AWS 受管理的政策 AWS Resilience Hub

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限，以便您可以開始將權限指派給使用者、群組和角色。

請記住， AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限，因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策，以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限，則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時，最有可能更新 AWS 受管理策略。

如需詳細資訊，請參閱《IAM 使用者指南》中的 AWS 受管政策。

AWSResilienceHubAsssessmentExecutionPolicy

您可以將其附加AWSResilienceHubAsssessmentExecutionPolicy到您的 IAM 身分。執行評估時，此原則會授與其他 AWS 服務的存取權限，以便執行評估。

許可詳細資訊

此政策提供足夠的許可以將警示 AWS FIS 和 SOP 範本發佈到您的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。Amazon S3 存儲桶名稱必須以開頭aws-resilience-hub-artifacts-。如果您希望發佈到另一個 Amazon S3 儲存貯體，可以在呼叫 CreateRecommendationTemplate API 時執行此操作。如需詳細資訊，請參閱CreateRecommendationTemplate。

此政策包含以下許可：

• Amazon CloudWatch (CloudWatch) — 獲取您在 Amazon 中設置的所有實施警報 CloudWatch 以監控應用程序。此外，我們還會用cloudwatch:PutMetricData來發佈ResilienceHub命名空間中應用程式彈性分數的 CloudWatch 指標。

• Amazon Data Lifecycle Manager — 取得與您 AWS 帳戶相關聯之 Amazon Data Lifecycle Manager 資源並提供Describe許可。

• Amazon DevOps 大師 — 列出並提供與您 AWS 帳戶相關聯的 Amazon DevOps 大師資源的Describe許可。

• 亞馬遜動 DynamoDB 資源 — 列出並提供與您帳戶相關聯的 Amazon DynamoDB 資源的Describe許可。 AWS

• Amazon ElastiCache (ElastiCache) — 為與您的 AWS 帳戶相關聯的 ElastiCache 資源提供Describe許可。

• 亞馬遜彈性運算雲端 (Amazon EC2) — 列出和提供與您 AWS 帳戶相關聯的 Amazon EC2 資源的Describe許可。

• Amazon Elastic Container Registry (Amazon ECR) — 為與您 AWS 的帳戶相關聯的 Amazon ECR 資源提供Describe許可。

• Amazon Elastic Container Service (Amazon ECS) — 為與您 AWS 的帳戶相關聯的 Amazon ECS 資源提供Describe許可。

• Amazon Elastic File System (Amazon EFS) — 為與您的 AWS 帳戶相關聯的 Amazon EFS 資源提供Describe許可。

• Amazon Elastic Kubernetes Service (Amazon EKS) — 列出並提供與您帳戶相關聯的 Amazon EKS 資源的Describe許可。 AWS

• Amazon EC2 Auto Scaling — 列出和提供與您 AWS 帳戶相關聯的 Amazon EC2 Auto Scaling 資源的Describe許可。

• Amazon EC2 Systems Manager (SSM) — 為與您 AWS 的帳戶相關聯的 SSM 資源提供Describe許可。

• Amazon 故障注入服務 (AWS FIS) — 列出並提供與您 AWS 帳戶相關聯的 AWS FIS 實驗和實驗範本的Describe許可。

• Amazon FSx FSx for Windows File Server (Amazon FSx) — 列出並提供與您Describe帳戶相關聯的 Amazon FSx 資源的許可。 AWS

• Amazon RDS — 列出和提供與您 AWS 帳戶相關聯的 Amazon RDS 資源的Describe許可。

• Amazon 路線 53（路線 53）— 列出和提供與您 AWS 帳戶關聯的 Route 53 資源的Describe許可。

• Amazon Route 53 Resolver — 列出並提供與您 AWS 帳戶相關聯之 Amazon Route 53 Resolver 資源的Describe權限。

• 亞馬遜簡單通知服務 (Amazon SNS) — 列出並提供與您 AWS 帳戶相關聯的 Amazon SNS 資源的Describe許可。

• Amazon Simple Queue Service (Amazon SQS) — 列出並提供與您 AWS 帳戶相關聯的 Amazon SQS 資源的Describe許可。

• 亞馬遜簡單儲存服務 (Amazon S3) — 列出並提供與您 AWS 帳戶相關聯的 Amazon S3 資源的Describe許可。

  注意

  執行評估時，如果有任何遺失的權限需要從受管政策更新，則 AWS Resilience Hub 會使用 s3: GetBucketLogging 權限順利完成評估。不過， AWS Resilience Hub 會顯示一則警告訊息，其中列出遺失的權限，並提供寬限期來新增相同權限。如果您未在指定的寬限期內新增遺失的權限，評估將會失敗。

• AWS Backup — 列出和Describe取得與您 AWS 帳戶相關聯的 Amazon EC2 Auto Scaling 資源的許可。

• AWS CloudFormation — 列出並Describe取得與您 AWS 帳戶相關聯之 AWS CloudFormation 堆疊資源的權限。

• AWS DataSync — 列出並提供與您 AWS 帳戶相關聯之 AWS DataSync 資源的Describe權限。

• AWS Directory Service — 列出並提供與您 AWS 帳戶相關聯之 AWS Directory Service 資源的Describe權限。

• AWS Elastic Disaster Recovery (彈性災難復原) — 提供與您 AWS 帳戶相關聯的彈性災難復原資源的Describe權限。

• AWS Lambda (Lambda) — 列出並提供與您 AWS 帳戶相關聯的 Lambda 資源的Describe許可。

• AWS Resource Groups (Resource Groups) — 列出並提供與您 AWS 帳號相關聯之 Resource Groups 資源的Describe權限。

• AWS Service Catalog (Service Catalog) — 列出並提供與您 AWS 帳戶相關聯的 Service Catalog 資源的Describe權限。

• AWS Step Functions — 列出並提供與您 AWS 帳戶相關聯之 AWS Step Functions 資源的Describe權限。

• Elastic Load Balancing — 列出並提供與您 AWS 帳戶相關聯的 Elastic Load Balancing 資源的Describe權限。

• ssm:GetParametersByPath— 我們使用此權限來管理針對您的應用程序配置的 CloudWatch 警報，測試或 SOP。

AWS 帳戶需要下列 IAM 政策，才能為使用者、使用者群組和角色新增許可，這些許可為團隊提供執行評估時存取 AWS 服務所需的權限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "application-autoscaling:DescribeScalableTargets",
        "autoscaling:DescribeAutoScalingGroups",
        "backup:DescribeBackupVault",
        "backup:GetBackupPlan",
        "backup:GetBackupSelection",
        "backup:ListBackupPlans",
        "backup:ListBackupSelections",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStackResources",
        "cloudformation:ValidateTemplate",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics", 
        "datasync:DescribeTask", 
        "datasync:ListLocations",
        "datasync:ListTasks",
        "devops-guru:ListMonitoredResources",
        "dlm:GetLifecyclePolicies",
        "dlm:GetLifecyclePolicy",
        "drs:DescribeJobs",
        "drs:DescribeSourceServers",
        "drs:GetReplicationConfiguration",
        "ds:DescribeDirectories",
        "dynamodb:DescribeContinuousBackups",
        "dynamodb:DescribeGlobalTable",
        "dynamodb:DescribeLimits",
        "dynamodb:DescribeTable",
        "dynamodb:ListGlobalTables",
        "dynamodb:ListTagsOfResource",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeFastSnapshotRestores",
        "ec2:DescribeFleets",
        "ec2:DescribeHosts",
        "ec2:DescribeInstances",
        "ec2:DescribeNatGateways",
        "ec2:DescribePlacementGroups",
        "ec2:DescribeRegions",
        "ec2:DescribeSnapshots",
        "ec2:DescribeSubnets",
        "ec2:DescribeTags",
        "ec2:DescribeVolumes",
        "ec2:DescribeVpcEndpoints",
        "ecr:DescribeRegistry",
        "ecs:DescribeCapacityProviders",
        "ecs:DescribeClusters",
        "ecs:DescribeContainerInstances",
        "ecs:DescribeServices",
        "ecs:DescribeTaskDefinition",
        "ecs:ListContainerInstances",
        "ecs:ListServices",
        "eks:DescribeCluster",
        "eks:DescribeFargateProfile",
        "eks:DescribeNodegroup",
        "eks:ListFargateProfiles",
        "eks:ListNodegroups",
        "elasticache:DescribeCacheClusters",
        "elasticache:DescribeGlobalReplicationGroups",
        "elasticache:DescribeReplicationGroups",
        "elasticache:DescribeSnapshots",
        "elasticfilesystem:DescribeFileSystems",
        "elasticfilesystem:DescribeLifecycleConfiguration",
        "elasticfilesystem:DescribeMountTargets",
        "elasticfilesystem:DescribeReplicationConfigurations",
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:DescribeTargetGroups",
        "elasticloadbalancing:DescribeTargetHealth",
        "fis:GetExperimentTemplate",
        "fis:ListExperimentTemplates",
        "fis:ListExperiments",
        "fsx:DescribeFileSystems",
        "lambda:GetFunctionConcurrency",
        "lambda:GetFunctionConfiguration",
        "lambda:ListAliases",
        "lambda:ListVersionsByFunction",
        "rds:DescribeDBClusterSnapshots",
        "rds:DescribeDBClusters",
        "rds:DescribeDBInstanceAutomatedBackups",
        "rds:DescribeDBInstances",
        "rds:DescribeDBProxies",
        "rds:DescribeDBProxyTargets",
        "rds:DescribeDBSnapshots",
        "rds:DescribeGlobalClusters",
        "resource-groups:GetGroup",
        "resource-groups:ListGroupResources",
        "route53-recovery-control-config:ListClusters",
        "route53-recovery-control-config:ListControlPanels",
        "route53-recovery-control-config:ListRoutingControls",
        "route53-recovery-readiness:GetReadinessCheckStatus",
        "route53-recovery-readiness:GetResourceSet",
        "route53-recovery-readiness:ListReadinessChecks",
        "route53:GetHealthCheck",
        "route53:ListHealthChecks",
        "route53:ListHostedZones",
        "route53:ListResourceRecordSets", 
        "route53resolver:ListResolverEndpoints",
        "route53resolver:ListResolverEndpointIpAddresses",
        "s3:GetBucketLocation",
        "s3:GetBucketLogging",
        "s3:GetBucketObjectLockConfiguration",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketTagging",
        "s3:GetBucketVersioning",
        "s3:GetMultiRegionAccessPointRoutes",
        "s3:GetReplicationConfiguration",
        "s3:ListAllMyBuckets",
        "s3:ListBucket",
        "s3:ListMultiRegionAccessPoints",
        "servicecatalog:GetApplication",
        "servicecatalog:ListAssociatedResources",
        "sns:GetSubscriptionAttributes",
        "sns:GetTopicAttributes",
        "sns:ListSubscriptionsByTopic",
        "sqs:GetQueueAttributes",
        "sqs:GetQueueUrl",
        "ssm:DescribeAutomationExecutions",
        "states:DescribeStateMachine",
        "states:ListStateMachineVersions",
        "states:ListStateMachineAliases",
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "apigateway:GET"
      ],
      "Resource": [
        "arn:aws:apigateway:*::/apis/*",
        "arn:aws:apigateway:*::/restapis/*",
        "arn:aws:apigateway:*::/usageplans"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:PutObject",
        "s3:GetObject"
      ],
      "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloudwatch:namespace": "ResilienceHub"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParametersByPath"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*"
    }
  ]
}

AWS Resilience HubAWS 受管理策略的更新

檢視 AWS Resilience Hub 自此服務開始追蹤這些變更以來的 AWS 受管理策略更新詳細資料。如需有關此頁面變更的自動警示，請訂閱「 AWS Resilience Hub 文件歷史記錄」頁面上的 RSS 摘要。

變更	描述	日期
AWSResilienceHubAsssessmentExecutionPolicy— AWS Resilience Hub 擴展了對 Amazon FSx for Windows File Server 的支持。	此 AWS Resilience Hub 政策可讓您讀取適用於 Windows 檔案伺服器的 Amazon FSx 組態。	2024年3月26日
AWSResilienceHubAsssessmentExecutionPolicy- AWS Resilience Hub 擴展支持 AWS Step Functions.	此 AWS Resilience Hub 原則可讓您讀取 AWS Step Functions 組態。	2023 年 10 月 30 日
AWSResilienceHubAsssessmentExecutionPolicy— AWS Resilience Hub 改進了對 Amazon Relational Database Service（Amazon RDS）的支持。	此 AWS Resilience Hub 政策可讓您在執行評估時存取 Amazon RDS 上的資源。	2023 年 10 月 5 日
AWSResilienceHubAsssessmentExecutionPolicy – 新政策	此 AWS Resilience Hub 原則可讓您存取其他 AWS 服務以執行評估。	2023 年 6 月 26 日
AWS Resilience Hub 開始追蹤變更	AWS Resilience Hub 開始追蹤其 AWS 受管理策略的變更。	2023 年 6 月 15 日