AWS Well-Architected Tool 的 AWS 受管政策 - AWS Well-Architected Tool

我們已發布 Well-Architected Framework 的新版本。我們也將新的和更新的焦點新增至最佳實務與指引目錄進一步了解變更。

AWS Well-Architected Tool 的 AWS 受管政策

AWS 管理的政策是由 AWS 建立和管理的獨立政策。AWS 管理的政策的設計在於為許多常見使用案例提供許可,如此您就可以開始將許可指派給使用者、群組和角色。

請謹記,AWS 管理的政策可能不會授予您特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法更改 AWS 管理的政策中定義的許可。如果 AWS 更新 AWS 管理的政策中定義的許可,更新會影響政策連接的所有主體身分 (使用者、群組和角色)。在推出新的 AWS 服務 或有新的 API 操作可供現有服務使用時,AWS 很可能會更新 AWS 管理的政策。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS 受管政策:WellArchitectedConsoleFullAccess

您可將 WellArchitectedConsoleFullAccess 政策連接到 IAM 身分。

此政策授予 AWS Well-Architected Tool 的完整存取權限。

許可詳細資訊

{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "wellarchitected:*" ], "Resource": "*" } ] }

AWS 受管政策:WellArchitectedConsoleReadOnlyAccess

您可將 WellArchitectedConsoleReadOnlyAccess 政策連接到 IAM 身分。

此政策授予 AWS Well-Architected Tool 的唯讀存取權。

許可詳細資訊

{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "wellarchitected:Get*", "wellarchitected:List*" "wellarchitected:ExportLens" ], "Resource": "*" } ] }

AWS 受管政策:AWSWellArchitectedOrganizationsServiceRolePolicy

您可將 AWSWellArchitectedOrganizationsServiceRolePolicy 政策連接到 IAM 身分。

此政策授予 AWS Organizations 中的管理許可權,這是支援 AWS Well-Architected Tool 與 Organizations 整合所需的權限。這些許可權允許組織管理帳戶與 AWS WA Tool 共用資源。

許可詳細資訊

此政策包含以下許可。

  • organizations:ListAWSServiceAccessForOrganization – 允許主體檢查是否已針對 AWS WA Tool 啟用 AWS 服務存取權。

  • organizations:DescribeAccount – 允許主體擷取組織中帳戶的相關資訊。

  • organizations:DescribeOrganization – 允許主體擷取組織組態的相關資訊。

  • organizations:ListAccounts – 允許主體擷取屬於組織的帳戶清單。

  • organizations:ListAccountsForParent – 允許主體從組織中指定的根節點擷取屬於組織的帳戶清單。

  • organizations:ListChildren – 允許主體從組織中指定的根節點擷取屬於組織的帳戶和組織單位清單。

  • organizations:ListParents – 允許主體擷取 OU 或組織內帳戶指定的直屬父系清單。

  • organizations:ListRoots – 允許主體擷取組織內所有根節點的清單。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListChildren", "organizations:ListParents", "organizations:ListRoots" ], "Resource": "*" } ] }

AWS 受管政策:AWSWellArchitectedDiscoveryServiceRolePolicy

您可將 AWSWellArchitectedDiscoveryServiceRolePolicy 政策連接到 IAM 身分。

此政策允許 AWS Well-Architected Tool 存取與 AWS WA Tool 資源相關的 AWS 服務和資源。

許可詳細資訊

此政策包含以下許可。

  • trustedadvisor:DescribeChecks – 列出可用的 Trusted Advisor 檢查項。

  • trustedadvisor:DescribeCheckItems – 擷取 Trusted Advisor 檢查資料,包括 Trusted Advisor 標記的狀態和資源。

  • servicecatalog:GetApplication – 擷取 AppRegistry 應用程式的詳細資訊。

  • servicecatalog:ListAssociatedResources – 列出與 AppRegistry 應用程式相關聯的資源。

  • cloudformation:DescribeStacks – 取得 AWS CloudFormation 堆疊的詳細資訊。

  • cloudformation:ListStackResources – 列出與 AWS CloudFormation 堆疊相關聯的資源。

  • resource-groups:ListGroupResources – 列出 ResourceGroup 的資源。

  • tag:GetResources – 為 ListGroupResources 所需。

  • servicecatalog:CreateAttributeGroup – 視需要建立服務受管屬性群組。

  • servicecatalog:AssociateAttributeGroup – 為服務受管屬性群組與 AppRegistry 應用程式建立關聯。

  • servicecatalog:UpdateAttributeGroup – 更新服務受管屬性群組。

  • servicecatalog:DisassociateAttributeGroup – 取消服務受管屬性群組與 AppRegistry 應用程式的關聯。

  • servicecatalog:DeleteAttributeGroup – 在需要時刪除服務受管屬性群組。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeChecks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "resource-groups:ListGroupResources", "tag:GetResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "servicecatalog:GetApplication", "servicecatalog:CreateAttributeGroup" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "servicecatalog:AssociateAttributeGroup", "servicecatalog:DisassociateAttributeGroup" ], "Resource": [ "arn:*:servicecatalog:*:*:/applications/*", "arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*" ] }, { "Effect": "Allow", "Action": [ "servicecatalog:UpdateAttributeGroup", "servicecatalog:DeleteAttributeGroup" ], "Resource": [ "arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*" ] } ] }

AWS 管理的政策的 AWS WA Tool 更新項目

檢視自 AWS WA Tool 開始追蹤 AWS 管理的政策變更以來的更新詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 AWS WA Tool 文件歷史記錄頁面上的 RSS 摘要。

變更 描述 日期

AWS WA Tool 變更的受管政策

已新增 "wellarchitected:Export*" WellArchitectedConsoleReadOnlyAccess

2023 年 6 月 22 日

AWS WA Tool 新增的服務角色政策

新增 AWSWellArchitectedDiscoveryServiceRolePolicy 以允許 AWS Well-Architected Tool 存取與 AWS WA Tool 資源相關的 AWS 服務和資源。

2023 年 5 月 3 日

AWS WA Tool 新增的許可權

新增了要授予 ListAWSServiceAccessForOrganization 的新動作,以允許 AWS WA Tool 檢查是否已為 AWS WA Tool 啟用 AWS 服務存取權。

2022 年 7 月 22 日

AWS WA Tool 已開始追蹤變更

AWS WA Tool 已開始追蹤其 AWS 管理的政策的變更。

2022 年 7 月 22 日