AWS políticas gerenciadas para AWS Resilience Hub - AWS Hub de resiliência
AWSResilienceHubAsssessmentExecutionPolicyAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para AWS Resilience Hub

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

AWSResilienceHubAsssessmentExecutionPolicy

É possível anexar a AWSResilienceHubAsssessmentExecutionPolicy a suas identidades do IAM. Ao executar uma avaliação, essa política concede permissões de acesso a outros AWS serviços para a execução de avaliações.

Detalhes de permissões

Essa política fornece permissões adequadas para publicar alarmes AWS FIS e modelos de SOP em seu bucket do Amazon Simple Storage Service (Amazon S3). O nome do bucket do Amazon S3 deve começar com aws-resilience-hub-artifacts-. Se quiser publicar em outro bucket do Amazon S3, você pode fazer isso ao chamar a API CreateRecommendationTemplate. Para obter mais informações, consulte CreateRecommendationTemplate.

Esta política inclui as seguintes permissões:

  • Amazon CloudWatch (CloudWatch) — Obtém todos os alarmes implementados que você configurou na Amazon CloudWatch para monitorar o aplicativo. Além disso, usamos cloudwatch:PutMetricData para publicar CloudWatch métricas para a pontuação de resiliência do aplicativo no ResilienceHub namespace.

  • Amazon Data Lifecycle Manager — Obtém e fornece Describe permissões para os recursos do Amazon Data Lifecycle Manager associados à sua conta. AWS

  • Amazon DevOps Guru — Lista e fornece Describe permissões para os recursos do Amazon DevOps Guru associados à sua AWS conta.

  • Amazon DocumentDB — Lista e fornece Describe permissões para recursos do Amazon DocumentDB associados à sua conta. AWS

  • Amazon DynamoDB (DynamoDB): lista e fornece permissões Describe para recursos do Amazon DynamoDB associados à sua conta da AWS .

  • Amazon ElastiCache (ElastiCache) — Fornece Describe permissões para ElastiCache recursos associados à sua AWS conta.

  • Amazon ElastiCache (Redis OSS) Serverless (ElastiCache (Redis OSS) Serverless) — Fornece Describe permissões para configurações sem servidor ElastiCache (Redis OSS) associadas à sua conta. AWS

  • Amazon Elastic Compute Cloud (Amazon EC2) — Lista e fornece Describe permissões para EC2 recursos da Amazon associados à sua AWS conta.

  • Amazon Elastic Container Registry (Amazon ECR) — Describe Fornece permissões para recursos do Amazon ECR associados à sua conta. AWS

  • Amazon Elastic Container Service (Amazon ECS) — Fornece Describe permissões para recursos do Amazon ECS associados à sua conta. AWS

  • Amazon Elastic File System (Amazon EFS) — Fornece Describe permissões para recursos do Amazon EFS associados à sua AWS conta.

  • Amazon Elastic Kubernetes Service (Amazon EKS): lista e fornece permissões Describe para recursos do Amazon EKS associados à sua conta da AWS .

  • Amazon EC2 Auto Scaling — Lista e fornece Describe permissões para recursos do Amazon EC2 Auto Scaling associados à sua conta. AWS

  • Amazon EC2 Systems Manager (SSM) — Fornece Describe permissões para recursos de SSM associados à sua AWS conta.

  • AWS Fault Injection Service (AWS FIS) — Lista e fornece Describe permissões para AWS FIS experimentos e modelos de experimentos associados à sua AWS conta.

  • Amazon FSx para Windows File Server (Amazon FSx) — Lista e fornece Describe permissões para FSx recursos da Amazon associados à sua AWS conta.

  • Amazon RDS — Lista e fornece Describe permissões para recursos do Amazon RDS associados à sua AWS conta.

  • Amazon Route 53 (Route 53): lista e fornece permissões Describe para recursos do Route 53 associados à sua conta da AWS .

  • Amazon Route 53 Resolver — Lista e fornece Describe permissões para Amazon Route 53 Resolver recursos associados à sua AWS conta.

  • Amazon Simple Notification Service (Amazon SNS): lista e fornece permissões Describe para recursos do Amazon SNS associados à sua conta da AWS .

  • Amazon Simple Queue Service (Amazon SQS): lista e fornece permissões Describe para recursos do Amazon SQS associados à sua conta da AWS .

  • Amazon Simple Storage Service (Amazon S3) — Lista e Describe fornece permissões para recursos do Amazon S3 associados à sua conta. AWS

    nota

    Ao executar uma avaliação, se houver alguma permissão ausente que precise ser atualizada a partir das políticas gerenciadas, AWS Resilience Hub concluirá com êxito a avaliação usando s3: GetBucketLogging permission. No entanto, AWS Resilience Hub exibirá uma mensagem de aviso que lista as permissões ausentes e fornecerá um período de carência para adicioná-las. Se você não adicionar as permissões ausentes dentro do período de carência especificado, a avaliação falhará.

  • AWS Backup — Lista e obtém Describe permissões para os recursos do Amazon EC2 Auto Scaling associados à sua AWS conta.

  • AWS CloudFormation — Lista e obtém Describe permissões para recursos em AWS CloudFormation pilhas associadas à sua AWS conta.

  • AWS DataSync — Lista e fornece Describe permissões para AWS DataSync recursos associados à sua AWS conta.

  • AWS Directory Service — Lista e fornece Describe permissões para AWS Directory Service recursos associados à sua AWS conta.

  • AWS Elastic Disaster Recovery (Elastic Disaster Recovery) — Fornece Describe permissões para recursos do Elastic Disaster Recovery associados à sua AWS conta.

  • AWS Lambda (Lambda) — Lista e fornece Describe permissões para recursos do Lambda associados à sua conta. AWS

  • AWS Resource Groups (Resource Groups) — Lista e fornece Describe permissões para recursos de Resource Groups associados à sua AWS conta.

  • AWS Service Catalog (Service Catalog) — Lista e fornece Describe permissões para recursos do Service Catalog associados à sua AWS conta.

  • AWS Step Functions — Lista e fornece Describe permissões para AWS Step Functions recursos associados à sua AWS conta.

  • Elastic Load Balancing — Lista e fornece Describe permissões para recursos do Elastic Load Balancing associados à sua conta. AWS

  • ssm:GetParametersByPath— Usamos essa permissão para gerenciar CloudWatch alarmes, testes ou SOPs que estejam configurados para seu aplicativo.

A política do IAM a seguir é necessária para que uma AWS conta adicione permissões para usuários, grupos de usuários e funções que forneçam as permissões necessárias para que sua equipe acesse AWS os serviços durante a execução das avaliações.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSResilienceHubFullResourceStatement",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalableTargets",
                "autoscaling:DescribeAutoScalingGroups",
                "backup:DescribeBackupVault",
                "backup:GetBackupPlan",
                "backup:GetBackupSelection",
                "backup:ListBackupPlans",
                "backup:ListBackupSelections",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStackResources",
                "cloudformation:ValidateTemplate",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "datasync:DescribeTask",
                "datasync:ListLocations",
                "datasync:ListTasks",
                "devops-guru:ListMonitoredResources",
                "dlm:GetLifecyclePolicies",
                "dlm:GetLifecyclePolicy",
                "docdb-elastic:GetCluster",
                "docdb-elastic:GetClusterSnapshot",
                "docdb-elastic:ListClusterSnapshots",
                "docdb-elastic:ListTagsForResource",
                "drs:DescribeJobs",
                "drs:DescribeSourceServers",
                "drs:GetReplicationConfiguration",
                "ds:DescribeDirectories",
                "dynamodb:DescribeContinuousBackups",
                "dynamodb:DescribeGlobalTable",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListGlobalTables",
                "dynamodb:ListTagsOfResource",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DescribeFleets",
                "ec2:DescribeHosts",
                "ec2:DescribeInstances",
                "ec2:DescribeNatGateways",
                "ec2:DescribePlacementGroups",
                "ec2:DescribeRegions",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcEndpoints",
                "ecr:DescribeRegistry",
                "ecs:DescribeCapacityProviders",
                "ecs:DescribeClusters",
                "ecs:DescribeContainerInstances",
                "ecs:DescribeServices",
                "ecs:DescribeTaskDefinition",
                "ecs:ListContainerInstances",
                "ecs:ListServices",
                "eks:DescribeCluster",
                "eks:DescribeFargateProfile",
                "eks:DescribeNodegroup",
                "eks:ListFargateProfiles",
                "eks:ListNodegroups",
                "elasticache:DescribeCacheClusters",
                "elasticache:DescribeGlobalReplicationGroups",
                "elasticache:DescribeReplicationGroups",
                "elasticache:DescribeServerlessCaches",
                "elasticahce:DescribeServerlessCacheSnapshots",
                "elasticache:DescribeSnapshots",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "fis:GetExperiment",
                "fis:GetExperimentTemplate",
                "fis:ListExperiments",
                "fis:ListExperimentResolvedTargets",
                "fis:ListExperimentTemplates",
                "fsx:DescribeFileSystems",
                "lambda:GetFunctionConcurrency",
                "lambda:GetFunctionConfiguration",
                "lambda:ListAliases",
                "lambda:ListEventSourceMappings",
                "lambda:ListFunctionEventInvokeConfigs",
                "lambda:ListVersionsByFunction",
                "rds:DescribeDBClusterSnapshots",
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstanceAutomatedBackups",
                "rds:DescribeDBInstances",
                "rds:DescribeDBProxies",
                "rds:DescribeDBProxyTargets",
                "rds:DescribeDBSnapshots",
                "rds:DescribeGlobalClusters",
                "rds:ListTagsForResource",
                "resource-groups:GetGroup",
                "resource-groups:ListGroupResources",
                "route53-recovery-control-config:ListClusters",
                "route53-recovery-control-config:ListControlPanels",
                "route53-recovery-control-config:ListRoutingControls",
                "route53-recovery-readiness:GetReadinessCheckStatus",
                "route53-recovery-readiness:GetResourceSet",
                "route53-recovery-readiness:ListReadinessChecks",
                "route53:GetHealthCheck",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:ListBucket",
                "servicecatalog:GetApplication",
                "servicecatalog:ListAssociatedResources",
                "sns:GetSubscriptionAttributes",
                "sns:GetTopicAttributes",
                "sns:ListSubscriptionsByTopic",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "ssm:DescribeAutomationExecutions",
                "states:DescribeStateMachine",
                "states:ListStateMachineVersions",
                "states:ListStateMachineAliases",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSResilienceHubApiGatewayStatement",
            "Effect": "Allow",
            "Action": [
                "apigateway:GET"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/apis/*",
                "arn:aws:apigateway:*::/restapis/*",
                "arn:aws:apigateway:*::/usageplans"
            ]
        },
        {
            "Sid": "AWSResilienceHubS3ArtifactStatement",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubS3AccessStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetMultiRegionAccessPointRoutes",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubCloudWatchStatement",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "ResilienceHub"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubSSMStatement",
            "Effect": "Allow",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*"
        }
    ]
}

AWS Resilience Hub atualizações nas políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS Resilience Hub desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do AWS Resilience Hub documento.

Alteração Descrição Data
AWSResilienceHubAsssessmentExecutionPolicy: alteração AWS Resilience Hub atualizou o AWSResilienceHubAsssessmentExecutionPolicy para conceder List e Get permissões para permitir que você acesse experimentos AWS FIS enquanto executa avaliações. 17 de dezembro de 2024
AWSResilienceHubAsssessmentExecutionPolicy: alteração AWS Resilience Hub atualizou o AWSResilienceHubAsssessmentExecutionPolicy para conceder Describe permissões para permitir que você acesse recursos e configurações no Amazon ElastiCache (Redis OSS) Serverless enquanto executa avaliações. 25 de setembro de 2024
AWSResilienceHubAsssessmentExecutionPolicy: alteração AWS Resilience Hub atualizou o AWSResilienceHubAsssessmentExecutionPolicy para conceder Describe permissões para permitir que você acesse recursos e configurações no Amazon DocumentDB, no Elastic Load Balancing AWS Lambda e durante a execução de avaliações. 01 de agosto de 2024
AWSResilienceHubAsssessmentExecutionPolicy: alteração AWS Resilience Hub atualizou o AWSResilienceHubAsssessmentExecutionPolicy para conceder Describe permissões para permitir que você leia a configuração do Amazon FSx para Windows File Server enquanto executa avaliações. 26 de março de 2024
AWSResilienceHubAsssessmentExecutionPolicy: alteração AWS Resilience Hub atualizou o AWSResilienceHubAsssessmentExecutionPolicy para conceder Describe permissões para permitir que você leia a AWS Step Functions configuração enquanto executa avaliações. 30 de outubro de 2023
AWSResilienceHubAsssessmentExecutionPolicy: alteração AWS Resilience Hub atualizou o AWSResilienceHubAsssessmentExecutionPolicy para conceder Describe permissões para permitir que você acesse recursos no Amazon RDS enquanto executa avaliações. 5 de outubro de 2023

AWSResilienceHubAsssessmentExecutionPolicy— Novo

Essa AWS Resilience Hub política fornece acesso a outros AWS serviços para a execução de avaliações.

 26 de junho de 2023

AWS Resilience Hub começou a rastrear as alterações

AWS Resilience Hub começou a rastrear as mudanças em suas políticas AWS gerenciadas.

 15 de junho de 2023