AWS 受管理的政策 AWS Systems Manager Incident Manager

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限，以便您可以開始將權限指派給使用者、群組和角色。

請記住， AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限，因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策，以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限，則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時，最有可能更新 AWS 受管理策略。

如需詳細資訊，請參閱《IAM 使用者指南》中的 AWS 受管政策。

AWS 受管理策略： AWSIncidentManagerIncidentAccessServiceRolePolicy

您可以將 AWSIncidentManagerIncidentAccessServiceRolePolicy 連接到 IAM 實體。事件管理員也會將此原則附加至「事件管理員」角色，讓「事件管理員」代表您執行動作。

此原則會授與唯讀權限，讓事件管理員讀取其他特定資源， AWS 服務 以識別與這些服務中事件相關的發現項目。

許可詳細資訊

此政策包含以下許可。

• cloudformation— 允許主參與者描述 AWS CloudFormation 堆疊。這是必需的事件管理器來識別與 CloudFormation 事件相關的事件和資源。

• codedeploy— 允許主參與者讀取 AWS CodeDeploy 部署。事件管理員必須這樣做才能識別與事件相關的 CodeDeploy 部署和目標。

• autoscaling— 允許主體判斷 Amazon Elastic Compute Cloud (EC2) 執行個體是否屬於 Auto Scaling 群組。這是必要的，因此事件管理員可以為屬於 Auto Scaling 群組的 EC2 執行個體提供發現結果。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IncidentAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "codedeploy:BatchGetDeployments",
                "codedeploy:ListDeployments",
                "codedeploy:ListDeploymentTargets",
                "autoscaling:DescribeAutoScalingInstances"
            ],
            "Resource": "*"
        }
    ]
}

若要檢視有關策略的詳細資訊 (包括最新版本的 JSON 政策文件)，請參閱《AWS 受管策略參考指南》AWSIncidentManagerIncidentAccessServiceRolePolicy中的。

AWS 受管政策：AWSIncidentManagerServiceRolePolicy

您不得將 AWSIncidentManagerServiceRolePolicy 連接到 IAM 實體。此原則附加至服務連結角色，可讓事件管理員代表您執行動作。如需詳細資訊，請參閱 針對事件管理員使用服務連結角色。

此原則授予事件管理員權限，以列出事件、建立時間表事件、建立相關項目 OpsItems、將相關項目關聯至 OpsItems、開始參與，以及發佈與事件相關的 CloudWatch指標。

許可詳細資訊

此政策包含以下許可。

• ssm-incidents— 允許主參與者列出事件並建立時間表事件。這是必需的，以便響應者可以在事件儀表板上進行事件期間進行協作。

• ssm— 允許主參與者建立 OpsItems 及關聯相關項目。這是在事件開始 OpsItem 時建立父項所必需的。

• ssm-contacts— 允許主參與者開始參與。這是事件管理員在事件期間與聯繫人所必需的。

• cloudwatch— 允許主參與者發行 CloudWatch 量度。事件管理員發佈與事件相關的指標是必要的。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "UpdateIncidentRecordPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm-incidents:ListIncidentRecords",
                "ssm-incidents:CreateTimelineEvent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RelatedOpsItemPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm:CreateOpsItem",
                "ssm:AssociateOpsItemRelatedItem"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IncidentEngagementPermissions",
            "Effect": "Allow",
            "Action": "ssm-contacts:StartEngagement",
            "Resource": "*"
        },
        {
            "Sid": "PutCloudWatchMetricPermission",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/IncidentManager"
                }
            }
        }
    ]
}

若要檢視有關策略的詳細資訊 (包括最新版本的 JSON 政策文件)，請參閱《AWS 受管策略參考指南》AWSIncidentManagerServiceRolePolicy中的。

AWS 受管理策略：AWSIncidentManagerResolverAccess

您可以附加AWSIncidentManagerResolverAccess到 IAM 實體，以允許他們啟動、檢視和更新事件。這也允許他們在事件儀表板中創建客戶時間表事件和相關項目。您也可以將此政策附加到 AWS Chatbot 服務角色，或直接附加到與任何用於事件協同作業的聊天管道相關聯的客戶管理角色。若要進一步了解中的 IAM 政策 AWS Chatbot，請參閱《管理AWS Chatbot 員指南》 AWS Chatbot中的管理執行命令的許可。

許可詳細資訊

此政策包含以下許可。

• ssm-incidents— 允許您啟動事件，列出響應計劃，列出事件，更新事件，列出時間表事件，創建自定義時間表事件，更新自定義時間表事件，刪除自定義時間表事件，列出相關項目，創建相關項目以及更新相關項目。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "StartIncidentPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm-incidents:StartIncident"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ResponsePlanReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm-incidents:ListResponsePlans",
                "ssm-incidents:GetResponsePlan"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IncidentRecordResolverPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm-incidents:ListIncidentRecords",
                "ssm-incidents:GetIncidentRecord",
                "ssm-incidents:UpdateIncidentRecord",
                "ssm-incidents:ListTimelineEvents",
                "ssm-incidents:CreateTimelineEvent",
                "ssm-incidents:GetTimelineEvent",
                "ssm-incidents:UpdateTimelineEvent",
                "ssm-incidents:DeleteTimelineEvent",
                "ssm-incidents:ListRelatedItems",
                "ssm-incidents:UpdateRelatedItems"
            ],
            "Resource": "*"
        }
    ]
}

若要檢視有關策略的詳細資訊 (包括最新版本的 JSON 政策文件)，請參閱《AWS 受管策略參考指南》AWSIncidentManagerResolverAccess中的。

事件管理員更新受 AWS 管理的策略

檢視「事件管理員」 AWS 受管理原則的詳細資料，因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示，請訂閱「事件管理員文件歷史記錄」頁面上的 RSS 摘要。

變更	描述	日期
AWSIncidentManagerIncidentAccessServiceRolePolicy — 政策更新	事件管理員為支援「發現項目」功能新增了新的權限，可讓其檢查 EC2 執行個體是否屬於 Auto Scaling 群組。AWSIncidentManagerIncidentAccessServiceRolePolicy	2024年2月20日
AWSIncidentManagerIncidentAccessServiceRolePolicy – 新政策	事件管理員新增了一項新政策，授予事件管理員權限 AWS 服務 ，讓他人在管理事件時進行呼叫。	2023 年 11 月 17 日
AWSIncidentManagerServiceRolePolicy— 政策更新	事件管理員新增了一項新權限，可讓事件管理員將指標發佈到您的帳戶。	2022年12月16日
AWSIncidentManagerResolverAccess – 新政策	事件管理員新增了一項新政策，可讓您啟動事件、列出回應計劃、列出事件、更新事件、列出時間表事件、建立自訂時間表事件、更新自訂時間表事件、刪除自訂時間表事件、列出相關項目、建立相關項目，以及更新相關項目。	2021 年 4 月 26 日
AWSIncidentManagerServiceRolePolicy – 新政策	事件管理員新增了一項新政策，授予事件管理員權限，以列出事件、建立時間表事件、建立相關項目 OpsItems、將相關項目與事件相關聯 OpsItems，以及開始與事件相關的參與。	2021 年 4 月 26 日
事件管理員開始追蹤變更	事件管理員開始追蹤其 AWS 受管理政策的變更。	2021 年 4 月 26 日