本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Control Tower 的動作、資源和條件索引鍵
AWS Control Tower (服務字首:controltower) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Control Tower 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了 動作本身的許可之外,還可能需要這些許可。當動作指定相依動作時,這些相依性可能適用於針對該動作定義的其他資源,而不只是資料表中列出的第一個資源。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| CreateLandingZone | 准許建立登陸區域 | 寫入 |
controltower:TagResource |
||
| CreateManagedAccount [僅限許可] | 准許建立 AWS Control Tower 管理的帳戶 | 寫入 | |||
| DeleteLandingZone | 准許刪除 AWS Control Tower 登陸區域 | 寫入 | |||
| DeregisterManagedAccount [僅限許可] | 准許從 AWS Control Tower 取消註冊透過帳戶工廠建立的帳戶 | 寫入 | |||
| DeregisterOrganizationalUnit [僅限許可] | 准許從 AWS Control Tower 管理取消註冊組織單位 | 寫入 | |||
| DescribeAccountFactoryConfig [僅限許可] | 准許描述目前的 Account Factory 組態 | 閱讀 | |||
| DescribeCoreService [僅限許可] | 准許描述 AWS Control Tower 中核心帳戶管理的資源 | 閱讀 | |||
| DescribeGuardrail [僅限許可] | 准許描述防護機制 | 閱讀 | |||
| DescribeGuardrailForTarget [僅限許可] | 准許描述組織單位的防護機制 | 閱讀 | |||
| DescribeLandingZoneConfiguration [僅限許可] | 准許描述目前的登陸區域組態 | 閱讀 | |||
| DescribeManagedAccount [僅限許可] | 准許描述透過 Account Factory 建立的帳戶 | 閱讀 | |||
| DescribeManagedOrganizationalUnit [僅限許可] | 准許描述 AWS Control Tower 管理的 AWS Organizations 組織單位 | 閱讀 | |||
| DescribeRegisterOrganizationalUnitOperation [僅限許可] | 准許描述登記組織單位操作 | 閱讀 | |||
| DescribeSingleSignOn [僅限許可] | 准許描述目前的 AWS Control Tower IAM Identity Center 組態 | 閱讀 | |||
| DisableBaseline | 准許停用目標的基準 | 寫入 | |||
| DisableControl | 准許從組織單位移除控制項 | 寫入 | |||
| DisableGuardrail [僅限許可] | 准許從組織單位停用防護機制 | 寫入 | |||
| EnableBaseline | 准許在目標上啟用基準 | 寫入 |
controltower:TagResource |
||
| EnableControl | 准許啟動組織單位控制項 | 寫入 |
controltower:TagResource |
||
| EnableGuardrail [僅限許可] | 准許對組織單位啟用防護機制 | 寫入 | |||
| GetAccountInfo [僅限許可] | 准許描述帳戶電子郵件,並驗證其是否存在 | 閱讀 | |||
| GetAvailableUpdates [僅限許可] | 准許列出目前 AWS Control Tower 部署的可用更新 | 閱讀 | |||
| GetBaseline | 准許取得基準詳細資訊 | 閱讀 | |||
| GetBaselineOperation | 准許取得特定基準操作的目前狀態 | 閱讀 | |||
| GetControlOperation | 准許取得特定 EnabledControl 或 DisableControl 操作的目前狀態 | 閱讀 | |||
| GetEnabledBaseline | 准許取得已啟用的基準 | 閱讀 | |||
| GetEnabledControl | 准許從組織單位取得啟用的控制項 | 閱讀 | |||
| GetGuardrailComplianceStatus [僅限許可] | 准許取得防護機制目前的規範遵循狀態 | 閱讀 | |||
| GetHomeRegion [僅限許可] | 准許取得 AWS Control Tower 設定的主區域 | 閱讀 | |||
| GetLandingZone | 准許取得登陸區域設定的目前狀態 | 閱讀 | |||
| GetLandingZoneDriftStatus | 准許取得目前登陸區域偏離狀態 | 閱讀 | |||
| GetLandingZoneOperation | 准許取得特定登陸區域操作的目前狀態 | 閱讀 | |||
| GetLandingZoneStatus [僅限許可] | 准許取得登陸區域設定的目前狀態 | 閱讀 | |||
| ListBaselines | 准許列出基準 | 清單 | |||
| ListControlOperations | 准許列出所有控制操作 | 清單 | |||
| ListDirectoryGroups [僅限許可] | 准許列出透過 IAM Identity Center 可用的目前目錄群組 | 清單 | |||
| ListDriftDetails | 准許列出 AWS Control Tower 中出現的偏離 | 閱讀 | |||
| ListEnabledBaselines | 准許列出已啟用的基準 | 清單 | |||
| ListEnabledControls | 准許列出指定組織單位中的所有已啟用的控制項 | 清單 | |||
| ListEnabledGuardrails [僅限許可] | 准許列出目前已啟用的防護機制 | 清單 | |||
| ListExtendGovernancePrecheckDetails [僅限許可] | 准許列出組織單位的預先檢查詳細資訊 | 清單 | |||
| ListExternalConfigRuleCompliance | 准許列出外部 Config AWS 規則的合規 | 閱讀 | |||
| ListGuardrailViolations [僅限許可] | 准許列出現有防護機制違規 | 清單 | |||
| ListGuardrails [僅限許可] | 准許列出所有可用防護機制 | 清單 | |||
| ListGuardrailsForTarget [僅限許可] | 准許列出組織單位防護機制及其目前狀態 | 清單 | |||
| ListLandingZoneOperations | 准許列出所有登陸區域操作 | 清單 | |||
| ListLandingZones | 准許列出所有登陸區域 | 清單 | |||
| ListManagedAccounts [僅限許可] | 准許列出透過 AWS Control Tower 管理的帳戶 | 清單 | |||
| ListManagedAccountsForGuardrail [僅限許可] | 准許列出套用指定防護機制的受管帳戶 | 清單 | |||
| ListManagedAccountsForParent [僅限許可] | 准許在組織單位下列出受管帳戶 | 清單 | |||
| ListManagedOrganizationalUnits [僅限許可] | 准許列出 AWS Control Tower 管理的組織單位 | 清單 | |||
| ListManagedOrganizationalUnitsForGuardrail [僅限許可] | 准許列出已套用指定防護機制的受管組織單位 | 清單 | |||
| ListTagsForResource | 准許列出資源的標籤 | 閱讀 | |||
| ManageOrganizationalUnit [僅限許可] | 准許設定由 AWS Control Tower 管理的組織單位 | 寫入 | |||
| PerformPreLaunchChecks [僅限許可] | 准許在帳戶中執行驗證 | 閱讀 | |||
| ResetEnabledBaseline | 准許重設已啟用的基準 | 寫入 | |||
| ResetEnabledControl | 准許重設組織單位的已啟用控制項 | 寫入 | |||
| ResetLandingZone | 准許重設登陸區域 | 寫入 | |||
| SetupLandingZone [僅限許可] | 准許設定或更新 AWS Control Tower 登陸區域 | 寫入 | |||
| TagResource | 准許將 標籤新增至資源 | 標記 | |||
| UntagResource | 授予許可來從資源中移除標籤 | 標記 | |||
| UpdateAccountFactoryConfig [僅限許可] | 准許更新 Account Factory 組態 | 寫入 | |||
| UpdateEnabledBaseline | 准許更新已啟用的基準 | 寫入 | |||
| UpdateEnabledControl | 准許更新組織單位的啟用控制項 | 寫入 | |||
| UpdateLandingZone | 准許更新登陸區域 | 寫入 |
AWS Control Tower 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| EnabledControl |
arn:${Partition}:controltower:${Region}:${Account}:enabledcontrol/${EnabledControlId}
|
|
| Baseline |
arn:${Partition}:controltower:${Region}::baseline/${BaselineId}
|
|
| EnabledBaseline |
arn:${Partition}:controltower:${Region}:${Account}:enabledbaseline/${EnabledBaselineId}
|
|
| LandingZone |
arn:${Partition}:controltower:${Region}:${Account}:landingzone/${LandingZoneId}
|
AWS Control Tower 的條件索引鍵
AWS Control Tower 定義了下列條件索引鍵,可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依要求中傳遞的標籤來篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源關聯的標籤來篩選存取權 | 字串 |
| aws:TagKeys | 依要求中傳遞的標籤索引鍵來篩選存取權 | ArrayOfString |
