AWS AMS 加速的托管策略 - AMS 加速用户指南
AlarmManagerPermissionsBoundaryDetective 控制配置托管策略部署工具包托管策略活动服务托管策略联系人托管政策策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS AMS 加速的托管策略

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管策略

有关变更表,请参见加快 AWS 托管策略的更新

AWS 托管策略: AWSManagedServices_AlarmManagerPermissionsBoundary

AWS Managed Services (AMS) 使用AWSManagedServices_AlarmManagerPermissionsBoundary AWS 托管策略。 AWSManagedServices_AlarmManager_ 中使用此 AWS托管策略ServiceRolePolicy 来限制由 AWSServiceRoleForManagedServices_AlarmManager创建的 IAM 角色的权限。

此策略授予作为其中一部分创建的 IAM 角色执行 AWS 配置评估警报管理器的工作原理、 AWS 读取 Config 以获取 Alarm Manager 配置以及创建必要的 Amazon CloudWatch 警报等操作的权限。

AWSManagedServices_AlarmManagerPermissionsBoundary策略附加到AWSServiceRoleForManagedServices_DetectiveControlsConfig服务相关角色。有关此角色的更新,请参阅加快服务相关角色的更新

您可以将 策略附加得到 IAM 身份。

权限详细信息

该策略包含以下权限。

  • AWS Config— 允许评估配置规则和选择资源配置的权限。

  • AWS AppConfig— 允许获取 AlarmManager 配置的权限。

  • Amazon S3— 允许操作 AlarmManager 存储桶和对象的权限。

  • Amazon CloudWatch— 允许读取和发布 AlarmManager 托管警报和指标的权限。

  • AWS Resource Groups and Tags— 允许读取资源标签的权限。

  • Amazon EC2— 允许读取 Amazon EC2 资源。

  • Amazon Redshift— 允许读取 Redshift 实例和集群的权限。

  • Amazon FSx— 允许描述文件系统、卷和资源标签的权限。

  • Amazon CloudWatch Synthetics— 允许读取 Synthetics 资源的权限。

  • Amazon Elastic Kubernetes Service— 允许描述 Amazon EKS 集群的权限。

  • Amazon ElastiCache— 允许描述资源的权限。

您可以下载此压缩包中的策略文件:RecommendedPermissionBoundary.zip。

AWS 托管策略: AWSManagedServices_DetectiveControlsConfig_ ServiceRolePolicy

AWS Managed Services (AMS) 使用AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS 托管策略。此 AWS托管策略附加到AWSServiceRoleForManagedServices_DetectiveControlsConfig服务相关角色(请参阅Detective 控制 AMS Accerate 的服务相关角色)。有关AWSServiceRoleForManagedServices_DetectiveControlsConfig服务相关角色的更新,请参阅加快服务相关角色的更新

该策略允许服务相关角色为您完成操作。

您可以将 AWSManagedServices_DetectiveControlsConfig _ ServiceRolePolicy 策略附加到您的 IAM 实体。

有关更多信息,请参阅 在 AMS Accelerate 中使用服务相关角色

权限详细信息

此策略具有以下权限,允许 Det AWS Managed Services ective Controls 部署和配置所有必要的资源。

  • CloudFormation— 允许 AMS Detective Controls 部署包含 s3 存储桶、配置规则和配置记录器等资源的 CloudFormation 堆栈。

  • AWS Config— 允许 AMS Detective Controls 创建 AMS 配置规则、配置聚合器和标记资源。

  • Amazon S3— 允许 AMS Detective Controls 管理其 s3 存储桶。

你可以下载此 ZIP 文件中的 JSON 策略文件:DetectiveControlsConfig_ ServiceRolePolicy .zip。

AWS 托管策略: AWSManagedServicesDeploymentToolkitPolicy

AWS Managed Services (AMS) 使用AWSManagedServicesDeploymentToolkitPolicy AWS 托管策略。此 AWS托管策略附加到AWSServiceRoleForAWSManagedServicesDeploymentToolkit服务相关角色(请参阅AMS Accelerate 的部署工具包服务相关角色)。该策略允许服务相关角色为您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 在 AMS Accelerate 中使用服务相关角色

有关AWSServiceRoleForManagedServicesDeploymentToolkitPolicy服务相关角色的更新,请参阅加快服务相关角色的更新

权限详细信息

此策略具有以下权限,允许 Det AWS Managed Services ective Controls 部署和配置所有必要的资源。

  • CloudFormation— 允许 AMS 部署工具包使用 CDK 所需的 S3 资源部署 CFN 堆栈。

  • Amazon S3— 允许 AMS 部署工具包管理其 S3 存储桶。

  • Elastic Container Registry— 允许 AMS 部署工具包管理其 ECR 存储库,该存储库用于部署 AMS CDK 应用程序所需的资产。

你可以下载这个压缩文件中的 JSON 策略文件:AWSManagedServicesDeploymentToolkitPolicy.zip。

AWS 托管策略: AWSManagedServices_EventsServiceRolePolicy

AWS Managed Services (AMS) 使用 AWSManagedServices_EventsServiceRolePolicy AWS 托管策略。此 AWS托管策略附加到AWSServiceRoleForManagedServices_Events服务相关角色。该策略允许服务相关角色为您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 在 AMS Accelerate 中使用服务相关角色

有关AWSServiceRoleForManagedServices_Events服务相关角色的更新,请参阅加快服务相关角色的更新

权限详细信息

此策略具有以下权限,允许亚马逊将警报状态变更信息从您的账户传送 EventBridge 到 AWS Managed Services。

  • events— 允许 Accelerate 创建亚马逊 EventBridge 托管规则。此规则是将警报状态变更信息从您的账户传送 AWS 账户 到您的账户所需的基础架构 AWS Managed Services。

你可以下载这个压缩文件中的 JSON 策略文件:EventsServiceRolePolicy.zip。

AWS 托管策略: AWSManagedServices_ContactsServiceRolePolicy

AWS Managed Services (AMS) 使用 AWSManagedServices_ContactsServiceRolePolicy AWS 托管策略。此 AWS托管策略附加到AWSServiceRoleForManagedServices_Contacts服务相关角色(请参阅为 AMS Accelerate 创建联系人单反相机)。该策略允许 AMS 联系人 SLR 查看您在 AWS 资源上的资源标签及其值。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 在 AMS Accelerate 中使用服务相关角色

重要

请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AMS 使用标签为您提供管理服务。标签不适合用于私有或敏感数据。

有关AWSServiceRoleForManagedServices_Contacts服务相关角色的更新,请参阅加快服务相关角色的更新

权限详细信息

此策略具有以下权限,允许联系人 SLR 读取您的资源标签,以检索您提前设置的资源联系人信息。

  • IAM— 允许联系人服务查看 IAM 角色和 IAM 用户的标签。

  • Amazon EC2— 允许联系人服务查看 Amazon EC2 资源上的标签。

  • Amazon S3— 允许联系人服务查看 Amazon S3 存储桶上的标签。此操作使用条件来确保 AMS 使用 HTTP 授权标头、Sigv4 签名协议以及使用 TLS 1.2 或更高版本的 HTTPS 访问您的存储桶标签。有关更多信息,请参阅身份验证方法Amazon S3 签名版本 4 身份验证特定策略密钥

  • Tag— 允许联系人服务查看其他 AWS 资源上的标签。

  • “iam:ListRoleTags”、“iam:ListUserTags”、“tag:”、GetResources “tag:”、GetTagKeys “tag:”、GetTagValues “tag:”、DescribeTags “ec2:”、“s3:GetBucketTagging”

你可以下载这个压缩文件中的 JSON 策略文件:ContactsServicePolicy.zip。

加快 AWS 托管策略的更新

查看有关自该服务开始跟踪这些更改以来对 Accelerate AWS 托管策略更新的详细信息。

更改 描述 日期

更新的政策-部署工具包

  • 为资源添加了以下新权限arn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 2024 年 4 月 4 日

更新的政策-部署工具包

  • 为资源添加了以下新权限arn:aws:cloudformation:*:*:stack/ams-cdk-toolkit*

    cloudformation:DeleteChangeSet

cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • 为资源添加了以下新权限arn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:CreateRepository

ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • 此外,一些带有通配符的现有操作的范围缩小到单个操作:

    - s3:DeleteObject*

+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 2023 年 5 月 9 日

更新的政策 — Det ective Con t

  • 在与安全和访问团队确认后,已进一步缩小了 CloudFormation 行动范围

  • Lambda 操作已从政策中删除,因为它们不会影响登机 onboarding/off

2023 年 4 月 10 日

更新的政策 — Det ective Con t

ListAttachedRolePolicies操作已从策略中删除。该操作使用资源作为通配符 (*)。由于 “列表” 是一个非变异操作,因此它可以访问所有资源,并且不允许使用通配符。

 2023 年 3 月 28 日

更新的政策 — Det ective Con t

更新了策略并添加了权限边界策略。

 2023 年 3 月 21 日

新政策-通讯录服务

Accelerate 添加了一项新政策,用于查看资源标签中的账户联系信息。

Accelerate 添加了一项新的策略来读取您的资源标签,以便它可以检索您提前设置的资源联系信息。

 2023 年 2 月 16 日

新政策-活动服务

Accelerate 添加了一项新政策,用于将警报状态变更信息从您的账户发送到 AWS Managed Services。

向作为警报管理器的工作原理权限一部分创建的 IAM 角色授予创建必需的 Amazon EventBridge 托管规则的权限。

 2023年2月7日

更新的政策-部署工具包

添加了 S3 权限以支持客户从 Accelerate 中离线。

 2023 年 1 月 30 日

新政策 — 侦探控制

允许服务相关角色完成操作Detective 控制 AMS Accerate 的服务相关角色,以便您部署 Accelerate 侦探控件。

 2022 年 12 月 19 日

新政策-警报管理器

Accelerate 添加了一项新政策,允许权限执行警报管理器任务。

授予作为警报管理器的工作原理权限一部分创建的 IAM 角色执行诸如 AWS 配置评估、读取 Con AWS fig 以获取警报管理器配置、创建必要的 Amazon CloudWatch 警报等操作。

 2022 年 11 月 30 日

加速开始跟踪变更

Accelerate 开始跟踪其 AWS 托管策略的变更。

 2022 年 11 月 30 日

新政策-部署工具包

加速为部署任务添加了此策略。

向服务相关角色授予访问和更新与部署相关的 Amazon S3 存储桶和堆栈的AWSServiceRoleForAWSManagedServicesDeploymentToolkit权限。 AWS CloudFormation

2022 年 6 月 9 日