AWS políticas gerenciadas para Explorador de recursos da AWS - Explorador de recursos da AWS
AWSResourceExplorerFullAccessAWSResourceExplorerReadOnlyAccessAWSResourceExplorerServiceRolePolicyAWSResourceExplorerOrganizationsAccessAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para Explorador de recursos da AWS

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova Serviço da AWS for lançada ou novas operações de API forem disponibilizadas para serviços existentes.

Para mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.

Políticas gerais AWS gerenciadas que incluem permissões do Resource Explorer

  • AdministratorAccess— Concede acesso total Serviços da AWS e recursos.

  • ReadOnlyAcesso — concede acesso Serviços da AWS e recursos somente para leitura.

  • ViewOnlyAcesso — concede permissões para visualizar recursos e metadados básicos para Serviços da AWS.

    nota

    As permissões de Get* do Explorador de Recursos incluídas na política ViewOnlyAccess funcionam da mesma forma que as permissões de List, embora retornem apenas um único valor, porque uma região só pode conter um índice e uma visualização padrão.

AWS políticas gerenciadas para o Resource Explorer

AWS política gerenciada: AWSResourceExplorerFullAccess

Você pode atribuir a política AWSResourceExplorerFullAccess às identidades do IAM.

Essa política concede permissões que garantem total controle administrativo do serviço Explorador de Recursos. Você pode realizar todas as tarefas envolvidas na ativação e no gerenciamento do Explorador de Recursos nas Regiões da AWS na sua conta.

Detalhes da permissão

Essa política inclui permissões que permitem todas as ações do Resource Explorer, incluindo ativar e desativar o Resource Explorer Regiões da AWS, criar ou excluir um índice agregador para a conta, criar, atualizar e excluir visualizações e pesquisar. Essa política também inclui permissões que não fazem parte do Explorador de Recursos:

  • ec2:DescribeRegions: permite que o Explorador de Recursos acesse os detalhes sobre as regiões na sua conta.

  • ram:ListResources: permite que o Explorador de Recursos liste os compartilhamentos de recursos dos quais os recursos fazem parte.

  • ram:GetResourceShares: permite que o Explorador de Recursos identifique detalhes sobre os compartilhamentos de recursos dos quais você é proprietário ou que são compartilhados com você.

  • iam:CreateServiceLinkedRole: permite que o Explorador de Recursos crie o perfil vinculado ao serviço requerido quando você ativa o Explorador de Recursos criando o primeiro índice.

  • organizations:DescribeOrganization: permite que o Explorador de Recursos acesse informações sobre a sua organização.

Para ver a versão mais recente dessa política AWS gerenciada, consulte o Guia AWSResourceExplorerFullAccess de referência da política AWS gerenciada.

AWS política gerenciada: AWSResourceExplorerReadOnlyAccess

Você pode atribuir a política AWSResourceExplorerReadOnlyAccess às identidades do IAM.

Essa política concede permissões de acesso somente leitura que permitem aos usuários acesso básico à pesquisa para descobrir seus recursos.

Detalhes da permissão

Essa política inclui permissões para que os usuários executem as operações Get*, List* e Search do Explorador de Recursos para visualizar informações sobre os componentes e as definições de configuração do Explorador de Recursos, mas não permite que os usuários os alterem. Os usuários também podem pesquisar. Essa política também inclui duas permissões que não fazem parte do Explorador de Recursos:

  • ec2:DescribeRegions: permite que o Explorador de Recursos acesse os detalhes sobre as regiões na sua conta.

  • ram:ListResources: permite que o Explorador de Recursos liste os compartilhamentos de recursos dos quais os recursos fazem parte.

  • ram:GetResourceShares: permite que o Explorador de Recursos identifique detalhes sobre os compartilhamentos de recursos dos quais você é proprietário ou que são compartilhados com você.

  • organizations:DescribeOrganization: permite que o Explorador de Recursos acesse informações sobre a sua organização.

Para ver a versão mais recente dessa política AWS gerenciada, consulte o Guia AWSResourceExplorerReadOnlyAccess de referência da política AWS gerenciada.

AWS política gerenciada: AWSResourceExplorerServiceRolePolicy

Você não pode anexar a AWSResourceExplorerServiceRolePolicy a nenhuma entidade do IAM. Essa política é anexada a um perfil vinculado ao serviço que permite que o Explorador de Recursos realize ações em seu nome. Para ter mais informações, consulte Usar perfis vinculados ao serviço para o Explorador de Recursos.

Essa política concede as permissões necessárias para que o Explorador de Recursos recupere informações sobre os recursos. O Resource Explorer preenche os índices que mantém em cada um Região da AWS que você registra.

Para ver a versão mais recente dessa política AWS gerenciada, consulte AWSResourceExplorerServiceRolePolicy no console do IAM.

AWS política gerenciada: AWSResourceExplorerOrganizationsAccess

Você pode atribuir a política AWSResourceExplorerOrganizationsAccess às identidades do IAM.

Essa política concede permissões administrativas ao Resource Explorer e concede permissões somente de leitura a outras pessoas para oferecer suporte Serviços da AWS a esse acesso. O AWS Organizations administrador precisa dessas permissões para configurar e gerenciar a pesquisa em várias contas no console.

Detalhes da permissão

Essa política inclui permissões que deixam que os administradores configurem a pesquisa em várias contas para a organização:

  • ec2:DescribeRegions: permite que o Explorador de Recursos acesse os detalhes sobre as regiões na sua conta.

  • ram:ListResources: permite que o Explorador de Recursos liste os compartilhamentos de recursos dos quais os recursos fazem parte.

  • ram:GetResourceShares: permite que o Explorador de Recursos identifique detalhes sobre os compartilhamentos de recursos dos quais você é proprietário ou que são compartilhados com você.

  • organizations:ListAccounts: permite que o Explorador de Recursos identifique as contas em uma organização.

  • organizations:ListRoots: permite que o Explorador de Recursos identifique as contas raízes em uma organização.

  • organizations:ListOrganizationalUnitsForParent: permite que o Explorador de Recursos identifique as unidades organizacionais (UOs) em uma unidade organizacional superior ou raiz.

  • organizations:ListAccountsForParent: permite que o Explorador de Recursos identifique as contas em uma organização que são contidas na raiz de destino especificada ou em uma UO.

  • organizations:ListDelegatedAdministrators— Permite que o Resource Explorer identifique as AWS contas designadas como administradores delegados nessa organização.

  • organizations:ListAWSServiceAccessForOrganization— Permite que o Resource Explorer identifique uma lista dos Serviços da AWS que estão habilitados para integração com sua organização.

  • organizations:DescribeOrganization: permite que o Explorador de Recursos recupere informações sobre a organização à qual a conta do usuário pertence.

  • organizations:EnableAWSServiceAccess— Permite que o Resource Explorer habilite a integração de um Serviço da AWS (o serviço especificado porServicePrincipal) com AWS Organizations.

  • organizations:DisableAWSServiceAccess— Permite que o Resource Explorer desative a integração de um Serviço da AWS (o serviço especificado por ServicePrincipal) com AWS Organizations.

  • organizations:RegisterDelegatedAdministrator— Permite que o Resource Explorer habilite a conta de membro especificada para administrar os recursos da organização do AWS serviço especificado.

  • organizations:DeregisterDelegatedAdministrator— Permite que o Resource Explorer remova o membro especificado Conta da AWS como administrador delegado para o especificado Serviço da AWS.

  • iam:GetRole: permite que o Explorador de Recursos recupere informações sobre o perfil especificado incluindo o caminho, o GUID, o ARN e a política de confiança do perfil que concede permissão para assumi-lo.

  • iam:CreateServiceLinkedRole: permite que o Explorador de Recursos crie o perfil vinculado ao serviço requerido quando você ativa o Explorador de Recursos criando o primeiro índice.

Para ver a versão mais recente dessa política AWS gerenciada, consulte AWSResourceExplorerOrganizationsAccess no console do IAM.

Atualizações do Resource Explorer para políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Resource Explorer desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico de documentos do Explorador de Recursos.

Alteração Descrição Data

AWSResourceExplorerServiceRolePolicy- Permissões de política atualizadas para visualizar tipos de recursos adicionais

O Resource Explorer adicionou permissões à política de função vinculada ao serviço AWSResourceExplorerServiceRolePolicyque permite que o Resource Explorer visualize outros tipos de recursos:

  • apprunner:ListVpcConnectors

  • backup:ListReportPlans

  • emr-serverless:ListApplications

  • events:ListEventBuses

  • geo:ListPlaceIndexes

  • geo:ListTrackers

  • greengrass:ListComponents

  • greengrass:ListComponentVersions

  • iot:ListRoleAliases

  • iottwinmaker:ListComponentTypes

  • iottwinmaker:ListEntities

  • iottwinmaker:ListScenes

  • kafka:ListConfigurations

  • kms:ListKeys

  • kinesisanalytics:ListApplications

  • lex:ListBots

  • lex:ListBotAliases

  • mediapackage-vod:ListPackagingConfigurations

  • mediapackage-vod:ListPackagingGroups

  • mq:ListBrokers

  • personalize:ListDatasetGroups

  • personalize:ListDatasets

  • personalize:ListSchemas

  • route53:ListHealthChecks

  • route53:ListHostedZones

  • secretsmanager:ListSecrets

 12 de dezembro de 2023

Nova política gerenciada pela

O Resource Explorer adicionou a seguinte política AWS gerenciada:

 14 de novembro de 2023

Atualização das políticas gerenciadas pela

O Resource Explorer atualizou as seguintes políticas AWS gerenciadas para oferecer suporte à pesquisa em várias contas:

 14 de novembro de 2023

AWSResourceExplorerServiceRolePolicy— Política atualizada para oferecer suporte à pesquisa em várias contas com Organizations

O Explorador de Recursos adicionou permissões à política de perfil vinculado ao serviço AWSResourceExplorerServiceRolePolicy que permite que o Explorador de Recursos seja compatível com a pesquisa em várias contas com o Organizations:

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

 14 de novembro de 2023

AWSResourceExplorerServiceRolePolicy— Política atualizada para oferecer suporte a outros tipos de recursos

O Explorador de Recursos adicionou permissões à política de perfil vinculado ao serviço AWSResourceExplorerServiceRolePolicy que permite que o serviço indexe os seguintes tipos de recursos:

  • accessanalyzer:analyzer

  • acmpca:certificateauthority

  • amplify:app

  • amplify:backendenvironment

  • amplify:branch

  • amplify:domainassociation

  • amplifyuibuilder:component

  • amplifyuibuilder:theme

  • appintegrations:eventintegration

  • apprunner:service

  • appstream:appblock

  • appstream:application

  • appstream:fleet

  • appstream:imagebuilder

  • appstream:stack

  • appsync:graphqlapi

  • aps:rulegroupsnamespace

  • aps:workspace

  • apigateway:restapi

  • apigateway:deployment

  • athena:datacatalog

  • athena:workgroup

  • autoscaling:autoscalinggroup

  • backup:backupplan

  • batch:computeenvironment

  • batch:jobqueue

  • batch:schedulingpolicy

  • cloudformation:stack

  • cloudformation:stackset

  • cloudfront:fieldlevelencryptionconfig

  • cloudfront:fieldlevelencryptionprofile

  • cloudfront:originaccesscontrol

  • cloudtrail:trail

  • codeartifact:domain

  • codeartifact:repository

  • codecommit:repository

  • codeguruprofiler:profilinggroup

  • codestarconnections:connection

  • databrew:dataset

  • databrew:recipe

  • databrew:ruleset

  • detective:graph

  • directoryservices:directory

  • ec2:carriergateway

  • ec2:verifiedaccessendpoint

  • ec2:verifiedaccessgroup

  • ec2:verifiedaccessinstance

  • ec2:verifiedaccesstrustprovider

  • ecr:repository

  • elasticache:cachesecuritygroup

  • elasticfilesystem:accesspoint

  • events:rule

  • evidently:experiment

  • evidently:feature

  • evidently:launch

  • evidently:project

  • finspace:environment

  • firehose:deliverystream

  • faultinjectionsimulator:experimenttemplate

  • forecast:datasetgroup

  • forecast:dataset

  • frauddetector:detector

  • frauddetector:entitytype

  • frauddetector:eventtype

  • frauddetector:label

  • frauddetector:outcome

  • frauddetector:variable

  • gamelift:alias

  • globalaccelerator:accelerator

  • globalaccelerator:endpointgroup

  • globalaccelerator:listener

  • glue:database

  • glue:job

  • glue:table

  • glue:trigger

  • greengrass:group

  • healthlake:fhirdatastore

  • iam:virtualmfadevice

  • imagebuilder:componentbuildversion

  • imagebuilder:component

  • imagebuilder:containerrecipe

  • imagebuilder:distributionconfiguration

  • imagebuilder:imagebuildversion

  • imagebuilder:imagepipeline

  • imagebuilder:imagerecipe

  • imagebuilder:image

  • imagebuilder:infrastructureconfiguration

  • iot:authorizer

  • iot:jobtemplate

  • iot:mitigationaction

  • iot:provisioningtemplate

  • iot:securityprofile

  • iot:thing

  • iot:topicruledestination

  • iotanalytics:channel

  • iotanalytics:dataset

  • iotanalytics:datastore

  • iotanalytics:pipeline

  • iotevents:alarmmodel

  • iotevents:detectormodel

  • iotevents:input

  • iotsitewise:assetmodel

  • iotsitewise:asset

  • iotsitewise:gateway

  • iottwinmaker: espaço de trabalho

  • ivs: canal

  • ivs:streamkey

  • kafka:cluster

  • kinesisvideo:stream

  • lambda:alias

  • lambda:layerversion

  • lambda:layer

  • lookoutmetrics:alert

  • lookoutvision:project

  • mediapackage:channel

  • mediapackage:originendpoint

  • mediatailor:playbackconfiguration

  • memorydb:acl

  • memorydb:cluster

  • memorydb:parametergroup

  • memorydb:user

  • mobiletargeting:app

  • mobiletargeting:segment

  • mobiletargeting:template

  • networkfirewall:firewallpolicy

  • networkfirewall:firewall

  • networkmanager:globalnetwork

  • networkmanager:device

  • networkmanager:link

  • networkmanager:attachment

  • networkmanager:corenetwork

  • panorama:package

  • qldb:journalkinesisstreamsforledger

  • qldb:ledger

  • rds:bluegreendeployment

  • refactorspaces:application

  • refactorspaces:environment

  • refactorspaces:route

  • refactorspaces:service

  • rekognition:project

  • resiliencehub:app

  • resiliencehub:resiliencypolicy

  • resourcegroups:group

  • route53:recoverygroup

  • route53:resourceset

  • route53:firewalldomain

  • route53:firewallrulegroup

  • route53:resolverendpoint

  • route53:resolverrule

  • sagemaker:model

  • sagemaker:notebookinstance

  • signer:signingprofile

  • ssmincidents:responseplan

  • ssm:inventoryentry

  • ssm:resourcedatasync

  • states:activity

  • timestream:database

  • wisdom:assistant

  • wisdom:assistantassociation

  • wisdom:knowledgebase

 17 de outubro de 2023

AWSResourceExplorerServiceRolePolicy— Política atualizada para oferecer suporte a outros tipos de recursos

O Explorador de Recursos adicionou permissões à política de perfil vinculado ao serviço AWSResourceExplorerServiceRolePolicy que permite que o serviço indexe os seguintes tipos de recursos:

  • codebuild:project

  • pipeline de código: pipeline

  • cognito:identitypool

  • cognito:userpool

  • ecr:repository

  • efs:filesystem

  • elasticbeanstalk:application

  • elasticbeanstalk:applicationversion

  • elasticbeanstalk:environment

  • iot:policy

  • iot:topicrule

  • stepfunctions:statemachine

  • s3:bucket

 1º de agosto de 2023

AWSResourceExplorerServiceRolePolicy— Política atualizada para oferecer suporte a outros tipos de recursos

O Explorador de Recursos adicionou permissões à política de perfil vinculado ao serviço AWSResourceExplorerServiceRolePolicy que permite que o serviço indexe os seguintes tipos de recursos:

  • elasticache:cluster

  • elasticache:globalreplicationgroup

  • elasticache:parametergroup

  • elasticache:replicationgroup

  • elasticache:reserved-instance

  • elasticache:snapshot

  • elasticache:subnetgroup

  • elasticache:user

  • elasticache:usergroup

  • lambda:code-signing-config

  • lambda:event-source-mapping

  • sqs:queue

 7 de março de 2023
Novas políticas gerenciadas

O Resource Explorer adicionou as seguintes políticas AWS gerenciadas:

 7 de novembro de 2022

O Explorador de Recursos começou a monitorar alterações

O Resource Explorer começou a monitorar as alterações em suas políticas AWS gerenciadas.

 7 de novembro de 2022