本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 的托管策略 AWS Resilience Hub
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的客户管理型策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管策略。
AWSResilienceHubAsssessmentExecutionPolicy
您可以将 AWSResilienceHubAsssessmentExecutionPolicy 附加得到 IAM 身份。在运行评估时,此策略向其他 AWS 服务授予执行评估的访问权限。
权限详细信息
该政策提供了足够的权限来向您的亚马逊简单存储服务 (Amazon S3) 存储桶发布警报 AWS FIS 和 SOP 模板。Amazon S3 存储桶的名称必须以 aws-resilience-hub-artifacts- 开头。如果您想发布到其他 Amazon S3 存储桶,则可以在调用 CreateRecommendationTemplate API 的同时执行此操作。有关更多信息,请参阅 CreateRecommendationTemplate。
该策略包含以下权限:
-
Amazon CloudWatch (CloudWatch)-获取您在亚马逊中为监控应用程序 CloudWatch 而设置的所有已实现警报。此外,我们还
cloudwatch:PutMetricData用于发布ResilienceHub命名空间中应用程序的弹性分数 CloudWatch 指标。 -
Amazon Data Lifecycle Manager — 获取并提供与您的 AWS 账户关联的亚马逊数据生命周期管理器资源的
Describe权限。 -
Amazon DevOps Guru — 列出与您的 AWS 账户关联的 Amazon DevOps Guru 资源并提供
Describe权限。 -
亚马逊 DocumentDB — 列出与您的账户关联的亚马逊 DocumentDB 资源并为其提供
Describe权限。 AWS -
Amazon DynamoDB(DynamoDB)– 列出并提供与您的 AWS 账户关联的 Amazon DynamoDB 资源的
Describe权限。 -
Amazon ElastiCache (ElastiCache)-为与您的 AWS 账户关联的 ElastiCache 资源提供
Describe权限。 -
亚马逊 ElastiCache (Redis OSS)无服务器(ElastiCache (Redis OSS)Serverless)— 为与您的账户关联的 ElastiCache (Redis OSS)无服务器配置提供
Describe权限。 AWS -
亚马逊弹性计算云 (Amazon EC2)-列出与您的 AWS 账户关联的亚马逊 EC2 资源并提供
Describe权限。 -
Amazon Elastic Container Registry (Amazon ECR) — 为与您的账户关联的亚马逊 ECR 资源提供
Describe权限。 AWS -
亚马逊弹性容器服务 (Amazon ECS) Servic
Describee — 为与 AWS 您的账户关联的亚马逊 ECS 资源提供权限。 -
Amazon Elastic File System (Amazon EFS) — 为与您的 AWS 账户关联的亚马逊 EFS 资源提供
Describe权限。 -
Amazon Elastic Kubernetes Service(Amazon EKS)– 列出并提供与您的 AWS 账户关联的 Amazon EKS 资源的
Describe权限。 -
Amazon A EC2 uto Scaling — 列出与您的 AWS 账户关联的 Amazon A EC2 uto Scaling 资源并提供
Describe权限。 -
Amazon S EC2 ystems Manager (SSM)-为与您的 AWS 账户关联的 SSM 资源提供
Describe权限。 -
AWS Fault Injection Service (AWS FIS) — 列出与您的 AWS 账户关联的 AWS FIS 实验和实验模板并提供
Describe权限。 -
FSx 适用于 Windows 的亚马逊文件服务器 (亚马逊 FSx)-列出与您的 AWS 账户关联的亚马逊 FSx 资源并提供
Describe权限。 -
Amazon RDS — 列出与您的 AWS 账户关联的 Amazon RDS 资源并为其提供
Describe权限。 -
Amazon Route 53(Route 53)– 列出与您的 AWS 账户关联的 Route 53 资源的
Describe权限。 -
Amazon Route 53 Resolver — 列出与您的 AWS 账户关联的 Amazon Route 53 Resolver 资源并为其提供
Describe权限。 -
Amazon Simple Notification Service(Amazon SNS)– 列出并提供与您 AWS 账户关联的 Amazon SNS 资源的
Describe权限。 -
Amazon Simple Queue Service(Amazon SQS)– 列出并提供与您的 AWS 账户关联的 Amazon SQS 资源的
Describe权限。 -
亚马逊简单存储服务 (Amazon S3) Simple Service — 列出与您的账户关联的 Amazon S3 资源并
Describe提供权限。 AWS注意
运行评估时,如果托管策略中存在任何缺失的权限需要更新,则 AWS Resilience Hub 将使用 s3: GetBucketLogging 权限成功完成评估。但是, AWS Resilience Hub 将显示一条警告消息,列出缺少的权限,并提供添加权限的宽限期。如果您未在指定的宽限期内添加缺少的权限,则评估将失败。
-
AWS Backup — 列出与您的 AWS 账户关联的 Amazon A EC2 uto Scaling 资源并获取其
Describe权限。 -
AWS CloudFormation — 列出与您的 AWS 账户关联的 AWS CloudFormation 堆栈上的资源并获取其
Describe权限。 -
AWS DataSync — 列出与您的 AWS 账户关联的 AWS DataSync 资源并为其提供
Describe权限。 -
Directory Service — 列出与您的 AWS 账户关联的 Directory Service 资源并为其提供
Describe权限。 -
AWS Elastic Disaster Recovery (弹性灾难恢复)— 为与您的 AWS 账户关联的 Elastic 灾难恢复资源提供
Describe权限。 -
AWS Lambda (Lambda) — 列出与您的账户关联的 Lambda 资源并为其提供
Describe权限。 AWS -
AWS Resource Groups (Resource Groups)-列出与您的 AWS 账户关联的资源组资源并提供
Describe权限。 -
AWS Service Catalog (Service Catalog)-列出与您的 AWS 账户关联的服务目录资源并为其提供
Describe权限。 -
AWS Step Functions — 列出与您的 AWS 账户关联的 AWS Step Functions 资源并为其提供
Describe权限。 -
ELB — 列出与您的 AWS 账户关联的 ELB 资源并为其提供
Describe权限。 -
ssm:GetParametersByPath— 我们使用此权限来管理 CloudWatch 警报、测试或为您的应用程序配置 SOPs 的警报、测试。
AWS 账户需要以下 IAM 策略才能为用户、用户组和角色添加权限,从而为您的团队提供在运行评估时访问 AWS 服务的必要权限。
AWS Resilience HubAWS 托管策略的更新
查看 AWS Resilience Hub 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS Resilience Hub 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
|---|---|---|
| AWSResilienceHubAsssessmentExecutionPolicy – 更改 | AWS Resilience Hub 更新了AWSResilienceHubAsssessmentExecutionPolicy要授予的Get权限List和权限,允许你在运行评估 AWS FIS 时从中访问实验。 |
2024 年 12 月 17 日 |
| AWSResilienceHubAsssessmentExecutionPolicy – 更改 | AWS Resilience Hub 更新了AWSResilienceHubAsssessmentExecutionPolicy以授予Describe权限,允许您在运行评估时访问亚马逊 ElastiCache (Redis OSS) Serverless 上的资源和配置。 |
2024 年 9 月 25 日 |
| AWSResilienceHubAsssessmentExecutionPolicy – 更改 | AWS Resilience Hub 更新了AWSResilienceHubAsssessmentExecutionPolicy以授予Describe权限,允许您在运行评估 AWS Lambda 时访问 Amazon DocumentDB、ELB 上的资源和配置。 |
2024年8月1日 |
| AWSResilienceHubAsssessmentExecutionPolicy – 更改 | AWS Resilience Hub 更新了AWSResilienceHubAsssessmentExecutionPolicy以授予Describe权限,允许您在运行评估时读取 Amazon FSx for Windows 文件服务器配置。 |
2024 年 3 月 26 日 |
| AWSResilienceHubAsssessmentExecutionPolicy – 更改 | AWS Resilience Hub 更新了AWSResilienceHubAsssessmentExecutionPolicy以授予Describe权限,允许您在运行评估时读取 AWS Step Functions
配置。 |
2023 年 10 月 30 日 |
| AWSResilienceHubAsssessmentExecutionPolicy – 更改 | AWS Resilience Hub 更新了AWSResilienceHubAsssessmentExecutionPolicy以授予Describe权限,允许您在运行评估时访问 Amazon RDS 上的资源。 |
2023 年 10 月 5 日 |
|
此 AWS Resilience Hub 政策允许访问其他 AWS 服务以进行评估。 |
2023 年 6 月 26 日 | |
|
AWS Resilience Hub 开始跟踪更改 |
AWS Resilience Hub 开始跟踪其 AWS 托管策略的更改。 |
2023 年 6 月 15 日 |
