本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 基于身份的策略 AWS AppSync
默认情况下,用户和角色没有创建或修改 AWS AppSync 资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关由 AWS AppSync定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权参考*》 AWS AppSync中的[操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html)。 ARNs
要了解创建和配置 IAM 基于身份的策略的最佳实践,请参阅[IAM 策略最佳实践](best-practices.md#security_iam_service-with-iam-policy-best-practices)。
有关的 IAM 基于身份的策略列表 AWS AppSync,请参阅。[AWS 的托管策略 AWS AppSync](security_iam_policy_list.md)
**Topics**
+ [使用控制 AWS AppSync 台](#security_iam_id-based-policy-examples-console)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
+ [访问一个 Amazon S3 存储桶](#security_iam_id-based-policy-examples-access-one-bucket)
+ [AWS AppSync *widgets*基于标签查看](#security_iam_id-based-policy-examples-view-widget-tags)
+ [AWS 的托管策略 AWS AppSync](security_iam_policy_list.md)
## 使用控制 AWS AppSync 台
要访问 AWS AppSync 控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您的 AWS AppSync 资源的详细信息 AWS 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
为确保 IAM 用户和角色仍然可以使用 AWS AppSync 控制台,还需要将 AWS AppSync `ConsoleAccess`或`ReadOnly` AWS 托管策略附加到实体。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 访问一个 Amazon S3 存储桶
在本示例中,您想向 AWS 账户中的 IAM 用户授予访问您的 Amazon S3 存储桶的权限。`examplebucket`您还想要允许该用户添加、更新和删除对象。
除了授予该用户 `s3:PutObject`、`s3:GetObject` 和 `s3:DeleteObject` 权限外,此策略还授予 `s3:ListAllMyBuckets`、`s3:GetBucketLocation` 和 `s3:ListBucket` 权限。这些是控制台所需的其他权限。此外,`s3:PutObjectAcl` 和 `s3:GetObjectAcl` 操作需要能够在控制台中复制、剪切和粘贴对象。有关为用户授予权限并使用控制台测试用户的示例演练,请参阅[示例演练:使用用户策略控制对桶的访问](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListBucketsInConsole",
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets"
],
"Resource":"arn:aws:s3:::*"
},
{
"Sid":"ViewSpecificBucketInfo",
"Effect":"Allow",
"Action":[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource":"arn:aws:s3:::examplebucket"
},
{
"Sid":"ManageBucketContents",
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:DeleteObject"
],
"Resource":"arn:aws:s3:::examplebucket/*"
}
]
}
```
------
## AWS AppSync *widgets*基于标签查看
您可以在基于身份的策略中使用条件,以便基于标签控制对 AWS AppSync 资源的访问。此示例显示如何创建策略以允许查看 *widget*。但是,仅当 *widget* 标签 `Owner` 具有该用户的用户名的值时,才授予此权限。此策略还授予在控制台上完成此操作的必要权限。
您可以将该策略附加到您账户中的 IAM 用户。如果一个名为 `richard-roe` 的用户尝试查看 AWS AppSync *widget*,则必须使用 *widget* 为 `Owner=richard-roe` 或 `owner=richard-roe` 加上标签。否则,将拒绝其访问。条件标签键 `Owner` 匹配 `Owner` 和 `owner`,因为条件键名称不区分大小写。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
# AWS 的托管策略 AWS AppSync
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。[创建 IAM 客户托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识,这些策略仅为您的团队提供所需的权限。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 托管策略: AWSAppSyncInvokeFullAccess
使用`AWSAppSyncInvokeFullAccess` AWS 托管策略允许您的管理员通过控制台或独立访问 AWS AppSync 服务。
您可以将 `AWSAppSyncInvokeFullAccess` 策略附加到 IAM 身份。
### 权限详细信息
该策略包含以下权限。
+ `AWS AppSync`— 允许对中的所有资源具有完全的管理访问权限 AWS AppSync
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:GetGraphqlApi",
"appsync:ListGraphqlApis",
"appsync:ListApiKeys"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSAppSyncSchemaAuthor
使用`AWSAppSyncSchemaAuthor` AWS 托管策略允许 IAM 用户访问创建、更新和查询其 GraphQL 架构。有关用户可以使用这些权限执行哪些操作的信息,请参阅[使用以下方法设计 GraphQL APIs AWS AppSync](designing-a-graphql-api.md)。
您可以将 `AWSAppSyncSchemaAuthor` 策略附加到 IAM 身份。
### 权限详细信息
该策略包含以下权限。
+ `AWS AppSync` - 允许执行以下操作:
+ 创建 GraphQL 架构
+ 允许创建、修改和删除 GraphQL 类型、解析器和函数
+ 评估请求和响应模板逻辑
+ 使用运行时系统和上下文评估代码
+ 向 GraphQL 发送 GraphQL 查询 APIs
+ 检索 GraphQL 数据
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:CreateResolver",
"appsync:CreateType",
"appsync:DeleteResolver",
"appsync:DeleteType",
"appsync:GetResolver",
"appsync:GetType",
"appsync:GetDataSource",
"appsync:GetSchemaCreationStatus",
"appsync:GetIntrospectionSchema",
"appsync:GetGraphqlApi",
"appsync:ListTypes",
"appsync:ListApiKeys",
"appsync:ListResolvers",
"appsync:ListDataSources",
"appsync:ListGraphqlApis",
"appsync:StartSchemaCreation",
"appsync:UpdateResolver",
"appsync:UpdateType",
"appsync:TagResource",
"appsync:UntagResource",
"appsync:ListTagsForResource",
"appsync:CreateFunction",
"appsync:UpdateFunction",
"appsync:GetFunction",
"appsync:DeleteFunction",
"appsync:ListFunctions",
"appsync:ListResolversByFunction",
"appsync:EvaluateMappingTemplate",
"appsync:EvaluateCode"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSAppSyncPushToCloudWatchLogs
AWS AppSync 使用 Amazon CloudWatch 通过生成可用于排查和优化 GraphQL 请求的日志来监控应用程序的性能。有关更多信息,请参阅 [ CloudWatch 用于监控和记录 GraphQL API 数据](monitoring.md)。
使用`AWSAppSyncPushToCloudWatchLogs` AWS 托管策略允许将日志推送 AWS AppSync 到 IAM 用户的 CloudWatch 账户。
您可以将 `AWSAppSyncPushToCloudWatchLogs` 策略附加到 IAM 身份。
### 权限详细信息
该策略包含以下权限。
+ `CloudWatch Logs`— AWS AppSync 允许创建具有指定名称的日志组和流。 AWS AppSync将日志事件推送到指定的日志流。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSAppSyncAdministrator
使用`AWSAppSyncAdministrator` AWS 托管策略允许您的管理员访问 AWS AppSync除 AWS 控制台之外的所有内容。
您可以附加`AWSAppSyncAdministrator`到您的 IAM 实体。 AWS AppSync 还将此策略附加到允许其代表您执行操作的服务角色。
### 权限详细信息
该策略包含以下权限。
+ `AWS AppSync`— 允许对中的所有资源具有完全的管理访问权限 AWS AppSync
+ `IAM` - 允许执行以下操作:
+ 创建服务相关角色 AWS AppSync 以允许代表您分析其他服务中的资源
+ 删除服务相关角色
+ 将服务相关角色传递给其他 AWS 服务,以便日后代入该角色并代表您执行操作
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"appsync.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "appsync.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*"
}
]
}
```
------
## AWS 托管策略: AWSAppSyncServiceRolePolicy
使用`AWSAppSyncServiceRolePolicy` AWS 托管策略允许访问 AWS AppSync使用或管理的 AWS 服务和资源。
您不能将 `AWSAppSyncServiceRolePolicy` 附加到自己的 IAM 实体。此策略附加到允许代表您执行操作 AWS AppSync 的服务相关角色。有关更多信息,请参阅 [的服务相关角色 AWS AppSync](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)。
### 权限详细信息
该策略包含以下权限。
+ `X-Ray`— AWS AppSync AWS X-Ray 用于收集有关在您的应用程序中提出的请求的数据。有关更多信息,请参阅 [ AWS X-Ray 用于跟踪中的请求 AWS AppSync](x-ray-tracing.md)。
该策略允许执行以下操作:
+ 检索采样规则及其结果
+ 将跟踪数据发送到 X-Ray 进程守护程序
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingTargets",
"xray:GetSamplingRules",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS AppSync AWS 托管策略的更新
查看 AWS AppSync 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS AppSync 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) – 对现有策略的更新 | 添加了 `EvaluateCode` 策略操作,以允许用户使用运行时系统和上下文评估代码。 | 2023 年 2 月 7 日 |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) – 对现有策略的更新 | 添加了策略操作以允许 API 的 list、get、create、update 和 delete 函数。 添加了 `EvaluateMappingTemplate` 策略操作,以允许用户评估请求和响应解析器映射模板逻辑。 添加了策略操作以允许资源标记。 | 2022 年 8 月 25 日 |
| AWS AppSync 开始跟踪更改 | AWS AppSync 开始跟踪其 AWS 托管策略的更改。 | 2022 年 8 月 25 日 |