View a markdown version of this page

AWS politiques gérées pour Next Generation Resilience Hub - AWS Centre de résilience

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour Next Generation Resilience Hub

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'un nouveau AWS service est lancé ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

AWSResilienceHubV2AssessmentExecutionPolicy

Vous pouvez les associer AWSResilienceHubV2AssessmentExecutionPolicy à vos identités IAM. Lors de l'exécution d'une évaluation, cette politique accorde des autorisations d'accès en lecture seule à d'autres AWS services pour la découverte, l'évaluation et la gestion de la résilience.

Détails de l’autorisation

Cette politique accorde des autorisations de lecture seule avec caractères génériques susceptibles d'inclure des informations sensibles dans la sortie.

Cette politique inclut les autorisations suivantes :

  • Amazon CloudWatch (CloudWatch) — Fournit Describe List et autorise les CloudWatch ressources associées à votre AWS compte. Get

  • AWS CloudFormation — Get Fournit Describe et List autorise les AWS CloudFormation ressources associées à votre AWS compte.

  • Amazon Elastic Compute Cloud (Amazon EC2) — Fournit des autorisations Describe spécifiques pour les ressources Amazon EC2 associées à votre compte. AWS

  • Amazon Elastic Container Service (Amazon ECS) — Describe Fournit List et autorise les ressources Amazon ECS associées AWS à votre compte.

  • Amazon Elastic Kubernetes Service (Amazon EKS) : Describe fournit List et autorise les ressources Amazon EKS associées à votre compte. AWS

  • Amazon Elastic Container Registry (Amazon ECR) : fournit Describe des autorisations pour les ressources Amazon ECR associées à votre compte. AWS

  • Amazon Elastic File System (Amazon EFS) : fournit Describe des autorisations pour les ressources Amazon EFS associées à votre AWS compte.

  • Amazon ElastiCache (ElastiCache) — Fournit Describe des autorisations pour les ElastiCache ressources associées à votre AWS compte.

  • Elastic Load Balancing : fournit Describe des autorisations pour les ressources Elastic Load Balancing associées à votre AWS compte.

  • Amazon DynamoDB (DynamoDB) : Describe fournit List et autorise les ressources DynamoDB associées à votre compte. AWS

  • Amazon RDS : fournit des Describe autorisations pour les ressources Amazon RDS associées à votre AWS compte.

  • Amazon DocumentDB : fournit Describe et autorise List les ressources Amazon DocumentDB associées à votre compte. AWS

  • AWS Lambda (Lambda) — Fournit des List autorisations Get et des autorisations spécifiques pour les ressources Lambda associées à votre compte. AWS

  • AWS Step Functions — Fournit Describe List et autorise les AWS Step Functions ressources associées à votre AWS compte.

  • IAM — Fournit des List autorisations Get et des autorisations spécifiques pour les ressources IAM associées à votre AWS compte.

  • Amazon Simple Notification Service (Amazon SNS) : Get fournit List et autorise les ressources Amazon SNS associées à votre compte. AWS

  • Amazon Simple Queue Service (Amazon SQS) : Get fournit List et autorise les ressources Amazon SQS associées à votre compte. AWS

  • Amazon Simple Storage Service (Amazon S3) — Get Fournit List et autorise les ressources Amazon S3 associées AWS à votre compte. Les autorisations Amazon S3 figurant dans le AWSResilienceHubS3AccessStatement sont limitées aux ressources du même compte à l'aide de la clé de aws:ResourceAccount condition.

  • Amazon Route 53 (Route 53) — Fournit Get des List autorisations pour les ressources Route 53, y compris les ressources Route 53 Application Recovery Controller, associées à votre AWS compte.

  • Amazon EC2 Systems Manager (SSM) : Describe fournit Get et autorise les ressources SSM associées à votre compte. AWS

  • Amazon EC2 Auto Scaling : Describe fournit des autorisations pour les ressources Amazon EC2 Auto Scaling associées à votre compte. AWS

  • AWS Backup — Get Fournit Describe et List autorise les AWS Backup ressources associées à votre AWS compte.

  • Reprise après sinistre AWS Elastic (Elastic Disaster Recovery) — Fournit Describe des autorisations pour les ressources Elastic Disaster Recovery associées à votre AWS compte.

  • AWS Fault Injection Service (AWS FIS) — Fournit Get List des autorisations pour les AWS FIS expériences et les modèles d'expériences associés à votre AWS compte.

  • Amazon FSx for Windows File Server (Amazon FSx) : fournit des Describe autorisations pour les ressources Amazon FSx associées à votre compte. AWS

  • Amazon Data Lifecycle Manager : fournit Get des autorisations pour les ressources Amazon Data Lifecycle Manager associées à votre AWS compte.

  • AWS DataSync — Fournit Describe List et autorise les AWS DataSync ressources associées à votre AWS compte.

  • Groupes de ressources AWS (Resource Groups) — List Fournit Get et autorise les ressources Resource Groups associées à votre AWS compte.

  • AWS Service Catalog (Service Catalog) — List Fournit Get et autorise les ressources Service Catalog associées à votre AWS compte.

  • Amazon API Gateway : fournit des GET autorisations limitées à des modèles d'ARN de ressources spécifiques pour les API REST, les API HTTP, les plans d'utilisation et les noms de domaine.

  • Amazon Kinesis : fournit Describe et autorise List les ressources Kinesis associées à votre compte. AWS

  • Amazon Kinesis Data Firehose Describe : List fournit des ressources Kinesis Data Firehose associées à votre compte et autorise ces ressources. AWS

  • Amazon EventBridge — Fournit Describe List et autorise les EventBridge ressources associées à votre AWS compte.

  • Amazon MSK — Fournit Describe et autorise List les ressources Amazon MSK et MSK Connect associées AWS à votre compte. Get

  • Amazon MemoryDB — Fournit des Describe autorisations pour les ressources MemoryDB associées à votre compte. AWS

  • Amazon Redshift : fournit des Describe autorisations pour les ressources Redshift associées à votre compte. AWS

  • AWS Global Accelerator — List Fournit Describe et autorise les ressources Global Accelerator associées à votre AWS compte.

  • AWS Network Firewall : fournit Describe List et autorise les ressources Network Firewall associées à votre AWS compte.

  • AWS Shield — List Fournit Describe et autorise les ressources Shield associées à votre AWS compte.

  • AWS WAF V2 — Fournit Get List et autorise les ressources WAF V2 associées à votre AWS compte.

  • AWS Resource Access Manager — Fournit Get des List autorisations pour les ressources RAM associées à votre AWS compte.

  • Amazon VPC Lattice — Fournit des autorisations List pour Get les ressources VPC Lattice associées à votre compte. AWS

  • AWS Config — List Fournit Describe et autorise les ressources de configuration associées à votre AWS compte.

  • Amazon CloudFront — Fournit Get List et autorise les CloudFront ressources associées à votre AWS compte.

  • AWS Secrets Manager : fournit Describe des List ressources de Secrets Manager associées à votre AWS compte et autorise ces ressources.

  • AWS Service d'annuaire : fournit Describe des autorisations pour les ressources du service d'annuaire associées à votre AWS compte.

  • Amazon DSQL — Fournit Get List et autorise les ressources DSQL associées à votre AWS compte.

  • Amazon QLDB — Describe Fournit et autorise List les ressources QLDB associées à votre compte. AWS

  • AWS Certificate Manager — Fournit Describe et List autorise les ressources ACM associées à votre AWS compte. Get

  • Application Auto Scaling : fournit Describe des autorisations pour les ressources Application Auto Scaling associées à votre AWS compte.

  • Incidents SSM — Fournit Get List et autorise les ressources relatives aux incidents SSM associées à votre AWS compte.

  • Tag — Permet GetResources d'interroger les ressources étiquetées associées à votre AWS compte.

La politique IAM suivante fournit les autorisations requises pour que Next Generation Resilience Hub puisse accéder à d'autres AWS services lors de l'exécution d'évaluations.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSResilienceHubV2ReadResourceConfigStatement", "Effect": "Allow", "Action": [ "acm:DescribeCertificate", "acm:GetCertificate", "acm:ListCertificates", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingPolicies", "arc-region-switch:GetRegionSwitchStatus", "arc-region-switch:ListRegionSwitchAZSummaries", "arc-zonal-shift:GetManagedResource", "arc-zonal-shift:ListManagedResources", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "backup:DescribeBackupVault", "backup:GetBackupPlan", "backup:GetBackupSelection", "backup:ListBackupPlans", "backup:ListBackupSelections", "cloudformation:DescribeStacks", "cloudformation:GetTemplate", "cloudformation:ListStackResources", "cloudfront:GetDistribution", "cloudfront:ListDistributions", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "config:DescribeConfigRules", "config:ListDiscoveredResources", "datasync:DescribeTask", "datasync:ListLocations", "datasync:ListTasks", "dlm:GetLifecyclePolicies", "dlm:GetLifecyclePolicy", "docdb-elastic:GetCluster", "docdb-elastic:ListClusters", "drs:DescribeJobs", "drs:DescribeSourceServers", "drs:GetReplicationConfiguration", "ds:DescribeDirectories", "dsql:GetCluster", "dsql:ListClusters", "dynamodb:DescribeContinuousBackups", "dynamodb:DescribeGlobalTable", "dynamodb:DescribeTable", "dynamodb:ListGlobalTables", "dynamodb:ListTagsOfResource", "ec2:DescribeAvailabilityZones", "ec2:DescribeFastSnapshotRestores", "ec2:DescribeFleets", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeRegions", "ec2:DescribeSnapshots", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:DescribeRepositories", "ecs:DescribeCapacityProviders", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeServices", "ecs:DescribeTaskDefinition", "ecs:ListContainerInstances", "ecs:ListServices", "eks:DescribeCluster", "eks:DescribeFargateProfile", "eks:DescribeNodegroup", "eks:ListFargateProfiles", "eks:ListNodegroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeGlobalReplicationGroups", "elasticache:DescribeReplicationGroups", "elasticache:DescribeSnapshots", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:DescribeReplicationConfigurations", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "events:DescribeEventBus", "events:DescribeRule", "events:ListRules", "events:ListTargets", "firehose:DescribeDeliveryStream", "firehose:ListDeliveryStreams", "fis:GetExperiment", "fis:GetExperimentTemplate", "fis:ListExperimentTemplates", "fis:ListExperiments", "fsx:DescribeFileSystems", "globalaccelerator:DescribeAccelerator", "globalaccelerator:DescribeEndpointGroup", "globalaccelerator:DescribeListener", "globalaccelerator:ListAccelerators", "globalaccelerator:ListEndpointGroups", "globalaccelerator:ListListeners", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "iam:ListAttachedRolePolicies", "kafka:DescribeCluster", "kafka:DescribeClusterV2", "kafka:GetBootstrapBrokers", "kafka:ListClusters", "kafka:ListClustersV2", "kafkaconnect:DescribeConnector", "kafkaconnect:ListConnectors", "kinesis:DescribeStream", "kinesis:ListStreams", "lambda:GetFunctionConcurrency", "lambda:GetFunctionConfiguration", "lambda:ListAliases", "lambda:ListEventSourceMappings", "lambda:ListFunctionEventInvokeConfigs", "lambda:ListVersionsByFunction", "memorydb:DescribeClusters", "memorydb:DescribeMultiRegionClusters", "network-firewall:DescribeFirewall", "network-firewall:DescribeFirewallPolicy", "network-firewall:ListFirewallPolicies", "network-firewall:ListFirewalls", "qldb:DescribeLedger", "qldb:ListLedgers", "ram:GetResourceShareAssociations", "ram:ListResources", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBInstanceAutomatedBackups", "rds:DescribeDBInstances", "rds:DescribeDBProxies", "rds:DescribeDBSnapshots", "rds:DescribeGlobalClusters", "redshift:DescribeClusterSnapshots", "redshift:DescribeClusters", "resource-groups:GetGroup", "resource-groups:ListGroupResources", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:ListHealthChecks", "route53:ListHostedZones", "route53:ListResourceRecordSets", "route53-recovery-control-config:ListClusters", "route53-recovery-control-config:ListControlPanels", "route53-recovery-control-config:ListRoutingControls", "route53-recovery-readiness:GetReadinessCheckStatus", "route53-recovery-readiness:GetResourceSet", "route53-recovery-readiness:ListReadinessChecks", "route53resolver:ListFirewallRuleGroupAssociations", "route53resolver:ListResolverEndpoints", "route53resolver:ListResolverRules", "s3:ListBucket", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets", "servicecatalog:GetApplication", "servicecatalog:ListAssociatedResources", "shield:DescribeProtection", "shield:ListProtections", "sns:GetTopicAttributes", "sns:ListSubscriptionsByTopic", "sns:ListTopics", "sqs:GetQueueAttributes", "sqs:ListQueues", "ssm:DescribeAutomationExecutions", "ssm:GetDocument", "ssm:GetParametersByPath", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListReplicationSets", "ssm-incidents:ListResponsePlans", "states:DescribeStateMachine", "states:ListStateMachines", "tag:GetResources", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListServices", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListTargetGroups", "wafv2:GetWebACL", "wafv2:ListWebACLs" ], "Resource": "*" }, { "Sid": "AWSResilienceHubApiGatewayStatement", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/domainnames/*" ] }, { "Sid": "AWSResilienceHubS3AccessStatement", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketObjectLockConfiguration", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetMultiRegionAccessPointRoutes", "s3:GetReplicationConfiguration", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

AWSResilienceHubServiceRolePolicy

AWSResilienceHubServiceRolePolicyIl s'agit d'une politique de rôle lié au service (SLR). Vous ne pouvez pas associer cette politique à vos entités IAM. Le Resilience Hub de nouvelle génération crée automatiquement ce rôle lié au service lorsque vous activez le support des AWS Organisations pour la gestion de la résilience multi-comptes. Ce rôle fait confiance au directeur du resiliencehub.amazonaws.com service.

Pour plus d'informations sur les rôles liés à un service pour AWS Resilience Hub, voir Utilisation de rôles liés à un service pour Resilience Hub. AWS

Détails de l’autorisation

Grâce à cette politique, Next Generation Resilience Hub peut accéder aux informations des AWS organisations en lecture seule pour la gestion de la résilience multi-comptes.

Cette politique inclut les autorisations suivantes :

  • AWS Organizations — Fournit des ressources List aux organisations Describe et autorise ces ressources. Ces autorisations permettent de découvrir la structure de l'organisation, d'identifier les administrateurs délégués et de vérifier le statut d'accès fiable.

La politique IAM suivante fournit les autorisations requises pour que Next Generation Resilience Hub puisse accéder aux ressources AWS des Organizations pour la gestion de la résilience multi-comptes.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSResilienceHubOrganizationsReadStatement", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListDelegatedServicesForAccount", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots", "organizations:ListTagsForResource" ], "Resource": "*" } ] }

Mises à jour de Resilience Hub de nouvelle génération pour AWS stratégies gérées

Consultez les détails des mises à jour des politiques AWS gérées pour Next Generation Resilience Hub depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du document Resilience Hub de nouvelle génération.

Modifier Description Date

AWSResilienceHubServiceRolePolicy – Mise à jour d’une stratégie existante

Resilience Hub de nouvelle génération a ajouté des autorisations AWS Organizations en lecture seule au. AWSResilienceHubServiceRolePolicy Ces autorisations permettent de gérer la résilience de plusieurs comptes, notamment en découvrant la structure de l'organisation, en identifiant les administrateurs délégués et en vérifiant le statut d'accès fiable.

7 juillet 2026

AWSResilienceHubV2AssessmentExecutionPolicy : nouvelle politique

Resilience Hub de nouvelle génération a ajouté une nouvelle politique visant à accorder des autorisations d'accès en lecture seule à d'autres AWS services pour la découverte, l'évaluation et la gestion de la résilience.

18 juin 2026

Le Resilience Hub de nouvelle génération a commencé à suivre les changements

Le Resilience Hub de nouvelle génération a commencé à suivre les modifications apportées AWS à ses politiques gérées.

18 juin 2026