本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS AppSync
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。[创建 IAM 客户托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识,这些策略仅为您的团队提供所需的权限。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 托管策略: AWSAppSyncInvokeFullAccess
使用`AWSAppSyncInvokeFullAccess` AWS 托管策略允许您的管理员通过控制台或独立访问 AWS AppSync 服务。
您可以将 `AWSAppSyncInvokeFullAccess` 策略附加到 IAM 身份。
### 权限详细信息
该策略包含以下权限。
+ `AWS AppSync`— 允许对中的所有资源具有完全的管理访问权限 AWS AppSync
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:GetGraphqlApi",
"appsync:ListGraphqlApis",
"appsync:ListApiKeys"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSAppSyncSchemaAuthor
使用`AWSAppSyncSchemaAuthor` AWS 托管策略允许 IAM 用户访问创建、更新和查询其 GraphQL 架构。有关用户可以使用这些权限执行哪些操作的信息,请参阅[使用以下方法设计 GraphQL APIs AWS AppSync](designing-a-graphql-api.md)。
您可以将 `AWSAppSyncSchemaAuthor` 策略附加到 IAM 身份。
### 权限详细信息
该策略包含以下权限。
+ `AWS AppSync` - 允许执行以下操作:
+ 创建 GraphQL 架构
+ 允许创建、修改和删除 GraphQL 类型、解析器和函数
+ 评估请求和响应模板逻辑
+ 使用运行时系统和上下文评估代码
+ 向 GraphQL 发送 GraphQL 查询 APIs
+ 检索 GraphQL 数据
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:CreateResolver",
"appsync:CreateType",
"appsync:DeleteResolver",
"appsync:DeleteType",
"appsync:GetResolver",
"appsync:GetType",
"appsync:GetDataSource",
"appsync:GetSchemaCreationStatus",
"appsync:GetIntrospectionSchema",
"appsync:GetGraphqlApi",
"appsync:ListTypes",
"appsync:ListApiKeys",
"appsync:ListResolvers",
"appsync:ListDataSources",
"appsync:ListGraphqlApis",
"appsync:StartSchemaCreation",
"appsync:UpdateResolver",
"appsync:UpdateType",
"appsync:TagResource",
"appsync:UntagResource",
"appsync:ListTagsForResource",
"appsync:CreateFunction",
"appsync:UpdateFunction",
"appsync:GetFunction",
"appsync:DeleteFunction",
"appsync:ListFunctions",
"appsync:ListResolversByFunction",
"appsync:EvaluateMappingTemplate",
"appsync:EvaluateCode"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSAppSyncPushToCloudWatchLogs
AWS AppSync 使用 Amazon CloudWatch 通过生成可用于排查和优化 GraphQL 请求的日志来监控应用程序的性能。有关更多信息,请参阅 [ CloudWatch 用于监控和记录 GraphQL API 数据](monitoring.md)。
使用`AWSAppSyncPushToCloudWatchLogs` AWS 托管策略允许将日志推送 AWS AppSync 到 IAM 用户的 CloudWatch 账户。
您可以将 `AWSAppSyncPushToCloudWatchLogs` 策略附加到 IAM 身份。
### 权限详细信息
该策略包含以下权限。
+ `CloudWatch Logs`— AWS AppSync 允许创建具有指定名称的日志组和流。 AWS AppSync将日志事件推送到指定的日志流。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSAppSyncAdministrator
使用`AWSAppSyncAdministrator` AWS 托管策略允许您的管理员访问 AWS AppSync除 AWS 控制台之外的所有内容。
您可以附加`AWSAppSyncAdministrator`到您的 IAM 实体。 AWS AppSync 还将此策略附加到允许其代表您执行操作的服务角色。
### 权限详细信息
该策略包含以下权限。
+ `AWS AppSync`— 允许对中的所有资源具有完全的管理访问权限 AWS AppSync
+ `IAM` - 允许执行以下操作:
+ 创建服务相关角色 AWS AppSync 以允许代表您分析其他服务中的资源
+ 删除服务相关角色
+ 将服务相关角色传递给其他 AWS 服务,以便日后代入该角色并代表您执行操作
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"appsync.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "appsync.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*"
}
]
}
```
------
## AWS 托管策略: AWSAppSyncServiceRolePolicy
使用`AWSAppSyncServiceRolePolicy` AWS 托管策略允许访问 AWS AppSync使用或管理的 AWS 服务和资源。
您不能将 `AWSAppSyncServiceRolePolicy` 附加到自己的 IAM 实体。此策略附加到允许代表您执行操作 AWS AppSync 的服务相关角色。有关更多信息,请参阅 [的服务相关角色 AWS AppSync](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)。
### 权限详细信息
该策略包含以下权限。
+ `X-Ray`— AWS AppSync AWS X-Ray 用于收集有关在您的应用程序中提出的请求的数据。有关更多信息,请参阅 [ AWS X-Ray 用于跟踪中的请求 AWS AppSync](x-ray-tracing.md)。
该策略允许执行以下操作:
+ 检索采样规则及其结果
+ 将跟踪数据发送到 X-Ray 进程守护程序
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingTargets",
"xray:GetSamplingRules",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS AppSync AWS 托管策略的更新
查看 AWS AppSync 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS AppSync 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) – 对现有策略的更新 | 添加了 `EvaluateCode` 策略操作,以允许用户使用运行时系统和上下文评估代码。 | 2023 年 2 月 7 日 |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) – 对现有策略的更新 | 添加了策略操作以允许 API 的 list、get、create、update 和 delete 函数。 添加了 `EvaluateMappingTemplate` 策略操作,以允许用户评估请求和响应解析器映射模板逻辑。 添加了策略操作以允许资源标记。 | 2022 年 8 月 25 日 |
| AWS AppSync 开始跟踪更改 | AWS AppSync 开始跟踪其 AWS 托管策略的更改。 | 2022 年 8 月 25 日 |