本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的帳戶中使用 AWS 。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新其相關聯的 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會 AWS 新增新操作和資源的唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
**Topics**
+ [AWS 受管政策:AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy)
+ [AWS 受管政策:AWSSecurityIncidentResponseFullAccess](#AWSSecurityIncidentResponseFullAccess)
+ [AWS 受管政策:AWSSecurityIncidentResponseReadOnlyAccess](#AWSSecurityIncidentResponseReadOnlyAccess)
+ [AWS 受管政策:AWSSecurityIncidentResponseCaseFullAccess](#AWSSecurityIncidentResponseCaseFullAccess)
+ [AWS 受管政策:AWSSecurityIncidentResponseTriageServiceRolePolicy](#AWSSecurityIncidentResponseTriageServiceRolePolicy)
+ [AWS 安全事件應變 SLRs和 受管政策的更新](#managed-policy-updates)
## AWS 受管政策:AWSSecurityIncidentResponseServiceRolePolicy
AWS 安全事件應變 使用 AWSSecurityIncidentResponseServiceRolePolicy AWS 受管政策。此 AWS 受管政策會連接至 [AWSServiceRoleForSecurityIncidentResponse](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse) 服務連結角色。此政策提供 的存取權, AWS 安全事件應變 以識別訂閱的帳戶、建立案例、更新案例、建立案例評論、列出案例、列出案例評論,以及標記相關資源。
**重要**
請勿在標籤中存放個人身分識別資訊 (PII) 或其他機密或敏感資訊。 AWS 安全事件應變 會使用標籤來為您提供管理服務。標籤不適用於私有或敏感資料
* 許可詳細資訊 *
服務使用此政策對下列資源執行動作:
+ *AWS Organizations:*允許服務查詢成員資格帳戶以搭配服務使用。
+ *CreateCase:*允許服務代表成員資格帳戶建立服務案例。
+ *ListCases:*允許服務的 AI 代理器檢視案例以進行安全調查。
+ *UpdateCase:*允許服務的 AI 代理器更新案例中繼資料。
+ *CreateCaseComment:*允許服務的 AI 代理器將其結果發佈為案例評論。
+ *ListComments:*允許服務的 AI 代理器檢視執行自動化調查所需的案例註解。
+ *TagResource:*允許將 服務標籤資源設定為服務的一部分。
您可以在 [ AWSSecurityIncidentResponseServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseServiceRolePolicy.html) 的 AWS 受管政策中檢視與此政策相關聯的許可。
## AWS 受管政策:AWSSecurityIncidentResponseFullAccess
AWS 安全事件應變 使用 AWSSecurityIncidentResponseAdmin AWS 受管政策。此政策授予服務資源的完整存取權,以及相關 的存取權 AWS 服務。您可以將此政策與 IAM 主體搭配使用,以快速新增 的許可 AWS 安全事件應變。
**重要**
請勿在標籤中存放個人身分識別資訊 (PII) 或其他機密或敏感資訊。 AWS 安全事件應變 會使用標籤來為您提供管理服務。標籤不適用於私有或敏感資料
* 許可詳細資訊 *
服務使用此政策對下列資源執行動作:
+ *IAM 主體唯讀存取:*授予服務使用者對現有 AWS 安全事件應變 資源執行唯讀動作的能力。
+ *IAM 主體寫入存取:*授予服務使用者更新、修改、刪除和建立 AWS 安全事件應變 資源的能力。
您可以在 [ AWSSecurityIncidentResponseFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseFullAccess.html) 的 AWS 受管政策中檢視與此政策相關聯的許可。
## AWS 受管政策:AWSSecurityIncidentResponseReadOnlyAccess
AWS 安全事件應變 使用 AWSSecurityIncidentResponseReadOnlyAccess AWS 受管政策。政策會授予服務案例資源的唯讀存取權。您可以將此政策與 IAM 主體搭配使用,以快速新增 的許可 AWS 安全事件應變。
**重要**
請勿在標籤中存放個人身分識別資訊 (PII) 或其他機密或敏感資訊。 AWS 安全事件應變 會使用標籤來為您提供管理服務。標籤不適用於私有或敏感資料
* 許可詳細資訊 *
服務使用此政策對下列資源執行動作:
+ *IAM 主體唯讀存取:*授予服務使用者對現有 AWS 安全事件應變 資源執行唯讀動作的能力。
您可以在 [ AWSSecurityIncidentResponseReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseReadOnlyAccess.html) 的 AWS 受管政策中檢視與此政策相關聯的許可。
## AWS 受管政策:AWSSecurityIncidentResponseCaseFullAccess
AWS 安全事件應變 使用 AWSSecurityIncidentResponseCaseFullAccess AWS 受管政策。此政策會授予服務案例資源的完整存取權。您可以將此政策與 IAM 主體搭配使用,以快速新增 的許可 AWS 安全事件應變。
**重要**
請勿在標籤中存放個人身分識別資訊 (PII) 或其他機密或敏感資訊。 AWS 安全事件應變 會使用標籤來為您提供管理服務。標籤不適用於私有或敏感資料
* 許可詳細資訊 *
服務使用此政策對下列資源執行動作:
+ *IAM 主體案例唯讀存取:*授予服務使用者對現有 AWS 安全事件應變 案例執行唯讀動作的能力。
+ *IAM 主體案例寫入存取:*授予服務使用者更新、修改、刪除和建立 AWS 安全事件應變 案例的能力。
您可以在 [ AWSSecurityIncidentResponseCaseFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseCaseFullAccess.html) 的 AWS 受管政策中檢視與此政策相關聯的許可。
## AWS 受管政策:AWSSecurityIncidentResponseTriageServiceRolePolicy
AWS 安全事件應變 使用 AWSSecurityIncidentResponseTriageServiceRolePolicy AWS 受管政策。此 AWS 受管政策會連接至 [AWSServiceRoleForSecurityIncidentResponse\$1Triage ](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse_Triage) 服務連結角色。
此政策提供 的存取權 AWS 安全事件應變 ,以持續監控您的環境是否有安全威脅、調校安全服務以減少警示雜訊,以及收集資訊以調查潛在事件。您無法將此政策連接至 IAM 實體。
**重要**
請勿在標籤中存放個人身分識別資訊 (PII) 或其他機密或敏感資訊。 AWS 安全事件應變 會使用標籤來為您提供管理服務。標籤不適用於私有或敏感資料
* 許可詳細資訊 *
服務使用此政策對下列資源執行動作:
+ *事件:*允許服務建立 Amazon EventBridge 受管規則。此規則是您 AWS 帳戶中將事件從您的帳戶交付至 服務所需的基礎設施。此動作會在 管理的任何 AWS 資源上執行`triage.security-ir.amazonaws.com`。
+ *Amazon GuardDuty:*允許服務調校安全服務以減少警示雜訊、收集資訊以調查潛在事件,以及啟動 GuardDuty 惡意軟體掃描。
+ *AWS Security Hub CSPM:*允許服務列出已啟用的標準和產品整合、列出組織成員和管理帳戶,以及調整安全服務以減少警示雜訊,並收集資訊以調查潛在事件。
+ *AWS Identity and Access Management:*允許服務擷取`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服務連結角色的角色資訊,以驗證是否已設定 GuardDuty MalwareProtection。
+ *AWS 安全事件應變:*允許服務建立和更新案例和標籤資源,僅限於以 標記的資源`SecurityIncidentResponseManaged=true`。允許服務讀取成員資格資訊 (GetMembership、ListMemberships)。
您可以在 [ AWSSecurityIncidentResponseTriageServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseTriageServiceRolePolicy.html) 的 AWS 受管政策中檢視與此政策相關聯的許可。
## AWS 安全事件應變 SLRs和 受管政策的更新
檢視自此服務開始追蹤這些變更以來 AWS 安全事件應變 SLRs和 受管政策角色更新的詳細資訊。
| 變更 | 描述 | Date |
| --- | --- | --- |
| 已更新 – [AWSSecurityIncidentResponseTriageServiceRolePolicy](#AWSSecurityIncidentResponseTriageServiceRolePolicy) | 此政策現在允許服務修改以 標記的 GuardDuty 篩選條件`SecurityIncidentResponseManaged=true`、更新偵測器組態,以及啟動 GuardDuty 惡意軟體掃描。它允許服務建立和管理自動對 Security Hub CSPM 調查結果採取行動的規則,並了解組織結構。 | 2026 年 3 月 27 日 |
| 已更新 – [AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy) | 此政策現在會對下列資源執行動作: ListCases:允許服務的 AI 代理器檢視案例以進行安全調查 UpdateCase:允許服務的 AI 代理器更新案例中繼資料。 CreateCaseComment:允許服務的 AI 代理器將其結果發佈為案例評論 ListComments:允許服務的 AI 代理器檢視執行自動化調查所需的案例評論 | 2025 年 11 月 |
| 已更新 – [AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy) | 此政策現在包含兩個適用於 的新動作`"organizations:DescribeAccount"`,`"organizations:ListDelegatedAdministrators"`以及新條件:
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
| 2025 年 11 月 |
| 更新 SLR 新增許可以支援服務權利。 | [AWSSecurityIncidentResponseTriageServiceRolePolicy](#AWSSecurityIncidentResponseTriageServiceRolePolicy) 已更新,新增 security-ir:GetMembership、 security-ir:ListMemberships、 security-ir:UpdateCase、guardduty:ListFilters、guarduty:UpdateFilter、guardduty:DeleteFilter 和 guardduty:GetAdministratorAccount 許可。已新增 guardduty:GetAdministratorAccount,以協助管理委派帳戶中的 GuardDuty Auto-Archival 篩選條件。 | 2025 年 6 月 2 日 |
| 新 SLR – [AWSServiceRoleForSecurityIncidentResponse](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse) 新的受管政策 – [AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy)。 | 新的服務連結角色和連接政策,允許服務存取您的帳戶 AWS Organizations 以識別成員資格。 | 2024 年 12 月 1 日 |
| 新 SLR – [AWSServiceRoleForSecurityIncidentResponse\$1Triage](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse_Triage) 新的受管政策 – [AWSSecurityIncidentResponseTriageServiceRolePolicy](#AWSSecurityIncidentResponseTriageServiceRolePolicy) | 新的服務連結角色和連接政策,允許服務存取您的帳戶 AWS Organizations ,以執行安全事件的分類。 | 2024 年 12 月 1 日 |
| 新的受管政策 – [AWSSecurityIncidentResponseFullAccess](#AWSSecurityIncidentResponseFullAccess) | AWS 安全事件應變 新增 SLR 以連接至 IAM 主體,以針對服務執行讀取和寫入動作。 | 2024 年 12 月 1 日 |
| 新的受管政策角色 – [AWSSecurityIncidentResponseReadOnlyAccess](#AWSSecurityIncidentResponseReadOnlyAccess) | AWS 安全事件應變 新增 SLR 以連接至 IAM 主體以進行讀取動作 | 2024 年 12 月 1 日 |
| 新的受管政策角色 – [AWSSecurityIncidentResponseCaseFullAccess](#AWSSecurityIncidentResponseCaseFullAccess) | AWS 安全事件應變 新增 SLR 以連接至 IAM 主體,以針對服務案例執行讀取和寫入動作。 | 2024 年 12 月 1 日 |
| 已開始追蹤變更。 | 開始追蹤 AWS 安全事件應變 SLRs和 受管政策的變更 | 2024 年 12 月 1 日 |