AWS kebijakan terkelola untuk AMS Accelerate - Panduan Pengguna AMS Accelerate
AlarmManagerPermissionsBoundaryDetective mengontrol kebijakan terkelola konfigurasiKebijakan terkelola toolkit penerapanKebijakan terkelola layanan acaraKebijakan terkelola kontakPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk AMS Accelerate

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

Untuk tabel perubahan, lihatMempercepat pembaruan kebijakan AWS terkelola.

AWS kebijakan terkelola: AWSManagedServices_AlarmManagerPermissionsBoundary

AWS Managed Services (AMS) menggunakan kebijakan AWSManagedServices_AlarmManagerPermissionsBoundary AWS terkelola. Kebijakan AWS-managed ini digunakan di AWSManagedServices_AlarmManager _ ServiceRolePolicy untuk membatasi izin peran IAM yang dibuat oleh. AWSServiceRoleForManagedServices_AlarmManager

Kebijakan ini memberikan peran IAM yang dibuat sebagai bagian dariBagaimana Manajer Alarm bekerja, izin untuk melakukan operasi seperti evaluasi Config AWS , AWS Config read untuk mengambil konfigurasi Alarm Manager, dan pembuatan alarm Amazon yang diperlukan. CloudWatch

AWSManagedServices_AlarmManagerPermissionsBoundaryKebijakan ini dilampirkan pada peran AWSServiceRoleForManagedServices_DetectiveControlsConfig terkait layanan. Untuk pembaruan peran ini, lihatMempercepat pembaruan ke peran terkait layanan.

Anda dapat melampirkan kebijakan ini ke identitas IAM Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

  • AWS Config— Memungkinkan izin untuk mengevaluasi aturan konfigurasi dan memilih konfigurasi sumber daya.

  • AWS AppConfig— Memungkinkan izin untuk mengambil konfigurasi AlarmManager .

  • Amazon S3— Memungkinkan izin untuk mengoperasikan AlarmManager ember dan objek.

  • Amazon CloudWatch— Memungkinkan izin untuk membaca dan menempatkan alarm dan metrik yang AlarmManager dikelola.

  • AWS Resource Groups and Tags— Memungkinkan izin untuk membaca tag sumber daya.

  • Amazon EC2— Memungkinkan izin untuk membaca EC2 sumber daya Amazon.

  • Amazon Redshift— Memungkinkan izin untuk membaca instance dan cluster Redshift.

  • Amazon FSx— Memungkinkan izin untuk menggambarkan sistem file, volume, dan tag sumber daya.

  • Amazon CloudWatch Synthetics— Memungkinkan izin untuk membaca sumber daya Synthetics.

  • Amazon Elastic Kubernetes Service— Memungkinkan izin untuk mendeskripsikan kluster Amazon EKS.

  • Amazon ElastiCache— Memungkinkan izin untuk menggambarkan sumber daya.

Anda dapat mengunduh file kebijakan di ZIP ini: RecommendedPermissionBoundary.zip.

AWS kebijakan terkelola: AWSManagedServices_DetectiveControlsConfig _ ServiceRolePolicy

AWS Managed Services (AMS) menggunakan kebijakan AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS terkelola. Kebijakan AWS-managed ini dilampirkan ke peran AWSServiceRoleForManagedServices_DetectiveControlsConfig terkait layanan, (lihat). Detektif mengontrol peran terkait layanan untuk AMS Accelerate Untuk pembaruan peran AWSServiceRoleForManagedServices_DetectiveControlsConfig terkait layanan, lihat. Mempercepat pembaruan ke peran terkait layanan

Kebijakan ini memungkinkan peran terkait layanan untuk menyelesaikan tindakan untuk Anda.

Anda dapat melampirkan ServiceRolePolicy kebijakan AWSManagedServices_DetectiveControlsConfig _ ke entitas IAM Anda.

Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AMS Accelerate.

Detail izin

Kebijakan ini memiliki izin berikut untuk mengizinkan Kontrol AWS Managed Services Detektif menerapkan dan mengonfigurasi semua sumber daya yang diperlukan.

  • CloudFormation— Memungkinkan Kontrol Detektif AMS untuk menyebarkan CloudFormation tumpukan dengan sumber daya seperti bucket s3, aturan konfigurasi, dan perekam konfigurasi.

  • AWS Config— Memungkinkan Kontrol Detektif AMS untuk membuat aturan konfigurasi AMS, mengonfigurasi agregator, dan menandai sumber daya.

  • Amazon S3— memungkinkan AMS Detective Controls untuk mengelola bucket s3-nya.

Anda dapat mengunduh file kebijakan JSON di ZIP ini: DetectiveControlsConfig_ ServiceRolePolicy .zip.

AWS kebijakan terkelola: AWSManaged ServicesDeploymentToolkitPolicy

AWS Managed Services (AMS) menggunakan kebijakan AWSManagedServicesDeploymentToolkitPolicy AWS terkelola. Kebijakan AWS-managed ini dilampirkan ke peran AWSServiceRoleForAWSManagedServicesDeploymentToolkit terkait layanan, (lihat). Peran terkait layanan toolkit penerapan untuk AMS Accelerate Kebijakan ini memungkinkan peran terkait layanan untuk menyelesaikan tindakan untuk Anda. Anda tidak dapat melampirkan kebijakan ini ke entitas IAM Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AMS Accelerate.

Untuk pembaruan peran AWSServiceRoleForManagedServicesDeploymentToolkitPolicy terkait layanan, lihat. Mempercepat pembaruan ke peran terkait layanan

Detail izin

Kebijakan ini memiliki izin berikut untuk mengizinkan Kontrol AWS Managed Services Detektif menerapkan dan mengonfigurasi semua sumber daya yang diperlukan.

  • CloudFormation— Memungkinkan AMS Deployment Toolkit untuk menyebarkan tumpukan CFN dengan sumber daya S3 yang dibutuhkan oleh CDK.

  • Amazon S3— memungkinkan AMS Deployment Toolkit untuk mengelola bucket S3-nya.

  • Elastic Container Registry— memungkinkan AMS Deployment Toolkit untuk mengelola repositori ECR yang digunakan untuk menyebarkan aset yang dibutuhkan oleh aplikasi AMS CDK.

Anda dapat mengunduh file kebijakan JSON di ZIP ini: AWSManagedServicesDeploymentToolkitPolicy.zip.

AWS kebijakan terkelola: AWSManagedServices_EventsServiceRolePolicy

AWS Managed Services (AMS) menggunakan kebijakan terkelola AWSManagedServices_EventsServiceRolePolicy AWS. Kebijakan AWS-managed ini dilampirkan ke peran AWSServiceRoleForManagedServices_Eventsterkait layanan. Kebijakan ini memungkinkan peran terkait layanan untuk menyelesaikan tindakan untuk Anda. Anda tidak dapat melampirkan kebijakan ini ke entitas IAM Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AMS Accelerate.

Untuk pembaruan peran AWSServiceRoleForManagedServices_Events terkait layanan, lihat. Mempercepat pembaruan ke peran terkait layanan

Detail izin

Kebijakan ini memiliki izin berikut untuk mengizinkan Amazon EventBridge mengirimkan informasi perubahan status alarm dari akun Anda ke AWS Managed Services.

  • events— Memungkinkan Accelerate untuk membuat aturan EventBridge terkelola Amazon. Aturan ini adalah infrastruktur yang diperlukan dalam Anda Akun AWS untuk mengirimkan informasi perubahan status alarm dari akun Anda ke AWS Managed Services.

Anda dapat mengunduh file kebijakan JSON di ZIP ini: EventsServiceRolePolicy.zip.

AWS kebijakan terkelola: AWSManagedServices_ContactsServiceRolePolicy

AWS Managed Services (AMS) menggunakan kebijakan terkelola AWSManagedServices_ContactsServiceRolePolicy AWS. Kebijakan AWS-managed ini dilampirkan ke peran AWSServiceRoleForManagedServices_Contacts terkait layanan, (lihat). Membuat SLR Kontak untuk AMS Accelerate Kebijakan ini memungkinkan AMS Contacts SLR untuk melihat tag sumber daya Anda, dan nilainya, pada sumber daya AWS. Anda tidak dapat melampirkan kebijakan ini ke entitas IAM Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AMS Accelerate.

penting

Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. AMS menggunakan tag untuk memberi Anda layanan administrasi. Tag tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

Untuk pembaruan peran AWSServiceRoleForManagedServices_Contacts terkait layanan, lihat. Mempercepat pembaruan ke peran terkait layanan

Detail izin

Kebijakan ini memiliki izin berikut untuk mengizinkan SLR Kontak membaca tag sumber daya Anda untuk mengambil informasi kontak sumber daya yang telah Anda siapkan sebelumnya.

  • IAM— Memungkinkan layanan Kontak untuk melihat tag pada Peran IAM dan pengguna IAM.

  • Amazon EC2— Memungkinkan layanan Kontak untuk melihat tag pada EC2 sumber daya Amazon.

  • Amazon S3— Memungkinkan Layanan Kontak untuk melihat tag di ember Amazon S3. Tindakan ini menggunakan Kondisi untuk memastikan AMS mengakses tag bucket Anda menggunakan header Otorisasi HTTP, menggunakan protokol tanda tangan SiGv4, dan menggunakan HTTPS dengan TLS 1.2 atau yang lebih baru. Untuk informasi selengkapnya, lihat Metode Otentikasi dan Kunci Kebijakan Khusus Autentikasi Amazon S3 Signature Version 4.

  • Tag— Memungkinkan layanan Kontak untuk melihat tag pada AWS sumber daya lain.

  • “saya: ListRoleTags “, “saya: “, ListUserTags “tag: “, GetResources “tag: “, GetTagKeys “tag: “, GetTagValues “ec2: “, DescribeTags “s3:” GetBucketTagging

Anda dapat mengunduh file kebijakan JSON di ZIP ini: ContactsServicePolicy.zip.

Mempercepat pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Accelerate sejak layanan ini mulai melacak perubahan ini.

Ubah Deskripsi Tanggal

Kebijakan yang diperbarui - Deployment Toolkit

  • Izin baru ini ditambahkan untuk sumber dayaarn:aws:ecr:*:*:repository/ams-cdktoolkit*:

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 April 4, 2024

Kebijakan yang diperbarui - Deployment Toolkit

  • Izin baru ini ditambahkan untuk sumber dayaarn:aws:cloudformation:*:*:stack/ams-cdk-toolkit*:

    cloudformation:DeleteChangeSet

cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • Izin baru ini ditambahkan untuk sumber dayaarn:aws:ecr:*:*:repository/ams-cdktoolkit*:

    ecr:CreateRepository

ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • Juga, beberapa tindakan yang ada dengan wildcard dicakup ke tindakan individu:

    - s3:DeleteObject*

+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 9 Mei 2023

Kebijakan yang diperbarui — Detective Controls

  • CloudFormation Tindakan telah dicakup lebih lanjut setelah konfirmasi dengan tim keamanan dan akses

  • Tindakan Lambda telah dihapus dari kebijakan karena tidak berdampak pada boarding onboarding/off

10 April 2023

Kebijakan yang diperbarui — Detective Controls

ListAttachedRolePoliciesTindakan dihapus dari kebijakan. Tindakan tersebut memiliki Resource sebagai wildcard (*). Karena “daftar” adalah tindakan non-mutatif, itu diberikan akses ke semua sumber daya, dan wildcard tidak diizinkan.

 Maret 28, 2023

Kebijakan yang diperbarui — Detective Controls

Memperbarui kebijakan dan menambahkan kebijakan batas izin.

 21 Maret 2023

Kebijakan baru - Layanan Kontak

Accelerate menambahkan kebijakan baru untuk melihat informasi kontak akun Anda dari tag sumber daya Anda.

Accelerate menambahkan kebijakan baru untuk membaca tag sumber daya Anda sehingga dapat mengambil informasi kontak sumber daya yang telah Anda siapkan sebelumnya.

 16 Februari 2023

Kebijakan baru - Layanan Acara

Accelerate menambahkan kebijakan baru untuk mengirimkan informasi perubahan status alarm dari akun Anda ke AWS Managed Services.

Memberikan peran IAM yang dibuat sebagai bagian dari Bagaimana Manajer Alarm bekerja izin untuk membuat aturan terkelola Amazon EventBridge yang diperlukan.

 Februari 07, 2023

Kebijakan yang diperbarui - Deployment Toolkit

Menambahkan izin S3 untuk mendukung offboarding pelanggan dari Accelerate.

 30 Januari 2023

Kebijakan baru — Detective Controls

Memungkinkan peran terkait layanan,Detektif mengontrol peran terkait layanan untuk AMS Accelerate, untuk menyelesaikan tindakan bagi Anda untuk menerapkan Mempercepat kontrol detektif.

 19 Desember 2022

Kebijakan baru - Manajer Alarm

Accelerate menambahkan kebijakan baru untuk mengizinkan izin menjalankan tugas pengelola alarm.

Memberikan peran IAM yang dibuat sebagai bagian dari Bagaimana Manajer Alarm bekerja izin untuk melakukan operasi seperti evaluasi Config AWS , AWS Config read to fetch alarm manager configuration, pembuatan alarm Amazon yang diperlukan. CloudWatch

30 November 2022

Mempercepat mulai melacak perubahan

Accelerate mulai melacak perubahan untuk kebijakan yang AWS dikelola.

 30 November 2022

Kebijakan baru - Deployment Toolkit

Accelerate menambahkan kebijakan ini untuk tugas penerapan.

Memberikan AWSServiceRoleForAWSManagedServicesDeploymentToolkitizin peran terkait layanan untuk mengakses dan memperbarui bucket dan tumpukan Amazon S3 terkait penerapan. AWS CloudFormation

Juni 09, 2022