AWS 托管策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用场景提供权限,以便您可以开始为用户、组和角色分配权限。
要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管式策略更简单。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管式策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管式策略的更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略。
AWS 服务负责维护和更新关联的 AWS 托管策略。您无法更改 AWS 托管式策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,AWS 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess AWS 托管式策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 AWS 托管式策略。
内容
AWS 托管策略:AWSSecurityIncidentResponseServiceRolePolicy
AWS 安全事件响应会使用 AWSSecurityIncidentResponseServiceRolePolicy AWS 托管策略。此 AWS 托管策略会附加到 AWSServiceRoleForSecurityIncidentResponse 服务相关角色。此策略为 AWS 安全事件响应提供访问权限,以识别订阅的账户、创建案例和标记相关资源。
重要
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AWS 安全事件响应会使用标签来为您提供管理服务。标签不适合用于私有或敏感数据
权限详细信息
该服务会使用此策略对以下资源执行操作:
AWS Organizations:允许该服务查找用于该服务的会员资格账户。
CreateCase:允许该服务代表会员资格账户创建服务案例。
TagResource:允许服务标签资源配置为该服务的一部分。
要查看此策略相关的权限,您可以参阅 AWS 托管策略中的 AWSSecurityIncidentResponseServiceRolePolicy。
AWS 托管策略:AWSSecurityIncidentResponseFullAccess
AWS 安全事件响应会使用 AWSSecurityIncidentResponseAdmin AWS 托管策略。此策略会授予对服务资源的完全访问权限以及对 AWS 服务相关资源的访问权限。您可以将此策略与 IAM 主体结合使用,以快速添加 AWS 安全事件响应权限。
重要
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AWS 安全事件响应会使用标签来为您提供管理服务。标签不适合用于私有或敏感数据
权限详细信息
该服务会使用此策略对以下资源执行操作:
IAM 主体只读访问权限:授予服务用户对现有 AWS 安全事件响应资源执行只读操作的权限。
IAM 主体写入访问权限:授予服务用户更新、修改、删除和创建 AWS 安全事件响应资源的权限。
要查看此策略相关的权限,请参阅 AWS 托管策略中的 AWSSecurityIncidentResponseFullAccess。
AWS 托管策略:AWSSecurityIncidentResponseReadOnlyAccess
AWS 安全事件响应会使用 AWSSecurityIncidentResponseReadOnlyAccess AWS 托管策略。此策略会授予对服务案例资源的只读访问权限。您可以将此策略与 IAM 主体结合使用,以快速添加 AWS 安全事件响应权限。
重要
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AWS 安全事件响应会使用标签来为您提供管理服务。标签不适合用于私有或敏感数据
权限详细信息
该服务会使用此策略对以下资源执行操作:
IAM 主体只读访问权限:授予服务用户对现有 AWS 安全事件响应资源执行只读操作的权限。
要查看此策略相关的权限,请参阅 AWS 托管策略中的 AWSSecurityIncidentResponseReadOnlyAccess。
AWS 托管策略:AWSSecurityIncidentResponseCaseFullAccess
AWS 安全事件响应会使用 AWSSecurityIncidentResponseCaseFullAccess AWS 托管策略。此策略会授予对服务案例资源的完全访问权限。您可以将此策略与 IAM 主体结合使用,以快速添加 AWS 安全事件响应权限。
重要
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AWS 安全事件响应会使用标签来为您提供管理服务。标签不适合用于私有或敏感数据
权限详细信息
该服务会使用此策略对以下资源执行操作:
IAM 主体案例只读访问权限:授予服务用户对现有 AWS 安全事件响应案例执行只读操作的权限。
IAM 主体案例写入访问权限:授予服务用户更新、修改、删除和创建 AWS 安全事件响应案例的权限。
要查看此策略相关的权限,请参阅 AWS 托管策略中的 AWSSecurityIncidentResponseCaseFullAccess。
AWS 托管策略:AWSSecurityIncidentResponseTriageServiceRolePolicy
AWS 安全事件响应会使用 AWSSecurityIncidentResponseTriageServiceRolePolicy AWS 托管策略。此 AWS 托管策略会附加到 AWSServiceRoleForSecurityIncidentResponse_Triage 服务相关角色。
此策略提供对 AWS 安全事件响应的访问权限,以持续监控环境中是否存在安全威胁,调整安全服务以减少警报噪音,以及收集信息以调查潜在事件。您不能将此策略附加到您的 IAM 实体。
重要
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AWS 安全事件响应会使用标签来为您提供管理服务。标签不适合用于私有或敏感数据
权限详细信息
该服务会使用此策略对以下资源执行操作:
事件:允许该服务创建 Amazon EventBridge 托管规则。此规则是您的 AWS 账户所需的基础设施,用于将事件从账户传送到该服务。此操作可在由
triage.security-ir.amazonaws.com管理的任何 AWS 资源上执行。Amazon GuardDuty:允许该服务调整安全服务以减少警报噪音,并收集信息以调查潜在事件。此操作可在任何 AWS 资源上执行。
AWS Security Hub:允许该服务调整安全服务以减少警报噪音,并收集信息以调查潜在的事件。此操作可在任何 AWS 资源上执行。
要查看此策略相关的权限,请参阅 AWS 托管策略中的 AWSSecurityIncidentResponseTriageServiceRolePolicy。
AWS 安全事件响应 SLR 和托管策略更新
由于此服务开始跟踪这些更改,您可以查看 AWS 安全事件响应 SLR 和托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
|---|---|---|
| SLR 更新,增加了获得支持服务权利的权限。 |
AWSSecurityIncidentResponseTriageServiceRolePolicy 已更新,添加了 security-ir:GetMembership、security-ir:ListMemberships、security-ir:UpdateCase、guardduty:ListFilters、guarduty:UpdateFilter、guardduty:DeleteFilter,以及 guardduty:GetAdministratorAccount 权限。添加的 guardduty:GetAdministratorAccount 权限有助于在委托账户中实现 GuardDuty 自动存档筛选条件管理。 |
2025 年 6 月 2 日 |
| 新增服务相关角色和附加策略,允许服务访问 AWS Organizations 账户来识别会员资格。 | 2024 年 12 月 1 日 | |
| 新增服务相关角色和附加策略,允许服务访问 AWS Organizations 账户来对安全事件进行分类。 | 2024 年 12 月 1 日 | |
AWS 安全事件响应添加一个新的附加到 IAM 主体的 SLR,用于执行服务的读取和写入操作。 |
2024 年 12 月 1 日 | |
AWS 安全事件响应添加新的附加到 IAM 主体的 SLR 用于执行读取操作 |
2024 年 12 月 1 日 | |
AWS 安全事件响应添加一个新的附加到 IAM 主体的 SLR,用于执行服务案例的读取和写入操作。 |
2024 年 12 月 1 日 | |
开启更改跟踪。 |
开启了 AWS 安全事件响应 SLR 和托管策略更改跟踪 |
2024 年 12 月 1 日 |
