本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon适用于 Amazon AppSync 的托管策略
要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的IM 客户托管式策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略。
Amazon 服务负责维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccessAmazon托管策略提供对所有Amazon服务和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略。
Amazon托管策略: AWSAppSyncInvokeFullAccess
使用AWSAppSyncInvokeFullAccessAmazon托管策略允许您的管理员通过控制台或独立访问Amazon AppSync 服务。
您可以将 AWSAppSyncInvokeFullAccess 策略附加得到 IAM 身份。
权限详细信息
此策略包含以下权限。
-
Amazon AppSync— 允许对中的所有资源进行完全管理访问Amazon AppSync
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appsync:GraphQL", "appsync:GetGraphqlApi", "appsync:ListGraphqlApis", "appsync:ListApiKeys" ], "Resource": "*" } ] }
Amazon托管策略: AWSAppSyncSchemaAuthor
使用AWSAppSyncSchemaAuthorAmazon托管策略允许 IAM 用户创建、更新和查询其 GraphQL 架构。有关用户可以使用这些权限执行哪些操作的信息,请参阅设计 GraphQL API。
您可以将 AWSAppSyncSchemaAuthor 策略附加得到 IAM 身份。
权限详细信息
此策略包含以下权限。
-
Amazon AppSync— 允许以下操作:-
创建 GraphQL 架构
-
允许创建、修改和删除 GraphQL 类型、解析器和函数
-
评估请求和响应模板逻辑
-
使用运行时和上下文评估代码
-
向 GraphQL API 发送 GraphQL
-
检索 GraphQL 数据
-
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appsync:GraphQL", "appsync:CreateResolver", "appsync:CreateType", "appsync:DeleteResolver", "appsync:DeleteType", "appsync:GetResolver", "appsync:GetType", "appsync:GetDataSource", "appsync:GetSchemaCreationStatus", "appsync:GetIntrospectionSchema", "appsync:GetGraphqlApi", "appsync:ListTypes", "appsync:ListApiKeys", "appsync:ListResolvers", "appsync:ListDataSources", "appsync:ListGraphqlApis", "appsync:StartSchemaCreation", "appsync:UpdateResolver", "appsync:UpdateType", "appsync:TagResource", "appsync:UntagResource", "appsync:ListTagsForResource", "appsync:CreateFunction", "appsync:UpdateFunction", "appsync:GetFunction", "appsync:DeleteFunction", "appsync:ListFunctions", "appsync:ListResolversByFunction", "appsync:EvaluateMappingTemplate", "appsync:EvaluateCode" ], "Resource": "*" } ] }
Amazon托管策略: AWSAppSyncPushToCloudWatchLogs
Amazon AppSync 使用 Amazon CloudWatch 通过生成可用于故障排除和优化 GraphQL 请求的日志来监控应用程序的性能。有关更多信息,请参阅监控和日志记录:
使用AWSAppSyncPushToCloudWatchLogsAmazon托管策略允许将日志推送Amazon AppSync 到 IAM 用户的 CloudWatch 账户。
您可以将 AWSAppSyncPushToCloudWatchLogs 策略附加得到 IAM 身份。
权限详细信息
此策略包含以下权限。
-
CloudWatch Logs—Amazon AppSync 允许使用指定名称创建日志组和流。Amazon AppSync将日志事件推送到指定的日志流。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
Amazon托管策略: AWSAppSyncAdministrator
使用AWSAppSyncAdministratorAmazon托管策略允许您的管理员访问Amazon AppSync除Amazon控制台之外的所有内容。
您可以将 AWSAppSyncAdministrator 附加到您的 IAM 实体。Amazon AppSync 还将此策略附加到服务角色,该角色允许其代表您执行操作。
权限详细信息
此策略包含以下权限。
-
Amazon AppSync— 允许对中的所有资源进行完全管理访问Amazon AppSync -
IAM— 允许以下操作:-
创建服务相关角色,Amazon AppSync 允许代表您分析其他服务中的资源
-
删除服务相关角色
-
将服务相关角色传递给其他Amazon服务,以便稍后代入该角色并代表您执行操作
-
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appsync:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "appsync.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "appsync.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*" } ] }
Amazon托管策略: AWSAppSyncServiceRolePolicy
使用AWSAppSyncServiceRolePolicyAmazon托管策略允许访问Amazon AppSync使用或管理的Amazon服务和资源。
您不能将 AWSAppSyncServiceRolePolicy 附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Amazon AppSync 代表您执行操作。有关更多信息,请参阅Amazon AppSync 的服务相关角色:
权限详细信息
此策略包含以下权限。
-
X-Ray—Amazon AppSync Amazon X-Ray 用于收集有关在应用程序中提出的请求的数据。有关更多信息,请参阅使用跟踪Amazon X-Ray:此策略允许执行以下操作:
-
检索抽样规则及其结果
-
向 X-Ray 守护进程发送跟踪数据
-
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingTargets", "xray:GetSamplingRules", "xray:GetSamplingStatisticSummaries" ], "Resource": [ "*" ] } ] }
Amazon AppSync Amazon托管策略的更新
查看有关 Amazon AppSync 的 Amazon 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Amazon AppSync 文档历史记录页面上的 RSS 源。
| 更改 | 说明 | 日期 |
|---|---|---|
|
AWSAppSyncSchemaAuthor – 对现有策略的更新 |
添加了一项 |
2023 年 7 日 7 日 7 日 |
|
AWSAppSyncSchemaAuthor – 对现有策略的更新 |
添加了策略操作,允许列出、获取、创建、更新和删除 API 的函数。 添加了一项 添加了允许资源标记的策略操作。 |
2022 年 8 月 25 日 |
|
Amazon AppSync 已开启跟踪更改 |
Amazon AppSync 已开始为其Amazon托管式策略跟踪更改。 |
2022 年 8 月 25 日 |