AWS kebijakan terkelola untuk AWS Resilience Hub - AWS Hub Ketahanan
AWSResilienceHubAsssessmentExecutionPolicyPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk AWS Resilience Hub

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

AWSResilienceHubAsssessmentExecutionPolicy

Anda dapat melampirkan AWSResilienceHubAsssessmentExecutionPolicy ke IAM identitas Anda. Saat menjalankan penilaian, kebijakan ini memberikan izin akses ke AWS layanan lain untuk menjalankan penilaian.

Detail izin

Kebijakan ini memberikan izin yang memadai untuk memublikasikan alarm, AWS FIS dan SOP templat ke bucket Amazon Simple Storage Service (Amazon S3). Nama bucket Amazon S3 harus dimulai dengan. aws-resilience-hub-artifacts- Jika Anda ingin mempublikasikan ke bucket Amazon S3 lain, Anda dapat melakukannya saat menelepon. CreateRecommendationTemplate API Untuk informasi lebih lanjut, lihat CreateRecommendationTemplate.

Kebijakan ini mencakup izin berikut:

  • Amazon CloudWatch (CloudWatch) - Mendapatkan semua alarm yang diterapkan yang Anda atur di Amazon CloudWatch untuk memantau aplikasi. Selain itu, kami gunakan cloudwatch:PutMetricData untuk mempublikasikan CloudWatch metrik untuk skor ketahanan aplikasi di namespace. ResilienceHub

  • Amazon Data Lifecycle Manager — Mendapat dan menyediakan Describe izin untuk sumber daya Amazon Data Lifecycle Manager yang terkait dengan akun Anda. AWS

  • Amazon DevOps Guru - Mendaftar dan memberikan Describe izin untuk sumber daya Amazon DevOps Guru yang terkait dengan AWS akun Anda.

  • Amazon DocumentDB — Daftar dan Describe menyediakan izin untuk sumber daya Amazon DocumentDB yang terkait dengan akun Anda. AWS

  • Amazon DynamoDB (DynamoDB) - Mendaftar dan memberikan Describe izin untuk sumber daya Amazon DynamoDB yang terkait dengan akun Anda. AWS

  • Amazon ElastiCache (ElastiCache) - Menyediakan Describe izin untuk ElastiCache sumber daya yang terkait dengan AWS akun Anda.

  • Amazon ElastiCache (RedisOSS) Tanpa Server (ElastiCache (RedisOSS) Tanpa Server) - Menyediakan Describe izin untuk konfigurasi Tanpa Server ElastiCache (RedisOSS) yang terkait dengan akun Anda. AWS

  • Amazon Elastic Compute Cloud (AmazonEC2) - Mendaftar dan memberikan Describe izin untuk EC2 sumber daya Amazon yang terkait dengan akun Anda AWS .

  • Amazon Elastic Container Registry (AmazonECR) - Menyediakan Describe izin untuk ECR sumber daya Amazon yang terkait dengan AWS akun Anda.

  • Amazon Elastic Container Service (AmazonECS) - Menyediakan Describe izin untuk ECS sumber daya Amazon yang terkait dengan AWS akun Anda.

  • Amazon Elastic File System (AmazonEFS) - Menyediakan Describe izin untuk EFS sumber daya Amazon yang terkait dengan AWS akun Anda.

  • Amazon Elastic Kubernetes Service (EKSAmazon) - Mendaftar dan Describe memberikan izin untuk sumber daya EKS Amazon yang terkait dengan akun Anda. AWS

  • Amazon EC2 Auto Scaling — Mendaftar dan memberikan Describe izin untuk sumber daya Amazon EC2 Auto Scaling yang terkait dengan akun Anda. AWS

  • Amazon EC2 Systems Manager (SSM) — Menyediakan Describe izin untuk SSM sumber daya yang terkait dengan AWS akun Anda.

  • AWS Fault Injection Service (AWS FIS) — Daftar dan memberikan Describe izin untuk AWS FIS eksperimen dan templat eksperimen yang terkait dengan AWS akun Anda.

  • Amazon FSx untuk Windows File Server (AmazonFSx) - Daftar dan menyediakan Describe izin untuk FSx sumber daya Amazon yang terkait dengan AWS akun Anda.

  • Amazon RDS — Daftar dan menyediakan Describe izin untuk RDS sumber daya Amazon yang terkait dengan AWS akun Anda.

  • Amazon Route 53 (Route 53) - Mendaftar dan memberikan Describe izin untuk sumber daya Route 53 yang terkait dengan AWS akun Anda.

  • Amazon Route 53 Resolver — Daftar dan memberikan Describe izin untuk Amazon Route 53 Resolver sumber daya yang terkait dengan AWS akun Anda.

  • Amazon Simple Notification Service (AmazonSNS) — Daftar dan memberikan Describe izin untuk SNS sumber daya Amazon yang terkait dengan AWS akun Anda.

  • Amazon Simple Queue Service (AmazonSQS) — Daftar dan memberikan Describe izin untuk SQS sumber daya Amazon yang terkait dengan akun Anda AWS .

  • Amazon Simple Storage Service (Amazon S3) - Mendaftar dan Describe memberikan izin untuk sumber daya Amazon S3 yang terkait dengan akun Anda. AWS

    catatan

    Saat menjalankan penilaian, jika ada izin yang hilang yang perlu diperbarui dari kebijakan Terkelola, penilaian AWS Resilience Hub akan berhasil menyelesaikan penilaian menggunakan izin s3:GetBucketLogging . Namun, AWS Resilience Hub akan menampilkan pesan peringatan yang mencantumkan izin yang hilang dan akan memberikan masa tenggang untuk menambahkan yang sama. Jika Anda tidak menambahkan izin yang hilang dalam masa tenggang yang ditentukan, penilaian akan gagal.

  • AWS Backup — Daftar dan dapatkan Describe izin untuk sumber daya Amazon EC2 Auto Scaling yang terkait dengan AWS akun Anda.

  • AWS CloudFormation — Daftar dan dapatkan Describe izin untuk sumber daya pada AWS CloudFormation tumpukan yang terkait dengan akun Anda AWS .

  • AWS DataSync — Daftar dan memberikan Describe izin untuk AWS DataSync sumber daya yang terkait dengan AWS akun Anda.

  • AWS Directory Service — Daftar dan memberikan Describe izin untuk AWS Directory Service sumber daya yang terkait dengan AWS akun Anda.

  • AWS Elastic Disaster Recovery (Elastic Disaster Recovery) - Memberikan Describe izin untuk sumber daya Pemulihan Bencana Elastis yang terkait dengan AWS akun Anda.

  • AWS Lambda (Lambda) — Daftar dan memberikan Describe izin untuk sumber daya Lambda yang terkait dengan akun Anda. AWS

  • AWS Resource Groups (Resource Groups) — Daftar dan memberikan Describe izin untuk sumber daya Resource Groups yang terkait dengan AWS akun Anda.

  • AWS Service Catalog (Service Catalog) — Daftar dan memberikan Describe izin untuk sumber daya Service Catalog yang terkait dengan AWS akun Anda.

  • AWS Step Functions — Daftar dan memberikan Describe izin untuk AWS Step Functions sumber daya yang terkait dengan AWS akun Anda.

  • Elastic Load Balancing — Daftar dan memberikan Describe izin untuk sumber daya Elastic Load Balancing yang terkait dengan akun Anda. AWS

  • ssm:GetParametersByPath— Kami menggunakan izin ini untuk mengelola CloudWatch alarm, pengujian, atau SOPs yang dikonfigurasi untuk aplikasi Anda.

IAMKebijakan berikut diperlukan agar AWS akun dapat menambahkan izin bagi pengguna, grup pengguna, dan peran yang memberikan izin yang diperlukan bagi tim Anda untuk mengakses AWS layanan saat menjalankan penilaian.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSResilienceHubFullResourceStatement",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalableTargets",
                "autoscaling:DescribeAutoScalingGroups",
                "backup:DescribeBackupVault",
                "backup:GetBackupPlan",
                "backup:GetBackupSelection",
                "backup:ListBackupPlans",
                "backup:ListBackupSelections",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStackResources",
                "cloudformation:ValidateTemplate",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "datasync:DescribeTask",
                "datasync:ListLocations",
                "datasync:ListTasks",
                "devops-guru:ListMonitoredResources",
                "dlm:GetLifecyclePolicies",
                "dlm:GetLifecyclePolicy",
                "docdb-elastic:GetCluster",
                "docdb-elastic:GetClusterSnapshot",
                "docdb-elastic:ListClusterSnapshots",
                "docdb-elastic:ListTagsForResource",
                "drs:DescribeJobs",
                "drs:DescribeSourceServers",
                "drs:GetReplicationConfiguration",
                "ds:DescribeDirectories",
                "dynamodb:DescribeContinuousBackups",
                "dynamodb:DescribeGlobalTable",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListGlobalTables",
                "dynamodb:ListTagsOfResource",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DescribeFleets",
                "ec2:DescribeHosts",
                "ec2:DescribeInstances",
                "ec2:DescribeNatGateways",
                "ec2:DescribePlacementGroups",
                "ec2:DescribeRegions",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcEndpoints",
                "ecr:DescribeRegistry",
                "ecs:DescribeCapacityProviders",
                "ecs:DescribeClusters",
                "ecs:DescribeContainerInstances",
                "ecs:DescribeServices",
                "ecs:DescribeTaskDefinition",
                "ecs:ListContainerInstances",
                "ecs:ListServices",
                "eks:DescribeCluster",
                "eks:DescribeFargateProfile",
                "eks:DescribeNodegroup",
                "eks:ListFargateProfiles",
                "eks:ListNodegroups",
                "elasticache:DescribeCacheClusters",
                "elasticache:DescribeGlobalReplicationGroups",
                "elasticache:DescribeReplicationGroups",
                "elasticache:DescribeServerlessCaches",
                "elasticahce:DescribeServerlessCacheSnapshots",
                "elasticache:DescribeSnapshots",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "fis:GetExperimentTemplate",
                "fis:ListExperimentTemplates",
                "fis:ListExperiments",
                "fsx:DescribeFileSystems",
                "lambda:GetFunctionConcurrency",
                "lambda:GetFunctionConfiguration",
                "lambda:ListAliases",
                "lambda:ListEventSourceMappings",
                "lambda:ListFunctionEventInvokeConfigs",
                "lambda:ListVersionsByFunction",
                "rds:DescribeDBClusterSnapshots",
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstanceAutomatedBackups",
                "rds:DescribeDBInstances",
                "rds:DescribeDBProxies",
                "rds:DescribeDBProxyTargets",
                "rds:DescribeDBSnapshots",
                "rds:DescribeGlobalClusters",
                "rds:ListTagsForResource",
                "resource-groups:GetGroup",
                "resource-groups:ListGroupResources",
                "route53-recovery-control-config:ListClusters",
                "route53-recovery-control-config:ListControlPanels",
                "route53-recovery-control-config:ListRoutingControls",
                "route53-recovery-readiness:GetReadinessCheckStatus",
                "route53-recovery-readiness:GetResourceSet",
                "route53-recovery-readiness:ListReadinessChecks",
                "route53:GetHealthCheck",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:ListBucket",
                "servicecatalog:GetApplication",
                "servicecatalog:ListAssociatedResources",
                "sns:GetSubscriptionAttributes",
                "sns:GetTopicAttributes",
                "sns:ListSubscriptionsByTopic",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "ssm:DescribeAutomationExecutions",
                "states:DescribeStateMachine",
                "states:ListStateMachineVersions",
                "states:ListStateMachineAliases",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSResilienceHubApiGatewayStatement",
            "Effect": "Allow",
            "Action": [
                "apigateway:GET"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/apis/*",
                "arn:aws:apigateway:*::/restapis/*",
                "arn:aws:apigateway:*::/usageplans"
            ]
        },
        {
            "Sid": "AWSResilienceHubS3ArtifactStatement",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubS3AccessStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetMultiRegionAccessPointRoutes",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubCloudWatchStatement",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "ResilienceHub"
                }
            }
        },
        {
            "Sid": "AWSResilienceHubSSMStatement",
            "Effect": "Allow",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*"
        }
    ]
}

AWS Resilience Hub pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola AWS Resilience Hub sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di halaman Riwayat AWS Resilience Hub dokumen.

Perubahan Deskripsi Tanggal
AWSResilienceHubAsssessmentExecutionPolicy— Ubah AWS Resilience Hub diperbarui AWSResilienceHubAsssessmentExecutionPolicy untuk memberikan Describe izin agar Anda dapat mengakses sumber daya dan konfigurasi di Amazon ElastiCache (RedisOSS) Tanpa Server saat menjalankan penilaian. September 25, 2024
AWSResilienceHubAsssessmentExecutionPolicy— Ubah AWS Resilience Hub diperbarui AWSResilienceHubAsssessmentExecutionPolicy untuk memberikan Describe izin agar Anda dapat mengakses sumber daya dan konfigurasi di Amazon DocumentDB, Elastic Load Balancing, dan saat menjalankan penilaian. AWS Lambda Agustus 01, 2024
AWSResilienceHubAsssessmentExecutionPolicy— Ubah AWS Resilience Hub diperbarui AWSResilienceHubAsssessmentExecutionPolicy untuk memberikan Describe izin agar Anda dapat membaca konfigurasi Amazon FSx untuk Windows File Server saat menjalankan penilaian. Maret 26, 2024
AWSResilienceHubAsssessmentExecutionPolicy— Ubah AWS Resilience Hub diperbarui AWSResilienceHubAsssessmentExecutionPolicy untuk memberikan Describe izin agar Anda dapat membaca AWS Step Functions konfigurasi saat menjalankan penilaian. 30 Oktober 2023
AWSResilienceHubAsssessmentExecutionPolicy— Ubah AWS Resilience Hub diperbarui AWSResilienceHubAsssessmentExecutionPolicy untuk memberikan Describe izin agar Anda dapat mengakses sumber daya di Amazon RDS saat menjalankan penilaian. 5 Oktober 2023

AWSResilienceHubAsssessmentExecutionPolicy— Baru

AWS Resilience Hub Kebijakan ini menyediakan akses ke AWS layanan lain untuk menjalankan penilaian.

 26 Juni 2023

AWS Resilience Hub mulai melacak perubahan

AWS Resilience Hub mulai melacak perubahan untuk kebijakan yang AWS dikelola.

 15 Juni 2023