AWS Audit Manager 的動作、資源和條件索引鍵

AWS Audit Manager （服務字首：auditmanager) 提供下列服務特定的資源、動作和條件內容索引鍵，可用於 IAM 許可政策。

參考資料：

了解如何設定此服務。
檢視可供此服務使用的 API 操作清單。
了解如何使用 IAM 許可政策來保護此服務及其資源。

主題

AWS Audit Manager 定義的動作
AWS Audit Manager 定義的資源類型
AWS Audit Manager 的條件索引鍵

AWS Audit Manager 定義的動作

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時，通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過，在某些情況下，單一動作可控制對多個操作的存取。或者，某些操作需要多種不同的動作。

動作資料表的存取層級欄說明動作的分類方式（列出、讀取、許可管理或標記）。此分類可協助您了解在政策中使用某動作時，該動作授予您的存取層級。如需存取層級的詳細資訊，請參閱政策摘要中的存取層級。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值，您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型，則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源，呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取，則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要)，則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊，請參閱「資源類型」資料表的條件索引鍵欄。

動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了動作本身的許可之外，還可能需要這些許可。當動作指定相依動作時，這些相依性可能適用於針對該動作定義的其他資源，而不只是資料表中列出的第一個資源。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄，其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊，請參閱動作資料表。

動作	描述	存取層級	資源類型 (*必填項目)	條件索引鍵
AssociateAssessmentReportEvidenceFolder	准許將證據資料夾與 AWS Audit Manager 中的評估報告建立關聯	寫入	assessment*
BatchAssociateAssessmentReportEvidence	准許將證據清單與 AWS Audit Manager 中的評估報告建立關聯	寫入	assessment*
BatchCreateDelegationByAssessment	准許在 AWS Audit Manager 中建立評估的委派	寫入	assessment*
BatchCreateDelegationByAssessment	准許在 AWS Audit Manager 中建立評估的委派	寫入	assessmentControlSet*
BatchDeleteDelegationByAssessment	准許刪除 AWS Audit Manager 中評估的委派	寫入	assessment*
BatchDeleteDelegationByAssessment	准許刪除 AWS Audit Manager 中評估的委派	寫入	assessmentControlSet*
BatchDisassociateAssessmentReportEvidence	准許取消證據清單與 AWS Audit Manager 中評估報告的關聯	寫入	assessment*
BatchImportEvidenceToAssessmentControl	准許將證據清單匯入 AWS Audit Manager 中的評估控制項	寫入	assessmentControlSet*
CreateAssessment	准許建立要與 AWS Audit Manager 搭配使用的評估	寫入		aws:RequestTag/${TagKey} aws:TagKeys aws:ResourceTag/${TagKey}
CreateAssessmentFramework	准許建立用於 AWS Audit Manager 的架構	寫入	control*
CreateAssessmentFramework	准許建立用於 AWS Audit Manager 的架構	寫入		aws:RequestTag/${TagKey} aws:TagKeys aws:ResourceTag/${TagKey}
CreateAssessmentReport	准許在 AWS Audit Manager 中建立評估報告	寫入	assessment*
CreateControl	准許建立要在 AWS Audit Manager 中使用的控制項	寫入		aws:RequestTag/${TagKey} aws:TagKeys aws:ResourceTag/${TagKey}
DeleteAssessment	准許刪除 AWS Audit Manager 中的評估	寫入	assessment*
DeleteAssessment	准許刪除 AWS Audit Manager 中的評估	寫入		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAssessmentFramework	准許刪除 AWS Audit Manager 中的評估架構	寫入	assessmentFramework*
DeleteAssessmentFramework	准許刪除 AWS Audit Manager 中的評估架構	寫入		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAssessmentFrameworkShare	准許刪除 AWS Audit Manager 中自訂架構的共享請求	寫入
DeleteAssessmentReport	准許在 AWS Audit Manager 中刪除評估報告	寫入	assessment*
DeleteControl	准許刪除 AWS Audit Manager 中的控制項	寫入	control*
DeleteControl	准許刪除 AWS Audit Manager 中的控制項	寫入		aws:RequestTag/${TagKey} aws:TagKeys
DeregisterAccount	准許在 AWS Audit Manager 中取消註冊帳戶	寫入
DeregisterOrganizationAdminAccount	准許取消註冊 AWS Audit Manager 的委派管理員帳戶	寫入
DisassociateAssessmentReportEvidenceFolder	准許取消證據資料夾與 AWS Audit Manager 中評估報告的關聯	寫入	assessment*
GetAccountStatus	准許取得 AWS Audit Manager 中帳戶的狀態	閱讀
GetAssessment	准許取得在 AWS Audit Manager 中建立的評估	閱讀	assessment*
GetAssessmentFramework	准許在 AWS Audit Manager 中取得評估架構	閱讀	assessmentFramework*
GetAssessmentReportUrl	准許在 AWS Audit Manager 中取得評估報告的 URL	閱讀	assessment*
GetChangeLogs	准許在 AWS Audit Manager 中取得評估的變更日誌	閱讀	assessment*
GetControl	准許在 AWS Audit Manager 中取得控制項	閱讀	control*
GetDelegations	准許取得 AWS Audit Manager 中的所有委派	清單
GetEvidence	准許從 AWS Audit Manager 取得證據	閱讀	assessmentControlSet*
GetEvidenceByEvidenceFolder	准許從 AWS Audit Manager 中的證據資料夾取得所有證據	閱讀	assessmentControlSet*
GetEvidenceFileUploadUrl	准許取得可用來上傳檔案作為手動證據的預先簽署 Amazon S3 URL	閱讀
GetEvidenceFolder	准許從 AWS Audit Manager 取得證據資料夾	閱讀	assessmentControlSet*
GetEvidenceFoldersByAssessment	准許從 AWS Audit Manager 中的評估取得證據資料夾	閱讀	assessment*
GetEvidenceFoldersByAssessmentControl	准許從 AWS Audit Manager 中的評估控制項取得證據資料夾	閱讀	assessmentControlSet*
GetInsights	准許取得所有作用中評定的分析資料	閱讀
GetInsightsByAssessment	准許取得特定作用中評定的分析資料	閱讀
GetOrganizationAdminAccount	准許在 AWS Audit Manager 中取得委派管理員帳戶	閱讀
GetServicesInScope	准許在 AWS Audit Manager 中取得評估範圍內的服務	閱讀
GetSettings	准許取得 AWS Audit Manager 中設定的所有設定	閱讀
ListAssessmentControlInsightsByControlDomain	准許列出特定控制網域和作用中評定中控制項的分析資料	清單
ListAssessmentFrameworkShareRequests	准許列出 AWS Audit Manager 中自訂架構的所有已傳送或已接收共享請求	清單
ListAssessmentFrameworks	准許列出 AWS Audit Manager 中的所有評估架構	清單
ListAssessmentReports	准許列出 AWS Audit Manager 中的所有評估報告	清單
ListAssessments	准許列出 AWS Audit Manager 中的所有評估	清單
ListControlDomainInsights	准許列出所有作用中評定之控制網域的分析資料	列出
ListControlDomainInsightsByAssessment	准許列出特定作用中評定之控制網域的分析資料	列出
ListControlInsightsByControlDomain	准許列出所有作用中評定之特定控制網域中控制項的分析資料	清單
ListControls	准許列出 AWS Audit Manager 中的所有控制項	清單
ListKeywordsForDataSource	准許列出 AWS Audit Manager 中的所有資料來源關鍵字	清單
ListNotifications	准許列出 AWS Audit Manager 中的所有通知	清單
ListTagsForResource	准許列出 AWS Audit Manager 資源的標籤	閱讀	assessment
ListTagsForResource	准許列出 AWS Audit Manager 資源的標籤	閱讀	control
RegisterAccount	准許在 AWS Audit Manager 中註冊帳戶	寫入
RegisterOrganizationAdminAccount	准許將組織內的帳戶註冊為 AWS Audit Manager 的委派管理員	寫入
StartAssessmentFrameworkShare	准許在 AWS Audit Manager 中建立自訂架構的共享請求	寫入	assessmentFramework*
TagResource	准許標記 AWS Audit Manager 資源	標記	assessment
			assessmentFramework
			control
				aws:TagKeys aws:RequestTag/${TagKey}
UntagResource	准許取消標記 AWS Audit Manager 資源	標記	assessment	aws:ResourceTag/${TagKey}
			assessmentFramework	aws:ResourceTag/${TagKey}
			control	aws:ResourceTag/${TagKey}
				aws:TagKeys
UpdateAssessment	准許更新 AWS Audit Manager 中的評估	寫入	assessment*
UpdateAssessmentControl	准許更新 AWS Audit Manager 中的評估控制項	寫入	assessmentControlSet*
UpdateAssessmentControlSetStatus	准許更新 AWS Audit Manager 中評估控制集的狀態	寫入	assessmentControlSet*
UpdateAssessmentFramework	准許更新 AWS Audit Manager 中的評估架構	寫入	assessmentFramework*
UpdateAssessmentFramework	准許更新 AWS Audit Manager 中的評估架構	寫入	control*
UpdateAssessmentFrameworkShare	准許更新 AWS Audit Manager 中自訂架構的共享請求	寫入	assessmentFramework*
UpdateAssessmentStatus	准許更新 AWS Audit Manager 中評估的狀態	寫入	assessment*
UpdateControl	准許更新 AWS Audit Manager 中的控制項	寫入	control*
UpdateSettings	准許更新 AWS Audit Manager 中的設定	寫入
ValidateAssessmentReportIntegrity	准許驗證 AWS Audit Manager 中評估報告的完整性	閱讀

AWS Audit Manager 定義的資源類型

此服務會定義下列資源類型，並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊，請參閱資源類型資料表。

資源類型	ARN	條件索引鍵
assessment	`arn:${Partition}:auditmanager:${Region}:${Account}:assessment/${AssessmentId}`	aws:ResourceTag/${TagKey}
assessmentFramework	`arn:${Partition}:auditmanager:${Region}:${Account}:assessmentFramework/${AssessmentFrameworkId}`	aws:ResourceTag/${TagKey}
assessmentControlSet	`arn:${Partition}:auditmanager:${Region}:${Account}:assessment/${AssessmentId}/controlSet/${ControlSetId}`
control	`arn:${Partition}:auditmanager:${Region}:${Account}:control/${ControlId}`	aws:ResourceTag/${TagKey}

AWS Audit Manager 的條件索引鍵

AWS Audit Manager 定義了下列條件索引鍵，可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊，請參閱條件索引鍵表。

若要檢視所有服務可用的全域條件索引鍵，請參閱AWS 全域條件內容索引鍵。

條件索引鍵	描述	類型
aws:RequestTag/${TagKey}	依要求中傳遞的標籤來篩選存取權	字串
aws:ResourceTag/${TagKey}	依與資源關聯的標籤來篩選存取權	字串
aws:TagKeys	依要求中傳遞的標籤索引鍵來篩選存取權	ArrayOfString

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Amazon Athena

Amazon Aurora DSQL