Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Next Generation Resilience Hub
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'un nouveau AWS service est lancé ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Rubriques
AWSResilienceHubV2AssessmentExecutionPolicy
Vous pouvez les associer AWSResilienceHubV2AssessmentExecutionPolicy à vos identités IAM. Lors de l'exécution d'une évaluation, cette politique accorde des autorisations d'accès en lecture seule à d'autres AWS services pour la découverte, l'évaluation et la gestion de la résilience.
Détails de l’autorisation
Cette politique accorde des autorisations de lecture seule avec caractères génériques susceptibles d'inclure des informations sensibles dans la sortie.
Cette politique inclut les autorisations suivantes :
-
Amazon CloudWatch (CloudWatch) — Fournit
DescribeListet autorise les CloudWatch ressources associées à votre AWS compte.Get -
AWS CloudFormation —
GetFournitDescribeetListautorise les AWS CloudFormation ressources associées à votre AWS compte. -
Amazon Elastic Compute Cloud (Amazon EC2) — Fournit des autorisations
Describespécifiques pour les ressources Amazon EC2 associées à votre compte. AWS -
Amazon Elastic Container Service (Amazon ECS) —
DescribeFournitListet autorise les ressources Amazon ECS associées AWS à votre compte. -
Amazon Elastic Kubernetes Service (Amazon EKS) :
DescribefournitListet autorise les ressources Amazon EKS associées à votre compte. AWS -
Amazon Elastic Container Registry (Amazon ECR) : fournit
Describedes autorisations pour les ressources Amazon ECR associées à votre compte. AWS -
Amazon Elastic File System (Amazon EFS) : fournit
Describedes autorisations pour les ressources Amazon EFS associées à votre AWS compte. -
Amazon ElastiCache (ElastiCache) — Fournit
Describedes autorisations pour les ElastiCache ressources associées à votre AWS compte. -
Elastic Load Balancing : fournit
Describedes autorisations pour les ressources Elastic Load Balancing associées à votre AWS compte. -
Amazon DynamoDB (DynamoDB) :
DescribefournitListet autorise les ressources DynamoDB associées à votre compte. AWS -
Amazon RDS : fournit des
Describeautorisations pour les ressources Amazon RDS associées à votre AWS compte. -
Amazon DocumentDB : fournit
Describeet autoriseListles ressources Amazon DocumentDB associées à votre compte. AWS -
AWS Lambda (Lambda) — Fournit des
ListautorisationsGetet des autorisations spécifiques pour les ressources Lambda associées à votre compte. AWS -
AWS Step Functions — Fournit
DescribeListet autorise les AWS Step Functions ressources associées à votre AWS compte. -
IAM — Fournit des
ListautorisationsGetet des autorisations spécifiques pour les ressources IAM associées à votre AWS compte. -
Amazon Simple Notification Service (Amazon SNS) :
GetfournitListet autorise les ressources Amazon SNS associées à votre compte. AWS -
Amazon Simple Queue Service (Amazon SQS) :
GetfournitListet autorise les ressources Amazon SQS associées à votre compte. AWS -
Amazon Simple Storage Service (Amazon S3) —
GetFournitListet autorise les ressources Amazon S3 associées AWS à votre compte. Les autorisations Amazon S3 figurant dans leAWSResilienceHubS3AccessStatementsont limitées aux ressources du même compte à l'aide de la clé deaws:ResourceAccountcondition. -
Amazon Route 53 (Route 53) — Fournit
GetdesListautorisations pour les ressources Route 53, y compris les ressources Route 53 Application Recovery Controller, associées à votre AWS compte. -
Amazon EC2 Systems Manager (SSM) :
DescribefournitGetet autorise les ressources SSM associées à votre compte. AWS -
Amazon EC2 Auto Scaling :
Describefournit des autorisations pour les ressources Amazon EC2 Auto Scaling associées à votre compte. AWS -
AWS Backup —
GetFournitDescribeetListautorise les AWS Backup ressources associées à votre AWS compte. -
Reprise après sinistre AWS Elastic (Elastic Disaster Recovery) — Fournit
Describedes autorisations pour les ressources Elastic Disaster Recovery associées à votre AWS compte. -
AWS Fault Injection Service (AWS FIS) — Fournit
GetListdes autorisations pour les AWS FIS expériences et les modèles d'expériences associés à votre AWS compte. -
Amazon FSx for Windows File Server (Amazon FSx) : fournit des
Describeautorisations pour les ressources Amazon FSx associées à votre compte. AWS -
Amazon Data Lifecycle Manager : fournit
Getdes autorisations pour les ressources Amazon Data Lifecycle Manager associées à votre AWS compte. -
AWS DataSync — Fournit
DescribeListet autorise les AWS DataSync ressources associées à votre AWS compte. -
Groupes de ressources AWS (Resource Groups) —
ListFournitGetet autorise les ressources Resource Groups associées à votre AWS compte. -
AWS Service Catalog (Service Catalog) —
ListFournitGetet autorise les ressources Service Catalog associées à votre AWS compte. -
Amazon API Gateway : fournit des
GETautorisations limitées à des modèles d'ARN de ressources spécifiques pour les API REST, les API HTTP, les plans d'utilisation et les noms de domaine. -
Amazon Kinesis : fournit
Describeet autoriseListles ressources Kinesis associées à votre compte. AWS -
Amazon Kinesis Data Firehose
Describe:Listfournit des ressources Kinesis Data Firehose associées à votre compte et autorise ces ressources. AWS -
Amazon EventBridge — Fournit
DescribeListet autorise les EventBridge ressources associées à votre AWS compte. -
Amazon MSK — Fournit
Describeet autoriseListles ressources Amazon MSK et MSK Connect associées AWS à votre compte.Get -
Amazon MemoryDB — Fournit des
Describeautorisations pour les ressources MemoryDB associées à votre compte. AWS -
Amazon Redshift : fournit des
Describeautorisations pour les ressources Redshift associées à votre compte. AWS -
AWS Global Accelerator —
ListFournitDescribeet autorise les ressources Global Accelerator associées à votre AWS compte. -
AWS Network Firewall : fournit
DescribeListet autorise les ressources Network Firewall associées à votre AWS compte. -
AWS Shield —
ListFournitDescribeet autorise les ressources Shield associées à votre AWS compte. -
AWS WAF V2 — Fournit
GetListet autorise les ressources WAF V2 associées à votre AWS compte. -
AWS Resource Access Manager — Fournit
GetdesListautorisations pour les ressources RAM associées à votre AWS compte. -
Amazon VPC Lattice — Fournit des autorisations
ListpourGetles ressources VPC Lattice associées à votre compte. AWS -
AWS Config —
ListFournitDescribeet autorise les ressources de configuration associées à votre AWS compte. -
Amazon CloudFront — Fournit
GetListet autorise les CloudFront ressources associées à votre AWS compte. -
AWS Secrets Manager : fournit
DescribedesListressources de Secrets Manager associées à votre AWS compte et autorise ces ressources. -
AWS Service d'annuaire : fournit
Describedes autorisations pour les ressources du service d'annuaire associées à votre AWS compte. -
Amazon DSQL — Fournit
GetListet autorise les ressources DSQL associées à votre AWS compte. -
Amazon QLDB —
DescribeFournit et autoriseListles ressources QLDB associées à votre compte. AWS -
AWS Certificate Manager — Fournit
DescribeetListautorise les ressources ACM associées à votre AWS compte.Get -
Application Auto Scaling : fournit
Describedes autorisations pour les ressources Application Auto Scaling associées à votre AWS compte. -
Incidents SSM — Fournit
GetListet autorise les ressources relatives aux incidents SSM associées à votre AWS compte. -
Tag — Permet
GetResourcesd'interroger les ressources étiquetées associées à votre AWS compte.
La politique IAM suivante fournit les autorisations requises pour que Next Generation Resilience Hub puisse accéder à d'autres AWS services lors de l'exécution d'évaluations.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSResilienceHubV2ReadResourceConfigStatement", "Effect": "Allow", "Action": [ "acm:DescribeCertificate", "acm:GetCertificate", "acm:ListCertificates", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingPolicies", "arc-region-switch:GetRegionSwitchStatus", "arc-region-switch:ListRegionSwitchAZSummaries", "arc-zonal-shift:GetManagedResource", "arc-zonal-shift:ListManagedResources", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "backup:DescribeBackupVault", "backup:GetBackupPlan", "backup:GetBackupSelection", "backup:ListBackupPlans", "backup:ListBackupSelections", "cloudformation:DescribeStacks", "cloudformation:GetTemplate", "cloudformation:ListStackResources", "cloudfront:GetDistribution", "cloudfront:ListDistributions", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "config:DescribeConfigRules", "config:ListDiscoveredResources", "datasync:DescribeTask", "datasync:ListLocations", "datasync:ListTasks", "dlm:GetLifecyclePolicies", "dlm:GetLifecyclePolicy", "docdb-elastic:GetCluster", "docdb-elastic:ListClusters", "drs:DescribeJobs", "drs:DescribeSourceServers", "drs:GetReplicationConfiguration", "ds:DescribeDirectories", "dsql:GetCluster", "dsql:ListClusters", "dynamodb:DescribeContinuousBackups", "dynamodb:DescribeGlobalTable", "dynamodb:DescribeTable", "dynamodb:ListGlobalTables", "dynamodb:ListTagsOfResource", "ec2:DescribeAvailabilityZones", "ec2:DescribeFastSnapshotRestores", "ec2:DescribeFleets", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeRegions", "ec2:DescribeSnapshots", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:DescribeRepositories", "ecs:DescribeCapacityProviders", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeServices", "ecs:DescribeTaskDefinition", "ecs:ListContainerInstances", "ecs:ListServices", "eks:DescribeCluster", "eks:DescribeFargateProfile", "eks:DescribeNodegroup", "eks:ListFargateProfiles", "eks:ListNodegroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeGlobalReplicationGroups", "elasticache:DescribeReplicationGroups", "elasticache:DescribeSnapshots", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:DescribeReplicationConfigurations", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "events:DescribeEventBus", "events:DescribeRule", "events:ListRules", "events:ListTargets", "firehose:DescribeDeliveryStream", "firehose:ListDeliveryStreams", "fis:GetExperiment", "fis:GetExperimentTemplate", "fis:ListExperimentTemplates", "fis:ListExperiments", "fsx:DescribeFileSystems", "globalaccelerator:DescribeAccelerator", "globalaccelerator:DescribeEndpointGroup", "globalaccelerator:DescribeListener", "globalaccelerator:ListAccelerators", "globalaccelerator:ListEndpointGroups", "globalaccelerator:ListListeners", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "iam:ListAttachedRolePolicies", "kafka:DescribeCluster", "kafka:DescribeClusterV2", "kafka:GetBootstrapBrokers", "kafka:ListClusters", "kafka:ListClustersV2", "kafkaconnect:DescribeConnector", "kafkaconnect:ListConnectors", "kinesis:DescribeStream", "kinesis:ListStreams", "lambda:GetFunctionConcurrency", "lambda:GetFunctionConfiguration", "lambda:ListAliases", "lambda:ListEventSourceMappings", "lambda:ListFunctionEventInvokeConfigs", "lambda:ListVersionsByFunction", "memorydb:DescribeClusters", "memorydb:DescribeMultiRegionClusters", "network-firewall:DescribeFirewall", "network-firewall:DescribeFirewallPolicy", "network-firewall:ListFirewallPolicies", "network-firewall:ListFirewalls", "qldb:DescribeLedger", "qldb:ListLedgers", "ram:GetResourceShareAssociations", "ram:ListResources", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBInstanceAutomatedBackups", "rds:DescribeDBInstances", "rds:DescribeDBProxies", "rds:DescribeDBSnapshots", "rds:DescribeGlobalClusters", "redshift:DescribeClusterSnapshots", "redshift:DescribeClusters", "resource-groups:GetGroup", "resource-groups:ListGroupResources", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:ListHealthChecks", "route53:ListHostedZones", "route53:ListResourceRecordSets", "route53-recovery-control-config:ListClusters", "route53-recovery-control-config:ListControlPanels", "route53-recovery-control-config:ListRoutingControls", "route53-recovery-readiness:GetReadinessCheckStatus", "route53-recovery-readiness:GetResourceSet", "route53-recovery-readiness:ListReadinessChecks", "route53resolver:ListFirewallRuleGroupAssociations", "route53resolver:ListResolverEndpoints", "route53resolver:ListResolverRules", "s3:ListBucket", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets", "servicecatalog:GetApplication", "servicecatalog:ListAssociatedResources", "shield:DescribeProtection", "shield:ListProtections", "sns:GetTopicAttributes", "sns:ListSubscriptionsByTopic", "sns:ListTopics", "sqs:GetQueueAttributes", "sqs:ListQueues", "ssm:DescribeAutomationExecutions", "ssm:GetDocument", "ssm:GetParametersByPath", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListReplicationSets", "ssm-incidents:ListResponsePlans", "states:DescribeStateMachine", "states:ListStateMachines", "tag:GetResources", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListServices", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListTargetGroups", "wafv2:GetWebACL", "wafv2:ListWebACLs" ], "Resource": "*" }, { "Sid": "AWSResilienceHubApiGatewayStatement", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/domainnames/*" ] }, { "Sid": "AWSResilienceHubS3AccessStatement", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketObjectLockConfiguration", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetMultiRegionAccessPointRoutes", "s3:GetReplicationConfiguration", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWSResilienceHubServiceRolePolicy
AWSResilienceHubServiceRolePolicyIl s'agit d'une politique de rôle lié au service (SLR). Vous ne pouvez pas associer cette politique à vos entités IAM. Le Resilience Hub de nouvelle génération crée automatiquement ce rôle lié au service lorsque vous activez le support des AWS Organisations pour la gestion de la résilience multi-comptes. Ce rôle fait confiance au directeur du resiliencehub.amazonaws.com service.
Pour plus d'informations sur les rôles liés à un service pour AWS Resilience Hub, voir Utilisation de rôles liés à un service pour Resilience Hub. AWS
Détails de l’autorisation
Grâce à cette politique, Next Generation Resilience Hub peut accéder aux informations des AWS organisations en lecture seule pour la gestion de la résilience multi-comptes.
Cette politique inclut les autorisations suivantes :
-
AWS Organizations — Fournit des ressources
Listaux organisationsDescribeet autorise ces ressources. Ces autorisations permettent de découvrir la structure de l'organisation, d'identifier les administrateurs délégués et de vérifier le statut d'accès fiable.
La politique IAM suivante fournit les autorisations requises pour que Next Generation Resilience Hub puisse accéder aux ressources AWS des Organizations pour la gestion de la résilience multi-comptes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSResilienceHubOrganizationsReadStatement", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListDelegatedServicesForAccount", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots", "organizations:ListTagsForResource" ], "Resource": "*" } ] }
Mises à jour de Resilience Hub de nouvelle génération pour AWS stratégies gérées
Consultez les détails des mises à jour des politiques AWS gérées pour Next Generation Resilience Hub depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du document Resilience Hub de nouvelle génération.
| Modifier | Description | Date |
|---|---|---|
|
AWSResilienceHubServiceRolePolicy – Mise à jour d’une stratégie existante |
Resilience Hub de nouvelle génération a ajouté des autorisations AWS Organizations en lecture seule au. |
7 juillet 2026 |
|
AWSResilienceHubV2AssessmentExecutionPolicy : nouvelle politique |
Resilience Hub de nouvelle génération a ajouté une nouvelle politique visant à accorder des autorisations d'accès en lecture seule à d'autres AWS services pour la découverte, l'évaluation et la gestion de la résilience. |
18 juin 2026 |
|
Le Resilience Hub de nouvelle génération a commencé à suivre les changements |
Le Resilience Hub de nouvelle génération a commencé à suivre les modifications apportées AWS à ses politiques gérées. |
18 juin 2026 |