Amazon Batch API 操作支持的资源级权限 - Amazon Batch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Batch API 操作支持的资源级权限

术语资源级权限指的是能够指定允许用户对其执行操作的资源的能力。Amazon Batch部分支持资源级权限。对于某些 Amazon Batch 操作,您可以控制何时允许用户执行操作(基于必须满足的条件)或是允许用户使用的特定资源。例如,您可以向用户授予提交作业的权限,但仅授予特定作业队列的权限,并且仅具有特定的作业定义。

以下列表描述了Amazon Batch当前支持资源级权限的 API 操作,以及每个操作支持的资源、资源 ARN 和条件键。

重要

如果Amazon Batch此列表中没有列出 API 操作,因此它不支持资源级权限。如果Amazon BatchAPI 操作不支持资源级权限,您可以向用户授予使用该操作的权限,但是必须为策略语句的资源元素指定通配符 (*)。

CancelJob

取消中的作业Amazon Batchqueue.

资源
任务

ARN: aws::领域帐户:job/jobId

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

CreateComputeEnvironment

创建一个Amazon Batch计算环境。

资源
计算环境

arnn: aws። batch:领域帐户: 计算环境/compute-environment-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

条件键
aws:RequestTag/${TagKey}(字符串)

根据在请求中传递的标签筛选操作。

aws:TagKeys(字符串)

根据在请求中传递的标签键筛选操作。

CreateJobQueue

创建一个Amazon Batch作业队列。

资源
计算环境

arnn: aws። batch:领域帐户: 计算环境/compute-environment-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

作业队列

ARN: aws::领域帐户: 作业队列/队列名称

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

计划策略

ARN: aws::领域帐户: 调度政策/scheduling-policy-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

条件键
aws:RequestTag/${TagKey}(字符串)

根据在请求中传递的标签筛选操作。

aws:TagKeys(字符串)

根据在请求中传递的标签键筛选操作。

DeleteComputeEnvironment

删除Amazon Batch计算环境。

资源
计算环境

arnn: aws። batch:领域帐户: 计算环境/compute-environment-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

CreateSchedulingPolicy

创建一个Amazon Batch计划策略。

资源
计划策略

ARN: aws::领域帐户: 调度政策/scheduling-policy-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

条件键
aws:RequestTag/${TagKey}(字符串)

根据在请求中传递的标签筛选操作。

aws:TagKeys(字符串)

根据在请求中传递的标签键筛选操作。

DeleteJobQueue

删除指定的作业队列。删除作业队列最终会删除队列中的所有作业。每秒删除作业的速度约为 16 个工作。

资源
作业队列

ARN: aws::领域帐户: 作业队列/队列名称

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

DeleteSchedulingPolicy

删除指定的调度策略。

资源
计划策略

arnn: aws: batch:领域帐户: 调度政策/scheduling-policy-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

DeregisterJobDefinition

取消注销Amazon Batch作业定义。

资源
作业定义

arnn: aws: batch:领域帐户: 职位定义/定义名称修订

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

ListTagsForResource

列出指定资源的标签。

资源
计算环境

arnn: aws። batch:领域帐户: 计算环境/compute-environment-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

任务

ARN: aws::领域帐户:job/jobId

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

作业定义

ARN: aws::领域帐户: 职位定义/定义名称修订

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

作业队列

ARN: aws::领域帐户: 作业队列/队列名称

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

计划策略

ARN: aws::领域帐户: 调度政策/scheduling-policy-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

RegisterJobDefinition

注册一个Amazon Batch定义。

资源
作业定义

ARN: aws::领域帐户: 职位定义/定义名称修订

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

条件键
batch:AWSLogsCreateGroup(布尔值)

当此参数设置为 true 时,awslogs-group是为日志创建的。

batch:AWSLogsGroup(字符串)

这些区域有:awslogs日志所在的组。

batch:AWSLogsRegion(字符串)

日志发送到的区域。

batch:AWSLogsStreamPrefix(字符串)

这些区域有:awslogs日志流前缀。

batch:Image(字符串)

用于启动工作的 Docker 映像。

batch:LogDriver(字符串)

作业所使用的日志驱动程序。

batch:Privileged(布尔值)

当此参数为 true 时,将对此作业的容器提供对主机容器实例的提升的权限(类似于根用户)。

batch:User(字符串)

要在作业的容器中使用的用户名或数字 UID。

aws:RequestTag/${TagKey}(字符串)

根据在请求中传递的标签筛选操作。

aws:TagKeys(字符串)

根据在请求中传递的标签键筛选操作。

SubmitJob

提交Amazon Batch来自作业定义的作业。

资源
任务

ARN: aws::领域帐户:job/jobId

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

作业定义

ARN: aws::领域帐户: 职位定义/定义名称修订

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

作业队列

ARN: aws::领域帐户: 作业队列/队列名称

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

TagResource

标记指定的资源。

资源
计算环境

arnn: aws። batch:领域帐户: 计算环境/compute-environment-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

任务

ARN: aws::领域帐户:job/jobId

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

作业定义

ARN: aws::领域帐户: 职位定义/定义名称修订

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

作业队列

ARN: aws::领域帐户: 作业队列/队列名称

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

计划策略

ARN: aws::领域帐户: 调度政策/scheduling-policy-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

条件键
aws:RequestTag/${TagKey}(字符串)

根据在请求中传递的标签筛选操作。

aws:TagKeys(字符串)

根据在请求中传递的标签键筛选操作。

TerminateJob

终止中的作业Amazon Batch作业队列。

资源
任务

ARN: aws::领域帐户:job/jobId

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

UntagResource

取消标记指定的资源。

资源
计算环境

arnn: aws። batch:领域帐户: 计算环境/compute-environment-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

任务

ARN: aws::领域帐户:job/jobId

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

作业定义

ARN: aws::领域帐户: 职位定义/定义名称修订

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

作业队列

ARN: aws::领域帐户: 作业队列/队列名称

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

计划策略

ARN: aws::领域帐户: 调度政策/scheduling-policy-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

条件键
aws:TagKeys(字符串)

根据在请求中传递的标签键筛选操作。

UpdateComputeEnvironment

更新Amazon Batch计算环境。

资源
计算环境

arnn: aws። batch:领域帐户: 计算环境/compute-environment-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

UpdateJobQueue

更新作业队列。

资源
作业队列

ARN: aws::领域帐户: 作业队列/队列名称

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

计划策略

ARN: aws::领域帐户: 调度政策/scheduling-policy-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

UpdateSchedulingPolicy

更新计划策略。

资源
计划策略

ARN: aws::领域帐户: 调度政策/scheduling-policy-name

条件键
aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

的条件键Amazon BatchAPI 操作

Amazon Batch 定义以下可在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。要查看适用于所有服务的全局条件键,请参阅可用的全局条件键中的IAM 用户指南.

batch:AWSLogsCreateGroup(布尔值)

当此参数设置为 true 时,awslogs-group是为日志创建的。

batch:AWSLogsGroup(字符串)

这些区域有:awslogs日志所在的组。

batch:AWSLogsRegion(字符串)

日志发送到的区域。

batch:AWSLogsStreamPrefix(字符串)

这些区域有:awslogs日志流前缀。

batch:Image(字符串)

用于启动工作的 Docker 映像。

batch:LogDriver(字符串)

作业所使用的日志驱动程序。

batch:Privileged(布尔值)

当此参数为 true 时,将对此作业的容器提供对主机容器实例的提升的权限(类似于根用户)。

aws:ResourceTag/${TagKey}(字符串)

根据与资源关联的标签筛选操作。

aws:RequestTag/${TagKey}(字符串)

根据在请求中传递的标签筛选操作。

batch:ShareIdentifier(字符串)

根据shareIdentifier发送到的参数SubmitJob.

aws:TagKeys(字符串)

根据在请求中传递的标签键筛选操作。

batch:User(字符串)

要在作业的容器中使用的用户名或数字 UID。