Von AWS verwaltete Richtlinien für AWS Well-Architected Tool - AWS Well-Architected Tool
WellArchitectedConsoleFullAccessWellArchitectedConsoleReadOnlyAccessAWSWellArchitectedOrganizationsServiceRolePolicyAWSWellArchitectedDiscoveryServiceRolePolicyRichtlinienaktualisierungen

Wir haben eine neue Version des Well-Architected Framework veröffentlicht. Wir haben dem Lens-Katalog auch neue und aktualisierte Lenses hinzugefügt. Erfahre mehr über die Änderungen.

Von AWS verwaltete Richtlinien für AWS Well-Architected Tool

Eine von AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Von AWS verwaltete Richtlinien stellen Berechtigungen für viele häufige Anwendungsfälle bereit, damit Sie beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass von AWS verwaltete Richtlinien möglicherweise nicht die geringsten Berechtigungen für Ihre spezifischen Anwendungsfälle gewähren, da sie für alle AWS-Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Die Berechtigungen, die in den von AWS verwalteten Richtlinien definiert sind, können nicht geändert werden. Wenn AWS-Berechtigungen aktualisiert, die in einer von AWS verwalteten Richtlinie definiert werden, wirkt sich das Update auf alle Prinzipalidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert am wahrscheinlichsten eine von AWS verwaltete Richtlinie, wenn ein neuer AWS-Service gestartet wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

Von AWS verwaltete Richtlinie: WellArchitectedConsoleFullAccess

Sie können die WellArchitectedConsoleFullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt vollen Zugriff auf AWS Well-Architected Tool.

Details zu Berechtigungen

{
   "Version": "2012-10-17",
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:*"
     ],
     "Resource": "*"
     }
   ]
}

Von AWS verwaltete Richtlinie: WellArchitectedConsoleReadOnlyAccess

Sie können die WellArchitectedConsoleReadOnlyAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie erteilt AWS Well-Architected Tool Lesezugriff.

Details zu Berechtigungen

{
   "Version": "2012-10-17",
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:Get*",
          "wellarchitected:List*"
          "wellarchitected:ExportLens"
     ],
     "Resource": "*"
     }
   ]
}

Von AWS verwaltete Richtlinie: AWSWellArchitectedOrganizationsServiceRolePolicy

Sie können die AWSWellArchitectedOrganizationsServiceRolePolicy-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie erteilt Administratorberechtigungen in AWS Organizations, die zur Unterstützung der AWS Well-Architected Tool-Integration mit Organizations erforderlich sind. Diese Berechtigungen ermöglichen dem Organisationsverwaltungskonto die Aktivierung der Ressourcenfreigabe für AWS WA Tool.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • organizations:ListAWSServiceAccessForOrganization – Ermöglicht Prinzipalen die Überprüfung, ob der AWS-Servicezugriff für AWS WA Tool aktiviert ist.

  • organizations:DescribeAccount – Ermöglicht Prinzipalen den Abruf von Informationen über ein Konto in der Organisation.

  • organizations:DescribeOrganization – Ermöglicht Prinzipalen den Abruf von Informationen über die Konfiguration der Organisation.

  • organizations:ListAccounts – Ermöglicht Prinzipalen den Abruf der Liste der Konten, die zu einer Organisation gehören.

  • organizations:ListAccountsForParent – Ermöglicht Prinzipalen den Abruf der Liste der Konten, die zu einer Organisation gehören, von einem angegebenen Stammknoten in der Organisation.

  • organizations:ListChildren – Ermöglicht Prinzipalen den Abruf der Liste der Konten und Organisationseinheiten, die zu einer Organisation gehören, von einem angegebenen Stammknoten in der Organisation.

  • organizations:ListParents – Ermöglicht Prinzipalen den Abruf der Liste der unmittelbaren übergeordneten Elemente, die von der Organisationseinheit oder einem Konto innerhalb einer Organisation angegeben werden.

  • organizations:ListRoots – Ermöglicht Prinzipalen den Abruf der Liste aller Stammknoten innerhalb einer Organisation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        }
    ]
}

AWS-verwaltete Richtlinie: AWSWellArchitectedDiscoveryServiceRolePolicy

Sie können die AWSWellArchitectedDiscoveryServiceRolePolicy-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie ermöglicht AWS Well-Architected Tool den Zugriff auf AWS-Services und -Ressourcen im Zusammenhang mit AWS WA Tool-Ressourcen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • trustedadvisor:DescribeChecks – Listet die verfügbaren Trusted Advisor-Überprüfungen auf.

  • trustedadvisor:DescribeCheckItems – Ruft Trusted Advisor-Überprüfungsdaten ab, einschließlich Status und Ressourcen, die von Trusted Advisor markiert wurden.

  • servicecatalog:GetApplication – Ruft Details einer AppRegistry-Anwendung ab.

  • servicecatalog:ListAssociatedResources – Listet Ressourcen auf, die einer AppRegistry-Anwendung zugeordnet sind.

  • cloudformation:DescribeStacks – Ruft Details zu AWS CloudFormation-Stacks ab.

  • cloudformation:ListStackResources – Listet die den AWS CloudFormation-Stacks zugeordneten Ressourcen auf.

  • resource-groups:ListGroupResources – Listet Ressourcen aus einer ResourceGroup auf.

  • tag:GetResources – Erforderlich für ListGroupResources.

  • servicecatalog:CreateAttributeGroup – Erstellt eine serviceverwaltete Attributgruppe, wenn erforderlich.

  • servicecatalog:AssociateAttributeGroup – Ordnet einer AppRegistry-Anwendung eine serviceverwaltete Attributgruppe zu.

  • servicecatalog:UpdateAttributeGroup – Aktualisiert eine serviceverwaltete Attributgruppe.

  • servicecatalog:DisassociateAttributeGroup – Trennt eine serviceverwaltete Attributgruppe von einer AppRegistry-Anwendung.

  • servicecatalog:DeleteAttributeGroup – Löscht eine serviceverwaltete Attributgruppe, wenn erforderlich.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeChecks",
				"trustedadvisor:DescribeCheckItems"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStacks",
				"cloudformation:ListStackResources",
				"resource-groups:ListGroupResources",
				"tag:GetResources"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:ListAssociatedResources",
				"servicecatalog:GetApplication",
				"servicecatalog:CreateAttributeGroup"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:AssociateAttributeGroup",
				"servicecatalog:DisassociateAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/applications/*",
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:UpdateAttributeGroup",
				"servicecatalog:DeleteAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		}
	]
}

AWS WA Tool-Aktualisierungen für AWS-verwaltete Richtlinien

Anzeigen von Details zu Aktualisierungen für AWS-verwaltete Richtlinien für AWS WA Tool, seit dieser Dienst mit der Verfolgung dieser Änderungen begonnen hat. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Seite AWS WA Tool-Dokumentverlauf.

Änderung Beschreibung Datum

Änderung für AWS WA Tool-verwaltete Richtlinien

Hinzufügung von "wellarchitected:Export*" zu WellArchitectedConsoleReadOnlyAccess.

 22. Juni 2023

Hinzufügung einer AWS WA Tool-Richtlinie für Servicerollen

Hinzufügung von AWSWellArchitectedDiscoveryServiceRolePolicy, um AWS Well-Architected Tool den Zugriff auf AWS-Services und -Ressourcen zu erteilen, die im Zusammenhang mit AWS WA Tool-Ressourcen stehen.

 3. Mai 2023

Hinzufügung von AWS WA Tool-Berechtigungen

Hinzufügung einer neuen Aktion, um ListAWSServiceAccessForOrganization die Berechtigung zu erteilen, AWS WA Tool die Überprüfung zu gestatten, ob der AWS-Servicezugriff für AWS WA Tool aktiviert ist.

 22. Juli 2022

AWS WA Tool hat die Änderungsverfolgung gestartet

AWS WA Tool hat mit der Verfolgung von Änderungen für seine AWS-verwalteten Richtlinien begonnen.

 22. Juli 2022