AWS politiche gestite per AWS Resilience Hub - AWS Hub di resilienza
AWSResilienceHubAsssessmentExecutionPolicyAggiornamenti alle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per AWS Resilience Hub

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consulta Policy gestite da AWSnella Guida per l'utente di IAM.

AWSResilienceHubAsssessmentExecutionPolicy

Puoi collegarli AWSResilienceHubAsssessmentExecutionPolicy alle tue identità IAM. Durante l'esecuzione di una valutazione, questa policy concede le autorizzazioni di accesso ad altri AWS servizi per l'esecuzione delle valutazioni.

Dettagli dell'autorizzazione

Questa politica fornisce autorizzazioni adeguate per pubblicare allarmi AWS FIS e modelli SOP nel tuo bucket Amazon Simple Storage Service (Amazon S3). Il nome del bucket Amazon S3 deve iniziare con. aws-resilience-hub-artifacts- Se desideri pubblicare su un altro bucket Amazon S3, puoi farlo chiamando l'API. CreateRecommendationTemplate Per ulteriori informazioni, consulta CreateRecommendationTemplate.

Questa policy include le seguenti autorizzazioni:

  • Amazon CloudWatch (CloudWatch): riceve tutti gli allarmi implementati che configuri in Amazon CloudWatch per monitorare l'applicazione. Inoltre, pubblichiamo cloudwatch:PutMetricData le CloudWatch metriche per il punteggio di resilienza dell'applicazione nel namespace. ResilienceHub

  • Amazon Data Lifecycle Manager: ottiene e fornisce Describe le autorizzazioni per le risorse Amazon Data Lifecycle Manager associate al tuo account. AWS

  • Amazon DevOps Guru: elenca e fornisce Describe le autorizzazioni per le risorse Amazon DevOps Guru associate al tuo account. AWS

  • Amazon DocumentDB: elenca e fornisce Describe le autorizzazioni per le risorse Amazon DocumentDB associate al tuo account. AWS

  • Amazon DynamoDB (DynamoDB): elenca e fornisce le Describe autorizzazioni per le risorse Amazon DynamoDB associate al tuo account. AWS

  • Amazon ElastiCache (ElastiCache): fornisce Describe le autorizzazioni per ElastiCache le risorse associate al tuo AWS account.

  • Amazon ElastiCache (Redis OSS) Serverless (ElastiCache (Redis OSS) Serverless): fornisce Describe le autorizzazioni per le configurazioni serverless ElastiCache (Redis OSS) associate al tuo account. AWS

  • Amazon Elastic Compute Cloud (Amazon EC2): elenca e fornisce Describe le autorizzazioni per EC2 le risorse Amazon associate al tuo AWS account.

  • Amazon Elastic Container Registry (Amazon ECR): fornisce Describe le autorizzazioni per le risorse Amazon ECR associate al tuo account. AWS

  • Amazon Elastic Container Service (Amazon ECS) — Fornisce Describe le autorizzazioni per le risorse Amazon ECS associate al tuo account. AWS

  • Amazon Elastic File System (Amazon EFS): fornisce Describe autorizzazioni per le risorse Amazon EFS associate al tuo AWS account.

  • Amazon Elastic Kubernetes Service (Amazon EKS): elenca e Describe fornisce le autorizzazioni per le risorse Amazon EKS associate al tuo account. AWS

  • Amazon EC2 Auto Scaling: elenca e fornisce le Describe autorizzazioni per le risorse Amazon EC2 Auto Scaling associate al tuo account. AWS

  • Amazon EC2 Systems Manager (SSM): fornisce Describe le autorizzazioni per le risorse SSM associate al tuo account. AWS

  • AWS Fault Injection Service (AWS FIS) — Elenca e fornisce Describe le autorizzazioni per AWS FIS esperimenti e modelli di esperimenti associati al tuo account. AWS

  • Amazon FSx for Windows File Server (Amazon FSx): elenca e fornisce Describe le autorizzazioni per FSx le risorse Amazon associate al tuo AWS account.

  • Amazon RDS: elenca e fornisce Describe le autorizzazioni per le risorse Amazon RDS associate al tuo account. AWS

  • Amazon Route 53 (Route 53): elenca e fornisce Describe le autorizzazioni per le risorse Route 53 associate al tuo AWS account.

  • Amazon Route 53 Resolver — Elenca e fornisce Describe le autorizzazioni per Amazon Route 53 Resolver le risorse associate al tuo AWS account.

  • Amazon Simple Notification Service (Amazon SNS): elenca e Describe fornisce le autorizzazioni per le risorse Amazon SNS associate al tuo account. AWS

  • Amazon Simple Queue Service (Amazon SQS): elenca e fornisce le autorizzazioni Describe per le risorse Amazon SQS associate al tuo account. AWS

  • Amazon Simple Storage Service (Amazon S3): elenca e Describe fornisce le autorizzazioni per le risorse Amazon S3 associate al tuo account. AWS

    Nota

    Durante l'esecuzione di una valutazione, se mancano delle autorizzazioni che devono essere aggiornate dalle policy gestite, AWS Resilience Hub completerà correttamente la valutazione utilizzando s3: permission. GetBucketLogging Tuttavia, AWS Resilience Hub mostrerà un messaggio di avviso che elenca le autorizzazioni mancanti e fornirà un periodo di grazia per aggiungerle. Se non aggiungi le autorizzazioni mancanti entro il periodo di prova specificato, la valutazione avrà esito negativo.

  • AWS Backup — Elenca e ottiene Describe le autorizzazioni per le risorse Amazon EC2 Auto Scaling associate AWS al tuo account.

  • AWS CloudFormation — Elenca e ottiene Describe le autorizzazioni per le risorse sugli AWS CloudFormation stack associati al tuo account. AWS

  • AWS DataSync — Elenca e fornisce Describe le autorizzazioni per AWS DataSync le risorse associate all'account. AWS

  • AWS Directory Service — Elenca e fornisce Describe le autorizzazioni per AWS Directory Service le risorse associate all'account AWS .

  • AWS Elastic Disaster Recovery (Elastic Disaster Recovery) — Fornisce Describe le autorizzazioni per le risorse Elastic Disaster Recovery associate all'account AWS .

  • AWS Lambda (Lambda): elenca e fornisce le Describe autorizzazioni per le risorse Lambda associate all'account. AWS

  • AWS Resource Groups (Resource Groups): elenca e fornisce Describe le autorizzazioni per le risorse Resource Groups associate all' AWS account.

  • AWS Service Catalog (Service Catalog): elenca e fornisce Describe le autorizzazioni per le risorse di Service Catalog associate all' AWS account dell'utente.

  • AWS Step Functions — Elenca e fornisce Describe le autorizzazioni per AWS Step Functions le risorse associate all'account AWS .

  • Elastic Load Balancing: elenca e fornisce Describe le autorizzazioni per le risorse Elastic Load Balancing associate all'account. AWS

  • ssm:GetParametersByPath— Utilizziamo questa autorizzazione per gestire CloudWatch allarmi, test o quelli configurati per SOPs l'applicazione.

La seguente policy IAM è necessaria affinché un AWS account aggiunga le autorizzazioni per utenti, gruppi di utenti e ruoli che forniscono le autorizzazioni necessarie al team per accedere ai AWS servizi durante l'esecuzione delle valutazioni.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSResilienceHubFullResourceStatement",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalableTargets",
                "autoscaling:DescribeAutoScalingGroups",
                "backup:DescribeBackupVault",
                "backup:GetBackupPlan",
                "backup:GetBackupSelection",
                "backup:ListBackupPlans",
                "backup:ListBackupSelections",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStackResources",
                "cloudformation:ValidateTemplate",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "datasync:DescribeTask",
                "datasync:ListLocations",
                "datasync:ListTasks",
                "devops-guru:ListMonitoredResources",
                "dlm:GetLifecyclePolicies",
                "dlm:GetLifecyclePolicy",
                "docdb-elastic:GetCluster",
                "docdb-elastic:GetClusterSnapshot",
                "docdb-elastic:ListClusterSnapshots",
                "docdb-elastic:ListTagsForResource",
                "drs:DescribeJobs",
                "drs:DescribeSourceServers",
                "drs:GetReplicationConfiguration",
                "ds:DescribeDirectories",
                "dynamodb:DescribeContinuousBackups",
                "dynamodb:DescribeGlobalTable",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListGlobalTables",
                "dynamodb:ListTagsOfResource",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DescribeFleets",
                "ec2:DescribeHosts",
                "ec2:DescribeInstances",
                "ec2:DescribeNatGateways",
                "ec2:DescribePlacementGroups",
                "ec2:DescribeRegions",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcEndpoints",
                "ecr:DescribeRegistry",
                "ecs:DescribeCapacityProviders",
                "ecs:DescribeClusters",
                "ecs:DescribeContainerInstances",
                "ecs:DescribeServices",
                "ecs:DescribeTaskDefinition",
                "ecs:ListContainerInstances",
                "ecs:ListServices",
                "eks:DescribeCluster",
                "eks:DescribeFargateProfile",
                "eks:DescribeNodegroup",
                "eks:ListFargateProfiles",
                "eks:ListNodegroups",
                "elasticache:DescribeCacheClusters",
                "elasticache:DescribeGlobalReplicationGroups",
                "elasticache:DescribeReplicationGroups",
                "elasticache:DescribeServerlessCaches",
                "elasticahce:DescribeServerlessCacheSnapshots",
                "elasticache:DescribeSnapshots",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "fis:GetExperiment",
                "fis:GetExperimentTemplate",
                "fis:ListExperiments",
                "fis:ListExperimentResolvedTargets",
                "fis:ListExperimentTemplates",
                "fsx:DescribeFileSystems",
                "lambda:GetFunctionConcurrency",
                "lambda:GetFunctionConfiguration",
                "lambda:ListAliases",
                "lambda:ListEventSourceMappings",
                "lambda:ListFunctionEventInvokeConfigs",
                "lambda:ListVersionsByFunction",
                "rds:DescribeDBClusterSnapshots",
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstanceAutomatedBackups",
                "rds:DescribeDBInstances",
                "rds:DescribeDBProxies",
                "rds:DescribeDBProxyTargets",
                "rds:DescribeDBSnapshots",
                "rds:DescribeGlobalClusters",
                "rds:ListTagsForResource",
                "resource-groups:GetGroup",
                "resource-groups:ListGroupResources",
                "route53-recovery-control-config:ListClusters",
                "route53-recovery-control-config:ListControlPanels",
                "route53-recovery-control-config:ListRoutingControls",
                "route53-recovery-readiness:GetReadinessCheckStatus",
                "route53-recovery-readiness:GetResourceSet",
                "route53-recovery-readiness:ListReadinessChecks",
                "route53:GetHealthCheck",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:ListBucket",
                "servicecatalog:GetApplication",
                "servicecatalog:ListAssociatedResources",
                "sns:GetSubscriptionAttributes",
                "sns:GetTopicAttributes",
                "sns:ListSubscriptionsByTopic",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "ssm:DescribeAutomationExecutions",
                "states:DescribeStateMachine",
                "states:ListStateMachineVersions",
                "states:ListStateMachineAliases",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSResilienceHubApiGatewayStatement",
            "Effect": "Allow",
            "Action": [
                "apigateway:GET"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/apis/*",
                "arn:aws:apigateway:*::/restapis/*",
                "arn:aws:apigateway:*::/usageplans"
            ]
        },
        {
            "Sid": "AWSResilienceHubS3ArtifactStatement",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubS3AccessStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetMultiRegionAccessPointRoutes",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubCloudWatchStatement",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "ResilienceHub"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubSSMStatement",
            "Effect": "Allow",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*"
        }
    ]
}

AWS Resilience Hub aggiornamenti alle politiche gestite AWS

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS Resilience Hub da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS Resilience Hub documenti.

Modifica Descrizione Data
AWSResilienceHubAsssessmentExecutionPolicy— Modifica AWS Resilience Hub ha aggiornato AWSResilienceHubAsssessmentExecutionPolicy la concessione List e Get le autorizzazioni per consentire l'accesso agli esperimenti AWS FIS durante l'esecuzione delle valutazioni. 17 dicembre 2024
AWSResilienceHubAsssessmentExecutionPolicy— Modifica AWS Resilience Hub è stato aggiornato AWSResilienceHubAsssessmentExecutionPolicy per concedere Describe le autorizzazioni per consentire l'accesso a risorse e configurazioni su Amazon ElastiCache (Redis OSS) Serverless durante l'esecuzione delle valutazioni. 25 settembre 2024
AWSResilienceHubAsssessmentExecutionPolicy— Modifica AWS Resilience Hub è stato aggiornato AWSResilienceHubAsssessmentExecutionPolicy per concedere Describe le autorizzazioni necessarie per consentire l'accesso a risorse e configurazioni su Amazon DocumentDB, Elastic Load Balancing e durante l'esecuzione delle valutazioni. AWS Lambda 1 agosto 2024
AWSResilienceHubAsssessmentExecutionPolicy— Cambia AWS Resilience Hub l'ho aggiornato AWSResilienceHubAsssessmentExecutionPolicy per concedere Describe le autorizzazioni per consentirti di leggere la configurazione di Amazon FSx for Windows File Server durante l'esecuzione delle valutazioni. 26 marzo 2024
AWSResilienceHubAsssessmentExecutionPolicy— Modifica AWS Resilience Hub aggiornato AWSResilienceHubAsssessmentExecutionPolicy per concedere Describe le autorizzazioni per consentire la lettura della AWS Step Functions configurazione durante l'esecuzione delle valutazioni. 30 ottobre 2023
AWSResilienceHubAsssessmentExecutionPolicy— Modifica AWS Resilience Hub l'ho aggiornato AWSResilienceHubAsssessmentExecutionPolicy per concedere Describe le autorizzazioni per consentirti di accedere alle risorse su Amazon RDS durante l'esecuzione delle valutazioni. 5 ottobre 2023

AWSResilienceHubAsssessmentExecutionPolicy— Nuovo

Questa AWS Resilience Hub politica fornisce l'accesso ad altri AWS servizi per l'esecuzione delle valutazioni.

 26 giugno 2023

AWS Resilience Hub ha iniziato a tenere traccia delle modifiche

AWS Resilience Hub ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.

 15 giugno 2023