AWS verwaltete Richtlinien für AWS Resilience Hub - AWS Zentrum für Resilienz
AWSResilienceHubAsssessmentExecutionPolicyRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für AWS Resilience Hub

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

AWSResilienceHubAsssessmentExecutionPolicy

Sie können sie AWSResilienceHubAsssessmentExecutionPolicy an Ihre IAM Identitäten anhängen. Während der Durchführung einer Bewertung gewährt diese Richtlinie anderen AWS Diensten Zugriffsberechtigungen für die Durchführung von Bewertungen.

Berechtigungsdetails

Diese Richtlinie bietet angemessene Berechtigungen zum Veröffentlichen von Alarmen AWS FIS und SOP Vorlagen in Ihrem Amazon Simple Storage Service (Amazon S3) -Bucket. Der Amazon S3 S3-Bucket-Name muss mit beginnenaws-resilience-hub-artifacts-. Wenn Sie in einem anderen Amazon S3 S3-Bucket veröffentlichen möchten, können Sie dies während des Anrufs tun CreateRecommendationTemplateAPI. Weitere Informationen finden Sie unter CreateRecommendationTemplate.

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • Amazon CloudWatch (CloudWatch) — Ruft alle implementierten Alarme ab, die Sie in Amazon eingerichtet haben CloudWatch , um die Anwendung zu überwachen. Darüber hinaus veröffentlichen wir CloudWatch Metriken für den Resilienz-Score der Anwendung im ResilienceHub Namespace. cloudwatch:PutMetricData

  • Amazon Data Lifecycle Manager — Ruft Describe Berechtigungen für Amazon Data Lifecycle Manager Manager-Ressourcen ab, die Ihrem AWS Konto zugeordnet sind, und gewährt diese.

  • Amazon DevOps Guru — Listet Amazon DevOps Guru-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und gewährt Describe Berechtigungen für diese.

  • Amazon DocumentDB — Listet Amazon DocumentDB DocumentDB-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • Amazon DynamoDB (DynamoDB) — Listet Amazon DynamoDB DynamoDB-Ressourcen auf, die mit Ihrem Konto verknüpft sind, und stellt Describe Berechtigungen bereit. AWS

  • Amazon ElastiCache (ElastiCache) — Stellt Describe Berechtigungen für ElastiCache Ressourcen bereit, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon ElastiCache (RedisOSS) Serverless (ElastiCache (RedisOSS) Serverless) — Stellt Describe Berechtigungen für serverlose ElastiCache (RedisOSS) -Konfigurationen bereit, die mit Ihrem Konto verknüpft sind. AWS

  • Amazon Elastic Compute Cloud (AmazonEC2) — Listet Amazon-Ressourcen auf und bietet Describe Berechtigungen für diese EC2 Ressourcen, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon Elastic Container Registry (AmazonECR) — Stellt Describe Berechtigungen für ECR Amazon-Ressourcen bereit, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon Elastic Container Service (AmazonECS) — Stellt Describe Berechtigungen für ECS Amazon-Ressourcen bereit, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon Elastic File System (AmazonEFS) — Stellt Describe Berechtigungen für EFS Amazon-Ressourcen bereit, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon Elastic Kubernetes Service (AmazonEKS) — Listet EKS Amazon-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • Amazon EC2 Auto Scaling — Listet Amazon Auto Scaling-Ressourcen auf und bietet Describe Berechtigungen für Amazon EC2 Auto Scaling Scaling-Ressourcen, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon EC2 Systems Manager (SSM) — Stellt Describe Berechtigungen für SSM Ressourcen bereit, die mit Ihrem AWS Konto verknüpft sind.

  • AWS Fault Injection Service (AWS FIS) — Listet AWS FIS Experimente und Versuchsvorlagen auf, die mit Ihrem AWS Konto verknüpft sind, und gewährt Describe Berechtigungen für diese.

  • Amazon FSx für Windows File Server (AmazonFSx) — Listet FSx Amazon-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • Amazon RDS — Listet RDS Amazon-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und gewährt Describe Berechtigungen für diese.

  • Amazon Route 53 (Route 53) — Listet Route 53-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • Amazon Route 53 Resolver — Listet Amazon Route 53 Resolver Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen für diese bereit.

  • Amazon Simple Notification Service (AmazonSNS) — Listet SNS Amazon-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • Amazon Simple Queue Service (AmazonSQS) — Listet SQS Amazon-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und gewährt Describe Berechtigungen für diese.

  • Amazon Simple Storage Service (Amazon S3) — Listet Amazon S3 S3-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen bereit.

    Anmerkung

    Wenn während der Durchführung einer Bewertung Berechtigungen fehlen, die aus den verwalteten Richtlinien aktualisiert werden müssen, AWS Resilience Hub wird die Bewertung mithilfe der s3: GetBucketLogging -Berechtigung erfolgreich abgeschlossen. Es AWS Resilience Hub wird jedoch eine Warnmeldung angezeigt, die die fehlenden Berechtigungen auflistet und eine Frist einräumt, um sie hinzuzufügen. Wenn Sie die fehlenden Berechtigungen nicht innerhalb der angegebenen Nachfrist hinzufügen, schlägt die Bewertung fehl.

  • AWS Backup — Listet Amazon EC2 Auto Scaling Scaling-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und ruft Describe Berechtigungen für diese ab.

  • AWS CloudFormation — Listet Ressourcen auf AWS CloudFormation Stacks auf, die mit Ihrem AWS Konto verknüpft sind, und ruft Describe Berechtigungen für diese ab.

  • AWS DataSync — Listet AWS DataSync Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen für diese bereit.

  • AWS Directory Service — Listet AWS Directory Service Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen für diese bereit.

  • AWS Elastic Disaster Recovery (Elastic Disaster Recovery) — Stellt Describe Berechtigungen für Elastic Disaster Recovery-Ressourcen bereit, die Ihrem AWS Konto zugeordnet sind.

  • AWS Lambda (Lambda) — Listet Lambda-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • AWS Resource Groups (Resource Groups) — Listet Ressourcengruppen-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese Ressourcen.

  • AWS Service Catalog (Service Catalog) — Listet Service Catalog-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • AWS Step Functions — Listet AWS Step Functions Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen für diese bereit.

  • Elastic Load Balancing — Listet Elastic Load Balancing Balancing-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen bereit.

  • ssm:GetParametersByPath— Wir verwenden diese Berechtigung, um CloudWatch Alarme, Tests oder solche, SOPs die für Ihre Anwendung konfiguriert sind, zu verwalten.

Die folgende IAM Richtlinie ist für ein AWS Konto erforderlich, um Berechtigungen für Benutzer, Benutzergruppen und Rollen hinzuzufügen, die Ihrem Team die erforderlichen Berechtigungen für den Zugriff auf AWS Dienste während der Durchführung von Assessments gewähren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSResilienceHubFullResourceStatement",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalableTargets",
                "autoscaling:DescribeAutoScalingGroups",
                "backup:DescribeBackupVault",
                "backup:GetBackupPlan",
                "backup:GetBackupSelection",
                "backup:ListBackupPlans",
                "backup:ListBackupSelections",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStackResources",
                "cloudformation:ValidateTemplate",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "datasync:DescribeTask",
                "datasync:ListLocations",
                "datasync:ListTasks",
                "devops-guru:ListMonitoredResources",
                "dlm:GetLifecyclePolicies",
                "dlm:GetLifecyclePolicy",
                "docdb-elastic:GetCluster",
                "docdb-elastic:GetClusterSnapshot",
                "docdb-elastic:ListClusterSnapshots",
                "docdb-elastic:ListTagsForResource",
                "drs:DescribeJobs",
                "drs:DescribeSourceServers",
                "drs:GetReplicationConfiguration",
                "ds:DescribeDirectories",
                "dynamodb:DescribeContinuousBackups",
                "dynamodb:DescribeGlobalTable",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListGlobalTables",
                "dynamodb:ListTagsOfResource",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DescribeFleets",
                "ec2:DescribeHosts",
                "ec2:DescribeInstances",
                "ec2:DescribeNatGateways",
                "ec2:DescribePlacementGroups",
                "ec2:DescribeRegions",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcEndpoints",
                "ecr:DescribeRegistry",
                "ecs:DescribeCapacityProviders",
                "ecs:DescribeClusters",
                "ecs:DescribeContainerInstances",
                "ecs:DescribeServices",
                "ecs:DescribeTaskDefinition",
                "ecs:ListContainerInstances",
                "ecs:ListServices",
                "eks:DescribeCluster",
                "eks:DescribeFargateProfile",
                "eks:DescribeNodegroup",
                "eks:ListFargateProfiles",
                "eks:ListNodegroups",
                "elasticache:DescribeCacheClusters",
                "elasticache:DescribeGlobalReplicationGroups",
                "elasticache:DescribeReplicationGroups",
                "elasticache:DescribeServerlessCaches",
                "elasticahce:DescribeServerlessCacheSnapshots",
                "elasticache:DescribeSnapshots",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "fis:GetExperimentTemplate",
                "fis:ListExperimentTemplates",
                "fis:ListExperiments",
                "fsx:DescribeFileSystems",
                "lambda:GetFunctionConcurrency",
                "lambda:GetFunctionConfiguration",
                "lambda:ListAliases",
                "lambda:ListEventSourceMappings",
                "lambda:ListFunctionEventInvokeConfigs",
                "lambda:ListVersionsByFunction",
                "rds:DescribeDBClusterSnapshots",
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstanceAutomatedBackups",
                "rds:DescribeDBInstances",
                "rds:DescribeDBProxies",
                "rds:DescribeDBProxyTargets",
                "rds:DescribeDBSnapshots",
                "rds:DescribeGlobalClusters",
                "rds:ListTagsForResource",
                "resource-groups:GetGroup",
                "resource-groups:ListGroupResources",
                "route53-recovery-control-config:ListClusters",
                "route53-recovery-control-config:ListControlPanels",
                "route53-recovery-control-config:ListRoutingControls",
                "route53-recovery-readiness:GetReadinessCheckStatus",
                "route53-recovery-readiness:GetResourceSet",
                "route53-recovery-readiness:ListReadinessChecks",
                "route53:GetHealthCheck",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:ListBucket",
                "servicecatalog:GetApplication",
                "servicecatalog:ListAssociatedResources",
                "sns:GetSubscriptionAttributes",
                "sns:GetTopicAttributes",
                "sns:ListSubscriptionsByTopic",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "ssm:DescribeAutomationExecutions",
                "states:DescribeStateMachine",
                "states:ListStateMachineVersions",
                "states:ListStateMachineAliases",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSResilienceHubApiGatewayStatement",
            "Effect": "Allow",
            "Action": [
                "apigateway:GET"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/apis/*",
                "arn:aws:apigateway:*::/restapis/*",
                "arn:aws:apigateway:*::/usageplans"
            ]
        },
        {
            "Sid": "AWSResilienceHubS3ArtifactStatement",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubS3AccessStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetMultiRegionAccessPointRoutes",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubCloudWatchStatement",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "ResilienceHub"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubSSMStatement",
            "Effect": "Allow",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*"
        }
    ]
}

AWS Resilience Hub Aktualisierungen der AWS verwalteten Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die AWS Resilience Hub seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS Feed auf der Seite AWS Resilience Hub Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung Beschreibung Datum
AWSResilienceHubAsssessmentExecutionPolicy— Ändern AWS Resilience Hub aktualisiertAWSResilienceHubAsssessmentExecutionPolicy, um Ihnen Describe Berechtigungen zu gewähren, mit denen Sie während der Durchführung von Bewertungen auf Ressourcen und Konfigurationen auf Amazon ElastiCache (RedisOSS) Serverless zugreifen können. 25. September 2024
AWSResilienceHubAsssessmentExecutionPolicy— Änderung AWS Resilience Hub aktualisiertAWSResilienceHubAsssessmentExecutionPolicy, um Ihnen Describe Berechtigungen zu gewähren, mit denen Sie auf Ressourcen und Konfigurationen in Amazon DocumentDB, Elastic Load Balancing und AWS Lambda während der Durchführung von Bewertungen zugreifen können. 01. August 2024
AWSResilienceHubAsssessmentExecutionPolicy— Veränderung AWS Resilience Hub aktualisiertAWSResilienceHubAsssessmentExecutionPolicy, um Ihnen Describe Berechtigungen zu gewähren, die es Ihnen ermöglichen, die Amazon FSx for Windows File Server-Konfiguration während der Durchführung von Bewertungen zu lesen. 26. März 2024
AWSResilienceHubAsssessmentExecutionPolicy— Ändern AWS Resilience Hub wurde aktualisiert AWSResilienceHubAsssessmentExecutionPolicy und gewährt Describe nun Berechtigungen, mit denen Sie die AWS Step Functions Konfiguration während der Durchführung von Bewertungen lesen können. 30. Oktober 2023
AWSResilienceHubAsssessmentExecutionPolicy— Ändern AWS Resilience Hub aktualisiertAWSResilienceHubAsssessmentExecutionPolicy, um Ihnen Describe Berechtigungen zu gewähren, damit Sie RDS während der Durchführung von Bewertungen auf Ressourcen bei Amazon zugreifen können. 05. Oktober 2023

AWSResilienceHubAsssessmentExecutionPolicy— Neu

Diese AWS Resilience Hub Richtlinie bietet Zugriff auf andere AWS Dienste für die Durchführung von Bewertungen.

 26. Juni 2023

AWS Resilience Hub hat begonnen, Änderungen zu verfolgen

AWS Resilience Hub hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.

 15. Juni 2023