Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

AWS Health exemplos de políticas baseadas em identidade

Modo de foco
AWS Health exemplos de políticas baseadas em identidade - AWS Health

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Por padrão, os usuários e as funções IAM não têm permissão para criar ou modificar recursos do AWS Health . Eles também não podem realizar tarefas usando o AWS Management Console, AWS CLI, ou AWS API. Um IAM administrador deve criar IAM políticas que concedam aos usuários e funções permissão para realizar API operações específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos IAM usuários ou grupos do que exigem essas permissões.

Para saber como criar uma política IAM baseada em identidade usando esses exemplos de documentos JSON de política, consulte Criação de políticas na JSON guia do IAMusuário.

Práticas recomendadas de política

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS Health recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

  • Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas da AWS ou Políticas gerenciadas da AWS para funções de trabalho no Guia do usuário do IAM.

  • Aplique permissões de privilégio mínimo: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre o uso do IAM para aplicar permissões, consulte Políticas e permissões no IAM no Guia do usuário do IAM.

  • Use condições nas políticas do IAM para restringir ainda mais o acesso: você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usandoSSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte elementos IAM JSON da política: Condição no Guia IAM do usuário.

  • Use o IAM Access Analyzer para validar suas IAM políticas e garantir permissões seguras e funcionais — o IAM Access Analyzer valida políticas novas e existentes para que as políticas sigam a linguagem da IAM política (JSON) e as melhores práticas. IAM IAM O Access Analyzer fornece mais de 100 verificações de políticas e recomendações práticas para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validar políticas com o IAM Access Analyzer no Guia do IAMUsuário.

  • Exigir autenticação multifatorial (MFA) — Se você tiver um cenário que exija IAM usuários ou um usuário root Conta da AWS, ative MFA para obter segurança adicional. Para exigir MFA quando API as operações são chamadas, adicione MFA condições às suas políticas. Para obter mais informações, consulte APIAcesso seguro MFA no Guia do IAM usuário.

Para obter mais informações sobre as práticas recomendadas no IAM, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Usar o console do AWS Health

Para acessar o AWS Health console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os AWS Health recursos em sua AWS conta. Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou funções do IAM) com essa política.

Para garantir que essas entidades ainda possam usar o AWS Health console, você pode anexar a seguinte política AWS gerenciada, AWSHealthFullAccess.

Essa política AWSHealthFullAccess concede a uma entidade acesso total ao seguinte:

  • Ativar ou desativar o recurso de visualização AWS Health organizacional para todas as contas em uma AWS organização

  • O AWS Health Dashboard no AWS Health console

  • AWS Health APIoperações e notificações

  • Exibir informações sobre contas que fazem parte da sua AWS organização

  • Exibir as unidades organizacionais (OU) da conta de gerenciamento

exemplo : AWSHealthFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ] }
nota

Você também pode usar a política Health_OrganizationsServiceRolePolicy AWS gerenciada, para que AWS Health possa visualizar eventos de outras contas em sua organização. Para obter mais informações, consulte Usar funções vinculadas ao serviço do AWS Health.

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para AWS CLI o. ou AWS API o. Em vez disso, permita o acesso somente às ações que correspondam à API operação que você está tentando realizar.

Para obter mais informações, consulte Adicionar permissões a um usuário no Guia do IAM usuário.

Permitir que os usuários visualizem suas próprias permissões

Este exemplo mostra como você pode criar uma política que permite que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando o AWS CLI ou. AWS API

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Acessando o AWS Health Dashboard e o AWS Health API

O AWS Health Dashboard está disponível para todas as AWS contas. O AWS Health API está disponível somente para contas com um plano Business, Enterprise On-Ramp ou Enterprise Support. Para obter mais informações, consulte Support.

Você pode usar IAM para criar entidades (usuários, grupos ou funções) e, em seguida, conceder a essas entidades permissões para acessar o AWS Health Dashboard e AWS Health API o.

Por padrão, IAM os usuários não têm acesso ao AWS Health Dashboard ou ao AWS Health API. Você dá aos usuários acesso às AWS Health informações da sua conta anexando IAM políticas a um único usuário, grupo de usuários ou função. Para obter mais informações, consulte Identidades (usuários, grupos e funções) e Visão geral das IAM políticas.

Depois de criar usuários do IAM, é possível oferecer a esses usuários senhas individuais. Em seguida, eles podem entrar na sua conta e visualizar AWS Health as informações usando uma página de login específica da conta. Para obter mais informações, consulte Como usuários fazem login na conta.

nota

Um IAM usuário com permissões de visualização AWS Health Dashboard tem acesso somente para leitura às informações de saúde em todos os AWS serviços da conta, o que pode incluir, mas não está limitado a, AWS recursos IDs como EC2 instância da AmazonIDs, endereços IP de EC2 instâncias e notificações gerais de segurança.

Por exemplo, se uma IAM política conceder acesso somente ao AWS Health Dashboard e ao AWS Health API, o usuário ou a função à qual a política se aplica poderá acessar todas as informações publicadas sobre AWS serviços e recursos relacionados, mesmo que outras IAM políticas não permitam esse acesso.

Você pode usar dois grupos de APIs for AWS Health.

Para obter mais informações sobre as API operações disponíveis, consulte a AWS Health APIReferência.

Ações individuais

É possível definir o elemento Action de uma política do IAM como health:Describe*. Isso permite o acesso ao AWS Health Dashboard AWS Health e. AWS Health suporta controle de acesso a eventos com base no serviço eventTypeCode e.

Descrever o acesso

Esta declaração de política concede acesso AWS Health Dashboard a qualquer uma das Describe* AWS Health API operações. Por exemplo, um IAM usuário com essa política pode acessar o AWS Health Dashboard AWS Management Console e chamar a AWS Health DescribeEvents API operação.

exemplo : Descrever o acesso
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }] }

Negar acesso

Esta declaração de política nega o acesso AWS Health Dashboard e a. AWS Health API Um IAM usuário com essa política não pode visualizar AWS Management Console e não pode chamar nenhuma das AWS Health API operações. AWS Health Dashboard

exemplo : Negar acesso
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "health:*" ], "Resource": "*" }] }

Visualização organizacional

Se quiser ativar a visualização organizacional para AWS Health, você deve permitir o acesso às AWS Organizations ações AWS Health e.

O elemento Action de uma política do IAM deve incluir as seguintes permissões:

  • iam:CreateServiceLinkedRole

  • organizations:EnableAWSServiceAccess

  • organizations:DescribeAccount

  • organizations:DisableAWSServiceAccess

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListParents

Para entender as permissões exatas necessárias para cada umaAPIs, consulte Ações definidas por AWS Health APIs e notificações no Guia IAM do usuário.

nota

Você deve usar as credenciais da conta de gerenciamento de uma organização para acessar o formulário AWS Health APIs. AWS Organizations Para obter mais informações, consulte Agregando AWS Health eventos em todas as contas.

Acesso total à AWS Health visualização organizacional

Esta declaração de política concede acesso a todas AWS Health as AWS Organizations ações necessárias para o recurso de visualização organizacional.

exemplo : Permitir acesso à visualização AWS Health organizacional
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }

Negar acesso à AWS Health visualização organizacional

Esta declaração de política nega o acesso às AWS Organizations ações, mas permite o acesso às AWS Health ações de uma conta individual.

exemplo : negar acesso à visualização AWS Health organizacional
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Deny", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
nota

Se o usuário ou grupo ao qual você deseja conceder permissões já tiver uma IAM política, você poderá adicionar a declaração AWS Health de política específica a essa política.

Condições baseadas em recursos e em ações

AWS Health suporta IAMas condições para as DescribeEventDetailsAPIoperações DescribeAffectedEntitiese. Você pode usar condições baseadas em recursos e ações para restringir eventos AWS Health API enviados a um usuário, grupo ou função.

Para fazer isso, atualize o bloco Condition da política do IAM ou defina o elemento Resource. Você pode usar String Conditions para restringir o acesso com base em determinados campos de AWS Health eventos.

Você pode usar os seguintes campos ao especificar um AWS Health evento em sua política:

  • eventTypeCode

  • service

Observações
exemplo : Condição baseada em ação

Esta declaração de política concede acesso AWS Health Dashboard e às AWS Health Describe* API operações, mas nega acesso a quaisquer AWS Health eventos relacionados à AmazonEC2.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringEquals": { "health:service": "EC2" } } } ] }
exemplo : Condição baseada em recursos

A política a seguir tem o mesmo efeito, mas faz uso do elemento Resource.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeEventDetails", "health:DescribeAffectedEntities" ], "Resource": "arn:aws:health:*::event/EC2/*/*" }] }
exemplo : eventTypeCode condição

Esta declaração de política concede acesso AWS Health Dashboard e às AWS Health Describe* API operações, mas nega acesso a quaisquer AWS Health eventos com eventTypeCode as correspondentesAWS_EC2_*.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringLike": { "health:eventTypeCode": "AWS_EC2_*" } } } ] }
Importante

Se você chamar as DescribeEventDetailsoperações DescribeAffectedEntitiese e não tiver permissão para acessar o AWS Health evento, o AccessDeniedException erro será exibido. Para obter mais informações, consulte Solução de problemas AWS Health de identidade e acesso.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.