AWS AMS Accelerate 的 受管政策 - AMS Accelerate 使用者指南
AlarmManagerPermissionsBoundaryDetective 控制組態受管政策部署工具組受管政策事件服務受管政策聯絡人受管政策政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS AMS Accelerate 的 受管政策

AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

如需變更資料表,請參閱 加速 AWS 受管政策的更新

AWS 受管政策:AWSManagedServices_AlarmManagerPermissionsBoundary

AWS Managed Services (AMS) 使用 AWSManagedServices_AlarmManagerPermissionsBoundary AWS 受管政策。此 AWS受管政策用於 AWSManagedServices_AlarmManager_ServiceRolePolicy,以限制由 AWSServiceRoleForManagedServices_AlarmManager 建立之 IAM 角色的許可。

此政策會授予建立為 一部分的 IAM 角色警示管理員的運作方式、執行 Config AWS 評估、擷取 Alarm Manager 組態的 AWS Config 讀取,以及建立必要 Amazon CloudWatch 警示等操作的許可。

AWSManagedServices_AlarmManagerPermissionsBoundary 政策會連接到AWSServiceRoleForManagedServices_DetectiveControlsConfig服務連結角色。如需此角色的更新,請參閱 加速服務連結角色的更新

您可以將此政策連接至 IAM 身分。

許可詳細資訊

此政策包含以下許可。

  • AWS Config – 允許評估組態規則和選取資源組態的許可。

  • AWS AppConfig – 允許擷取 AlarmManager 組態的許可。

  • Amazon S3 – 允許操作 AlarmManager 儲存貯體和物件的許可。

  • Amazon CloudWatch – 允許讀取和放置 AlarmManager 受管警示和指標的許可。

  • AWS Resource Groups and Tags – 允許讀取資源標籤的許可。

  • Amazon EC2 – 允許讀取 Amazon EC2 資源的許可。

  • Amazon Redshift – 允許讀取 Redshift 執行個體和叢集的許可。

  • Amazon FSx – 允許描述檔案系統、磁碟區和資源標籤的許可。

  • Amazon CloudWatch Synthetics – 允許讀取 Synthetics 資源的許可。

  • Amazon Elastic Kubernetes Service – 允許描述 Amazon EKS 叢集的許可。

  • Amazon ElastiCache – 允許描述 資源的許可。

您可以在此 ZIP:RecommendedPermissionBoundary.zip 中下載政策檔案。

AWS 受管政策:AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy

AWS Managed Services (AMS) 使用 AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS 受管政策。此 AWS受管政策會連接至AWSServiceRoleForManagedServices_DetectiveControlsConfig服務連結角色 (請參閱 AMS Accelerate 的 Detective 控制服務連結角色)。如需AWSServiceRoleForManagedServices_DetectiveControlsConfig服務連結角色的更新,請參閱 加速服務連結角色的更新

此政策允許服務連結角色為您完成動作。

您可以將 AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy 政策連接至您的 IAM 實體。

如需詳細資訊,請參閱使用 AMS Accelerate 的服務連結角色

許可詳細資訊

此政策具有下列許可,允許 AWS Managed Services Detective Controls 部署和設定所有必要的資源。

  • CloudFormation – 允許 AMS Detective Controls 部署具有 s3 儲存貯體、組態規則和組態記錄器等資源的 CloudFormation 堆疊。

  • AWS Config – 允許 AMS Detective 控制項建立 AMS 組態規則、設定彙總器和標籤資源。

  • Amazon S3 – 允許 AMS Detective Controls 管理其 s3 儲存貯體。

您可以在此 ZIP 中下載 JSON 政策檔案:DetectiveControlsConfig_ServiceRolePolicy.zip

AWS 受管政策:AWSManagedServicesDeploymentToolkitPolicy

AWS Managed Services (AMS) 使用 AWSManagedServicesDeploymentToolkitPolicy AWS 受管政策。此 AWS受管政策會連接至AWSServiceRoleForAWSManagedServicesDeploymentToolkit服務連結角色 (請參閱 AMS Accelerate 的部署工具組服務連結角色)。此政策允許服務連結角色為您完成動作。您無法將此政策連接至 IAM 實體。如需詳細資訊,請參閱使用 AMS Accelerate 的服務連結角色

如需AWSServiceRoleForManagedServicesDeploymentToolkitPolicy服務連結角色的更新,請參閱 加速服務連結角色的更新

許可詳細資訊

此政策具有下列許可,允許 AWS Managed Services Detective Controls 部署和設定所有必要的資源。

  • CloudFormation – 允許 AMS Deployment Toolkit 使用 CDK 所需的 S3 資源部署 CFN 堆疊。

  • Amazon S3 – 允許 AMS Deployment Toolkit 管理其 S3 儲存貯體。

  • Elastic Container Registry – 允許 AMS Deployment Toolkit 管理其 ECR 儲存庫,用於部署 AMS CDK 應用程式所需的資產。

您可以在此 ZIP 中下載 JSON 政策檔案:AWSManagedServicesDeploymentToolkitPolicy.zip

AWS 受管政策:AWSManagedServices_EventsServiceRolePolicy

AWS Managed Services (AMS) 使用 AWSManagedServices_EventsServiceRolePolicy AWS 受管政策。此 AWS受管政策會連接至AWSServiceRoleForManagedServices_Events服務連結角色。此政策允許服務連結角色為您完成動作。您無法將此政策連接至 IAM 實體。如需詳細資訊,請參閱使用 AMS Accelerate 的服務連結角色

如需AWSServiceRoleForManagedServices_Events服務連結角色的更新,請參閱 加速服務連結角色的更新

許可詳細資訊

此政策具有下列許可,允許 Amazon EventBridge 將警示狀態變更資訊從您的帳戶傳遞至 AWS Managed Services。

  • events – 允許 Accelerate 建立 Amazon EventBridge 受管規則。此規則是 中從您的帳戶 AWS 帳戶 交付警示狀態變更資訊所需的基礎設施 AWS Managed Services。

您可以在此 ZIP: EventsServiceRolePolicy.zip 中下載 JSON 政策檔案。

AWS 受管政策:AWSManagedServices_ContactsServiceRolePolicy

AWS Managed Services (AMS) 使用 AWSManagedServices_ContactsServiceRolePolicy AWS 受管政策。此 AWS受管政策會連接至AWSServiceRoleForManagedServices_Contacts服務連結角色 (請參閱 為 AMS Accelerate 建立聯絡人 SLR)。此政策允許 AMS Contacts SLR 在 AWS 資源上查看您的資源標籤及其值。您無法將此政策連接至 IAM 實體。如需詳細資訊,請參閱使用 AMS Accelerate 的服務連結角色

重要

請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。AMS 使用標籤來為您提供管理服務。標籤不適用於私人或敏感資料。

如需AWSServiceRoleForManagedServices_Contacts服務連結角色的更新,請參閱 加速服務連結角色的更新

許可詳細資訊

此政策具有下列許可,允許 Contacts SLR 讀取您的資源標籤,以擷取您事先設定的資源聯絡資訊。

  • IAM – 允許 Contacts 服務查看 IAM 角色和 IAM 使用者的標籤。

  • Amazon EC2 – 允許 Contacts 服務查看 Amazon EC2 資源上的標籤。

  • Amazon S3 – 允許 Contacts Service 查看 Amazon S3 儲存貯體上的標籤。此動作使用 條件,以確保 AMS 使用 HTTP 授權標頭、使用 SigV4 簽章通訊協定,以及搭配 TLS 1.2 或更新版本使用 HTTPS 來存取您的儲存貯體標籤。如需詳細資訊,請參閱身分驗證方法Amazon S3 Signature 第 4 版身分驗證特定政策金鑰

  • Tag – 允許 Contacts 服務查看其他 AWS 資源上的標籤。

  • "iam:ListRoleTags"、"iam:ListUserTags"、"tag:GetResources"、"tag:GetTagKeys"、"tag:GetTagValues"、"ec2:DescribeTags"、"s3:GetBucketTagging"

您可以在此 ZIP:ContactsServicePolicy.zip 中下載 JSON 政策檔案。

加速 AWS 受管政策的更新

檢視自此服務開始追蹤這些變更以來的 Accelerate AWS 受管政策更新詳細資訊。

變更 描述 日期

更新的政策 – 部署工具組

  • 已為資源 新增這些新許可arn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 2024 年 4 月 4 日

更新的政策 – 部署工具組

  • 已為資源 新增這些新許可arn:aws:cloudformation:*:*:stack/ams-cdk-toolkit*

    cloudformation:DeleteChangeSet

cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • 已為資源 新增這些新許可arn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:CreateRepository

ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • 此外,一些使用萬用字元的現有動作範圍縮小為個別動作:

    - s3:DeleteObject*

+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 2023 年 5 月 9 日

更新的政策 – Detective 控制項

  • 與安全與存取團隊確認後CloudFormation 動作已進一步縮小範圍

  • Lambda 動作已從政策中移除,因為不會影響加入/離開加入

 2023 年 4 月 10 日

更新的政策 – Detective 控制項

ListAttachedRolePolicies 動作會從政策中移除。動作具有資源做為萬用字元 (*)。由於「清單」是非變動動作,因此可以存取所有資源,而且不允許萬用字元。

 2023 年 3 月 28 日

更新的政策 – Detective 控制項

已更新政策並新增許可界限政策。

 2023 年 3 月 21 日

新政策 – Contacts Service

加速新增政策,以查看來自資源標籤的帳戶聯絡資訊。

加速新增政策以讀取您的資源標籤,讓它可以擷取您事先設定的資源聯絡資訊。

 2023 年 2 月 16 日

新政策 – Events Service

加速新增政策,將警示狀態變更資訊從您的帳戶傳遞至 AWS Managed Services。

授予在警示管理員的運作方式許可中建立的 IAM 角色,以建立必要的 Amazon EventBridge 受管規則。

 2023 年 2 月 7 日

更新的政策 – 部署工具組

新增 S3 許可,以支援客戶從 Accelerate 離職。

 2023 年 1 月 30 日

新政策 – Detective 控制項

允許服務連結角色 AMS Accelerate 的 Detective 控制服務連結角色為您完成部署加速偵測控制項的動作。

 2022 年 12 月 19 日

新政策 – Alarm Manager

加速新增政策,以允許執行警示管理員任務的許可。

授予在警示管理員的運作方式許可中建立的 IAM 角色,以執行 Config AWS 評估、 AWS Config 讀取以擷取警示管理員組態、建立必要的 Amazon CloudWatch 警示等操作。

 2022 年 11 月 30 日

加速開始追蹤變更

加速開始追蹤其 AWS 受管政策的變更。

 2022 年 11 月 30 日

新政策 – 部署工具組

加速為部署任務新增此政策。

授予服務連結角色 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 存取和更新部署相關 Amazon S3 儲存貯體和 AWS CloudFormation 堆疊的許可。

 2022 年 6 月 9 日