As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Por padrão, os usuários e as funções IAM não têm permissão para criar ou modificar recursos do AWS Health . Eles também não podem realizar tarefas usando o AWS Management Console, AWS CLI, ou AWS API. Um IAM administrador deve criar IAM políticas que concedam aos usuários e funções permissão para realizar API operações específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos IAM usuários ou grupos do que exigem essas permissões.
Para saber como criar uma política IAM baseada em identidade usando esses exemplos de documentos JSON de política, consulte Criação de políticas na JSON guia do IAMusuário.
Tópicos
Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS Health recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
-
Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas da AWS ou Políticas gerenciadas da AWS para funções de trabalho no Guia do usuário do IAM.
-
Aplique permissões de privilégio mínimo: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre o uso do IAM para aplicar permissões, consulte Políticas e permissões no IAM no Guia do usuário do IAM.
-
Use condições nas políticas do IAM para restringir ainda mais o acesso: você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usandoSSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte elementos IAM JSON da política: Condição no Guia IAM do usuário.
-
Use o IAM Access Analyzer para validar suas IAM políticas e garantir permissões seguras e funcionais — o IAM Access Analyzer valida políticas novas e existentes para que as políticas sigam a linguagem da IAM política (JSON) e as melhores práticas. IAM IAM O Access Analyzer fornece mais de 100 verificações de políticas e recomendações práticas para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validar políticas com o IAM Access Analyzer no Guia do IAMUsuário.
-
Exigir autenticação multifatorial (MFA) — Se você tiver um cenário que exija IAM usuários ou um usuário root Conta da AWS, ative MFA para obter segurança adicional. Para exigir MFA quando API as operações são chamadas, adicione MFA condições às suas políticas. Para obter mais informações, consulte APIAcesso seguro MFA no Guia do IAM usuário.
Para obter mais informações sobre as práticas recomendadas no IAM, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
Usar o console do AWS Health
Para acessar o AWS Health console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os AWS Health recursos em sua AWS conta. Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou funções do IAM) com essa política.
Para garantir que essas entidades ainda possam usar o AWS Health console, você pode anexar a seguinte política AWS gerenciada, AWSHealthFullAccess
Essa política AWSHealthFullAccess
concede a uma entidade acesso total ao seguinte:
-
Ativar ou desativar o recurso de visualização AWS Health organizacional para todas as contas em uma AWS organização
-
O AWS Health Dashboard no AWS Health console
-
AWS Health APIoperações e notificações
-
Exibir informações sobre contas que fazem parte da sua AWS organização
-
Exibir as unidades organizacionais (OU) da conta de gerenciamento
exemplo : AWSHealthFullAccess
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "health.amazonaws.com"
}
}
}
]
}
nota
Você também pode usar a política Health_OrganizationsServiceRolePolicy
AWS
gerenciada, para que AWS Health possa visualizar eventos de outras contas em sua organização. Para obter mais informações, consulte Usar funções vinculadas ao serviço do AWS Health.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para AWS CLI o. ou AWS API o. Em vez disso, permita o acesso somente às ações que correspondam à API operação que você está tentando realizar.
Para obter mais informações, consulte Adicionar permissões a um usuário no Guia do IAM usuário.
Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como você pode criar uma política que permite que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando o AWS CLI ou. AWS API
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
Acessando o AWS Health Dashboard e o AWS Health API
O AWS Health Dashboard está disponível para todas as AWS contas. O AWS Health API está disponível somente para contas com um plano Business, Enterprise On-Ramp ou Enterprise Support. Para obter mais informações, consulte Support
Você pode usar IAM para criar entidades (usuários, grupos ou funções) e, em seguida, conceder a essas entidades permissões para acessar o AWS Health Dashboard e AWS Health API o.
Por padrão, IAM os usuários não têm acesso ao AWS Health Dashboard ou ao AWS Health API. Você dá aos usuários acesso às AWS Health informações da sua conta anexando IAM políticas a um único usuário, grupo de usuários ou função. Para obter mais informações, consulte Identidades (usuários, grupos e funções) e Visão geral das IAM políticas.
Depois de criar usuários do IAM, é possível oferecer a esses usuários senhas individuais. Em seguida, eles podem entrar na sua conta e visualizar AWS Health as informações usando uma página de login específica da conta. Para obter mais informações, consulte Como usuários fazem login na conta.
nota
Um IAM usuário com permissões de visualização AWS Health Dashboard tem acesso somente para leitura às informações de saúde em todos os AWS serviços da conta, o que pode incluir, mas não está limitado a, AWS recursos IDs como EC2 instância da AmazonIDs, endereços IP de EC2 instâncias e notificações gerais de segurança.
Por exemplo, se uma IAM política conceder acesso somente ao AWS Health Dashboard e ao AWS Health API, o usuário ou a função à qual a política se aplica poderá acessar todas as informações publicadas sobre AWS serviços e recursos relacionados, mesmo que outras IAM políticas não permitam esse acesso.
Você pode usar dois grupos de APIs for AWS Health.
-
Contas individuais — Você pode usar operações como DescribeEventse DescribeEventDetailspara obter informações sobre AWS Health eventos para sua conta.
-
Conta organizacional — Você pode usar operações como DescribeEventsForOrganizatione DescribeEventDetailsForOrganizationpara obter informações sobre AWS Health eventos de contas que fazem parte da sua organização.
Para obter mais informações sobre as API operações disponíveis, consulte a AWS Health APIReferência.
Ações individuais
É possível definir o elemento Action
de uma política do IAM como health:Describe*
. Isso permite o acesso ao AWS Health Dashboard AWS Health e. AWS Health suporta controle de acesso a eventos com base no serviço eventTypeCode
e.
Descrever o acesso
Esta declaração de política concede acesso AWS Health Dashboard a qualquer uma das Describe*
AWS Health API operações. Por exemplo, um IAM usuário com essa política pode acessar o AWS Health Dashboard AWS Management Console e chamar a AWS Health
DescribeEvents
API operação.
exemplo : Descrever o acesso
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
}]
}
Negar acesso
Esta declaração de política nega o acesso AWS Health Dashboard e a. AWS Health API Um IAM usuário com essa política não pode visualizar AWS Management Console e não pode chamar nenhuma das AWS Health API operações. AWS Health Dashboard
exemplo : Negar acesso
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"health:*"
],
"Resource": "*"
}]
}
Visualização organizacional
Se quiser ativar a visualização organizacional para AWS Health, você deve permitir o acesso às AWS Organizations ações AWS Health e.
O elemento Action
de uma política do IAM deve incluir as seguintes permissões:
-
iam:CreateServiceLinkedRole
-
organizations:EnableAWSServiceAccess
-
organizations:DescribeAccount
-
organizations:DisableAWSServiceAccess
-
organizations:ListAccounts
-
organizations:ListDelegatedAdministrators
-
organizations:ListParents
Para entender as permissões exatas necessárias para cada umaAPIs, consulte Ações definidas por AWS Health APIs e notificações no Guia IAM do usuário.
nota
Você deve usar as credenciais da conta de gerenciamento de uma organização para acessar o formulário AWS Health APIs. AWS Organizations Para obter mais informações, consulte Agregando AWS Health eventos em todas as contas.
Acesso total à AWS Health visualização organizacional
Esta declaração de política concede acesso a todas AWS Health as AWS Organizations ações necessárias para o recurso de visualização organizacional.
exemplo : Permitir acesso à visualização AWS Health organizacional
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
Negar acesso à AWS Health visualização organizacional
Esta declaração de política nega o acesso às AWS Organizations ações, mas permite o acesso às AWS Health ações de uma conta individual.
exemplo : negar acesso à visualização AWS Health organizacional
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Deny",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
nota
Se o usuário ou grupo ao qual você deseja conceder permissões já tiver uma IAM política, você poderá adicionar a declaração AWS Health de política específica a essa política.
Condições baseadas em recursos e em ações
AWS Health suporta IAMas condições para as DescribeEventDetailsAPIoperações DescribeAffectedEntitiese. Você pode usar condições baseadas em recursos e ações para restringir eventos AWS Health API enviados a um usuário, grupo ou função.
Para fazer isso, atualize o bloco Condition
da política do IAM ou defina o elemento Resource
. Você pode usar String Conditions para restringir o acesso com base em determinados campos de AWS Health eventos.
Você pode usar os seguintes campos ao especificar um AWS Health evento em sua política:
-
eventTypeCode
-
service
Observações
-
As DescribeEventDetailsAPIoperações DescribeAffectedEntitiese oferecem suporte a permissões em nível de recurso. Por exemplo, você pode criar uma política para permitir ou negar eventos do AWS Health específicos.
-
As DescribeEventDetailsForOrganizationAPIoperações DescribeAffectedEntitiesForOrganizatione não oferecem suporte a permissões em nível de recurso.
-
Para obter mais informações, consulte Ações, recursos e chaves de condição AWS Health APIs e Notificações na Referência de Autorização de Serviço.
exemplo : Condição baseada em ação
Esta declaração de política concede acesso AWS Health Dashboard e às AWS Health
Describe*
API operações, mas nega acesso a quaisquer AWS Health eventos relacionados à AmazonEC2.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"health:service": "EC2"
}
}
}
]
}
exemplo : Condição baseada em recursos
A política a seguir tem o mesmo efeito, mas faz uso do elemento Resource
.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeEventDetails",
"health:DescribeAffectedEntities"
],
"Resource": "arn:aws:health:*::event/EC2/*/*"
}]
}
exemplo : eventTypeCode condição
Esta declaração de política concede acesso AWS Health Dashboard e às AWS Health
Describe*
API operações, mas nega acesso a quaisquer AWS Health eventos com eventTypeCode
as correspondentesAWS_EC2_*
.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringLike": {
"health:eventTypeCode": "AWS_EC2_*"
}
}
}
]
}
Importante
Se você chamar as DescribeEventDetailsoperações DescribeAffectedEntitiese e não tiver permissão para acessar o AWS Health evento, o AccessDeniedException
erro será exibido. Para obter mais informações, consulte Solução de problemas AWS Health de identidade e acesso.