AWS politiche gestite per AMS Accelerate - Guida utente di AMS Accelerate
AlarmManagerPermissionsBoundaryDetective controlla la configurazione e la politica gestitaPolitica gestita dal toolkit di implementazionePolitica gestita del servizio di eventiPolitica di gestione dei contattiAggiornamenti alle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per AMS Accelerate

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.

Per una tabella delle modifiche, vedereAccelera gli aggiornamenti delle policy AWS gestite.

AWS politica gestita: AWSManagedServices_AlarmManagerPermissionsBoundary

AWS Managed Services (AMS) utilizza la politica AWSManagedServices_AlarmManagerPermissionsBoundary AWS gestita. Questa politica AWS gestita viene utilizzata in AWSManagedServices_AlarmManager _ ServiceRolePolicy per limitare le autorizzazioni dei ruoli IAM creati da. AWSServiceRoleForManagedServices_AlarmManager

Questa policy concede ai ruoli IAM creati come parte diCome funziona Alarm Manager, le autorizzazioni per eseguire operazioni come la AWS valutazione di Config, la lettura di AWS Config per recuperare la configurazione di Alarm Manager e la creazione degli allarmi Amazon necessari. CloudWatch

La AWSManagedServices_AlarmManagerPermissionsBoundary policy è allegata al ruolo collegato al servizio. AWSServiceRoleForManagedServices_DetectiveControlsConfig Per gli aggiornamenti a questo ruolo, consulta. Accelera gli aggiornamenti ai ruoli collegati ai servizi

Puoi allegare questa policy alle tue identità IAM.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • AWS Config— Consente le autorizzazioni per valutare le regole di configurazione e selezionare la configurazione delle risorse.

  • AWS AppConfig— Consente le autorizzazioni per recuperare la configurazione. AlarmManager

  • Amazon S3— Consente le autorizzazioni per utilizzare AlarmManager bucket e oggetti.

  • Amazon CloudWatch— Consente le autorizzazioni per leggere e inserire allarmi e AlarmManager metriche gestiti.

  • AWS Resource Groups and Tags— Consente le autorizzazioni per leggere i tag delle risorse.

  • Amazon EC2— Consente le autorizzazioni per leggere le EC2 risorse di Amazon.

  • Amazon Redshift— Consente le autorizzazioni per leggere le istanze e i cluster Redshift.

  • Amazon FSx— Consente le autorizzazioni per descrivere file system, volumi e tag di risorse.

  • Amazon CloudWatch Synthetics— Consente le autorizzazioni per leggere le risorse Synthetics.

  • Amazon Elastic Kubernetes Service— Consente le autorizzazioni per descrivere il cluster Amazon EKS.

  • Amazon ElastiCache— Consente le autorizzazioni per descrivere le risorse.

È possibile scaricare il file di policy in questo file ZIP: RecommendedPermissionBoundary.zip.

AWS politica gestita: _ AWSManagedServices_DetectiveControlsConfig ServiceRolePolicy

AWS Managed Services (AMS) utilizza la politica AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS gestita. Questa politica AWS gestita è allegata al ruolo AWSServiceRoleForManagedServices_DetectiveControlsConfig collegato al servizio (vedi). Detective controlla il ruolo collegato ai servizi per AMS Accelerate Per gli aggiornamenti al ruolo collegato al AWSServiceRoleForManagedServices_DetectiveControlsConfig servizio, consulta. Accelera gli aggiornamenti ai ruoli collegati ai servizi

La policy consente al ruolo collegato al servizio di completare le azioni al posto tuo.

Puoi allegare la ServiceRolePolicy policy AWSManagedServices_DetectiveControlsConfig _ alle tue entità IAM.

Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AMS Accelerate.

Dettagli dell'autorizzazione

Questa politica dispone delle seguenti autorizzazioni per consentire a AWS Managed Services Detective Controls di distribuire e configurare tutte le risorse necessarie.

  • CloudFormation— Consente ad AMS Detective Controls di implementare CloudFormation stack con risorse come bucket s3, regole di configurazione e config-recorder.

  • AWS Config— Consente ad AMS Detective Controls di creare regole di configurazione AMS, configurare un aggregatore e taggare le risorse.

  • Amazon S3— consente ad AMS Detective Controls di gestire i suoi bucket s3.

Puoi scaricare il file di policy JSON in questo ZIP: DetectiveControlsConfig _ .zip. ServiceRolePolicy

AWS politica gestita: AWSManaged ServicesDeploymentToolkitPolicy

AWS Managed Services (AMS) utilizza la politica AWSManagedServicesDeploymentToolkitPolicy AWS gestita. Questa politica AWS gestita è allegata al ruolo AWSServiceRoleForAWSManagedServicesDeploymentToolkit collegato al servizio (vedi). Ruolo collegato ai servizi del toolkit di implementazione per AMS Accelerate La policy consente al ruolo collegato al servizio di completare le azioni al posto tuo. Non è possibile attribuire questa policy alle entità IAM. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AMS Accelerate.

Per gli aggiornamenti al ruolo AWSServiceRoleForManagedServicesDeploymentToolkitPolicy collegato al servizio, consulta. Accelera gli aggiornamenti ai ruoli collegati ai servizi

Dettagli dell'autorizzazione

Questa politica dispone delle seguenti autorizzazioni per consentire a AWS Managed Services Detective Controls di distribuire e configurare tutte le risorse necessarie.

  • CloudFormation— Consente ad AMS Deployment Toolkit di implementare stack CFN con le risorse S3 richieste da CDK.

  • Amazon S3— consente ad AMS Deployment Toolkit di gestire i propri bucket S3.

  • Elastic Container Registry— consente ad AMS Deployment Toolkit di gestire il proprio repository ECR utilizzato per distribuire le risorse necessarie alle app AMS CDK.

Puoi scaricare il file di policy JSON in questo ZIP: .zip. AWSManaged ServicesDeploymentToolkitPolicy

AWS politica gestita: AWSManagedServices_EventsServiceRolePolicy

AWS Managed Services (AMS) utilizza la policy gestita da AWSManagedServices_EventsServiceRolePolicy AWS. Questa policy AWS gestita è allegata al ruolo collegato al AWSServiceRoleForManagedServices_Eventsservizio. La policy consente al ruolo collegato al servizio di completare le azioni al posto tuo. Non è possibile attribuire questa policy alle entità IAM. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AMS Accelerate.

Per gli aggiornamenti al ruolo AWSServiceRoleForManagedServices_Events collegato al servizio, consulta. Accelera gli aggiornamenti ai ruoli collegati ai servizi

Dettagli dell'autorizzazione

Questa policy dispone delle seguenti autorizzazioni per consentire ad Amazon di EventBridge fornire informazioni sulla modifica dello stato di allarme dal tuo account ad AWS Managed Services.

  • events— Consente ad Accelerate di creare regole EventBridge gestite da Amazon. Questa regola è l'infrastruttura necessaria Account AWS per fornire informazioni sulla modifica dello stato di allarme dal tuo account a AWS Managed Services.

Puoi scaricare il file di policy JSON in questo ZIP: EventsServiceRolePolicy.zip.

AWS politica gestita: AWSManagedServices_ContactsServiceRolePolicy

AWS Managed Services (AMS) utilizza la policy gestita da AWSManagedServices_ContactsServiceRolePolicy AWS. Questa policy AWS gestita è allegata al ruolo AWSServiceRoleForManagedServices_Contacts collegato al servizio (vedi). Creazione di una SLR con contatti per AMS Accelerate La policy consente ad AMS Contacts SLR di esaminare i tag delle risorse e i relativi valori sulle risorse AWS. Non è possibile attribuire questa policy alle entità IAM. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AMS Accelerate.

Importante

Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. AMS utilizza i tag per fornirti servizi di amministrazione. I tag non sono destinati ad essere utilizzati per dati privati o sensibili.

Per gli aggiornamenti al ruolo AWSServiceRoleForManagedServices_Contacts collegato al servizio, consulta. Accelera gli aggiornamenti ai ruoli collegati ai servizi

Dettagli dell'autorizzazione

Questo criterio dispone delle seguenti autorizzazioni per consentire a Contacts SLR di leggere i tag delle risorse per recuperare le informazioni di contatto delle risorse che avete impostato in precedenza.

  • IAM— Consente al servizio Contacts di esaminare i tag sui ruoli IAM e sugli utenti IAM.

  • Amazon EC2— Consente al servizio Contatti di visualizzare i tag nelle EC2 risorse Amazon.

  • Amazon S3— Consente a Contacts Service di esaminare i tag sui bucket Amazon S3. Questa azione utilizza una condizione per garantire che AMS acceda ai tag bucket utilizzando l'intestazione HTTP Authorization, utilizzando il protocollo di firma SigV4 e utilizzando HTTPS con TLS 1.2 o versione successiva. Per ulteriori informazioni, consulta Metodi di autenticazione e chiavi di policy specifiche per l'autenticazione di Amazon S3 Signature versione 4.

  • Tag— Consente al servizio Contatti di visualizzare i tag su altre AWS risorse.

  • «iam: ListRoleTags «, «iam: ListUserTags «, «tag: GetResources «, «tag: GetTagKeys «, «tag: GetTagValues «, «ec2: DescribeTags «, «s3:» GetBucketTagging

Puoi scaricare il file di policy JSON in questo ZIP: .zip. ContactsServicePolicy

Accelera gli aggiornamenti delle policy AWS gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Accelerate da quando questo servizio ha iniziato a tenere traccia di queste modifiche.

Modifica Descrizione Data

Politica aggiornata — Deployment Toolkit

  • Queste nuove autorizzazioni sono state aggiunte per la risorsa: arn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 4 aprile 2024

Politica aggiornata — Deployment Toolkit

  • Queste nuove autorizzazioni sono state aggiunte per la risorsa: arn:aws:cloudformation:*:*:stack/ams-cdk-toolkit*

    cloudformation:DeleteChangeSet

cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • Queste nuove autorizzazioni sono state aggiunte per la risorsa: arn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:CreateRepository

ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • Inoltre, alcune azioni esistenti con caratteri jolly erano limitate a singole azioni:

    - s3:DeleteObject*

+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 9 maggio 2023

Politica aggiornata — Detective Controls

  • Le CloudFormation azioni sono state ulteriormente analizzate dopo la conferma con il team di sicurezza e accesso

  • Le azioni Lambda sono state rimosse dalla policy in quanto non influiscono sull'imbarco onboarding/off

10 aprile 2023

Politica aggiornata — Detective Controls

L'ListAttachedRolePoliciesazione viene rimossa dalla politica. L'azione aveva Resource come jolly (*). Poiché «list» è un'azione non mutativa, le viene dato accesso a tutte le risorse e il jolly non è consentito.

 28 marzo 2023

Politica aggiornata — Detective Controls

Aggiornato il criterio e aggiunto il criterio sui limiti delle autorizzazioni.

 21 marzo 2023

Nuova politica: Contacts Service

Accelerate ha aggiunto una nuova politica per esaminare le informazioni di contatto del tuo account nei tag delle risorse.

Accelerate ha aggiunto una nuova politica per leggere i tag delle risorse in modo da poter recuperare le informazioni di contatto delle risorse che avete impostato in precedenza.

 16 febbraio 2023

Nuova politica: Events Service

Accelerate ha aggiunto una nuova policy per fornire informazioni sulla modifica dello stato di allarme dal tuo account ad AWS Managed Services.

Concede i ruoli IAM creati come parte delle Come funziona Alarm Manager autorizzazioni per creare una regola EventBridge gestita Amazon richiesta.

 07 febbraio 2023

Politica aggiornata — Deployment Toolkit

Sono state aggiunte le autorizzazioni S3 per supportare l'offboarding dei clienti da Accelerate.

 30 gennaio 2023

Nuova politica — Detective Controls

Consente al ruolo collegato al servizio di completare le azioni necessarie all'implementazione di Accelerate detective Controls. Detective controlla il ruolo collegato ai servizi per AMS Accelerate

 19 dicembre 2022

Nuova politica: Alarm Manager

Accelerate ha aggiunto una nuova politica per consentire le autorizzazioni per eseguire attività di gestione degli allarmi.

Concede i ruoli IAM creati come parte delle Come funziona Alarm Manager autorizzazioni per eseguire operazioni come la AWS valutazione di Config, la lettura di AWS Config per la configurazione del gestore degli allarmi, la creazione degli allarmi Amazon necessari. CloudWatch

30 novembre 2022

Accelera, inizia a tracciare le modifiche

Accelerate ha iniziato a tracciare le modifiche per le sue politiche AWS gestite.

 30 novembre 2022

Nuova politica: Deployment Toolkit

Accelerate ha aggiunto questa politica per le attività di distribuzione.

Concede ai ruoli collegati al servizio le AWSServiceRoleForAWSManagedServicesDeploymentToolkitautorizzazioni per accedere e aggiornare i bucket e gli stack Amazon S3 relativi alla distribuzione. AWS CloudFormation

09 giugno 2022