AWS políticas gestionadas para AWS Audit Manager - AWS Audit Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para AWS Audit Manager

Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando haya nuevas API operaciones disponibles para los servicios existentes.

Para obtener más información, consulte las políticas AWS administradas en la Guía del IAM usuario.

AWS política gestionada: AWSAuditManagerAdministratorAccess

Puede adjuntar la AWSAuditManagerAdministratorAccess política a sus IAM identidades.

Esta política otorga permisos administrativos que permiten el acceso total de la administración a AWS Audit Manager. Este acceso incluye la capacidad de habilitar y deshabilitar AWS Audit Manager, cambiar la configuración y administrar todos los recursos de Audit Manager AWS Audit Manager, como las evaluaciones, los marcos, los controles y los informes de evaluación.

AWS Audit Manager requiere amplios permisos en varios AWS servicios. Esto se debe a que AWS Audit Manager se integra con varios AWS servicios para recopilar pruebas automáticamente de Cuenta de AWS los servicios incluidos en el ámbito de una evaluación.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • Audit Manager: Permite a las entidades principales tener plenos permisos sobre los recursos AWS Audit Manager .

  • Organizations: Permite a las entidades principales enumerar las cuentas y las unidades organizativas y registrar o anular el registro de un administrador delegado. Esto es necesario para poder habilitar la compatibilidad con varias cuentas y poder AWS Audit Manager realizar evaluaciones en varias cuentas y consolidar las pruebas en una cuenta de administrador delegado.

  • iam— Permite a los directores obtener y enumerar los usuarios IAM y crear un rol vinculado al servicio. Esto es necesario para poder designar a los responsables y delegados de la auditoría para una evaluación. Esta política también permite a las entidades principales eliminar el rol vinculado al servicio y recuperar el estado de eliminación. Esto es necesario para AWS Audit Manager poder limpiar los recursos y eliminar el rol vinculado al servicio si decide deshabilitar el servicio en el. AWS Management Console

  • s3: Permite a las entidades principales enumerar los buckets de Amazon Simple Storage Service (Amazon S3) disponibles. Esta capacidad es necesaria para que pueda designar el bucket de S3 en el que desea almacenar los informes de evidencias o cargar las evidencias manualmente.

  • kms: Permite a las entidades principales enumerar y describir claves, enumerar alias y crear concesiones. Esto es necesario para que pueda elegir las claves administradas por el cliente para el cifrado de datos.

  • sns— Permite a los directores publicar temas de suscripción en AmazonSNS. Esto es necesario para que puedas especificar a qué SNS tema quieres AWS Audit Manager enviar las notificaciones.

  • events— Permite a los directores enumerar los cheques y gestionarlos desde AWS Security Hub ellos. Esto es necesario para AWS Audit Manager poder recopilar automáticamente AWS Security Hub los resultados de los AWS servicios que supervisan. AWS Security Hub A continuación, puede convertir estos datos en evidencias para incluirlas en sus evaluaciones AWS Audit Manager .

  • tag: Permite a las entidades principales recuperar los recursos etiquetados. Esto es necesario para poder utilizar las etiquetas como filtro de búsqueda al explorar los marcos, los controles y las evaluaciones AWS Audit Manager.

  • controlcatalog— Permite a los directores enumerar los dominios, los objetivos y los controles comunes que proporciona AWS Control Catalog. Esto es necesario para poder utilizar la función de controles comunes en AWS Audit Manager. Con estos permisos establecidos, puede ver una lista de los controles más comunes en la biblioteca de AWS Audit Manager controles y filtrar los controles por dominio y objetivo. También puede utilizar los controles comunes como fuente de pruebas al crear un control personalizado.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:*" ], "Resource": "*" }, { "Sid": "OrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "AllowOnlyAuditManagerIntegration", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "auditmanager.amazonaws.com" ] } } }, { "Sid": "IAMAccess", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" }, { "Sid": "IAMAccessCreateSLR", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/auditmanager.amazonaws.com/AWSServiceRoleForAuditManager*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } }, { "Sid": "IAMAccessManageSLR", "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:UpdateRoleDescription", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/auditmanager.amazonaws.com/AWSServiceRoleForAuditManager*" }, { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "KmsAccess", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "KmsCreateGrantAccess", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" }, "StringLike": { "kms:ViaService": "auditmanager.*.amazonaws.com" } } }, { "Sid": "SNSAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "CreateEventsAccess", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "*", "Condition": { "StringEquals": { "events:detail-type": "Security Hub Findings - Imported" }, "ForAllValues:StringEquals": { "events:source": [ "aws.securityhub" ] } } }, { "Sid": "EventsAccess", "Effect": "Allow", "Action": [ "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver" }, { "Sid": "TagAccess", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" }, { "Sid": "ControlCatalogAccess", "Effect": "Allow", "Action": [ "controlcatalog:ListCommonControls", "controlcatalog:ListDomains", "controlcatalog:ListObjectives" ], "Resource": "*" } ] }

AWS política gestionada: AWSAuditManagerServiceRolePolicy

No puede adjuntarse AWSAuditManagerServiceRolePolicy a sus IAM entidades. Esta política está asociada a un rol vinculado al servicioAWSServiceRoleForAuditManager, que permite AWS Audit Manager realizar acciones en tu nombre. Para obtener más información, consulte Uso de roles vinculados a servicios para AWS Audit Manager.

La política de permisos de funciones, AWSAuditManagerServiceRolePolicy, permite que AWS Audit Manager recopile evidencias automatizadas haciendo lo siguiente en su nombre:

  • Recopilar datos de las siguientes fuentes de datos:

    • Eventos de gestión desde AWS CloudTrail

    • Comprobaciones de cumplimiento de Reglas de AWS Config

    • Controles de conformidad de AWS Security Hub

  • Utilice API las llamadas para describir las configuraciones de sus recursos para lo siguiente Servicios de AWS.

    sugerencia

    Para obtener más información sobre las API llamadas que Audit Manager utiliza para recopilar pruebas de estos servicios, consulte Se admiten llamadas a la API para orígenes de datos de control personalizadas esta guía.

    • Amazon API Gateway

    • AWS Backup

    • Amazon Bedrock

    • AWS Certificate Manager

    • Amazon CloudFront

    • AWS CloudTrail

    • Amazon CloudWatch

    • Amazon CloudWatch Logs

    • Grupos de usuarios de Amazon Cognito

    • AWS Config

    • Amazon Data Firehose

    • AWS Direct Connect

    • Amazon DynamoDB

    • Amazon EC2

    • Amazon EC2 Auto Scaling

    • Amazon Elastic Container Service

    • Amazon Elastic File System

    • Amazon Elastic Kubernetes Service

    • Amazon ElastiCache

    • Elastic Load Balancing

    • Amazon EMR

    • Amazon EventBridge

    • Amazon FSx

    • Amazon GuardDuty

    • AWS Identity and Access Management (IAM)

    • Amazon Kinesis

    • AWS KMS

    • AWS Lambda

    • AWS License Manager

    • Transmisión gestionada de Amazon para Apache Kafka

    • OpenSearch Servicio Amazon

    • AWS Organizations

    • Amazon Relational Database Service

    • Amazon Redshift

    • Amazon Route 53

    • Amazon S3

    • Amazon SageMaker

    • AWS Secrets Manager

    • AWS Security Hub

    • Amazon Simple Notification Service

    • Amazon Simple Queue Service

    • AWS WAF

Detalles de los permisos

AWSAuditManagerServiceRolePolicypermite AWS Audit Manager realizar las siguientes acciones en los recursos especificados:

  • acm:GetAccountConfiguration

  • acm:ListCertificates

  • apigateway:GET

  • autoscaling:DescribeAutoScalingGroups

  • backup:ListBackupPlans

  • backup:ListRecoveryPointsByResource

  • bedrock:GetCustomModel

  • bedrock:GetFoundationModel

  • bedrock:GetModelCustomizationJob

  • bedrock:GetModelInvocationLoggingConfiguration

  • bedrock:ListCustomModels

  • bedrock:ListFoundationModels

  • bedrock:ListGuardrails

  • bedrock:ListModelCustomizationJobs

  • cloudfront:GetDistribution

  • cloudfront:GetDistributionConfig

  • cloudfront:ListDistributions

  • cloudtrail:DescribeTrails

  • cloudtrail:GetTrail

  • cloudtrail:ListTrails

  • cloudtrail:LookupEvents

  • cloudwatch:DescribeAlarms

  • cloudwatch:DescribeAlarmsForMetric

  • cloudwatch:GetMetricStatistics

  • cloudwatch:ListMetrics

  • cognito-idp:DescribeUserPool

  • config:DescribeConfigRules

  • config:DescribeDeliveryChannels

  • config:ListDiscoveredResources

  • directconnect:DescribeDirectConnectGateways

  • directconnect:DescribeVirtualGateways

  • dynamodb:DescribeBackup

  • dynamodb:DescribeContinuousBackups

  • dynamodb:DescribeTable

  • dynamodb:DescribeTableReplicaAutoScaling

  • dynamodb:ListBackups

  • dynamodb:ListGlobalTables

  • dynamodb:ListTables

  • ec2:DescribeAddresses

  • ec2:DescribeCustomerGateways

  • ec2:DescribeEgressOnlyInternetGateways

  • ec2:DescribeFlowLogs

  • ec2:DescribeInstanceCreditSpecifications

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeInstances

  • ec2:DescribeInternetGateways

  • ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations

  • ec2:DescribeLocalGateways

  • ec2:DescribeLocalGatewayVirtualInterfaces

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSecurityGroupRules

  • ec2:DescribeSnapshots

  • ec2:DescribeTransitGateways

  • ec2:DescribeVolumes

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointConnections

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetEbsDefaultKmsKeyId

  • ec2:GetEbsEncryptionByDefault

  • ec2:GetLaunchTemplateData

  • ecs:DescribeClusters

  • eks:DescribeAddonVersions

  • elasticache:DescribeCacheClusters

  • elasticache:DescribeServiceUpdates

  • elasticfilesystem:DescribeAccessPoints

  • elasticfilesystem:DescribeFileSystems

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeSslPolicies

  • elasticloadbalancing:DescribeTargetGroups

  • elasticmapreduce:ListClusters

  • elasticmapreduce:ListSecurityConfigurations

  • es:DescribeDomains

  • es:DescribeDomain

  • es:DescribeDomainConfig

  • es:ListDomainNames

  • events:DeleteRule

  • events:DescribeRule

  • events:DisableRule

  • events:EnableRule

  • events:ListConnections

  • events:ListEventBuses

  • events:ListEventSources

  • events:ListRules

  • events:ListTargetsByRule

  • events:PutRule

  • events:PutTargets

  • events:RemoveTargets

  • firehose:ListDeliveryStreams

  • fsx:DescribeFileSystems

  • guardduty:ListDetectors

  • iam:GenerateCredentialReport

  • iam:GetAccessKeyLastUsed

  • iam:GetAccountAuthorizationDetails

  • iam:GetAccountPasswordPolicy

  • iam:GetAccountSummary

  • iam:GetCredentialReport

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRolePolicy

  • iam:GetUser

  • iam:GetUserPolicy

  • iam:ListAccessKeys

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedRolePolicies

  • iam:ListAttachedUserPolicies

  • iam:ListEntitiesForPolicy

  • iam:ListGroupsForUser

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListMfaDeviceTags

  • iam:ListMfaDevices

  • iam:ListOpenIdConnectProviders

  • iam:ListPolicies

  • iam:ListPolicyVersions

  • iam:ListRolePolicies

  • iam:ListRoles

  • iam:ListSamlProviders

  • iam:ListUserPolicies

  • iam:ListUsers

  • iam:ListVirtualMFADevices

  • kafka:ListClusters

  • kafka:ListKafkaVersions

  • kinesis:ListStreams

  • kms:DescribeKey

  • kms:GetKeyPolicy

  • kms:GetKeyRotationStatus

  • kms:ListGrants

  • kms:ListKeyPolicies

  • kms:ListKeys

  • lambda:ListFunctions

  • license-manager:ListAssociationsForLicenseConfiguration

  • license-manager:ListLicenseConfigurations

  • license-manager:ListUsageForLicenseConfiguration

  • logs:DescribeDestinations

  • logs:DescribeExportTasks

  • logs:DescribeLogGroups

  • logs:DescribeMetricFilters

  • logs:DescribeResourcePolicies

  • logs:FilterLogEvents

  • logs:GetDataProtectionPolicy

  • organizations:DescribeOrganization

  • organizations:DescribePolicy

  • rds:DescribeCertificates

  • rds:DescribeDBClusterEndpoints

  • rds:DescribeDBClusterParameterGroups

  • rds:DescribeDBClusters

  • rds:DescribeDBInstances

  • rds:DescribeDBInstanceAutomatedBackups

  • rds:DescribeDBSecurityGroups

  • redshift:DescribeClusters

  • redshift:DescribeClusterSnapshots

  • redshift:DescribeLoggingStatus

  • route53:GetQueryLoggingConfig

  • s3:GetBucketAcl

  • s3:GetBucketLogging

  • s3:GetBucketOwnershipControls

  • s3:GetBucketPolicy

    • Esta API acción opera dentro del ámbito de Cuenta de AWS donde service-linked-role esté disponible. No puede acceder a las políticas de bucket entre cuentas.

  • s3:GetBucketPublicAccessBlock

  • s3:GetBucketTagging

  • s3:GetBucketVersioning

  • s3:GetEncryptionConfiguration

  • s3:GetLifecycleConfiguration

  • s3:ListAllMyBuckets

  • sagemaker:DescribeAlgorithm

  • sagemaker:DescribeDomain

  • sagemaker:DescribeEndpoint

  • sagemaker:DescribeEndpointConfig

  • sagemaker:DescribeFlowDefinition

  • sagemaker:DescribeHumanTaskUi

  • sagemaker:DescribeLabelingJob

  • sagemaker:DescribeModel

  • sagemaker:DescribeModelBiasJobDefinition

  • sagemaker:DescribeModelCard

  • sagemaker:DescribeModelQualityJobDefinition

  • sagemaker:DescribeTrainingJob

  • sagemaker:DescribeUserProfile

  • sagemaker:ListAlgorithms

  • sagemaker:ListDomains

  • sagemaker:ListEndpointConfigs

  • sagemaker:ListEndpoints

  • sagemaker:ListFlowDefinitions

  • sagemaker:ListHumanTaskUis

  • sagemaker:ListLabelingJobs

  • sagemaker:ListModels

  • sagemaker:ListModelBiasJobDefinitions

  • sagemaker:ListModelCards

  • sagemaker:ListModelQualityJobDefinitions

  • sagemaker:ListMonitoringAlerts

  • sagemaker:ListMonitoringSchedules

  • sagemaker:ListTrainingJobs

  • sagemaker:ListUserProfiles

  • securityhub:DescribeStandards

  • secretsmanager:DescribeSecret

  • secretsmanager:ListSecrets

  • sns:ListTagsForResource

  • sns:ListTopics

  • sqs:ListQueues

  • waf-regional:GetLoggingConfiguration

  • waf-regional:GetRule

  • waf-regional:GetWebAcl

  • waf-regional:ListRuleGroups

  • waf-regional:ListRules

  • waf-regional:ListSubscribedRuleGroups

  • waf-regional:ListWebACLs

  • waf:GetRule

  • waf:GetRuleGroup

  • waf:ListActivatedRulesInRuleGroup

  • waf:ListRuleGroups

  • waf:ListRules

  • waf:ListWebAcls

  • wafv2:ListWebAcls

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "acm:GetAccountConfiguration", "acm:ListCertificates", "autoscaling:DescribeAutoScalingGroups", "backup:ListBackupPlans", "backup:ListRecoveryPointsByResource", "bedrock:GetCustomModel", "bedrock:GetFoundationModel", "bedrock:GetModelCustomizationJob", "bedrock:GetModelInvocationLoggingConfiguration", "bedrock:ListCustomModels", "bedrock:ListFoundationModels", "bedrock:ListGuardrails", "bedrock:ListModelCustomizationJobs", "cloudfront:GetDistribution", "cloudfront:GetDistributionConfig", "cloudfront:ListDistributions", "cloudtrail:GetTrail", "cloudtrail:ListTrails", "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cognito-idp:DescribeUserPool", "config:DescribeConfigRules", "config:DescribeDeliveryChannels", "config:ListDiscoveredResources", "directconnect:DescribeDirectConnectGateways", "directconnect:DescribeVirtualGateways", "dynamodb:DescribeContinuousBackups", "dynamodb:DescribeBackup", "dynamodb:DescribeTableReplicaAutoScaling", "dynamodb:DescribeTable", "dynamodb:ListBackups", "dynamodb:ListGlobalTables", "dynamodb:ListTables", "ec2:DescribeInstanceCreditSpecifications", "ec2:DescribeInstanceAttribute", "ec2:DescribeSecurityGroupRules", "ec2:DescribeVpcEndpointConnections", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:GetLaunchTemplateData", "ec2:DescribeAddresses", "ec2:DescribeCustomerGateways", "ec2:DescribeEgressOnlyInternetGateways", "ec2:DescribeFlowLogs", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations", "ec2:DescribeLocalGateways", "ec2:DescribeLocalGatewayVirtualInterfaces", "ec2:DescribeNatGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSnapshots", "ec2:DescribeTransitGateways", "ec2:DescribeVolumes", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:GetEbsDefaultKmsKeyId", "ec2:GetEbsEncryptionByDefault", "ecs:DescribeClusters", "eks:DescribeAddonVersions", "elasticache:DescribeCacheClusters", "elasticache:DescribeServiceUpdates", "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeSslPolicies", "elasticloadbalancing:DescribeTargetGroups", "elasticmapreduce:ListClusters", "elasticmapreduce:ListSecurityConfigurations", "events:DescribeRule", "events:ListConnections", "events:ListEventBuses", "events:ListEventSources", "events:ListRules", "firehose:ListDeliveryStreams", "fsx:DescribeFileSystems", "guardduty:ListDetectors", "iam:GenerateCredentialReport", "iam:GetAccountAuthorizationDetails", "iam:GetAccessKeyLastUsed", "iam:GetCredentialReport", "iam:GetGroupPolicy", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRolePolicy", "iam:GetUser", "iam:GetUserPolicy", "iam:GetAccountPasswordPolicy", "iam:GetAccountSummary", "iam:ListAttachedGroupPolicies", "iam:ListAttachedUserPolicies", "iam:ListEntitiesForPolicy", "iam:ListGroupsForUser", "iam:ListGroupPolicies", "iam:ListGroups", "iam:ListOpenIdConnectProviders", "iam:ListPolicies", "iam:ListRolePolicies", "iam:ListRoles", "iam:ListSamlProviders", "iam:ListUserPolicies", "iam:ListUsers", "iam:ListVirtualMFADevices", "iam:ListPolicyVersions", "iam:ListAccessKeys", "iam:ListAttachedRolePolicies", "iam:ListMfaDeviceTags", "iam:ListMfaDevices", "kafka:ListClusters", "kafka:ListKafkaVersions", "kinesis:ListStreams", "kms:DescribeKey", "kms:GetKeyPolicy", "kms:GetKeyRotationStatus", "kms:ListGrants", "kms:ListKeyPolicies", "kms:ListKeys", "lambda:ListFunctions", "license-manager:ListAssociationsForLicenseConfiguration", "license-manager:ListLicenseConfigurations", "license-manager:ListUsageForLicenseConfiguration", "logs:DescribeDestinations", "logs:DescribeExportTasks", "logs:DescribeLogGroups", "logs:DescribeMetricFilters", "logs:DescribeResourcePolicies", "logs:FilterLogEvents", "logs:GetDataProtectionPolicy", "es:DescribeDomains", "es:DescribeDomain", "es:DescribeDomainConfig", "es:ListDomainNames", "organizations:DescribeOrganization", "organizations:DescribePolicy", "rds:DescribeCertificates", "rds:DescribeDBClusterEndpoints", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBInstances", "rds:DescribeDBSecurityGroups", "rds:DescribeDBClusters", "rds:DescribeDBInstanceAutomatedBackups", "redshift:DescribeClusters", "redshift:DescribeClusterSnapshots", "redshift:DescribeLoggingStatus", "route53:GetQueryLoggingConfig", "sagemaker:DescribeAlgorithm", "sagemaker:DescribeFlowDefinition", "sagemaker:DescribeHumanTaskUi", "sagemaker:DescribeModelBiasJobDefinition", "sagemaker:DescribeModelCard", "sagemaker:DescribeModelQualityJobDefinition", "sagemaker:DescribeDomain", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeLabelingJob", "sagemaker:DescribeModel", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeUserProfile", "sagemaker:ListAlgorithms", "sagemaker:ListDomains", "sagemaker:ListEndpoints", "sagemaker:ListEndpointConfigs", "sagemaker:ListFlowDefinitions", "sagemaker:ListHumanTaskUis", "sagemaker:ListLabelingJobs", "sagemaker:ListModels", "sagemaker:ListModelBiasJobDefinitions", "sagemaker:ListModelCards", "sagemaker:ListModelQualityJobDefinitions", "sagemaker:ListMonitoringAlerts", "sagemaker:ListMonitoringSchedules", "sagemaker:ListTrainingJobs", "sagemaker:ListUserProfiles", "s3:GetBucketPublicAccessBlock", "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetLifecycleConfiguration", "s3:ListAllMyBuckets", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets", "securityhub:DescribeStandards", "sns:ListTagsForResource", "sns:ListTopics", "sqs:ListQueues", "waf-regional:GetRule", "waf-regional:GetWebAcl", "waf:GetRule", "waf:GetRuleGroup", "waf:ListActivatedRulesInRuleGroup", "waf:ListWebAcls", "wafv2:ListWebAcls", "waf-regional:GetLoggingConfiguration", "waf-regional:ListRuleGroups", "waf-regional:ListSubscribedRuleGroups", "waf-regional:ListWebACLs", "waf-regional:ListRules", "waf:ListRuleGroups", "waf:ListRules" ], "Resource": "*", "Sid": "APIsAccess" }, { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:GetBucketLogging", "s3:GetBucketOwnershipControls", "s3:GetBucketPolicy", "s3:GetBucketTagging" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": [ "${aws:PrincipalAccount}" ] } } }, { "Sid": "APIGatewayAccess", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/restapis", "arn:aws:apigateway:*::/restapis/*/stages/*", "arn:aws:apigateway:*::/restapis/*/stages" ], "Condition": { "StringEquals": { "aws:ResourceAccount": [ "${aws:PrincipalAccount}" ] } } }, { "Sid": "CreateEventsAccess", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver", "Condition": { "StringEquals": { "events:detail-type": "Security Hub Findings - Imported" }, "Null": { "events:source": "false" }, "ForAllValues:StringEquals": { "events:source": [ "aws.securityhub" ] } } }, { "Sid": "EventsAccess", "Effect": "Allow", "Action": [ "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver" } ] }

AWS Audit Manager actualizaciones de las políticas AWS gestionadas

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS Audit Manager desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed de la página del historial del AWS Audit Manager documento.

Cambio Descripción Fecha
AWSAuditManagerServiceRolePolicy: actualización de una política actual

El rol vinculado al servicio ahora permite AWS Audit Manager realizar la bedrock:ListGuardrails acción.

Esta API acción es necesaria para respaldar el. AWS marco generativo de mejores prácticas de IA v2 Permite a Audit Manager recopilar pruebas automatizadas sobre las barreras que existen para sus conjuntos de datos de entrenamiento de datos de modelos de IA generativos.

24/09/2024
AWSAuditManagerServiceRolePolicy: actualización de una política actual Hemos añadido los siguientes permisos a. AWSAuditManagerServiceRolePolicy AWS Audit Manager ahora puede realizar las siguientes acciones para recopilar pruebas automatizadas sobre los recursos de su propiedad Cuenta de AWS.
  • sagemaker:DescribeAlgorithm

  • sagemaker:DescribeDomain

  • sagemaker:DescribeEndpoint

  • sagemaker:DescribeFlowDefinition

  • sagemaker:DescribeHumanTaskUi

  • sagemaker:DescribeLabelingJob

  • sagemaker:DescribeModel

  • sagemaker:DescribeModelBiasJobDefinition

  • sagemaker:DescribeModelCard

  • sagemaker:DescribeModelQualityJobDefinition

  • sagemaker:DescribeTrainingJob

  • sagemaker:DescribeUserProfile

  • sagemaker:ListAlgorithms

  • sagemaker:ListDomains

  • sagemaker:ListEndpoints

  • sagemaker:ListFlowDefinitions

  • sagemaker:ListHumanTaskUis

  • sagemaker:ListLabelingJobs

  • sagemaker:ListModels

  • sagemaker:ListModelBiasJobDefinitions

  • sagemaker:ListModelCards

  • sagemaker:ListModelQualityJobDefinitions

  • sagemaker:ListMonitoringAlerts

  • sagemaker:ListMonitoringSchedules

  • sagemaker:ListTrainingJobs

  • sagemaker:ListUserProfiles

06/10/2024
AWSAuditManagerServiceRolePolicy: actualización de una política actual Hemos añadido los siguientes permisos a. AWSAuditManagerServiceRolePolicy AWS Audit Manager ahora puede realizar las siguientes acciones para recopilar pruebas automatizadas sobre los recursos de su propiedad Cuenta de AWS.
  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupsForUser

  • es:ListDomainNames

También hemos añadido un nuevo recurso en la APIGatewayAccess sección de la política (arn:aws:apigateway:*::/restapis).

La política ahora concede el permiso especificado (en este caso, la apigateway:GET acción) no solo a las etapas y los recursos de las etapas de API Gateway RESTAPIs, sino también a las REST APIs propias etapas. Este cambio amplía de manera efectiva el alcance de la política e incluye la posibilidad de recuperar información sobre la REST APIs propia API puerta de enlace, además de las etapas y los recursos de etapa asociados a ellasAPIs.

17/05/2024
AWSAuditManagerAdministratorAccess: actualización de una política actual Hemos agregado los siguientes permisos a AWSAuditManagerAdministratorAccess:
  • controlcatalog:ListCommonControls

  • controlcatalog:ListDomains

  • controlcatalog:ListObjectives

Esta actualización le permite ver los dominios de control, los objetivos de control y los controles comunes que proporciona AWS Control Catalog. Estos permisos son necesarios si desea utilizar la función de controles comunes en AWS Audit Manager.

15/05/2024

AWSAuditManagerServiceRolePolicy

: actualización de una política actual

Hemos añadido los siguientes permisos a. AWSAuditManagerServiceRolePolicy AWS Audit Manager ahora puede realizar las siguientes acciones para recopilar pruebas automatizadas sobre los recursos de su propiedad Cuenta de AWS.
  • apigateway:GET

  • autoscaling:DescribeAutoScalingGroups

  • backup:ListBackupPlans

  • cloudfront:GetDistribution

  • cloudfront:GetDistributionConfig

  • cloudfront:ListDistributions

  • cloudtrail:GetTrail

  • cloudtrail:ListTrails

  • dynamodb:DescribeContinuousBackups

  • dynamodb:DescribeBackup

  • dynamodb:DescribeTableReplicaAutoScaling

  • ec2:DescribeInstanceCreditSpecifications

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeSecurityGroupRules

  • ec2:DescribeVpcEndpointConnections

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:GetLaunchTemplateData

  • es:DescribeDomains

  • es:DescribeDomain

  • es:DescribeDomainConfig

  • iam:GetAccessKeyLastUsed

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRolePolicy

  • iam:GetUser

  • iam:GetUserPolicy

  • iam:ListAccessKeys

  • iam:ListAttachedRolePolicies

  • iam:ListMfaDeviceTags

  • iam:ListMfaDevices

  • iam:ListPolicyVersions

  • logs:GetDataProtectionPolicy

  • rds:DescribeDBInstanceAutomatedBackups

  • rds:DescribeDBClusterEndpoints

  • rds:DescribeDBClusterParameterGroups

  • redshift:DescribeClusterSnapshots

  • redshift:DescribeLoggingStatus

  • s3:GetBucketAcl

  • s3:GetBucketLogging

  • s3:GetBucketOwnershipControls

  • s3:GetBucketTagging

  • sagemaker:DescribeEndpointConfig

  • sagemaker:ListEndpointConfigs

  • secretsmanager:DescribeSecret

  • secretsmanager:ListSecrets

  • sns:ListTagsForResource

  • waf-regional:GetRule

  • waf-regional:GetWebAcl

  • waf-regional:ListRules

  • waf:GetRule

  • waf:GetRuleGroup

  • waf:ListRuleGroups

  • waf:ListRules

  • waf:ListWebAcls

  • wafv2:ListWebAcls

15/05/2024

AWSAuditManagerServiceRolePolicy

: actualización de una política actual

El rol vinculado al servicio ahora permite realizar AWS Audit Manager la acción. s3:GetBucketPolicy

Esta API acción es necesaria para respaldar el. AWS marco generativo de mejores prácticas de IA v2 Le permite a Audit Manager recopilar pruebas automatizadas sobre las restricciones de políticas vigentes para los conjuntos de datos de entrenamiento de datos de modelos de IA generativa.

La GetBucketPolicy acción opera dentro del ámbito de Cuenta de AWS donde service-linked-role esté disponible. No puede acceder a las políticas de bucket entre cuentas.

12/06/2023

AWSAuditManagerServiceRolePolicy

: actualización de una política actual

Hemos añadido los siguientes permisos a. AWSAuditManagerServiceRolePolicy AWS Audit Manager ahora puede realizar las siguientes acciones para recopilar pruebas automatizadas sobre los recursos de su propiedad Cuenta de AWS.
  • acm:GetAccountConfiguration

  • acm:ListCertificates

  • backup:ListRecoveryPointsByResource

  • bedrock:GetCustomModel

  • bedrock:GetFoundationModel

  • bedrock:GetModelCustomizationJob

  • bedrock:GetModelInvocationLoggingConfiguration

  • bedrock:ListCustomModels

  • bedrock:ListFoundationModels

  • bedrock:ListModelCustomizationJobs

  • cloudtrail:LookupEvents

  • cloudwatch:DescribeAlarmsForMetric

  • cloudwatch:GetMetricStatistics

  • cloudwatch:ListMetrics

  • directconnect:DescribeDirectConnectGateways

  • directconnect:DescribeVirtualGateways

  • dynamodb:ListBackups

  • dynamodb:ListGlobalTables

  • ec2:DescribeAddresses

  • ec2:DescribeCustomerGateways

  • ec2:DescribeEgressOnlyInternetGateways

  • ec2:DescribeInternetGateways

  • ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations

  • ec2:DescribeLocalGateways

  • ec2:DescribeLocalGatewayVirtualInterfaces

  • ec2:DescribeNatGateways

  • ec2:DescribeTransitGateways

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetEbsDefaultKmsKeyId

  • ec2:GetEbsEncryptionByDefault

  • ecs:DescribeClusters

  • eks:DescribeAddonVersions

  • elasticache:DescribeCacheClusters

  • elasticache:DescribeServiceUpdates

  • elasticfilesystem:DescribeAccessPoints

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeSslPolicies

  • elasticloadbalancing:DescribeTargetGroups

  • elasticmapreduce:ListClusters

  • elasticmapreduce:ListSecurityConfigurations

  • events:ListConnections

  • events:ListEventBuses

  • events:ListEventSources

  • events:ListRules

  • firehose:ListDeliveryStreams

  • fsx:DescribeFileSystems

  • iam:GetAccountPasswordPolicy

  • iam:GetCredentialReport

  • iam:ListOpenIdConnectProviders

  • iam:ListSamlProviders

  • iam:ListVirtualMFADevices

  • kafka:ListClusters

  • kafka:ListKafkaVersions

  • kinesis:ListStreams

  • lambda:ListFunctions

  • logs:DescribeDestinations

  • logs:DescribeExportTasks

  • logs:DescribeLogGroups

  • logs:DescribeMetricFilters

  • logs:DescribeResourcePolicies

  • logs:FilterLogEvents

  • rds:DescribeCertificates

  • rds:DescribeDbClusterEndpoints

  • rds:DescribeDbClusterParameterGroups

  • rds:DescribeDbClusters

  • rds:DescribeDbSecurityGroups

  • redshift:DescribeClusters

  • s3:GetBucketPublicAccessBlock

  • s3:GetBucketVersioning

  • sns:ListTopics

  • sqs:ListQueues

  • waf-regional:GetLoggingConfiguration

  • waf-regional:ListRuleGroups

  • waf-regional:ListSubscribedRuleGroups

  • waf-regional:ListWebACLs

11/06/2023

AWSAuditManagerServiceRolePolicy

: actualización de una política actual

Hemos agregado los siguientes permisos a AWSAuditManagerServiceRolePolicy:
  • dynamodb:DescribeTable

  • dynamodb:ListTables

  • ec2:DescribeVolumes

  • kms:GetKeyPolicy

  • kms:GetKeyRotationStatus

  • kms:ListKeyPolicies

  • rds:DescribeDBInstances

  • redshift:DescribeClusters

  • s3:GetEncryptionConfiguration

  • s3:ListAllMyBuckets

07/07/2022

AWSAuditManagerServiceRolePolicy: actualización de una política actual

El rol vinculado al servicio ahora permite realizar AWS Audit Manager la acción. organizations:DescribeOrganization

También hemos reducido el alcance del recurso CreateEventsAccess, pasando de ser un carácter comodín (*) a un tipo específico de recurso (arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver).

Por último, añadimos un operador de condición Null a la clave de condición events:source para confirmar que existe un valor de origen y que su valor no es nulo.

20/05/2022

AWSAuditManagerAdministratorAccess: actualización de una política actual

Hemos actualizado la política de condiciones de clave events:source para que refleje que se trata de una clave con varios valores.

29/04/2022

AWSAuditManagerServiceRolePolicy: actualización de una política actual

Hemos actualizado la política de condiciones de clave events:source para que refleje que se trata de una clave con varios valores.

16/03/2022
AWS Audit Manager comenzó a rastrear los cambios

AWS Audit Manager comenzó a rastrear los cambios de sus políticas AWS gestionadas.

05/06/2021