AWSAWS AppSync 的 受管政策 - AWS AppSync GraphQL
AWSAppSyncInvokeFullAccessAWSAppSyncSchemaAuthorAWSAppSyncPushToCloudWatchLogsAWSAppSyncAdministratorAWSAppSyncServiceRolePolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSAWS AppSync 的 受管政策

若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。

此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,ReadOnlyAccess AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 IAM 使用者指南有關任務職能的AWS 受管政策

AWS 受管政策:AWSAppSyncInvokeFullAccess

使用 AWSAppSyncInvokeFullAccess AWS 受管政策,讓您的管理員透過主控台或獨立存取 AWS AppSync 服務。

您可將 AWSAppSyncInvokeFullAccess 政策連接到 IAM 身分。

許可詳細資訊

此政策包含以下許可。

  • AWS AppSync – 允許對 in AWS AppSync 中的所有資源進行完整管理存取

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:GraphQL",
                "appsync:GetGraphqlApi",
                "appsync:ListGraphqlApis",
                "appsync:ListApiKeys"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管政策:AWSAppSyncSchemaAuthor

使用 AWSAppSyncSchemaAuthor AWS 受管政策允許 IAM 使用者存取 ,以建立、更新和查詢其 GraphQL 結構描述。如需使用者可以如何處理這些許可的詳細資訊,請參閱 使用 設計 GraphQL APIs AWS AppSync

您可將 AWSAppSyncSchemaAuthor 政策連接到 IAM 身分。

許可詳細資訊

此政策包含以下許可。

  • AWS AppSync – 允許下列動作:

    • 建立 GraphQL 結構描述

    • 允許建立、修改和刪除 GraphQL 類型、解析程式和函數

    • 評估請求和回應範本邏輯

    • 使用執行時間和內容評估程式碼

    • 將 GraphQL 查詢傳送至 GraphQL APIs

    • 擷取 GraphQL 資料

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:GraphQL",
                "appsync:CreateResolver",
                "appsync:CreateType",
                "appsync:DeleteResolver",
                "appsync:DeleteType",
                "appsync:GetResolver",
                "appsync:GetType",
                "appsync:GetDataSource",
                "appsync:GetSchemaCreationStatus",
                "appsync:GetIntrospectionSchema",
                "appsync:GetGraphqlApi",
                "appsync:ListTypes",
                "appsync:ListApiKeys",
                "appsync:ListResolvers",
                "appsync:ListDataSources",
                "appsync:ListGraphqlApis",
                "appsync:StartSchemaCreation",
                "appsync:UpdateResolver",
                "appsync:UpdateType",
                "appsync:TagResource",
                "appsync:UntagResource",
                "appsync:ListTagsForResource",
                "appsync:CreateFunction",
                "appsync:UpdateFunction",
                "appsync:GetFunction",
                "appsync:DeleteFunction",
                "appsync:ListFunctions",
                "appsync:ListResolversByFunction",
                "appsync:EvaluateMappingTemplate",
                "appsync:EvaluateCode"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管政策:AWSAppSyncPushToCloudWatchLogs

AWS AppSync 使用 Amazon CloudWatch 來監控應用程式的效能,方法是產生可用於疑難排解和最佳化 GraphQL 請求的日誌。如需詳細資訊,請參閱使用 CloudWatch 監控和記錄 GraphQL API 資料

使用 AWSAppSyncPushToCloudWatchLogs AWS 受管政策允許 AWS AppSync 將日誌推送至 IAM 使用者的 CloudWatch 帳戶。

您可將 AWSAppSyncPushToCloudWatchLogs 政策連接到 IAM 身分。

許可詳細資訊

此政策包含以下許可。

  • CloudWatch Logs – 允許 AWS AppSync 使用指定的名稱建立日誌群組和串流。 AWS AppSync 會將日誌事件推送至指定的日誌串流。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管政策:AWSAppSyncAdministrator

使用 AWSAppSyncAdministrator AWS 受管政策,讓您的管理員可以存取 AWS 主控台以外的所有 all AWS AppSync。

您可以將 AWSAppSyncAdministrator 連接到 IAM 實體。 AWS AppSync 也會將此政策連接至服務角色,以允許其代表您執行動作。

許可詳細資訊

此政策包含以下許可。

  • AWS AppSync – 允許 AWS AppSync 中所有資源的完整管理存取權

  • IAM – 允許下列動作:

    • 建立服務連結角色以允許 AWS AppSync 代表您分析其他服務中的資源

    • 刪除服務連結角色

    • 將服務連結角色傳遞至其他 AWS 服務,以在稍後擔任該角色並代表您執行動作

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appsync:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "appsync.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "appsync.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:DeleteServiceLinkedRole",
                "iam:GetServiceLinkedRoleDeletionStatus"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*"
        }
    ]
}

AWS 受管政策:AWSAppSyncServiceRolePolicy

使用 AWSAppSyncServiceRolePolicy AWS 受管政策允許存取 AWS AppSync 使用或管理 AWS 的服務和資源。

您不得將 AWSAppSyncServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,允許 AWS AppSync 代表您執行動作。如需詳細資訊,請參閱for AWS AppSync 的服務連結角色

許可詳細資訊

此政策包含以下許可。

  • X-Ray – AWS AppSync 使用 AWS X-Ray 收集應用程式內所提出請求的資料。如需詳細資訊,請參閱使用 AWS X-Ray 追蹤 in AWS AppSync 中的請求

    此政策允許下列動作:

    • 擷取抽樣規則及其結果

    • 將追蹤資料傳送至 X-Ray 協助程式

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingTargets",
                "xray:GetSamplingRules",
                "xray:GetSamplingStatisticSummaries"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

受管政策的 AWSAWS AppSync 更新

檢視自此服務開始追蹤這些變更以來, AWS AppSync AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS AppSync 文件歷史記錄頁面上的 RSS 摘要。

變更 描述 日期

AWSAppSyncSchemaAuthor - 更新現有政策

新增EvaluateCode政策動作,允許使用者評估具有執行時間和內容的程式碼。

 2023 年 2 月 7 日

AWSAppSyncSchemaAuthor - 更新現有政策

新增政策動作,以允許 API 的清單、取得、建立、更新和刪除函數。

新增EvaluateMappingTemplate政策動作,允許使用者評估請求和回應解析程式映射範本邏輯。

新增政策動作以允許資源標記。

 2022 年 8 月 25 日

AWS AppSync 已開始追蹤變更

AWS AppSync 開始追蹤其 AWS 受管政策的變更。

 2022 年 8 月 25 日