Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überwachung der Infrastruktursicherheit in AMS
Wenn Sie AMS Accelerate nutzen, AWS setzt AMS Accelerate die folgende AWS Config Basisinfrastruktur und das folgende Regelwerk ein. AMS Accelerate verwendet diese Regeln, um Ihre Konten zu überwachen.
+ **AWS Config serviceverknüpfte Rolle**: AMS Accelerate stellt die benannte serviceverknüpfte Rolle bereit **AWSServiceRoleForConfig**, die von verwendet wird, AWS Config um den Status anderer Dienste abzufragen. AWS Die **AWSServiceRoleForConfig**dienstbezogene Rolle vertraut darauf, dass der AWS Config Dienst die Rolle übernimmt. Die Berechtigungsrichtlinie für die **AWSServiceRoleForConfig**Rolle umfasst nur Lese- und Schreibberechtigungen für Ressourcen und nur Leseberechtigungen für AWS Config Ressourcen in anderen Diensten, die diese Funktion unterstützen. AWS Config Wenn Sie bereits eine Rolle mit AWS Config Recorder konfiguriert haben, überprüft AMS Accelerate, ob an die bestehende Rolle eine verwaltete AWS Config-Richtlinie angehängt ist. Wenn nicht, ersetzt AMS Accelerate die Rolle durch die serviceverknüpfte Rolle. **AWSServiceRoleForConfig**
+ **AWS Config Rekorder und Bereitstellungskanal**: AWS Config verwendet den Konfigurationsrekorder, um Änderungen an Ihren Ressourcenkonfigurationen zu erkennen und diese Änderungen als Konfigurationselemente zu erfassen. AMS Accelerate stellt den Konfigurationsrekorder in allen Diensten bereit AWS-Regionen, wobei alle Ressourcen kontinuierlich aufgezeichnet werden. AMS Accelerate erstellt auch den Config Delivery Channel, einen Amazon S3 S3-Bucket, der verwendet wird, um Änderungen an Ihren AWS Ressourcen aufzuzeichnen. Der Config Recorder aktualisiert den Konfigurationsstatus über den Lieferkanal. Der Konfigurationsrekorder und der Bereitstellungskanal sind erforderlich AWS Config , damit sie funktionieren. AMS Accelerate erstellt den gesamten AWS-Regionen Rekorder und einen Lieferkanal in einem einzigen AWS-Region. Wenn Sie bereits einen Rekorder und einen Übertragungskanal in einem haben AWS-Region, löscht AMS Accelerate die vorhandenen AWS Config Ressourcen nicht. Stattdessen verwendet AMS Accelerate Ihren vorhandenen Rekorder und Lieferkanal, nachdem überprüft wurde, ob sie ordnungsgemäß konfiguriert sind. Weitere Informationen zur AWS Config Kostensenkung finden Sie unter[Reduzieren Sie die AWS Config Kosten in Accelerate](acc-sec-compliance.md#acc-sec-compliance-reduct-config-spend).
+ **AWS Config Regeln**: AMS Accelerate verfügt über eine Sammlung von Maßnahmen AWS-Config-Regeln und Abhilfemaßnahmen, die Sie bei der Einhaltung der Industriestandards für Sicherheit und Betriebsintegrität unterstützen. AWS-Config-Regeln verfolgt kontinuierlich die Konfigurationsänderungen Ihrer aufgezeichneten Ressourcen. Wenn eine Änderung gegen Regelbedingungen verstößt, meldet AMS die Ergebnisse und ermöglicht es Ihnen, Verstöße je nach Schweregrad des Verstoßes automatisch oder auf Anfrage zu beheben. AWS-Config-Regeln die Einhaltung der Standards erleichtern, die vom Center for Internet Security (CIS), dem National Institute of Standards and Technology (NIST) Cloud Security Framework (CSF), dem Health Insurance Portability and Accountability Act (HIPAA) und dem Payment Card Industry (PCI) Data Security Standard (DSS) festgelegt wurden.
+ **AWS Config Aggregator-Autorisierung**: Ein Aggregator ist ein AWS Config Ressourcentyp, der AWS Config Konfigurations- und Compliance-Daten aus mehreren Konten und mehreren Regionen sammelt. AMS Accelerate verknüpft Ihr Konto mit einem Konfigurationsaggregator, aus dem AMS Accelerate die Informationen zur Ressourcenkonfiguration und die Konformitätsdaten der Konfiguration Ihres Kontos zusammenfasst und den Compliance-Bericht generiert. Wenn in dem AMS-eigenen Konto bereits Aggregatoren konfiguriert sind, stellt AMS Accelerate einen zusätzlichen Aggregator bereit und der bestehende Aggregator wird nicht geändert.
**Anmerkung**
Der Config-Aggregator ist nicht in Ihren Konten eingerichtet, sondern in AMS-eigenen Konten eingerichtet, und Ihre Konten sind darin integriert.
Weitere Informationen dazu finden Sie unter: AWS Config
+ AWS Config: [Was ist Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS-Config-Regeln: [Ressourcen anhand von Regeln auswerten](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ AWS-Config-Regeln: [Dynamische Konformitätsprüfung: AWS-Config-Regeln — Dynamische Konformitätsprüfung für Cloud-Ressourcen](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config Aggregator: Datenaggregation [mit mehreren Konten und mehreren Regionen](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
Informationen zu Berichten finden Sie unter. [AWS Config Bericht zur Einhaltung der Kontrollvorschriften](acc-report-config-control-compliance.md)
# Verwenden von serviceverknüpften Rollen für AMS Accelerate
AMS Accelerate verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle (SLR) ist eine einzigartige Art von IAM-Rolle, die direkt mit AMS Accelerate verknüpft ist. Serviceverknüpfte Rollen sind von AMS Accelerate vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von AMS Accelerate, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AMS Accelerate definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur AMS Accelerate seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Informationen zu anderen Diensten, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte **Serviceverknüpfte** Rollen nach den Diensten, für die **Ja** steht. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Servicebezogene Rolle im Deployment Toolkit für AMS Accelerate
AMS Accelerate verwendet die benannte serviceverknüpfte Rolle (SLR) **AWSServiceRoleForAWSManagedServicesDeploymentToolkit**— diese Rolle stellt die AMS Accelerate-Infrastruktur in Kundenkonten bereit.
**Anmerkung**
Diese Richtlinie wurde kürzlich aktualisiert; Einzelheiten finden Sie unter. [Beschleunigen Sie die Aktualisierung von serviceverknüpften Rollen](#slr-updates)
### AMS Accelerate Deployment Toolkit (SLR)
Die AWSService RoleFor AWSManaged ServicesDeploymentToolkit dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `deploymenttoolkit.managedservices.amazonaws.com`
Die genannte Richtlinie [AWSManagedServicesDeploymentToolkitPolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DeploymentToolkitPolicy)ermöglicht AMS Accelerate, Aktionen für die folgenden Ressourcen durchzuführen:
+ `arn:aws*:s3:::ams-cdktoolkit*`
+ `arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*`
+ `arn:aws:ecr:*:*:repository/ams-cdktoolkit*`
Diese SLR gewährt Amazon S3 Berechtigungen zur Erstellung und Verwaltung des Deployment-Buckets, der von AMS verwendet wird, um Ressourcen wie CloudFormation Vorlagen oder Lambda-Asset-Bundles in das Konto für Komponentenbereitstellungen hochzuladen. Diese SLR gewährt CloudFormation Berechtigungen zur Bereitstellung des CloudFormation Stacks, der die Deployment-Buckets definiert. Weitere Informationen oder zum Herunterladen der Richtlinie finden Sie unter. [AWSManagedServices\$1DeploymentToolkitPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DeploymentToolkitPolicy)
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Dienstbezogene Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
### Erstellen eines Bereitstellungs-Toolkits (SLR) für AMS Accelerate
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie in der AWS-Managementkonsole, der oder der AWS API bei AMS AWS CLI einsteigen, erstellt AMS Accelerate die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese dienstbezogene Rolle kann in Ihrem Konto erscheinen, wenn Sie den AMS Accelerate-Dienst vor dem 09. Juni 2022 genutzt haben, als er begann, serviceverknüpfte Rollen zu unterstützen, dann hat AMS Accelerate die AWSService RoleFor AWSManaged ServicesDeploymentToolkit Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [In meinem IAM-Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie bei AMS einsteigen, erstellt AMS Accelerate die serviceverknüpfte Rolle erneut für Sie.
### Bearbeitung eines Implementierungs-Toolkits (SLR) für AMS Accelerate
AMS Accelerate erlaubt Ihnen nicht, die AWSService RoleFor AWSManaged ServicesDeploymentToolkit serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
### Löschen eines Deployment Toolkits (SLR) für AMS Accelerate
Sie müssen die Rolle nicht manuell löschen. AWSService RoleFor AWSManaged ServicesDeploymentToolkit Wenn Sie in der AWS-Managementkonsole, der oder der AWS API ein Offboard von AMS ausführen AWS CLI, bereinigt AMS Accelerate die Ressourcen und löscht die serviceverknüpfte Rolle für Sie.
Sie können auch die IAM-Konsole, die AWS CLI oder die AWS API verwenden, um die dienstverknüpfte Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.
**Anmerkung**
Wenn der AMS Accelerate-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um AMS Accelerate-Ressourcen zu löschen, die von der AWSService RoleFor AWSManaged ServicesDeploymentToolkit serviceverknüpften Rolle verwendet werden**
Löschen Sie den `ams-cdk-toolkit` Stack aus allen Regionen, in denen Ihr Konto in AMS integriert war (möglicherweise müssen Sie die S3-Buckets zuerst manuell leeren).
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. AWSService RoleFor AWSManaged ServicesDeploymentToolkit Weitere Informationen finden Sie im [*IAM-Benutzerhandbuch* unter Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role).
## Detective kontrolliert die dienstbezogene Rolle für AMS Accelerate
AMS Accelerate verwendet die serviceverknüpfte Rolle (SLR) mit dem Namen **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig**— AWS Managed Services verwendet diese serviceverknüpfte Rolle, um Config-Recorder, Konfigurationsregeln und S3-Bucket Detective-Kontrollen bereitzustellen.
[Der **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig**serviceverknüpften Rolle ist die folgende verwaltete Richtlinie beigefügt: \$1. AWSManagedServices\$1DetectiveControlsConfig ServiceRolePolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DetectiveControlsConfig) Aktualisierungen dieser Richtlinie finden Sie unter [Beschleunigen Sie die Aktualisierung AWS verwalteter Richtlinien](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
### Berechtigungen für Detective Controls SLR for AMS Accelerate
Die AWSServiceRoleForManagedServices\$1DetectiveControlsConfig dienstverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `detectivecontrols.managedservices.amazonaws.com`
Dieser Rolle ist die `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS verwaltete Richtlinie beigefügt (siehe [AWS verwaltete Richtlinie: \$1 AWSManagedServices\$1DetectiveControlsConfig ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DetectiveControlsConfig) Der Dienst verwendet die Rolle, um AMS Detective Controls in Ihrem Konto zu konfigurieren), was die Bereitstellung von Ressourcen wie S3-Buckets, Konfigurationsregeln und einem Aggregator erfordert. Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Dienstbezogene Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *AWS Identity and Access Management-Benutzerhandbuch*.
### Die Erstellung eines Detektivs steuert SLR für AMS Accelerate
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie in der AWS-Managementkonsole, der oder der AWS API bei AMS AWS CLI einsteigen, erstellt AMS Accelerate die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie den AMS Accelerate-Dienst vor dem 09. Juni 2022 genutzt haben. Als er begann, serviceverknüpfte Rollen zu unterstützen, hat AMS Accelerate die AWSServiceRoleForManagedServices\$1DetectiveControlsConfig Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [In meinem IAM-Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie bei AMS einsteigen, erstellt AMS Accelerate die serviceverknüpfte Rolle erneut für Sie.
### Die Bearbeitung eines Detektivs steuert SLR für AMS Accelerate
AMS Accelerate erlaubt Ihnen nicht, die AWSServiceRoleForManagedServices\$1DetectiveControlsConfig serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
### Das Löschen eines Detektivs steuert SLR für AMS Accelerate
Sie müssen die AWSServiceRoleForManagedServices\$1DetectiveControlsConfig Rolle nicht manuell löschen. Wenn Sie in der AWS-Managementkonsole, der oder der AWS API ein Offboard von AMS ausführen AWS CLI, bereinigt AMS Accelerate die Ressourcen und löscht die serviceverknüpfte Rolle für Sie.
Sie können auch die IAM-Konsole, die AWS CLI oder die AWS API verwenden, um die dienstverknüpfte Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.
**Anmerkung**
Wenn der AMS Accelerate-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um AMS Accelerate-Ressourcen zu löschen, die von der AWSServiceRoleForManagedServices\$1DetectiveControlsConfig serviceverknüpften Rolle verwendet werden**
Löschen `ams-detective-controls-config-rules-cdk` und `ams-detective-controls-infrastructure-cdk` Stapel aus allen Regionen`ams-detective-controls-config-recorder`, in denen Ihr Konto in AMS integriert war (möglicherweise müssen Sie zuerst die S3-Buckets manuell leeren).
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API, um die AWS CLI serviceverknüpfte Rolle zu löschen. AWSServiceRoleForManagedServices\$1DetectiveControlsConfig Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Rolle im Zusammenhang mit dem Amazon EventBridge Rule Service für AMS Accelerate
AMS Accelerate verwendet die benannte serviceverknüpfte Rolle (SLR). **AWSServiceRoleForManagedServices\$1Events** Diese Rolle vertraut darauf, dass einer der AWS Managed Services Service Principals (events.managedservices.amazonaws.com) die Rolle für Sie übernimmt. Der Service verwendet die Rolle, um eine von Amazon EventBridge verwaltete Regel zu erstellen. Diese Regel ist die Infrastruktur, die in Ihrem AWS-Konto erforderlich ist, um Informationen zur Änderung des Alarmstatus von Ihrem Konto an AWS Managed Services zu übermitteln.
### Berechtigungen für EventBridge SLR für AMS Accelerate
Die AWSServiceRoleForManagedServices\$1Events dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `events.managedservices.amazonaws.com`
Dieser Rolle ist die `AWSManagedServices_EventsServiceRolePolicy` AWS verwaltete Richtlinie zugeordnet (siehe[AWS verwaltete Richtlinie: AWSManagedServices\$1EventsServiceRolePolicy](security-iam-awsmanpol.md#EventsServiceRolePolicy)). Der Dienst verwendet die Rolle, um Informationen über die Änderung des Alarmstatus von Ihrem Konto an AMS zu übermitteln. Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *AWS Identity and Access Management -Benutzerhandbuch*.
Sie können die JSON-Datei AWSManagedServices\$1EventsServiceRolePolicy in dieser ZIP-Datei herunterladen: [EventsServiceRolePolicy.zip.](samples/EventsServiceRolePolicy.zip)
### Eine EventBridge Spiegelreflexkamera für AMS Accelerate erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie in der AWS-Managementkonsole, der oder der AWS API bei AMS AWS CLI einsteigen, erstellt AMS Accelerate die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie den AMS Accelerate-Dienst vor dem 7. Februar 2023 genutzt haben. Als er begann, serviceverknüpfte Rollen zu unterstützen, hat AMS Accelerate die AWSServiceRoleForManagedServices\$1Events Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [In meinem IAM-Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie bei AMS einsteigen, erstellt AMS Accelerate die serviceverknüpfte Rolle erneut für Sie.
### Eine EventBridge Spiegelreflexkamera für AMS Accelerate bearbeiten
AMS Accelerate erlaubt es Ihnen nicht, die AWSServiceRoleForManagedServices\$1Events serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
### Löschen einer EventBridge Spiegelreflexkamera für AMS Accelerate
Sie müssen die AWSServiceRoleForManagedServices\$1Events Rolle nicht manuell löschen. Wenn Sie in der AWS-Managementkonsole, der oder der AWS API ein Offboard von AMS ausführen AWS CLI, bereinigt AMS Accelerate die Ressourcen und löscht die serviceverknüpfte Rolle für Sie.
Sie können auch die IAM-Konsole, die AWS CLI oder die AWS API verwenden, um die dienstverknüpfte Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.
**Anmerkung**
Wenn der AMS Accelerate-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um AMS Accelerate-Ressourcen zu löschen, die von der AWSServiceRoleForManagedServices\$1Events serviceverknüpften Rolle verwendet werden**
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForManagedServices\$1Events serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Serviceverknüpfte Kontakte-Rolle für AMS Accelerate
AMS Accelerate verwendet die Service-Linked Role (SLR) mit dem Namen **AWSServiceRoleForManagedServices\$1Contacts**— Diese Rolle ermöglicht automatische Benachrichtigungen bei Vorfällen, indem sie dem Service ermöglicht, die vorhandenen Tags der betroffenen Ressource zu lesen und die konfigurierte E-Mail der entsprechenden Kontaktstelle abzurufen.
Dies ist der einzige Dienst, der diese serviceverknüpfte Rolle verwendet.
Der **AWSServiceRoleForManagedServices\$1Contacts**dienstbezogenen Rolle ist die folgende verwaltete Richtlinie beigefügt:. [AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.html#ContactsServiceManagedPolicy) Aktualisierungen dieser Richtlinie finden Sie unter [Beschleunigen Sie die Aktualisierung AWS verwalteter Richtlinien](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
### Berechtigungen für Contacts SLR for AMS Accelerate
Die AWSServiceRoleForManagedServices\$1Contacts dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `contacts-service.managedservices.amazonaws.com`
Dieser Rolle ist die von `AWSManagedServices_ContactsServiceRolePolicy` AWS verwaltete Richtlinie beigefügt (siehe[AWS verwaltete Richtlinie: AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.md#ContactsServiceManagedPolicy)). Der Service verwendet die Rolle, um die Tags auf einer beliebigen AWS Ressource zu lesen und die im Tag enthaltene E-Mail der entsprechenden Kontaktperson für den Fall zu finden, dass Vorfälle auftreten. Diese Rolle ermöglicht automatische Benachrichtigungen bei Vorfällen, indem AMS das Tag auf einer betroffenen Ressource lesen und die E-Mail abrufen kann. Weitere Informationen finden Sie unter [Dienstbezogene Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *AWS Identity and Access Management-Benutzerhandbuch*.
**Wichtig**
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. AMS verwendet Tags, um Ihnen Verwaltungsdienste zur Verfügung zu stellen. Tags sind nicht für private oder vertrauliche Daten gedacht.
Die genannte Richtlinie für Rollenberechtigungen AWSManagedServices\$1ContactsServiceRolePolicy ermöglicht AMS Accelerate, die folgenden Aktionen an den angegebenen Ressourcen durchzuführen:
+ Aktion: Ermöglicht dem Contacts Service, die Tags zu lesen, die speziell für die E-Mail eingerichtet wurden, damit AMS Benachrichtigungen über Vorfälle an jede AWS-Ressource senden kann.
Sie können die JSON-Datei AWSManagedServices\$1ContactsServiceRolePolicy in dieser ZIP-Datei herunterladen: [ContactsServicePolicy.zip.](samples/ContactsServicePolicy.zip)
### Eine Spiegelreflexkamera für Kontakte für AMS Accelerate erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie in der AWS-Managementkonsole, der oder der AWS API bei AMS AWS CLI einsteigen, erstellt AMS Accelerate die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie den AMS Accelerate-Dienst vor dem 16. Februar 2023 genutzt haben. Als er begann, serviceverknüpfte Rollen zu unterstützen, hat AMS Accelerate die AWSServiceRoleForManagedServices\$1Contacts Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [In meinem IAM-Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie bei AMS einsteigen, erstellt AMS Accelerate die serviceverknüpfte Rolle erneut für Sie.
### Eine Spiegelreflexkamera für Kontakte für AMS Accelerate bearbeiten
AMS Accelerate erlaubt es Ihnen nicht, die AWSServiceRoleForManagedServices\$1Contacts serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
### Löschen einer Kontakt-Spiegelreflexkamera für AMS Accelerate
Sie müssen die AWSServiceRoleForManagedServices\$1Contacts Rolle nicht manuell löschen. Wenn Sie in der AWS-Managementkonsole, der oder der AWS API ein Offboard von AMS ausführen AWS CLI, bereinigt AMS Accelerate die Ressourcen und löscht die serviceverknüpfte Rolle für Sie.
Sie können auch die IAM-Konsole, die AWS CLI oder die AWS API verwenden, um die dienstverknüpfte Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.
**Anmerkung**
Wenn der AMS Accelerate-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um AMS Accelerate-Ressourcen zu löschen, die von der AWSServiceRoleForManagedServices\$1Contacts serviceverknüpften Rolle verwendet werden**
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForManagedServices\$1Contacts serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für dienstverknüpfte AMS Accelerate-Rollen
AMS Accelerate unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
## Beschleunigen Sie die Aktualisierung von serviceverknüpften Rollen
Hier finden Sie Informationen zu Aktualisierungen der mit dem Dienst Accelerate verknüpften Rollen, die seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Accelerate-Seite, um automatische Benachrichtigungen über Änderungen an dieser [Dokumentenverlauf für AMS Accelerate User Guide](doc-history.md) Seite zu erhalten.
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| Aktualisierte Richtlinie — [Deployment Toolkit](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 4. April 2024 |
| Aktualisierte Richtlinie — [Deployment Toolkit](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 09. Mai 2023 |
| Aktualisierte Richtlinie — [Detective Controls](#slr-deploy-detect-controls) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 10. April 2023 |
| Aktualisierte Richtlinie — [Detective Controls](#slr-deploy-detect-controls) | Die Richtlinie wurde aktualisiert und die Richtlinie zur Begrenzung der Zugriffsrechte hinzugefügt. | 21. März 2023 |
| Neue dienstbezogene Rolle — [Contacts SLR](#slr-contacts-service) | Accelerate hat eine neue dienstbezogene Rolle für den Dienst Contacts hinzugefügt. Diese Rolle ermöglicht automatische Benachrichtigungen bei Vorfällen, indem sie dem Dienst ermöglicht, die vorhandenen Tags der betroffenen Ressource zu lesen und die konfigurierte E-Mail der entsprechenden Kontaktstelle abzurufen. | 16. Februar 2023 |
| Neue dienstbezogene Rolle — [EventBridge](#slr-evb-rule) | Accelerate hat eine neue serviceverknüpfte Rolle für eine EventBridge Amazon-Regel hinzugefügt. Diese Rolle vertraut darauf, dass einer der AWS Managed Services Service Principals (events.managedservices.amazonaws.com) die Rolle für Sie übernimmt. Der Service verwendet die Rolle, um eine von Amazon EventBridge verwaltete Regel zu erstellen. Diese Regel ist die Infrastruktur, die in Ihrem AWS-Konto erforderlich ist, um Informationen zur Änderung des Alarmstatus von Ihrem Konto an AWS Managed Services zu übermitteln. | 07. Februar 2023 |
| Die serviceverknüpfte Rolle wurde aktualisiert — [Deployment Toolkit](#slr-deploy-acc) | Beschleunigen Sie die Aktualisierung AWSService RoleFor AWSManaged ServicesDeploymentToolkit mit neuen S3-Berechtigungen. Diese neuen Berechtigungen wurden hinzugefügt: "s3:GetLifecycleConfiguration",
"s3:GetBucketLogging",
"s3:ListBucket",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:GetObject*"
| 30. Januar 2023 |
| Accelerate hat begonnen, Änderungen nachzuverfolgen | Accelerate hat mit der Nachverfolgung von Änderungen für seine dienstbezogenen Rollen begonnen. | 30. November 2022 |
| Neue dienstleistungsbezogene Rolle — [Detective Controls](#slr-deploy-detect-controls) | Accelerate hat eine neue dienstbezogene Rolle für die Implementierung von Accelerate Detective Controls hinzugefügt. AWS Managed Services verwendet diese servicebezogene Rolle, um Config-Recorder, Konfigurationsregeln und S3-Bucket Detective-Kontrollen bereitzustellen. | 13. Oktober 2022 |
| [Neue serviceverknüpfte Rolle — Deployment Toolkit](#slr-deploy-acc) | Accelerate hat eine neue dienstbezogene Rolle für die Bereitstellung der Accelerate-Infrastruktur hinzugefügt. Diese Rolle stellt die AMS Accelerate-Infrastruktur für Kundenkonten bereit. | 09. Juni 2022 |
# AWS verwaltete Richtlinien für AMS Accelerate
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
Eine Tabelle der Änderungen finden Sie unter[Beschleunigen Sie die Aktualisierung AWS verwalteter Richtlinien](#security-iam-awsmanpol-updates).
## AWS verwaltete Richtlinie: AWSManagedServices\$1AlarmManagerPermissionsBoundary
AWS Managed Services (AMS) verwendet die `AWSManagedServices_AlarmManagerPermissionsBoundary` AWS verwaltete Richtlinie. Diese AWS-verwaltete Richtlinie wird im AWSManagedServices\$1AlarmManager \$1 verwendet, ServiceRolePolicy um die Berechtigungen von IAM-Rollen einzuschränken, die von erstellt wurden. AWSServiceRoleForManagedServices\$1AlarmManager
Diese Richtlinie gewährt IAM-Rollen, die im Rahmen von erstellt wurden[Wie funktioniert Alarm Manager](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work), Berechtigungen zur Ausführung von Vorgängen wie der AWS Konfigurationsprüfung, dem Lesen der AWS Config zum Abrufen der Alarm Manager-Konfiguration und der Erstellung der erforderlichen CloudWatch Amazon-Alarme.
Die `AWSManagedServices_AlarmManagerPermissionsBoundary` Richtlinie ist der `AWSServiceRoleForManagedServices_DetectiveControlsConfig` serviceverknüpften Rolle zugeordnet. Aktualisierungen zu dieser Rolle finden Sie unter[Beschleunigen Sie die Aktualisierung von serviceverknüpften Rollen](using-service-linked-roles.md#slr-updates).
Sie können diese Richtlinie an Ihre IAM-Identitäten anhängen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `AWS Config`— Ermöglicht Berechtigungen zur Auswertung von Konfigurationsregeln und zur Auswahl der Ressourcenkonfiguration.
+ `AWS AppConfig`— Erlaubt Berechtigungen zum Abrufen der AlarmManager Konfiguration.
+ `Amazon S3`— Erlaubt Berechtigungen zum Betrieb von AlarmManager Buckets und Objekten.
+ `Amazon CloudWatch`— Erlaubt Berechtigungen zum Lesen und Speichern AlarmManager verwalteter Alarme und Messwerte.
+ `AWS Resource Groups and Tags`— Erlaubt Berechtigungen zum Lesen von Ressourcen-Tags.
+ `Amazon EC2`— Erlaubt Berechtigungen zum Lesen von EC2 Amazon-Ressourcen.
+ `Amazon Redshift`— Erlaubt Berechtigungen zum Lesen von Redshift-Instanzen und -Clustern.
+ `Amazon FSx`— Ermöglicht Berechtigungen zur Beschreibung von Dateisystemen, Volumes und Ressourcen-Tags.
+ `Amazon CloudWatch Synthetics`— Erlaubt Berechtigungen zum Lesen von Synthetics-Ressourcen.
+ `Amazon Elastic Kubernetes Service`— Erlaubt Berechtigungen zur Beschreibung des Amazon EKS-Clusters.
+ `Amazon ElastiCache`— Erlaubt Berechtigungen zur Beschreibung von Ressourcen.
Sie können die Richtliniendatei in dieser ZIP-Datei herunterladen: [RecommendedPermissionBoundary.zip.](samples/RecommendedPermissionBoundary.zip)
## AWS verwaltete Richtlinie: \$1 AWSManagedServices\$1DetectiveControlsConfig ServiceRolePolicy
AWS Managed Services (AMS) verwendet die `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS verwaltete Richtlinie. Diese AWS verwaltete Richtlinie ist der [`AWSServiceRoleForManagedServices_DetectiveControlsConfig`dienstbezogenen Rolle](using-service-linked-roles.html#slr-deploy-detect-controls) zugeordnet (siehe[Detective kontrolliert die dienstbezogene Rolle für AMS Accelerate](using-service-linked-roles.md#slr-deploy-detect-controls)). Aktualisierungen der `AWSServiceRoleForManagedServices_DetectiveControlsConfig` dienstbezogenen Rolle finden Sie unter. [Beschleunigen Sie die Aktualisierung von serviceverknüpften Rollen](using-service-linked-roles.md#slr-updates)
Die Richtlinie ermöglicht es der dienstbezogenen Rolle, Aktionen für Sie abzuschließen.
Sie können die ServiceRolePolicy Richtlinie AWSManagedServices\$1DetectiveControlsConfig \$1 an Ihre IAM-Entitäten anhängen.
Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AMS Accelerate](using-service-linked-roles.md).
**Details zu Berechtigungen**
Diese Richtlinie verfügt über die folgenden Berechtigungen, damit AWS Managed Services Detective Controls alle erforderlichen Ressourcen bereitstellen und konfigurieren kann.
+ `CloudFormation`— Ermöglicht AMS Detective Controls die Bereitstellung von CloudFormation Stacks mit Ressourcen wie S3-Buckets, Konfigurationsregeln und Config-Recorder.
+ `AWS Config`— Ermöglicht AMS Detective Controls, AMS-Konfigurationsregeln zu erstellen, einen Aggregator zu konfigurieren und Ressourcen zu taggen.
+ `Amazon S3`— ermöglicht AMS Detective Controls die Verwaltung seiner S3-Buckets.
Sie können die JSON-Richtliniendatei in dieser ZIP-Datei herunterladen: [DetectiveControlsConfig\$1 ServiceRolePolicy .zip](samples/DetectiveControlsConfig_ServiceRolePolicy.zip).
## AWS verwaltete Richtlinie: AWSManaged ServicesDeploymentToolkitPolicy
AWS Managed Services (AMS) verwendet die `AWSManagedServicesDeploymentToolkitPolicy` AWS verwaltete Richtlinie. Diese AWS verwaltete Richtlinie ist der [`AWSServiceRoleForAWSManagedServicesDeploymentToolkit`dienstbezogenen Rolle](using-service-linked-roles.html#slr-deploy-acc) zugeordnet (siehe[Servicebezogene Rolle im Deployment Toolkit für AMS Accelerate](using-service-linked-roles.md#slr-deploy-acc)). Die Richtlinie ermöglicht es der dienstbezogenen Rolle, Aktionen für Sie abzuschließen. Sie können diese Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AMS Accelerate](using-service-linked-roles.md).
Aktualisierungen der `AWSServiceRoleForManagedServicesDeploymentToolkitPolicy` dienstbezogenen Rolle finden Sie unter. [Beschleunigen Sie die Aktualisierung von serviceverknüpften Rollen](using-service-linked-roles.md#slr-updates)
**Details zu Berechtigungen**
Diese Richtlinie verfügt über die folgenden Berechtigungen, damit AWS Managed Services Detective Controls alle erforderlichen Ressourcen bereitstellen und konfigurieren kann.
+ `CloudFormation`— Ermöglicht dem AMS Deployment Toolkit die Bereitstellung von CFN-Stacks mit S3-Ressourcen, die von CDK benötigt werden.
+ `Amazon S3`— ermöglicht dem AMS Deployment Toolkit die Verwaltung seiner S3-Buckets.
+ `Elastic Container Registry`— ermöglicht dem AMS Deployment Toolkit die Verwaltung seines ECR-Repositorys, das für die Bereitstellung von Ressourcen verwendet wird, die von AMS CDK-Apps benötigt werden.
[Sie können die JSON-Richtliniendatei in dieser ZIP-Datei herunterladen: .zip. AWSManaged ServicesDeploymentToolkitPolicy](samples/AWSManagedServices_DeploymentToolkitPolicy.zip)
## AWS verwaltete Richtlinie: AWSManagedServices\$1EventsServiceRolePolicy
AWS Managed Services (AMS) verwendet die von `AWSManagedServices_EventsServiceRolePolicy` AWS verwaltete Richtlinie. Diese AWS verwaltete Richtlinie ist der Rolle zugeordnet, die mit dem [`AWSServiceRoleForManagedServices_Events`Service verknüpft](using-service-linked-roles.html#slr-evb-rule) ist. Die Richtlinie ermöglicht es der dienstbezogenen Rolle, Aktionen für Sie abzuschließen. Sie können diese Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AMS Accelerate](using-service-linked-roles.md).
Aktualisierungen der `AWSServiceRoleForManagedServices_Events` dienstbezogenen Rolle finden Sie unter. [Beschleunigen Sie die Aktualisierung von serviceverknüpften Rollen](using-service-linked-roles.md#slr-updates)
**Details zu Berechtigungen**
Diese Richtlinie verfügt über die folgenden Berechtigungen, damit Amazon Informationen EventBridge zur Änderung des Alarmstatus von Ihrem Konto an AWS Managed Services übermitteln kann.
+ `events`— Ermöglicht Accelerate, von Amazon EventBridge verwaltete Regeln zu erstellen. Bei dieser Regel handelt es sich um die Infrastruktur, die Sie benötigen AWS-Konto , um Informationen zur Änderung des Alarmstatus von Ihrem Konto aus zu übermitteln AWS Managed Services.
Sie können die JSON-Richtliniendatei in dieser ZIP-Datei herunterladen: [EventsServiceRolePolicy.zip.](samples/EventsServiceRolePolicy.zip)
## AWS verwaltete Richtlinie: AWSManagedServices\$1ContactsServiceRolePolicy
AWS Managed Services (AMS) verwendet die von `AWSManagedServices_ContactsServiceRolePolicy` AWS verwaltete Richtlinie. Diese AWS verwaltete Richtlinie ist der [Rolle zugeordnet, die mit dem `AWSServiceRoleForManagedServices_Contacts` Service verknüpft](using-service-linked-roles.html#slr-contacts-service) ist (siehe[Eine Spiegelreflexkamera für Kontakte für AMS Accelerate erstellen](using-service-linked-roles.md#slr-contacts-service-create)). Die Richtlinie ermöglicht es AMS Contacts SLR, Ihre Ressourcen-Tags und deren Werte auf AWS-Ressourcen einzusehen. Sie können diese Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AMS Accelerate](using-service-linked-roles.md).
**Wichtig**
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. AMS verwendet Tags, um Ihnen Verwaltungsdienste zur Verfügung zu stellen. Tags sind nicht für private oder vertrauliche Daten gedacht.
Aktualisierungen der `AWSServiceRoleForManagedServices_Contacts` serviceverknüpften Rolle finden Sie unter[Beschleunigen Sie die Aktualisierung von serviceverknüpften Rollen](using-service-linked-roles.md#slr-updates).
**Details zu Berechtigungen**
Diese Richtlinie verfügt über die folgenden Berechtigungen, damit Contacts SLR Ihre Ressourcen-Tags lesen kann, um die Kontaktinformationen der Ressourcen abzurufen, die Sie im Voraus eingerichtet haben.
+ `IAM`— Ermöglicht dem Dienst „Kontakte“, sich Tags von IAM-Rollen und IAM-Benutzern anzusehen.
+ `Amazon EC2`— Ermöglicht dem Kontaktservice, sich Tags auf EC2 Amazon-Ressourcen anzusehen.
+ `Amazon S3`— Ermöglicht Contacts Service, sich Tags in Amazon S3 S3-Buckets anzusehen. Diese Aktion verwendet eine Bedingung, um sicherzustellen, dass AMS über den HTTP-Autorisierungsheader, das SigV4-Signaturprotokoll und HTTPS mit TLS 1.2 oder höher auf Ihre Bucket-Tags zugreift. Weitere Informationen finden Sie unter [Authentifizierungsmethoden](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro) und [Amazon S3 Signature Version 4 Authentication Specific Policy Keys](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html).
+ `Tag`— Ermöglicht dem Kontaktservice, sich Tags auf anderen AWS Ressourcen anzusehen.
+ „iam: ListRoleTags „, „iam: ListUserTags „, „tag: GetResources „, „tag: „, GetTagKeys „tag: „, GetTagValues „ec2: „, DescribeTags „s3:“ GetBucketTagging
[Sie können die JSON-Richtliniendatei in dieser ZIP-Datei herunterladen: .zip. ContactsServicePolicy](samples/ContactsServicePolicy.zip)
## Beschleunigen Sie die Aktualisierung AWS verwalteter Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Accelerate an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| Aktualisierte Richtlinie — [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 4. April 2024 |
| Aktualisierte Richtlinie — [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 09. Mai 2023 |
| Aktualisierte Richtlinie — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 10. April 2023 |
| Aktualisierte Richtlinie — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | Die `ListAttachedRolePolicies` Aktion wurde aus der Richtlinie entfernt. Die Aktion hatte Ressource als Platzhalter (\$1). Da es sich bei „list“ um eine nicht mutative Aktion handelt, erhält sie Zugriff auf alle Ressourcen und der Platzhalter ist nicht zulässig. | 28. März 2023 |
| Aktualisierte Richtlinie — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | Die Richtlinie wurde aktualisiert und die Richtlinie zur Begrenzung der Zugriffsrechte hinzugefügt. | 21. März 2023 |
| Neue Richtlinie — [Contacts Service](#ContactsServiceManagedPolicy) | Accelerate hat eine neue Richtlinie hinzugefügt, mit der Sie die Kontaktinformationen Ihres Kontos anhand Ihrer Ressourcen-Tags einsehen können. Accelerate hat eine neue Richtlinie hinzugefügt, mit der Ihre Ressourcen-Tags gelesen werden können, sodass die Ressourcenkontaktinformationen abgerufen werden können, die Sie im Voraus eingerichtet haben. | 16. Februar 2023 |
| Neue Richtlinie — [Veranstaltungsservice](#EventsServiceRolePolicy) | Accelerate hat eine neue Richtlinie hinzugefügt, um Informationen zur Änderung des Alarmstatus von Ihrem Konto an AWS Managed Services zu übermitteln. Gewährt IAM-Rollen, die im Rahmen von [Wie funktioniert Alarm Manager](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) Berechtigungen zum Erstellen einer erforderlichen von Amazon EventBridge verwalteten Regel erstellt wurden. | 07. Februar 2023 |
| Aktualisierte Richtlinie — [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Es wurden S3-Berechtigungen hinzugefügt, um das Offboarding von Kunden über Accelerate zu unterstützen. | 30. Januar 2023 |
| Neue Richtlinie — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | Ermöglicht der dienstbezogenen Rolle,[Detective kontrolliert die dienstbezogene Rolle für AMS Accelerate](using-service-linked-roles.md#slr-deploy-detect-controls), die Durchführung von Aktionen zur Implementierung von Accelerate Detective Controls. | 19. Dezember 2022 |
| Neue Richtlinie — [Alarm Manager](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary) | Accelerate hat eine neue Richtlinie hinzugefügt, um Berechtigungen zur Ausführung von Alarm Manager-Aufgaben zu gewähren. Gewährt IAM-Rollen, die im Rahmen von [Wie funktioniert Alarm Manager](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) Berechtigungen zur Ausführung von Vorgängen wie der AWS Konfigurationsauswertung, AWS dem Lesen von Konfigurationen zum Abrufen der Alarm-Manager-Konfiguration und der Erstellung der erforderlichen CloudWatch Amazon-Alarme erstellt wurden. | 30. November 2022 |
| Beschleunigt hat die Nachverfolgung von Änderungen gestartet | Accelerate hat mit der Nachverfolgung von Änderungen für die von AWS ihm verwalteten Richtlinien begonnen. | 30. November 2022 |
| Neue Richtlinie — [Deployment Toolkit](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Accelerate hat diese Richtlinie für Bereitstellungsaufgaben hinzugefügt. Gewährt der serviceverknüpften Rolle [AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc)Berechtigungen für den Zugriff auf bereitstellungsbezogene Amazon S3 S3-Buckets und -Stacks und deren Aktualisierung. CloudFormation | 09. Juni 2022 |