列表。 写入

stack*

cloudformation:ChangeSetName

cloudformation:ResourceTypes

cloudformation:RoleArn

cloudformation:StackPolicyUrl

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStack 创建模板中指定的堆栈。 写入

stack*

cloudformation:ResourceTypes

cloudformation:RoleArn

cloudformation:StackPolicyUrl

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStackInstances 在指定区域内,为指定账户创建堆栈实例。 写入

stackset*

CreateStackSet 创建模板中指定的堆栈集。 写入

cloudformation:RoleArn

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUploadBucket [仅权限] 写入
DeleteChangeSet 删除指定的更改集。删除更改集可确保没有人执行错误的更改集。 写入

stack*

cloudformation:ChangeSetName

DeleteStack 删除指定的堆栈。 写入

stack*

cloudformation:RoleArn

DeleteStackInstances 在指定区域内,为指定账户删除堆栈实例。 写入

stackset*

DeleteStackSet 删除指定的堆栈集。 写入

stackset*

DescribeAccountLimits 检索您的账户的 AWS CloudFormation 限制。 Read
DescribeChangeSet 返回指定更改集的描述。 Read

stack*

cloudformation:ChangeSetName

DescribeStackDriftDetectionStatus 返回有关堆栈偏差检测操作的信息。 Read
DescribeStackEvents 返回指定堆栈的所有与堆栈相关的事件。 Read

stack*

DescribeStackInstance 返回与指定的堆栈集、AWS 账户和区域关联的堆栈实例。 Read

stackset*

DescribeStackResource 返回指定堆栈中的指定资源的描述。 Read

stack*

DescribeStackResourceDrifts 返回已在指定堆栈中检查偏差的资源的偏差信息。 Read

stack*

DescribeStackResources 返回正在运行的和已删除的堆栈的 AWS 资源描述。 Read

stack*

DescribeStackSet 返回指定堆栈集的描述。 Read

stackset*

DescribeStackSetOperation 返回指定堆栈集操作的描述。 Read

stackset*

DescribeStacks 返回指定堆栈的描述。 List

stack*

DetectStackDrift 检测堆栈的实际配置是否与预期配置(在堆栈模板以及指定为模板参数的任何值中定义)不同或出现偏差。 Read

stack*

DetectStackResourceDrift 返回有关资源的实际配置是否与预期配置(在堆栈模板以及指定为模板参数的任何值中定义)不同或出现偏差的信息。 Read

stack*

EstimateTemplateCost 返回模板的估算的月度成本。 Read
ExecuteChangeSet 使用在创建指定的更改集时提供的输入信息更新堆栈。 写入

stack*

cloudformation:ChangeSetName

GetStackPolicy 返回指定堆栈的堆栈策略。 Read

stack*

GetTemplate 返回指定堆栈的模板正文。 Read

stack*

GetTemplateSummary 返回有关新模板或现有模板的信息。 Read

stack

stackset

ListChangeSets 返回堆栈的每个活动更改集的 ID 和状态。例如,AWS CloudFormation 列出处于 CREATE_IN_PROGRESS 或 CREATE_PENDING 状态的更改集。 List

stack*

ListExports 列出您在其中调用此操作的账户和区域中的所有已导出输出值。 List
ListImports 列出正在导入已导出输出值的所有堆栈。 List
ListStackInstances 返回有关与指定堆栈集关联的堆栈实例的摘要信息。 List

stackset*

ListStackResources 返回指定堆栈的所有资源的描述。 List

stack*

ListStackSetOperationResults 返回有关堆栈集操作结果的摘要信息。 List

stackset*

ListStackSetOperations 返回有关在堆栈集上执行的操作的摘要信息。 List

stackset*

ListStackSets 返回有关与用户关联的堆栈集的摘要信息。 List

stackset*

ListStacks 返回其状态与指定的 StackStatusFilter 匹配的堆栈的摘要信息。 List
SetStackPolicy 设置指定堆栈的堆栈策略。 权限管理

stack*

cloudformation:StackPolicyUrl

SignalResource 向具有成功或失败状态的指定资源发送信号。 写入

stack*

StopStackSetOperation 停止堆栈集及其关联的堆栈实例上正在执行的操作。 写入

stackset*

UpdateStack 更新模板中指定的堆栈。 写入

stack*

cloudformation:ResourceTypes

cloudformation:RoleArn

cloudformation:StackPolicyUrl

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateStackInstances 在指定区域内,更新指定账户的堆栈实例的参数值。 写入

stackset*

UpdateStackSet 更新模板中指定的堆栈集。 写入

stackset*

cloudformation:RoleArn

cloudformation:TemplateUrl

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateTerminationProtection 更新指定堆栈的终止保护。 写入

stack*

ValidateTemplate 验证指定的模板。 写入

AWS CloudFormation 定义的资源

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
stack arn:${Partition}:cloudformation:${Region}:${Account}:stack/${StackName}/${Id}

aws:ResourceTag/${TagKey}

stackset arn:${Partition}:cloudformation:${Region}:${Account}:stackset/${StackSetName}:${Id}

aws:ResourceTag/${TagKey}

changeset arn:${Partition}:cloudformation:${Region}:${Account}:changeSet/${ChangeSetName}:${Id}

AWS CloudFormation 的条件键

AWS CloudFormation 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅 IAM 策略参考 中的可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 字符串
aws:ResourceTag/${TagKey} 字符串
aws:TagKeys 字符串
cloudformation:ChangeSetName AWS CloudFormation 更改集名称。用于控制 IAM 用户可执行或删除的更改集。 字符串
cloudformation:ResourceTypes 模板资源类型,例如 <code>AWS::EC2::Instance</code>。用于控制 IAM 用户在创建或更新堆栈时可以使用的资源类型 字符串
cloudformation:RoleArn IAM 服务角色的 ARN。用于控制 IAM 用户在处理堆栈或更改集时可使用的服务角色。 ARN
cloudformation:StackPolicyUrl Amazon S3 堆栈策略 URL。用于控制在创建或更新堆栈操作期间 IAM 用户可将哪些堆栈策略关联到堆栈。 字符串
cloudformation:TemplateUrl Amazon S3 模板 URL。用于控制 IAM 用户在创建或更新堆栈时可以使用的模板。 字符串