本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性 AWS Supply Chain
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而 AWS 构建的数据中心和网络架构。
安全性是您和 AWS的共同责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中的*安全性:
+ **云安全** — AWS 负责保护在云 AWS 服务 中运行的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用的合规计划 AWS Supply Chain,请参阅按合规计划划分的[范围内的AWSAWS 服务按合规计划](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云中的安全性** — 您 AWS 服务 使用的安全性决定了您的责任。您还需要对其它因素负责,包括您的数据的敏感性、您的要求以及适用的法律法规。
此文档将帮助您了解如何在使用 AWS Supply Chain时应用责任共担模式。以下主题向您展示如何进行配置 AWS Supply Chain 以满足您的安全和合规性目标。您还将学习如何使用其他方法 AWS 服务 来帮助您监控和保护您的 AWS Supply Chain 资源。
**Topics**
+ [中的数据保护 AWS Supply Chain](data-protection.md)
+ [AWS Supply Chain 使用接口端点进行访问 (AWS PrivateLink)](vpc-interface-endpoints.md)
+ [IAM 适用于 AWS Supply Chain](security-iam.md)
+ [AWS 的托管策略 AWS Supply Chain](security-iam-awsmanpol.md)
+ [合规性验证 AWS Supply Chain](compliance-validation.md)
+ [韧性在 AWS Supply Chain](disaster-recovery-resiliency.md)
+ [日志和监控 AWS Supply Chain](monitoring-overview.md)
+ [使用管理 AWS Supply Chain 事件 Amazon EventBridge](eventbridge-integration.md)
# 中的数据保护 AWS Supply Chain
分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于中的数据保护 AWS Supply Chain。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅*AWS CloudTrail 用户指南*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括您使用控制台、API AWS Supply Chain 或以其他 AWS 服务 方式使用控制台 AWS CLI、API 或时 AWS SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
## 数据由 AWS Supply Chain
为了限制特定 AWS 供应链实例的授权用户可以访问的数据,供应链中保存的数据按您的 AWS 账户 ID 和 AWS AWS 供应链实例 ID 进行隔离。
AWS Supply Chain 处理各种供应链数据,例如用户信息、从数据连接器中提取的信息以及库存详情。
## 选择退出偏好
如 [AWS服务条款](https://aws.amazon.com/service-terms/)所述 AWS Supply Chain,我们可能会使用和存储由处理的您的内容。如果您想选择退出使用或存储您的内容 AWS Supply Chain ,可以在 AWS Organizations 中创建退出政策。有关创建选择退出策略的更多信息,请参阅 [AI 服务选择退出策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html)语法和示例。
## 静态加密
归类为 PII 的联系人数据或代表客户内容的数据(包括 Amazon Q 中 AWS Supply Chain 使用的内容)将使用有时间限制且特定于实例的密钥进行静态加密(即在将其放入、存储或保存到磁盘之前)。 AWS Supply Chain AWS Supply Chain
Amazon S3 服务器端加密用于使用每个客户账户独有的 AWS Key Management Service 数据密钥对所有控制台和 Web 应用程序数据进行加密。有关的信息 AWS KMS keys,请参阅[什么是 AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 在《 AWS Key Management Service 开发人员指南》中。
**注意**
AWS Supply Chain 功能供应计划和 N 层可见性不支持使用提供的 KMS-C data-at-rest MK 进行加密。
## 传输中加密
包括在 Amazon Q 中与 AWS 供应链 AWS Supply Chain 交换的内容在内的数据在用户的网络浏览器和 AWS 供应链之间传输时均使用行业标准 TLS 加密进行保护。
## 密钥管理
AWS Supply Chain 部分支持 KMS-CMK。
有关更新 AWS KMS 密钥的信息 AWS Supply Chain,请参阅[第 2 步:创建实例](creating-instance.md)。
## 互联网络流量隐私
**注意**
AWS Supply Chain 不支持 PrivateLink。
的虚拟私有云 (VPC) 终端节点 AWS Supply Chain 是 VPC 内的逻辑实体,仅允许连接 AWS Supply Chain。VPC 将请求路由到 VPC AWS Supply Chain 并将响应路由回 VPC。有关更多信息,请参阅《[VPC 用户指南》中的 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)。
## 如何在中 AWS Supply Chain 使用补助 AWS KMS
AWS Supply Chain 需要获得[授权](/kms/latest/developerguide/grants.html)才能使用您的客户托管密钥。
AWS Supply Chain 使用**CreateInstance**操作期间传递的 AWS KMS 密钥创建多个授权。 AWS Supply Chain 通过向发送[/kms/latest/APIReference/API_CreateGrant.html](/kms/latest/APIReference/API_CreateGrant.html)请求来代表您创建授权 AWS KMS。中的授权 AWS KMS 用于授予对客户账户中 AWS KMS 密钥的 AWS Supply Chain 访问权限。
**注意**
AWS Supply Chain 使用它自己的授权机制。将用户添加到后 AWS Supply Chain,您就无法使用该 AWS KMS 策略拒绝列出同一个用户。
AWS Supply Chain 将拨款用于以下用途:
+ 向发送**GenerateDataKey**请求 AWS KMS 以[/forecast/latest/dg/data-protection.html#kms-grants](/forecast/latest/dg/data-protection.html#kms-grants)存储在您的实例中的数据。
+ 向发送**解密**请求 AWS KMS 以读取与实例关联的加密数据。
+ 添加*DescribeKey*CreateGrant**、和*RetireGrant*权限,以便在将数据发送到 Amazon Forecast 等其他 AWS 服务时确保您的数据安全。
您可以随时撤销授予访问权限,或删除服务对客户托管密钥的访问权限。如果这样做,将 AWS Supply Chain 无法访问由客户托管密钥加密的任何数据,这会影响依赖该数据的操作。
### 监控您的加密情况 AWS Supply Chain
以下示例是`Encrypt``GenerateDataKey`、和`Decrypt`监控 KMS 操作 AWS CloudTrail 的事件,这些操作由调用 AWS Supply Chain 以访问由您的客户托管密钥加密的数据:
------
#### [ Encrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::test/rawEvent/bf6666c1-111-48aaca-b6b0-dsadsadsa3432423/noFlowName/scn.data.inboundorder/20240306_223934_536"
},
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"keySpec": "AES_222"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
# AWS Supply Chain 使用接口端点进行访问 (AWS PrivateLink)
您可以使用 AWS PrivateLink 在您的 VPC 和之间创建私有连接 AWS Supply Chain。您可以像在 VPC 中 AWS Supply Chain 一样进行访问,无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 AWS Supply Chain。
您可以通过创建由 AWS PrivateLink提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口,用作发往 AWS Supply Chain的流量的入口点。
有关更多信息,请参阅*AWS PrivateLink 指南 AWS PrivateLink*中的[AWS 服务 直通访问](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。
## 的注意事项 AWS Supply Chain
在为设置接口终端节点之前 AWS Supply Chain,请查看*AWS PrivateLink 指南*中的[注意事项](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。
AWS Supply Chain 支持通过接口端点调用其所有 API 操作。
## 为创建接口终端节点 AWS Supply Chain
您可以创建用于 AWS Supply Chain 使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 的接口终端节点。有关更多信息,请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。
AWS Supply Chain 使用以下服务名称创建接口终端节点:
```
com.amazonaws.region.scn
```
如果为接口端点启用私有 DNS,则可使用其默认区域 DNS 名称向 AWS Supply Chain 发出 API 请求。例如,`scn.region.amazonaws.com`。
## 为 VPC 端点创建端点策略
端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认终端节点策略允许 AWS Supply Chain 通过接口终端节点进行完全访问。要控制允许 AWS Supply Chain 从您的 VPC 访问权限,请将自定义终端节点策略附加到接口终端节点。
端点策略指定以下信息:
+ 可以执行操作的委托人(AWS 账户、IAM 用户和 IAM 角色)
+ 可执行的操作
+ 可对其执行操作的资源
有关更多信息,请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
**示例:用于 AWS Supply Chain 操作的 VPC 终端节点策略**
以下是自定义端点策略的一个示例。将此策略附加到接口端点时,其会向所有资源上的所有主体授予对列出的 AWS Supply Chain 操作的访问权限。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"scn:action-1",
"scn:action-2",
"scn:action-3"
],
"Resource":"*"
}
]
}
```
# IAM 适用于 AWS Supply Chain
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以*进行身份验证*(登录)和*授权*(拥有权限)使用 AWS Supply Chain 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
+ [如何 AWS Supply Chain 与 IAM 配合使用](security_iam_service-with-iam.md)
+ [基于身份的策略示例 AWS Supply Chain](security_iam_id-based-policy-examples.md)
+ [对 AWS Supply Chain 身份和访问进行故障排除](security_iam_troubleshoot.md)
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[对 AWS Supply Chain 身份和访问进行故障排除](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[如何 AWS Supply Chain 与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[基于身份的策略示例 AWS Supply Chain](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关需要根用户凭证的任务,请参阅《IAM 用户指南》**中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 联合身份
作为最佳实践,要求人类用户使用与身份提供商的联合身份验证才能 AWS 服务 使用临时证书进行访问。
*联合身份是指*来自您的企业目录、Web 身份提供商的用户 Directory Service ,或者 AWS 服务 使用来自身份源的凭据进行访问的用户。联合身份代入可提供临时凭证的角色。
要集中管理访问权限,建议使用。 AWS IAM Identity Center有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 如何 AWS Supply Chain 与 IAM 配合使用
在使用 IAM 管理访问权限之前 AWS Supply Chain,请先了解有哪些 IAM 功能可供使用 AWS Supply Chain。
**您可以搭配使用的 IAM 功能 AWS Supply Chain**
| IAM 功能 | AWS Supply Chain 支持 |
| --- | --- |
| [基于身份的策略](#security_iam_service-with-iam-id-based-policies) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [策略操作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [策略资源](#security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [策略条件键](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [转发访问会话(FAS)](#security_iam_service-with-iam-principal-permissions) | 是 |
| [服务角色](#security_iam_service-with-iam-roles-service) | 是 |
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked) | 否 |
要全面了解 AWS Supply Chain 以及其他 AWS 服务如何与大多数 IAM 功能配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 基于身份的策略 AWS Supply Chain
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 基于身份的策略示例 AWS Supply Chain
要查看 AWS Supply Chain 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS Supply Chain](security_iam_id-based-policy-examples.md)
## 内部基于资源的政策 AWS Supply Chain
**支持基于资源的策略:**否
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委托人可以包括账户、用户、角色、联合用户或 AWS 服务。
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为基于资源的策略中的主体。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 的政策行动 AWS Supply Chain
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
正在执行的策略操作在操作前 AWS Supply Chain 使用以下前缀:
```
scn
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"scn:action1",
"scn:action2"
]
```
要查看 AWS Supply Chain 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS Supply Chain](security_iam_id-based-policy-examples.md)
## 的政策资源 AWS Supply Chain
**支持策略资源:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
要查看 AWS Supply Chain 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS Supply Chain](security_iam_id-based-policy-examples.md)
## 的策略条件密钥 AWS Supply Chain
**支持特定于服务的策略条件键:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
要查看 AWS Supply Chain 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS Supply Chain](security_iam_id-based-policy-examples.md)
## 将临时证书与 AWS Supply Chain
**支持临时凭证:**是
临时证书提供对 AWS 资源的短期访问权限,并且是在您使用联合身份或切换角色时自动创建的。 AWS 建议您动态生成临时证书,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## 转发访问会话 AWS Supply Chain
**支持转发访问会话(FAS):**是
转发访问会话 (FAS) 使用调用主体的权限 AWS 服务,再加上 AWS 服务 向下游服务发出请求的请求。有关发出 FAS 请求时的策略详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## 的服务角色 AWS Supply Chain
**支持服务角色:**是
服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
更改服务角色的权限可能会中断 AWS Supply Chain 功能。只有在 AWS Supply Chain 提供操作指导时才编辑服务角色。
## 的服务相关角色 AWS Supply Chain
**支持服务相关角色:**否
服务相关角色是一种与服务相关联的 AWS 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ,并且归服务所有。IAM 管理员可以查看但不能编辑服务相关角色的权限。
有关创建或管理服务相关角色的详细信息,请参阅[使用 IAM 的AWS 服务 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在表中查找**服务相关角色**列中包含 `Yes` 额表。选择**是**链接以查看该服务的服务相关角色文档。
# 基于身份的策略示例 AWS Supply Chain
默认情况下,用户和角色无权创建或修改 AWS Supply Chain 资源。它们还无法使用 AWS 管理控制台、AWS 命令行界面(CLI)或 AWS API 执行任务。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。管理员随后可以向角色添加 IAM 策略,用户可以代入角色。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》中的[创建 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
## 策略最佳实践
基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除 AWS Supply Chain 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
# 对 AWS Supply Chain 身份和访问进行故障排除
使用以下信息来帮助您诊断和修复在使用 AWS Supply Chain 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在以下位置执行操作 AWS Supply Chain](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我想允许我以外的人 AWS 账户 访问我的 AWS Supply Chain 资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在以下位置执行操作 AWS Supply Chain
如果 AWS 管理控制台 告诉您,您无权执行某个操作,则必须联系您的管理员寻求帮助。管理员是指提供用户名和密码的人员。
当 `mateojackson` IAM 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `scn:GetWidget` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: scn:GetWidget on resource: my-example-widget
```
在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 `scn:GetWidget` 操作访问 `my-example-widget` 资源。
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给。 AWS Supply Chain
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 AWS Supply Chain中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想允许我以外的人 AWS 账户 访问我的 AWS Supply Chain 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解是否 AWS Supply Chain 支持这些功能,请参阅[如何 AWS Supply Chain 与 IAM 配合使用](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# AWS 的托管策略 AWS Supply Chain
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AWSSupplyChainFederationAdminAccess
AWSSupplyChainFederationAdminAccess 为 AWS Supply Chain 联合用户提供对 AWS Supply Chain 应用程序的访问权限,包括在 AWS Supply Chain 应用程序中执行操作所需的权限。该策略提供对 IAM Identity Center 用户和群组的管理权限,并附加到由 AWS Supply Chain 为您创建的角色。您不应将该 AWSSupplyChainFederationAdminAccess 策略附加到任何其他 IAM 实体。
尽管此策略 AWS Supply Chain 通过 scn: \$1 权限提供所有访问权限,但该 AWS Supply Chain 角色决定了您的权限。该 AWS Supply Chain 角色仅包含所需的权限,没有管理员权限 APIs。
**权限详细信息**
该策略包含以下权限:
+ `Chime`— 提供在 Amazon Chime 下创建或删除用户的权限 AppInstance;提供管理频道、频道成员和版主的权限;提供向频道发送消息的权限。Chime 操作的范围仅限于标有 “SCNInstanceID” 的应用程序实例。
+ `AWS IAM Identity Center (AWS SSO)`— 提供在 IAM Identity Center 中关联和取消关联用户配置文件、列出配置文件关联、列出应用程序分配、描述应用程序、描述实例以及获取应用程序分配配置所需的权限。
+ `AppFlow` — 提供创建、更新和删除连接配置文件的权限;提供创建、更新、删除、启动和停止流的权限;提供对标记和取消标记流以及描述流记录的权限。
+ `Amazon S3` — 提供列出所有存储桶的权限。使用资源 arn arn: aws: s3:::-\$1 提供 GetBucketLocation GetObject、、和 ListBucket 访问存储桶的权限。 GetBucketPolicy PutObject aws-supply-chain-data
+ `SecretsManager` — 提供创建机密和更新机密策略的权限。
+ `KMS`— 为 Amazon AppFlow 服务提供对列表密钥和密钥别名的访问权限。为 DescribeKey标有 key-value 的 KMS 密钥提供 CreateGrant 和 ListGrants 权限 aws-suply-chain-access:true;提供创建密钥和更新密钥策略的访问权限。
权限(kms*: ListKeys*、kms*: ListAliases*、kms*: GenerateDataKey、kms: 和 *kms: decrypt)*不限于亚马逊 AppFlow ,这些权限可以授予您账户中的任何 AWS KMS 密钥*。
要查看此策略的权限,请参阅[AWSSupplyChainFederationAdminAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupplyChainFederationAdminAccess)中的 AWS 管理控制台。
## AWS Supply Chain AWS 托管策略的更新
下表列出了 AWS Supply Chain 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS Supply Chain 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess) - 更新的策略 | AWS Supply Chain 更新了托管策略,允许联合用户访问 IAM Identity Center 中使用客户托管 KMS 密钥加密的数据(CMKs)。 | 2025 年 10 月 30 日 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess) - 更新的策略 | AWS Supply Chain 更新了托管策略,允许联合用户访问`ListApplicationAssignments`、`DescribeApplication``DescribeInstance`、和 IAM Identity Center 中的`GetApplicationAssignmentConfiguration`操作。 | 2024 年 12 月 10 日 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess) - 更新的策略 | AWS Supply Chain 更新了托管策略,允许联合用户访问 IAM 身份中心中的 ListProfileAssociations 操作。 | 2023 年 11 月 1 日 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess) - 更新的策略 | AWS Supply Chain 更新了托管策略,允许联合用户使用资源 arn: aws: s3::: aws-supply-chain-data-\$1 访问 PutObject 和 GetObject 操作专用 S3 存储桶。 | 2023 年 9 月 21 日 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess):新策略 | AWS Supply Chain 添加了允许联合用户访问 AWS Supply Chain 应用程序的新策略。这包括在 AWS Supply Chain 应用程序中执行操作所需的权限。 | 2023 年 3 月 1 日 |
| AWS Supply Chain 开始跟踪更改 | AWS Supply Chain 开始跟踪其 AWS 托管策略的更改。 | 2023 年 3 月 1 日 |
# 合规性验证 AWS Supply Chain
AWS Supply Chain 作为多个合规计划的一部分,第三方审计师对安全性和 AWS 合规性进行评估。其中包括 SOC、PCI、FedRAMP、HIPAA 及其他。
有关 AWS 服务 属于特定合规计划范围的列表,请参阅按合规计划划分的[范围内的AWS 服务按合规计划](https://aws.amazon.com/compliance/services-in-scope/)。有关一般信息,请参阅[AWS 合规计划AWS](https://aws.amazon.com/compliance/programs/)。
您可以使用下载第三方审计报告 AWS Artifact。有关更多信息,请参阅中的 “[下载报告” 中的 “ AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您在使用 AWS Supply Chain 时的合规责任取决于数据的敏感性、贵公司的合规目标以及适用的法律和法规。 AWS 提供了以下资源来帮助实现合规性:
+ [安全性与合规性快速入门指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — 这些部署指南讨论了架构注意事项,并提供了部署以安全性和合规性为重点的基准 AWS 环境的步骤。
+ [HIPAA 安全与合规架构白皮书 — 本白皮书](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html)描述了公司如何使用来 AWS 创建符合 HIPAA 标准的应用程序。
+ [AWS 合规资源AWS](https://aws.amazon.com/compliance/resources/) — 此工作簿和指南集可能适用于您所在的行业和所在地区。
+ **《AWS Config 开发人员指南》中的[使用规则评估资源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) — 此指南评测您的资源配置对内部实践、行业指南和法规的遵循情况。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— 这 AWS 服务 可以全面了解您的安全状态, AWS 以帮助您检查是否符合安全行业标准和最佳实践。
# 韧性在 AWS Supply Chain
AWS 全球基础设施是围绕 AWS 区域 可用区构建的。 AWS 区域 提供多个物理隔离、隔离的可用区。通过低延迟、高吞吐量和高度冗余的网络进行连接。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础结构相比,可用区具有更高的可用性、容错性和可扩展性。
有关 AWS 区域 和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
除了 AWS 全球基础架构外,还 AWS Supply Chain 提供多项功能来帮助支持您的数据弹性和备份需求。
# 日志和监控 AWS Supply Chain
日志和监控是维护 AWS 供应链和其他 AWS 解决方案的可靠性、可用性和性能的重要组成部分。 AWS 提供了 AWS CloudTrail 监控工具,用于监视 AWS 供应链,在出现问题时报告并在适当时自动采取行动。
**注意**
APIs 仅从 AWS Supply Chain 控制台调用的会被捕获 AWS CloudTrail。
*AWS CloudTrail* 捕获由您的 AWS 账户 或代表该账户发出的 API 调用和相关事件,并将日志文件传输到您指定的 Amazon S3 桶。您可以标识哪些用户和账户调用了 AWS、发出调用的源 IP 地址以及调用的发生时间。你可以在 *scn.* amazonaws.com 下查看 AWS 供应链事件。有关更多信息,请参阅 [AWS CloudTrail 《用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
**注意**
请注意以下几点 AWS Supply Chain:
当您邀请无权访问的用户时 AWS Supply Chain,这些用户不会在从 Web 应用程序收到的通知中收到信息。受邀用户会收到一封电子邮件通知,其中包含指向 Web 应用程序的链接。只有拥有所需的用户权限,他们才能登录并查看通知中的内容。
无论是否拥有特定洞察的用户权限,所有用户都可以查看洞察聊天消息。
作为应用程序管理员,当你向 AWS Supply Chain 实例添加用户时,他们可以访问 AWS KMS key。您可以管理添加或删除用户的用户权限。有关用户权限的更多信息,请参阅[管理用户权限角色](adding-users-groups.md)。
## AWS Supply Chain 中的数据事件 CloudTrail
**注意**
下面 APIs 列出[AWS Supply Chain 网络应用程序 APIs](webappi.md)的 Web 应用程序列在中的数据事件中 CloudTrail。
[数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)可提供对资源或在资源中所执行资源操作(例如,读取或写入 Amazon S3 对象)的相关信息。这些也称为数据面板操作。数据事件通常是高容量活动。默认情况下, CloudTrail 不记录数据事件。 CloudTrail **事件历史**记录不记录数据事件。
记录数据事件将收取额外费用。有关 CloudTrail 定价的更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
您可以使用 CloudTrail 控制台或 CloudTrail API 操作记录 AWS Supply Chain 资源类型的数据事件。 AWS CLI
+ 要使用 CloudTrail 控制台记录数据事件,请创建[跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html#creating-a-trail-in-the-console)或[事件数据存储](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html)以记录数据事件,或者[更新现有的跟踪或事件数据存储](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console)以记录数据事件。
1. 选择**数据事件**来记录数据事件。
1. 在**数据事件类型**列表中,选择要对其记录数据事件的资源类型。
1. 选择要使用的记录选择器模板。可以记录资源类型的所有数据事件、记录所有 `readOnly` 事件、记录所有 `writeOnly` 事件,或者创建自定义记录选择器模板来根据 `readOnly`、`eventName` 和 `resources.ARN` 字段进行筛选。
+ 要使用记录数据事件 AWS CLI,请将`--advanced-event-selectors`参数配置为将`eventCategory`字段设置为等于`Data`并将`resources.type`字段设置为资源类型值。可以添加条件来根据 `readOnly`、`eventName` 和 `resources.ARN` 字段的值进行筛选。
+ 要将跟踪配置为记录数据事件,请运行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-event-selectors.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-event-selectors.html) 命令。有关更多信息,请参阅[使用 AWS CLI记录跟踪的数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-CLI-trail-examples)。
+ 要将事件数据存储配置为记录数据事件,请运行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html) 命令以创建新的事件数据存储来记录数据事件,或者运行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html) 命令来更新现有的事件数据存储。有关更多信息,请参阅[使用 AWS CLI记录事件数据存储的数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-CLI-eds-examples)。
\$1可以将高级事件选择器配置为根据 `eventName`、`readOnly` 和 `resources.ARN` 字段进行筛选,从而仅记录那些对您很重要的事件。有关这些字段的更多信息,请参阅[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)。
## AWS Supply Chain 中的管理事件 CloudTrail
[管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)提供有关对您 AWS 账户中的资源执行的管理操作的信息。这些也称为控制面板操作。默认情况下, CloudTrail 记录管理事件。
AWS Supply Chain 将所有控制平面操作记录 CloudTrail 为管理事件。
# AWS Supply Chain 网络应用程序 APIs
本节中 APIs 列出的由 AWS Supply Chain 应用程序代表联合用户调用。 APIs 这些内容在 CloudTrail 日志中不可见,也未在《*服务授权参考*》文档中捕获,请参阅[AWS Supply Chain](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssupplychain.html)。对 APIs 这些内容的访问由基于联合用户角色权限的 AWS Supply Chain 应用程序控制。你不应该为了防止干扰应用程序而试图控制 APIs 对这些内容的 AWS Supply Chain 访问。
# 用户角色
APIs 以下内容用于管理中的用户、用户角色、用户通知和聊天消息 AWS Supply Chain。
```
scn:AddMembersToResourceBasedChat
scn:AssignGalaxyRoleToUser
scn:AssociateUser
scn:BatchGetUsers
scn:BatchMarkNotificationAsDelivered
scn:CreateRole
scn:DeleteRole
scn:DescribeChatForUser
scn:GetAccessDetailConfig
scn:GetChatPreferencesForUser
scn:GetMessagingSessionConnectionDetails
scn:GetNotificationsPreference
scn:GetOrCreateChimeUser
scn:GetOrCreateResourceBasedChat
scn:GetOrCreateUserBasedChat
scn:GetOrganizationInfo
scn:GetResourceBasedChatArn
scn:GetUserDetails
scn:ListChatMembers
scn:ListChatMessages
scn:ListChatModerators
scn:ListChats
scn:ListRoles
scn:ListUserNotifications
scn:ListUsersWithRole
scn:MarkNotificationAsDelivered
scn:MarkNotificationAsRead
scn:RemoveMemberFromResourceBasedChat
scn:RemoveUser
scn:SearchChimeUsers
scn:SearchUsers
scn:SendChatMessage
scn:SetNotificationsPreference
scn:UpdateChatPreferencesForUser
scn:UpdateChatReadMarker
scn:UpdateOrganizationInfo
scn:UpdateRole
scn:UpdateUser
```
# 数据湖
APIs 以下内容用于在数据湖中创建和管理数据流和连接。
```
scn:CreateConnection
scn:CreateDataflow
scn:CreateDeleteDataByPartitionJob
scn:CreateExtractFlows
scn:CreatePresignedUrl
scn:CreateSampleParsingJob
scn:CreateSapODataConnection
scn:CreateUpdateDatasetSchemaJob
scn:DeleteConnection
scn:DeleteDataflow
scn:DeleteExtractFlows
scn:DeleteSapODataConnection
scn:describeDatasetGroup
scn:DescribeDataset
scn:DescribeJob
scn:GetConnection
scn:GetCreateExtractFlowsStatus
scn:GetDataflow
scn:ListConnections
scn:ListCustomerFiles
scn:ListDataflows
scn:ListDataflowStats
scn:ListDatasets
scn:UpdateConnection
scn:UpdateDataflow
scn:UpdateExtractFlow
```
# 见解
Insights 应用程序使用 APIs 以下内容来管理筛选条件、关注列表和查看库存变化。
```
scn:AddModeratorToResourceBasedChat
scn:ComputePostRebalancedQuantities
scn:ComputePostRebalancedQuantitiesV1
scn:CreateInsightFilter
scn:CreateInsightSubscription
scn:DeleteInsightFilter
scn:DeleteInsightSubscription
scn:GetInsightLineItem
scn:GetInsightSubscription
scn:GetInstanceAttribute
scn:GetInstanceRequiredDatasetAvailabilityStatus
scn:GetKpiData
scn:GetModelEndpointStatus
scn:GetPIVForProduct
scn:GetPIVForSite
scn:GetPIVForSiteAndProduct
scn:GetPIVForSitesAndProducts
scn:GetProducts
scn:GetProductSummaryAggregates
scn:GetSites
scn:GetSiteSummaryAggregates
scn:IsUserAuthorizedForInsightLineItem
scn:ListCustomAttributeValues
scn:ListGeographiesAsGalaxyAdmin
scn:ListInsightFilters
scn:ListInsightLineItems
scn:ListInsightSubscriptions
scn:ListInventoryQuantityAggregates
scn:ListInventoryRisksBySiteAndProduct
scn:ListInventorySummariesBySite
scn:ListPIVProductsBySite
scn:ListProductHierarchiesAsGalaxyAdmin
scn:ListProducts
scn:ListProductsAsGalaxyAdmin
scn:ListSites
scn:ListUsers
scn:PotentiallyComputeThenListRebalancingOptionsForInsightLineItem
scn:RegisterInstanceAttribute
scn:UpdateInsightFilter
scn:UpdateInsightLineItemStatus
scn:UpdateInsightSubscription
scn:UpdateRebalancingOptionStatus
scn:UpdateRebalancingOptionStatusV1
```
# 需求规划功能
APIs 以下内容 AWS Supply Chain 用于创建和管理预测、需求计划或工作簿。
```
scn:AssociateDatasetWithWorkbook
scn:CreateBaselineForecast
scn:CreateDemandPlan
scn:CreateDemandPlanningCycle
scn:CreateDemandPlanningDatasetExportJob
scn:CreateDerivedForecast
scn:CreateWorkbook
scn:DeleteDemandForecastConfig
scn:DeleteDemandPlanningCycle
scn:DeleteDerivedForecast
scn:DeleteWorkbook
scn:DescribeBaselineForecast
scn:DescribeDemandPlanningCycleAccuracyJob
scn:DescribeDerivedForecast
scn:DescribePlanningCycle
scn:DescribeWorkbook
scn:DisassociatePlanningCycle
scn:GetDemandForecastConfig
scn:GetDemandPlan
scn:GetDemandPlanningCycle
scn:GetDemandPlanningCycleAccuracy
scn:GetDemandPlanningDatasetJob
scn:ListDemandPlans
scn:ListDerivedForecasts
scn:ListForecastingJobs
scn:ListPlanningCycles
scn:ListWorkbooks
scn:PublishDemandPlan
scn:PutDemandForecastConfig
scn:StartDemandPlanningCycleAccuracyJob
scn:StartForecastingJob
scn:UpdateDemandPlan
scn:UpdateDemandPlanningCycleMetadata
scn:UpdateWorkbook
```
# 供应计划
APIs 以下内容 AWS Supply Chain 用于创建和管理供应计划。
```
scn:CreateReplenishmentPipeline
scn:GetReplenishmentPipeline
scn:UpdateReplenishmentPipeline
scn:ListReplenishmentPipelinesByInstance
scn:GetInstanceReplenishmentConfig
scn:CreateBacktest
scn:CreateReplenishmentReviewInstanceConfig
scn:GetReplenishmentReviewInstanceConfig
scn:ListReplenishmentVendors
scn:GetExceptionsSupplyInsightsStatistics
scn:GetPorSupplyInsightsStatistics
scn:GetPlanToPOConversionAnalytics
scn:GetPurchasePlanStatistics
scn:ListPlanExceptions
scn:ListPurchaseOrderRequestLines
scn:UpdatePurchaseOrderRequestLines
scn:ListBomPurchasePlans
scn:ListBomProductionPlans
scn:ListBomTransferPlans
scn:ListBomInsights
scn:ListBomProcesses
scn:ExportBomPlans
scn:GetBomPlanSummary
scn:GetDashboardAnalytics
scn:GetPurchaseOrderRequestExplanation
scn:ListBomSupplyPlan
scn:GetBomPlanRecordDetails
scn:GetBomPlanSummaryAnalytics
scn:ListBomPurchaseOrders
scn:ListBomTransferOrders
scn:ListBomProductionOrders
scn:ExportAllExplodedBoms
scn:ExportBillOfMaterials
scn:ExportInventoryPolicy
scn:ExportProductionProcess
scn:ExportSourcingRule
scn:ExportTransportationLane
scn:ExportVendorLeadTime
scn:ImportBillOfMaterials
scn:ImportInventoryPolicy
scn:ImportProductionProcess
scn:ImportSourcingRule
scn:ImportTransportationLane
scn:ImportVendorLeadTime
```
# 亚马逊 Q in AWS Supply Chain
APIs 以下内容在 Amazon Q 中使用 AWS Supply Chain。
```
scn:GetQMessage
scn:ListQMessages
scn:PutQMessageFeedback
scn:SendQMessage
scn:GetQEnablementStatus
scn:UpdateQEnablementStatus
```
# 使用管理 AWS Supply Chain 事件 Amazon EventBridge
使用 EventBridge,您可以自动执行其他服务,以响应 Step Functions 标准工作流程的执行状态变化。
Amazon EventBridge 是一项无服务器服务,它使用事件将应用程序组件连接在一起,使您可以更轻松地构建可扩展的事件驱动应用程序。事件驱动型架构是一种构建松耦合软件系统的风格,这些系统通过发出和响应事件 来协同工作。事件代表资源或环境中的变化。
下面将介绍操作方式:
与许多 AWS 服务一样, AWS Supply Chain 生成事件并将其发送到 EventBridge 默认事件总线。(默认事件总线会在每个 AWS 账户中自动配置。) 事件总线是接收事件并将其传送到零个或多个目的地或*目标*的路由器。为事件总线指定的规则会在事件到达时进行评估。每条规则都会检查事件是否与规则的*事件模式*相匹配。如果事件确实匹配,事件总线会将事件发送到指定的目标。
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配,则 EventBridge 将该事件发送到为该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/aws-supply-chain/latest/adminguide/images/eventbridge-integration-how-it-works.png)
**Topics**
+ [AWS Supply Chain 事件](#supported-events)
+ [使用 EventBridge 规则交付 AWS Supply Chain 事件](#eventbridge-using-events-rules)
+ [AWS Supply Chain 事件详情参考](events-detail-reference.md)
## AWS Supply Chain 事件
AWS Supply Chain 自动将以下事件发送到默认 EventBridge 事件总线。与规则的事件模式相匹配的事件将[按](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html#eb-service-event-delivery-level)原样传送到指定的目标。事件可能不按顺序传送。
有关更多信息,请参阅《Amazon EventBridge 用户指南》**中的 [EventBridge 事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)。
| 事件详细信息类型 | 说明 |
| --- | --- |
| [AWS 供应链数据集成状态变更](events-detail-reference.md#event-detail-event-name-1-no-caps-or-spaces) | 显示每个已收录到 AWS Supply Chain的文件的状态。 |
## 使用 EventBridge 规则交付 AWS Supply Chain 事件
要让 EventBridge 默认事件总线向目标发送 AWS Supply Chain 事件,必须创建规则。每条规则都包含一个事件模式,该模式与事件总线上接收到的每个事件进行 EventBridge 匹配。如果事件数据与指定的事件模式匹配,则将该事件 EventBridge 传送到规则的目标。
有关创建事件总线规则的全面说明,请参阅《EventBridge 用户指南》**中的[创建对事件作出反应的规则](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)。
### 创建与事件匹配 AWS Supply Chain 的事件模式
每个事件模式是一个 JSON 对象,其中包含:
+ 标识发送事件的服务的 `source` 属性。对于 AWS Supply Chain 事件,来源是`aws.supplychain`。
+ (可选):包含要匹配的事件类型数组的 `detail-type` 属性。
+ (可选):包含要匹配的其他事件数据的 `detail` 属性。
例如,以下事件模式与来自的所有`AWS Supply Chain Data Integration Status Change`事件匹配 AWS Supply Chain:
```
{
"source": ["aws.supplychain"],
"detail-type": ["AWS Supply Chain Data Integration Status Change"]
}
```
有关写入事件模式的更多信息,请参阅《EventBridge 用户指南》**中的[事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)。
# AWS Supply Chain 事件详情参考
来自 AWS 服务的所有事件都有一组公共字段,其中包含有关事件的元数据,例如作为事件来源的 AWS 服务、事件的生成时间、事件发生的账户和区域等。有关这些常规字段的定义,请参阅《Amazon EventBridge 用户指南》**中的[事件结构参考](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html)。
此外,每个事件都有一个 `detail` 字段,其中包该特定事件专有的数据。下面的参考定义了各种 AWS Supply Chain 事件的详细信息字段。
使用 EventBridge 来选择和管理 AWS Supply Chain 事件时,记住以下几点很有用:
+ 来自的所有事件的`source`字段均设置 AWS Supply Chain 为`aws.supplychain`。
+ `detail-type` 字段指定事件类型。
例如 `AWS Supply Chain Data Integration Status Change`。
+ `detail` 字段包含该特定事件专有的数据。
有关如何构造使规则能够匹配 AWS Supply Chain 事件的事件模式的信息,请参阅《Amazon EventBridge 用户指南》**中的[事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)。
有关事件及其 EventBridge 处理方式的更多信息,请参阅《*Amazon EventBridge 用户指南*》中的[Amazon EventBridge 事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)。
## AWS 供应链数据集成状态变更
以下是该`AWS Supply Chain Data Integration Status Change event`事件的示例。
```
{
"version": "0",
"id": "instanceID",
"detail-type": "AWS Supply Chain Data Integration Status Change",
"source": "aws.supplychain",
"account": "acccountID",
"time": "2024-03-30T12:26:13Z",
"region": "us-east-1",
"resources": [],
"detail": {
"version": "1.0",
"instanceId": "instanceID",
"flowArn": "arn:aws:scn:region:acccountID:instance/instanceID/data-integration-flows/flowname",
"flowExecutionId": "flowExecutionId",
"status": "IN_PROGRESS",
"startTime": "2024-03-30T12:26:13Z",
"endTime": "",
"message": "",
"sourceType": "S3",
"sourceInfo": {
"s3Source": {
"bucketName": "aws-supply-chain-data-instanceID",
"key": "flowname"
}
}
}
}
```
`endTime`仅在*状态*为失败或成功时可用。