Políticas administradas de AWS para AWS Well-Architected Tool - AWS Well-Architected Tool

Hemos publicado una nueva versión del marco de Well-Architected. También hemos añadido enfoques nuevos y actualizados al Catálogo de enfoques. Obtenga más información sobre los cambios.

Políticas administradas de AWS para AWS Well-Architected Tool

Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.

Política administrada de AWS: WellArchitectedConsoleFullAccess

Puede adjuntar la política WellArchitectedConsoleFullAccess a las identidades de IAM.

La política concede acceso total a AWS Well-Architected Tool.

Detalles de los permisos

{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "wellarchitected:*" ], "Resource": "*" } ] }

Política administrada de AWS: WellArchitectedConsoleReadOnlyAccess

Puede adjuntar la política WellArchitectedConsoleReadOnlyAccess a las identidades de IAM.

Esta política concede acceso de solo lectura a AWS Well-Architected Tool.

Detalles de los permisos

{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "wellarchitected:Get*", "wellarchitected:List*" "wellarchitected:ExportLens" ], "Resource": "*" } ] }

Política administrada de AWS: AWSWellArchitectedOrganizationsServiceRolePolicy

Puede adjuntar la política AWSWellArchitectedOrganizationsServiceRolePolicy a las identidades de IAM.

Esta política otorga los permisos administrativos en AWS Organizations necesarios para respaldar la integración de AWS Well-Architected Tool con Organizations. Estos permisos permiten que la cuenta de administración de la organización permita compartir recursos con AWS WA Tool.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • organizations:ListAWSServiceAccessForOrganization: permite a las entidades principales comprobar si el acceso al servicio de AWS está habilitado para AWS WA Tool.

  • organizations:DescribeAccount: permite a las entidades principales recuperar información de sobre una cuenta en una organización.

  • organizations:DescribeOrganization: permite a las entidades principales recuperar información sobre la configuración de la organización.

  • organizations:ListAccounts: permite a las entidades principales recuperar la lista de cuentas que pertenecen a una organización.

  • organizations:ListAccountsForParent: permite a las entidades principales recuperar la lista de cuentas que pertenecen a una organización de un determinado nodo raíz en la organización.

  • organizations:ListChildren: permite a las entidades principales recuperar la lista de cuentas y las unidades organizativas que pertenecen a una organización de un determinado nodo raíz en la organización.

  • organizations:ListParents: permite a las entidades principales recuperar la lista de elementos principales inmediatos especificada por la unidad organizativa o la cuenta de una organización.

  • organizations:ListRoots: permite a las entidades principales recuperar la lista de todos los nodos raíz de una organización.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListChildren", "organizations:ListParents", "organizations:ListRoots" ], "Resource": "*" } ] }

Política administrada de AWS: AWSWELLArchitectedDiscoveryServiceRolePolicy

Puede adjuntar la política AWSWellArchitectedDiscoveryServiceRolePolicy a las identidades de IAM.

Esta política permite a AWS Well-Architected Tool acceder a los servicios de AWS y recursos relacionados con los recursos de AWS WA Tool.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • trustedadvisor:DescribeChecks: enumera los cheques Trusted Advisor disponibles.

  • trustedadvisor:DescribeCheckItems: obtiene datos de cheques Trusted Advisor, incluidos el estado y los recursos marcados por Trusted Advisor.

  • servicecatalog:GetApplication: obtiene los detalles de una aplicación de AppRegistry.

  • servicecatalog:ListAssociatedResources: muestra los recursos asociados a una aplicación de AppRegistry.

  • cloudformation:DescribeStacks: obtiene los detalles de las pilas de AWS CloudFormation.

  • cloudformation:ListStackResources: enumera los recursos asociados a las pilas de AWS CloudFormation.

  • resource-groups:ListGroupResources: enumera los recursos de un ResourceGroup.

  • tag:GetResources: necesario para ListGroupreResources.

  • servicecatalog:CreateAttributeGroup: crea un grupo de atributos gestionado por el servicio cuando es necesario.

  • servicecatalog:AssociateAttributeGroup: asocia un grupo de atributos gestionado por un servicio a una aplicación de AppRegistry.

  • servicecatalog:UpdateAttributeGroup: actualiza un grupo de atributos gestionado por un servicio.

  • servicecatalog:DisassociateAttributeGroup: desasocia un grupo de atributos gestionado por un servicio a una aplicación de AppRegistry.

  • servicecatalog:DeleteAttributeGroup: elimina un grupo de atributos gestionado por el servicio cuando es necesario.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeChecks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "resource-groups:ListGroupResources", "tag:GetResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "servicecatalog:GetApplication", "servicecatalog:CreateAttributeGroup" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "servicecatalog:AssociateAttributeGroup", "servicecatalog:DisassociateAttributeGroup" ], "Resource": [ "arn:*:servicecatalog:*:*:/applications/*", "arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*" ] }, { "Effect": "Allow", "Action": [ "servicecatalog:UpdateAttributeGroup", "servicecatalog:DeleteAttributeGroup" ], "Resource": [ "arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*" ] } ] }

Actualizaciones de AWS a políticas administradas de AWS WA Tool

Consulte los detalles relativos a las actualizaciones de las políticas administradas de AWS para AWS WA Tool desde que este servicio empezara a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de AWS WA Tool.

Cambio Descripción Fecha

Cambios en la política administrada de AWS WA Tool

Se agregó "wellarchitected:Export*" a WellArchitectedConsoleReadOnlyAccess.

22 de junio de 2023

Política de roles de servicio agregada de AWS WA Tool

AWSWellArchitectedDiscoveryServiceRolePolicy añadida para permitir a AWS Well-Architected Tool acceder a los servicios y los recursos de AWS que se relaciona con los recursos de AWS WA Tool.

3 de mayo de 2023

AWS WA Tool: permisos agregados

Se ha añadido una nueva acción de concesión ListAWSServiceAccessForOrganization parar permitir a AWS WA Tool acceder si el acceso de servicio de AWS está habilitado para AWS WA Tool.

22 de julio de 2022

AWS WA Tool comenzó el seguimiento de los cambios

AWS WA Tool comenzó el seguimiento de los cambios de las políticas administradas de AWS.

22 de julio de 2022