As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Health exemplos de políticas baseadas em identidade
Por padrão, os usuários e os perfis do IAM não têm permissão para criar ou modificar recursos do AWS Health . Eles também não podem realizar tarefas usando a AWS API AWS Management Console AWS CLI, ou. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte Criar políticas na guia JSON no Guia do usuário do IAM.
Tópicos
Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS Health recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
-
Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas pela AWS ou Políticas gerenciadas pela AWS para funções de trabalho no Guia do usuário do IAM.
-
Aplicar permissões de privilégio mínimo: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre como usar o IAM para aplicar permissões, consulte Políticas e permissões no IAM no Guia do usuário do IAM.
-
Use condições nas políticas do IAM para restringir ainda mais o acesso: você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte Elementos da política JSON do IAM: condição no Guia do usuário do IAM.
-
Usar o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para obter mais informações, consulte Validar políticas com o IAM Access Analyzer no Guia de usuário do IAM.
-
Exigir autenticação multifator (MFA) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para obter mais informações, consulte Acesso seguro à API com a MFA no Guia de usuário do IAM.
Para obter mais informações sobre as práticas recomendadas do IAM, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
Usar o console do AWS Health
Para acessar o AWS Health console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os AWS Health recursos em sua AWS conta. Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis do IAM) com essa política.
Para garantir que essas entidades ainda possam usar o AWS Health console, você pode anexar a seguinte política AWS gerenciada, AWSHealthFullAccess
Essa política AWSHealthFullAccess concede a uma entidade acesso total ao seguinte:
-
Ativar ou desativar o recurso de visualização AWS Health organizacional para todas as contas em uma AWS organização
-
O AWS Health Dashboard no AWS Health console
-
AWS Health Operações e notificações de API
-
Exibir informações sobre contas que fazem parte da sua AWS organização
-
Exibir as unidades organizacionais (OU) da conta de gerenciamento
exemplo : AWSHealthFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ] }
nota
Você também pode usar a política Health_OrganizationsServiceRolePolicy AWS
gerenciada, para que AWS Health possa visualizar eventos de outras contas em sua organização. Para obter mais informações, consulte Usar funções vinculadas ao serviço do AWS Health.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente às ações que corresponderem a operação da API que você estiver tentando executar.
Para obter mais informações, consulte Adicionar permissões a um usuário no Guia do usuário do IAM.
Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Acessando o AWS Health Dashboard e a AWS Health API
O AWS Health Dashboard está disponível para todas as AWS contas. A AWS Health API está disponível somente para contas com um plano Business, Enterprise On-Ramp ou Enterprise Support. Para obter mais informações, consulte Suporte
Você pode usar o IAM para criar entidades (usuários, grupos ou funções) e, em seguida, conceder a essas entidades permissões para acessar a AWS Health Dashboard e a AWS Health API.
Por padrão, os usuários do IAM não têm acesso à AWS Health Dashboard ou à AWS Health API. Você dá aos usuários acesso às AWS Health informações da sua conta anexando políticas do IAM a um único usuário, a um grupo de usuários ou a uma função. Para obter mais informações, consulte Identidades (usuários, grupos e funções) e Visão geral das políticas do IAM.
Depois de criar usuários do IAM, é possível oferecer a esses usuários senhas individuais. Em seguida, eles podem entrar na sua conta e visualizar AWS Health as informações usando uma página de login específica da conta. Para obter mais informações, consulte Como usuários fazem login na conta.
nota
Um usuário do IAM com permissões de visualização AWS Health Dashboard tem acesso somente para leitura às informações de saúde em todos os AWS serviços da conta, o que pode incluir, mas não está limitado a, AWS recursos IDs como EC2 instância da Amazon IDs, endereços IP da EC2 instância e notificações gerais de segurança.
Por exemplo, se uma política do IAM conceder acesso somente à AWS Health Dashboard AWS Health API, o usuário ou a função à qual a política se aplica poderá acessar todas as informações publicadas sobre AWS serviços e recursos relacionados, mesmo que outras políticas do IAM não permitam esse acesso.
Você pode usar dois grupos de APIs for AWS Health.
-
Contas individuais — Você pode usar operações como DescribeEventse DescribeEventDetailspara obter informações sobre AWS Health eventos para sua conta.
-
Conta organizacional — Você pode usar operações como DescribeEventsForOrganizatione DescribeEventDetailsForOrganizationpara obter informações sobre AWS Health eventos de contas que fazem parte da sua organização.
Para obter mais informações sobre como usar essas operações de API disponíveis, consulte a AWS Health Referência de API do .
Ações individuais
É possível definir o elemento Action de uma política do IAM como health:Describe*. Isso permite o acesso ao AWS Health Dashboard AWS Health e. AWS Health suporta controle de acesso a eventos com base no serviço eventTypeCode e.
Descrever o acesso
Esta declaração de política concede acesso AWS Health Dashboard e a qualquer uma das operações Describe* AWS Health da API. Por exemplo, um usuário do IAM com essa política pode acessar a AWS Health Dashboard operação da AWS Health
DescribeEvents API AWS Management Console e chamá-la.
exemplo : Descrever o acesso
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }] }
Negar acesso
Esta declaração de política nega o acesso AWS Health Dashboard e a AWS Health API. Um usuário do IAM com essa política não pode visualizar AWS Management Console e não pode chamar nenhuma das operações da AWS Health API. AWS Health Dashboard
exemplo : Negar acesso
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "health:*" ], "Resource": "*" }] }
Visualização organizacional
Se quiser ativar a visualização organizacional para AWS Health, você deve permitir o acesso às AWS Organizations ações AWS Health e.
O elemento Action de uma política do IAM deve incluir as seguintes permissões:
-
iam:CreateServiceLinkedRole -
organizations:EnableAWSServiceAccess -
organizations:DescribeAccount -
organizations:DisableAWSServiceAccess -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListParents
Para entender as permissões exatas necessárias para cada uma APIs, consulte Ações definidas por AWS Health APIs e notificações no Guia do usuário do IAM.
nota
Você deve usar as credenciais da conta de gerenciamento de uma organização para acessar o formulário AWS Health APIs . AWS Organizations Para obter mais informações, consulte Agregando AWS Health eventos em todas as contas.
Acesso total à AWS Health visualização organizacional
Esta declaração de política concede acesso a todas AWS Health as AWS Organizations ações necessárias para o recurso de visualização organizacional.
exemplo : Permitir acesso à visualização AWS Health organizacional
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
Negar acesso à AWS Health visualização organizacional
Esta declaração de política nega o acesso às AWS Organizations ações, mas permite o acesso às AWS Health ações de uma conta individual.
exemplo : negar acesso à visualização AWS Health organizacional
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Deny", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
nota
Se o usuário ou grupo ao qual você deseja conceder permissões já tiver uma política do IAM, você pode adicionar a declaração AWS Health de política específica a essa política.
Condições baseadas em recursos e em ações
AWS Health oferece suporte às condições do IAM para DescribeAffectedEntitiesas operações DescribeEventDetailsda API. Você pode usar condições baseadas em recursos e ações para restringir eventos que a AWS Health API envia para um usuário, grupo ou função.
Para fazer isso, atualize o bloco Condition da política do IAM ou defina o elemento Resource. Você pode usar String Conditions para restringir o acesso com base em determinados campos de AWS Health eventos.
Você pode usar os seguintes campos ao especificar um AWS Health evento em sua política:
-
eventTypeCode -
service
Observações
-
As operações da DescribeEventDetailsAPI DescribeAffectedEntitiese da API oferecem suporte a permissões em nível de recurso. Por exemplo, você pode criar uma política para permitir ou negar eventos do AWS Health específicos.
-
As operações de DescribeEventDetailsForOrganizationAPI DescribeAffectedEntitiesForOrganizatione não oferecem suporte a permissões em nível de recurso.
-
Para obter mais informações, consulte Ações, recursos e chaves de condição AWS Health APIs e notificações na Referência de autorização de serviço.
exemplo : Condição baseada em ação
Esta declaração de política concede acesso AWS Health Dashboard e às operações da AWS Health
Describe* API, mas nega acesso a quaisquer AWS Health eventos relacionados à Amazon EC2.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringEquals": { "health:service": "EC2" } } } ] }
exemplo : Condição baseada em recursos
A política a seguir tem o mesmo efeito, mas faz uso do elemento Resource.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeEventDetails", "health:DescribeAffectedEntities" ], "Resource": "arn:aws:health:*::event/EC2/*/*" }] }
exemplo : eventTypeCode condição
Essa declaração de política concede acesso AWS Health Dashboard e às operações da AWS Health
Describe* API, mas nega acesso a quaisquer AWS Health eventos com o eventTypeCode que AWS_EC2_* corresponda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringLike": { "health:eventTypeCode": "AWS_EC2_*" } } } ] }
Importante
Se você chamar as DescribeEventDetailsoperações DescribeAffectedEntitiese e não tiver permissão para acessar o AWS Health evento, o AccessDeniedException erro será exibido. Para obter mais informações, consulte Solução de problemas AWS Health de identidade e acesso.
