AWS politiques gérées pour AMS Accelerate - Guide de l'utilisateur d'AMS Accelerate
AlarmManagerPermissionsBoundaryPolitique gérée de configuration de Detective ControlsPolitique gérée du kit de déploiementPolitique de gestion des services d'événementsPolitique de gestion des contactsMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AMS Accelerate

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

Pour un tableau des modifications, voirAccélérez les mises à jour des politiques AWS gérées.

AWS politique gérée : AWSManagedServices_AlarmManagerPermissionsBoundary

AWS Managed Services (AMS) utilise la politique AWSManagedServices_AlarmManagerPermissionsBoundary AWS gérée. Cette politique AWS gérée est utilisée dans le AWSManagedServices_AlarmManager _ ServiceRolePolicy pour restreindre les autorisations des rôles IAM créés par. AWSServiceRoleForManagedServices_AlarmManager

Cette politique accorde aux rôles IAM créés dans le cadre deComment fonctionne Alarm Manager, les autorisations nécessaires pour effectuer des opérations telles que l'évaluation de la AWS configuration, la lecture de la AWS configuration pour récupérer la configuration d'Alarm Manager et la création des alarmes Amazon CloudWatch nécessaires.

La AWSManagedServices_AlarmManagerPermissionsBoundary politique est attachée au rôle AWSServiceRoleForManagedServices_DetectiveControlsConfig lié au service. Pour les mises à jour de ce rôle, consultezAccélérez les mises à jour des rôles liés aux services.

Vous pouvez associer cette politique à vos identités IAM.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • AWS Config— Autorise les autorisations d'évaluer les règles de configuration et de sélectionner la configuration des ressources.

  • AWS AppConfig— Autorise l'accès à la AlarmManager configuration.

  • Amazon S3— Autorise l'utilisation de AlarmManager buckets et d'objets.

  • Amazon CloudWatch— Autorise les autorisations de lire et de placer les alarmes et les métriques AlarmManager gérées.

  • AWS Resource Groups and Tags— Autorise la lecture des balises de ressources.

  • Amazon EC2— Autorise la lecture EC2 des ressources Amazon.

  • Amazon Redshift— Autorise la lecture des instances et des clusters Redshift.

  • Amazon FSx— Autorise les autorisations nécessaires pour décrire les systèmes de fichiers, les volumes et les balises de ressources.

  • Amazon CloudWatch Synthetics— Autorise la lecture des ressources Synthetics.

  • Amazon Elastic Kubernetes Service— Autorise les autorisations pour décrire le cluster Amazon EKS.

  • Amazon ElastiCache— Autorise les autorisations pour décrire les ressources.

Vous pouvez télécharger le fichier de politique dans ce fichier ZIP : RecommendedPermissionBoundary.zip.

AWS politique gérée : AWSManagedServices_DetectiveControlsConfig _ ServiceRolePolicy

AWS Managed Services (AMS) utilise la politique AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS gérée. Cette politique AWS gérée est attachée au rôle AWSServiceRoleForManagedServices_DetectiveControlsConfig lié au service (voir). Detective contrôle le rôle lié au service pour AMS Accelerate Pour les mises à jour du rôle AWSServiceRoleForManagedServices_DetectiveControlsConfig lié au service, consultez. Accélérez les mises à jour des rôles liés aux services

La politique permet au rôle lié au service d'effectuer des actions à votre place.

Vous pouvez associer la ServiceRolePolicy politique AWSManagedServices_DetectiveControlsConfig _ à vos entités IAM.

Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour AMS Accelerate.

Détails de l'autorisation

Cette politique dispose des autorisations suivantes pour permettre à AWS Managed Services Detective Controls de déployer et de configurer toutes les ressources nécessaires.

  • CloudFormation— Permet à AMS Detective Controls de déployer des CloudFormation piles avec des ressources telles que des compartiments S3, des règles de configuration et un enregistreur de configuration.

  • AWS Config— Permet à AMS Detective Controls de créer des règles de configuration AMS, de configurer un agrégateur et de baliser les ressources.

  • Amazon S3— permet à AMS Detective Controls de gérer ses compartiments s3.

Vous pouvez télécharger le fichier de politique JSON dans ce fichier ZIP : DetectiveControlsConfig_ ServiceRolePolicy .zip.

AWS politique gérée : AWSManaged ServicesDeploymentToolkitPolicy

AWS Managed Services (AMS) utilise la politique AWSManagedServicesDeploymentToolkitPolicy AWS gérée. Cette politique AWS gérée est attachée au rôle AWSServiceRoleForAWSManagedServicesDeploymentToolkit lié au service (voir). Rôle lié au service du kit de déploiement pour AMS Accelerate La politique permet au rôle lié au service d'effectuer des actions à votre place. Vous ne pouvez pas attacher cette politique à vos entités IAM. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour AMS Accelerate.

Pour les mises à jour du rôle AWSServiceRoleForManagedServicesDeploymentToolkitPolicy lié au service, consultez. Accélérez les mises à jour des rôles liés aux services

Détails de l’autorisation

Cette politique dispose des autorisations suivantes pour permettre à AWS Managed Services Detective Controls de déployer et de configurer toutes les ressources nécessaires.

  • CloudFormation— Permet au kit de déploiement AMS de déployer des piles CFN avec les ressources S3 requises par le CDK.

  • Amazon S3— permet à AMS Deployment Toolkit de gérer ses compartiments S3.

  • Elastic Container Registry— permet à AMS Deployment Toolkit de gérer son référentiel ECR qui est utilisé pour déployer les actifs nécessaires aux applications AMS CDK.

Vous pouvez télécharger le fichier de politique JSON dans ce fichier ZIP : AWSManagedServicesDeploymentToolkitPolicy.zip.

AWS politique gérée : AWSManagedServices_EventsServiceRolePolicy

AWS Managed Services (AMS) utilise la politique gérée par AWSManagedServices_EventsServiceRolePolicy AWS. Cette politique AWS gérée est attachée au rôle lié au AWSServiceRoleForManagedServices_Eventsservice. La politique permet au rôle lié au service d'effectuer des actions à votre place. Vous ne pouvez pas attacher cette politique à vos entités IAM. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour AMS Accelerate.

Pour les mises à jour du rôle AWSServiceRoleForManagedServices_Events lié au service, consultez. Accélérez les mises à jour des rôles liés aux services

Détails de l’autorisation

Cette politique comporte les autorisations suivantes pour permettre à Amazon de transmettre EventBridge à AWS Managed Services les informations relatives au changement d'état des alarmes depuis votre compte.

  • events— Permet à Accelerate de créer une règle EventBridge gérée par Amazon. Cette règle est l'infrastructure dont vous avez besoin Compte AWS pour transmettre les informations de changement d'état des alarmes de votre compte à AWS Managed Services.

Vous pouvez télécharger le fichier de politique JSON dans ce fichier ZIP : EventsServiceRolePolicy.zip.

AWS politique gérée : AWSManagedServices_ContactsServiceRolePolicy

AWS Managed Services (AMS) utilise la politique gérée par AWSManagedServices_ContactsServiceRolePolicy AWS. Cette politique AWS gérée est attachée au rôle AWSServiceRoleForManagedServices_Contacts lié au service (voir). Création d'un reflex à contacts pour AMS Accelerate Cette politique permet à l'AMS Contacts SLR de consulter vos balises de ressources, ainsi que leurs valeurs, sur les ressources AWS. Vous ne pouvez pas attacher cette politique à vos entités IAM. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour AMS Accelerate.

Important

Ne stockez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans des balises. AMS utilise des balises pour vous fournir des services d'administration. Les balises ne sont pas destinées à être utilisées pour des données privées ou sensibles.

Pour les mises à jour du rôle AWSServiceRoleForManagedServices_Contacts lié au service, consultez. Accélérez les mises à jour des rôles liés aux services

Détails de l’autorisation

Cette politique dispose des autorisations suivantes pour permettre au Contacts SLR de lire vos balises de ressources afin de récupérer les informations de contact des ressources que vous avez configurées à l'avance.

  • IAM— Permet au service Contacts de consulter les balises associées aux rôles IAM et aux utilisateurs IAM.

  • Amazon EC2— Permet au service Contacts de consulter les tags des EC2 ressources Amazon.

  • Amazon S3— Permet au service Contacts de consulter les balises figurant sur les compartiments Amazon S3. Cette action utilise une condition pour garantir qu'AMS accède aux balises de votre bucket à l'aide de l'en-tête d'autorisation HTTP, du protocole de signature SigV4 et du protocole HTTPS avec TLS 1.2 ou supérieur. Pour plus d'informations, consultez Méthodes d'authentification et Clés de politique d'authentification spécifiques à Amazon S3 Signature version 4.

  • Tag— Permet au service Contacts de consulter les tags d'autres AWS ressources.

  • « iam : ListRoleTags », « iam : ListUserTags », « tag : GetResources », « tag : », GetTagKeys « tag : », GetTagValues « ec2 : «, DescribeTags « s3 : » GetBucketTagging

Vous pouvez télécharger le fichier de politique JSON dans ce fichier ZIP : ContactsServicePolicy.zip.

Accélérez les mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées pour Accelerate depuis que ce service a commencé à suivre ces modifications.

Modification Description Date

Politique mise à jour — Boîte à outils de déploiement

  • Ces nouvelles autorisations ont été ajoutées pour la ressource arn:aws:ecr:*:*:repository/ams-cdktoolkit* :

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 4 avril 2024

Politique mise à jour — Boîte à outils de déploiement

  • Ces nouvelles autorisations ont été ajoutées pour la ressource arn:aws:cloudformation:*:*:stack/ams-cdk-toolkit* :

    cloudformation:DeleteChangeSet

cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • Ces nouvelles autorisations ont été ajoutées pour la ressource arn:aws:ecr:*:*:repository/ams-cdktoolkit* :

    ecr:CreateRepository

ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • En outre, certaines actions existantes comportant un caractère générique ont été réduites à des actions individuelles :

    - s3:DeleteObject*

+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 9 mai 2023

Politique mise à jour — Detective Controls

  • Les CloudFormation actions ont été précisées après confirmation auprès de l'équipe chargée de la sécurité et de l'accès

  • Les actions Lambda ont été supprimées de la politique car elles n'ont aucun impact sur l'embarquement onboarding/off

10 avril 2023

Politique mise à jour — Detective Controls

L'ListAttachedRolePoliciesaction est supprimée de la politique. L'action avait Resource comme caractère générique (*). Comme « liste » est une action non mutative, elle a accès à toutes les ressources et le caractère générique n'est pas autorisé.

 28 mars 2023

Politique mise à jour — Detective Controls

Mise à jour de la politique et ajout de la politique de limites des autorisations.

 21 mars 2023

Nouvelle politique — Service des contacts

Accelerate a ajouté une nouvelle politique permettant de consulter les informations de contact de votre compte à partir de vos balises de ressources.

Accelerate a ajouté une nouvelle politique permettant de lire vos balises de ressources afin de récupérer les informations de contact des ressources que vous avez définies à l'avance.

 16 février 2023

Nouvelle politique — Service des événements

Accelerate a ajouté une nouvelle politique pour transmettre à AWS Managed Services les informations relatives au changement d'état des alarmes depuis votre compte.

Accorde les rôles IAM créés dans le cadre des Comment fonctionne Alarm Manager autorisations pour créer une règle EventBridge gérée par Amazon requise.

 07 février 2023

Politique mise à jour — Boîte à outils de déploiement

Ajout d'autorisations S3 pour permettre aux clients de quitter Accelerate pour quitter Accelerate.

 30 janvier 2023

Nouvelle politique — Detective Controls

Permet au rôle lié au service d'effectuer des Detective contrôle le rôle lié au service pour AMS Accelerate actions vous permettant de déployer des contrôles de détection Accelerate.

 19 décembre 2022

Nouvelle politique — Alarm Manager

Accelerate a ajouté une nouvelle politique pour autoriser les autorisations nécessaires à l'exécution des tâches du gestionnaire d'alarmes.

Accorde aux rôles IAM créés dans le cadre des Comment fonctionne Alarm Manager autorisations leur permettant d'effectuer des opérations telles que l'évaluation de la AWS configuration, la lecture de la AWS configuration pour récupérer la configuration du gestionnaire d'alarmes, la création des alarmes Amazon CloudWatch nécessaires.

 30 novembre 2022

Accélérez le suivi des modifications entamées

Accélérez le suivi initial des modifications apportées AWS à ses politiques gérées.

 30 novembre 2022

Nouvelle politique — Boîte à outils de déploiement

Accelerate a ajouté cette politique pour les tâches de déploiement.

Accorde au rôle lié au service AWSServiceRoleForAWSManagedServicesDeploymentToolkitles autorisations nécessaires pour accéder aux buckets et stacks Amazon S3 liés au déploiement et les mettre à jour. AWS CloudFormation

9 juin 2022