本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS for AWS AppSync 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。[建立 IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供對所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 受管政策:AWSAppSyncInvokeFullAccess
使用 `AWSAppSyncInvokeFullAccess` AWS 受管政策,讓您的管理員透過主控台或獨立存取 AWS AppSync 服務。
您可將 `AWSAppSyncInvokeFullAccess` 政策連接到 IAM 身分。
### 許可詳細資訊
此政策包含以下許可。
+ `AWS AppSync` – 允許對 in AWS AppSync 中的所有資源進行完整管理存取
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:GetGraphqlApi",
"appsync:ListGraphqlApis",
"appsync:ListApiKeys"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSAppSyncSchemaAuthor
使用 `AWSAppSyncSchemaAuthor` AWS 受管政策允許 IAM 使用者存取 ,以建立、更新和查詢其 GraphQL 結構描述。如需使用者可以如何處理這些許可的詳細資訊,請參閱 [使用 設計 GraphQL APIs AWS AppSync](designing-a-graphql-api.md)。
您可將 `AWSAppSyncSchemaAuthor` 政策連接到 IAM 身分。
### 許可詳細資訊
此政策包含以下許可。
+ `AWS AppSync` – 允許下列動作:
+ 建立 GraphQL 結構描述
+ 允許建立、修改和刪除 GraphQL 類型、解析程式和函數
+ 評估請求和回應範本邏輯
+ 使用執行時間和內容評估程式碼
+ 將 GraphQL 查詢傳送至 GraphQL APIs
+ 擷取 GraphQL 資料
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:CreateResolver",
"appsync:CreateType",
"appsync:DeleteResolver",
"appsync:DeleteType",
"appsync:GetResolver",
"appsync:GetType",
"appsync:GetDataSource",
"appsync:GetSchemaCreationStatus",
"appsync:GetIntrospectionSchema",
"appsync:GetGraphqlApi",
"appsync:ListTypes",
"appsync:ListApiKeys",
"appsync:ListResolvers",
"appsync:ListDataSources",
"appsync:ListGraphqlApis",
"appsync:StartSchemaCreation",
"appsync:UpdateResolver",
"appsync:UpdateType",
"appsync:TagResource",
"appsync:UntagResource",
"appsync:ListTagsForResource",
"appsync:CreateFunction",
"appsync:UpdateFunction",
"appsync:GetFunction",
"appsync:DeleteFunction",
"appsync:ListFunctions",
"appsync:ListResolversByFunction",
"appsync:EvaluateMappingTemplate",
"appsync:EvaluateCode"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSAppSyncPushToCloudWatchLogs
AWS AppSync 使用 Amazon CloudWatch 來監控應用程式的效能,方法是產生可用於疑難排解和最佳化 GraphQL 請求的日誌。如需詳細資訊,請參閱[使用 CloudWatch 監控和記錄 GraphQL API 資料](monitoring.md)。
使用 `AWSAppSyncPushToCloudWatchLogs` AWS 受管政策允許 AWS AppSync 將日誌推送至 IAM 使用者的 CloudWatch 帳戶。
您可將 `AWSAppSyncPushToCloudWatchLogs` 政策連接到 IAM 身分。
### 許可詳細資訊
此政策包含以下許可。
+ `CloudWatch Logs` – Allow AWS AppSync 使用指定的名稱建立日誌群組和串流。 AWS AppSync 會將日誌事件推送至指定的日誌串流。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSAppSyncAdministrator
使用 `AWSAppSyncAdministrator` AWS 受管政策,允許您的管理員存取 AWS 主控台以外的所有 all AWS AppSync。
您可以將 `AWSAppSyncAdministrator` 連接到 IAM 實體。 AWS AppSync 也會將此政策連接至服務角色,以允許其代表您執行動作。
### 許可詳細資訊
此政策包含以下許可。
+ `AWS AppSync` – 允許 AWS AppSync 中所有資源的完整管理存取權
+ `IAM` – 允許下列動作:
+ 建立服務連結角色以允許 AWS AppSync 代表您分析其他 服務中的資源
+ 刪除服務連結角色
+ 將服務連結角色傳遞至其他 AWS 服務,以在稍後擔任該角色並代表您執行動作
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"appsync.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "appsync.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*"
}
]
}
```
------
## AWS 受管政策:AWSAppSyncServiceRolePolicy
使用 `AWSAppSyncServiceRolePolicy` AWS 受管政策允許存取 AWS AppSync 使用或管理 AWS 的服務和資源。
您不得將 `AWSAppSyncServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,允許 AWS AppSync 代表您執行動作。如需詳細資訊,請參閱[for AWS AppSync 的服務連結角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)。
### 許可詳細資訊
此政策包含以下許可。
+ `X-Ray` – AWS AppSync 會使用 AWS X-Ray 來收集應用程式內所提出請求的資料。如需詳細資訊,請參閱[使用 AWS X-Ray 追蹤 in AWS AppSync 中的請求](x-ray-tracing.md)。
此政策允許下列動作:
+ 擷取抽樣規則及其結果
+ 將追蹤資料傳送至 X-Ray 協助程式
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingTargets",
"xray:GetSamplingRules",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策的AWS AppSync 更新
檢視自此服務開始追蹤這些變更以來,有關 for AWS AppSync AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS AppSync 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) - 更新現有政策 | 新增`EvaluateCode`政策動作,允許使用者評估具有執行時間和內容的程式碼。 | 2023 年 2 月 7 日 |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) - 更新現有政策 | 新增政策動作,以允許 API 的清單、取得、建立、更新和刪除函數。 新增`EvaluateMappingTemplate`政策動作,允許使用者評估請求和回應解析程式映射範本邏輯。 新增政策動作以允許資源標記。 | 2022 年 8 月 25 日 |
| AWS AppSync 開始追蹤變更 | AWS AppSync 開始追蹤其 AWS 受管政策的變更。 | 2022 年 8 月 25 日 |