翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS の マネージドポリシー AWS Resilience Hub
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しい API オペレーションが利用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWSResilienceHubAsssessmentExecutionPolicy
AWSResilienceHubAsssessmentExecutionPolicy は IAM ID にアタッチできます。このポリシーは、評価の実行中に、評価を実行するためのアクセス許可を他の AWS サービスに付与します。
アクセス許可の詳細
このポリシーは、Amazon Simple Storage Service (Amazon S3) バケットにアラーム AWS FIS と SOP テンプレートを発行するための適切なアクセス許可を提供します。Amazon S3 バケット名の先頭はaws-resilience-hub-artifacts-にする必要があります。別の Amazon S3 バケットに公開したい場合は、CreateRecommendationTemplate API を呼び出している間に発行できます。詳細については、CreateRecommendationTemplate を参照してください。
このポリシーには、以下のアクセス許可が含まれています。
-
Amazon CloudWatch (CloudWatch) — アプリケーションを監視するために Amazon CloudWatch で設定したすべての実装済みアラームを取得します。さらに、
cloudwatch:PutMetricDataを使用して、アプリケーションの障害耐性スコアの CloudWatch メトリクスをResilienceHub名前空間に発行します。 -
Amazon Data Lifecycle Manager – AWS アカウントに関連付けられている Amazon Data Lifecycle Manager リソースの
Describeアクセス許可を取得して提供します。 -
Amazon DevOpsGuru – AWS アカウントに関連付けられている Amazon DevOpsGuru リソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon DocumentDB – アカウント AWS に関連付けられている Amazon DocumentDB リソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon DynamoDB (DynamoDB) — AWS アカウントに関連付けられている Amazon DynamoDB リソースの
Describe権限を一覧表示して提供します。 -
Amazon ElastiCache (ElastiCache) – AWS アカウントに関連付けられている ElastiCache リソースの
Describeアクセス許可を提供します。 -
Amazon ElastiCache (Redis OSS) Serverless (ElastiCache (Redis OSS) Serverless) – アカウントに関連付けられている ElastiCache (Redis OSS) Serverless 設定の
Describeアクセス許可を提供します AWS 。 -
Amazon Elastic Compute Cloud (Amazon EC2) — AWS アカウントに関連付けられている Amazon EC2 リソースの
Describe権限を一覧表示して提供します。 -
Amazon Elastic Container Registry (Amazon ECR) – AWS アカウントに関連付けられている Amazon ECR リソースの
Describeアクセス許可を提供します。 -
Amazon Elastic Container Service (Amazon ECS) – AWS アカウントに関連付けられている Amazon ECS リソースの
Describeアクセス許可を提供します。 -
Amazon Elastic File System (Amazon EFS) – AWS アカウントに関連付けられている Amazon EFS リソースの
Describeアクセス許可を提供します。 -
Amazon Elastic Kubernetes Service (Amazon EKS) — AWS アカウントに関連付けられている Amazon EKS リソースの
Describe権限を一覧表示して提供します。 -
Amazon EC2 Auto Scaling – AWS アカウントに関連付けられている Amazon EC2 Auto Scaling リソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon EC2 Systems Manager (SSM) – AWS アカウントに関連付けられている SSM リソースの
Describeアクセス許可を提供します。 -
AWS Fault Injection Service (AWS FIS) – AWS アカウントに関連付けられている AWS FIS 実験と実験テンプレートを一覧表示し、アクセス
Describe許可を提供します。 -
Amazon FSx for Windows File Server (Amazon FSx) – アカウント AWS に関連付けられている Amazon FSx リソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon RDS – AWS アカウントに関連付けられている Amazon RDS リソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon Route 53 (Route 53) — AWS アカウントに関連付けられている Route 53 リソースの
Describe権限を一覧表示して提供します。 -
Amazon Route 53 Resolver – AWS アカウントに関連付けられている Amazon Route 53 Resolver リソースの
Describeアクセス許可を一覧表示して提供します。 -
Amazon Simple Notification Service (Amazon SNS) — AWS アカウントに関連付けられている Amazon SNS リソースの
Describe権限を一覧表示して提供します。 -
Amazon Simple Queue Service (Amazon SQS) — AWS アカウントに関連付けられている Amazon SQS リソースの
Describe権限を一覧表示して提供します。 -
Amazon Simple Storage Service (Amazon S3) – アカウント AWS に関連付けられている Amazon S3 リソースの
Describeアクセス許可を一覧表示して提供します。注記
評価の実行中に、管理ポリシーから更新する必要があるアクセス許可が欠落している場合、 AWS Resilience Hub は s3:GetBucketLogging アクセス許可を使用して評価を正常に完了します。ただし、 AWS Resilience Hub には、不足しているアクセス許可を一覧表示する警告メッセージが表示され、それを追加する猶予期間が提供されます。指定された猶予期間内に不足しているアクセス許可を追加しないと、評価は失敗します。
-
AWS Backup – AWS アカウントに関連付けられている Amazon EC2 Auto Scaling リソースの
Describeアクセス許可を一覧表示して取得します。 -
AWS CloudFormation – アカウントに関連付けられている AWS CloudFormation スタック上のリソースの
Describeアクセス許可を一覧表示して取得します AWS 。 -
AWS DataSync – AWS アカウントに関連付けられている AWS DataSync リソースの
Describeアクセス許可を一覧表示して提供します。 -
AWS Directory Service – AWS アカウントに関連付けられている AWS Directory Service リソースの
Describeアクセス許可を一覧表示して提供します。 -
AWS Elastic Disaster Recovery (Elastic Disaster Recovery) – AWS アカウントに関連付けられている Elastic Disaster Recovery リソースの
Describeアクセス許可を提供します。 -
AWS Lambda (Lambda) – アカウント AWS に関連付けられている Lambda リソースの
Describeアクセス許可を一覧表示して提供します。 -
AWS Resource Groups (リソースグループ) – アカウント AWS に関連付けられている Resource Groups リソースの
Describeアクセス許可を一覧表示して提供します。 -
AWS Service Catalog (Service Catalog) – アカウント AWS に関連付けられている Service Catalog リソースの
Describeアクセス許可を一覧表示して提供します。 -
AWS Step Functions – AWS アカウントに関連付けられている AWS Step Functions リソースの
Describeアクセス許可を一覧表示して提供します。 -
Elastic Load Balancing – AWS アカウントに関連付けられている Elastic Load Balancing リソースの
Describeアクセス許可を一覧表示して提供します。 -
ssm:GetParametersByPath— この権限を使用して、アプリケーションに設定された CloudWatch アラーム、テスト、または SOP を管理します。
評価の実行中にチームが AWS サービスにアクセスするために必要なアクセス許可を提供するユーザー、ユーザーグループ、ロールにアクセス許可 AWS を追加するには、次の IAM ポリシーが必要です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSResilienceHubFullResourceStatement", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "autoscaling:DescribeAutoScalingGroups", "backup:DescribeBackupVault", "backup:GetBackupPlan", "backup:GetBackupSelection", "backup:ListBackupPlans", "backup:ListBackupSelections", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "cloudformation:ValidateTemplate", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "datasync:DescribeTask", "datasync:ListLocations", "datasync:ListTasks", "devops-guru:ListMonitoredResources", "dlm:GetLifecyclePolicies", "dlm:GetLifecyclePolicy", "docdb-elastic:GetCluster", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:ListTagsForResource", "drs:DescribeJobs", "drs:DescribeSourceServers", "drs:GetReplicationConfiguration", "ds:DescribeDirectories", "dynamodb:DescribeContinuousBackups", "dynamodb:DescribeGlobalTable", "dynamodb:DescribeLimits", "dynamodb:DescribeTable", "dynamodb:ListGlobalTables", "dynamodb:ListTagsOfResource", "ec2:DescribeAvailabilityZones", "ec2:DescribeFastSnapshotRestores", "ec2:DescribeFleets", "ec2:DescribeHosts", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribePlacementGroups", "ec2:DescribeRegions", "ec2:DescribeSnapshots", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVpcEndpoints", "ecr:DescribeRegistry", "ecs:DescribeCapacityProviders", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeServices", "ecs:DescribeTaskDefinition", "ecs:ListContainerInstances", "ecs:ListServices", "eks:DescribeCluster", "eks:DescribeFargateProfile", "eks:DescribeNodegroup", "eks:ListFargateProfiles", "eks:ListNodegroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeGlobalReplicationGroups", "elasticache:DescribeReplicationGroups", "elasticache:DescribeServerlessCaches", "elasticahce:DescribeServerlessCacheSnapshots", "elasticache:DescribeSnapshots", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeLifecycleConfiguration", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:DescribeReplicationConfigurations", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "fis:GetExperiment", "fis:GetExperimentTemplate", "fis:ListExperiments", "fis:ListExperimentResolvedTargets", "fis:ListExperimentTemplates", "fsx:DescribeFileSystems", "lambda:GetFunctionConcurrency", "lambda:GetFunctionConfiguration", "lambda:ListAliases", "lambda:ListEventSourceMappings", "lambda:ListFunctionEventInvokeConfigs", "lambda:ListVersionsByFunction", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBInstanceAutomatedBackups", "rds:DescribeDBInstances", "rds:DescribeDBProxies", "rds:DescribeDBProxyTargets", "rds:DescribeDBSnapshots", "rds:DescribeGlobalClusters", "rds:ListTagsForResource", "resource-groups:GetGroup", "resource-groups:ListGroupResources", "route53-recovery-control-config:ListClusters", "route53-recovery-control-config:ListControlPanels", "route53-recovery-control-config:ListRoutingControls", "route53-recovery-readiness:GetReadinessCheckStatus", "route53-recovery-readiness:GetResourceSet", "route53-recovery-readiness:ListReadinessChecks", "route53:GetHealthCheck", "route53:ListHealthChecks", "route53:ListHostedZones", "route53:ListResourceRecordSets", "route53resolver:ListResolverEndpoints", "route53resolver:ListResolverEndpointIpAddresses", "s3:ListBucket", "servicecatalog:GetApplication", "servicecatalog:ListAssociatedResources", "sns:GetSubscriptionAttributes", "sns:GetTopicAttributes", "sns:ListSubscriptionsByTopic", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "ssm:DescribeAutomationExecutions", "states:DescribeStateMachine", "states:ListStateMachineVersions", "states:ListStateMachineAliases", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AWSResilienceHubApiGatewayStatement", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/usageplans" ] }, { "Sid": "AWSResilienceHubS3ArtifactStatement", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:GetObject" ], "Resource": "arn:aws:s3:::aws-resilience-hub-artifacts-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AWSResilienceHubS3AccessStatement", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketObjectLockConfiguration", "s3:GetBucketPolicyStatus", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetMultiRegionAccessPointRoutes", "s3:GetReplicationConfiguration", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AWSResilienceHubCloudWatchStatement", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "ResilienceHub" } } }, { "Sid": "AWSResilienceHubSSMStatement", "Effect": "Allow", "Action": [ "ssm:GetParametersByPath" ], "Resource": "arn:aws:ssm:*:*:parameter/ResilienceHub/*" } ] }
AWS Resilience HubAWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始 AWS Resilience Hub してからの の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、 AWS Resilience Hub ドキュメント履歴ページの RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
| AWSResilienceHubAsssessmentExecutionPolicy - 変更 | AWS Resilience Hub は を更新AWSResilienceHubAsssessmentExecutionPolicyし、評価の実行 AWS FIS 中に から実験にアクセスできるように Listおよび アクセスGet許可を付与しました。 |
2024 年 12 月 17 日 |
| AWSResilienceHubAsssessmentExecutionPolicy - 変更 | AWS Resilience Hub は を更新AWSResilienceHubAsssessmentExecutionPolicyし、評価の実行中に Amazon ElastiCache (Redis OSS) Serverless のリソースと設定にアクセスするためのアクセスDescribe許可を付与しました。 |
2024 年 9 月 25 日 |
| AWSResilienceHubAsssessmentExecutionPolicy - 変更 | AWS Resilience Hub は を更新しAWSResilienceHubAsssessmentExecutionPolicy、評価の実行 AWS Lambda 中に Amazon DocumentDB、Elastic Load Balancing、および のリソースと設定にアクセスするためのアクセスDescribe許可を付与しました。 |
2024 年 8 月 1 日 |
| AWSResilienceHubAsssessmentExecutionPolicy - 変更 | AWS Resilience Hub は を更新AWSResilienceHubAsssessmentExecutionPolicyし、評価の実行中に Amazon FSx for Windows File Server 設定を読み取るためのDescribeアクセス許可を付与しました。 |
2024 年 3 月 26 日 |
| AWSResilienceHubAsssessmentExecutionPolicy - 変更 | AWS Resilience Hub は を更新AWSResilienceHubAsssessmentExecutionPolicyし、評価の実行中に設定を読み AWS Step Functions 取るためのDescribeアクセス許可を付与しました。 |
2023 年 10 月 30 日 |
| AWSResilienceHubAsssessmentExecutionPolicy - 変更 | AWS Resilience Hub は を更新AWSResilienceHubAsssessmentExecutionPolicyし、評価の実行中に Amazon RDS のリソースにアクセスするためのアクセスDescribe許可を付与しました。 |
2023 年 10 月 5 日 |
|
この AWS Resilience Hub ポリシーは、評価を実行するための他の AWS サービスへのアクセスを提供します。 |
2023 年 6 月 26 日 | |
|
AWS Resilience Hub が変更の追跡を開始しました |
AWS Resilience Hub が AWS マネージドポリシーの変更の追跡を開始しました。 |
2023 年 6 月 15 日 |
