AWS políticas gerenciadas para o AMS Accelerate - Guia do usuário do AMS Accelerate
AlarmManagerPermissionsBoundaryDetective controla a política gerenciada de configuraçãoPolítica gerenciada do kit de ferramentas de implantaçãoPolítica gerenciada de serviços de eventosPolítica de contatos gerenciadosAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para o AMS Accelerate

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.

Para obter uma tabela de alterações, consulteAcelere as atualizações das políticas AWS gerenciadas.

AWS política gerenciada: AWSManagedServices_AlarmManagerPermissionsBoundary

AWS Managed Services (AMS) usa a política AWSManagedServices_AlarmManagerPermissionsBoundary AWS gerenciada. Essa política AWS gerenciada é usada no AWSManagedServices_AlarmManager _ ServiceRolePolicy para restringir as permissões das funções do IAM criadas por AWSServiceRoleForManagedServices_AlarmManager.

Essa política concede funções do IAM criadas como parte deComo funciona o Gerenciador de alarmes, permissões para realizar operações como avaliação de AWS configuração, leitura de configuração para buscar a AWS configuração do Alarm Manager e criação dos alarmes necessários da Amazon. CloudWatch

A AWSManagedServices_AlarmManagerPermissionsBoundary política é anexada à função AWSServiceRoleForManagedServices_DetectiveControlsConfig vinculada ao serviço. Para atualizações dessa função, consulteAcelere as atualizações de funções vinculadas a serviços.

É possível anexar essa política às suas identidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • AWS Config— Permite permissões para avaliar as regras de configuração e selecionar a configuração do recurso.

  • AWS AppConfig— Permite permissões para buscar a AlarmManager configuração.

  • Amazon S3— Permite permissões para operar AlarmManager buckets e objetos.

  • Amazon CloudWatch— Permite permissões para ler e colocar alarmes e métricas AlarmManager gerenciados.

  • AWS Resource Groups and Tags— Permite permissões para ler tags de recursos.

  • Amazon EC2— Permite permissões para ler EC2 recursos da Amazon.

  • Amazon Redshift— Permite permissões para ler instâncias e clusters do Redshift.

  • Amazon FSx— Permite permissões para descrever sistemas de arquivos, volumes e tags de recursos.

  • Amazon CloudWatch Synthetics— Permite permissões para ler recursos do Synthetics.

  • Amazon Elastic Kubernetes Service— Permite permissões para descrever o cluster Amazon EKS.

  • Amazon ElastiCache— Permite permissões para descrever recursos.

Você pode baixar o arquivo de política neste ZIP: RecommendedPermissionBoundary.zip.

AWS política gerenciada: AWSManagedServices_DetectiveControlsConfig _ ServiceRolePolicy

AWS Managed Services (AMS) usa a política AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS gerenciada. Essa política AWS gerenciada é anexada à função AWSServiceRoleForManagedServices_DetectiveControlsConfig vinculada ao serviço (consulte). Detective controla a função vinculada ao serviço do AMS Accelerate Para atualizações da função AWSServiceRoleForManagedServices_DetectiveControlsConfig vinculada ao serviço, consulte. Acelere as atualizações de funções vinculadas a serviços

A política permite que a função vinculada ao serviço realize ações em seu nome.

Você pode anexar a ServiceRolePolicy política AWSManagedServices_DetectiveControlsConfig _ às suas entidades do IAM.

Para obter mais informações, consulte Usando funções vinculadas a serviços para o AMS Accelerate.

Detalhes das permissões

Essa política tem as seguintes permissões para permitir que o AWS Managed Services Detective Controls implante e configure todos os recursos necessários.

  • CloudFormation— Permite que o AMS Detective Controls implante CloudFormation pilhas com recursos como buckets s3, regras de configuração e gravador de configuração.

  • AWS Config— Permite que o AMS Detective Controls crie regras de configuração do AMS, configure um agregador e marque recursos.

  • Amazon S3— permite que o AMS Detective Controls gerencie seus buckets s3.

Você pode baixar o arquivo de política JSON neste ZIP: DetectiveControlsConfig_ ServiceRolePolicy .zip.

AWS política gerenciada: AWSManaged ServicesDeploymentToolkitPolicy

AWS Managed Services (AMS) usa a política AWSManagedServicesDeploymentToolkitPolicy AWS gerenciada. Essa política AWS gerenciada é anexada à função AWSServiceRoleForAWSManagedServicesDeploymentToolkit vinculada ao serviço (consulte). Função vinculada ao serviço do kit de ferramentas de implantação para o AMS Accelerate A política permite que a função vinculada ao serviço realize ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte Usando funções vinculadas a serviços para o AMS Accelerate.

Para atualizações da função AWSServiceRoleForManagedServicesDeploymentToolkitPolicy vinculada ao serviço, consulte. Acelere as atualizações de funções vinculadas a serviços

Detalhes das permissões

Essa política tem as seguintes permissões para permitir que o AWS Managed Services Detective Controls implante e configure todos os recursos necessários.

  • CloudFormation— Permite que o AMS Deployment Toolkit implante pilhas CFN com os recursos do S3 exigidos pelo CDK.

  • Amazon S3— permite que o AMS Deployment Toolkit gerencie seus buckets S3.

  • Elastic Container Registry— permite que o AMS Deployment Toolkit gerencie seu repositório ECR, usado para implantar os ativos necessários aos aplicativos AMS CDK.

Você pode baixar o arquivo de política JSON neste ZIP: AWSManagedServicesDeploymentToolkitPolicy.zip.

AWS política gerenciada: AWSManagedServices_EventsServiceRolePolicy

AWS Managed Services (AMS) usa a política gerenciada AWSManagedServices_EventsServiceRolePolicy da AWS. Essa política AWS gerenciada é anexada à função vinculada ao AWSServiceRoleForManagedServices_Eventsserviço. A política permite que a função vinculada ao serviço realize ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte Usando funções vinculadas a serviços para o AMS Accelerate.

Para atualizações da função AWSServiceRoleForManagedServices_Events vinculada ao serviço, consulte. Acelere as atualizações de funções vinculadas a serviços

Detalhes das permissões

Essa política tem as seguintes permissões para permitir que EventBridge a Amazon entregue informações de alteração do estado de alarme da sua conta para o AWS Managed Services.

  • events— Permite que o Accelerate crie uma regra EventBridge gerenciada pela Amazon. Essa regra é a infraestrutura necessária Conta da AWS para fornecer informações de alteração do estado de alarme de sua conta para AWS Managed Services.

Você pode baixar o arquivo de política JSON neste ZIP: EventsServiceRolePolicy.zip.

AWS política gerenciada: AWSManagedServices_ContactsServiceRolePolicy

AWS Managed Services (AMS) usa a política gerenciada AWSManagedServices_ContactsServiceRolePolicy da AWS. Essa política AWS gerenciada é anexada à função AWSServiceRoleForManagedServices_Contacts vinculada ao serviço (consulte). Criando uma SLR de contatos para o AMS Accelerate A política permite que a SLR de contatos do AMS veja suas tags de recursos e seus valores nos recursos da AWS. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte Usando funções vinculadas a serviços para o AMS Accelerate.

Importante

Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. O AMS usa tags para fornecer serviços administrativos. As tags não devem ser usadas para dados privados ou confidenciais.

Para atualizações da função AWSServiceRoleForManagedServices_Contacts vinculada ao serviço, consulte. Acelere as atualizações de funções vinculadas a serviços

Detalhes das permissões

Essa política tem as seguintes permissões para permitir que a SLR de contatos leia suas tags de recursos para recuperar as informações de contato do recurso que você configurou com antecedência.

  • IAM— Permite que o serviço de contatos veja as tags nas funções do IAM e nos usuários do IAM.

  • Amazon EC2— Permite que o serviço de contatos veja as tags nos EC2 recursos da Amazon.

  • Amazon S3— Permite que o Contacts Service veja as tags nos buckets do Amazon S3. Essa ação usa uma condição para garantir que o AMS acesse suas tags de bucket usando o cabeçalho de autorização HTTP, usando o protocolo de assinatura SigV4 e usando HTTPS com TLS 1.2 ou superior. Para obter mais informações, consulte Métodos de autenticação e chaves de política específicas de autenticação do Amazon S3 Signature versão 4.

  • Tag— Permite que o serviço de contatos veja as tags em outros AWS recursos.

  • “iam: ListRoleTags “, “iam: ListUserTags “, “tag: GetResources “, “tag: GetTagKeys “, “tag: GetTagValues “, “ec2: DescribeTags “, “s3:” GetBucketTagging

Você pode baixar o arquivo de política JSON neste ZIP: ContactsServicePolicy.zip.

Acelere as atualizações das políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Accelerate desde que esse serviço começou a monitorar essas alterações.

Alteração Descrição Data

Política atualizada — Kit de ferramentas de implantação

  • Essas novas permissões foram adicionadas para o recursoarn:aws:ecr:*:*:repository/ams-cdktoolkit*:

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 4 de abril de 2024

Política atualizada — Kit de ferramentas de implantação

  • Essas novas permissões foram adicionadas para o recursoarn:aws:cloudformation:*:*:stack/ams-cdk-toolkit*:

    cloudformation:DeleteChangeSet

cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • Essas novas permissões foram adicionadas para o recursoarn:aws:ecr:*:*:repository/ams-cdktoolkit*:

    ecr:CreateRepository

ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • Além disso, algumas ações existentes com caracteres curinga foram reduzidas a ações individuais:

    - s3:DeleteObject*

+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 9 de maio de 2023

Política atualizada — Detective Controls

  • As CloudFormation ações foram ampliadas ainda mais após a confirmação com a equipe de segurança e acesso

  • As ações do Lambda foram removidas da política porque não afetam o embarque onboarding/off

10 de abril de 2023

Política atualizada — Detective Controls

A ListAttachedRolePolicies ação é removida da política. A ação tinha Recurso como curinga (*). Como a “lista” é uma ação não mutativa, ela tem acesso a todos os recursos e o curinga não é permitido.

 28 de março de 2023

Política atualizada — Detective Controls

Atualizou a política e adicionou a política de limite de permissões.

 21 de março de 2023

Nova política — Serviço de contatos

O Accelerate adicionou uma nova política para analisar as informações de contato da sua conta a partir das tags de recursos.

O Accelerate adicionou uma nova política para ler suas tags de recursos para que possa recuperar as informações de contato do recurso que você configurou com antecedência.

 16 de fevereiro de 2023

Nova política — Serviço de Eventos

A Accelerate adicionou uma nova política para fornecer informações de alteração do estado de alarme da sua conta para o AWS Managed Services.

Concede funções do IAM criadas como parte das Como funciona o Gerenciador de alarmes permissões para criar uma regra EventBridge gerenciada necessária pela Amazon.

 07 de fevereiro de 2023

Política atualizada — Kit de ferramentas de implantação

Foram adicionadas permissões do S3 para apoiar a saída de clientes do Accelerate.

 30 de janeiro de 2023

Nova política — Detective Controls

Permite que a função vinculada ao serviço,Detective controla a função vinculada ao serviço do AMS Accelerate, conclua ações para que você implante os controles de detetive do Accelerate.

 19 de dezembro de 2022

Nova política — Gerenciador de alarmes

O Accelerate adicionou uma nova política para permitir permissões para realizar tarefas do gerenciador de alarmes.

Concede funções do IAM criadas como parte das Como funciona o Gerenciador de alarmes permissões para realizar operações como avaliação do AWS Config, leitura do AWS Config para obter a configuração do gerenciador de alarmes e criação dos alarmes necessários da Amazon. CloudWatch

30 de novembro de 2022

Acelere o início do rastreamento de alterações

A Accelerate começou a monitorar as mudanças em suas políticas AWS gerenciadas.

 30 de novembro de 2022

Nova política — Kit de ferramentas de implantação

O Accelerate adicionou essa política para tarefas de implantação.

Concede à função vinculada ao serviço AWSServiceRoleForAWSManagedServicesDeploymentToolkitpermissões para acessar e atualizar buckets e pilhas do Amazon S3 relacionados à implantação. AWS CloudFormation

9 de junho de 2022