本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS Health
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS Health 具有以下托管策略。
**Contents**
+ [AWS 托管策略:AWSHealth\$1EventProcessorServiceRolePolicy](#security-iam-awsmanpol-Health_EventProcessorServiceRolePolicy)
+ [AWS 托管策略:Health\$1OrganizationsServiceRolePolicy](#security-iam-awsmanpol-Health_OrganizationsServiceRolePolicy)
+ [AWS 托管策略:AWSHealthFullAccess](#security-iam-awsmanpol-AWSHealthFullAccess)
+ [AWS Health AWS 托管策略的更新](#security-iam-awsmanpol-updates)
## AWS 托管策略:AWSHealth\$1EventProcessorServiceRolePolicy
AWS Health 使用[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_EventProcessorServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_EventProcessorServiceRolePolicy$jsonEditor) AWS 托管策略。此托管策略附加到 `AWSServiceRoleForHealth_EventProcessor` 服务关联角色。该策略允许服务相关角色为您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 [将服务相关角色用于 AWS Health](using-service-linked-roles.md)。
托管策略具有以下权限, AWS Health 允许访问 AWS 事件检测和响应的 Amazon EventBridge 规则。
**权限详细信息**
该策略包含以下权限。
+ `events`— 描述和删除 EventBridge 规则,并描述和更新这些规则的目标。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Condition": {
"StringEquals": {"events:ManagedBy": "event-processor.health.amazonaws.com"}
},
"Action": [
"events:DeleteRule",
"events:RemoveTargets",
"events:PutTargets",
"events:PutRule"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"events:ListTargetsByRule",
"events:DescribeRule"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
有关对策略的更改列表,请参阅 [AWS Health AWS 托管策略的更新](#security-iam-awsmanpol-updates)。
## AWS 托管策略:Health\$1OrganizationsServiceRolePolicy
AWS Health 使用[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy$jsonEditor) AWS 托管策略。此托管策略附加到 `AWSServiceRoleForHealth_Organizations` 服务关联角色。该策略允许服务相关角色为您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 [将服务相关角色用于 AWS Health](using-service-linked-roles.md)。
此策略授予的权限 AWS Health 允许访问 Health Organization 视图所需的 AWS Organizations 详细信息。
**权限详细信息**
该策略包含以下权限。
+ `organizations`— 描述中的帐户 AWS Organizations 以及可以与 Organ AWS 服务 izations 一起使用的帐户。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:DescribeOrganization",
"organizations:DescribeAccount"
],
"Resource": "*"
}
]
}
```
------
有关对策略的更改列表,请参阅 [AWS Health AWS 托管策略的更新](#security-iam-awsmanpol-updates)。
## AWS 托管策略:AWSHealthFullAccess
AWS Health 使用[https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess$jsonEditor](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess$jsonEditor) AWS 托管策略。该策略授予实体(IAM 用户或角色)访问 AWS Health 控制台的权限。有关更多信息,请参阅 [使用控制 AWS Health 台](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)。
**权限详细信息**
该策略包含以下权限。
+ `organizations`— 启用或禁用 AWS Health 组织中所有账户的 AWS 组织视图功能,并查看管理账户的组织单位 (OU)
+ `health`— 访问 AWS Health API 操作和通知
+ `iam` – 创建链接到 AWS Health 服务的 IAM 角色
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OrganizationWriteAccess",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Sid": "HealthFullAccess",
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Sid": "ServiceLinkAccess",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "health.amazonaws.com"
}
}
}
]
}
```
------
有关对策略的更改列表,请参阅 [AWS Health AWS 托管策略的更新](#security-iam-awsmanpol-updates)。
## AWS Health AWS 托管策略的更新
查看 AWS Health 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [的文档历史记录 AWS Health](doc-history.md) 页面上的 RSS 源。
下表描述了自 2022 年 1 月 13 日以来 AWS Health 托管策略的重要更新。
**AWS Health**
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWS 托管策略:AWSHealthFullAccess](#security-iam-awsmanpol-AWSHealthFullAccess) – 对现有策略的更新 | AWS Health 已将该 AWSHealthFullAccess 政策扩展到 AWS GovCloud (US) Regions 和中国地区。 | 2023 年 10 月 16 日 |
| [AWS 托管策略:Health\$1OrganizationsServiceRolePolicy](#security-iam-awsmanpol-Health_OrganizationsServiceRolePolicy) – 对现有策略的更新 | AWS Health 添加了新的 AWS Organizations 操作,允许服务相关角色描述可以与之配合 AWS Organizations使用的账户和 AWS 服务。 | 2023 年 7 月 19 日 |
| 已发布的更改日志 | AWS Health 托管策略的更改日志。 | 2023 年 1 月 13 日 |