本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS AMS 加速的托管策略
<a name="security-iam-awsmanpol"></a>

 AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅*《IAM 用户指南》*中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

有关变更表，请参见[加快 AWS 托管策略的更新](#security-iam-awsmanpol-updates)。

## AWS 托管策略： AWSManagedServices\$1AlarmManagerPermissionsBoundary
<a name="security-iam-awsmanpol-AlarmManagerPermissionsBoundary"></a>

AWS Managed Services (AMS) 使用`AWSManagedServices_AlarmManagerPermissionsBoundary` AWS 托管策略。 AWSManagedServices\$1AlarmManager\$1 中使用此 AWS托管策略ServiceRolePolicy 来限制由 AWSServiceRoleForManagedServices\$1AlarmManager创建的 IAM 角色的权限。

此策略授予作为其中一部分创建的 IAM 角色执行 AWS 配置评估[警报管理器的工作原理](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)、 AWS 读取 Config 以获取 Alarm Manager 配置以及创建必要的 Amazon CloudWatch 警报等操作的权限。

该`AWSManagedServices_AlarmManagerPermissionsBoundary`策略附加到`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服务相关角色。有关此角色的更新，请参阅[加快服务相关角色的更新](using-service-linked-roles.md#slr-updates)。

您可以将 策略附加得到 IAM 身份。

**权限详细信息**

该策略包含以下权限。
+ `AWS Config`— 允许评估配置规则和选择资源配置的权限。
+ `AWS AppConfig`— 允许获取 AlarmManager 配置的权限。
+ `Amazon S3`— 允许操作 AlarmManager 存储桶和对象的权限。
+ `Amazon CloudWatch`— 允许读取和发布 AlarmManager 托管警报和指标的权限。
+ `AWS Resource Groups and Tags`— 允许读取资源标签的权限。
+ `Amazon EC2`— 允许读取 Amazon EC2 资源。
+ `Amazon Redshift`— 允许读取 Redshift 实例和集群的权限。
+ `Amazon FSx`— 允许描述文件系统、卷和资源标签的权限。
+ `Amazon CloudWatch Synthetics`— 允许读取 Synthetics 资源的权限。
+ `Amazon Elastic Kubernetes Service`— 允许描述 Amazon EKS 集群的权限。
+ `Amazon ElastiCache`— 允许描述资源的权限。

您可以下载此压缩包中的策略文件：[RecommendedPermissionBoundary.zip。](samples/RecommendedPermissionBoundary.zip)

## AWS 托管策略: AWSManagedServices\$1DetectiveControlsConfig\$1 ServiceRolePolicy
<a name="security-iam-awsmanpol-DetectiveControlsConfig"></a>

AWS Managed Services (AMS) 使用`AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS 托管策略。此 AWS托管策略附加到[`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服务相关角色](using-service-linked-roles.html#slr-deploy-detect-controls)（请参阅[Detective 控制 AMS Accerate 的服务相关角色](using-service-linked-roles.md#slr-deploy-detect-controls)）。有关`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服务相关角色的更新，请参阅[加快服务相关角色的更新](using-service-linked-roles.md#slr-updates)。

该策略允许服务相关角色为您完成操作。

您可以将 AWSManagedServices\$1DetectiveControlsConfig \$1 ServiceRolePolicy 策略附加到您的 IAM 实体。

有关更多信息，请参阅 [在 AMS Accelerate 中使用服务相关角色](using-service-linked-roles.md)。

**权限详细信息**

此策略具有以下权限，允许 Det AWS Managed Services ective Controls 部署和配置所有必要的资源。
+ `CloudFormation`— 允许 AMS Detective Controls 部署包含 s3 存储桶、配置规则和配置记录器等资源的 CloudFormation 堆栈。
+ `AWS Config`— 允许 AMS Detective Controls 创建 AMS 配置规则、配置聚合器和标记资源。
+ `Amazon S3`— 允许 AMS Detective Controls 管理其 s3 存储桶。

你可以下载此 ZIP 文件中的 JSON 策略文件：[DetectiveControlsConfig\$1 ServiceRolePolicy .zip。](samples/DetectiveControlsConfig_ServiceRolePolicy.zip)

## AWS 托管策略： AWSManagedServicesDeploymentToolkitPolicy
<a name="security-iam-awsmanpol-DeploymentToolkitPolicy"></a>

AWS Managed Services (AMS) 使用`AWSManagedServicesDeploymentToolkitPolicy` AWS 托管策略。此 AWS托管策略附加到[`AWSServiceRoleForAWSManagedServicesDeploymentToolkit`服务相关角色](using-service-linked-roles.html#slr-deploy-acc)（请参阅[AMS Accelerate 的部署工具包服务相关角色](using-service-linked-roles.md#slr-deploy-acc)）。该策略允许服务相关角色为您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息，请参阅 [在 AMS Accelerate 中使用服务相关角色](using-service-linked-roles.md)。

有关`AWSServiceRoleForManagedServicesDeploymentToolkitPolicy`服务相关角色的更新，请参阅[加快服务相关角色的更新](using-service-linked-roles.md#slr-updates)。

**权限详细信息**

此策略具有以下权限，允许 Det AWS Managed Services ective Controls 部署和配置所有必要的资源。
+ `CloudFormation`— 允许 AMS 部署工具包使用 CDK 所需的 S3 资源部署 CFN 堆栈。
+ `Amazon S3`— 允许 AMS 部署工具包管理其 S3 存储桶。
+ `Elastic Container Registry`— 允许 AMS 部署工具包管理其 ECR 存储库，该存储库用于部署 AMS CDK 应用程序所需的资产。

你可以下载这个压缩文件中的 JSON 策略文件：[AWSManagedServicesDeploymentToolkitPolicy.zip。](samples/AWSManagedServices_DeploymentToolkitPolicy.zip)

## AWS 托管策略： AWSManagedServices\$1EventsServiceRolePolicy
<a name="EventsServiceRolePolicy"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServices_EventsServiceRolePolicy` AWS 托管策略。此 AWS托管策略附加到[`AWSServiceRoleForManagedServices_Events`服务相关角色](using-service-linked-roles.html#slr-evb-rule)。该策略允许服务相关角色为您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息，请参阅 [在 AMS Accelerate 中使用服务相关角色](using-service-linked-roles.md)。

有关`AWSServiceRoleForManagedServices_Events`服务相关角色的更新，请参阅[加快服务相关角色的更新](using-service-linked-roles.md#slr-updates)。

**权限详细信息**

此策略具有以下权限，允许亚马逊将警报状态变更信息从您的账户传送 EventBridge 到 AWS Managed Services。
+ `events`— 允许 Accelerate 创建亚马逊 EventBridge 托管规则。此规则是将警报状态变更信息从您的账户传送 AWS 账户 到您的账户所需的基础架构 AWS Managed Services。

你可以下载这个压缩文件中的 JSON 策略文件：[EventsServiceRolePolicy.zip。](samples/EventsServiceRolePolicy.zip)

## AWS 托管策略： AWSManagedServices\$1ContactsServiceRolePolicy
<a name="ContactsServiceManagedPolicy"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServices_ContactsServiceRolePolicy` AWS 托管策略。此 AWS托管策略附加到[`AWSServiceRoleForManagedServices_Contacts`服务相关角色](using-service-linked-roles.html#slr-contacts-service)（请参阅[为 AMS Accelerate 创建联系人单反相机](using-service-linked-roles.md#slr-contacts-service-create)）。该策略允许 AMS 联系人 SLR 查看您在 AWS 资源上的资源标签及其值。您不能将此策略附加到您的 IAM 实体。有关更多信息，请参阅 [在 AMS Accelerate 中使用服务相关角色](using-service-linked-roles.md)。

**重要**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。AMS 使用标签为您提供管理服务。标签不适合用于私有或敏感数据。

有关`AWSServiceRoleForManagedServices_Contacts`服务相关角色的更新，请参阅[加快服务相关角色的更新](using-service-linked-roles.md#slr-updates)。

**权限详细信息**

此策略具有以下权限，允许联系人 SLR 读取您的资源标签，以检索您提前设置的资源联系人信息。
+ `IAM`— 允许联系人服务查看 IAM 角色和 IAM 用户的标签。
+ `Amazon EC2`— 允许联系人服务查看 Amazon EC2 资源上的标签。
+ `Amazon S3`— 允许联系人服务查看 Amazon S3 存储桶上的标签。此操作使用条件来确保 AMS 使用 HTTP 授权标头、Sigv4 签名协议以及使用 TLS 1.2 或更高版本的 HTTPS 访问您的存储桶标签。有关更多信息，请参阅[身份验证方法](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro)和 [Amazon S3 签名版本 4 身份验证特定策略密钥](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html)。
+ `Tag`— 允许联系人服务查看其他 AWS 资源上的标签。
+ “iam：ListRoleTags”、“iam：ListUserTags”、“tag：”、GetResources “tag：”、GetTagKeys “tag：”、GetTagValues “tag：”、DescribeTags “ec2：”、“s3：GetBucketTagging”

你可以下载这个压缩文件中的 JSON 策略文件：[ContactsServicePolicy.zip。](samples/ContactsServicePolicy.zip)

## 加快 AWS 托管策略的更新
<a name="security-iam-awsmanpol-updates"></a>

查看有关自该服务开始跟踪这些更改以来对 Accelerate AWS 托管策略更新的详细信息。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
| 更新的政策-[部署工具包](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2024 年 4 月 4 日 | 
| 更新的政策-[部署工具包](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 5 月 9 日 | 
| 更新的政策 — Det [ective Con](#security-iam-awsmanpol-DetectiveControlsConfig) t | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 4 月 10 日 | 
| 更新的政策 — Det [ective Con](#security-iam-awsmanpol-DetectiveControlsConfig) t | 该`ListAttachedRolePolicies`操作已从策略中删除。该操作使用资源作为通配符 (\$1)。由于 “列表” 是一个非变异操作，因此它可以访问所有资源，并且不允许使用通配符。 | 2023 年 3 月 28 日 | 
| 更新的政策 — Det [ective Con](#security-iam-awsmanpol-DetectiveControlsConfig) t | 更新了策略并添加了权限边界策略。 | 2023 年 3 月 21 日 | 
| 新政策-[通讯录服务](#ContactsServiceManagedPolicy) | Accelerate 添加了一项新政策，用于查看资源标签中的账户联系信息。 Accelerate 添加了一项新的策略来读取您的资源标签，以便它可以检索您提前设置的资源联系信息。 | 2023 年 2 月 16 日 | 
| 新政策-[活动服务](#EventsServiceRolePolicy) | Accelerate 添加了一项新政策，用于将警报状态变更信息从您的账户发送到 AWS Managed Services。 向作为[警报管理器的工作原理](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)权限一部分创建的 IAM 角色授予创建必需的 Amazon EventBridge 托管规则的权限。 | 2023年2月7日 | 
| 更新的政策-[部署工具包](#security-iam-awsmanpol-DeploymentToolkitPolicy) | 添加了 S3 权限以支持客户从 Accelerate 中离线。 | 2023 年 1 月 30 日 | 
| 新政策 — [侦探控制](#security-iam-awsmanpol-DetectiveControlsConfig)  | 允许服务相关角色完成操作[Detective 控制 AMS Accerate 的服务相关角色](using-service-linked-roles.md#slr-deploy-detect-controls)，以便您部署 Accelerate 侦探控件。 | 2022 年 12 月 19 日 | 
| 新政策-[警报管理器](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary)  | Accelerate 添加了一项新政策，允许权限执行警报管理器任务。 授予作为[警报管理器的工作原理](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)权限一部分创建的 IAM 角色执行诸如 AWS 配置评估、读取 Con AWS fig 以获取警报管理器配置、创建必要的 Amazon CloudWatch 警报等操作。 | 2022 年 11 月 30 日 | 
| 加速开始跟踪变更 | Accelerate 开始跟踪其 AWS 托管策略的变更。 | 2022 年 11 月 30 日 | 
| 新政策-[部署工具包](#security-iam-awsmanpol-DeploymentToolkitPolicy) | 加速为部署任务添加了此策略。 向服务相关角色授予访问和更新与部署相关的 Amazon S3 存储桶和堆栈的[AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc)权限。 CloudFormation  | 2022 年 6 月 9 日 |