AWS politiques gérées pour AWS Resilience Hub - AWS Centre de résilience
AWSResilienceHubAsssessmentExecutionPolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS Resilience Hub

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle AWS service est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d'informations, consultez les politiques AWS gérées dans le Guide de IAM l'utilisateur.

AWSResilienceHubAsssessmentExecutionPolicy

Vous pouvez les associer AWSResilienceHubAsssessmentExecutionPolicy à votre IAM identité. Lors de l'exécution d'une évaluation, cette politique accorde des autorisations d'accès à d'autres AWS services pour exécuter des évaluations.

Détails de l’autorisation

Cette politique fournit les autorisations appropriées pour publier des alarmes AWS FIS et SOP des modèles dans votre compartiment Amazon Simple Storage Service (Amazon S3). Le nom du compartiment Amazon S3 doit commencer paraws-resilience-hub-artifacts-. Si vous souhaitez publier dans un autre compartiment Amazon S3, vous pouvez le faire en appelant CreateRecommendationTemplateAPI. Pour plus d'informations, consultez CreateRecommendationTemplate.

Cette politique inclut les autorisations suivantes :

  • Amazon CloudWatch (CloudWatch) — Obtient toutes les alarmes implémentées que vous avez configurées dans Amazon CloudWatch pour surveiller l'application. En outre, nous publions cloudwatch:PutMetricData des CloudWatch métriques pour le score de résilience de l'application dans l'espace de ResilienceHub noms.

  • Amazon Data Lifecycle Manager : obtient et fournit Describe des autorisations pour les ressources Amazon Data Lifecycle Manager associées à votre AWS compte.

  • Amazon DevOps Guru — Répertorie et fournit Describe des autorisations pour les ressources Amazon DevOps Guru associées à votre AWS compte.

  • Amazon DocumentDB — Répertorie et fournit des Describe autorisations pour les ressources Amazon DocumentDB associées à votre compte. AWS

  • Amazon DynamoDB (DynamoDB) : répertorie et fournit des Describe autorisations pour les ressources Amazon DynamoDB associées à votre compte. AWS

  • Amazon ElastiCache (ElastiCache) — Fournit Describe des autorisations pour les ElastiCache ressources associées à votre AWS compte.

  • Amazon Elastic Compute Cloud (AmazonEC2) : répertorie et fournit Describe des autorisations pour les EC2 ressources Amazon associées à votre AWS compte.

  • Amazon Elastic Container Registry (AmazonECR) : fournit des Describe autorisations pour les ECR ressources Amazon associées à votre AWS compte.

  • Amazon Elastic Container Service (AmazonECS) : fournit des Describe autorisations pour les ECS ressources Amazon associées à votre AWS compte.

  • Amazon Elastic File System (AmazonEFS) : fournit Describe des autorisations pour les EFS ressources Amazon associées à votre AWS compte.

  • Amazon Elastic Kubernetes Service (EKSAmazon) : répertorie et Describe fournit des autorisations pour les ressources EKS Amazon associées à votre compte. AWS

  • Amazon EC2 Auto Scaling — Répertorie et fournit Describe des autorisations pour les ressources Amazon EC2 Auto Scaling associées à votre AWS compte.

  • Amazon EC2 Systems Manager (SSM) : fournit Describe des autorisations pour les SSM ressources associées à votre AWS compte.

  • Amazon Fault Injection Service (AWS FIS) : répertorie et fournit des Describe autorisations pour les AWS FIS expériences et les modèles d'expériences associés à votre AWS compte.

  • Amazon FSx pour Windows File Server (AmazonFSx) : répertorie et fournit Describe des autorisations pour les FSx ressources Amazon associées à votre AWS compte.

  • Amazon RDS — Répertorie et fournit des Describe autorisations pour les RDS ressources Amazon associées à votre AWS compte.

  • Amazon Route 53 (Route 53) : répertorie et fournit Describe des autorisations pour les ressources Route 53 associées à votre AWS compte.

  • Amazon Route 53 Resolver — Répertorie et fournit des Describe autorisations pour les Amazon Route 53 Resolver ressources associées à votre AWS compte.

  • Amazon Simple Notification Service (AmazonSNS) — Répertorie et fournit des Describe autorisations pour les SNS ressources Amazon associées à votre AWS compte.

  • Amazon Simple Queue Service (AmazonSQS) — Répertorie et fournit des Describe autorisations pour les SQS ressources Amazon associées à votre AWS compte.

  • Amazon Simple Storage Service (Amazon S3) — Répertorie et Describe fournit des autorisations pour les ressources Amazon S3 associées AWS à votre compte.

    Note

    Lors de l'exécution d'une évaluation, si des autorisations manquantes doivent être mises à jour à partir des politiques gérées, l'évaluation AWS Resilience Hub sera terminée avec succès en utilisant l'GetBucketLogging autorisation s3 :. Cependant, AWS Resilience Hub affichera un message d'avertissement répertoriant les autorisations manquantes et fournissant un délai de grâce pour les ajouter. Si vous n'ajoutez pas les autorisations manquantes dans le délai de grâce spécifié, l'évaluation échouera.

  • AWS Backup — Répertorie et obtient Describe les autorisations pour les ressources Amazon EC2 Auto Scaling associées à votre AWS compte.

  • AWS CloudFormation — Répertorie les ressources associées à AWS CloudFormation votre AWS compte et obtient des Describe autorisations pour celles-ci.

  • AWS DataSync — Répertorie et fournit des Describe autorisations pour les AWS DataSync ressources associées à votre AWS compte.

  • AWS Directory Service — Répertorie et fournit des Describe autorisations pour les AWS Directory Service ressources associées à votre AWS compte.

  • AWS Elastic Disaster Recovery (Elastic Disaster Recovery) — Fournit Describe des autorisations pour les ressources Elastic Disaster Recovery associées à votre AWS compte.

  • AWS Lambda (Lambda) — Répertorie et fournit des Describe autorisations pour les ressources Lambda associées à votre compte. AWS

  • AWS Resource Groups (Resource Groups) — Répertorie et fournit des Describe autorisations pour les ressources Resource Groups associées à votre AWS compte.

  • AWS Service Catalog (Service Catalog) — Répertorie et fournit Describe des autorisations pour les ressources Service Catalog associées à votre AWS compte.

  • AWS Step Functions — Répertorie et fournit des Describe autorisations pour les AWS Step Functions ressources associées à votre AWS compte.

  • Elastic Load Balancing — Répertorie et fournit Describe des autorisations pour les ressources Elastic Load Balancing associées à votre AWS compte.

  • ssm:GetParametersByPath— Nous utilisons cette autorisation pour gérer les CloudWatch alarmes, les tests ou SOPs ceux qui sont configurés pour votre application.

La IAM politique suivante est requise pour qu'un AWS compte ajoute des autorisations pour les utilisateurs, les groupes d'utilisateurs et les rôles qui fournissent les autorisations requises pour que votre équipe puisse accéder aux AWS services lors de l'exécution d'évaluations.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSResilienceHubFullResourceStatement",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalableTargets",
                "autoscaling:DescribeAutoScalingGroups",
                "backup:DescribeBackupVault",
                "backup:GetBackupPlan",
                "backup:GetBackupSelection",
                "backup:ListBackupPlans",
                "backup:ListBackupSelections",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStackResources",
                "cloudformation:ValidateTemplate",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "datasync:DescribeTask",
                "datasync:ListLocations",
                "datasync:ListTasks",
                "devops-guru:ListMonitoredResources",
                "dlm:GetLifecyclePolicies",
                "dlm:GetLifecyclePolicy",
                "docdb-elastic:GetCluster",
                "docdb-elastic:GetClusterSnapshot",
                "docdb-elastic:ListClusterSnapshots",
                "docdb-elastic:ListTagsForResource",
                "drs:DescribeJobs",
                "drs:DescribeSourceServers",
                "drs:GetReplicationConfiguration",
                "ds:DescribeDirectories",
                "dynamodb:DescribeContinuousBackups",
                "dynamodb:DescribeGlobalTable",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListGlobalTables",
                "dynamodb:ListTagsOfResource",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DescribeFleets",
                "ec2:DescribeHosts",
                "ec2:DescribeInstances",
                "ec2:DescribeNatGateways",
                "ec2:DescribePlacementGroups",
                "ec2:DescribeRegions",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcEndpoints",
                "ecr:DescribeRegistry",
                "ecs:DescribeCapacityProviders",
                "ecs:DescribeClusters",
                "ecs:DescribeContainerInstances",
                "ecs:DescribeServices",
                "ecs:DescribeTaskDefinition",
                "ecs:ListContainerInstances",
                "ecs:ListServices",
                "eks:DescribeCluster",
                "eks:DescribeFargateProfile",
                "eks:DescribeNodegroup",
                "eks:ListFargateProfiles",
                "eks:ListNodegroups",
                "elasticache:DescribeCacheClusters",
                "elasticache:DescribeGlobalReplicationGroups",
                "elasticache:DescribeReplicationGroups",
                "elasticache:DescribeSnapshots",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "fis:GetExperimentTemplate",
                "fis:ListExperimentTemplates",
                "fis:ListExperiments",
                "fsx:DescribeFileSystems",
                "lambda:GetFunctionConcurrency",
                "lambda:GetFunctionConfiguration",
                "lambda:ListAliases",
                "lambda:ListEventSourceMappings",
                "lambda:ListFunctionEventInvokeConfigs",
                "lambda:ListVersionsByFunction",
                "rds:DescribeDBClusterSnapshots",
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstanceAutomatedBackups",
                "rds:DescribeDBInstances",
                "rds:DescribeDBProxies",
                "rds:DescribeDBProxyTargets",
                "rds:DescribeDBSnapshots",
                "rds:DescribeGlobalClusters",
                "rds:ListTagsForResource",
                "resource-groups:GetGroup",
                "resource-groups:ListGroupResources",
                "route53-recovery-control-config:ListClusters",
                "route53-recovery-control-config:ListControlPanels",
                "route53-recovery-control-config:ListRoutingControls",
                "route53-recovery-readiness:GetReadinessCheckStatus",
                "route53-recovery-readiness:GetResourceSet",
                "route53-recovery-readiness:ListReadinessChecks",
                "route53:GetHealthCheck",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:ListBucket",
                "servicecatalog:GetApplication",
                "servicecatalog:ListAssociatedResources",
                "sns:GetSubscriptionAttributes",
                "sns:GetTopicAttributes",
                "sns:ListSubscriptionsByTopic",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "ssm:DescribeAutomationExecutions",
                "states:DescribeStateMachine",
                "states:ListStateMachineVersions",
                "states:ListStateMachineAliases",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSResilienceHubApiGatewayStatement",
            "Effect": "Allow",
            "Action": [
                "apigateway:GET"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/apis/*",
                "arn:aws:apigateway:*::/restapis/*",
                "arn:aws:apigateway:*::/usageplans"
            ]
        },
        {
            "Sid": "AWSResilienceHubS3ArtifactStatement",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubS3AccessStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetMultiRegionAccessPointRoutes",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubCloudWatchStatement",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "ResilienceHub"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubSSMStatement",
            "Effect": "Allow",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*"
        }
    ]
}

AWS Resilience Hub mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS Resilience Hub depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil sur la page Historique du AWS Resilience Hub document.

Modification Description Date
AWSResilienceHubAsssessmentExecutionPolicy— Modification AWS Resilience Hub mis AWSResilienceHubAsssessmentExecutionPolicy à jour pour accorder Describe des autorisations vous permettant d'accéder aux ressources et aux configurations sur Amazon DocumentDB, Elastic Load Balancing et AWS Lambda lors de l'exécution d'évaluations. 01 août 2024
AWSResilienceHubAsssessmentExecutionPolicy— Modification AWS Resilience Hub mis AWSResilienceHubAsssessmentExecutionPolicy à jour pour accorder Describe des autorisations vous permettant de lire la configuration du serveur de fichiers Amazon FSx pour Windows lors de l'exécution d'évaluations. 26 mars 2024
AWSResilienceHubAsssessmentExecutionPolicy— Modification AWS Resilience Hub mis AWSResilienceHubAsssessmentExecutionPolicy à jour pour accorder Describe des autorisations vous permettant de lire la AWS Step Functions configuration lors de l'exécution des évaluations. 30 octobre 2023
AWSResilienceHubAsssessmentExecutionPolicy— Modification AWS Resilience Hub mis AWSResilienceHubAsssessmentExecutionPolicy à jour pour accorder Describe des autorisations vous permettant d'accéder aux ressources sur Amazon RDS lors de l'exécution d'évaluations. 5 octobre 2023

AWSResilienceHubAsssessmentExecutionPolicy— Nouveau

Cette AWS Resilience Hub politique donne accès à d'autres AWS services pour exécuter des évaluations.

 26 juin 2023

AWS Resilience Hub a commencé à suivre les modifications

AWS Resilience Hub a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 15 juin 2023