本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Cloud Map API 权限:操作、资源和条件参考
在设置 访问控制 和编写您可附加到 IAM 身份的权限策略(基于身份的策略)时,可以使用以下列表作为参考。这些列表包含每个 Amazon Cloud Map API 操作、您必须授予访问权限的操作以及您必须授予访问权限的 Amazon 资源。您可以在 Action
字段中指定策略的操作,并在 Resource
字段中指定策略的资源值。
您可以在 IAM 策略中使用Amazon Cloud Map特定的条件键进行某些操作。有关更多信息,请参阅Amazon Cloud Map 条件键参考。您还可以使用 Amazon 范围的条件键。有关 Amazon 范围内的键的完整列表,请参阅 IAM 用户指南中的可用键。
要指定操作,请在 API 操作名称之前使用 servicediscovery
前缀(例如,servicediscovery:CreatePublicDnsNamespace
和 route53:CreateHostedZone
)。
Amazon Cloud Map操作所需的权限
- CreateHttpNamespace
-
所需的权限(API 操作):
-
servicediscovery:CreateHttpNamespace
资源:
*
-
- CreatePrivateDnsNamespace
-
所需的权限(API 操作):
-
servicediscovery:CreatePrivateDnsNamespace
-
route53:CreateHostedZone
-
route53:GetHostedZone
-
route53:ListHostedZonesByName
-
ec2:DescribeVpcs
-
ec2:DescribeRegions
资源:
*
-
- CreatePublicDnsNamespace
-
所需的权限(API 操作):
-
servicediscovery:CreatePublicDnsNamespace
-
route53:CreateHostedZone
-
route53:GetHostedZone
-
route53:ListHostedZonesByName
资源:
*
-
- CreateService
-
所需权限(API 操作):
servicediscovery:CreateService
资源:
*
- DeleteNamespace
-
所需的权限(API 操作):
-
servicediscovery:DeleteNamespace
资源:
*
、arn:aws:servicediscovery:
region
:account-id
:namespace/namespace-id
-
- DeleteService
-
所需权限(API 操作):
servicediscovery:DeleteService
资源:
*
、arn:aws:servicediscovery:
region
:account-id
:service/service-id
- DeregisterInstance
-
所需的权限(API 操作):
-
servicediscovery:DeregisterInstance
-
route53:GetHealthCheck
-
route53:DeleteHealthCheck
-
route53:UpdateHealthCheck
-
route53:ChangeResourceRecordSets
资源:
*
-
- DiscoverInstances
-
所需权限(API 操作):
servicediscovery:DiscoverInstances
资源:
*
- GetInstance
-
所需权限(API 操作):
servicediscovery:GetInstance
资源:
*
- GetInstancesHealthStatus
-
所需权限(API 操作):
servicediscovery:GetInstancesHealthStatus
资源:
*
- GetNamespace
-
所需权限(API 操作):
servicediscovery:GetNamespace
资源:
*
、arn:aws:servicediscovery:
region
:account-id
:namespace/namespace-id
- GetOperation
-
所需权限(API 操作):
servicediscovery:GetOperation
资源:
*
- GetService
-
所需权限(API 操作):
servicediscovery:GetService
资源:
*
、arn:aws:servicediscovery:
region
:account-id
:service/service-id
- ListInstances
-
所需权限(API 操作):
servicediscovery:ListInstances
资源:
*
- ListNamespaces
-
所需权限(API 操作):
servicediscovery:ListNamespaces
资源:
*
- ListOperations
-
所需权限(API 操作):
servicediscovery:ListOperations
资源:
*
- ListServices
-
所需权限(API 操作):
servicediscovery:ListServices
资源:
*
- RegisterInstance
-
所需的权限(API 操作):
-
servicediscovery:RegisterInstance
-
route53:GetHealthCheck
-
route53:CreateHealthCheck
-
route53:UpdateHealthCheck
-
route53:ChangeResourceRecordSets
-
ec2:DescribeInstances
资源:
*
-
- UpdateHttpNamespace
-
所需权限(API 操作):
servicediscovery:UpdateHttpNamespace
资源:
*
、arn:aws:servicediscovery:
region
:account-id
:namespace/namespace-id
- UpdateInstanceCustomHealthStatus
-
所需权限(API 操作):
servicediscovery:UpdateInstanceCustomHealthStatus
资源:
*
- UpdatePrivateDnsNamespace
-
所需的权限(API 操作):
-
servicediscovery:UpdatePrivateDnsNamespace
-
route53:ChangeResourceRecordSets
资源:
*
、arn:aws:servicediscovery:
region
:account-id
:namespace/namespace-id
-
- UpdatePublicDnsNamespace
-
所需的权限(API 操作):
-
servicediscovery:UpdatePublicDnsNamespace
-
route53:ChangeResourceRecordSets
资源:
*
、arn:aws:servicediscovery:
region
:account-id
:namespace/namespace-id
-
- UpdateService
-
所需的权限(API 操作):
-
servicediscovery:UpdateService
-
route53:GetHealthCheck
-
route53:CreateHealthCheck
-
route53:DeleteHealthCheck
-
route53:UpdateHealthCheck
-
route53:ChangeResourceRecordSets
资源:
*
、arn:aws:servicediscovery:
region
:account-id
:service/service-id
-
Amazon Cloud Map 条件键参考
Amazon Cloud Map 定义以下可在 IAM policy的 Condition
元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关更多信息,请参阅在 IAM Policy 中指定条件。
servicediscovery:NamespaceArn
-
一个筛选条件,您可以指定相关命名空间的 Amazon 资源名称 (ARN) 以获取对象。
servicediscovery:NamespaceName
-
一个筛选条件,您可以指定相关命名空间的名称以获取对象。
servicediscovery:ServiceArn
-
一个筛选条件,您可以指定相关服务的 Amazon 资源名称 (ARN) 以获取对象。
servicediscovery:ServiceName
-
一个筛选条件,您可以指定相关服务的名称以获取对象。