AWS kebijakan terkelola untuk AWS Resilience Hub

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat AWS kebijakan yang dikelola dalam Panduan Pengguna IAM.

AWSResilienceHubAsssessmentExecutionPolicy

Anda dapat melampirkan AWSResilienceHubAsssessmentExecutionPolicy ke identitas IAM Anda. Saat menjalankan penilaian, kebijakan ini memberikan izin akses ke AWS layanan lain untuk menjalankan penilaian.

Detail izin

Kebijakan ini memberikan izin yang memadai untuk memublikasikan alarm, AWS FIS dan templat SOP ke bucket Amazon Simple Storage Service (Amazon S3). Nama bucket Amazon S3 harus dimulai dengan. aws-resilience-hub-artifacts- Jika Anda ingin memublikasikan ke bucket Amazon S3 lain, Anda dapat melakukannya saat memanggil CreateRecommendationTemplate API. Untuk informasi lebih lanjut, lihat CreateRecommendationTemplate.

Kebijakan ini mencakup izin berikut:

• Amazon CloudWatch (CloudWatch) - Mendapatkan semua alarm yang diterapkan yang Anda atur di Amazon CloudWatch untuk memantau aplikasi. Selain itu, kami gunakan cloudwatch:PutMetricData untuk mempublikasikan CloudWatch metrik untuk skor ketahanan aplikasi di namespace. ResilienceHub

• Amazon Data Lifecycle Manager — Mendapat dan menyediakan Describe izin untuk sumber daya Amazon Data Lifecycle Manager yang terkait dengan akun Anda. AWS

• Amazon DevOps Guru - Mendaftar dan memberikan Describe izin untuk sumber daya Amazon DevOps Guru yang terkait dengan AWS akun Anda.

• Amazon DynamoDB (DynamoDB) - Mendaftar dan memberikan Describe izin untuk sumber daya Amazon DynamoDB yang terkait dengan akun Anda. AWS

• Amazon ElastiCache (ElastiCache) - Menyediakan Describe izin untuk ElastiCache sumber daya yang terkait dengan AWS akun Anda.

• Amazon Elastic Compute Cloud (Amazon EC2) — Mendaftar dan memberikan izin Describe untuk sumber daya Amazon EC2 yang terkait dengan akun Anda. AWS

• Amazon Elastic Container Registry (Amazon ECR) - Menyediakan Describe izin untuk sumber daya Amazon ECR yang terkait dengan akun Anda. AWS

• Amazon Elastic Container Service (Amazon ECS) - Menyediakan Describe izin untuk sumber daya Amazon ECS yang terkait dengan akun Anda. AWS

• Amazon Elastic File System (Amazon EFS) - Menyediakan Describe izin untuk sumber daya Amazon EFS yang terkait dengan AWS akun Anda.

• Amazon Elastic Kubernetes Service (Amazon EKS) - Mendaftar dan Describe memberikan izin untuk sumber daya Amazon EKS yang terkait dengan akun Anda. AWS

• Auto Scaling Amazon EC2 — Mendaftar dan Describe memberikan izin untuk sumber daya Auto Scaling Amazon EC2 yang terkait dengan akun Anda. AWS

• Amazon EC2 Systems Manager (SSM) — Describe Menyediakan izin untuk sumber daya SSM yang terkait dengan akun Anda. AWS

• Amazon Fault Injection Service (AWS FIS) - Mendaftar dan memberikan Describe izin untuk AWS FIS eksperimen dan templat eksperimen yang terkait dengan AWS akun Anda.

• Amazon FSx for Windows File Server (Amazon FSx) - Mendaftar dan memberikan Describe izin untuk sumber daya Amazon FSx yang terkait dengan akun Anda. AWS

• Amazon RDS - Mendaftar dan memberikan Describe izin untuk sumber daya Amazon RDS yang terkait dengan akun Anda. AWS

• Amazon Route 53 (Route 53) - Mendaftar dan memberikan Describe izin untuk sumber daya Route 53 yang terkait dengan AWS akun Anda.

• Amazon Route 53 Resolver — Daftar dan memberikan Describe izin untuk Amazon Route 53 Resolver sumber daya yang terkait dengan AWS akun Anda.

• Amazon Simple Notification Service (Amazon SNS) - Mendaftar dan Describe memberikan izin untuk sumber daya Amazon SNS yang terkait dengan akun Anda. AWS

• Amazon Simple Queue Service (Amazon SQS) — Mendaftar dan menyediakan izin Describe untuk sumber daya Amazon SQS yang terkait dengan akun Anda. AWS

• Amazon Simple Storage Service (Amazon S3) - Mendaftar dan memberikan Describe izin sumber daya Amazon S3 yang terkait dengan akun Anda. AWS

  catatan

  Saat menjalankan penilaian, jika ada izin yang hilang yang perlu diperbarui dari kebijakan Terkelola, penilaian AWS Resilience Hub akan berhasil menyelesaikan penilaian menggunakan izin s3:GetBucketLogging . Namun, AWS Resilience Hub akan menampilkan pesan peringatan yang mencantumkan izin yang hilang dan akan memberikan masa tenggang untuk menambahkan yang sama. Jika Anda tidak menambahkan izin yang hilang dalam masa tenggang yang ditentukan, penilaian akan gagal.

• AWS Backup — Daftar dan dapatkan Describe izin untuk sumber daya Auto Scaling Amazon EC2 yang terkait dengan akun Anda. AWS

• AWS CloudFormation — Daftar dan dapatkan Describe izin untuk sumber daya pada AWS CloudFormation tumpukan yang terkait dengan akun Anda AWS .

• AWS DataSync — Daftar dan memberikan Describe izin untuk AWS DataSync sumber daya yang terkait dengan AWS akun Anda.

• AWS Directory Service — Daftar dan memberikan Describe izin untuk AWS Directory Service sumber daya yang terkait dengan AWS akun Anda.

• AWS Elastic Disaster Recovery (Elastic Disaster Recovery) - Memberikan Describe izin untuk sumber daya Pemulihan Bencana Elastis yang terkait dengan AWS akun Anda.

• AWS Lambda (Lambda) — Daftar dan memberikan Describe izin untuk sumber daya Lambda yang terkait dengan akun Anda. AWS

• AWS Resource Groups (Resource Groups) — Daftar dan memberikan Describe izin untuk sumber daya Resource Groups yang terkait dengan AWS akun Anda.

• AWS Service Catalog (Service Catalog) — Daftar dan memberikan Describe izin untuk sumber daya Service Catalog yang terkait dengan AWS akun Anda.

• AWS Step Functions — Daftar dan memberikan Describe izin untuk AWS Step Functions sumber daya yang terkait dengan AWS akun Anda.

• Elastic Load Balancing — Daftar dan memberikan Describe izin untuk sumber daya Elastic Load Balancing yang terkait dengan akun Anda. AWS

• ssm:GetParametersByPath— Kami menggunakan izin ini untuk mengelola CloudWatch alarm, pengujian, atau SOP yang dikonfigurasi untuk aplikasi Anda.

Kebijakan IAM berikut diperlukan agar AWS akun dapat menambahkan izin bagi pengguna, grup pengguna, dan peran yang memberikan izin yang diperlukan bagi tim Anda untuk mengakses AWS layanan saat menjalankan penilaian.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "application-autoscaling:DescribeScalableTargets",
        "autoscaling:DescribeAutoScalingGroups",
        "backup:DescribeBackupVault",
        "backup:GetBackupPlan",
        "backup:GetBackupSelection",
        "backup:ListBackupPlans",
        "backup:ListBackupSelections",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStackResources",
        "cloudformation:ValidateTemplate",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics", 
        "datasync:DescribeTask", 
        "datasync:ListLocations",
        "datasync:ListTasks",
        "devops-guru:ListMonitoredResources",
        "dlm:GetLifecyclePolicies",
        "dlm:GetLifecyclePolicy",
        "drs:DescribeJobs",
        "drs:DescribeSourceServers",
        "drs:GetReplicationConfiguration",
        "ds:DescribeDirectories",
        "dynamodb:DescribeContinuousBackups",
        "dynamodb:DescribeGlobalTable",
        "dynamodb:DescribeLimits",
        "dynamodb:DescribeTable",
        "dynamodb:ListGlobalTables",
        "dynamodb:ListTagsOfResource",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeFastSnapshotRestores",
        "ec2:DescribeFleets",
        "ec2:DescribeHosts",
        "ec2:DescribeInstances",
        "ec2:DescribeNatGateways",
        "ec2:DescribePlacementGroups",
        "ec2:DescribeRegions",
        "ec2:DescribeSnapshots",
        "ec2:DescribeSubnets",
        "ec2:DescribeTags",
        "ec2:DescribeVolumes",
        "ec2:DescribeVpcEndpoints",
        "ecr:DescribeRegistry",
        "ecs:DescribeCapacityProviders",
        "ecs:DescribeClusters",
        "ecs:DescribeContainerInstances",
        "ecs:DescribeServices",
        "ecs:DescribeTaskDefinition",
        "ecs:ListContainerInstances",
        "ecs:ListServices",
        "eks:DescribeCluster",
        "eks:DescribeFargateProfile",
        "eks:DescribeNodegroup",
        "eks:ListFargateProfiles",
        "eks:ListNodegroups",
        "elasticache:DescribeCacheClusters",
        "elasticache:DescribeGlobalReplicationGroups",
        "elasticache:DescribeReplicationGroups",
        "elasticache:DescribeSnapshots",
        "elasticfilesystem:DescribeFileSystems",
        "elasticfilesystem:DescribeLifecycleConfiguration",
        "elasticfilesystem:DescribeMountTargets",
        "elasticfilesystem:DescribeReplicationConfigurations",
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:DescribeTargetGroups",
        "elasticloadbalancing:DescribeTargetHealth",
        "fis:GetExperimentTemplate",
        "fis:ListExperimentTemplates",
        "fis:ListExperiments",
        "fsx:DescribeFileSystems",
        "lambda:GetFunctionConcurrency",
        "lambda:GetFunctionConfiguration",
        "lambda:ListAliases",
        "lambda:ListVersionsByFunction",
        "rds:DescribeDBClusterSnapshots",
        "rds:DescribeDBClusters",
        "rds:DescribeDBInstanceAutomatedBackups",
        "rds:DescribeDBInstances",
        "rds:DescribeDBProxies",
        "rds:DescribeDBProxyTargets",
        "rds:DescribeDBSnapshots",
        "rds:DescribeGlobalClusters",
        "resource-groups:GetGroup",
        "resource-groups:ListGroupResources",
        "route53-recovery-control-config:ListClusters",
        "route53-recovery-control-config:ListControlPanels",
        "route53-recovery-control-config:ListRoutingControls",
        "route53-recovery-readiness:GetReadinessCheckStatus",
        "route53-recovery-readiness:GetResourceSet",
        "route53-recovery-readiness:ListReadinessChecks",
        "route53:GetHealthCheck",
        "route53:ListHealthChecks",
        "route53:ListHostedZones",
        "route53:ListResourceRecordSets", 
        "route53resolver:ListResolverEndpoints",
        "route53resolver:ListResolverEndpointIpAddresses",
        "s3:GetBucketLocation",
        "s3:GetBucketLogging",
        "s3:GetBucketObjectLockConfiguration",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketTagging",
        "s3:GetBucketVersioning",
        "s3:GetMultiRegionAccessPointRoutes",
        "s3:GetReplicationConfiguration",
        "s3:ListAllMyBuckets",
        "s3:ListBucket",
        "s3:ListMultiRegionAccessPoints",
        "servicecatalog:GetApplication",
        "servicecatalog:ListAssociatedResources",
        "sns:GetSubscriptionAttributes",
        "sns:GetTopicAttributes",
        "sns:ListSubscriptionsByTopic",
        "sqs:GetQueueAttributes",
        "sqs:GetQueueUrl",
        "ssm:DescribeAutomationExecutions",
        "states:DescribeStateMachine",
        "states:ListStateMachineVersions",
        "states:ListStateMachineAliases",
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "apigateway:GET"
      ],
      "Resource": [
        "arn:aws:apigateway:*::/apis/*",
        "arn:aws:apigateway:*::/restapis/*",
        "arn:aws:apigateway:*::/usageplans"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:PutObject",
        "s3:GetObject"
      ],
      "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloudwatch:namespace": "ResilienceHub"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParametersByPath"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*"
    }
  ]
}

AWS Resilience Hub pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola AWS Resilience Hub sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS Resilience Hub dokumen.

Perubahan	Deskripsi	Tanggal
AWSResilienceHubAsssessmentExecutionPolicy- AWS Resilience Hub memperluas dukungan untuk Amazon FSx untuk Windows File Server.	AWS Resilience Hub Kebijakan ini memungkinkan Anda membaca konfigurasi Amazon FSx for Windows File Server.	Maret 26, 2024
AWSResilienceHubAsssessmentExecutionPolicy— AWS Resilience Hub Memperluas dukungan untuk AWS Step Functions.	AWS Resilience Hub Kebijakan ini memungkinkan Anda membaca AWS Step Functions konfigurasi.	30 Oktober 2023
AWSResilienceHubAsssessmentExecutionPolicy— AWS Resilience Hub meningkatkan dukungan untuk Amazon Relational Database Service (Amazon RDS).	AWS Resilience Hub Kebijakan ini memungkinkan Anda mengakses sumber daya di Amazon RDS saat menjalankan penilaian.	5 Oktober 2023
AWSResilienceHubAsssessmentExecutionPolicy – Kebijakan baru	AWS Resilience Hub Kebijakan ini menyediakan akses ke AWS layanan lain untuk menjalankan penilaian.	26 Juni 2023
AWS Resilience Hub mulai melacak perubahan	AWS Resilience Hub mulai melacak perubahan untuk kebijakan yang AWS dikelola.	15 Juni 2023