AWS 的托管策略 AWS 资源探索器 - AWS 资源探索器
AWSResourceExplorerFullAccessAWSResourceExplorerReadOnlyAccessAWSResourceExplorerServiceRolePolicyAWSResourceExplorerOrganizationsAccess策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 的托管策略 AWS 资源探索器

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略

包含资源浏览器权限的常规 AWS 托管策略

  • AdministratorAccess— 授予对 AWS 服务 和资源的完全访问权限。

  • ReadOnly访问权限-授予对 AWS 服务 和资源的只读访问权限。

  • ViewOnly访问权限-授予查看其资源和基本元数据的权限 AWS 服务。

    注意

    ViewOnlyAccess 策略中包含的资源管理器 Get* 权限的执行方式与 List 权限类似,尽管它们只返回一个值,原因是一个区域只能包含一个索引和一个默认视图。

AWS 资源浏览器的托管策略

AWS 托管策略: AWSResourceExplorerFullAccess

您可以将 AWSResourceExplorerFullAccess 策略分配到 IAM 身份。

此策略授予允许完全管理控制资源管理器服务的权限。您可以在账户中的 AWS 区域 中执行开启和管理资源管理器所涉及的所有任务。

权限详细信息

此策略包括允许对资源管理器执行所有操作的权限,包括在中打开和关闭资源管理器 AWS 区域、为帐户创建或删除聚合器索引、创建、更新和删除视图以及搜索。此策略还包括不属于资源管理器的权限:

  • ec2:DescribeRegions – 允许资源管理器访问有关您账户中的区域的详细信息。

  • ram:ListResources – 允许资源管理器列出资源所属的资源共享。

  • ram:GetResourceShares – 允许资源管理器识别有关您拥有或与您共享的资源共享的详细信息。

  • iam:CreateServiceLinkedRole – 允许资源管理器在您通过创建第一个索引打开资源管理器时创建所需的服务相关角色。

  • organizations:DescribeOrganization – 允许资源管理器访问有关您的组织的信息。

要查看此 AWS 托管策略的最新版本,请参阅AWSResourceExplorerFullAccessAWS 托管策略参考指南》

AWS 托管策略: AWSResourceExplorerReadOnlyAccess

您可以将 AWSResourceExplorerReadOnlyAccess 策略分配到 IAM 身份。

此策略授予只读权限,从而授予用户基本搜索权限,以发现其资源。

权限详细信息

此策略包括允许用户执行资源管理器 Get*List*Search 操作的权限,以查看有关资源管理器组件和配置设置的信息,但不允许用户对其进行更改。用户也可以进行搜索。此策略还包括不属于资源管理器的两个权限:

  • ec2:DescribeRegions – 允许资源管理器访问有关您账户中的区域的详细信息。

  • ram:ListResources – 允许资源管理器列出资源所属的资源共享。

  • ram:GetResourceShares – 允许资源管理器识别有关您拥有或与您共享的资源共享的详细信息。

  • organizations:DescribeOrganization – 允许资源管理器访问有关您的组织的信息。

要查看此 AWS 托管策略的最新版本,请参阅AWSResourceExplorerReadOnlyAccessAWS 托管策略参考指南》

AWS 托管策略: AWSResourceExplorerServiceRolePolicy

您不能自行将 AWSResourceExplorerServiceRolePolicy 附加到任何 IAM 实体。此策略只能附加到服务相关角色,以允许资源管理器代表您执行操作。有关更多信息,请参阅 为资源管理器使用服务相关角色

此策略授予资源管理器检索有关您的资源的信息所需的权限。资源浏览器会在您注册的每个索引中填充它所维护 AWS 区域 的索引。

要查看此 AWS 托管策略的最新版本,请参阅 IAM 控制台AWSResourceExplorerServiceRolePolicy中的。

AWS 托管策略: AWSResourceExplorerOrganizationsAccess

您可以将 AWSResourceExplorerOrganizationsAccess 分配到 IAM 身份。

此策略向资源管理器授予管理权限,并向其他人授予只读权限 AWS 服务 以支持此访问权限。 AWS Organizations 管理员需要这些权限才能在控制台中设置和管理多账户搜索。

权限详细信息

此策略包括允许管理员为组织设置多账户搜索的权限:

  • ec2:DescribeRegions – 允许资源管理器访问有关您账户中的区域的详细信息。

  • ram:ListResources – 允许资源管理器列出资源所属的资源共享。

  • ram:GetResourceShares – 允许资源管理器识别有关您拥有或与您共享的资源共享的详细信息。

  • organizations:ListAccounts – 允许资源管理器识别组织内的账户。

  • organizations:ListRoots – 允许资源管理器识别组织内的根账户。

  • organizations:ListOrganizationalUnitsForParent – 允许资源管理器识别父级组织单位或根组织中的组织单位(OU)。

  • organizations:ListAccountsForParent – 允许资源管理器识别组织中包含于指定目标根或 OU 之中的账户。

  • organizations:ListDelegatedAdministrators— 允许资源浏览器识别此组织中指定为委派管理员的 AWS 帐户。

  • organizations:ListAWSServiceAccessForOrganization— 允许资源浏览器识别支持与您的组织集成的列表。 AWS 服务

  • organizations:DescribeOrganization – 允许资源管理器检索有关用户账户所属组织的信息。

  • organizations:EnableAWSServiceAccess— 允许资源浏览器启用 AWS 服务 (由指定的服务ServicePrincipal)与的集成 AWS Organizations。

  • organizations:DisableAWSServiceAccess— 允许资源浏览器禁用 AWS 服务 (由指定的服务 ServicePrincipal)与的集成 AWS Organizations。

  • organizations:RegisterDelegatedAdministrator— 允许资源浏览器使指定的成员帐户能够管理指定 AWS 服务的组织功能。

  • organizations:DeregisterDelegatedAdministrator— 允许资源浏览器删除指定成员 AWS 账户 作为指定成员的委托管理员 AWS 服务。

  • iam:GetRole – 运行资源管理器检索有关指定角色的信息,包括角色的路径、GUID、ARN 以及授权代入角色的角色信任策略。

  • iam:CreateServiceLinkedRole – 允许资源管理器在您通过创建第一个索引打开资源管理器时创建所需的服务相关角色。

要查看此 AWS 托管策略的最新版本,请参阅 IAM 控制台AWSResourceExplorerOrganizationsAccess中的。

资源浏览器对 AWS 托管策略的更新

查看自该服务开始跟踪资源 AWS 管理器托管策略变更以来这些更新的详细信息。有关此页面更改的自动提醒,请在资源管理器文档历史记录页面上订阅 RSS 源。

更改 描述 日期

AWSResourceExplorerServiceRolePolicy-更新了策略权限以查看其他资源类型

资源管理器为服务相关角色策略添加了权限 AWSResourceExplorerServiceRolePolicy,该策略允许资源浏览器查看其他资源类型:

  • apprunner:ListVpcConnectors

  • backup:ListReportPlans

  • emr-serverless:ListApplications

  • events:ListEventBuses

  • geo:ListPlaceIndexes

  • geo:ListTrackers

  • greengrass:ListComponents

  • greengrass:ListComponentVersions

  • iot:ListRoleAliases

  • iottwinmaker:ListComponentTypes

  • iottwinmaker:ListEntities

  • iottwinmaker:ListScenes

  • kafka:ListConfigurations

  • kms:ListKeys

  • kinesisanalytics:ListApplications

  • lex:ListBots

  • lex:ListBotAliases

  • mediapackage-vod:ListPackagingConfigurations

  • mediapackage-vod:ListPackagingGroups

  • mq:ListBrokers

  • personalize:ListDatasetGroups

  • personalize:ListDatasets

  • personalize:ListSchemas

  • route53:ListHealthChecks

  • route53:ListHostedZones

  • secretsmanager:ListSecrets

 2023 年 12 月 12 日

新 托管式策略

资源浏览器添加了以下 AWS 托管策略:

 2023 年 11 月 14 日

更新了 托管策略

资源管理器更新了以下 AWS 托管策略以支持多账户搜索:

 2023 年 11 月 14 日

AWSResourceExplorerServiceRolePolicy— 更新了支持通过 Organizations 进行多账户搜索的政策

资源管理器为服务相关角色策略 AWSResourceExplorerServiceRolePolicy 添加了权限,该策略允许资源管理器支持使用 Organizations 进行多账户搜索:

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

 2023 年 11 月 14 日

AWSResourceExplorerServiceRolePolicy— 更新了政策以支持其他资源类型

资源管理器为服务相关角色策略 AWSResourceExplorerServiceRolePolicy 添加了权限,该策略允许服务为以下资源类型编制索引:

  • accessanalyzer:analyzer

  • acmpca:certificateauthority

  • amplify:app

  • amplify:backendenvironment

  • amplify:branch

  • amplify:domainassociation

  • amplifyuibuilder:component

  • amplifyuibuilder:theme

  • appintegrations:eventintegration

  • apprunner:service

  • appstream:appblock

  • appstream:application

  • appstream:fleet

  • appstream:imagebuilder

  • appstream:stack

  • appsync:graphqlapi

  • aps:rulegroupsnamespace

  • aps:workspace

  • apigateway:restapi

  • apigateway:deployment

  • athena:datacatalog

  • athena:workgroup

  • autoscaling:autoscalinggroup

  • backup:backupplan

  • batch:computeenvironment

  • batch:jobqueue

  • batch:schedulingpolicy

  • cloudformation:stack

  • cloudformation:stackset

  • cloudfront:fieldlevelencryptionconfig

  • cloudfront:fieldlevelencryptionprofile

  • cloudfront:originaccesscontrol

  • cloudtrail:trail

  • codeartifact:domain

  • codeartifact:repository

  • codecommit:repository

  • codeguruprofiler:profilinggroup

  • codestarconnections:connection

  • databrew:dataset

  • databrew:recipe

  • databrew:ruleset

  • detective:graph

  • directoryservices:directory

  • ec2:carriergateway

  • ec2:verifiedaccessendpoint

  • ec2:verifiedaccessgroup

  • ec2:verifiedaccessinstance

  • ec2:verifiedaccesstrustprovider

  • ecr:repository

  • elasticache:cachesecuritygroup

  • elasticfilesystem:accesspoint

  • events:rule

  • evidently:experiment

  • evidently:feature

  • evidently:launch

  • evidently:project

  • finspace:environment

  • firehose:deliverystream

  • faultinjectionsimulator:experimenttemplate

  • forecast:datasetgroup

  • forecast:dataset

  • frauddetector:detector

  • frauddetector:entitytype

  • frauddetector:eventtype

  • frauddetector:label

  • frauddetector:outcome

  • frauddetector:variable

  • gamelift:alias

  • globalaccelerator:accelerator

  • globalaccelerator:endpointgroup

  • globalaccelerator:listener

  • glue:database

  • glue:job

  • glue:table

  • glue:trigger

  • greengrass:group

  • healthlake:fhirdatastore

  • iam:virtualmfadevice

  • imagebuilder:componentbuildversion

  • imagebuilder:component

  • imagebuilder:containerrecipe

  • imagebuilder:distributionconfiguration

  • imagebuilder:imagebuildversion

  • imagebuilder:imagepipeline

  • imagebuilder:imagerecipe

  • imagebuilder:image

  • imagebuilder:infrastructureconfiguration

  • iot:authorizer

  • iot:jobtemplate

  • iot:mitigationaction

  • iot:provisioningtemplate

  • iot:securityprofile

  • iot:thing

  • iot:topicruledestination

  • iotanalytics:channel

  • iotanalytics:dataset

  • iotanalytics:datastore

  • iotanalytics:pipeline

  • iotevents:alarmmodel

  • iotevents:detectormodel

  • iotevents:input

  • iotsitewise:assetmodel

  • iotsitewise:asset

  • iotsitewise:gateway

  • iottwinmaker:workspace

  • ivs:channel

  • ivs:streamkey

  • kafka:cluster

  • kinesisvideo:stream

  • lambda:alias

  • lambda:layerversion

  • lambda:layer

  • lookoutmetrics:alert

  • lookoutvision:project

  • mediapackage:channel

  • mediapackage:originendpoint

  • mediatailor:playbackconfiguration

  • memorydb:acl

  • memorydb:cluster

  • memorydb:parametergroup

  • memorydb:user

  • mobiletargeting:app

  • mobiletargeting:segment

  • mobiletargeting:template

  • networkfirewall:firewallpolicy

  • networkfirewall:firewall

  • networkmanager:globalnetwork

  • networkmanager:device

  • networkmanager:link

  • networkmanager:attachment

  • networkmanager:corenetwork

  • panorama:package

  • qldb:journalkinesisstreamsforledger

  • qldb:ledger

  • rds:bluegreendeployment

  • refactorspaces:application

  • refactorspaces:environment

  • refactorspaces:route

  • refactorspaces:service

  • rekognition:project

  • resiliencehub:app

  • resiliencehub:resiliencypolicy

  • resourcegroups:group

  • route53:recoverygroup

  • route53:resourceset

  • route53:firewalldomain

  • route53:firewallrulegroup

  • route53:resolverendpoint

  • route53:resolverrule

  • sagemaker:model

  • sagemaker:notebookinstance

  • signer:signingprofile

  • ssmincidents:responseplan

  • ssm:inventoryentry

  • ssm:resourcedatasync

  • states:activity

  • timestream:database

  • wisdom:assistant

  • wisdom:assistantassociation

  • wisdom:knowledgebase

 2023 年 10 月 17 日

AWSResourceExplorerServiceRolePolicy— 更新了政策以支持其他资源类型

资源管理器为服务相关角色策略 AWSResourceExplorerServiceRolePolicy 添加了权限,该策略允许服务为以下资源类型编制索引:

  • codebuild:project

  • codepipeline:pipeline

  • cognito:identitypool

  • cognito:userpool

  • ecr:repository

  • efs:filesystem

  • elasticbeanstalk:application

  • elasticbeanstalk:applicationversion

  • elasticbeanstalk:environment

  • iot:policy

  • iot:topicrule

  • stepfunctions:statemachine

  • s3:bucket

 2023 年 8 月 1 日

AWSResourceExplorerServiceRolePolicy— 更新了政策以支持其他资源类型

资源管理器为服务相关角色策略 AWSResourceExplorerServiceRolePolicy 添加了权限,该策略允许服务为以下资源类型编制索引:

  • elasticache:cluster

  • elasticache:globalreplicationgroup

  • elasticache:parametergroup

  • elasticache:replicationgroup

  • elasticache:reserved-instance

  • elasticache:snapshot

  • elasticache:subnetgroup

  • elasticache:user

  • elasticache:usergroup

  • lambda:code-signing-config

  • lambda:event-source-mapping

  • sqs:queue

 2023 年 3 月 7 日
新的托管式策略

资源浏览器添加了以下 AWS 托管策略:

 2022 年 11 月 7 日

资源管理器开启跟踪更改

资源浏览器开始跟踪其 AWS 托管策略的更改。

 2022 年 11 月 7 日