AWS verwaltete Richtlinien für AWS Resilience Hub - AWS Zentrum für Resilienz
AWSResilienceHubAsssessmentExecutionPolicyRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für AWS Resilience Hub

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

AWSResilienceHubAsssessmentExecutionPolicy

Sie können sie AWSResilienceHubAsssessmentExecutionPolicy an Ihre IAM-Identitäten anhängen. Während der Durchführung einer Bewertung gewährt diese Richtlinie anderen AWS Diensten Zugriffsberechtigungen für die Durchführung von Bewertungen.

Berechtigungsdetails

Diese Richtlinie bietet angemessene Berechtigungen zum Veröffentlichen von Alarmen AWS FIS und SOP-Vorlagen in Ihrem Amazon Simple Storage Service (Amazon S3) -Bucket. Der Amazon S3 S3-Bucket-Name muss mit beginnenaws-resilience-hub-artifacts-. Wenn Sie in einem anderen Amazon S3 S3-Bucket veröffentlichen möchten, können Sie dies tun, während Sie die CreateRecommendationTemplate API aufrufen. Weitere Informationen finden Sie unter CreateRecommendationTemplate.

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • Amazon CloudWatch (CloudWatch) — Ruft alle implementierten Alarme ab, die Sie in Amazon eingerichtet haben CloudWatch , um die Anwendung zu überwachen. Darüber hinaus veröffentlichen wir CloudWatch Metriken für den Resilienz-Score der Anwendung im ResilienceHub Namespace. cloudwatch:PutMetricData

  • Amazon Data Lifecycle Manager — Ruft Describe Berechtigungen für Amazon Data Lifecycle Manager Manager-Ressourcen ab, die Ihrem AWS Konto zugeordnet sind, und gewährt diese.

  • Amazon DevOps Guru — Listet Amazon DevOps Guru-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und gewährt Describe Berechtigungen für diese.

  • Amazon DocumentDB — Listet Amazon DocumentDB DocumentDB-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • Amazon DynamoDB (DynamoDB) — Listet Amazon DynamoDB DynamoDB-Ressourcen auf, die mit Ihrem Konto verknüpft sind, und stellt Describe Berechtigungen bereit. AWS

  • Amazon ElastiCache (ElastiCache) — Stellt Describe Berechtigungen für ElastiCache Ressourcen bereit, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon ElastiCache (Redis OSS) Serverless (ElastiCache (Redis OSS) Serverless) — Stellt Describe Berechtigungen für serverlose ElastiCache (Redis OSS) -Konfigurationen bereit, die mit Ihrem Konto verknüpft sind. AWS

  • Amazon Elastic Compute Cloud (Amazon EC2) — Listet Amazon-Ressourcen auf und bietet Describe Berechtigungen für diese EC2 Ressourcen, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon Elastic Container Registry (Amazon ECR) — Stellt Describe Berechtigungen für Amazon ECR-Ressourcen bereit, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon Elastic Container Service (Amazon ECS) — Stellt Describe Berechtigungen für Amazon ECS-Ressourcen bereit, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon Elastic File System (Amazon EFS) — Stellt Describe Berechtigungen für Amazon EFS-Ressourcen bereit, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon Elastic Kubernetes Service (Amazon EKS) — Listet Amazon EKS-Ressourcen auf und bietet Describe Berechtigungen für Amazon EKS-Ressourcen, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon EC2 Auto Scaling — Listet Amazon Auto Scaling-Ressourcen auf und bietet Describe Berechtigungen für Amazon EC2 Auto Scaling Scaling-Ressourcen, die mit Ihrem AWS Konto verknüpft sind.

  • Amazon EC2 Systems Manager (SSM) — Stellt Describe Berechtigungen für SSM-Ressourcen bereit, die mit Ihrem AWS Konto verknüpft sind.

  • AWS Fault Injection Service (AWS FIS) — Listet AWS FIS Experimente und Versuchsvorlagen auf, die mit Ihrem AWS Konto verknüpft sind, und gewährt Describe Berechtigungen für diese.

  • Amazon FSx für Windows File Server (Amazon FSx) — Listet FSx Amazon-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • Amazon RDS — Listet Amazon RDS-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • Amazon Route 53 (Route 53) — Listet Route 53-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • Amazon Route 53 Resolver — Listet Amazon Route 53 Resolver Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen für diese bereit.

  • Amazon Simple Notification Service (Amazon SNS) — Listet Amazon SNS SNS-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und gewährt Describe Berechtigungen dafür.

  • Amazon Simple Queue Service (Amazon SQS) — Listet Amazon SQS SQS-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und gewährt Describe Berechtigungen für diese.

  • Amazon Simple Storage Service (Amazon S3) — Listet Amazon S3 S3-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen bereit.

    Anmerkung

    Wenn während der Durchführung einer Bewertung Berechtigungen fehlen, die aus den verwalteten Richtlinien aktualisiert werden müssen, AWS Resilience Hub wird die Bewertung mithilfe der s3: GetBucketLogging -Berechtigung erfolgreich abgeschlossen. Es AWS Resilience Hub wird jedoch eine Warnmeldung angezeigt, die die fehlenden Berechtigungen auflistet und eine Frist einräumt, um sie hinzuzufügen. Wenn Sie die fehlenden Berechtigungen nicht innerhalb der angegebenen Nachfrist hinzufügen, schlägt die Bewertung fehl.

  • AWS Backup — Listet Amazon EC2 Auto Scaling Scaling-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und ruft Describe Berechtigungen für diese ab.

  • AWS CloudFormation — Listet Ressourcen auf AWS CloudFormation Stacks auf, die mit Ihrem AWS Konto verknüpft sind, und ruft Describe Berechtigungen für diese ab.

  • AWS DataSync — Listet AWS DataSync Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen für diese bereit.

  • AWS Directory Service — Listet AWS Directory Service Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen für diese bereit.

  • AWS Elastic Disaster Recovery (Elastic Disaster Recovery) — Stellt Describe Berechtigungen für Elastic Disaster Recovery-Ressourcen bereit, die Ihrem AWS Konto zugeordnet sind.

  • AWS Lambda (Lambda) — Listet Lambda-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • AWS Resource Groups (Resource Groups) — Listet Ressourcengruppen-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese Ressourcen.

  • AWS Service Catalog (Service Catalog) — Listet Service Catalog-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und bietet Describe Berechtigungen für diese.

  • AWS Step Functions — Listet AWS Step Functions Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen für diese bereit.

  • Elastic Load Balancing — Listet Elastic Load Balancing Balancing-Ressourcen auf, die mit Ihrem AWS Konto verknüpft sind, und stellt Describe Berechtigungen bereit.

  • ssm:GetParametersByPath— Wir verwenden diese Berechtigung, um CloudWatch Alarme, Tests oder solche, SOPs die für Ihre Anwendung konfiguriert sind, zu verwalten.

Die folgende IAM-Richtlinie ist erforderlich, damit ein AWS Konto Berechtigungen für Benutzer, Benutzergruppen und Rollen hinzufügt, die Ihrem Team die erforderlichen Berechtigungen für den Zugriff auf AWS Dienste während der Durchführung von Assessments gewähren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSResilienceHubFullResourceStatement",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalableTargets",
                "autoscaling:DescribeAutoScalingGroups",
                "backup:DescribeBackupVault",
                "backup:GetBackupPlan",
                "backup:GetBackupSelection",
                "backup:ListBackupPlans",
                "backup:ListBackupSelections",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStackResources",
                "cloudformation:ValidateTemplate",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "datasync:DescribeTask",
                "datasync:ListLocations",
                "datasync:ListTasks",
                "devops-guru:ListMonitoredResources",
                "dlm:GetLifecyclePolicies",
                "dlm:GetLifecyclePolicy",
                "docdb-elastic:GetCluster",
                "docdb-elastic:GetClusterSnapshot",
                "docdb-elastic:ListClusterSnapshots",
                "docdb-elastic:ListTagsForResource",
                "drs:DescribeJobs",
                "drs:DescribeSourceServers",
                "drs:GetReplicationConfiguration",
                "ds:DescribeDirectories",
                "dynamodb:DescribeContinuousBackups",
                "dynamodb:DescribeGlobalTable",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListGlobalTables",
                "dynamodb:ListTagsOfResource",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DescribeFleets",
                "ec2:DescribeHosts",
                "ec2:DescribeInstances",
                "ec2:DescribeNatGateways",
                "ec2:DescribePlacementGroups",
                "ec2:DescribeRegions",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcEndpoints",
                "ecr:DescribeRegistry",
                "ecs:DescribeCapacityProviders",
                "ecs:DescribeClusters",
                "ecs:DescribeContainerInstances",
                "ecs:DescribeServices",
                "ecs:DescribeTaskDefinition",
                "ecs:ListContainerInstances",
                "ecs:ListServices",
                "eks:DescribeCluster",
                "eks:DescribeFargateProfile",
                "eks:DescribeNodegroup",
                "eks:ListFargateProfiles",
                "eks:ListNodegroups",
                "elasticache:DescribeCacheClusters",
                "elasticache:DescribeGlobalReplicationGroups",
                "elasticache:DescribeReplicationGroups",
                "elasticache:DescribeServerlessCaches",
                "elasticahce:DescribeServerlessCacheSnapshots",
                "elasticache:DescribeSnapshots",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "fis:GetExperiment",
                "fis:GetExperimentTemplate",
                "fis:ListExperiments",
                "fis:ListExperimentResolvedTargets",
                "fis:ListExperimentTemplates",
                "fsx:DescribeFileSystems",
                "lambda:GetFunctionConcurrency",
                "lambda:GetFunctionConfiguration",
                "lambda:ListAliases",
                "lambda:ListEventSourceMappings",
                "lambda:ListFunctionEventInvokeConfigs",
                "lambda:ListVersionsByFunction",
                "rds:DescribeDBClusterSnapshots",
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstanceAutomatedBackups",
                "rds:DescribeDBInstances",
                "rds:DescribeDBProxies",
                "rds:DescribeDBProxyTargets",
                "rds:DescribeDBSnapshots",
                "rds:DescribeGlobalClusters",
                "rds:ListTagsForResource",
                "resource-groups:GetGroup",
                "resource-groups:ListGroupResources",
                "route53-recovery-control-config:ListClusters",
                "route53-recovery-control-config:ListControlPanels",
                "route53-recovery-control-config:ListRoutingControls",
                "route53-recovery-readiness:GetReadinessCheckStatus",
                "route53-recovery-readiness:GetResourceSet",
                "route53-recovery-readiness:ListReadinessChecks",
                "route53:GetHealthCheck",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:ListBucket",
                "servicecatalog:GetApplication",
                "servicecatalog:ListAssociatedResources",
                "sns:GetSubscriptionAttributes",
                "sns:GetTopicAttributes",
                "sns:ListSubscriptionsByTopic",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "ssm:DescribeAutomationExecutions",
                "states:DescribeStateMachine",
                "states:ListStateMachineVersions",
                "states:ListStateMachineAliases",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSResilienceHubApiGatewayStatement",
            "Effect": "Allow",
            "Action": [
                "apigateway:GET"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/apis/*",
                "arn:aws:apigateway:*::/restapis/*",
                "arn:aws:apigateway:*::/usageplans"
            ]
        },
        {
            "Sid": "AWSResilienceHubS3ArtifactStatement",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubS3AccessStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetMultiRegionAccessPointRoutes",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubCloudWatchStatement",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "ResilienceHub"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubSSMStatement",
            "Effect": "Allow",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*"
        }
    ]
}

AWS Resilience Hub Aktualisierungen der verwalteten AWS Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die AWS Resilience Hub seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite AWS Resilience Hub Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung Beschreibung Datum
AWSResilienceHubAsssessmentExecutionPolicy— Ändern AWS Resilience Hub Die Optionen „AWSResilienceHubAsssessmentExecutionPolicyErteilung“ List und „GetBerechtigungen“ wurden aktualisiert, sodass Sie nun auch AWS FIS während der Durchführung von Tests auf Experimente zugreifen können. 17. Dezember 2024
AWSResilienceHubAsssessmentExecutionPolicy— Ändern AWS Resilience Hub wurde aktualisiertAWSResilienceHubAsssessmentExecutionPolicy, um Describe Berechtigungen zu gewähren, damit Sie während der Durchführung von Bewertungen auf Ressourcen und Konfigurationen auf Amazon ElastiCache (Redis OSS) Serverless zugreifen können. 25. September 2024
AWSResilienceHubAsssessmentExecutionPolicy— Ändern AWS Resilience Hub wurde aktualisiertAWSResilienceHubAsssessmentExecutionPolicy, um Describe Berechtigungen zu gewähren, damit Sie auf Ressourcen und Konfigurationen in Amazon DocumentDB, Elastic Load Balancing und AWS Lambda während der Durchführung von Bewertungen zugreifen können. 01. August 2024
AWSResilienceHubAsssessmentExecutionPolicy— Veränderung AWS Resilience Hub wurde aktualisiertAWSResilienceHubAsssessmentExecutionPolicy, um Describe Berechtigungen zu gewähren, damit Sie die Dateiserverkonfiguration von Amazon FSx für Windows lesen können, während Bewertungen ausgeführt werden. 26. März 2024
AWSResilienceHubAsssessmentExecutionPolicy— Ändern AWS Resilience Hub wurde aktualisiertAWSResilienceHubAsssessmentExecutionPolicy, um Describe Berechtigungen zu gewähren, damit Sie die AWS Step Functions Konfiguration während der Durchführung von Bewertungen lesen können. 30. Oktober 2023
AWSResilienceHubAsssessmentExecutionPolicy— Ändern AWS Resilience Hub wurde aktualisiertAWSResilienceHubAsssessmentExecutionPolicy, um Describe Berechtigungen zu gewähren, damit Sie während der Durchführung von Bewertungen auf Ressourcen in Amazon RDS zugreifen können. 05. Oktober 2023

AWSResilienceHubAsssessmentExecutionPolicy— Neu

Diese AWS Resilience Hub Richtlinie bietet Zugriff auf andere AWS Dienste für die Durchführung von Bewertungen.

 26. Juni 2023

AWS Resilience Hub hat begonnen, Änderungen zu verfolgen

AWS Resilience Hub hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.

 15. Juni 2023