终止支持通知:2026 年 10 月 7 日, AWS 将终止对的支持。 AWS Proton 2026 年 10 月 7 日之后,您将无法再访问 AWS Proton 控制台或 AWS Proton 资源。您部署的基础架构将保持不变。有关更多信息,请参阅《[AWS Proton 服务弃用和迁移指南》](https://docs.aws.amazon.com/proton/latest/userguide/proton-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 的政策示例 AWS Proton
在以下各节中查找 AWS Proton IAM 策略示例。
**Topics**
+ [基于身份的策略示例 AWS Proton](security_iam_id-based-policy-examples.md)
+ [AWS Proton IAM 服务角色策略示例](security_iam_service-role-policy-examples.md)
+ [基于条件密钥的策略示例 AWS Proton](security_iam_condition-key-based-policy-examples.md)
# 基于身份的策略示例 AWS Proton
默认情况下,用户和角色没有创建或修改 AWS Proton 资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关由 AWS Proton定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权参考*》 AWS Proton中的[操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsproton.html)。 ARNs
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [指向基于身份的策略示例的链接 AWS Proton](#security_iam-example-links)
## 策略最佳实践
基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除 AWS Proton 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 指向基于身份的策略示例的链接 AWS Proton
**指向基于身份的策略示例的链接 AWS Proton**
+ [AWS 的托管策略 AWS Proton](security-iam-awsmanpol.md)
+ [AWS Proton IAM 服务角色策略示例](security_iam_service-role-policy-examples.md)
+ [基于条件密钥的策略示例 AWS Proton](security_iam_condition-key-based-policy-examples.md)
# AWS Proton IAM 服务角色策略示例
管理员拥有并管理根据环境和服务模板定义 AWS Proton 创建的资源。他们将允许代表他们创建资源的 IAM 服务角色附加 AWS Proton 到自己的账户。管理员为资源提供 IAM 角色和 AWS Key Management Service 密钥,这些资源随后由开发人员在 AWS Proton 环境中作为 AWS Proton 服务 AWS Proton 部署其应用程序时拥有和管理。有关 AWS KMS 和数据加密的更多信息,请参阅[中的数据保护 AWS Proton](data-protection.md)。
服务角色是一个 Amazon Web Services (IAM) 角色, AWS Proton 允许您代表您调用资源。如果指定服务角色, AWS Proton 将使用该角色的凭证。使用服务角色明确指定 AWS Proton 可以执行的操作。
您可以使用 IAM 服务创建服务角色及其权限策略。有关创建服务角色的更多信息,请参阅 *IAM 用户指南*中的[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## AWS Proton 使用进行置备的服务角色 CloudFormation
作为平台团队的成员,您可以作为管理员创建一个 AWS Proton 服务角色,并在创建环境 AWS Proton 时将其作为环境的 CloudFormation 服务角色([CreateEnvironment](https://docs.aws.amazon.com/proton/latest/APIReference/API_CreateEnvironment.html)API 操作的`protonServiceRoleArn`参数)提供给该角色。当环境或其中运行的任何服务实例使用 AWS托管配置时,此角色允许 AWS Proton 您代表您对其他服务进行 API 调用, AWS CloudFormation 并配置基础架构。
我们建议您为 AWS Proton 服务角色使用以下 IAM 角色和信任策略。当您使用 AWS Proton 控制台创建环境并选择创建新角色时,该策略会 AWS Proton 添加到它为您创建的服务角色中。在缩小此策略的权限范围时,请记住如果`Access Denied`出错 AWS Proton 就会失败。
**重要**
请注意,以下示例中显示的策略为任何可以在您的账户中注册模板的人授予管理员权限。由于我们不知道您将在 AWS Proton 模板中定义哪些资源,因此这些策略具有广泛的权限。我们建议您将权限范围缩小到在您的环境中部署的特定资源。
### AWS Proton 的服务角色策略示例 CloudFormation
`123456789012`用您的 AWS 账户 身份证替换。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CancelUpdateStack",
"cloudformation:ContinueUpdateRollback",
"cloudformation:CreateChangeSet",
"cloudformation:CreateStack",
"cloudformation:DeleteChangeSet",
"cloudformation:DeleteStack",
"cloudformation:DescribeChangeSet",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResourceDrifts",
"cloudformation:DescribeStacks",
"cloudformation:DetectStackResourceDrift",
"cloudformation:ExecuteChangeSet",
"cloudformation:ListChangeSets",
"cloudformation:ListStackResources",
"cloudformation:UpdateStack"
],
"Resource": "arn:aws:cloudformation:*:123456789012:stack/AWSProton-*"
},
{
"Effect": "Allow",
"NotAction": [
"organizations:*",
"account:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"cloudformation.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"account:ListRegions"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"cloudformation.amazonaws.com"
]
}
}
}
]
}
```
------
### AWS Proton 服务信任政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ServiceTrustRelationshipWithConfusedDeputyPrevention",
"Effect": "Allow",
"Principal": {
"Service": "proton.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:proton:*:123456789012:environment/*"
}
}
}
}
```
------
### 缩小范围 AWS-托管配置服务角色策略
以下是限定范围的 AWS Proton 服务角色策略的示例,如果您只需要 AWS Proton 服务来配置 S3 资源,则可以使用该策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CancelUpdateStack",
"cloudformation:ContinueUpdateRollback",
"cloudformation:CreateChangeSet",
"cloudformation:CreateStack",
"cloudformation:DeleteChangeSet",
"cloudformation:DeleteStack",
"cloudformation:DescribeChangeSet",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResourceDrifts",
"cloudformation:DescribeStacks",
"cloudformation:DetectStackResourceDrift",
"cloudformation:ExecuteChangeSet",
"cloudformation:ListChangeSets",
"cloudformation:ListStackResources",
"cloudformation:UpdateStack"
],
"Resource": "arn:aws:cloudformation:*:123456789012:stack/AWSProton-*"
},
{
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"cloudformation.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS Proton 用于 CodeBuild 置备的服务角色
作为平台团队的成员,您可以作为管理员创建一个 AWS Proton 服务角色,并在创建环境 AWS Proton 时将其作为环境的 CodeBuild 服务角色([CreateEnvironment](https://docs.aws.amazon.com/proton/latest/APIReference/API_CreateEnvironment.html)API 操作的`codebuildRoleArn`参数)提供给该角色。当环境或其中运行的任何服务实例使用预配置来配置基础设施时,此角色允许 AWS Proton 您代表您对其他服务进行 API CodeBuild 调用。
当您使用 AWS Proton 控制台创建环境并选择创建新角色时, AWS Proton 会将具有管理员权限的策略添加到它为您创建的服务角色中。在创建自己的角色并缩小权限范围时,请记住,如果出现`Access Denied`错误, AWS Proton 则会失败。
**重要**
请注意, AWS Proton 附加到它为您创建的角色的策略会向任何可以向您的账户注册模板的人授予管理员权限。由于我们不知道您将在 AWS Proton 模板中定义哪些资源,因此这些策略具有广泛的权限。我们建议您将权限范围缩小到在您的环境中部署的特定资源。
### AWS Proton 的服务角色策略示例 CodeBuild
以下示例为提供了 CodeBuild 使用配置资源的权限 AWS Cloud Development Kit (AWS CDK)。
`123456789012`用您的 AWS 账户 身份证替换。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/codebuild/AWSProton- Shell-*",
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/codebuild/AWSProton- Shell-*:*"
],
"Effect": "Allow"
},
{
"Action": "proton:NotifyResourceDeploymentStatusChange",
"Resource": "arn:aws:proton:us-east-1:123456789012:*",
"Effect": "Allow"
},
{
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::123456789012:role/cdk-*-deploy-role-*",
"arn:aws:iam::123456789012:role/cdk-*-file-publishing-role-*"
],
"Effect": "Allow"
}
]
}
```
------
### AWS Proton CodeBuild 信任政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "CodeBuildTrustRelationshipWithConfusedDeputyPrevention",
"Effect": "Allow",
"Principal": {
"Service": "codebuild.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:proton:*:123456789012:environment/*"
}
}
}
}
```
------
## AWS Proton 管道服务角色
要配置服务管道, AWS Proton 需要权限才能对其他服务进行 API 调用。所需的服务角色与您在创建环境时提供的服务角色类似。但是,创建管道的角色将在您 AWS 账户中的所有服务之间共享,您可以在控制台中或通过 [UpdateAccountSettings](https://docs.aws.amazon.com/proton/latest/APIReference/API_UpdateAccountSettings.html)API 操作将这些角色作为**账户设置**提供。
当您使用 AWS Proton 控制台更新账户设置并选择为 CloudFormation 或 CodeBuild 服务角色创建新角色时, AWS Proton 添加到控制台为您创建的服务角色的策略与前面章节中描述的策略相同,[AWS托管式预置角色](#proton-svc-role)以及[CodeBuild 置备角色](#codebuild-proton-svc-role)。在缩小此策略的权限范围时,请记住如果`Access Denied`出错 AWS Proton 就会失败。
**重要**
请注意,前面几节中的示例策略为任何可以在您的账户中注册模板的人授予管理员权限。由于我们不知道您将在 AWS Proton 模板中定义哪些资源,因此这些策略具有广泛的权限。我们建议您将权限范围缩小到在您的管道中部署的特定资源。
## AWS Proton 组件角色
作为平台团队的成员,您可以作为管理员创建一个 AWS Proton 服务角色,并在创建环境 AWS Proton 时将其作为环境的 CloudFormation 组件角色([CreateEnvironment](https://docs.aws.amazon.com/proton/latest/APIReference/API_CreateEnvironment.html)API 操作的`componentRoleArn`参数)提供给该角色。该角色缩小了直接定义的组件可以预置的基础设施范围。有关组件的更多信息,请参阅[AWS Proton 组件](ag-components.md)。
以下示例策略支持创建直接定义的组件,该组件预置一个 Amazon Simple Storage Service (Amazon S3) 存储桶和相关的访问策略。
### AWS Proton 组件角色策略示例
`123456789012`用您的 AWS 账户 身份证替换。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CancelUpdateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:DescribeStacks",
"cloudformation:ContinueUpdateRollback",
"cloudformation:DetectStackResourceDrift",
"cloudformation:DescribeStackResourceDrifts",
"cloudformation:DescribeStackEvents",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:UpdateStack",
"cloudformation:DescribeChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:ListChangeSets",
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:123456789012:stack/AWSProton-*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucket*",
"iam:CreatePolicy",
"iam:DeletePolicy",
"iam:GetPolicy",
"iam:ListPolicyVersions",
"iam:DeletePolicyVersion"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "cloudformation.amazonaws.com"
}
}
}
]
}
```
------
### AWS Proton 组件信任策略
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ServiceTrustRelationshipWithConfusedDeputyPrevention",
"Effect": "Allow",
"Principal": {
"Service": "proton.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:proton:*:123456789012:environment/*"
}
}
}
}
```
------
# 基于条件密钥的策略示例 AWS Proton
以下示例 IAM 策略拒绝访问与`Condition`区块中指定的模板相匹配的 AWS Proton 操作。请注意,只有操作[、资源和条件键中列出的操作支持这些条件键 AWS Proton](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsproton.html)。要管理其他操作的权限(例如 `DeleteEnvironmentTemplate`),您必须使用资源级访问控制。
**拒绝对特定 AWS Proton 模板执行模板操作的策略示例:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": ["proton:*"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"proton:EnvironmentTemplate": ["arn:aws:proton:region_id:123456789012:environment-template/my-environment-template"]
}
}
},
{
"Effect": "Deny",
"Action": ["proton:*"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"proton:ServiceTemplate": ["arn:aws:proton:region_id:123456789012:service-template/my-service-template"]
}
}
}
]
}
```
------
在下一个示例策略中,第一个资源级语句拒绝访问与块中列出的服务 AWS Proton 模板匹配的模板操作以外的`ListServiceTemplates`模板操作。`Resource`第二条语句拒绝访问与`Condition`区块中列出的模板相匹配的 AWS Proton 操作。
**拒绝与特定模板匹配的 AWS Proton 操作的策略示例:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"proton:*"
],
"Resource": "arn:aws:proton:us-east-1:123456789012:service-template/my-service-template"
},
{
"Effect": "Deny",
"Action": [
"proton:*"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"proton:ServiceTemplate": [
"arn:aws:proton:us-east-1:123456789012:service-template/my-service-template"
]
}
}
}
]
}
```
------
最后一个策略示例允许开发者 AWS Proton 执行与`Condition`区块中列出的特定服务模板相匹配的操作。
**允许 AWS Proton 开发者执行与特定模板匹配的操作的策略示例:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"proton:ListServiceTemplates",
"proton:ListServiceTemplateVersions",
"proton:ListServices",
"proton:ListServiceInstances",
"proton:ListEnvironments",
"proton:GetServiceTemplate",
"proton:GetServiceTemplateVersion",
"proton:GetService",
"proton:GetServiceInstance",
"proton:GetEnvironment",
"proton:CreateService",
"proton:UpdateService",
"proton:UpdateServiceInstance",
"proton:UpdateServicePipeline",
"proton:DeleteService",
"codestar-connections:ListConnections"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"proton:ServiceTemplate": "arn:aws:proton:region_id:123456789012:service-template/my-service-template"
}
}
},
{
"Effect": "Allow",
"Action": [
"codestar-connections:PassConnection"
],
"Resource": "arn:aws:codestar-connections:*:*:connection/*",
"Condition": {
"StringEquals": {
"codestar-connections:PassedToService": "proton.amazonaws.com"
}
}
}
]
}
```
------