AWS 的托管策略 AWS Resilience Hub

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《IAM 用户指南》中的 AWS 托管式策略。

AWSResilienceHubAsssessmentExecutionPolicy

您可以将 AWSResilienceHubAsssessmentExecutionPolicy 附加得到 IAM 身份。运行评估时，此策略向其他 AWS 服务授予执行评估的访问权限。

权限详细信息

该政策提供了足够的权限来向您的亚马逊简单存储服务 (Amazon S3) 存储桶发布警报 AWS FIS 和 SOP 模板。Amazon S3 存储桶的名称必须以 aws-resilience-hub-artifacts- 开头。如果您想发布到其他 Amazon S3 存储桶，则可以在调用 CreateRecommendationTemplate API 的同时执行此操作。有关更多信息，请参阅CreateRecommendationTemplate。

该策略包含以下权限：

• Amazon CloudWatch (CloudWatch)-获取您在亚马逊中为监控应用程序 CloudWatch 而设置的所有已实现警报。此外，我们还cloudwatch:PutMetricData用于发布ResilienceHub命名空间中应用程序的弹性分数 CloudWatch 指标。

• Amazon Data Lifecycle Manager — 获取并提供与您的 AWS 账户关联的亚马逊数据生命周期管理器资源的Describe权限。

• Amazon DevOps Guru — 列出与您的 AWS 账户关联的 Amazon DevOps Guru 资源并提供Describe权限。

• Amazon DynamoDB（DynamoDB）– 列出并提供与您的 AWS 账户关联的 Amazon DynamoDB 资源的 Describe 权限。

• Amazon ElastiCache (ElastiCache)-为与您的 AWS 账户关联的 ElastiCache 资源提供Describe权限。

• Amazon Elastic Compute Cloud（Amazon EC2）– 列出并提供与您的 AWS 账户关联的 Amazon EC2 资源的 Describe 权限。

• Amazon Elastic Container Registry (Amazon ECR) — 为与您的账户关联的亚马逊 ECR 资源提供Describe权限。 AWS

• 亚马逊弹性容器服务 (Amazon ECS) Servic Describe e — 为与 AWS 您的账户关联的亚马逊 ECS 资源提供权限。

• Amazon Elastic File System (Amazon EFS) — 为与您的 AWS 账户关联的亚马逊 EFS 资源提供Describe权限。

• Amazon Elastic Kubernetes Service（Amazon EKS）– 列出并提供与您的 AWS 账户关联的 Amazon EKS 资源的 Describe 权限。

• Amazon EC2 Auto Scaling — 列出与您的 AWS 账户关联的 Amazon EC2 Auto Scaling 资源并提供Describe权限。

• Amazon EC2 Systems Manager (SSM) — 为与您的 AWS 账户关联的 SSM 资源提供Describe权限。

• Amazon 故障注入服务 (AWS FIS) — 列出与您的 AWS 账户关联的 AWS FIS 实验和实验模板并提供Describe权限。

• 适用于 Windows File Server 的亚马逊 FSx（亚马逊 FSx）— 列出与Describe您的账户关联的亚马逊 FSx 资源并提供权限。 AWS

• Amazon RDS — 列出与您的 AWS 账户关联的 Amazon RDS 资源并为其提供Describe权限。

• Amazon Route 53（Route 53）– 列出与您的 AWS 账户关联的 Route 53 资源的 Describe 权限。

• Amazon Route 53 Resolver — 列出与您的 AWS 账户关联的 Amazon Route 53 Resolver 资源并为其提供Describe权限。

• Amazon Simple Notification Service（Amazon SNS）– 列出并提供与您 AWS 账户关联的 Amazon SNS 资源的 Describe 权限。

• Amazon Simple Queue Service（Amazon SQS）– 列出并提供与您的 AWS 账户关联的 Amazon SQS 资源的 Describe 权限。

• Amazon Simple Storage Service Amazon S3 – 列出并提供与您的 AWS 账户关联的 Amazon S3 资源的 Describe 权限。

  注意

  运行评估时，如果托管策略中缺少任何权限需要更新，则 AWS Resilience Hub 将使用 s3: GetBucketLogging 权限成功完成评估。但是， AWS Resilience Hub 将显示一条警告消息，列出缺少的权限，并提供添加权限的宽限期。如果您未在指定的宽限期内添加缺少的权限，则评估将失败。

• AWS Backup — 列出与您的 AWS 账户关联的 Amazon EC2 Auto Scaling 资源并获取其Describe权限。

• AWS CloudFormation — 列出与您的 AWS 账户关联的 AWS CloudFormation 堆栈上的资源并获取其Describe权限。

• AWS DataSync — 列出与您的 AWS 账户关联的 AWS DataSync 资源并为其提供Describe权限。

• AWS Directory Service — 列出与您的 AWS 账户关联的 AWS Directory Service 资源并为其提供Describe权限。

• AWS Elastic Disaster Recovery （弹性灾难恢复）— 为与您的 AWS 账户关联的 Elastic 灾难恢复资源提供Describe权限。

• AWS Lambda (Lambda) — 列出与您的账户关联的 Lambda 资源并为其提供Describe权限。 AWS

• AWS Resource Groups （Resource Groups）-列出与您的 AWS 账户关联的资源组资源并提供Describe权限。

• AWS Service Catalog （Service Catalog）-列出与您的 AWS 账户关联的服务目录资源并为其提供Describe权限。

• AWS Step Functions — 列出与您的 AWS 账户关联的 AWS Step Functions 资源并为其提供Describe权限。

• Elastic Load Balancing — 列出与您的 AWS 账户关联的 Elastic Load Balancing 资源并提供Describe权限。

• ssm:GetParametersByPath— 我们使用此权限来管理为您的应用程序配置的 CloudWatch 警报、测试或 SOP。

AWS 账户需要以下 IAM 策略才能为用户、用户组和角色添加权限，从而为您的团队提供在运行评估时访问 AWS 服务的必要权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "application-autoscaling:DescribeScalableTargets",
        "autoscaling:DescribeAutoScalingGroups",
        "backup:DescribeBackupVault",
        "backup:GetBackupPlan",
        "backup:GetBackupSelection",
        "backup:ListBackupPlans",
        "backup:ListBackupSelections",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStackResources",
        "cloudformation:ValidateTemplate",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics", 
        "datasync:DescribeTask", 
        "datasync:ListLocations",
        "datasync:ListTasks",
        "devops-guru:ListMonitoredResources",
        "dlm:GetLifecyclePolicies",
        "dlm:GetLifecyclePolicy",
        "drs:DescribeJobs",
        "drs:DescribeSourceServers",
        "drs:GetReplicationConfiguration",
        "ds:DescribeDirectories",
        "dynamodb:DescribeContinuousBackups",
        "dynamodb:DescribeGlobalTable",
        "dynamodb:DescribeLimits",
        "dynamodb:DescribeTable",
        "dynamodb:ListGlobalTables",
        "dynamodb:ListTagsOfResource",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeFastSnapshotRestores",
        "ec2:DescribeFleets",
        "ec2:DescribeHosts",
        "ec2:DescribeInstances",
        "ec2:DescribeNatGateways",
        "ec2:DescribePlacementGroups",
        "ec2:DescribeRegions",
        "ec2:DescribeSnapshots",
        "ec2:DescribeSubnets",
        "ec2:DescribeTags",
        "ec2:DescribeVolumes",
        "ec2:DescribeVpcEndpoints",
        "ecr:DescribeRegistry",
        "ecs:DescribeCapacityProviders",
        "ecs:DescribeClusters",
        "ecs:DescribeContainerInstances",
        "ecs:DescribeServices",
        "ecs:DescribeTaskDefinition",
        "ecs:ListContainerInstances",
        "ecs:ListServices",
        "eks:DescribeCluster",
        "eks:DescribeFargateProfile",
        "eks:DescribeNodegroup",
        "eks:ListFargateProfiles",
        "eks:ListNodegroups",
        "elasticache:DescribeCacheClusters",
        "elasticache:DescribeGlobalReplicationGroups",
        "elasticache:DescribeReplicationGroups",
        "elasticache:DescribeSnapshots",
        "elasticfilesystem:DescribeFileSystems",
        "elasticfilesystem:DescribeLifecycleConfiguration",
        "elasticfilesystem:DescribeMountTargets",
        "elasticfilesystem:DescribeReplicationConfigurations",
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:DescribeTargetGroups",
        "elasticloadbalancing:DescribeTargetHealth",
        "fis:GetExperimentTemplate",
        "fis:ListExperimentTemplates",
        "fis:ListExperiments",
        "fsx:DescribeFileSystems",
        "lambda:GetFunctionConcurrency",
        "lambda:GetFunctionConfiguration",
        "lambda:ListAliases",
        "lambda:ListVersionsByFunction",
        "rds:DescribeDBClusterSnapshots",
        "rds:DescribeDBClusters",
        "rds:DescribeDBInstanceAutomatedBackups",
        "rds:DescribeDBInstances",
        "rds:DescribeDBProxies",
        "rds:DescribeDBProxyTargets",
        "rds:DescribeDBSnapshots",
        "rds:DescribeGlobalClusters",
        "resource-groups:GetGroup",
        "resource-groups:ListGroupResources",
        "route53-recovery-control-config:ListClusters",
        "route53-recovery-control-config:ListControlPanels",
        "route53-recovery-control-config:ListRoutingControls",
        "route53-recovery-readiness:GetReadinessCheckStatus",
        "route53-recovery-readiness:GetResourceSet",
        "route53-recovery-readiness:ListReadinessChecks",
        "route53:GetHealthCheck",
        "route53:ListHealthChecks",
        "route53:ListHostedZones",
        "route53:ListResourceRecordSets", 
        "route53resolver:ListResolverEndpoints",
        "route53resolver:ListResolverEndpointIpAddresses",
        "s3:GetBucketLocation",
        "s3:GetBucketLogging",
        "s3:GetBucketObjectLockConfiguration",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketTagging",
        "s3:GetBucketVersioning",
        "s3:GetMultiRegionAccessPointRoutes",
        "s3:GetReplicationConfiguration",
        "s3:ListAllMyBuckets",
        "s3:ListBucket",
        "s3:ListMultiRegionAccessPoints",
        "servicecatalog:GetApplication",
        "servicecatalog:ListAssociatedResources",
        "sns:GetSubscriptionAttributes",
        "sns:GetTopicAttributes",
        "sns:ListSubscriptionsByTopic",
        "sqs:GetQueueAttributes",
        "sqs:GetQueueUrl",
        "ssm:DescribeAutomationExecutions",
        "states:DescribeStateMachine",
        "states:ListStateMachineVersions",
        "states:ListStateMachineAliases",
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "apigateway:GET"
      ],
      "Resource": [
        "arn:aws:apigateway:*::/apis/*",
        "arn:aws:apigateway:*::/restapis/*",
        "arn:aws:apigateway:*::/usageplans"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:PutObject",
        "s3:GetObject"
      ],
      "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloudwatch:namespace": "ResilienceHub"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParametersByPath"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*"
    }
  ]
}

AWS Resilience HubAWS 托管策略的更新

查看 AWS Resilience Hub 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提醒，请订阅 “ AWS Resilience Hub 文档历史记录” 页面上的 RSS feed。

更改	描述	日期
AWSResilienceHubAsssessmentExecutionPolicy— AWS Resilience Hub 扩展了对适用于 Windows File Server 的亚马逊 FSx 的支持。	此 AWS Resilience Hub 策略允许您读取 Amazon FSx for Windows File Server 配置。	2024 年 3 月 26 日
AWSResilienceHubAsssessmentExecutionPolicy— AWS Resilience Hub 扩展了对的支持 AWS Step Functions。	此 AWS Resilience Hub 策略允许您读取 AWS Step Functions 配置。	2023 年 10 月 30 日
AWSResilienceHubAsssessmentExecutionPolicy – AWS Resilience Hub 改进对 Amazon Relational Database Service（Amazon RDS）的支持。	此 AWS Resilience Hub 策略允许您在运行评估时访问 Amazon RDS 上的资源。	2023 年 10 月 5 日
AWSResilienceHubAsssessmentExecutionPolicy：新策略	此 AWS Resilience Hub 政策允许访问其他 AWS 服务以进行评估。	2023 年 6 月 26 日
AWS Resilience Hub 开始跟踪更改	AWS Resilience Hub 开始跟踪其 AWS 托管策略的更改。	2023 年 6 月 15 日