翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS の マネージドポリシー AWS Resilience Hub
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースに対するアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 AWS サービス は、新しい AWS が起動されたとき、または既存のサービスで新しいAPIオペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「 ユーザーガイド」の「 AWS 管理ポリシーIAM」を参照してください。
AWSResilienceHubAsssessmentExecutionPolicy
ID AWSResilienceHubAsssessmentExecutionPolicyに IAM をアタッチできます。このポリシーは、評価の実行中に、評価を実行するためのアクセス許可を他の AWS サービスに付与します。
アクセス許可の詳細
このポリシーは、Amazon Simple Storage Service (Amazon S3) バケットにアラーム AWS FIS とSOPテンプレートを発行するための適切なアクセス許可を提供します。Amazon S3 バケット名の先頭はaws-resilience-hub-artifacts-にする必要があります。別の Amazon S3 バケットに発行する場合は、 CreateRecommendationTemplate を呼び出すときに発行できますAPI。詳細については、「」を参照してくださいCreateRecommendationTemplate。
このポリシーには、以下の権限が含まれています。
-
Amazon CloudWatch (CloudWatch) – アプリケーションをモニタリング CloudWatch するために Amazon で設定したすべての実装済みアラームを取得します。さらに、
cloudwatch:PutMetricDataを使用して、ResilienceHub名前空間内のアプリケーションの障害耐性スコアの CloudWatch メトリクスを公開します。 -
Amazon Data Lifecycle Manager – AWS アカウントに関連付けられている Amazon Data Lifecycle Manager リソースの
Describeアクセス許可を取得して提供します。 -
Amazon DevOpsGuru – AWS アカウントに関連付けられている Amazon DevOpsGuru リソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon DocumentDB – アカウント AWS に関連付けられている Amazon DocumentDB リソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon DynamoDB (DynamoDB) — AWS アカウントに関連付けられている Amazon DynamoDB リソースの
Describe権限を一覧表示して提供します。 -
Amazon ElastiCache (ElastiCache) – AWS アカウントに関連付けられている ElastiCache リソースの
Describeアクセス許可を提供します。 -
Amazon Elastic Compute Cloud (Amazon EC2) – アカウント AWS に関連付けられている Amazon EC2リソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon Elastic Container Registry (Amazon ECR) – AWS アカウントに関連付けられている Amazon ECRリソースの
Describeアクセス許可を提供します。 -
Amazon Elastic Container Service (Amazon ECS) – AWS アカウントに関連付けられている Amazon ECSリソースの
Describeアクセス許可を提供します。 -
Amazon Elastic File System (Amazon EFS) – AWS アカウントに関連付けられている Amazon EFSリソースの
Describeアクセス許可を提供します。 -
Amazon Elastic Kubernetes Service (Amazon EKS) – アカウント AWS に関連付けられている Amazon EKSリソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon EC2 Auto Scaling – AWS アカウントに関連付けられている Amazon EC2 Auto Scaling リソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon EC2 Systems Manager (SSM) – AWS アカウントに関連付けられているSSMリソースの
Describeアクセス許可を提供します。 -
Amazon Fault Injection Service (AWS FIS) – AWS アカウントに関連付けられている AWS FIS 実験と実験テンプレートの
Describeアクセス許可を一覧表示して提供します。 -
Amazon FSx for Windows File Server (Amazon FSx) – アカウント AWS に関連付けられている Amazon FSxリソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon RDS – AWS アカウントに関連付けられている Amazon RDSリソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon Route 53 (Route 53) — AWS アカウントに関連付けられている Route 53 リソースの
Describe権限を一覧表示して提供します。 -
Amazon Route 53 Resolver – AWS アカウントに関連付けられている Amazon Route 53 Resolver リソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon Simple Notification Service (Amazon SNS) – アカウント AWS に関連付けられている Amazon SNSリソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon Simple Queue Service (Amazon SQS) – アカウント AWS に関連付けられている Amazon SQSリソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon Simple Storage Service (Amazon S3) – アカウント AWS に関連付けられている Amazon S3 リソースの
Describeアクセス許可を一覧表示して提供します。注記
評価の実行中に、 管理ポリシーから更新する必要があるアクセス許可が欠落している場合、 AWS Resilience Hub は s3:GetBucketLogging permission を使用して評価を正常に完了します。ただし、 AWS Resilience Hub は、不足しているアクセス許可を一覧表示する警告メッセージを表示し、それを追加する猶予期間を提供します。指定された猶予期間内に不足しているアクセス許可を追加しないと、評価は失敗します。
-
AWS Backup – AWS アカウントに関連付けられている Amazon EC2 Auto Scaling リソースの
Describeアクセス許可を一覧表示して取得します。 -
AWS CloudFormation – アカウントに関連付けられている AWS CloudFormation スタック上のリソースの
Describeアクセス許可を一覧表示して取得します AWS 。 -
AWS DataSync – AWS アカウントに関連付けられている AWS DataSync リソースの
Describeアクセス許可を一覧表示して提供します。 -
AWS Directory Service – AWS アカウントに関連付けられている AWS Directory Service リソースの
Describeアクセス許可を一覧表示して提供します。 -
AWS Elastic Disaster Recovery (Elastic Disaster Recovery) – AWS アカウントに関連付けられている Elastic Disaster Recovery リソースの
Describeアクセス許可を提供します。 -
AWS Lambda (Lambda) – アカウント AWS に関連付けられている Lambda リソースの
Describeアクセス許可を一覧表示して提供します。 -
AWS Resource Groups (リソースグループ) — アカウント AWS に関連付けられている Resource Groups リソースの
Describeアクセス許可を一覧表示して提供します。 -
AWS Service Catalog (Service Catalog) — アカウント AWS に関連付けられている Service Catalog リソースの
Describeアクセス許可を一覧表示して提供します。 -
AWS Step Functions – AWS アカウントに関連付けられている AWS Step Functions リソースの
Describeアクセス許可を一覧表示して提供します。 -
Elastic Load Balancing – AWS アカウントに関連付けられている Elastic Load Balancing リソースの
Describeアクセス許可を一覧表示して提供します。 -
ssm:GetParametersByPath– このアクセス許可は、アプリケーション用に設定された CloudWatch アラーム、テスト、または SOPs を管理するために使用されます。
評価の実行中にチームから AWS のサービスにアクセスするために必要なアクセス許可を付与するユーザー、ユーザーグループ、ロールのアクセス許可を AWS アカウントに追加するには、次のIAMポリシーが必要です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSResilienceHubFullResourceStatement", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "autoscaling:DescribeAutoScalingGroups", "backup:DescribeBackupVault", "backup:GetBackupPlan", "backup:GetBackupSelection", "backup:ListBackupPlans", "backup:ListBackupSelections", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "cloudformation:ValidateTemplate", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "datasync:DescribeTask", "datasync:ListLocations", "datasync:ListTasks", "devops-guru:ListMonitoredResources", "dlm:GetLifecyclePolicies", "dlm:GetLifecyclePolicy", "docdb-elastic:GetCluster", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:ListTagsForResource", "drs:DescribeJobs", "drs:DescribeSourceServers", "drs:GetReplicationConfiguration", "ds:DescribeDirectories", "dynamodb:DescribeContinuousBackups", "dynamodb:DescribeGlobalTable", "dynamodb:DescribeLimits", "dynamodb:DescribeTable", "dynamodb:ListGlobalTables", "dynamodb:ListTagsOfResource", "ec2:DescribeAvailabilityZones", "ec2:DescribeFastSnapshotRestores", "ec2:DescribeFleets", "ec2:DescribeHosts", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribePlacementGroups", "ec2:DescribeRegions", "ec2:DescribeSnapshots", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVpcEndpoints", "ecr:DescribeRegistry", "ecs:DescribeCapacityProviders", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeServices", "ecs:DescribeTaskDefinition", "ecs:ListContainerInstances", "ecs:ListServices", "eks:DescribeCluster", "eks:DescribeFargateProfile", "eks:DescribeNodegroup", "eks:ListFargateProfiles", "eks:ListNodegroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeGlobalReplicationGroups", "elasticache:DescribeReplicationGroups", "elasticache:DescribeSnapshots", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeLifecycleConfiguration", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:DescribeReplicationConfigurations", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "fis:GetExperimentTemplate", "fis:ListExperimentTemplates", "fis:ListExperiments", "fsx:DescribeFileSystems", "lambda:GetFunctionConcurrency", "lambda:GetFunctionConfiguration", "lambda:ListAliases", "lambda:ListEventSourceMappings", "lambda:ListFunctionEventInvokeConfigs", "lambda:ListVersionsByFunction", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBInstanceAutomatedBackups", "rds:DescribeDBInstances", "rds:DescribeDBProxies", "rds:DescribeDBProxyTargets", "rds:DescribeDBSnapshots", "rds:DescribeGlobalClusters", "rds:ListTagsForResource", "resource-groups:GetGroup", "resource-groups:ListGroupResources", "route53-recovery-control-config:ListClusters", "route53-recovery-control-config:ListControlPanels", "route53-recovery-control-config:ListRoutingControls", "route53-recovery-readiness:GetReadinessCheckStatus", "route53-recovery-readiness:GetResourceSet", "route53-recovery-readiness:ListReadinessChecks", "route53:GetHealthCheck", "route53:ListHealthChecks", "route53:ListHostedZones", "route53:ListResourceRecordSets", "route53resolver:ListResolverEndpoints", "route53resolver:ListResolverEndpointIpAddresses", "s3:ListBucket", "servicecatalog:GetApplication", "servicecatalog:ListAssociatedResources", "sns:GetSubscriptionAttributes", "sns:GetTopicAttributes", "sns:ListSubscriptionsByTopic", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "ssm:DescribeAutomationExecutions", "states:DescribeStateMachine", "states:ListStateMachineVersions", "states:ListStateMachineAliases", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AWSResilienceHubApiGatewayStatement", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/usageplans" ] }, { "Sid": "AWSResilienceHubS3ArtifactStatement", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:GetObject" ], "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AWSResilienceHubS3AccessStatement", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketObjectLockConfiguration", "s3:GetBucketPolicyStatus", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetMultiRegionAccessPointRoutes", "s3:GetReplicationConfiguration", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AWSResilienceHubCloudWatchStatement", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "ResilienceHub" } } }, { "Sid": "AWSResilienceHubSSMStatement", "Effect": "Allow", "Action": [ "ssm:GetParametersByPath" ], "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*" } ] }
AWS Resilience HubAWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始した AWS Resilience Hub 以降の の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートを受け取るには、 AWS Resilience Hub ドキュメント履歴ページのRSSフィードにサブスクライブします。
| 変更 | 説明 | 日付 |
|---|---|---|
| AWSResilienceHubAsssessmentExecutionPolicy – 変更 | AWS Resilience Hub はAWSResilienceHubAsssessmentExecutionPolicy、評価の実行 AWS Lambda 中に Amazon DocumentDB 、Elastic Load Balancing 、および のリソースと設定にアクセスできるようにするアクセスDescribe許可を付与するように更新されました。 Elastic Load Balancing |
2024 年 8 月 1 日 |
| AWSResilienceHubAsssessmentExecutionPolicy – 変更 | AWS Resilience Hub はAWSResilienceHubAsssessmentExecutionPolicy、評価の実行中に Amazon FSx for Windows File Server の設定を読み取るためのDescribeアクセス許可を付与するように更新されました。 |
2024 年 3 月 26 日 |
| AWSResilienceHubAsssessmentExecutionPolicy – 変更 | AWS Resilience Hub は AWSResilienceHubAsssessmentExecutionPolicy を更新し、評価の実行中に設定を読み取るためのDescribeアクセス許可を付与しました AWS Step Functions 。 |
2023 年 10 月 30 日 |
| AWSResilienceHubAsssessmentExecutionPolicy – 変更 | AWS Resilience Hub はAWSResilienceHubAsssessmentExecutionPolicy、評価の実行RDS中に Amazon のリソースにアクセスできるようにするアクセスDescribe許可を付与するように更新されました。 |
2023 年 10 月 5 日 |
|
この AWS Resilience Hub ポリシーは、評価を実行するための他の AWS サービスへのアクセスを提供します。 |
2023 年 6 月 26 日 | |
|
AWS Resilience Hub が変更の追跡を開始しました |
AWS Resilience Hub が AWS マネージドポリシーの変更の追跡を開始しました。 |
2023 年 6 月 15 日 |
