AWS políticas gestionadas para Explorador de recursos de AWS - Explorador de recursos de AWS
AWSResourceExplorerFullAccessAWSResourceExplorerReadOnlyAccessAWSResourceExplorerServiceRolePolicyAWSResourceExplorerOrganizationsAccessActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para Explorador de recursos de AWS

Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Políticas AWS administradas generales que incluyen permisos de Resource Explorer

  • AdministratorAccess— Otorga acceso completo a los recursos Servicios de AWS y a los mismos.

  • ReadOnlyAcceso: otorga acceso de solo lectura a los recursos Servicios de AWS y recursos.

  • ViewOnlyAcceso: otorga permisos para ver los recursos y los metadatos básicos de. Servicios de AWS

    nota

    Los permisos de Get* de Resource Explorer incluidos en la política de ViewOnlyAccess funcionan igual que los permisos List, aunque solo devuelven un valor único ya que una región solo puede contener un índice y una vista predeterminada.

AWS políticas administradas para Resource Explorer

AWS política gestionada: AWSResourceExplorerFullAccess

Puede asignar la política de AWSResourceExplorerFullAccess a las identidades de IAM.

Esta política otorga permisos que permiten un control administrativo total del servicio de Resource Explorer. Puede realizar todas las tareas relacionadas con la activación y la administración de Resource Explorer en las Regiones de AWS en su cuenta.

Detalles de los permisos

Esta política incluye permisos que permiten realizar todas las acciones del Explorador de recursos, como activar y desactivar el Explorador de recursos Regiones de AWS, crear o eliminar un índice agregador para la cuenta, crear, actualizar y eliminar vistas y realizar búsquedas. Esta política también incluye permisos que no forman parte de Resource Explorer:

  • ec2:DescribeRegions: permite a Resource Explorer acceder a información detallada sobre las regiones de su cuenta.

  • ram:ListResources: permite a Resource Explorer enumerar los recursos compartidos de los que forman parte los recursos.

  • ram:GetResourceShares: permite a Resource Explorer identificar detalles sobre los recursos compartidos que le pertenecen o que se comparten con usted.

  • iam:CreateServiceLinkedRole: permite a Resource Explorer crear el rol vinculado al servicio necesario al activar Resource Explorer mediante la creación del primer índice.

  • organizations:DescribeOrganization: permite a Resource Explorer acceder a información sobre su organización.

Para ver la versión más reciente de esta política AWS administrada, consulte la Guía AWSResourceExplorerFullAccess de referencia de políticas AWS administradas.

AWS política gestionada: AWSResourceExplorerReadOnlyAccess

Puede asignar la política de AWSResourceExplorerReadOnlyAccess a las identidades de IAM.

Esta política concede permisos de solo lectura que brindan a los usuarios acceso a búsqueda básica para divulgar sus recursos.

Detalles de los permisos

Esta política incluye permisos que les permiten a los usuarios utilizar las operaciones de Get*, List* y Search de Resource Explorer para ver información sobre los componentes y los ajustes de configuración de Resource Explorer, pero no permite que los usuarios los cambien. Los usuarios también pueden realizar búsquedas. Esta política también incluye dos permisos que no forman parte de Resource Explorer:

  • ec2:DescribeRegions: permite a Resource Explorer acceder a información detallada sobre las regiones de su cuenta.

  • ram:ListResources: permite a Resource Explorer enumerar los recursos compartidos de los que forman parte los recursos.

  • ram:GetResourceShares: permite a Resource Explorer identificar detalles sobre los recursos compartidos que le pertenecen o que se comparten con usted.

  • organizations:DescribeOrganization: permite a Resource Explorer acceder a información sobre su organización.

Para ver la versión más reciente de esta política AWS gestionada, consulte AWSResourceExplorerReadOnlyAccess la Guía de referencia de políticas AWS gestionadas.

AWS política gestionada: AWSResourceExplorerServiceRolePolicy

No puede adjuntar AWSResourceExplorerServiceRolePolicy a ninguna entidad IAM usted mismo. Esta política puede estar adjunta solamente a un rol vinculado a servicios que permita a Resource Explorer realizar acciones en su nombre. Para obtener más información, consulte Uso de roles vinculados a servicios para Resource Explorer.

Esta política concede los permisos necesarios para que Resource Explorer recupere información sobre sus recursos. El explorador de recursos rellena los índices que mantiene en cada uno de los Región de AWS que registre.

Para ver la versión más reciente de esta política AWS administrada, consulte AWSResourceExplorerServiceRolePolicy en la consola de IAM.

AWS política gestionada: AWSResourceExplorerOrganizationsAccess

Puede asignar AWSResourceExplorerOrganizationsAccess a sus identidades de IAM.

Esta política otorga permisos administrativos al Explorador de recursos y otorga permisos de solo lectura a otros Servicios de AWS para respaldar este acceso. El AWS Organizations administrador necesita estos permisos para configurar y administrar la búsqueda de varias cuentas en la consola.

Detalles de los permisos

Esta política incluye permisos que les permiten a los administradores configurar la búsqueda de varias cuentas para la organización:

  • ec2:DescribeRegions: permite a Resource Explorer acceder a información detallada sobre las regiones de su cuenta.

  • ram:ListResources: permite a Resource Explorer enumerar los recursos compartidos de los que forman parte los recursos.

  • ram:GetResourceShares: permite que Resource Explorer identifique detalles sobre los recursos compartidos que le pertenecen o que se comparten con usted.

  • organizations:ListAccounts: permite a Resource Explorer identificar las cuentas dentro de una organización.

  • organizations:ListRoots: permite a Resource Explorer identificar las cuentas raíz dentro de una organización.

  • organizations:ListOrganizationalUnitsForParent: permite a Resource Explorer identificar las unidades organizativas (UO) de una unidad organizativa principal o raíz.

  • organizations:ListAccountsForParent: permite a Resource Explorer identificar las cuentas de una organización que se encuentran contenidas en la raíz de destino especificada o en una UO.

  • organizations:ListDelegatedAdministrators— Permite que Resource Explorer identifique las AWS cuentas designadas como administradores delegados en esta organización.

  • organizations:ListAWSServiceAccessForOrganization— Permite a Resource Explorer identificar una lista de las Servicios de AWS que están habilitadas para integrarse con su organización.

  • organizations:DescribeOrganization: permite a Resource Explorer recuperar información sobre la organización a la que pertenece la cuenta del usuario.

  • organizations:EnableAWSServiceAccess— Permite que Resource Explorer habilite la integración de un Servicio de AWS (el servicio especificado porServicePrincipal) con AWS Organizations.

  • organizations:DisableAWSServiceAccess— Permite que Resource Explorer deshabilite la integración de un Servicio de AWS (el servicio especificado por ServicePrincipal) con AWS Organizations.

  • organizations:RegisterDelegatedAdministrator— Permite que Resource Explorer habilite la cuenta de miembro especificada para administrar las funciones de la organización del AWS servicio especificado.

  • organizations:DeregisterDelegatedAdministrator— Permite a Resource Explorer eliminar al miembro especificado Cuenta de AWS como administrador delegado del miembro especificado Servicio de AWS.

  • iam:GetRole: permite a Resource Explorer recuperar información sobre el rol especificado, incluidos la ruta del rol, GUID, ARN y la política de confianza del rol que concede permiso para asumirlo.

  • iam:CreateServiceLinkedRole: permite a Resource Explorer crear el rol vinculado al servicio necesario al activar Resource Explorer mediante la creación del primer índice.

Para ver la versión más reciente de esta política AWS gestionada, consulte AWSResourceExplorerOrganizationsAccess en la consola de IAM.

Resource Explorer actualiza las políticas AWS administradas

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas para Resource Explorer desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de Resource Explorer.

Cambio Descripción Fecha

AWSResourceExplorerServiceRolePolicy- Se actualizaron los permisos de las políticas para ver otros tipos de recursos

Resource Explorer agregó permisos a la política de roles vinculados al servicio AWSResourceExplorerServiceRolePolicyque permiten a Resource Explorer ver otros tipos de recursos:

  • apprunner:ListVpcConnectors

  • backup:ListReportPlans

  • emr-serverless:ListApplications

  • events:ListEventBuses

  • geo:ListPlaceIndexes

  • geo:ListTrackers

  • greengrass:ListComponents

  • greengrass:ListComponentVersions

  • iot:ListRoleAliases

  • iottwinmaker:ListComponentTypes

  • iottwinmaker:ListEntities

  • iottwinmaker:ListScenes

  • kafka:ListConfigurations

  • kms:ListKeys

  • kinesisanalytics:ListApplications

  • lex:ListBots

  • lex:ListBotAliases

  • mediapackage-vod:ListPackagingConfigurations

  • mediapackage-vod:ListPackagingGroups

  • mq:ListBrokers

  • personalize:ListDatasetGroups

  • personalize:ListDatasets

  • personalize:ListSchemas

  • route53:ListHealthChecks

  • route53:ListHostedZones

  • secretsmanager:ListSecrets

 12 de diciembre de 2023

Nueva política administrada por

Resource Explorer agregó la siguiente política AWS administrada:

 14 de noviembre de 2023

Actualización de la políticas administradas

Resource Explorer actualizó las siguientes políticas AWS administradas para permitir la búsqueda en varias cuentas:

 14 de noviembre de 2023

AWSResourceExplorerServiceRolePolicy— Política actualizada para admitir la búsqueda de múltiples cuentas con Organizations

Resource Explorer agregó permisos a la política de roles vinculados al servicio AWSResourceExplorerServiceRolePolicy que permite que Resource Explorer admita la búsqueda en varias cuentas con Organizations:

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

 14 de noviembre de 2023

AWSResourceExplorerServiceRolePolicy— Política actualizada para admitir tipos de recursos adicionales

Resource Explorer agregó permisos a la política de roles vinculados al servicio de AWSResourceExplorerServiceRolePolicy que permiten al servicio indexar los siguientes tipos de recursos:

  • accessanalyzer:analyzer

  • acmpca:certificateauthority

  • amplify:app

  • amplify:backendenvironment

  • amplify:branch

  • amplify:domainassociation

  • amplifyuibuilder:component

  • amplifyuibuilder:theme

  • appintegrations:eventintegration

  • apprunner:service

  • appstream:appblock

  • appstream:application

  • appstream:fleet

  • appstream:imagebuilder

  • appstream:stack

  • appsync:graphqlapi

  • aps:rulegroupsnamespace

  • aps:workspace

  • apigateway:restapi

  • apigateway:deployment

  • athena:datacatalog

  • athena:workgroup

  • autoscaling:autoscalinggroup

  • backup:backupplan

  • batch:computeenvironment

  • batch:jobqueue

  • batch:schedulingpolicy

  • cloudformation:stack

  • cloudformation:stackset

  • cloudfront:fieldlevelencryptionconfig

  • cloudfront:fieldlevelencryptionprofile

  • cloudfront:originaccesscontrol

  • cloudtrail:trail

  • codeartifact:domain

  • codeartifact:repository

  • codecommit:repository

  • codeguruprofiler:profilinggroup

  • codestarconnections:connection

  • databrew:dataset

  • databrew:recipe

  • databrew:ruleset

  • detective:graph

  • directoryservices:directory

  • ec2:carriergateway

  • ec2:verifiedaccessendpoint

  • ec2:verifiedaccessgroup

  • ec2:verifiedaccessinstance

  • ec2:verifiedaccesstrustprovider

  • ecr:repository

  • elasticache:cachesecuritygroup

  • elasticfilesystem:accesspoint

  • events:rule

  • evidently:experiment

  • evidently:feature

  • evidently:launch

  • evidently:project

  • finspace:environment

  • firehose:deliverystream

  • faultinjectionsimulator:experimenttemplate

  • forecast:datasetgroup

  • forecast:dataset

  • frauddetector:detector

  • frauddetector:entitytype

  • frauddetector:eventtype

  • frauddetector:label

  • frauddetector:outcome

  • frauddetector:variable

  • gamelift:alias

  • globalaccelerator:accelerator

  • globalaccelerator:endpointgroup

  • globalaccelerator:listener

  • glue:database

  • glue:job

  • glue:table

  • glue:trigger

  • greengrass:group

  • healthlake:fhirdatastore

  • iam:virtualmfadevice

  • imagebuilder:componentbuildversion

  • imagebuilder:component

  • imagebuilder:containerrecipe

  • imagebuilder:distributionconfiguration

  • imagebuilder:imagebuildversion

  • imagebuilder:imagepipeline

  • imagebuilder:imagerecipe

  • imagebuilder:image

  • imagebuilder:infrastructureconfiguration

  • iot:authorizer

  • iot:jobtemplate

  • iot:mitigationaction

  • iot:provisioningtemplate

  • iot:securityprofile

  • iot:thing

  • iot:topicruledestination

  • iotanalytics:channel

  • iotanalytics:dataset

  • iotanalytics:datastore

  • iotanalytics:pipeline

  • iotevents:alarmmodel

  • iotevents:detectormodel

  • iotevents:input

  • iotsitewise:assetmodel

  • iotsitewise:asset

  • iotsitewise:gateway

  • iottwinmaker:workspace

  • ivs:channel

  • ivs:streamkey

  • kafka:cluster

  • kinesisvideo:stream

  • lambda:alias

  • lambda:layerversion

  • lambda:layer

  • lookoutmetrics:alert

  • lookoutvision:project

  • mediapackage:channel

  • mediapackage:originendpoint

  • mediatailor:playbackconfiguration

  • memorydb:acl

  • memorydb:cluster

  • memorydb:parametergroup

  • memorydb:user

  • mobiletargeting:app

  • mobiletargeting:segment

  • mobiletargeting:template

  • networkfirewall:firewallpolicy

  • networkfirewall:firewall

  • networkmanager:globalnetwork

  • networkmanager:device

  • networkmanager:link

  • networkmanager:attachment

  • networkmanager:corenetwork

  • panorama:package

  • qldb:journalkinesisstreamsforledger

  • qldb:ledger

  • rds:bluegreendeployment

  • refactorspaces:application

  • refactorspaces:environment

  • refactorspaces:route

  • refactorspaces:service

  • rekognition:project

  • resiliencehub:app

  • resiliencehub:resiliencypolicy

  • resourcegroups:group

  • route53:recoverygroup

  • route53:resourceset

  • route53:firewalldomain

  • route53:firewallrulegroup

  • route53:resolverendpoint

  • route53:resolverrule

  • sagemaker:model

  • sagemaker:notebookinstance

  • signer:signingprofile

  • ssmincidents:responseplan

  • ssm:inventoryentry

  • ssm:resourcedatasync

  • states:activity

  • timestream:database

  • wisdom:assistant

  • wisdom:assistantassociation

  • wisdom:knowledgebase

 17 de octubre de 2023

AWSResourceExplorerServiceRolePolicy— Política actualizada para admitir tipos de recursos adicionales

Resource Explorer agregó permisos a la política de roles vinculados al servicio de AWSResourceExplorerServiceRolePolicy que permiten al servicio indexar los siguientes tipos de recursos:

  • codebuild:project

  • codepipeline:pipeline

  • cognito:identitypool

  • cognito:userpool

  • ecr:repository

  • efs:filesystem

  • elasticbeanstalk:application

  • elasticbeanstalk:applicationversion

  • elasticbeanstalk:environment

  • iot:policy

  • iot:topicrule

  • stepfunctions:statemachine

  • s3:bucket

 1 de agosto de 2023

AWSResourceExplorerServiceRolePolicy— Política actualizada para admitir tipos de recursos adicionales

Resource Explorer agregó permisos a la política de roles vinculados al servicio de AWSResourceExplorerServiceRolePolicy que permiten al servicio indexar los siguientes tipos de recursos:

  • elasticache:cluster

  • elasticache:globalreplicationgroup

  • elasticache:parametergroup

  • elasticache:replicationgroup

  • elasticache:reserved-instance

  • elasticache:snapshot

  • elasticache:subnetgroup

  • elasticache:user

  • elasticache:usergroup

  • lambda:code-signing-config

  • lambda:event-source-mapping

  • sqs:queue

 7 de marzo de 2023
Nuevas políticas administradas

Resource Explorer agregó las siguientes políticas AWS administradas:

 7 de noviembre de 2022

Resource Explorer comenzó hacer seguimiento de los cambios

Resource Explorer comenzó a realizar un seguimiento de los cambios de sus políticas AWS administradas.

 7 de noviembre de 2022