本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS AMS Accelerate 的 受管政策
<a name="security-iam-awsmanpol"></a>

 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有委託人身分 （使用者、群組和角色）。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

如需變更資料表，請參閱 [加速 AWS 受管政策的更新](#security-iam-awsmanpol-updates)。

## AWS 受管政策：AWSManagedServices\$1AlarmManagerPermissionsBoundary
<a name="security-iam-awsmanpol-AlarmManagerPermissionsBoundary"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServices_AlarmManagerPermissionsBoundary` AWS 受管政策。此 AWS受管政策用於 AWSManagedServices\$1AlarmManager\$1ServiceRolePolicy，以限制由 AWSServiceRoleForManagedServices\$1AlarmManager 建立之 IAM 角色的許可。

此政策會授予建立為 一部分的 IAM 角色[警示管理員的運作方式](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)、執行 Config AWS 評估、擷取 Alarm Manager 組態的 AWS Config 讀取，以及建立必要 Amazon CloudWatch 警示等操作的許可。

`AWSManagedServices_AlarmManagerPermissionsBoundary` 政策會連接到`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服務連結角色。如需此角色的更新，請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。

您可以將此政策連接至 IAM 身分。

**許可詳細資訊**

此政策包含以下許可。
+ `AWS Config` – 允許評估組態規則和選取資源組態的許可。
+ `AWS AppConfig` – 允許擷取 AlarmManager 組態的許可。
+ `Amazon S3` – 允許操作 AlarmManager 儲存貯體和物件的許可。
+ `Amazon CloudWatch` – 允許讀取和放置 AlarmManager 受管警示和指標的許可。
+ `AWS Resource Groups and Tags` – 允許讀取資源標籤的許可。
+ `Amazon EC2` – 允許讀取 Amazon EC2 資源的許可。
+ `Amazon Redshift` – 允許讀取 Redshift 執行個體和叢集的許可。
+ `Amazon FSx` – 允許描述檔案系統、磁碟區和資源標籤的許可。
+ `Amazon CloudWatch Synthetics` – 允許讀取 Synthetics 資源的許可。
+ `Amazon Elastic Kubernetes Service` – 允許描述 Amazon EKS 叢集的許可。
+ `Amazon ElastiCache` – 允許描述 資源的許可。

您可以在此 ZIP：[RecommendedPermissionBoundary.zip](samples/RecommendedPermissionBoundary.zip) 中下載政策檔案。

## AWS 受管政策：AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy
<a name="security-iam-awsmanpol-DetectiveControlsConfig"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服務連結角色](using-service-linked-roles.html#slr-deploy-detect-controls) （請參閱 [AMS Accelerate 的 Detective 控制服務連結角色](using-service-linked-roles.md#slr-deploy-detect-controls))。如需`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服務連結角色的更新，請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。

此政策允許服務連結角色為您完成動作。

您可以將 AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy 政策連接至您的 IAM 實體。

如需詳細資訊，請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。

**許可詳細資訊**

此政策具有下列許可，允許 AWS Managed Services Detective Controls 部署和設定所有必要的資源。
+ `CloudFormation` – 允許 AMS Detective Controls 部署具有 s3 儲存貯體、組態規則和組態記錄器等資源的 CloudFormation 堆疊。
+ `AWS Config` – 允許 AMS Detective 控制項建立 AMS 組態規則、設定彙總器和標籤資源。
+ `Amazon S3` – 允許 AMS Detective Controls 管理其 s3 儲存貯體。

您可以在此 ZIP 中下載 JSON 政策檔案：[DetectiveControlsConfig\$1ServiceRolePolicy.zip](samples/DetectiveControlsConfig_ServiceRolePolicy.zip)。

## AWS 受管政策：AWSManagedServicesDeploymentToolkitPolicy
<a name="security-iam-awsmanpol-DeploymentToolkitPolicy"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServicesDeploymentToolkitPolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForAWSManagedServicesDeploymentToolkit`服務連結角色](using-service-linked-roles.html#slr-deploy-acc) （請參閱 [AMS Accelerate 的部署工具組服務連結角色](using-service-linked-roles.md#slr-deploy-acc))。此政策允許服務連結角色為您完成動作。您無法將此政策連接至 IAM 實體。如需詳細資訊，請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。

如需`AWSServiceRoleForManagedServicesDeploymentToolkitPolicy`服務連結角色的更新，請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。

**許可詳細資訊**

此政策具有下列許可，允許 AWS Managed Services Detective Controls 部署和設定所有必要的資源。
+ `CloudFormation` – 允許 AMS Deployment Toolkit 使用 CDK 所需的 S3 資源部署 CFN 堆疊。
+ `Amazon S3` – 允許 AMS Deployment Toolkit 管理其 S3 儲存貯體。
+ `Elastic Container Registry` – 允許 AMS Deployment Toolkit 管理其 ECR 儲存庫，用於部署 AMS CDK 應用程式所需的資產。

您可以在此 ZIP 中下載 JSON 政策檔案：[AWSManagedServicesDeploymentToolkitPolicy.zip](samples/AWSManagedServices_DeploymentToolkitPolicy.zip)。

## AWS 受管政策：AWSManagedServices\$1EventsServiceRolePolicy
<a name="EventsServiceRolePolicy"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServices_EventsServiceRolePolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForManagedServices_Events`服務連結角色](using-service-linked-roles.html#slr-evb-rule)。此政策允許服務連結角色為您完成動作。您無法將此政策連接至 IAM 實體。如需詳細資訊，請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。

如需`AWSServiceRoleForManagedServices_Events`服務連結角色的更新，請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。

**許可詳細資訊**

此政策具有下列許可，允許 Amazon EventBridge 將警示狀態變更資訊從您的帳戶傳遞至 AWS Managed Services。
+ `events` – 允許 Accelerate 建立 Amazon EventBridge 受管規則。此規則是 中從您的帳戶 AWS 帳戶 交付警示狀態變更資訊所需的基礎設施 AWS Managed Services。

您可以在此 ZIP： [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip) 中下載 JSON 政策檔案。

## AWS 受管政策：AWSManagedServices\$1ContactsServiceRolePolicy
<a name="ContactsServiceManagedPolicy"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServices_ContactsServiceRolePolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForManagedServices_Contacts`服務連結角色](using-service-linked-roles.html#slr-contacts-service) （請參閱 [為 AMS Accelerate 建立聯絡人 SLR](using-service-linked-roles.md#slr-contacts-service-create))。此政策允許 AMS Contacts SLR 在 AWS 資源上查看您的資源標籤及其值。您無法將此政策連接至 IAM 實體。如需詳細資訊，請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。

**重要**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。AMS 使用標籤來為您提供管理服務。標籤不適用於私人或敏感資料。

如需`AWSServiceRoleForManagedServices_Contacts`服務連結角色的更新，請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。

**許可詳細資訊**

此政策具有下列許可，允許 Contacts SLR 讀取您的資源標籤，以擷取您事先設定的資源聯絡資訊。
+ `IAM` – 允許 Contacts 服務查看 IAM 角色和 IAM 使用者的標籤。
+ `Amazon EC2` – 允許 Contacts 服務查看 Amazon EC2 資源上的標籤。
+ `Amazon S3` – 允許 Contacts Service 查看 Amazon S3 儲存貯體上的標籤。此動作使用 條件，以確保 AMS 使用 HTTP 授權標頭、使用 SigV4 簽章通訊協定，以及搭配 TLS 1.2 或更新版本使用 HTTPS 來存取您的儲存貯體標籤。如需詳細資訊，請參閱[身分驗證方法](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro)和 [Amazon S3 Signature 第 4 版身分驗證特定政策金鑰](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html)。
+ `Tag` – 允許 Contacts 服務查看其他 AWS 資源上的標籤。
+ "iam：ListRoleTags"、"iam：ListUserTags"、"tag：GetResources"、"tag：GetTagKeys"、"tag：GetTagValues"、"ec2：DescribeTags"、"s3：GetBucketTagging"

您可以在此 ZIP：[ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip) 中下載 JSON 政策檔案。

## 加速 AWS 受管政策的更新
<a name="security-iam-awsmanpol-updates"></a>

檢視自此服務開始追蹤這些變更以來的 Accelerate AWS 受管政策更新詳細資訊。


| 變更 | 描述 | 日期 | 
| --- | --- | --- | 
| 更新的政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2024 年 4 月 4 日 | 
| 更新的政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 5 月 9 日 | 
| 更新的政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 4 月 10 日 | 
| 更新的政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig) | `ListAttachedRolePolicies` 動作會從政策中移除。動作具有資源做為萬用字元 (\$1)。由於「清單」是非變動動作，因此可以存取所有資源，而且不允許萬用字元。 | 2023 年 3 月 28 日 | 
| 更新的政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig) | 已更新政策並新增許可界限政策。 | 2023 年 3 月 21 日 | 
| 新政策 – [Contacts Service](#ContactsServiceManagedPolicy) | 加速新增政策，以查看來自資源標籤的帳戶聯絡資訊。 加速新增政策以讀取您的資源標籤，讓它可以擷取您事先設定的資源聯絡資訊。 | 2023 年 2 月 16 日 | 
| 新政策 – [Events Service](#EventsServiceRolePolicy) | 加速新增政策，將警示狀態變更資訊從您的帳戶傳遞至 AWS Managed Services。 授予在[警示管理員的運作方式](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)許可中建立的 IAM 角色，以建立必要的 Amazon EventBridge 受管規則。 | 2023 年 2 月 7 日 | 
| 更新的政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | 新增 S3 許可，以支援客戶從 Accelerate 離職。 | 2023 年 1 月 30 日 | 
| 新政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig)  | 允許服務連結角色 [AMS Accelerate 的 Detective 控制服務連結角色](using-service-linked-roles.md#slr-deploy-detect-controls)為您完成部署加速偵測控制項的動作。 | 2022 年 12 月 19 日 | 
| 新政策 – [Alarm Manager](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary)  | 加速新增政策，以允許執行警示管理員任務的許可。 授予在[警示管理員的運作方式](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)許可中建立的 IAM 角色，以執行 Config AWS 評估、 AWS Config 讀取以擷取警示管理員組態、建立必要的 Amazon CloudWatch 警示等操作。 | 2022 年 11 月 30 日 | 
| 加速開始追蹤變更 | 加速開始追蹤其 AWS 受管政策的變更。 | 2022 年 11 月 30 日 | 
| 新政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | 加速為部署任務新增此政策。 授予服務連結角色 [AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc) 存取和更新部署相關 Amazon S3 儲存貯體和 CloudFormation 堆疊的許可。 | 2022 年 6 月 9 日 |