기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 관리형 정책은 다음과 같습니다. AWS Resilience Hub
AWS 관리형 정책은 에서 생성하고 관리하는 독립형 정책입니다. AWS AWS 관리형 정책은 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었으므로 사용자, 그룹 및 역할에 권한을 할당하기 시작할 수 있습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수도 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
관리형 정책에 정의된 권한은 변경할 수 없습니다. AWS AWS 관리형 정책에 정의된 권한을 업데이트하는 경우 AWS 해당 업데이트는 정책이 연결된 모든 주체 ID (사용자, 그룹, 역할) 에 영향을 미칩니다. AWS 새 정책이 시작되거나 기존 서비스에 새 AWS 서비스 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 가장 높습니다.
자세한 내용은 IAM사용 설명서의 AWS 관리형 정책을 참조하십시오.
AWSResilienceHubAsssessmentExecutionPolicy
IAMID를 ID에 AWSResilienceHubAsssessmentExecutionPolicy 첨부할 수 있습니다. 평가를 실행하는 동안 이 정책은 평가를 실행할 수 있는 다른 AWS 서비스에 액세스 권한을 부여합니다.
권한 세부 정보
이 정책은 Amazon Simple Storage Service (Amazon S3) 버킷에 경보 AWS FIS 및 SOP 템플릿을 게시할 수 있는 적절한 권한을 제공합니다. Amazon S3 버킷 이름은 aws-resilience-hub-artifacts-로 시작해야 합니다. 다른 Amazon S3 버킷에 게시하려는 경우 호출 중에 게시할 수 CreateRecommendationTemplate API 있습니다. 자세한 내용은 CreateRecommendationTemplate를 참조하세요.
이 정책에는 다음 권한이 포함되어 있습니다.
-
Amazon CloudWatch (CloudWatch) — 애플리케이션을 CloudWatch 모니터링하기 위해 Amazon에서 설정한 구현된 모든 경보를 가져옵니다. 또한
cloudwatch:PutMetricData네임스페이스에 애플리케이션의 복원력 점수에 대한 CloudWatch 지표를 게시하는 데 사용합니다.ResilienceHub -
Amazon 데이터 수명 주기 관리자 — 사용자 AWS 계정과 연결된 Amazon 데이터 수명 주기 관리자 리소스에 대한
Describe권한을 가져오고 제공합니다. -
Amazon DevOps Guru — AWS 계정과 연결된 Amazon DevOps Guru 리소스를 나열하고
Describe권한을 제공합니다. -
Amazon DocumentDB — 계정과 연결된 Amazon DocumentDB 리소스를 나열하고 해당 리소스에 대한 권한을
Describe제공합니다. AWS -
Amazon DynamoDB (DynamoDB) — AWS 계정과 연결된 Amazon DynamoDB 리소스를 나열하고
Describe권한을 제공합니다. -
Amazon ElastiCache (ElastiCache) — AWS 계정과 연결된 ElastiCache 리소스에 대한
Describe권한을 제공합니다. -
Amazon Elastic Compute Cloud (AmazonEC2) — AWS 계정과 연결된 Amazon EC2 리소스를 나열하고
Describe권한을 제공합니다. -
Amazon 엘라스틱 컨테이너 레지스트리 (AmazonECR) — AWS 계정과 연결된 Amazon ECR 리소스에 대한
Describe권한을 제공합니다. -
Amazon Elastic 컨테이너 서비스 (AmazonECS) — AWS 계정과 연결된 Amazon ECS 리소스에 대한
Describe권한을 제공합니다. -
Amazon Elastic File System (AmazonEFS) — AWS 계정과 연결된 아마존 EFS 리소스에 대한
Describe권한을 제공합니다. -
Amazon Elastic Kubernetes Service (EKSAmazon) — 계정과
Describe연결된 EKS 아마존 리소스를 나열하고 권한을 제공합니다. AWS -
Amazon EC2 Auto Scaling — 사용자 AWS 계정과 연결된 Amazon EC2 Auto Scaling 리소스를 나열하고
Describe권한을 제공합니다. -
Amazon EC2 Systems Manager (SSM) — AWS 계정과 연결된 SSM 리소스에 대한
Describe권한을 제공합니다. -
Amazon Fault Injection Service (AWS FIS) — AWS 계정과 연결된 AWS FIS 실험 및 실험 템플릿을 나열하고
Describe권한을 제공합니다. -
FSxWindows용 Amazon 파일 서버 (AmazonFSx) — AWS 계정과 연결된 Amazon FSx 리소스를 나열하고
Describe권한을 제공합니다. -
Amazon RDS — AWS 계정과 연결된 Amazon RDS 리소스를 나열하고
Describe권한을 제공합니다. -
Amazon Route 53(Route 53) — AWS 계정과 연결된 Route 53 리소스를 나열하고
Describe권한을 제공합니다. -
Amazon Route 53 Resolver — AWS 계정과 관련된 Amazon Route 53 Resolver 리소스를 나열하고
Describe권한을 제공합니다. -
Amazon 단순 알림 서비스 (AmazonSNS) — AWS 계정과 연결된 Amazon SNS 리소스를 나열하고
Describe권한을 제공합니다. -
Amazon 심플 큐 서비스 (AmazonSQS) — AWS 계정과 연결된 Amazon SQS 리소스를 나열하고
Describe권한을 제공합니다. -
Amazon Simple Storage 서비스 (Amazon S3) — 계정과 AWS 연결된 Amazon S3 리소스를 나열하고 권한을
Describe제공합니다.참고
평가를 실행하는 동안 관리형 정책에서 업데이트해야 하는 누락된 권한이 있는 경우 s3: GetBucketLogging 권한을 사용하여 평가를 성공적으로 완료합니다. AWS Resilience Hub 하지만 누락된 권한을 나열하는 경고 AWS Resilience Hub 메시지가 표시되고 동일한 권한을 추가할 수 있는 유예 기간이 제공됩니다. 지정된 유예 기간 내에 누락된 권한을 추가하지 않으면 평가가 실패합니다.
-
AWS Backup — 사용자 AWS 계정과 연결된 Amazon EC2 Auto Scaling 리소스를 나열하고
Describe권한을 가져옵니다. -
AWS CloudFormation — AWS 계정과 연결된 AWS CloudFormation 스택의 리소스를 나열하고
Describe권한을 가져옵니다. -
AWS DataSync — AWS 계정과 연결된 AWS DataSync 리소스를 나열하고
Describe권한을 제공합니다. -
AWS Directory Service — AWS 계정과 관련된 AWS Directory Service 리소스를 나열하고 해당 리소스에 대한
Describe권한을 제공합니다. -
AWS Elastic Disaster Recovery (탄력적 재해 복구) - AWS 계정과 연결된 탄력적 재해 복구 리소스에 대한
Describe권한을 제공합니다. -
AWS Lambda (Lambda) — 계정과 연결된 Lambda 리소스를 나열하고
Describe권한을 제공합니다. AWS -
AWS Resource Groups (Resource Groups) — AWS 계정과 연결된 Resource Groups 리소스를 나열하고 해당 리소스에 대한
Describe권한을 제공합니다. -
AWS Service Catalog (Service Catalog) - 사용자 AWS 계정과 연결된 Service Catalog 리소스를 나열하고
Describe권한을 제공합니다. -
AWS Step Functions — AWS 계정과 관련된 AWS Step Functions 리소스를 나열하고 해당 리소스에 대한
Describe권한을 제공합니다. -
Elastic Load Balancing — AWS 계정과 연결된 Elastic Load Balancing 리소스를 나열하고
Describe권한을 제공합니다. -
ssm:GetParametersByPath— 이 권한을 사용하여 CloudWatch 알람, 테스트 또는 애플리케이션에 맞게 구성된 SOPs 것을 관리합니다.
평가를 실행하는 동안 팀이 AWS 서비스에 액세스하는 데 필요한 권한을 제공하는 사용자, 사용자 그룹 및 역할에 대한 권한을 AWS 계정에 추가하려면 다음 IAM 정책이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSResilienceHubFullResourceStatement", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "autoscaling:DescribeAutoScalingGroups", "backup:DescribeBackupVault", "backup:GetBackupPlan", "backup:GetBackupSelection", "backup:ListBackupPlans", "backup:ListBackupSelections", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "cloudformation:ValidateTemplate", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "datasync:DescribeTask", "datasync:ListLocations", "datasync:ListTasks", "devops-guru:ListMonitoredResources", "dlm:GetLifecyclePolicies", "dlm:GetLifecyclePolicy", "docdb-elastic:GetCluster", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:ListTagsForResource", "drs:DescribeJobs", "drs:DescribeSourceServers", "drs:GetReplicationConfiguration", "ds:DescribeDirectories", "dynamodb:DescribeContinuousBackups", "dynamodb:DescribeGlobalTable", "dynamodb:DescribeLimits", "dynamodb:DescribeTable", "dynamodb:ListGlobalTables", "dynamodb:ListTagsOfResource", "ec2:DescribeAvailabilityZones", "ec2:DescribeFastSnapshotRestores", "ec2:DescribeFleets", "ec2:DescribeHosts", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribePlacementGroups", "ec2:DescribeRegions", "ec2:DescribeSnapshots", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVpcEndpoints", "ecr:DescribeRegistry", "ecs:DescribeCapacityProviders", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeServices", "ecs:DescribeTaskDefinition", "ecs:ListContainerInstances", "ecs:ListServices", "eks:DescribeCluster", "eks:DescribeFargateProfile", "eks:DescribeNodegroup", "eks:ListFargateProfiles", "eks:ListNodegroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeGlobalReplicationGroups", "elasticache:DescribeReplicationGroups", "elasticache:DescribeSnapshots", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeLifecycleConfiguration", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:DescribeReplicationConfigurations", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "fis:GetExperimentTemplate", "fis:ListExperimentTemplates", "fis:ListExperiments", "fsx:DescribeFileSystems", "lambda:GetFunctionConcurrency", "lambda:GetFunctionConfiguration", "lambda:ListAliases", "lambda:ListEventSourceMappings", "lambda:ListFunctionEventInvokeConfigs", "lambda:ListVersionsByFunction", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBInstanceAutomatedBackups", "rds:DescribeDBInstances", "rds:DescribeDBProxies", "rds:DescribeDBProxyTargets", "rds:DescribeDBSnapshots", "rds:DescribeGlobalClusters", "rds:ListTagsForResource", "resource-groups:GetGroup", "resource-groups:ListGroupResources", "route53-recovery-control-config:ListClusters", "route53-recovery-control-config:ListControlPanels", "route53-recovery-control-config:ListRoutingControls", "route53-recovery-readiness:GetReadinessCheckStatus", "route53-recovery-readiness:GetResourceSet", "route53-recovery-readiness:ListReadinessChecks", "route53:GetHealthCheck", "route53:ListHealthChecks", "route53:ListHostedZones", "route53:ListResourceRecordSets", "route53resolver:ListResolverEndpoints", "route53resolver:ListResolverEndpointIpAddresses", "s3:ListBucket", "servicecatalog:GetApplication", "servicecatalog:ListAssociatedResources", "sns:GetSubscriptionAttributes", "sns:GetTopicAttributes", "sns:ListSubscriptionsByTopic", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "ssm:DescribeAutomationExecutions", "states:DescribeStateMachine", "states:ListStateMachineVersions", "states:ListStateMachineAliases", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AWSResilienceHubApiGatewayStatement", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/usageplans" ] }, { "Sid": "AWSResilienceHubS3ArtifactStatement", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:GetObject" ], "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AWSResilienceHubS3AccessStatement", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketObjectLockConfiguration", "s3:GetBucketPolicyStatus", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetMultiRegionAccessPointRoutes", "s3:GetReplicationConfiguration", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AWSResilienceHubCloudWatchStatement", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "ResilienceHub" } } }, { "Sid": "AWSResilienceHubSSMStatement", "Effect": "Allow", "Action": [ "ssm:GetParametersByPath" ], "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*" } ] }
AWS Resilience Hub 관리형 정책 업데이트 AWS
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS Resilience Hub 이후의 AWS 관리형 정책 업데이트에 대한 세부 정보를 볼 수 있습니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS Resilience Hub 문서 기록 페이지에서 RSS 피드를 구독하십시오.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
| AWSResilienceHubAsssessmentExecutionPolicy— 변경 | AWS Resilience Hub Amazon DocumentDB, AWS Lambda Elastic Load Balancing 및 평가를 실행하는 동안 리소스와 구성에 액세스할 수 있는 Describe 권한을 AWSResilienceHubAsssessmentExecutionPolicy 부여하도록 업데이트되었습니다. |
2024년 8월 1일 |
| AWSResilienceHubAsssessmentExecutionPolicy— 변경 | AWS Resilience Hub 평가를 실행하는 동안 FSx Windows용 Amazon 파일 서버 구성을 읽을 수 있는 Describe 권한을 AWSResilienceHubAsssessmentExecutionPolicy 부여하도록 업데이트되었습니다. |
2024년 3월 26일 |
| AWSResilienceHubAsssessmentExecutionPolicy— 변경 | AWS Resilience Hub 평가를 실행하는 동안 AWS Step Functions
구성을 읽을 수 있는 Describe 권한을 AWSResilienceHubAsssessmentExecutionPolicy 부여하도록 업데이트되었습니다. |
2023년 10월 30일 |
| AWSResilienceHubAsssessmentExecutionPolicy— 변경 | AWS Resilience Hub 평가를 실행하는 RDS 동안 Amazon의 리소스에 액세스할 수 있는 Describe 권한을 AWSResilienceHubAsssessmentExecutionPolicy 부여하도록 업데이트되었습니다. |
2023년 10월 5일 |
|
이 AWS Resilience Hub 정책은 평가 실행을 위한 다른 AWS 서비스에 대한 액세스를 제공합니다. |
2023년 6월 26일 | |
|
AWS Resilience Hub 변경 내용 추적 시작 |
AWS Resilience Hub AWS 관리형 정책의 변경 사항 추적을 시작했습니다. |
2023년 6월 15일 |
