AWS políticas gestionadas para AMS Accelerate - Guía del usuario de AMS Accelerate
AlarmManagerPermissionsBoundaryPolítica gestionada de configuración de Controles de DetectivePolítica gestionada del kit de herramientas de desplieguePolítica gestionada del servicio de eventosPolítica de contactos gestionadosActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para AMS Accelerate

Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Para ver una tabla de cambios, consulteAcelere las actualizaciones de las políticas AWS gestionadas.

AWS política gestionada: AWSManagedServices_AlarmManagerPermissionsBoundary

AWS Managed Services (AMS) usa la política AWSManagedServices_AlarmManagerPermissionsBoundary AWS administrada. Esta política AWS gestionada se utiliza en AWSManagedServices_AlarmManager _ ServiceRolePolicy para restringir los permisos de las funciones de IAM creadas por. AWSServiceRoleForManagedServices_AlarmManager

Esta política otorga a las funciones de IAM creadas como parte de ellas Cómo funciona Alarm Manager permisos para realizar operaciones como la evaluación de AWS Config, la configuración de AWS Config read to fetch Alarm Manager y la creación de las alarmas de Amazon CloudWatch necesarias.

La AWSManagedServices_AlarmManagerPermissionsBoundary política está asociada a la función vinculada al AWSServiceRoleForManagedServices_DetectiveControlsConfig servicio. Para ver las actualizaciones de este rol, consulte. Acelere las actualizaciones de las funciones vinculadas al servicio

Puede adjuntar esta política a sus identidades de IAM.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • AWS Config— Permite permisos para evaluar las reglas de configuración y seleccionar la configuración de los recursos.

  • AWS AppConfig— Permite permisos para recuperar la AlarmManager configuración.

  • Amazon S3— Permite permisos para operar AlarmManager depósitos y objetos.

  • Amazon CloudWatch— Permite permisos para leer y colocar las alarmas y métricas AlarmManager gestionadas.

  • AWS Resource Groups and Tags— Permite permisos para leer las etiquetas de los recursos.

  • Amazon EC2— Permite permisos para leer los EC2 recursos de Amazon.

  • Amazon Redshift— Permite permisos para leer instancias y clústeres de Redshift.

  • Amazon FSx— Permite permisos para describir los sistemas de archivos, los volúmenes y las etiquetas de recursos.

  • Amazon CloudWatch Synthetics— Permite permisos para leer los recursos de Synthetics.

  • Amazon Elastic Kubernetes Service— Permite permisos para describir el clúster de Amazon EKS.

  • Amazon ElastiCache— Permite permisos para describir los recursos.

Puede descargar el archivo de la política en este ZIP: RecommendedPermissionBoundary.zip.

AWS política gestionada: _ AWSManagedServices_DetectiveControlsConfig ServiceRolePolicy

AWS Managed Services (AMS) usa la política AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS administrada. Esta política AWS gestionada está asociada a la función AWSServiceRoleForManagedServices_DetectiveControlsConfig vinculada al servicio (consulte). El Detective controla la función vinculada al servicio para AMS Accelerate Para ver las actualizaciones de la función vinculada al AWSServiceRoleForManagedServices_DetectiveControlsConfig servicio, consulte. Acelere las actualizaciones de las funciones vinculadas al servicio

La política permite al rol vinculado al servicio completar acciones en su lugar.

Puede adjuntar la ServiceRolePolicy política AWSManagedServices_DetectiveControlsConfig _ a sus entidades de IAM.

Para obtener más información, consulte Uso de funciones vinculadas a servicios para AMS Accelerate.

Detalles de los permisos

Esta política tiene los siguientes permisos para permitir a AWS Managed Services Detective Controls implementar y configurar todos los recursos necesarios.

  • CloudFormation— Permite a AMS Detective Controls desplegar CloudFormation pilas con recursos como depósitos s3, reglas de configuración y grabador de configuración.

  • AWS Config— Permite a AMS Detective Controls crear reglas de configuración de AMS, configurar un agregador y etiquetar recursos.

  • Amazon S3— permite a AMS Detective Controls gestionar sus depósitos s3.

Puede descargar el archivo de política JSON en este ZIP: DetectiveControlsConfig_ ServiceRolePolicy .zip.

AWS política gestionada: AWSManaged ServicesDeploymentToolkitPolicy

AWS Managed Services (AMS) usa la política AWSManagedServicesDeploymentToolkitPolicy AWS administrada. Esta política AWS gestionada está asociada a la función AWSServiceRoleForAWSManagedServicesDeploymentToolkit vinculada al servicio (consulte). Kit de herramientas de despliegue: función vinculada a los servicios para AMS Accelerate La política permite al rol vinculado al servicio completar acciones en su lugar. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte Uso de funciones vinculadas a servicios para AMS Accelerate.

Para ver las actualizaciones de la función vinculada al AWSServiceRoleForManagedServicesDeploymentToolkitPolicy servicio, consulte. Acelere las actualizaciones de las funciones vinculadas al servicio

Detalles de los permisos

Esta política tiene los siguientes permisos para permitir a AWS Managed Services Detective Controls implementar y configurar todos los recursos necesarios.

  • CloudFormation— Permite que AMS Deployment Toolkit despliegue pilas de CFN con los recursos de S3 que necesita el CDK.

  • Amazon S3— permite a AMS Deployment Toolkit gestionar sus depósitos de S3.

  • Elastic Container Registry— permite a AMS Deployment Toolkit gestionar su repositorio de ECR, que se utiliza para implementar los activos que necesitan las aplicaciones CDK de AMS.

Puede descargar el archivo de políticas JSON en este ZIP: .zip. AWSManaged ServicesDeploymentToolkitPolicy

AWS política gestionada: AWSManagedServices_EventsServiceRolePolicy

AWS Managed Services (AMS) usa la política administrada de AWSManagedServices_EventsServiceRolePolicy AWS. Esta política AWS gestionada está asociada a la función vinculada al AWSServiceRoleForManagedServices_Eventsservicio. La política permite al rol vinculado al servicio completar acciones en su lugar. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte Uso de funciones vinculadas a servicios para AMS Accelerate.

Para ver las actualizaciones de la función vinculada al AWSServiceRoleForManagedServices_Events servicio, consulte. Acelere las actualizaciones de las funciones vinculadas al servicio

Detalles de los permisos

Esta política tiene los siguientes permisos para permitir EventBridge a Amazon enviar información sobre cambios de estado de alarma desde su cuenta a AWS Managed Services.

  • events— Permite a Accelerate crear una regla EventBridge gestionada por Amazon. Esta regla es la infraestructura que necesita Cuenta de AWS para enviar información sobre los cambios de estado de alarma desde su cuenta a AWS Managed Services.

Puede descargar el archivo de política JSON en este ZIP: EventsServiceRolePolicy.zip.

AWS política gestionada: AWSManagedServices_ContactsServiceRolePolicy

AWS Managed Services (AMS) usa la política administrada de AWSManagedServices_ContactsServiceRolePolicy AWS. Esta política AWS gestionada está asociada a la función AWSServiceRoleForManagedServices_Contacts vinculada al servicio (consulte). Creación de una cámara réflex de contactos para AMS Accelerate La política permite a AMS Contacts SLR analizar las etiquetas de sus recursos y sus valores en los recursos de AWS. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte Uso de funciones vinculadas a servicios para AMS Accelerate.

importante

No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. AMS utiliza etiquetas para proporcionarle servicios de administración. Las etiquetas no se han diseñado para usarse con información privada o confidencial.

Para obtener información actualizada sobre la función AWSServiceRoleForManagedServices_Contacts vinculada al servicio, consulte. Acelere las actualizaciones de las funciones vinculadas al servicio

Detalles de los permisos

Esta política tiene los siguientes permisos para permitir que la SLR de Contactos lea las etiquetas de los recursos para recuperar la información de contacto del recurso que haya configurado con antelación.

  • IAM— Permite que el servicio de contactos consulte las etiquetas de los roles y usuarios de IAM.

  • Amazon EC2— Permite que el servicio de contactos consulte las etiquetas de EC2 los recursos de Amazon.

  • Amazon S3— Permite a Contacts Service ver las etiquetas de los buckets de Amazon S3. Esta acción utiliza una condición para garantizar que AMS acceda a sus etiquetas de bucket mediante el encabezado de autorización HTTP, el protocolo de firma SigV4 y el uso de HTTPS con TLS 1.2 o superior. Para obtener más información, consulte Métodos de autenticación y Claves de política específicas de autenticación de Amazon S3 Signature versión 4.

  • Tag— Permite que el servicio de contactos consulte las etiquetas de otros AWS recursos.

  • «iam: ListRoleTags «, «iam: ListUserTags «, «tag: GetResources «, «tag: «, GetTagKeys «tag: «, GetTagValues «ec2: «, DescribeTags «s3:» GetBucketTagging

Puede descargar el archivo de política JSON en este ZIP: .zip. ContactsServicePolicy

Acelere las actualizaciones de las políticas AWS gestionadas

Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Accelerate desde que este servicio comenzó a realizar el seguimiento de estos cambios.

Cambio Descripción Fecha

Política actualizada: kit de herramientas de implementación

  • Se agregaron estos nuevos permisos para el recursoarn:aws:ecr:*:*:repository/ams-cdktoolkit*:

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 4 de abril de 2024

Política actualizada: kit de herramientas de implementación

  • Se agregaron estos nuevos permisos para el recursoarn:aws:cloudformation:*:*:stack/ams-cdk-toolkit*:

    cloudformation:DeleteChangeSet

cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • Se agregaron estos nuevos permisos para el recursoarn:aws:ecr:*:*:repository/ams-cdktoolkit*:

    ecr:CreateRepository

ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • Además, algunas acciones existentes con caracteres comodín se redujeron a acciones individuales:

    - s3:DeleteObject*

+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 9 de mayo de 2023

Política actualizada — Detective Controls

  • Las CloudFormation acciones se han reducido aún más tras la confirmación con el equipo de seguridad y acceso

  • Las acciones de Lambda se han eliminado de la política porque no afectan al embarque onboarding/off

10 de abril de 2023

Política actualizada — Detective Controls

La ListAttachedRolePolicies acción se elimina de la política. La acción tenía el recurso como comodín (*). Como «enumerar» es una acción no mutante, se le da acceso a todos los recursos y no se permite el comodín.

 28 de marzo de 2023

Política actualizada — Detective Controls

Se actualizó la política y se agregó la política de límites de permisos.

 21 de marzo de 2023

Nueva política: servicio de contactos

Accelerate agregó una nueva política para ver la información de contacto de su cuenta en las etiquetas de sus recursos.

Accelerate agregó una nueva política para leer las etiquetas de sus recursos, de modo que pueda recuperar con antelación la información de contacto del recurso que haya configurado.

 16 de febrero de 2023

Nueva política: Events Service

Accelerate agregó una nueva política para enviar información sobre los cambios de estado de alarma de su cuenta a AWS Managed Services.

Otorga funciones de IAM creadas como parte de Cómo funciona Alarm Manager los permisos para crear una regla EventBridge gestionada por Amazon obligatoria.

 7 de febrero de 2023

Política actualizada: kit de herramientas de implementación

Se agregaron permisos de S3 para facilitar la desvinculación de los clientes de Accelerate.

 30 de enero de 2023

Nueva política — Detective Controls

Permite que el rol vinculado al servicio complete acciones para que usted despliegue los controles de Accelerate Detective. El Detective controla la función vinculada al servicio para AMS Accelerate

 19 de diciembre de 2022

Nueva política: Alarm Manager

Accelerate agregó una nueva política para permitir permisos para realizar tareas de administración de alarmas.

Otorga funciones de IAM creadas como parte de Cómo funciona Alarm Manager los permisos para realizar operaciones como la evaluación de AWS Config, la configuración de AWS Config read to fetch alarm manager o la creación de las alarmas de Amazon CloudWatch necesarias.

 30 de noviembre de 2022

Acelera y comienza a rastrear los cambios

Accelerate comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.

 30 de noviembre de 2022

Nueva política: kit de herramientas de implementación

Accelerate agregó esta política para las tareas de implementación.

Otorga al rol vinculado al servicio AWSServiceRoleForAWSManagedServicesDeploymentToolkitpermisos para acceder a los buckets y pilas de Amazon S3 relacionados con la implementación y actualizarlos. AWS CloudFormation

9 de junio de 2022