本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 受管理的政策 AWS Resilience Hub
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時,最有可能更新 AWS 受管理策略。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWSResilienceHubAsssessmentExecutionPolicy
您可以將其附加AWSResilienceHubAsssessmentExecutionPolicy
到您的 IAM 身分。執行評估時,此原則會授與其他 AWS 服務的存取權限,以便執行評估。
許可詳細資訊
此政策提供足夠的許可以將警示 AWS FIS 和 SOP 範本發佈到您的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。Amazon S3 存儲桶名稱必須以開頭aws-resilience-hub-artifacts-
。如果您希望發佈到另一個 Amazon S3 儲存貯體,可以在呼叫 CreateRecommendationTemplate
API 時執行此操作。如需詳細資訊,請參閱CreateRecommendationTemplate。
此政策包含以下許可:
-
Amazon CloudWatch (CloudWatch) — 獲取您在 Amazon 中設置的所有實施警報 CloudWatch 以監控應用程序。此外,我們還會用
cloudwatch:PutMetricData
來發佈ResilienceHub
命名空間中應用程式彈性分數的 CloudWatch 指標。 -
Amazon Data Lifecycle Manager — 取得與您 AWS 帳戶相關聯之 Amazon Data Lifecycle Manager 資源並提供
Describe
許可。 -
Amazon DevOps 大師 — 列出並提供與您 AWS 帳戶相關聯的 Amazon DevOps 大師資源的
Describe
許可。 -
亞馬遜動 DynamoDB 資源 — 列出並提供與您帳戶相關聯的 Amazon DynamoDB 資源的
Describe
許可。 AWS -
Amazon ElastiCache (ElastiCache) — 為與您的 AWS 帳戶相關聯的 ElastiCache 資源提供
Describe
許可。 -
亞馬遜彈性運算雲端 (Amazon EC2) — 列出和提供與您 AWS 帳戶相關聯的 Amazon EC2 資源的
Describe
許可。 -
Amazon Elastic Container Registry (Amazon ECR) — 為與您 AWS 的帳戶相關聯的 Amazon ECR 資源提供
Describe
許可。 -
Amazon Elastic Container Service (Amazon ECS) — 為與您 AWS 的帳戶相關聯的 Amazon ECS 資源提供
Describe
許可。 -
Amazon Elastic File System (Amazon EFS) — 為與您的 AWS 帳戶相關聯的 Amazon EFS 資源提供
Describe
許可。 -
Amazon Elastic Kubernetes Service (Amazon EKS) — 列出並提供與您帳戶相關聯的 Amazon EKS 資源的
Describe
許可。 AWS -
Amazon EC2 Auto Scaling — 列出和提供與您 AWS 帳戶相關聯的 Amazon EC2 Auto Scaling 資源的
Describe
許可。 -
Amazon EC2 Systems Manager (SSM) — 為與您 AWS 的帳戶相關聯的 SSM 資源提供
Describe
許可。 -
Amazon 故障注入服務 (AWS FIS) — 列出並提供與您 AWS 帳戶相關聯的 AWS FIS 實驗和實驗範本的
Describe
許可。 -
Amazon FSx FSx for Windows File Server (Amazon FSx) — 列出並提供與您
Describe
帳戶相關聯的 Amazon FSx 資源的許可。 AWS -
Amazon RDS — 列出和提供與您 AWS 帳戶相關聯的 Amazon RDS 資源的
Describe
許可。 -
Amazon 路線 53(路線 53)— 列出和提供與您 AWS 帳戶關聯的 Route 53 資源的
Describe
許可。 -
Amazon Route 53 Resolver — 列出並提供與您 AWS 帳戶相關聯之 Amazon Route 53 Resolver 資源的
Describe
權限。 -
亞馬遜簡單通知服務 (Amazon SNS) — 列出並提供與您 AWS 帳戶相關聯的 Amazon SNS 資源的
Describe
許可。 -
Amazon Simple Queue Service (Amazon SQS) — 列出並提供與您 AWS 帳戶相關聯的 Amazon SQS 資源的
Describe
許可。 -
亞馬遜簡單儲存服務 (Amazon S3) — 列出並提供與您 AWS 帳戶相關聯的 Amazon S3 資源的
Describe
許可。注意
執行評估時,如果有任何遺失的權限需要從受管政策更新,則 AWS Resilience Hub 會使用 s3: GetBucketLogging 權限順利完成評估。不過, AWS Resilience Hub 會顯示一則警告訊息,其中列出遺失的權限,並提供寬限期來新增相同權限。如果您未在指定的寬限期內新增遺失的權限,評估將會失敗。
-
AWS Backup — 列出和
Describe
取得與您 AWS 帳戶相關聯的 Amazon EC2 Auto Scaling 資源的許可。 -
AWS CloudFormation — 列出並
Describe
取得與您 AWS 帳戶相關聯之 AWS CloudFormation 堆疊資源的權限。 -
AWS DataSync — 列出並提供與您 AWS 帳戶相關聯之 AWS DataSync 資源的
Describe
權限。 -
AWS Directory Service — 列出並提供與您 AWS 帳戶相關聯之 AWS Directory Service 資源的
Describe
權限。 -
AWS Elastic Disaster Recovery (彈性災難復原) — 提供與您 AWS 帳戶相關聯的彈性災難復原資源的
Describe
權限。 -
AWS Lambda (Lambda) — 列出並提供與您 AWS 帳戶相關聯的 Lambda 資源的
Describe
許可。 -
AWS Resource Groups (Resource Groups) — 列出並提供與您 AWS 帳號相關聯之 Resource Groups 資源的
Describe
權限。 -
AWS Service Catalog (Service Catalog) — 列出並提供與您 AWS 帳戶相關聯的 Service Catalog 資源的
Describe
權限。 -
AWS Step Functions — 列出並提供與您 AWS 帳戶相關聯之 AWS Step Functions 資源的
Describe
權限。 -
Elastic Load Balancing — 列出並提供與您 AWS 帳戶相關聯的 Elastic Load Balancing 資源的
Describe
權限。 -
ssm:GetParametersByPath
— 我們使用此權限來管理針對您的應用程序配置的 CloudWatch 警報,測試或 SOP。
AWS 帳戶需要下列 IAM 政策,才能為使用者、使用者群組和角色新增許可,這些許可為團隊提供執行評估時存取 AWS 服務所需的權限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "autoscaling:DescribeAutoScalingGroups", "backup:DescribeBackupVault", "backup:GetBackupPlan", "backup:GetBackupSelection", "backup:ListBackupPlans", "backup:ListBackupSelections", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "cloudformation:ValidateTemplate", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "datasync:DescribeTask", "datasync:ListLocations", "datasync:ListTasks", "devops-guru:ListMonitoredResources", "dlm:GetLifecyclePolicies", "dlm:GetLifecyclePolicy", "drs:DescribeJobs", "drs:DescribeSourceServers", "drs:GetReplicationConfiguration", "ds:DescribeDirectories", "dynamodb:DescribeContinuousBackups", "dynamodb:DescribeGlobalTable", "dynamodb:DescribeLimits", "dynamodb:DescribeTable", "dynamodb:ListGlobalTables", "dynamodb:ListTagsOfResource", "ec2:DescribeAvailabilityZones", "ec2:DescribeFastSnapshotRestores", "ec2:DescribeFleets", "ec2:DescribeHosts", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribePlacementGroups", "ec2:DescribeRegions", "ec2:DescribeSnapshots", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVpcEndpoints", "ecr:DescribeRegistry", "ecs:DescribeCapacityProviders", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeServices", "ecs:DescribeTaskDefinition", "ecs:ListContainerInstances", "ecs:ListServices", "eks:DescribeCluster", "eks:DescribeFargateProfile", "eks:DescribeNodegroup", "eks:ListFargateProfiles", "eks:ListNodegroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeGlobalReplicationGroups", "elasticache:DescribeReplicationGroups", "elasticache:DescribeSnapshots", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeLifecycleConfiguration", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:DescribeReplicationConfigurations", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "fis:GetExperimentTemplate", "fis:ListExperimentTemplates", "fis:ListExperiments", "fsx:DescribeFileSystems", "lambda:GetFunctionConcurrency", "lambda:GetFunctionConfiguration", "lambda:ListAliases", "lambda:ListVersionsByFunction", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBInstanceAutomatedBackups", "rds:DescribeDBInstances", "rds:DescribeDBProxies", "rds:DescribeDBProxyTargets", "rds:DescribeDBSnapshots", "rds:DescribeGlobalClusters", "resource-groups:GetGroup", "resource-groups:ListGroupResources", "route53-recovery-control-config:ListClusters", "route53-recovery-control-config:ListControlPanels", "route53-recovery-control-config:ListRoutingControls", "route53-recovery-readiness:GetReadinessCheckStatus", "route53-recovery-readiness:GetResourceSet", "route53-recovery-readiness:ListReadinessChecks", "route53:GetHealthCheck", "route53:ListHealthChecks", "route53:ListHostedZones", "route53:ListResourceRecordSets", "route53resolver:ListResolverEndpoints", "route53resolver:ListResolverEndpointIpAddresses", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketObjectLockConfiguration", "s3:GetBucketPolicyStatus", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetMultiRegionAccessPointRoutes", "s3:GetReplicationConfiguration", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListMultiRegionAccessPoints", "servicecatalog:GetApplication", "servicecatalog:ListAssociatedResources", "sns:GetSubscriptionAttributes", "sns:GetTopicAttributes", "sns:ListSubscriptionsByTopic", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "ssm:DescribeAutomationExecutions", "states:DescribeStateMachine", "states:ListStateMachineVersions", "states:ListStateMachineAliases", "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/usageplans" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:GetObject" ], "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "ResilienceHub" } } }, { "Effect": "Allow", "Action": [ "ssm:GetParametersByPath" ], "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*" } ] }
AWS Resilience HubAWS 受管理策略的更新
檢視 AWS Resilience Hub 自此服務開始追蹤這些變更以來的 AWS 受管理策略更新詳細資料。如需有關此頁面變更的自動警示,請訂閱「 AWS Resilience Hub 文件歷史記錄」頁面上的 RSS 摘要。
變更 | 描述 | 日期 |
---|---|---|
AWSResilienceHubAsssessmentExecutionPolicy— AWS Resilience Hub 擴展了對 Amazon FSx for Windows File Server 的支持。 | 此 AWS Resilience Hub 政策可讓您讀取適用於 Windows 檔案伺服器的 Amazon FSx 組態。 | 2024年3月26日 |
AWSResilienceHubAsssessmentExecutionPolicy- AWS Resilience Hub 擴展支持 AWS Step Functions. | 此 AWS Resilience Hub 原則可讓您讀取 AWS Step Functions 組態。 | 2023 年 10 月 30 日 |
AWSResilienceHubAsssessmentExecutionPolicy— AWS Resilience Hub 改進了對 Amazon Relational Database Service(Amazon RDS)的支持。 | 此 AWS Resilience Hub 政策可讓您在執行評估時存取 Amazon RDS 上的資源。 | 2023 年 10 月 5 日 |
此 AWS Resilience Hub 原則可讓您存取其他 AWS 服務以執行評估。 |
2023 年 6 月 26 日 | |
AWS Resilience Hub 開始追蹤變更 |
AWS Resilience Hub 開始追蹤其 AWS 受管理策略的變更。 |
2023 年 6 月 15 日 |