AWS verwaltete Richtlinien für AMS Accelerate - AMS Accelerate-Benutzerhandbuch
AlarmManagerPermissionsBoundaryDetective Controls konfiguriert die verwaltete RichtlinieVerwaltete Richtlinie mit dem Deployment ToolkitVerwaltete Richtlinie für den Events-ServiceRichtlinie für verwaltete KontakteRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für AMS Accelerate

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

Eine Tabelle der Änderungen finden Sie unterBeschleunigen Sie die Aktualisierung AWS verwalteter Richtlinien.

AWS verwaltete Richtlinie: AWSManagedServices_AlarmManagerPermissionsBoundary

AWS Managed Services (AMS) verwendet die AWSManagedServices_AlarmManagerPermissionsBoundary AWS verwaltete Richtlinie. Diese AWS-verwaltete Richtlinie wird im AWSManagedServices_AlarmManager _ verwendet, ServiceRolePolicy um die Berechtigungen von IAM-Rollen einzuschränken, die von erstellt wurden. AWSServiceRoleForManagedServices_AlarmManager

Diese Richtlinie gewährt IAM-Rollen, die im Rahmen von erstellt wurdenWie funktioniert Alarm Manager, Berechtigungen zur Ausführung von Vorgängen wie der AWS Konfigurationsprüfung, dem Lesen der AWS Config zum Abrufen der Alarm Manager-Konfiguration und der Erstellung der erforderlichen CloudWatch Amazon-Alarme.

Die AWSManagedServices_AlarmManagerPermissionsBoundary Richtlinie ist der AWSServiceRoleForManagedServices_DetectiveControlsConfig serviceverknüpften Rolle zugeordnet. Aktualisierungen zu dieser Rolle finden Sie unterBeschleunigen Sie die Aktualisierung von serviceverknüpften Rollen.

Sie können diese Richtlinie an Ihre IAM-Identitäten anhängen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • AWS Config— Ermöglicht Berechtigungen zur Auswertung von Konfigurationsregeln und zur Auswahl der Ressourcenkonfiguration.

  • AWS AppConfig— Erlaubt Berechtigungen zum Abrufen der AlarmManager Konfiguration.

  • Amazon S3— Erlaubt Berechtigungen zum Betrieb von AlarmManager Buckets und Objekten.

  • Amazon CloudWatch— Erlaubt Berechtigungen zum Lesen und Speichern AlarmManager verwalteter Alarme und Messwerte.

  • AWS Resource Groups and Tags— Erlaubt Berechtigungen zum Lesen von Ressourcen-Tags.

  • Amazon EC2— Erlaubt Berechtigungen zum Lesen von EC2 Amazon-Ressourcen.

  • Amazon Redshift— Erlaubt Berechtigungen zum Lesen von Redshift-Instanzen und -Clustern.

  • Amazon FSx— Ermöglicht Berechtigungen zur Beschreibung von Dateisystemen, Volumes und Ressourcen-Tags.

  • Amazon CloudWatch Synthetics— Erlaubt Berechtigungen zum Lesen von Synthetics-Ressourcen.

  • Amazon Elastic Kubernetes Service— Erlaubt Berechtigungen zur Beschreibung des Amazon EKS-Clusters.

  • Amazon ElastiCache— Erlaubt Berechtigungen zur Beschreibung von Ressourcen.

Sie können die Richtliniendatei in dieser ZIP-Datei herunterladen: RecommendedPermissionBoundary.zip.

AWS verwaltete Richtlinie: _ AWSManagedServices_DetectiveControlsConfig ServiceRolePolicy

AWS Managed Services (AMS) verwendet die AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS verwaltete Richtlinie. Diese AWS verwaltete Richtlinie ist der AWSServiceRoleForManagedServices_DetectiveControlsConfigdienstbezogenen Rolle zugeordnet (sieheDetective kontrolliert die dienstbezogene Rolle für AMS Accelerate). Aktualisierungen der AWSServiceRoleForManagedServices_DetectiveControlsConfig dienstbezogenen Rolle finden Sie unter. Beschleunigen Sie die Aktualisierung von serviceverknüpften Rollen

Die Richtlinie ermöglicht es der dienstbezogenen Rolle, Aktionen für Sie abzuschließen.

Sie können die ServiceRolePolicy Richtlinie AWSManagedServices_DetectiveControlsConfig _ an Ihre IAM-Entitäten anhängen.

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AMS Accelerate.

Details zu Berechtigungen

Diese Richtlinie verfügt über die folgenden Berechtigungen, damit AWS Managed Services Detective Controls alle erforderlichen Ressourcen bereitstellen und konfigurieren kann.

  • CloudFormation— Ermöglicht AMS Detective Controls die Bereitstellung von CloudFormation Stacks mit Ressourcen wie S3-Buckets, Konfigurationsregeln und Config-Recorder.

  • AWS Config— Ermöglicht AMS Detective Controls, AMS-Konfigurationsregeln zu erstellen, einen Aggregator zu konfigurieren und Ressourcen zu taggen.

  • Amazon S3— ermöglicht AMS Detective Controls die Verwaltung seiner S3-Buckets.

Sie können die JSON-Richtliniendatei in dieser ZIP-Datei herunterladen: DetectiveControlsConfig_ ServiceRolePolicy .zip.

AWS verwaltete Richtlinie: AWSManaged ServicesDeploymentToolkitPolicy

AWS Managed Services (AMS) verwendet die AWSManagedServicesDeploymentToolkitPolicy AWS verwaltete Richtlinie. Diese AWS verwaltete Richtlinie ist der AWSServiceRoleForAWSManagedServicesDeploymentToolkitdienstbezogenen Rolle zugeordnet (sieheServicebezogene Rolle im Deployment Toolkit für AMS Accelerate). Die Richtlinie ermöglicht es der dienstbezogenen Rolle, Aktionen für Sie abzuschließen. Sie können diese Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AMS Accelerate.

Aktualisierungen der AWSServiceRoleForManagedServicesDeploymentToolkitPolicy dienstbezogenen Rolle finden Sie unter. Beschleunigen Sie die Aktualisierung von serviceverknüpften Rollen

Details zu Berechtigungen

Diese Richtlinie verfügt über die folgenden Berechtigungen, damit AWS Managed Services Detective Controls alle erforderlichen Ressourcen bereitstellen und konfigurieren kann.

  • CloudFormation— Ermöglicht dem AMS Deployment Toolkit die Bereitstellung von CFN-Stacks mit S3-Ressourcen, die von CDK benötigt werden.

  • Amazon S3— ermöglicht dem AMS Deployment Toolkit die Verwaltung seiner S3-Buckets.

  • Elastic Container Registry— ermöglicht dem AMS Deployment Toolkit die Verwaltung seines ECR-Repositorys, das für die Bereitstellung von Ressourcen verwendet wird, die von AMS CDK-Apps benötigt werden.

Sie können die JSON-Richtliniendatei in dieser ZIP-Datei herunterladen: .zip. AWSManaged ServicesDeploymentToolkitPolicy

AWS verwaltete Richtlinie: AWSManagedServices_EventsServiceRolePolicy

AWS Managed Services (AMS) verwendet die von AWSManagedServices_EventsServiceRolePolicy AWS verwaltete Richtlinie. Diese AWS verwaltete Richtlinie ist der Rolle zugeordnet, die mit dem AWSServiceRoleForManagedServices_EventsService verknüpft ist. Die Richtlinie ermöglicht es der dienstbezogenen Rolle, Aktionen für Sie abzuschließen. Sie können diese Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AMS Accelerate.

Aktualisierungen der AWSServiceRoleForManagedServices_Events dienstbezogenen Rolle finden Sie unter. Beschleunigen Sie die Aktualisierung von serviceverknüpften Rollen

Details zu Berechtigungen

Diese Richtlinie verfügt über die folgenden Berechtigungen, damit Amazon Informationen EventBridge zur Änderung des Alarmstatus von Ihrem Konto an AWS Managed Services übermitteln kann.

  • events— Ermöglicht Accelerate, von Amazon EventBridge verwaltete Regeln zu erstellen. Bei dieser Regel handelt es sich um die Infrastruktur, die Sie benötigen AWS-Konto , um Informationen zur Änderung des Alarmstatus von Ihrem Konto aus zu übermitteln AWS Managed Services.

Sie können die JSON-Richtliniendatei in dieser ZIP-Datei herunterladen: EventsServiceRolePolicy.zip.

AWS verwaltete Richtlinie: AWSManagedServices_ContactsServiceRolePolicy

AWS Managed Services (AMS) verwendet die von AWSManagedServices_ContactsServiceRolePolicy AWS verwaltete Richtlinie. Diese AWS verwaltete Richtlinie ist der Rolle zugeordnet, die mit dem AWSServiceRoleForManagedServices_Contacts Service verknüpft ist (sieheEine Spiegelreflexkamera für Kontakte für AMS Accelerate erstellen). Die Richtlinie ermöglicht es AMS Contacts SLR, Ihre Ressourcen-Tags und deren Werte auf AWS-Ressourcen einzusehen. Sie können diese Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AMS Accelerate.

Wichtig

Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. AMS verwendet Tags, um Ihnen Verwaltungsdienste zur Verfügung zu stellen. Tags sind nicht für private oder vertrauliche Daten gedacht.

Aktualisierungen der AWSServiceRoleForManagedServices_Contacts serviceverknüpften Rolle finden Sie unterBeschleunigen Sie die Aktualisierung von serviceverknüpften Rollen.

Details zu Berechtigungen

Diese Richtlinie verfügt über die folgenden Berechtigungen, damit Contacts SLR Ihre Ressourcen-Tags lesen kann, um die Kontaktinformationen der Ressourcen abzurufen, die Sie im Voraus eingerichtet haben.

  • IAM— Ermöglicht dem Dienst „Kontakte“, sich Tags von IAM-Rollen und IAM-Benutzern anzusehen.

  • Amazon EC2— Ermöglicht dem Kontaktservice, sich Tags auf EC2 Amazon-Ressourcen anzusehen.

  • Amazon S3— Ermöglicht Contacts Service, sich Tags in Amazon S3 S3-Buckets anzusehen. Diese Aktion verwendet eine Bedingung, um sicherzustellen, dass AMS über den HTTP-Autorisierungsheader, das SigV4-Signaturprotokoll und HTTPS mit TLS 1.2 oder höher auf Ihre Bucket-Tags zugreift. Weitere Informationen finden Sie unter Authentifizierungsmethoden und Amazon S3 Signature Version 4 Authentication Specific Policy Keys.

  • Tag— Ermöglicht dem Kontaktservice, sich Tags auf anderen AWS Ressourcen anzusehen.

  • „iam: ListRoleTags „, „iam: ListUserTags „, „tag: GetResources „, „tag: „, GetTagKeys „tag: „, GetTagValues „ec2: „, DescribeTags „s3:“ GetBucketTagging

Sie können die JSON-Richtliniendatei in dieser ZIP-Datei herunterladen: .zip. ContactsServicePolicy

Beschleunigen Sie die Aktualisierung AWS verwalteter Richtlinien

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Accelerate an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.

Änderungen Beschreibung Datum

Aktualisierte Richtlinie — Deployment Toolkit

  • Diese neuen Berechtigungen wurden für die Ressource arn:aws:ecr:*:*:repository/ams-cdktoolkit* hinzugefügt:

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 4. April 2024

Aktualisierte Richtlinie — Deployment Toolkit

  • Diese neuen Berechtigungen wurden für die Ressource arn:aws:cloudformation:*:*:stack/ams-cdk-toolkit* hinzugefügt:

    cloudformation:DeleteChangeSet

cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • Diese neuen Berechtigungen wurden für die Ressource hinzugefügtarn:aws:ecr:*:*:repository/ams-cdktoolkit*:

    ecr:CreateRepository

ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • Außerdem wurden einige bestehende Aktionen mit Platzhaltern auf einzelne Aktionen beschränkt:

    - s3:DeleteObject*

+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 09. Mai 2023

Aktualisierte Richtlinie — Detective Controls

  • Die CloudFormation Maßnahmen wurden nach Bestätigung durch das Sicherheits- und Zugangsteam weiter eingegrenzt

  • Die Lambda-Aktionen wurden aus der Richtlinie entfernt, da sie sich nicht auf das Boarding auswirken onboarding/off

10. April 2023

Aktualisierte Richtlinie — Detective Controls

Die ListAttachedRolePolicies Aktion wurde aus der Richtlinie entfernt. Die Aktion hatte Ressource als Platzhalter (*). Da es sich bei „list“ um eine nicht mutative Aktion handelt, erhält sie Zugriff auf alle Ressourcen und der Platzhalter ist nicht zulässig.

 28. März 2023

Aktualisierte Richtlinie — Detective Controls

Die Richtlinie wurde aktualisiert und die Richtlinie zur Begrenzung der Zugriffsrechte hinzugefügt.

 21. März 2023

Neue Richtlinie — Contacts Service

Accelerate hat eine neue Richtlinie hinzugefügt, mit der Sie die Kontaktinformationen Ihres Kontos anhand Ihrer Ressourcen-Tags einsehen können.

Accelerate hat eine neue Richtlinie hinzugefügt, mit der Ihre Ressourcen-Tags gelesen werden können, sodass die Ressourcenkontaktinformationen abgerufen werden können, die Sie im Voraus eingerichtet haben.

 16. Februar 2023

Neue Richtlinie — Veranstaltungsservice

Accelerate hat eine neue Richtlinie hinzugefügt, um Informationen zur Änderung des Alarmstatus von Ihrem Konto an AWS Managed Services zu übermitteln.

Gewährt IAM-Rollen, die im Rahmen von Wie funktioniert Alarm Manager Berechtigungen zum Erstellen einer erforderlichen von Amazon EventBridge verwalteten Regel erstellt wurden.

 07. Februar 2023

Aktualisierte Richtlinie — Deployment Toolkit

Es wurden S3-Berechtigungen hinzugefügt, um das Offboarding von Kunden über Accelerate zu unterstützen.

 30. Januar 2023

Neue Richtlinie — Detective Controls

Ermöglicht der dienstbezogenen Rolle,Detective kontrolliert die dienstbezogene Rolle für AMS Accelerate, die Durchführung von Aktionen zur Implementierung von Accelerate Detective Controls.

 19. Dezember 2022

Neue Richtlinie — Alarm Manager

Accelerate hat eine neue Richtlinie hinzugefügt, um Berechtigungen zur Ausführung von Alarm Manager-Aufgaben zu gewähren.

Gewährt IAM-Rollen, die im Rahmen von Wie funktioniert Alarm Manager Berechtigungen zur Ausführung von Vorgängen wie der AWS Konfigurationsauswertung, AWS dem Lesen von Konfigurationen zum Abrufen der Alarm-Manager-Konfiguration und der Erstellung der erforderlichen CloudWatch Amazon-Alarme erstellt wurden.

 30. November 2022

Beschleunigt hat die Nachverfolgung von Änderungen gestartet

Accelerate hat mit der Nachverfolgung von Änderungen für die von AWS ihm verwalteten Richtlinien begonnen.

 30. November 2022

Neue Richtlinie — Deployment Toolkit

Accelerate hat diese Richtlinie für Bereitstellungsaufgaben hinzugefügt.

Gewährt der serviceverknüpften Rolle AWSServiceRoleForAWSManagedServicesDeploymentToolkitBerechtigungen für den Zugriff auf bereitstellungsbezogene Amazon S3 S3-Buckets und -Stacks und deren Aktualisierung. AWS CloudFormation

09. Juni 2022