本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性 AWS 资源探索器
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将此描述为云的安全性和云中的安全性:
+ **云安全** — AWS 负责保护在云 AWS 服务 中运行的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划合规计划合规计划合](https://aws.amazon.com/compliance/programs/)的一部分,第三方审计师定期测试和验证我们安全的有效性。要了解适用于 Resource Explorer 的合规性计划,请参阅AWS 服务 “[按合规计划划分的范围](https://aws.amazon.com/compliance/services-in-scope/)” ”。
+ **云端安全** — 您的责任由您 AWS 服务 使用的内容决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
本文档可帮助您了解在使用时如何应用分担责任模型 AWS 资源探索器。它说明了如何配置资源管理器以实现您的安全性和合规性目标。您还将学习如何使用其他 AWS 服务 方法来监控和保护您的资源管理器资源。
**Topics**
+ [将IAM策略升级到 IPv6](arex-security-ipv6-upgrade.md)
+ [Identity and Access Management](security_iam.md)
+ [数据保护](data-protection.md)
+ [合规性验证](compliance-validation.md)
+ [故障恢复能力](disaster-recovery-resiliency.md)
+ [基础设施安全性](infrastructure-security.md)
# 将IAM策略升级到 IPv6
AWS 资源探索器 客户使用IAM策略来设置允许的 IP 地址范围,并防止配置范围之外的任何 IP 地址能够访问资源浏览器APIs。
*资源浏览器-2。*region*托管资源管理器的 APIs .api.aws * 域名正在升级为支持IPv6。IPv4
未更新以处理IPv6地址的 IP 地址筛选策略可能会导致客户端无法访问资源管理器API域上的资源。
## 受从升级IPv4到影响的客户 IPv6
使用双寻址策略包含 aws*:* 的客户将sourceIp受到此次升级的影响。双寻址意味着网络同时支持IPv4和IPv6。
如果您使用的是双地址,则必须更新当前使用IPv4格式地址配置的IAM策略以包含IPv6格式地址。
有关访问问题的帮助,请联系 [支持](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create)。
**注意**
以下客户*不受*此次升级的影响:
*仅*使用IPv4网络的客户。
*仅*使用IPv6网络的客户。
## 什么是 IPv6?
IPv6是旨在最终取代的下一代 IP 标准IPv4。之前的版本使用 32 位寻址方案来支持 43 亿台设备。IPv4IPv6而是使用 128 位寻址来支持大约 340 万亿亿亿美元(或第 128 功率的 2 倍)设备。
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
## 更新以下各项的IAM政策 IPv6
IAM策略当前用于使用`aws:SourceIp`过滤器设置允许的 IP 地址范围。
双寻址同时支持IPv4和IPV6流量。如果您的网络使用双寻址,则必须确保更新所有用于 IP 地址筛选的IAM策略以包括IPv6地址范围。
例如,此 Amazon S3 存储桶策略确定了`Condition`元素`203.0.113.0.*`中允许IPv4的地址范围`192.0.2.0.*`。
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
为了更新此政策,策略的`Condition`元素已更新为包括IPv6地址范围`2001:DB8:1234:5678::/64`和`2001:cdba:3257:8593::/64`。
**注意**
使用现有NOTREMOVE的地IPv4址,因为它们是向后兼容所必需的。
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
有关使用管理访问权限的更多信息IAM,请参阅*《AWS Identity and Access Management 用户指南》*中的[托管策略和内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
## 验证您的客户是否可以支持 IPv6
使用*资源浏览器-2 的客户。 \$1region\$1 .api.aw* s 终端节点建议验证其客户端是否可以访问其他已启用的 AWS 服务 终端节点。IPv6以下步骤描述了如何验证这些端点。
*此示例使用 Linux 和 curl 版本 8.6.0,并使用已IPv6启用位于 api.aws 域的终端节点的[亚马逊 Athena 服务终端节点](https://docs.aws.amazon.com/general/latest/gr/athena.html)。*
**注意**
将切换 AWS 区域 到客户端所在的同一区域。在此示例中,我们使用美国东部(弗吉尼亚北部)-`us-east-1` 端点。
1. 使用以下 curl 命令确定端点是否使用IPv6地址进行解析。
```
dig +short AAAA athena.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
```
1. IPv6使用以下 curl 命令确定客户端网络能否建立连接。
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
response code: 404
```
**如果识别了远程 IP 但未识别响应码`0`,则使用成功地与端点建立了网络连接IPv6。**
如果远程 IP 为空或响应码为`0`,则客户端网络或终端的网络路径IPv4仅为-only。您可以使用以下 curl 命令验证此配置。
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 3.210.103.49
response code: 404
```
**如果识别了远程 IP 但未识别响应码`0`,则使用成功地与端点建立了网络连接IPv4。**远程 IP 应该是一个IPv4地址,因为操作系统应选择对客户端有效的协议。如果远程 IP 不是IPv4地址,请使用以下命令强制使用 IPv4 curl。
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 35.170.237.34
response code: 404
```
# 的身份和访问管理 AWS 资源探索器
AWS Identity and Access Management (IAM) AWS 服务 可以帮助管理员安全地控制对 AWS 资源的访问权限。IAM管理员控制谁可以*通过身份验证*(登录)和*授权*(拥有权限)使用资源浏览器资源。IAM无需支付额外费用即可使用。 AWS 服务
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
+ [资源浏览器的工作原理 IAM](security_iam_service-with-iam.md)
+ [AWS 资源探索器 基于身份的策略示例](security_iam_id-based-policy-examples.md)
+ [AWS Organizations 和资源浏览器的服务控制策略示例](security_iam_scp.md)
+ [AWS 的托管策略 AWS 资源探索器](security_iam_awsmanpol.md)
+ [为资源管理器使用服务相关角色](security_iam_service-linked-roles.md)
+ [AWS 资源探索器 权限疑难解答](security_iam_troubleshoot.md)
## 受众
使用 AWS Identity and Access Management (IAM) 的方式会有所不同,具体取决于您在资源管理器中所做的工作。
**服务用户** – 如果使用资源管理器服务来完成任务,则您的管理员会为您提供所需的凭证和权限。当您使用更多资源管理器功能来完成工作时,则可能需要额外权限。了解如何管理访问权限有助于您向管理员请求适合的权限。如果您无法访问资源管理器中的功能,请参阅 [AWS 资源探索器 权限疑难解答](security_iam_troubleshoot.md)。
**服务管理员** – 如果您在公司负责管理资源管理器资源,您可能具有资源管理器资源的完全访问权限。您有责任确定您的服务用户应访问哪些资源管理器功能和资源。然后,您必须向IAM管理员提交更改服务用户权限的请求。查看此页面上的信息以了解的基本概念IAM。要详细了解贵公司如何IAM使用资源管理器,请参阅[资源浏览器的工作原理 IAM](security_iam_service-with-iam.md)。
**IAM管理员**-如果您是IAM管理员,则可能需要详细了解如何编写策略来管理资源管理器的访问权限。要查看可在中使用的基于身份的资源浏览器策略示例IAM,请参阅。[AWS 资源探索器 基于身份的策略示例](security_iam_id-based-policy-examples.md)
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须*以 AWS 账户根用户、IAM用户身份或通过担任IAM角色进行身份验证*(登录 AWS)。
您可以使用通过身份源提供的凭据以 AWS 联合身份登录。 AWS IAM Identity Center (IAM身份中心)用户、贵公司的单点登录身份验证以及您的 Google 或 Facebook 凭据就是联合身份的示例。当您以联合身份登录时,您的管理员之前使用IAM角色设置了联合身份。当你使用联合访问 AWS 时,你就是在间接扮演一个角色。
根据您的用户类型,您可以登录 AWS 管理控制台 或 AWS 访问门户。有关登录的更多信息 AWS,请参阅《*AWS 登录 用户指南》*[中的如何登录到您 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)的。
如果您 AWS 以编程方式访问,则会 AWS 提供软件开发套件 (SDK) 和命令行接口 (CLI),以便使用您的凭据对请求进行加密签名。如果您不使用 AWS 工具,则必须自己签署请求。有关使用推荐的方法自行签署请求的更多信息,请参阅*IAM用户指南*中的[签署 AWS API请求](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html)。
无论使用何种身份验证方法,您可能需要提供其他安全信息。例如, AWS 建议您使用多重身份验证 (MFA) 来提高账户的安全性。*要了解更多信息,请参阅用户指南中的[多重身份验证](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html)和*AWS IAM Identity Center 用户指南 AWS*[中的使用多因素身份验证 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。IAM*
### AWS 账户 root 用户
创建时 AWS 账户,首先要有一个登录身份,该身份可以完全访问账户中的所有资源 AWS 服务 和资源。此身份被称为 AWS 账户 *root 用户*,使用您创建账户时使用的电子邮件地址和密码登录即可访问该身份。强烈建议您不要使用根用户执行日常任务。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以 root 用户身份登录的任务的完整列表,请参阅《用户*指南》*中的 “[需要根用户凭据的IAM任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)”。
### 用户和组
*[IAM用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是您内部 AWS 账户 对个人或应用程序具有特定权限的身份。在可能的情况下,我们建议使用临时证书,而不是创建拥有密码和访问密钥等长期凭证的IAM用户。但是,如果您有需要IAM用户长期凭证的特定用例,我们建议您轮换访问密钥。有关更多信息,请参阅《*IAM用户指南》*中的[定期轮换需要长期凭证的用例的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)是指定IAM用户集合的身份。您不能使用组的身份登录。您可以使用组来一次性为多个用户指定权限。如果有大量用户,使用组可以更轻松地管理用户权限。例如,您可以拥有一个名为的群组,*IAMAdmins*并授予该群组管理IAM资源的权限。
用户与角色不同。用户唯一地与某个人员或应用程序关联,而角色旨在让需要它的任何人代入。用户具有永久的长期凭证,而角色提供临时凭证。要了解更多信息,请参阅《[IAM用户*指南》中的何时创建IAM用户*(而不是角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose)。
### 角色
*[IAM角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是您内部具有特定权限 AWS 账户 的身份。它与IAM用户类似,但与特定人员无关。您可以 AWS 管理控制台 通过[切换IAM角色在中临时扮演角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)。您可以通过调用 AWS CLI 或 AWS API操作或使用自定义操作来代入角色URL。有关使用角色的方法的更多信息,请参阅*《IAM用户指南》*中的[代入角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM具有临时证书的角色在以下情况下很有用:
+ **联合用户访问** – 要向联合身份分配权限,请创建角色并为角色定义权限。当联合身份进行身份验证时,该身份将与角色相关联并被授予由此角色定义的权限。有关用于联合身份验证的角色的信息,请参阅*《IAM用户指南》*中的[为第三方身份提供商创建角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)。如果您使用 IAM Identity Center,则需要配置权限集。为了控制您的身份在进行身份验证后可以访问的内容,Ident IAM ity Center 会将权限集关联到中的IAM角色。有关权限集的信息,请参阅《AWS IAM Identity Center 用户指南》**中的 [权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
+ **临时IAM用户权限**-IAM 用户或角色可以代入一个IAM角色,为特定任务临时获得不同的权限。
+ **跨账户访问**-您可以使用IAM角色允许其他账户中的某人(受信任的委托人)访问您账户中的资源。角色是授予跨账户访问权限的主要方式。但是,对于某些资源 AWS 服务,您可以将策略直接附加到资源(而不是使用角色作为代理)。要了解角色和基于资源的跨账户访问策略之间的区别,请参阅*IAM用户*指南[IAM中的跨账户资源访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
+ **跨服务访问** — 有些 AWS 服务 使用其他 AWS 服务服务中的功能。例如,当您在服务中拨打电话时,该服务通常会在 Amazon 中运行应用程序EC2或在 Amazon S3 中存储对象。服务可能会使用发出调用的主体的权限、使用服务角色或使用服务相关角色来执行此操作。
+ **转发访问会话 (FAS)**-当您使用IAM用户或角色在中执行操作时 AWS,您被视为委托人。使用某些服务时,您可能会执行一个操作,然后此操作在其他服务中启动另一个操作。FAS使用调用委托人的权限 AWS 服务以及 AWS 服务 向下游服务发出请求的请求。FAS只有当服务收到需要与其他 AWS 服务 或资源交互才能完成的请求时,才会发出请求。在这种情况下,您必须具有执行这两个操作的权限。有关提出FAS请求时的政策详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
+ **服务角色**-服务[IAM角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是服务代替您执行操作的角色。IAM管理员可以在内部创建、修改和删除服务角色IAM。有关更多信息,请参阅《*IAM用户指南》 AWS 服务*中的[创建角色以向委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
+ **服务相关角色**-服务相关角色是一种与服务相关联的服务角色。 AWS 服务服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ,并且归服务所有。IAM管理员可以查看但不能编辑服务相关角色的权限。
+ **在 Amazon 上运行**的应用程序 EC2 — 您可以使用IAM角色管理在EC2实例上运行并发出 AWS CLI 或 AWS API请求的应用程序的临时证书。这比在EC2实例中存储访问密钥更可取。要为EC2实例分配 AWS 角色并使其可供其所有应用程序使用,您需要创建一个附加到该实例的实例配置文件。实例配置文件包含该角色,并允许在EC2实例上运行的程序获得临时证书。有关更多信息,请参阅*IAM用户指南*中的[使用IAM角色向在 Amazon EC2 实例上运行的应用程序授予权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。
要了解是使用IAM角色还是使用IAM用户,请参阅[《用户*指南》中的何时创建IAM角色(而不是IAM用户*)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略是其中的一个对象 AWS ,当与身份或资源关联时,它会定义其权限。 AWS 在委托人(用户、root 用户或角色会话)发出请求时评估这些策略。策略中的权限确定是允许还是拒绝请求。大多数策略都以JSON文档的 AWS 形式存储在中。有关JSON策略文档结构和内容的更多信息,请参阅[《*IAM用户指南》*中的JSON策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
默认情况下,用户和角色没有权限。要授予用户对其所需资源执行操作的权限,IAM管理员可以创建IAM策略。然后,管理员可以将IAM策略添加到角色中,用户可以代入这些角色。
IAM无论您使用何种方法执行操作,策略都会定义该操作的权限。例如,假设您有一个允许 `iam:GetRole` 操作的策略。拥有该策略的用户可以从 AWS 管理控制台 AWS CLI、或获取角色信息 AWS API。
### 基于身份的策略
基于身份的策略是可以附加到身份(例如IAM用户、用户组或角色)的JSON权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅*IAM用户*指南中的[创建IAM策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以进一步归类为*内联策略*或*托管策略*。内联策略直接嵌入单个用户、组或角色中。托管策略是独立的策略,您可以将其附加到中的多个用户、群组和角色 AWS 账户。托管策略包括 AWS 托管策略和客户托管策略。要了解如何在托管策略或内联策略之间进行选择,请参阅*《IAM用户指南》*中的在[托管策略和内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline)。
### 基于资源的策略
基于资源的JSON策略是您附加到资源的策略文档。基于资源的策略的示例包括IAM*角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委托人可以包括账户、用户、角色、联合用户或 AWS 服务。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略IAM中使用 AWS 托管策略。
AWS 资源探索器 不支持基于资源的策略。
### 访问控制列表 (ACLs)
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。ACLs与基于资源的策略类似,尽管它们不使用JSON策略文档格式。
Amazon S3 AWS WAF、和亚马逊VPC就是支持的服务示例ACLs。要了解更多信息ACLs,请参阅《*亚马逊简单存储服务开发者指南*》中的[访问控制列表 (ACL) 概述](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
AWS 资源探索器 不支持ACLs。
### 其他策略类型
AWS 支持其他不太常见的策略类型。这些策略类型可以设置更常用的策略类型向您授予的最大权限。
+ **权限边界**-权限边界是一项高级功能,您可以在其中设置基于身份的策略可以向IAM实体(IAM用户或角色)授予的最大权限。您可为实体设置权限边界。这些结果权限是实体基于身份的策略及其权限边界的交集。在 `Principal` 中指定用户或角色的基于资源的策略不受权限边界限制。任一项策略中的显式拒绝将覆盖允许。有关权限边界的更多信息,请参阅《*IAM用户指南》*中的[IAM实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-SCPs 是为中的组织或组织单位 (OU) 指定最大权限的JSON策略 AWS Organizations。 AWS Organizations 是一项用于对您的企业拥有的多 AWS 账户 项进行分组和集中管理的服务。如果您启用组织中的所有功能,则可以将服务控制策略 (SCPs) 应用于您的任何或所有帐户。对成员账户中的实体(包括每个实体)的权限进行了SCP限制 AWS 账户根用户。有关 Organization SCPs s 和的更多信息,请参阅《*AWS Organizations 用户指南*》中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **会话策略** – 会话策略是当您以编程方式为角色或联合用户创建临时会话时作为参数传递的高级策略。结果会话的权限是用户或角色的基于身份的策略和会话策略的交集。权限也可以来自基于资源的策略。任一项策略中的显式拒绝将覆盖允许。有关更多信息,请参阅《*IAM用户指南》*中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅*IAM用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 资源浏览器的工作原理 IAM
在使用管理IAM访问权限之前 AWS 资源探索器,您应该了解资源管理器中可以使用哪些IAM功能。要全面了解资源管理器和其他资源管理器是如何 AWS 服务 使用的 IAM [AWS 服务 ,请参阅*《IAM用户指南*》IAM中的使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)方法。
**Topics**
+ [资源管理器基于身份的器策略](#security_iam_service-with-iam-id-based-policies)
+ [根据资源管理器标签进行授权](#security_iam_service-with-iam-tags)
+ [资源浏览器IAM角色](#security_iam_service-with-iam-roles)
与其他资源管理器一样 AWS 服务,资源管理器需要权限才能使用其操作与您的资源进行交互。要进行搜索,用户必须有权检索视图的详细信息,并且还有权使用视图进行搜索。要创建索引或视图,或者修改它们或任何其他资源管理器设置,您必须具有其他权限。
分配IAM基于身份的策略,将这些权限授予相应的IAM委托人。资源管理器提供了[多个托管策略](security_iam_awsmanpol.md),用于预定义常用权限集。您可以将它们分配给您的IAM委托人。
## 资源管理器基于身份的器策略
使用IAM基于身份的策略,您可以指定针对特定资源的允许或拒绝的操作,以及允许或拒绝这些操作的条件。资源管理器支持特定的操作、资源和条件键。要了解您在JSON策略中使用的所有元素,请参阅*IAM用户指南*中的[IAMJSON策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个**主体** 可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON策略`Action`元素描述了可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API操作同名。也有一些例外,例如没有匹配*API操作的仅限权限*的操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为*相关操作*。
在策略中包含操作以授予执行关联操作的权限。
资源管理器中的策略操作在操作前使用 `resource-explorer-2` 前缀。例如,要向某人授予使用视图进行搜索的权限,请使用资源浏览器`Search`API操作,将该`resource-explorer-2:Search`操作包含在分配给该委托人的策略中。策略语句必须包含 `Action` 或 `NotAction` 元素。资源管理器定义了一组自己的操作,以描述您可以使用该服务执行的任务。这些操作与资源浏览器的API操作一致。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下例所示。
```
"Action": [
"resource-explorer-2:action1",
"resource-explorer-2:action2"
]
```
您可以使用通配符(`*`)指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,请包括以下操作。
```
"Action": "resource-explorer-2:Describe*"
```
要查看资源管理器操作的列表,请参阅《AWS 服务授权参考》**中的 [AWS 资源探索器定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个**主体** 可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource`JSON策略元素指定要应用操作的一个或多个对象。语句必须包含 `Resource` 或 `NotResource` 元素。最佳做法是,使用资源的 [Amazon 资源名称 (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 指定资源。对于支持特定资源类型(称为*资源级权限*)的操作,您可以执行此操作。
对于不支持资源级权限的操作(如列出操作),请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
#### 查看
资源管理器的主要资源类型是*视图*。
资源浏览器视图资源的ARN格式如下。
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```
资源浏览器ARN格式如以下示例所示。
```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
**注意**
视图ARN的末尾包含一个唯一标识符,以确保每个视图都是唯一的。这有助于确保授予对已删除的旧视图的访问权限的IAM策略不会被意外授予对恰好与旧视图同名的新视图的访问权限。每个新视图最后都会收到一个新的、唯一的 ID,以确保它永远不会ARNs被重复使用。
有关格式的更多信息ARNs,请参阅 [Amazon 资源名称 (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
您可以使用分配给IAM委托人的IAM基于身份的策略,并将视图指定为。`Resource`这样做可以让您通过一个视图向一组主体授予搜索权限,并通过完全不同的视图向另一组主体授予访问权限。
例如,要向IAM策略声明`ProductionResourcesView`中命名的单个视图授予权限,请先获取该视图的 [Amazon 资源名称 (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。**[您可以使用控制台中的 “视图” 页面查看视图的详细信息,也可以调用该`[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)`操作来检索所需的完整ARN视图。](https://console.aws.amazon.com/resource-explorer/home#/views)**然后,将其包含在策略声明中,如以下示例所示,以授予仅修改一个视图定义的权限。
```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/"
```
要允许对属于特定账户***的所有***视图执行操作,请在的相关部分使用通配符 (`*`)。ARN以下示例向指定 AWS 区域 和账户中的所有视图授予搜索权限。
```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```
某些资源管理器操作(例如 `CreateView`)不是针对特定资源执行的,因为如以下示例所示,该资源尚不存在。在这种情况下,必须对整个资源ARN使用通配符 (`*`)。
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```
如果指定以通配符结尾的路径,则可以将 `CreateView` 操作限制为仅使用已批准的路径创建视图。以下策略示例展示了如何允许主体仅在路径 `view/ProductionViews/` 中创建视图。
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```
#### 索引
您可以用来控制对资源管理器功能的访问权限的另一种资源类型是索引。
与索引交互的主要方式是通过在该区域中创建索引在 AWS 区域 中开启资源管理器。之后,您可以通过与视图交互来完成几乎所有其他操作。
您可以用索引执行的一项操作是控制谁可以在每个区域中***创建***视图。
**注意**
创建视图后,仅针对视图而不是索引IAM授权所有其他视图操作。ARN
该索引有一个[ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)可以在权限策略中引用的索引。资源浏览器索引ARN采用以下格式。
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```
参见以下资源浏览器索引示例ARN。
```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```
某些资源管理器操作会针对多种资源类型检查身份验证。例如,该[CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)操作同时对索引和视图进行授权,就像资源管理器创建后一样。ARN ARN要授予管理员管理资源管理器服务的权限,您可以使用 `"Resource": "*"` 授权对任何资源、索引或视图执行操作。
或者,您可以将主体限制为只能使用指定的资源管理器资源。例如,要将操作限制为仅限于指定区域中的资源浏览器资源,您可以添加一个既匹配索引又匹配视图,但仅调出单个区域的ARN模板。在以下示例中,仅ARN匹配指定账户`us-west-2`所在区域中的索引或视图。在的第三个字段中指定 RegionARN,但在最后一个字段中使用通配符 (\$1) 来匹配任何资源类型。
```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```
有关更多信息,请参阅《AWS 服务授权参考》**中的 [AWS 资源探索器定义的资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies)。要了解您可以使用哪些操作来指定每ARN种资源,请参阅[由定义的操作 AWS 资源探索器](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)。
### 条件键
资源管理器不提供任何特定于服务的条件键,但支持使用某些全局条件键。要查看所有 AWS 全局条件键,请参阅《*IAM用户指南》*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
在 `Condition` 元素(或 `Condition` *块*)中,可以指定语句生效的条件。`Condition` 元素是可选的。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。
如果您在一个语句中指定多个 `Condition` 元素,或在单个 `Condition` 元素中指定多个键,则 AWS 使用逻辑 `AND` 运算评估它们。如果您为单个条件键指定多个值,则使用逻辑`OR`运算来 AWS 评估条件。在授予语句的权限之前必须满足所有的条件。
在指定条件时,您也可以使用占位符变量。例如,只有在资源上标有IAM用户的用户名时,您才能向IAM用户授予访问该资源的权限。有关更多信息,请参阅《*IAM用户指南》*中的[IAM策略元素:变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。
AWS 支持全局条件密钥和特定于服务的条件密钥。要查看所有 AWS 全局条件键,请参阅《*IAM用户指南》*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
要查看可在资源管理器中使用的条件键的列表,请参阅《AWS 服务授权参考》**中 [AWS 资源探索器的条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys)。要了解您可以对哪些操作和资源使用条件键,请参阅 [AWS 资源探索器定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions)。
### 示例
要查看资源管理器基于身份的策略示例,请参阅 [AWS 资源探索器 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## 根据资源管理器标签进行授权
您可以将标签附加到资源管理器视图中,或将请求中的标签传递到资源管理器。要基于标签控制访问,您需要使用 `resource-explorer-2:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关标记资源管理器资源的更多信息,请参阅 [向视图添加标签](manage-views-tag.md)。有关在资源管理器中使用基于标签的授权,请参阅 [使用基于标签的授权来控制对视图的访问权限](manage-views-grant-access.md#manage-views-grant-access-abac)。
## 资源浏览器IAM角色
[IAM角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您内部具有特定权限 AWS 账户 的委托人。
### 将临时凭证用于资源管理器
您可以使用临时证书通过联合身份登录、代入IAM角色或代入跨账户角色。您可以通过调用 AWS Security Token Service (AWS STS) API 操作(例如[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或)来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
资源管理器支持使用临时凭证。
### 服务相关角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS 服务 允许访问其他服务中的资源以代表您完成操作。服务相关角色显示在您的IAM账户中,并归服务所有。IAM管理员可以查看但不能编辑服务相关角色的权限。
资源管理器使用服务相关角色来执行其工作。有关资源管理器服务相关角色的详细信息,请参阅 [为资源管理器使用服务相关角色](security_iam_service-linked-roles.md)。
# AWS 资源探索器 基于身份的策略示例
默认情况下,AWS Identity and Access Management(IAM)主体,例如角色、组和用户,没有创建或修改资源管理器资源的权限。它们还无法使用 AWS 管理控制台、AWS Command Line Interface(AWS CLI)或 AWS API 执行任务。IAM 管理员必须创建 IAM policy,以便为主体授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略分配给需要这些权限的 IAM 主体。
要提供访问权限,请为您的用户、组或角色添加权限:
+ AWS IAM Identity Center 中的用户和组:
创建权限集合。按照《AWS IAM Identity Center 用户指南》中 [创建权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)** 的说明进行操作。
+ 通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南**》中[为第三方身份提供商创建角色(联合身份验证)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南**》中[为 IAM 用户创建角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南**》中[向用户添加权限(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
要了解如何使用这些示例 JSON 策略文档创建 IAM 基于身份的策略,请参阅《IAM 用户指南》中的 [在 JSON 选项卡上创建策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)**。
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [使用资源管理器控制台](#security_iam_id-based-policy-examples-console)
+ [根据标签授予对视图的访问权限](#security_iam_id-based-policy-examples-abac-views)
+ [授予根据标签创建视图的访问权限](#security_iam_id-based-policy-examples-abac-createview)
+ [允许主体查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
## 策略最佳实践
基于身份的策略确定某个人是否可以创建、访问或删除您账户中的资源管理器资源。这些操作可能会使 AWS 账户 产生成本。创建或编辑基于身份的策略时,请遵循以下准则和建议:
+ **AWS 托管策略及转向最低权限许可入门** - 要开始向用户和工作负载授予权限,请使用 *AWS 托管策略*来为许多常见使用场景授予权限。您可以在 AWS 账户 中找到这些策略。我们建议通过定义特定于您的使用场景的 AWS 客户管理型策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 或 [工作职能的 AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)**。
+ **应用最低权限** – 在使用 IAM policy 设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)**。
+ **使用 IAM policy 中的条件进一步限制访问权限** – 您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果通过特定 AWS 服务(例如 CloudFormation)使用服务操作,您还可以使用条件来授予对服务操作的访问权限。有关更多信息,请参阅《IAM 用户指南》中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)**。
+ **使用 IAM Access Analyzer 验证您的 IAM policy,以确保权限的安全性和功能性** – IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM policy语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》中的 [IAM Acess Analyzer 策略验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)**。
+ **Require multi-factor authentication(MFA)**[需要多重身份验证(MFA)] – 如果您所处的场景要求您的 AWS 账户 中有 IAM 用户或根用户,请启用 MFA 来提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》中的 [配置受 MFA 保护的 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)**。
有关 IAM 中的最佳实践的更多信息,请参阅《IAM 用户指南》中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)**。
## 使用资源管理器控制台
对于要在 AWS 资源探索器 控制台中搜索的主体,他们必须具有一组最低的权限。如果没有创建具有所需的最低权限的基于身份的策略,对于账户中的主体,资源管理器控制台将无法按预期正常运行。
您可以使用名为 `AWSResourceExplorerReadOnlyAccess` 的 AWS 托管策略来授予使用资源管理器控制台通过账户中的任何视图进行搜索的权限。要授予仅使用单个视图进行搜索的权限,请参阅 [授予对资源管理器视图的访问权限以进行搜索](manage-views-grant-access.md) 和以下两个部分中的示例。
对于仅调用 AWS CLI 或 AWS API 的主体,您不需要允许最低控制台权限。相反,您可以选择仅授予与主体需要执行的 API 操作相匹配的操作的访问权限。
## 根据标签授予对视图的访问权限
在本示例中,您希望向账户中的主体授予对 AWS 账户 中的资源管理器视图的访问权限。为此,您需要将基于 IAM 身份的策略分配给您希望能够在资源管理器中搜索的主体。以下示例 IAM policy 授予对任何请求的访问权限,其中附加到调用主体的 `Search-Group` 标签与请求中使用的视图所附加的相同标签的值完全匹配。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-explorer-2:GetView",
"resource-explorer-2:Search"
],
"Resource": "arn:aws:resource-explorer-2:*:*:view/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
}
}
]
}
```
您可以将该策略分配给您账户中的 IAM 主体。如果带有标签 `Search-Group=A` 的主体尝试使用资源管理器视图进行搜索,则还必须对该视图添加标签 `Search-Group=A`。如果不是,则主体将被拒绝访问。条件标签键 `Search-Group` 匹配 `Search-group` 和 `search-group`,因为条件键名称不区分大小写。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
**重要**
要在 AWS 管理控制台 的统一搜索结果中查看您的资源,主体必须同时拥有包含聚合器索引的 AWS 区域 中的默认视图的 `GetView` 和 `Search` 权限。授予这些权限的最简单方法是保留使用快速或高级设置开启资源管理器时附加到视图的默认的基于资源的权限。
对于这种情况,您可以考虑将默认视图设置为筛选出敏感资源,然后设置向其授予基于标签的访问权限的其他视图,如上例所述。
## 授予根据标签创建视图的访问权限
在此示例中,您希望仅允许标记为与索引相同的主体能够在包含索引的 AWS 区域 中创建视图。为此,请创建基于身份的权限以允许主体使用视图进行搜索。
现在您已经准备好授予创建视图的权限。您可以将此示例中的语句添加到用于向相应主体授予 `Search` 权限的相同权限策略中。根据调用视图要关联的操作和索引的主体所附加的标签,允许或拒绝这些操作。当附加到调用方主体的 `Allow-Create-View` 标签的值与创建视图的区域中附加到索引的同一个标签的值不完全匹配时,以下示例 IAM policy 拒绝任何创建视图的请求。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "resource-explorer-2:CreateView",
"Resource": "*",
"Condition": {
"StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
}
}
]
}
```
## 允许主体查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上完成此操作或者以编程方式使用 AWS CLI 或 AWS API 所需的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS Organizations 和资源浏览器的服务控制策略示例
AWS 资源探索器 支持服务控制策略 (SCP)。SCP 是您附加到组织中元素的策略,用于对该组织内的权限进行管理。SCP 适用于组织 AWS 账户 中[您附加 SCP 的元素下](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html)的所有人。SCP 为您组织中的所有账户提供对最大可用权限的集中控制。它们可以帮助您确保 AWS 账户 遵守组织的访问控制准则。有关更多信息,请参阅 *AWS Organizations 用户指南*中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html)。
## 先决条件
要使用 SCP,您必须先执行以下操作:
+ 启用组织中的所有功能。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[启用企业中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 启用 SCP 以在您的组织内使用。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[启用和禁用策略类型](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)。
+ 创建您需要的 SCP。有关创建 SCP 的更多信息,请参阅《AWS Organizations 用户指南》**中的[创建和更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html)。
## 示例服务控制策略
以下示例说明如何使用[基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)来控制对资源管理器管理操作的访问权限。除非对提出请求的 IAM 主体进行了 `ResourceExplorerAdmin=TRUE` 标记,否则此示例策略拒绝访问除搜索所需的两个权限 `resource-explorer-2:Search` 和 `resource-explorer-2:GetView` 之外的所有资源管理器操作。有关在资源管理器中使用 ABAC 的更完整讨论,请参阅 [使用基于标签的授权来控制对视图的访问权限](manage-views-grant-access.md#manage-views-grant-access-abac)。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resource-explorer-2:AssociateDefaultView",
"resource-explorer-2:BatchGetView",
"resource-explorer-2:CreateIndex",
"resource-explorer-2:CreateView",
"resource-explorer-2:DeleteIndex",
"resource-explorer-2:DeleteView",
"resource-explorer-2:DisassociateDefaultView",
"resource-explorer-2:GetDefaultView",
"resource-explorer-2:GetIndex",
"resource-explorer-2:ListIndexes",
"resource-explorer-2:ListSupportedResourceTypes",
"resource-explorer-2:ListTagsForResource",
"resource-explorer-2:ListViews",
"resource-explorer-2:TagResource",
"resource-explorer-2:UntagResource",
"resource-explorer-2:UpdateIndexType",
"resource-explorer-2:UpdateView""
],
"Resource": [
"*"
],
"Condition": {
"StringNotEqualsIgnoreCase": {"aws:PrincipalTag/ResourceExplorerAdmin": "TRUE"}
}
]
}
```
# AWS 的托管策略 AWS 资源探索器
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《*IAM 用户指南*》中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**包含资源浏览器权限的常规 AWS 托管策略**
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)— 授予对 AWS 服务 和资源的完全访问权限。
+ [ReadOnly访问权限](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)-授予对 AWS 服务 和资源的只读访问权限。
+ [ViewOnly访问](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess)权限-授予查看其资源和基本元数据的权限 AWS 服务。
**注意**
`ViewOnlyAccess` 策略中包含的资源管理器 `Get*` 权限的执行方式与 `List` 权限类似,尽管它们只返回一个值,原因是一个区域只能包含一个索引和一个默认视图。
**AWS 资源浏览器的托管策略**
+ [AWSResourceExplorerFullAccess](#security_iam_awsmanpol_AWSResourceExplorerFullAccess)
+ [AWSResourceExplorerReadOnlyAccess](#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)
+ [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)
## AWS 托管策略: AWSResourceExplorerFullAccess
您可以将 `AWSResourceExplorerFullAccess` 策略分配到 IAM 身份。
此策略授予允许完全管理控制资源管理器服务的权限。您可以在账户中的 AWS 区域 中执行开启和管理资源管理器所涉及的所有任务。
**权限详细信息**
此策略包括允许对资源管理器执行所有操作的权限,包括在中打开和关闭资源管理器 AWS 区域、为帐户创建或删除聚合器索引、创建、更新和删除视图以及搜索。此策略还包括不属于资源管理器的权限:
+ `ec2:DescribeRegions` – 允许资源管理器访问有关您账户中的区域的详细信息。
+ `ram:ListResources` – 允许资源管理器列出资源所属的资源共享。
+ `ram:GetResourceShares` – 允许资源管理器识别有关您拥有或与您共享的资源共享的详细信息。
+ `iam:CreateServiceLinkedRole` – 允许资源管理器在您[通过创建第一个索引打开资源管理器](manage-service-turn-on-region.md#manage-service-turn-on-region-region)时创建所需的服务相关角色。
+ `organizations:DescribeOrganization` – 允许资源管理器访问有关您的组织的信息。
要查看此 AWS 托管策略的最新版本,请参阅`[AWSResourceExplorerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerFullAccess.html)`《*AWS 托管策略参考指南》*。
## AWS 托管策略: AWSResourceExplorerReadOnlyAccess
您可以将 `AWSResourceExplorerReadOnlyAccess` 策略分配到 IAM 身份。
此策略授予只读权限,从而授予用户基本搜索权限,以发现其资源。
**权限详细信息**
此策略包括允许用户执行资源管理器 `Get*`、`List*` 和 `Search` 操作的权限,以查看有关资源管理器组件和配置设置的信息,但不允许用户对其进行更改。用户也可以进行搜索。此策略还包括不属于资源管理器的两个权限:
+ `ec2:DescribeRegions` – 允许资源管理器访问有关您账户中的区域的详细信息。
+ `ram:ListResources` – 允许资源管理器列出资源所属的资源共享。
+ `ram:GetResourceShares` – 允许资源管理器识别有关您拥有或与您共享的资源共享的详细信息。
+ `organizations:DescribeOrganization` – 允许资源管理器访问有关您的组织的信息。
要查看此 AWS 托管策略的最新版本,请参阅`[AWSResourceExplorerReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerReadOnlyAccess.html)`《*AWS 托管策略参考指南》*。
## AWS 托管策略: AWSResourceExplorerServiceRolePolicy
您不能自行将 `AWSResourceExplorerServiceRolePolicy` 附加到任何 IAM 实体。此策略只能附加到服务相关角色,以允许资源管理器代表您执行操作。有关更多信息,请参阅 [为资源管理器使用服务相关角色](security_iam_service-linked-roles.md)。
此策略授予资源管理器检索有关您的资源的信息所需的权限。资源浏览器会在您注册的每个索引中填充它所维护 AWS 区域 的索引。
要查看此 AWS 托管策略的最新版本,请参阅 IAM 控制台`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`中的。
## AWS 托管策略: AWSResourceExplorerOrganizationsAccess
您可以将 `AWSResourceExplorerOrganizationsAccess` 分配到 IAM 身份。
此策略向资源管理器授予管理权限,并向其他人授予只读权限 AWS 服务 以支持此访问权限。 AWS Organizations 管理员需要这些权限才能在控制台中设置和管理多账户搜索。
**权限详细信息**
此策略包括允许管理员为组织设置多账户搜索的权限:
+ `ec2:DescribeRegions` – 允许资源管理器访问有关您账户中的区域的详细信息。
+ `ram:ListResources` – 允许资源管理器列出资源所属的资源共享。
+ `ram:GetResourceShares` – 允许资源管理器识别有关您拥有或与您共享的资源共享的详细信息。
+ `organizations:ListAccounts` – 允许资源管理器识别组织内的账户。
+ `organizations:ListRoots` – 允许资源管理器识别组织内的根账户。
+ `organizations:ListOrganizationalUnitsForParent` – 允许资源管理器识别父级组织单位或根组织中的组织单位(OU)。
+ `organizations:ListAccountsForParent` – 允许资源管理器识别组织中包含于指定目标根或 OU 之中的账户。
+ `organizations:ListDelegatedAdministrators`— 允许资源浏览器识别此组织中指定为委派管理员的 AWS 帐户。
+ `organizations:ListAWSServiceAccessForOrganization`— 允许资源浏览器识别支持与您的组织集成的列表。 AWS 服务
+ `organizations:DescribeOrganization` – 允许资源管理器检索有关用户账户所属组织的信息。
+ `organizations:EnableAWSServiceAccess`— 允许资源浏览器启用 AWS 服务 (由指定的服务`ServicePrincipal`)与的集成 AWS Organizations。
+ `organizations:DisableAWSServiceAccess`— 允许资源浏览器禁用 AWS 服务 (由指定的服务 ServicePrincipal)与的集成 AWS Organizations。
+ `organizations:RegisterDelegatedAdministrator`— 允许资源浏览器使指定的成员帐户能够管理指定 AWS 服务的组织功能。
+ `organizations:DeregisterDelegatedAdministrator`— 允许资源浏览器删除指定成员 AWS 账户 作为指定成员的委托管理员 AWS 服务。
+ `iam:GetRole` – 运行资源管理器检索有关指定角色的信息,包括角色的路径、GUID、ARN 以及授权代入角色的角色信任策略。
+ `iam:CreateServiceLinkedRole` – 允许资源管理器在您[通过创建第一个索引打开资源管理器](manage-service-turn-on-region.md#manage-service-turn-on-region-region)时创建所需的服务相关角色。
要查看此 AWS 托管策略的最新版本,请参阅 IAM 控制台`[AWSResourceExplorerOrganizationsAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerOrganizationsAccess)`中的。
## 资源浏览器对 AWS 托管策略的更新
查看自该服务开始跟踪资源 AWS 管理器托管策略变更以来这些更新的详细信息。有关此页面更改的自动提醒,请在[资源管理器文档历史记录](doc-history.md)页面上订阅 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了策略权限以查看其他资源类型 | 资源管理器为服务相关角色策略添加了权限 [`AWSResourceExplorerServiceRolePolicy`](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy),该策略允许资源浏览器查看其他资源类型: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 12 月 12 日 |
| 新 托管式策略 | 资源浏览器添加了以下 AWS 托管策略: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 11 月 14 日 |
| 更新了 托管策略 | 资源管理器更新了以下 AWS 托管策略以支持多账户搜索: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 11 月 14 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— 更新了支持通过 Organizations 进行多账户搜索的政策 | 资源管理器为服务相关角色策略 `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` 添加了权限,该策略允许资源管理器支持使用 Organizations 进行多账户搜索: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 11 月 14 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— 更新了政策以支持其他资源类型 | 资源管理器为服务相关角色策略 `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` 添加了权限,该策略允许服务为以下资源类型编制索引: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 10 月 17 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— 更新了政策以支持其他资源类型 | 资源管理器为服务相关角色策略 `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` 添加了权限,该策略允许服务为以下资源类型编制索引: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 8 月 1 日 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— 更新了政策以支持其他资源类型 | 资源管理器为服务相关角色策略 `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` 添加了权限,该策略允许服务为以下资源类型编制索引: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2023 年 3 月 7 日 |
| 新的托管式策略 | 资源浏览器添加了以下 AWS 托管策略: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 2022 年 11 月 7 日 |
| 资源管理器开启跟踪更改 | 资源浏览器开始跟踪其 AWS 托管策略的更改。 | 2022 年 11 月 7 日 |
# 为资源管理器使用服务相关角色
AWS 资源探索器 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特的IAM角色类型,直接链接到资源浏览器。服务相关角色由 Resource Explorer 预定义,包括该服务代表您呼叫他人 AWS 服务 所需的所有权限。
服务相关角色可让您更轻松地配置资源管理器,因为您不必手动添加必要的权限。资源管理器定义其服务相关角色的权限,除非另外定义,否则只有资源管理器可以代入该角色。定义的权限包括信任策略和权限策略,并且该权限策略不能分配给任何其他IAM实体。
有关支持服务相关角色的其他服务的信息,请参阅《*IAM用户指南》IAM*中[与之配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在那里可查找**服务相关角色**列为**是**的服务。选择**是**和链接,查看该服务的服务相关角色文档。
## 资源管理器的服务相关角色权限
资源管理器使用名为 `AWSServiceRoleForResourceExplorer` 的服务相关角色。此角色向 Resource Explorer 服务授予 AWS 账户 代表您查看资源和 AWS CloudTrail 事件以及为这些资源编制索引以支持搜索的权限。
`AWSServiceRoleForResourceExplorer` 服务相关角色仅信任具有以下服务主体的服务来代入角色:
+ `resource-explorer-2.amazonaws.com`
名为的角色权限策略AWSResourceExplorerServiceRolePolicy允许 Resource Explorer 只读访问权限,以检索受支持 AWS 资源的资源名称和属性。要查看资源管理器支持的服务和资源,请参阅[可使用资源管理器搜索的资源类型](https://docs.aws.amazon.com/resource-explorer/latest/userguide/supported-resource-types.html)。要查看此角色可以执行的所有操作的完整列表,可以在IAM控制台中查看该`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`策略。
委托人是诸如用户、组或角色之类的IAM实体。如果您让资源管理器在账户的第一个区域中创建索引时为您创建服务相关角色,则执行该任务的主体只需要创建资源管理器索引所需的权限。要使用手动创建服务相关角色IAM,则执行任务的委托人必须具有创建服务相关角色的权限。有关更多信息,请参阅《*IAM用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为资源管理器创建服务相关角色
您无需手动创建服务相关角色。当你在中开启资源管理器时 AWS 管理控制台,或者使用 AWS CLI 或[CreateIndex](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateIndex.html)在账户 AWS 区域 中的第一个资源管理器中运行时 AWS API,资源浏览器会为你创建服务相关角色。
如果删除此服务相关角色,然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您进入账户[RegisterResourceExplorer](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_RegisterResourceExplorer.html)的第一个区域时,资源管理器会再次为您创建服务相关角色。
## 为资源管理器编辑服务相关角色
资源管理器不允许您编辑 `AWSServiceRoleForResourceExplorer` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《*IAM用户指南》*中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 为资源管理器删除服务相关角色
您可以使用IAM控制台 AWS CLI、或手动 AWS API删除服务相关角色。为此,必须先从账户 AWS 区域 中的每个资源管理器中删除资源管理器索引,然后才能手动删除服务相关角色。
**注意**
如果在您试图删除资源时资源管理器服务正在使用该角色,则删除操作会失败。如果发生这种情况,则请确保删除所有区域中的所有索引,然后等待几分钟后再重试操作。
**使用手动删除服务相关角色 IAM**
使用IAM控制台 AWS CLI、或删除`AWSServiceRoleForResourceExplorer`服务相关角色。 AWS API有关更多信息,请参阅《*IAM用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 资源管理器服务相关角色支持的区域
资源管理器支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 *Amazon Web Services 一般参考* 中的 [AWS 服务 端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
# AWS 资源探索器 权限疑难解答
使用以下信息来帮助您诊断和修复在使用资源管理器和 AWS Identity and Access Management (IAM) 时可能遇到的常见问题。
**Topics**
+ [我无权在资源管理器中执行操作](#security_iam_troubleshoot-no-permissions)
+ [我想允许我以外的人 AWS 账户 访问我的资源管理器资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在资源管理器中执行操作
如果 AWS 管理控制台 告诉您您无权执行某项操作,则必须联系管理员寻求帮助。管理员向您提供用于尝试此操作的凭证。
例如,当某人代入 IAM 角色 `MyExampleRole` 尝试使用控制台查看有关视图的详细信息,但不具有 `resource-explorer-2:GetView` 权限时,会发生以下错误。
```
User: arn:aws:iam::123456789012:role/MyExampleRole is not authorized to perform: resource-explorer-2:GetView on resource: arn:aws:resource-explorer-2:us-east-1:123456789012:view/EC2-Only-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
在这种情况下,使用该角色的人员必须要求管理员更新该角色的权限策略,以允许使用 `resource-explorer-2:GetView` 操作访问视图。
## 我想允许我以外的人 AWS 账户 访问我的资源管理器资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以担任角色。对于支持基于资源的策略或访问控制列表(ACL)的服务,您可以使用这些策略向人员授予对您的资源的访问权。
要了解更多信息,请参阅以下内容:
+ 要了解资源管理器是否支持这些特征,请参阅 [资源浏览器的工作原理 IAM](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过联合身份验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(联合身份验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 中的数据保护 AWS 资源探索器
分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于中的数据保护 AWS 资源探索器。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础架构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)。 有关欧洲数据保护的信息,请参阅[责任AWS 共担模型和AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)*安全GDPR博客上的博客文章*。
出于数据保护目的,我们建议您保护 AWS 账户 凭据并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证 (MFA)。
+ 使用SSL/TLS与 AWS 资源通信。我们需要 TLS 1.2,建议使用 TLS 1.3。
+ 使用API进行设置和用户活动记录 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或访问时需要 FIPS 140-3 经过验证的加密模块API,请使用端点。FIPS有关可用FIPS端点的更多信息,请参阅[联邦信息处理标准 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我们强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括使用控制台、、API或 AWS 服务 使用资源管理器或其他资源管理器时 AWS SDKs。 AWS CLI在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您URL向外部服务器提供,我们强烈建议您不要在中包含凭据信息,URL以验证您对该服务器的请求。
## 静态加密
Resource Explorer 存储的数据包括客户ARNs使用的资源及其关联资源的索引列表以及用于访问这些资源的视图。
这些数据在静止时通过使用 [AWS Key Management Service (AWS KMS) 对称加密密钥进行加密,这些密钥](https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default)在 [Galois 计数器模式 [(AES) 中实现高级加密标准](https://csrc.nist.gov/csrc/media/publications/fips/197/final/documents/fips-197.pdf) (),具有 256 位密钥 (AES-256-GCM)](http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf)。GCM
## 传输中加密
客户请求和所有相关数据在[传输过程中均使用 Transport Later Security (TLS) 1.2](https://datatracker.ietf.org/doc/html/rfc5246) 或更高版本进行加密。所有资源管理器端点都支持HTTPS对传输中的数据进行加密。有关资源管理器服务端点的列表,请参阅 *AWS 一般参考* 中的 [AWS 资源探索器 端点和配额](https://docs.aws.amazon.com/general/latest/gr/resourceexplorer2.html)。
# AWS 资源探索器 的合规性验证
要了解 AWS 服务 是否在特定合规性计划范围内,请参阅[合规性计划范围内的 AWS 服务 服务](https://aws.amazon.com/compliance/services-in-scope/)。有关常规信息,请参阅[AWS 合规性计划](https://aws.amazon.com/compliance/programs/)。
您可以使用 AWS Artifact 下载第三方审计报告。有关更多信息,请参阅《AWS Artifact 用户指南》**中的[在 AWS Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您使用资源管理器的合规性责任取决于您数据的敏感度、贵公司的合规性目标以及适用的法律法规。AWS 提供以下资源来帮助满足合规性:
+ [安全性与合规性快速入门指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) - 这些部署指南讨论了架构注意事项,并提供了在AWS上部署基于安全性和合规性的基准环境的步骤。
+ [Amazon Web Services 上的 HIPAA 安全性和合规性架构设计](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) – 该白皮书介绍了公司如何使用 AWS 创建符合 HIPAA 标准的应用程序。
**注意**
并非所有 AWS 服务 都符合 HIPAA 要求。有关更多信息,请参阅[符合 HIPAA 要求的服务参考](https://aws.amazon.com/compliance/hipaa-eligible-services-reference)。
+ [AWS 合规性资源](https://aws.amazon.com/compliance/resources/) – 此业务手册和指南集合可能适用于您的行业和位置。
+ 《AWS Config 开发人员指南》**中的 [Evaluating Resources with Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – AWS Config 评估您的资源配置对内部实践、行业指南和法规的遵循情况。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – 此AWS服务提供了AWS中安全状态的全面视图,可帮助您检查是否符合安全行业标准和最佳实操。
# AWS 资源探索器 中的故障恢复能力
AWS 全球基础设施围绕 AWS 区域和可用区而构建。区域提供多个在物理上独立且隔离的可用区,这些可用区通过延迟低、吞吐量高且冗余性高的网络连接在一起。利用可用区,您可以设计和操作在可用区之间无中断地自动实现故障转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错性和可扩展性。
有关AWS 区域和可用区的更多信息,请参阅[AWS全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# 中的基础设施安全 AWS 资源探索器
作为一项托管服务 AWS 资源探索器 ,受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境,请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 已发布的API调用通过网络访问资源管理器。客户端必须支持以下内容:
+ 传输层安全 (TLS)。我们需要 TLS 1.2,建议使用 TLS 1.3。
+ 具有完美前向保密性的密码套件 (),例如(Ephemeral Diffie-HellmanPFS)或(Elliptic C DHE urve Ephemeral Diffie-Hellman)。ECDHE大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与IAM委托人关联的私有访问密钥对请求进行签名。或者,您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html)(AWS STS)生成临时安全凭证来对请求进行签名。
有关 AWS 全球网络安全程序的更多信息,请参阅 [Amazon Web Services:安全流程概述](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)白皮书。