AWS 的托管策略 AWS Systems Manager Incident Manager

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《IAM 用户指南》中的 AWS 托管式策略。

AWS 托管策略： AWSIncidentManagerIncidentAccessServiceRolePolicy

您可以将 AWSIncidentManagerIncidentAccessServiceRolePolicy 附加到 IAM 实体。Incident Manager 还会将该策略附加到允许 Incident Manager 代表您执行操作的 Incident Manager 角色。

此策略授予只读权限，允许事件管理员读取某些其他资源中的资源 AWS 服务 ，以识别与这些服务中的事件相关的发现。

权限详细信息

该策略包含以下权限。

• cloudformation— 允许主体描述 AWS CloudFormation 堆栈。这是事件管理器识别与事件相关 CloudFormation 的事件和资源所必需的。

• codedeploy— 允许委托人读取 AWS CodeDeploy 部署。这是事件管理器识别与事件相关的 CodeDeploy 部署和目标所必需的。

• autoscaling— 允许委托人确定亚马逊弹性计算云 (EC2) 实例是否属于 Auto Scaling 组。这是必需的，这样事件管理器才能为属于 Auto Scaling 组的 EC2 实例提供调查结果。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IncidentAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "codedeploy:BatchGetDeployments",
                "codedeploy:ListDeployments",
                "codedeploy:ListDeploymentTargets",
                "autoscaling:DescribeAutoScalingInstances"
            ],
            "Resource": "*"
        }
    ]
}

要查看有关策略（包括 JSON 策略文档的最新版本）的更多信息，请参阅《AWS 托管式策略参考指南》中的 AWSIncidentManagerIncidentAccessServiceRolePolicy。

AWS 托管式策略：AWSIncidentManagerServiceRolePolicy

您不能将 AWSIncidentManagerServiceRolePolicy 附加到自己的 IAM 实体。该附加到服务相关角色的策略允许 Incident Manager 代表您执行操作。有关更多信息，请参阅 使用 Incident Manager 的服务相关角色。

此政策授予事件管理员列出事件、创建时间轴事件、创建 OpsItems、关联相关项目 OpsItems、开始互动以及发布与事件相关的 CloudWatch指标的权限。

权限详细信息

该策略包含以下权限。

• ssm-incidents——允许主体列出事件清单并创建时间轴事件。这是必需的，这样响应人员才能在事件发生期间在事件控制面板上进行协作。

• ssm— 允许委托人创建 OpsItems 和关联相关项目。这是在事件开始 OpsItem 时创建父项所必需的。

• ssm-contacts——允许主体开始互动。这是 Incident Manager 在事件发生期间与联系人联系所必需的。

• cloudwatch— 允许委托人发布 CloudWatch 指标。这是 Incident Manager 发布与事件相关的指标所必需的。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "UpdateIncidentRecordPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm-incidents:ListIncidentRecords",
                "ssm-incidents:CreateTimelineEvent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RelatedOpsItemPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm:CreateOpsItem",
                "ssm:AssociateOpsItemRelatedItem"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IncidentEngagementPermissions",
            "Effect": "Allow",
            "Action": "ssm-contacts:StartEngagement",
            "Resource": "*"
        },
        {
            "Sid": "PutCloudWatchMetricPermission",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/IncidentManager"
                }
            }
        }
    ]
}

要查看有关策略（包括 JSON 策略文档的最新版本）的更多信息，请参阅《AWS 托管式策略参考指南》中的 AWSIncidentManagerServiceRolePolicy。

AWS 托管策略：AWSIncidentManagerResolverAccess

您可以将 AWSIncidentManagerResolverAccess 附加到 IAM 实体，允许他们启动、查看和更新事件。这也使他们能够在事件控制面板中创建客户时间轴事件和相关项目。您也可以将此政策附加到 AWS Chatbot 服务角色或直接附加到与用于事件协作的任何聊天渠道关联的客户托管角色。要了解有关 AWS Chatbot中 IAM 策略的更多信息，请参阅《AWS Chatbot 管理员指南》中的使用 AWS Chatbot管理运行命令的权限。

权限详细信息

该策略包含以下权限。

• ssm-incidents——您可以启动事件、列出响应计划、列出事件、更新事件、列出时间轴事件、创建自定义时间轴事件、更新自定义时间轴事件、删除自定义时间轴事件、列出相关项目、创建相关项目和更新相关项目。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "StartIncidentPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm-incidents:StartIncident"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ResponsePlanReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm-incidents:ListResponsePlans",
                "ssm-incidents:GetResponsePlan"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IncidentRecordResolverPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm-incidents:ListIncidentRecords",
                "ssm-incidents:GetIncidentRecord",
                "ssm-incidents:UpdateIncidentRecord",
                "ssm-incidents:ListTimelineEvents",
                "ssm-incidents:CreateTimelineEvent",
                "ssm-incidents:GetTimelineEvent",
                "ssm-incidents:UpdateTimelineEvent",
                "ssm-incidents:DeleteTimelineEvent",
                "ssm-incidents:ListRelatedItems",
                "ssm-incidents:UpdateRelatedItems"
            ],
            "Resource": "*"
        }
    ]
}

要查看有关策略（包括 JSON 策略文档的最新版本）的更多信息，请参阅《AWS 托管式策略参考指南》中的 AWSIncidentManagerResolverAccess。

事件管理器对 AWS 托管策略的更新

查看自该服务开始跟踪事件 AWS 管理器托管策略变更以来这些更新的详细信息。有关此页面更改的自动警报，请订阅 Incident Manager 文档历史记录页面上的 RSS 信息源。

更改	描述	日期
AWSIncidentManagerIncidentAccessServiceRolePolicy — 政策更新	事件管理器为AWSIncidentManagerIncidentAccessServiceRolePolicy支持调查结果功能添加了一项新权限，允许其检查 EC2 实例是否属于 Auto Scaling 组。	2024 年 2 月 20 日
AWSIncidentManagerIncidentAccessServiceRolePolicy：新策略	事件管理器添加了一项新政策，授予事件管理员在管理事件时致电其他 AWS 服务 人的权限。	2023 年 11 月 17 日
AWSIncidentManagerServiceRolePolicy— 政策更新	事件管理器添加了一项新权限，允许事件管理员将指标发布到您的账户。	2022 年 12 月 16 日
AWSIncidentManagerResolverAccess——新策略	Incident Manager 添加了一项新政策，允许启动事件、列出响应计划、列出事件、更新事件、列出时间轴事件、创建自定义时间轴事件、更新自定义时间轴事件、删除自定义时间轴事件、列出相关项目、创建相关项目和更新相关项目。	2021 年 4 月 26 日
AWSIncidentManagerServiceRolePolicy：新策略	事件管理器添加了一项新政策，授予事件管理员列出事件、创建时间轴事件 OpsItems、创建、关联相关项目以及启动与事件相关的活动的权限。 OpsItems	2021 年 4 月 26 日
Incident Manager 开始跟踪更改	事件管理器开始跟踪其 AWS 托管策略的变更。	2021 年 4 月 26 日