Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erteilen Sie IAM-Berechtigungen für Hooks CloudFormation
Standardmäßig ist ein brandneuer Benutzer in Ihrem Bereich AWS-Konto nicht berechtigt, Hooks mithilfe der AWS Management Console, AWS Command Line Interface (AWS CLI) oder AWS API zu verwalten. Um Benutzern Berechtigungen zu erteilen, kann ein IAM-Administrator IAM-Richtlinien erstellen. Der Administrator kann dann die IAM-Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen annehmen.
Verwenden Sie die Richtlinienbeispiele in diesem Thema, um Ihre eigenen benutzerdefinierten IAM-Richtlinien zu erstellen, um Benutzern Berechtigungen für die Arbeit mit Hooks zu erteilen.
Informationen zum Erstellen einer identitätsbasierten IAM-Richtlinie mithilfe dieser Beispieldokumente zu JSON-Richtlinien finden Sie im IAM-Benutzerhandbuch unter Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien.
In diesem Thema werden die Berechtigungen behandelt, die für Folgendes erforderlich sind:
-
Hooks verwalten — Hooks in Ihrem Konto erstellen, ändern und deaktivieren.
-
Hooks öffentlich veröffentlichen — Registriere, teste und veröffentliche deine benutzerdefinierten Hooks, um sie öffentlich in der CloudFormation Registry verfügbar zu machen.
-
Aufrufergebnisse anzeigen — Greifen Sie auf die Ergebnisse von Hook-Aufrufen in Ihrem Konto zu und fragen Sie sie ab.
Während Sie Ihre IAM-Richtlinien erstellen, finden Sie die Dokumentation zu allen Aktionen, Ressourcen und Bedingungsschlüsseln, die mit dem cloudformation Servicepräfix verknüpft sind, im AWS CloudFormation Abschnitt Aktionen, Ressourcen und Bedingungsschlüssel für der Service Authorization Reference.
Themen
Erlauben Sie Benutzern, Hooks zu verwalten
Wenn Sie Benutzern die Verwaltung von Erweiterungen, einschließlich Hooks, ermöglichen möchten, ohne sie in der CloudFormation Registrierung veröffentlichen zu können, können Sie das folgende Beispiel für eine IAM-Richtlinie verwenden.
Wichtig
Die Aufrufe ActivateType und die SetTypeConfiguration API arbeiten zusammen, um Hooks in Ihrem Konto zu erstellen. Wenn Sie einem Benutzer die Erlaubnis erteilen, die SetTypeConfiguration API aufzurufen, gewähren Sie ihm automatisch die Möglichkeit, bestehende Hooks zu ändern und zu deaktivieren. Sie können Berechtigungen auf Ressourcenebene nicht verwenden, um den Zugriff auf diesen API-Aufruf einzuschränken. Stellen Sie daher sicher, dass Sie diese Berechtigung nur autorisierten Benutzern in Ihrem Konto gewähren.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:ActivateType", "cloudformation:DescribeType", "cloudformation:ListTypes", "cloudformation:SetTypeConfiguration" ], "Resource": "*" } ] }
Benutzer, die Hooks verwalten, benötigen möglicherweise einige entsprechende Berechtigungen. Um beispielsweise Steuerelemente aus dem Control-Katalog in der CloudFormation Konsole anzeigen zu können, muss der Benutzer über die controlcatalog:ListControls entsprechende Berechtigung in einer IAM-Richtlinie verfügen. Um benutzerdefinierte Hooks als private Erweiterungen in der CloudFormation Registrierung zu registrieren, muss der Benutzer über die cloudformation:RegisterType entsprechende Berechtigung in einer IAM-Richtlinie verfügen.
Erlauben Sie Benutzern, benutzerdefinierte Hooks öffentlich zu veröffentlichen
Das folgende Beispiel für eine IAM-Richtlinie konzentriert sich speziell auf Veröffentlichungsfunktionen. Verwenden Sie diese Richtlinie, wenn Sie Benutzern die Möglichkeit geben müssen, Erweiterungen, einschließlich Hooks, öffentlich in der CloudFormation Registrierung verfügbar zu machen.
Wichtig
Wenn Sie Hooks öffentlich veröffentlichen, werden sie anderen zur Verfügung gestellt AWS-Konten. Stellen Sie sicher, dass nur autorisierte Benutzer über diese Berechtigungen verfügen und dass veröffentlichte Erweiterungen den Qualitäts- und Sicherheitsstandards Ihres Unternehmens entsprechen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:DescribePublisher", "cloudformation:DescribeTypeRegistration", "cloudformation:ListTypes", "cloudformation:ListTypeVersions", "cloudformation:PublishType", "cloudformation:RegisterPublisher", "cloudformation:RegisterType", "cloudformation:TestType" ], "Resource": "*" } ] }
Erlauben Sie Benutzern, Aufrufergebnisse anzufordern
Die IAM-Berechtigungen, die zum Anzeigen der Hook-Aufrufergebnisse erforderlich sind, ändern sich je nach der gestellten API-Anfrage.
-
Um Berechtigungen zum Abrufen aller Hook-Ergebnisse, Ergebnisse für einen bestimmten Hook oder Ergebnisse für einen bestimmten Hook und Aufrufstatus zu erteilen, müssen Sie Zugriff auf die Aktion gewähren.
cloudformation:ListAllHookResults -
Um durch Angabe eines Hook-Ziels Berechtigungen zum Anfordern von Ergebnissen zu erteilen, müssen Sie Zugriff auf die
cloudformation:ListHookResultsAktion gewähren. Diese Berechtigung ermöglicht es dem API-Aufrufer, beim AufrufenListHookResultsdieTargetIdParameterTargetTypeund anzugeben.
Im Folgenden finden Sie ein Beispiel für eine grundlegende Berechtigungsrichtlinie für das Anfordern von Hook-Aufrufergebnissen. IAM-Identitäten (Benutzer oder Rollen) mit dieser Richtlinie sind berechtigt, alle Aufrufergebnisse unter Verwendung aller verfügbaren Parameterkombinationen anzufordern.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:ListAllHookResults", "cloudformation:ListHookResults" ], "Resource": "*" } ] }
Steuern Sie, welche Änderungssätze angegeben werden können
Das folgende Beispiel für eine IAM-Richtlinie gewährt der cloudformation:ListHookResults Aktion die Erlaubnis, Ergebnisse anzufordern, indem das Ziel des Hooks angegeben wird. Sie verweigert jedoch auch die Aktion, wenn es sich bei dem Ziel um einen benannten Änderungssatz handelt. example-changeset
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:ListHookResults" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "cloudformation:ListHookResults" ], "Resource": "*", "Condition": { "StringEquals": { "cloudformation:ChangeSetName": "example-changeset" } } } ] }
Steuert, welche Hooks angegeben werden können
Die folgende Beispiel-IAM-Richtlinie gewährt der cloudformation:ListAllHookResults Aktion zum Anfordern von Aufrufergebnissen nur dann Berechtigungen, wenn der ARN des Hooks in der Anfrage angegeben ist. Es verweigert die Aktion für einen bestimmten Hook-ARN.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:ListAllHookResults" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "cloudformation:ListAllHookResults" ], "Resource": "*", "Condition": { "Null": { "cloudformation:TypeArn": "true" } } }, { "Effect": "Deny", "Action": [ "cloudformation:ListAllHookResults" ], "Resource": "*", "Condition": { "ArnEquals": { "cloudformation:TypeArn": "arn:aws:cloudformation:us-east-1:123456789012:type/hook/MyCompany-MyHook" } } } ] }
