终止支持通知:2026 年 10 月 7 日, AWS 将终止对的支持。 AWS Proton 2026 年 10 月 7 日之后,您将无法再访问 AWS Proton 控制台或 AWS Proton 资源。您部署的基础架构将保持不变。有关更多信息,请参阅《[AWS Proton 服务弃用和迁移指南》](https://docs.aws.amazon.com/proton/latest/userguide/proton-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS Proton
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务 维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有资源 AWS 服务 和资源的只读访问权限。当服务启动新特征时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
AWS Proton 提供托管 IAM 策略和信任关系,您可以将这些策略和信任关系附加到用户、群组或角色,从而允许对资源和 API 操作进行不同级别的控制。您可以直接应用这些策略,或者也可以使用它们作为自行创建策略的起点。
以下信任关系用于每个 AWS Proton 托管策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ExampleTrustRelationshipWithProtonConfusedDeputyPrevention",
"Effect": "Allow",
"Principal": {
"Service": "proton.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:proton:*:123456789012:environment/*"
}
}
}
}
```
------
## AWS 托管策略: AWSProtonFullAccess
您可以附加`AWSProtonFullAccess`到您的 IAM 实体。 AWS Proton 还将此策略附加 AWS Proton 到允许代表您执行操作的服务角色。
此策略授予管理权限,允许对 AWS Proton 操作的完全访问权限以及对 AWS Proton 依赖的其他 AWS 服务操作的有限访问权限。
该策略包括以下关键操作命名空间:
+ `proton`— 允许管理员具有完全访问权限 AWS Proton APIs。
+ `iam` - 允许管理员将角色传递给 AWS Proton。这是必需的,这样 AWS Proton 才能代表管理员向其他服务发出 API 调用。
+ `kms` - 允许管理员为客户托管密钥添加授权。
+ `codeconnections`— 允许管理员列出和传递代码连接,以便它们可供使用 AWS Proton。
有关更多信息,请参阅 [AWSProtonFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonFullAccess.html)。
## AWS 托管策略: AWSProtonDeveloperAccess
您可以附加`AWSProtonDeveloperAccess`到您的 IAM 实体。 AWS Proton 还将此策略附加 AWS Proton 到允许代表您执行操作的服务角色。
此策略授予的权限允许对所 AWS Proton 依赖的 AWS Proton 操作和其他 AWS 操作进行有限的访问。这些权限的范围旨在支持创建和部署 AWS Proton 服务的开发人员的角色。
此政策不提供对 AWS Proton 模板和环境*创建、删除和更新的*访问权限 APIs。如果开发人员需要的权限比该策略提供的权限更有限,我们建议创建一个缩小范围以授予[最低权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)的自定义策略。
该策略包括以下关键操作命名空间:
+ `proton`— 允许贡献者访问有限的集合 AWS Proton APIs。
+ `codeconnections`— 允许贡献者列出并传递代码连接,以便它们可供使用 AWS Proton。
有关更多信息,请参阅 [AWSProtonDeveloperAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonDeveloperAccess.html)。
## AWS 托管策略: AWSProtonReadOnlyAccess
您可以附加`AWSProtonReadOnlyAccess`到您的 IAM 实体。 AWS Proton 还将此策略附加 AWS Proton 到允许代表您执行操作的服务角色。
此策略授予的权限允许对 AWS Proton 操作进行只读访问以及对所 AWS Proton 依赖的其他 AWS 服务操作进行有限的只读访问权限。
该策略包括以下关键操作命名空间:
+ `proton`— 允许贡献者具有只读访问权限 AWS Proton APIs。
有关更多信息,请参阅 [AWSProtonReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonReadOnlyAccess.html)。
## AWS 托管策略: AWSProtonSyncServiceRolePolicy
AWS Proton 将此策略附加 AWS Proton 到允许执行模板同步的[AWSServiceRoleForProtonSync](using-service-linked-roles-sync.md)服务相关角色。
此策略授予的权限允许对所 AWS Proton 依赖的 AWS Proton 操作和其他 AWS 服务操作进行有限的访问。
该策略包括以下关键操作命名空间:
+ `proton`— 允许 AWS Proton 同步有限的访问权限 AWS Proton APIs。
+ `codeconnections`— 允许 AWS Proton 同步有限的访问权限 CodeConnections APIs。
有关更多信息,请参阅 [AWSProtonSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonSyncServiceRolePolicy.html)。
## AWS 托管策略: AWSProtonCodeBuildProvisioningBasicAccess
权限 CodeBuild 需要运行版本才能进行 AWS Proton CodeBuild 置备。您可以附加`AWSProtonCodeBuildProvisioningBasicAccess`到您的 CodeBuild 预配角色。
此策略授予 AWS Proton CodeBuild 配置运行所需的最低权限。它授予 CodeBuild 允许生成生成日志的权限。它还允许 Proton 向用户提供基础设施即代码 (IaC) 输出。 AWS Proton 它不提供 IaC 工具管理基础设施所需的权限。
该策略包括以下关键操作命名空间:
+ `logs`- CodeBuild 允许生成生成日志。如果没有此权限, CodeBuild 将无法启动。
+ `proton`-允许 CodeBuild 配置命令调用`aws proton notify-resource-deployment-status-change`更新给定 AWS Proton 资源的 IaaC 输出。
有关更多信息,请参阅 [AWSProtonCodeBuildProvisioningBasicAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonCodeBuildProvisioningBasicAccess.html)。
## AWS 托管策略: AWSProtonCodeBuildProvisioningServiceRolePolicy
AWS Proton 将此策略附加到允许 AWS Proton 执行 CodeBuild基于[AWSServiceRoleForProtonCodeBuildProvisioning](using-service-linked-roles-codebuild.md)服务的置备的服务相关角色。
此策略授予的权限允许对 AWS Proton 依赖的 AWS 服务操作进行有限的访问。
该策略包括以下关键操作命名空间:
+ `cloudformation`— 允许 AWS Proton CodeBuild基于配置的有限访问权限 CloudFormation APIs。
+ `codebuild`— 允许 AWS Proton CodeBuild基于配置的有限访问权限 CodeBuild APIs。
+ `iam` - 允许管理员将角色传递给 AWS Proton。这是必需的,这样 AWS Proton 才能代表管理员向其他服务发出 API 调用。
+ `servicequotas`— AWS Proton 允许检查 CodeBuild 并发编译限制,从而确保编译队列正确。
有关更多信息,请参阅 [AWSProtonCodeBuildProvisioningServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonCodeBuildProvisioningServiceRolePolicy.html)。
## AWS 托管策略: AWSProtonServiceGitSyncServiceRolePolicy
AWS Proton 将此策略附加 AWS Proton 到允许执行[AWSServiceRoleForProtonServiceSync](using-service-linked-roles-sync.md)服务同步的服务相关角色。
此策略授予的权限允许对所 AWS Proton 依赖的 AWS Proton 操作和其他 AWS 服务操作进行有限的访问。
该策略包括以下关键操作命名空间:
+ `proton`— 允许 AWS Proton 同步有限的访问权限 AWS Proton APIs。
有关更多信息,请参阅 [AWSProtonServiceGitSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonServiceGitSyncServiceRolePolicy.html)。
## AWS Proton AWS 托管策略的更新
查看 AWS Proton 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS Proton 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSProtonCodeBuildProvisioningServiceRolePolicy](#security-iam-awsmanpol-AWSProtonCodeBuildProvisioningServiceRolePolicy):对现有策略的更新 | 服务相关角色的托管策略 AWS Proton 允许执行 CodeBuild基于基础的配置,现在可以授予调用 CloudFormation`TagResource`和 `UntagResource` API 操作的权限。这些权限是对资源执行标记操作所必需的。 | 2024 年 6 月 15 日 |
| [AWSProtonFullAccess](#security-iam-awsmanpol-AWSProtonFullAccess):对现有策略的更新 | 服务相关角色使用 Git 与 Git 存储库同步 Git 的托管策略已针对具有两个服务前缀的资源进行了更新。有关更多信息,请参阅[使用适用于 AWS 的服务相关角色 CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/what-is-dtconsole.html)和[托管策略](https://docs.aws.amazon.com/dtconsole/latest/userguide/security-iam-awsmanpol.html)。 | 2024 年 4 月 25 日 |
| [AWSProtonDeveloperAccess](#security-iam-awsmanpol-AWSProtonDeveloperAccess):对现有策略的更新 | 服务相关角色使用 Git 与 Git 存储库同步 Git 的托管策略已针对具有两个服务前缀的资源进行了更新。有关更多信息,请参阅[使用适用于 AWS 的服务相关角色 CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/what-is-dtconsole.html)和[托管策略](https://docs.aws.amazon.com/dtconsole/latest/userguide/security-iam-awsmanpol.html)。 | 2024 年 4 月 25 日 |
| [AWSProtonSyncServiceRolePolicy](#security-iam-awsmanpol-AWSProtonSyncServiceRolePolicy):对现有策略的更新 | 服务相关角色使用 Git 与 Git 存储库同步 Git 的托管策略已针对具有两个服务前缀的资源进行了更新。有关更多信息,请参阅[使用适用于 AWS 的服务相关角色 CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/what-is-dtconsole.html)和[托管策略](https://docs.aws.amazon.com/dtconsole/latest/userguide/security-iam-awsmanpol.html)。 | 2024 年 4 月 25 日 |
| [AWSProtonCodeBuildProvisioningServiceRolePolicy](#security-iam-awsmanpol-AWSProtonCodeBuildProvisioningServiceRolePolicy):对现有策略的更新 | AWS Proton 更新了此政策,添加了权限,以确保账户拥有必要的 CodeBuild 并发构建限制才能使用 Provisi CodeBuild oning。 | 2023 年 5 月 12 日 |
| [AWSProtonServiceGitSyncServiceRolePolicy](#security-iam-awsmanpol-AwsProtonServiceGitSyncServiceRolePolicy):新策略 | AWS Proton 添加了 AWS Proton 允许执行服务同步的新策略。该策略用于[AWSServiceRoleForProtonServiceSync](https://docs.aws.amazon.com//proton/latest/userguide/using-service-linked-roles-sync.html#service-linked-role-permissions-sync)服务相关角色。 | 2023 年 3 月 31 日 |
| [AWSProtonDeveloperAccess](#security-iam-awsmanpol-AWSProtonDeveloperAccess):对现有策略的更新 | AWS Proton 添加了一个新`GetResourcesSummary`操作,允许您查看模板、已部署的模板资源和过时资源的摘要。 | 2022 年 11 月 18 日 |
| [AWSProtonReadOnlyAccess](#security-iam-awsmanpol-AWSProtonReadOnlyAccess):对现有策略的更新 | AWS Proton 添加了一个新`GetResourcesSummary`操作,允许您查看模板、已部署的模板资源和过时资源的摘要。 | 2022 年 11 月 18 日 |
| [AWSProtonCodeBuildProvisioningBasicAccess](#security-iam-awsmanpol-AWSProtonCodeBuildProvisioningBasicAccess):新策略 | AWS Proton 添加了一个新策略, CodeBuild 该策略为其提供了运行 AWS Proton CodeBuild 置备版本所需的权限。 | 2022 年 11 月 16 日 |
| [AWSProtonSyncServiceRolePolicy](#security-iam-awsmanpol-AWSProtonSyncServiceRolePolicy):新策略 | AWS Proton 添加了一个新策略, AWS Proton 允许执行与 CodeBuild基于基础的置备相关的操作。该策略用于[AWSServiceRoleForProtonCodeBuildProvisioning](using-service-linked-roles-codebuild.md)服务相关角色。 | 2022 年 9 月 2 日 |
| [AWSProtonFullAccess](#security-iam-awsmanpol-AWSProtonFullAccess):对现有策略的更新 | AWS Proton 更新了此政策,以提供对新 AWS Proton API 操作的访问权限并修复了某些 AWS Proton 控制台操作的权限问题。 | 2022 年 3 月 30 日 |
| [AWSProtonDeveloperAccess](#security-iam-awsmanpol-AWSProtonDeveloperAccess):对现有策略的更新 | AWS Proton 更新此政策以提供对新 AWS Proton API 操作的访问权限并修复某些 AWS Proton 控制台操作的权限问题。 | 2022 年 3 月 30 日 |
| [AWSProtonReadOnlyAccess](#security-iam-awsmanpol-AWSProtonReadOnlyAccess):对现有策略的更新 | AWS Proton 更新此政策以提供对新 AWS Proton API 操作的访问权限并修复某些 AWS Proton 控制台操作的权限问题。 | 2022 年 3 月 30 日 |
| [AWSProtonSyncServiceRolePolicy](#security-iam-awsmanpol-AWSProtonSyncServiceRolePolicy):新策略 | AWS Proton 添加了一项新策略, AWS Proton 允许执行与模板同步相关的操作。该策略用于[AWSServiceRoleForProtonSync](using-service-linked-roles.md)服务相关角色。 | 2021 年 11 月 23 日 |
| [AWSProtonFullAccess](#security-iam-awsmanpol-AWSProtonFullAccess):新策略 | AWS Proton 添加了一项新策略,以提供对 AWS Proton API 操作和 AWS Proton 控制台的管理角色访问权限。 | 2021 年 6 月 9 日 |
| [AWSProtonDeveloperAccess](#security-iam-awsmanpol-AWSProtonDeveloperAccess):新策略 | AWS Proton 添加了一项新政策,为开发者角色提供对 AWS Proton API 操作和 AWS Proton 控制台的访问权限。 | 2021 年 6 月 9 日 |
| [AWSProtonReadOnlyAccess](#security-iam-awsmanpol-AWSProtonReadOnlyAccess):新策略 | AWS Proton 添加了一项新策略,以提供对 AWS Proton API 操作和 AWS Proton 控制台的只读访问权限。 | 2021 年 6 月 9 日 |
| AWS Proton 已开始跟踪更改。 | AWS Proton 开始跟踪其 AWS 托管策略的更改。 | 2021 年 6 月 9 日 |