本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Cloud Map API 权限:操作、资源和条件参考
在设置 访问控制 和编写您可附加到 IAM 身份的权限策略(基于身份的策略)时,可以使用以下列表作为参考。这些列表包含每个Amazon Cloud Map API 操作、您必须授予访问权限的操作以及您必须授予访问权限的Amazon资源。您可以在 Action 字段中指定策略的操作,并在 Resource 字段中指定策略的资源值。
您可以在 IAM 策略中使用Amazon Cloud Map特定条件键进行某些操作。有关更多信息,请参阅Amazon Cloud Map 条件键参考:您还可以使用Amazon范围的条件键。有关Amazon范围内的键的完整列表,请参阅《IAM 用户指南》中的可用键。
要指定操作,请在 API 操作名称之前使用 servicediscovery 前缀(例如,servicediscovery:CreatePublicDnsNamespace 和 route53:CreateHostedZone)。
Amazon Cloud Map操作所需的权限
- CreateHttpNamespace
-
所需的权限(API 操作):
-
servicediscovery:CreateHttpNamespace
资源:
* -
- CreatePrivateDnsNamespace
-
所需的权限(API 操作):
-
servicediscovery:CreatePrivateDnsNamespace -
route53:CreateHostedZone -
route53:GetHostedZone -
route53:ListHostedZonesByName -
ec2:DescribeVpcs -
ec2:DescribeRegions
资源:
* -
- CreatePublicDnsNamespace
-
所需的权限(API 操作):
-
servicediscovery:CreatePublicDnsNamespace -
route53:CreateHostedZone -
route53:GetHostedZone -
route53:ListHostedZonesByName
资源:
* -
- CreateService
-
所需权限(API 操作):
servicediscovery:CreateService资源:
* - DeleteNamespace
-
所需的权限(API 操作):
-
servicediscovery:DeleteNamespace -
route53:DeleteHostedZone
资源:
*、arn:aws:servicediscovery:region:account-id:namespace/namespace-id -
- DeleteService
-
所需权限(API 操作):
servicediscovery:DeleteService资源:
*、arn:aws:servicediscovery:region:account-id:service/service-id - DeregisterInstance
-
所需的权限(API 操作):
-
servicediscovery:DeregisterInstance -
route53:GetHealthCheck -
route53:DeleteHealthCheck -
route53:UpdateHealthCheck -
route53:ChangeResourceRecordSets
资源:
* -
- DiscoverInstances
-
所需权限(API 操作):
servicediscovery:DiscoverInstances资源:
* - GetInstance
-
所需权限(API 操作):
servicediscovery:GetInstance资源:
* - GetInstancesHealthStatus
-
所需权限(API 操作):
servicediscovery:GetInstancesHealthStatus资源:
* - GetNamespace
-
所需权限(API 操作):
servicediscovery:GetNamespace资源:
*、arn:aws:servicediscovery:region:account-id:namespace/namespace-id - GetOperation
-
所需权限(API 操作):
servicediscovery:GetOperation资源:
* - GetService
-
所需权限(API 操作):
servicediscovery:GetService资源:
*、arn:aws:servicediscovery:region:account-id:service/service-id - ListInstances
-
所需权限(API 操作):
servicediscovery:ListInstances资源:
* - ListNamespaces
-
所需权限(API 操作):
servicediscovery:ListNamespaces资源:
* - ListOperations
-
所需权限(API 操作):
servicediscovery:ListOperations资源:
* - ListServices
-
所需权限(API 操作):
servicediscovery:ListServices资源:
* - RegisterInstance
-
所需的权限(API 操作):
-
servicediscovery:RegisterInstance -
route53:GetHealthCheck -
route53:CreateHealthCheck -
route53:UpdateHealthCheck -
route53:ChangeResourceRecordSets -
ec2:DescribeInstances
资源:
* -
- UpdateHttpNamespace
-
所需权限(API 操作):
servicediscovery:UpdateHttpNamespace资源:
*、arn:aws:servicediscovery:region:account-id:namespace/namespace-id - UpdateInstanceCustomHealthStatus
-
所需权限(API 操作):
servicediscovery:UpdateInstanceCustomHealthStatus资源:
* - UpdatePrivateDnsNamespace
-
所需的权限(API 操作):
-
servicediscovery:UpdatePrivateDnsNamespace -
route53:ChangeResourceRecordSets
资源:
*、arn:aws:servicediscovery:region:account-id:namespace/namespace-id -
- UpdatePublicDnsNamespace
-
所需的权限(API 操作):
-
servicediscovery:UpdatePublicDnsNamespace -
route53:ChangeResourceRecordSets
资源:
*、arn:aws:servicediscovery:region:account-id:namespace/namespace-id -
- UpdateService
-
所需的权限(API 操作):
-
servicediscovery:UpdateService -
route53:GetHealthCheck -
route53:CreateHealthCheck -
route53:DeleteHealthCheck -
route53:UpdateHealthCheck -
route53:ChangeResourceRecordSets
资源:
*、arn:aws:servicediscovery:region:account-id:service/service-id -
Amazon Cloud Map 条件键参考
Amazon Cloud Map 定义以下可在 IAM policy的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关更多信息,请参阅在 IAM 策略中指定条件:
servicediscovery:NamespaceArn-
一个筛选条件,您可以指定相关命名空间的 Amazon 资源名称 (ARN) 以获取对象。
servicediscovery:NamespaceName-
一个筛选条件,您可以指定相关命名空间的名称以获取对象。
servicediscovery:ServiceArn-
一个筛选条件,您可以指定相关服务的 Amazon 资源名称 (ARN) 以获取对象。
servicediscovery:ServiceName-
一个筛选条件,您可以指定相关服务的名称以获取对象。