Politiques gérées par AWS pour AWS Well-Architected Tool - AWS Well-Architected Tool
WellArchitectedConsoleFullAccessWellArchitectedConsoleReadOnlyAccessAWSWellArchitectedOrganizationsServiceRolePolicyAWSWellArchitectedDiscoveryServiceRolePolicyMises à jour des politiques

Nous avons publié une nouvelle version du cadre Well-Architected Framework. Nous avons également ajouté des approches nouvelles et mises à jour au catalogue Lens. En savoir plus sur les modifications.

Politiques gérées par AWS pour AWS Well-Architected Tool

Une politique gérée par AWS est une politique autonome créée et administrée par AWS. Les politiques gérées par AWS sont conçues pour fournir des autorisations pour de nombreux cas d’utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

Gardez à l’esprit que les politiques gérées par AWS peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d’utilisation spécifiques, car elles sont disponibles pour tous les clients AWS. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques gérées par AWS. Si AWS met à jour les autorisations définies dans une politique gérée par AWS, la mise à jour affecte toutes les identités de principal (utilisateurs, groupes et rôles) auxquelles la politique est associée. AWS est plus susceptible de mettre à jour une politique gérée par AWS lorsqu’un nouveau Service AWS est lancé ou lorsque de nouvelles opérations API deviennent accessibles pour les services existants.

Pour plus d’informations, consultez la section Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

Politique gérée par AWS : WellArchitectedConsoleFullAccess

Vous pouvez associer la politique WellArchitectedConsoleFullAccess à vos identités IAM.

Cette politique accorde à un accès total à AWS Well-Architected Tool.

Détails de l’autorisation

{
   "Version": "2012-10-17",
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:*"
     ],
     "Resource": "*"
     }
   ]
}

Politique gérée par AWS : WellArchitectedConsoleReadOnlyAccess

Vous pouvez associer la politique WellArchitectedConsoleReadOnlyAccess à vos identités IAM.

Cette politique accorde un accès en lecture seule à l’AWS Well-Architected Tool.

Détails de l’autorisation

{
   "Version": "2012-10-17",
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:Get*",
          "wellarchitected:List*"
          "wellarchitected:ExportLens"
     ],
     "Resource": "*"
     }
   ]
}

Politique gérée par AWS : AWSWellArchitectedOrganizationsServiceRolePolicy

Vous pouvez associer la politique AWSWellArchitectedOrganizationsServiceRolePolicy à vos identités IAM.

Cette politique accorde les autorisations administratives dans AWS Organizations qui sont nécessaires pour prendre en charge l’intégration de l’AWS Well-Architected Tool à Organizations. Ces autorisations permettent au compte de gestion de l’organisation d’activer le partage des ressources avec AWS WA Tool.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • organizations:ListAWSServiceAccessForOrganization : autorise les principaux à vérifier si l’accès aux services AWS est activé pour l’AWS WA Tool.

  • organizations:DescribeAccount : autorise les principaux à extraire des informations sur un compte dans l’organisation.

  • organizations:DescribeOrganization : autorise les principaux à extraire des informations sur la configuration de l’organisation.

  • organizations:ListAccounts : autorise les principaux à extraire la liste des comptes appartenant à une organisation.

  • organizations:ListAccountsForParent : autorise les principaux à extraire la liste des comptes appartenant à une organisation à partir d’un nœud racine donné dans l’organisation.

  • organizations:ListChildren : autorise les principaux à extraire la liste des comptes et des unités d’organisation appartenant à une organisation à partir d’un nœud racine donné dans l’organisation.

  • organizations:ListParents : autorise les principaux à extraire la liste des parents immédiats spécifiés par l’unité d’organisation ou le compte au sein d’une organisation.

  • organizations:ListRoots : autorise les principaux à extraire la liste de tous les nœuds racines au sein d’une organisation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        }
    ]
}

Politique gérée par AWS : AWSWellArchitectedDiscoveryServiceRolePolicy

Vous pouvez associer la politique AWSWellArchitectedDiscoveryServiceRolePolicy à vos identités IAM.

Cette politique autorise l’AWS Well-Architected Tool à accéder aux services et aux ressources AWS liés aux ressources de l’AWS WA Tool.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • trustedadvisor:DescribeChecks : dresse la liste des vérifications Trusted Advisor disponibles.

  • trustedadvisor:DescribeCheckItems : récupère les données des vérifications Trusted Advisor, y compris le statut et les ressources signalés par Trusted Advisor.

  • servicecatalog:GetApplication : récupère les détails d’une application AppRegistry.

  • servicecatalog:ListAssociatedResources : répertorie les ressources associées à une application AppRegistry.

  • cloudformation:DescribeStacks : obtient les détails des piles AWS CloudFormation.

  • cloudformation:ListStackResources : dresse la liste des ressources associées aux piles AWS CloudFormation.

  • resource-groups:ListGroupResources : dresse la liste des ressources d’un ResourceGroup.

  • tag:GetResources : requis pour ListGroupResources.

  • servicecatalog:CreateAttributeGroup : crée un groupe d’attributs géré par le service lorsque cela est nécessaire.

  • servicecatalog:AssociateAttributeGroup : associe un groupe d’attributs géré par le service à une application AppRegistry.

  • servicecatalog:UpdateAttributeGroup : met à jour un groupe d’attributs géré par le service.

  • servicecatalog:DisassociateAttributeGroup : dissocie un groupe d’attributs géré par le service d’une application AppRegistry.

  • servicecatalog:DeleteAttributeGroup : supprime un groupe d’attributs géré par le service lorsque cela est nécessaire.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeChecks",
				"trustedadvisor:DescribeCheckItems"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStacks",
				"cloudformation:ListStackResources",
				"resource-groups:ListGroupResources",
				"tag:GetResources"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:ListAssociatedResources",
				"servicecatalog:GetApplication",
				"servicecatalog:CreateAttributeGroup"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:AssociateAttributeGroup",
				"servicecatalog:DisassociateAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/applications/*",
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:UpdateAttributeGroup",
				"servicecatalog:DeleteAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		}
	]
}

Mises à jour AWS WA Tool vers des politiques gérées par AWS

Consultez le détail des mises à jour des politiques gérées par AWS pour AWS WA Tool depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la Page d’historique du document AWS WA Tool.

Modification Description Date

Politique gérée modifiée par l’AWS WA Tool

Ajout de "wellarchitected:Export*" à WellArchitectedConsoleReadOnlyAccess

 22 juin 2023

Politique de rôle de service ajoutée par l’AWS WA Tool

La politique AWSWellArchitectedDiscoveryServiceRolePolicy a été ajoutée pour autoriser l’AWS Well-Architected Tool à accéder aux services et aux ressources AWS liés aux ressources de l’AWS WA Tool.

 3 mai 2023

Autorisations ajoutées par AWS WA Tool

Une nouvelle action a été ajoutée pour accorder la politique ListAWSServiceAccessForOrganization afin d’autoriser l’AWS WA Tool à vérifier si l’accès aux services AWS est activé pour l’AWS WA Tool.

 22 juillet 2022

AWS WA Tool a démarré le suivi des modifications

AWS WA Tool a commencé à suivre les modifications pour ses politiques gérées par AWS.

 22 juillet 2022