本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AMS 中的基础设施安全监控
当您加入 AMS Accelerate, AWS 部署以下 AWS Config 基准基础设施和一组规则时,AMS Accelerate 会使用这些规则来监控您的账户。
+ **AWS Config 服务相关角色**:AMS Accelerate 部署名为的服务相关角色 **AWSServiceRoleForConfig**,该角色 AWS Config 用于查询其他服务的状态。 AWS **AWSServiceRoleForConfig**服务相关角色信任 AWS Config 服务来代替该角色。该**AWSServiceRoleForConfig**角色的权限策略包含对 AWS Config 资源的只读和只写权限,以及其他支持的服务中资源的只读权限。 AWS Config 如果您已经为角色配置了 AWS Config Recorder,AMS Accelerate 会验证现有角色是否附加了 AWS Config 托管策略。否则,AMS Accelerate 会将该角色替换为服务相关角色**AWSServiceRoleForConfig**。
+ **AWS Config 记录器和交付渠道**: AWS Config 使用配置记录器检测资源配置中的更改,并将这些更改捕获为配置项目。AMS Accelerate 在所有服务中部署配置记录器 AWS 区域,并持续记录所有资源。AMS Accelerate 还创建了配置传输渠道,即 Amazon S3 存储桶,用于记录 AWS 资源中发生的更改。配置记录器通过交付渠道更新配置状态。需要配置记录器和传送渠道 AWS Config 才能正常工作。AMS Accelerate 总共创建了录音机 AWS 区域,将交付渠道合而为一 AWS 区域。如果您在中已经有录音机和交付渠道 AWS 区域,那么 AMS Accelerate 不会删除现有 AWS Config 资源,而是在验证现有录像机和交付渠道配置正确后,AMS Accelerate 会使用您现有的录像机和交付渠道。有关如何降低 AWS Config 成本的更多信息,请参阅[在 “加速” 中降低 AWS Config 成本](acc-sec-compliance.md#acc-sec-compliance-reduct-config-spend)。
+ **AWS Config 规则**:AMS Accelerat AWS Config 规则 e 维护着一个补救措施库,以帮助您遵守安全性和运营完整性的行业标准。 AWS Config 规则 持续跟踪您录制的资源之间的配置更改。如果更改违反了任何规则条件,AMS 会报告其调查结果,并允许您根据违规的严重程度自动或根据请求进行补救。 AWS Config 规则 促进遵守互联网安全中心 (CIS)、美国国家标准与技术研究院 (NIST) 云安全框架 (CSF)、《健康保险便携性和责任法案》(HIPAA) 以及支付卡行业 (PCI) 数据安全标准 (DSS) 制定的标准。
+ **AWS Config 聚合器授权**:聚合器是一种从多个账户和多个 AWS Config 区域收集配置和合规性数据的 AWS Config 资源类型。AMS Accelerate 将您的账户登录到配置聚合器,AMS Accelerate 会从该聚合器中汇总您账户的资源配置信息和配置合规性数据,并生成合规性报告。如果在 AMS 拥有的账户中配置了现有聚合器,则 AMS Accelerate 将部署额外的聚合器,并且不会修改现有的聚合器。
**注意**
Config 聚合器不是在您的账户中设置的;而是在 AMS 拥有的账户中设置的,您的账户已加入该聚合器。
要了解更多信息 AWS Config,请参阅:
+ AWS Config: [什么是 Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS Config 规则: [使用规则评估资源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ AWS Config 规则: [动态合规性检查: AWS Config 规则 — 云资源的动态合规性检查](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config 聚合器:[多账户多区域](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)数据聚合
有关报告的信息,请参阅[AWS Config 控制合规性报告](acc-report-config-control-compliance.md)。
# 在 AMS Accelerate 中使用服务相关角色
AMS 加速使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色 (SLR) 是一种独特的 IAM 角色类型,直接关联到 AMS Accelerate。服务相关角色由 AMS Accelerate 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可以更轻松地设置 AMS Accelerate,因为您无需手动添加必要的权限。AMS Accelerate 定义了其服务相关角色的权限,除非另有定义,否则只有 AMS Accelerate 可以担任其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅与 [IAM 配合使用的AWS 服务,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接,查看该服务的服务相关角色文档。
## AMS Accelerate 的部署工具包服务相关角色
AMS Accelerate 使用名为**AWSServiceRoleForAWSManagedServicesDeploymentToolkit**的服务关联角色 (SLR),该角色将 AMS Accelerate 基础设施部署到客户账户。
**注意**
该政策最近已更新;有关详细信息,请参阅[加快服务相关角色的更新](#slr-updates)。
### AMS 加速部署工具包 SLR
AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服务相关角色信任以下服务来代入该角色:
+ `deploymenttoolkit.managedservices.amazonaws.com`
名为的策略[AWSManagedServicesDeploymentToolkitPolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DeploymentToolkitPolicy)允许 AMS Accelerate 对以下资源执行操作:
+ `arn:aws*:s3:::ams-cdktoolkit*`
+ `arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*`
+ `arn:aws:ecr:*:*:repository/ams-cdktoolkit*`
此 SLR 授予 Amazon S3 创建和管理部署存储桶的权限,AMS 用于将资源(例如 CloudFormation 模板或 Lambda 资产捆绑包)上传到用于组件部署的账户。此 SLR 授予部署定义部署存储 CloudFormation 桶的堆栈的 CloudFormation 权限。有关详细信息或下载政策,请参阅[AWSManagedServices\$1DeploymentToolkitPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DeploymentToolkitPolicy)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
### 为 AMS Accelerate 创建部署工具包 SLR
您无需手动创建服务相关角色。当您在 AWS 管理控制台、或 AWS API 中加入 AMS 时 AWS CLI,AMS Accelerate 会为您创建与服务相关的角色。
**重要**
如果您在 2022 年 6 月 9 日之前使用 AMS Accelerate 服务,该服务相关角色开始支持服务相关角色,然后 AMS Accelerate 在您的账户中创建了该角色,则该 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服务相关角色可能会出现在您的账户中。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入 AMS 时,AMS Accelerate 会再次为您创建与服务相关的角色。
### 编辑 AMS Accelerate 的部署工具包 SLR
AMS Accelerate 不允许您编辑 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
### 删除 AMS Accelerate 的部署工具包 SLR
您无需手动删除该 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 角色。当您在 AWS 管理控制台、或 AWS API 中退出 AMS 时 AWS CLI,AMS Accelerate 会清理资源并为您删除服务相关角色。
您也可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
**注意**
如果您尝试删除资源时 AMS Accelerate 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服务相关角色使用的 AMS Accelerate 资源**
在 AMS 中从您的账户加入的所有区域中删除`ams-cdk-toolkit`堆栈(您可能需要先手动清空 S3 存储桶)。
**使用 IAM 手动删除服务相关角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit服务相关角色。有关更多信息,请参阅 *IAM 用户指南*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Detective 控制 AMS Accerate 的服务相关角色
AMS Accelerate 使用名为的服务相关角色 (SLR) **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig**— AWS Managed Services 使用此服务相关角色来部署配置记录器、配置规则和 S3 存储桶侦测控件。
附加到**AWSServiceRoleForManagedServices\$1DetectiveControlsConfig**服务相关角色的是以下托管策略:[AWSManagedServices\$1DetectiveControlsConfig\$1 ServiceRolePolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DetectiveControlsConfig)。有关此策略的更新,请参阅[加快 AWS 托管策略的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。
### 侦探权限控制 AMS Accelerate 的单反相机
AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 服务相关角色信任以下服务来代入该角色:
+ `detectivecontrols.managedservices.amazonaws.com`
该角色附带的是`AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS 托管策略(请参阅该服务使用[AWS 托管策略: AWSManagedServices\$1DetectiveControlsConfig\$1 ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DetectiveControlsConfig)该角色在您的账户中创建配置 AMS Detective Controls,这需要部署 s3 存储桶、配置规则和聚合器等资源。 您必须配置权限以允许 IAM 实体(例如用户、群组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《Identity and A *ccess Managem AWS ent* 用户指南》中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
### 创建侦探控制 AMS Accelerate 的单反相机
您无需手动创建服务相关角色。当您在 AWS 管理控制台、或 AWS API 中加入 AMS 时 AWS CLI,AMS Accelerate 会为您创建与服务相关的角色。
**重要**
如果您在 2022 年 6 月 9 日之前使用 AMS Accelerate 服务,则该服务相关角色可能会出现在您的账户中,该服务相关角色开始支持服务相关角色,然后 AMS Accelerate 在您的账户中创建了该 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入 AMS 时,AMS Accelerate 会再次为您创建与服务相关的角色。
### 编辑侦探可以控制 AMS Accelerate 的单反相机
AMS Accelerate 不允许您编辑 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
### 删除侦探会控制 AMS Accelerate 的单反效果
您无需手动删除该 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 角色。当您在 AWS 管理控制台、或 AWS API 中退出 AMS 时 AWS CLI,AMS Accelerate 会清理资源并为您删除服务相关角色。
您也可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
**注意**
如果您尝试删除资源时 AMS Accelerate 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 服务相关角色使用的 AMS Accelerate 资源**
在 AMS 中`ams-detective-controls-config-recorder`,从您的账户加入的所有区域中删除`ams-detective-controls-config-rules-cdk`和`ams-detective-controls-infrastructure-cdk`堆栈(您可能需要先手动清空 S3 存储桶)。
**使用 IAM 手动删除服务相关角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Amazon EventBridge 规则 AMS Accelerate 的服务相关角色
AMS Accelerate 使用名为的服务相关角色 (SLR)。**AWSServiceRoleForManagedServices\$1Events**该角色信任 AWS Managed Services 服务委托人(events.managedservices.amazonaws.com)代您担任该角色。该服务使用该角色来创建 Amazon EventBridge 托管规则。此规则是您的 AWS 账户中所需的基础设施,用于将警报状态变更信息从您的账户传送到 AWS Managed Services。
### AMS Acc EventBridge elerate 的 SLR 权限
AWSServiceRoleForManagedServices\$1Events 服务相关角色信任以下服务来代入该角色:
+ `events.managedservices.amazonaws.com`
附属于此角色的是`AWSManagedServices_EventsServiceRolePolicy` AWS 托管策略(请参阅[AWS 托管策略: AWSManagedServices\$1EventsServiceRolePolicy](security-iam-awsmanpol.md#EventsServiceRolePolicy))。该服务使用该角色将警报状态更改信息从您的账户传送到 AMS。您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《*AWS Identity and Access Management 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
你可以下载这个压缩文件 AWSManagedServices\$1EventsServiceRolePolicy 中的 JSON:[EventsServiceRolePolicy.zip。](samples/EventsServiceRolePolicy.zip)
### 为 AMS Acc EventBridge elerate 创建单反相机
您无需手动创建服务相关角色。当您在 AWS 管理控制台、或 AWS API 中加入 AMS 时 AWS CLI,AMS Accelerate 会为您创建与服务相关的角色。
**重要**
如果您在 2023 年 2 月 7 日之前使用 AMS Accelerate 服务,则该服务相关角色可以显示在您的账户中,该 AWSServiceRoleForManagedServices\$1Events 服务相关角色将出现在您的账户中。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入 AMS 时,AMS Accelerate 会再次为您创建与服务相关的角色。
### 为 AMS Acc EventBridge elerate 编辑单反相机
AMS Accelerate 不允许您编辑 AWSServiceRoleForManagedServices\$1Events 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
### 删除 AMS Acc EventBridge elerate 的单反相机
您无需手动删除该 AWSServiceRoleForManagedServices\$1Events 角色。当您在 AWS 管理控制台、或 AWS API 中退出 AMS 时 AWS CLI,AMS Accelerate 会清理资源并为您删除服务相关角色。
您也可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
**注意**
如果您尝试删除资源时 AMS Accelerate 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWSServiceRoleForManagedServices\$1Events 服务相关角色使用的 AMS Accelerate 资源**
**使用 IAM 手动删除服务相关角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForManagedServices\$1Events 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 联系人 AMS Accelerate 的服务相关角色
AMS Accelerate 使用名为的服务相关角色 (SLR) **AWSServiceRoleForManagedServices\$1Contacts**— 该角色允许服务读取受影响资源的现有标签并检索相应联系人的已配置电子邮件,从而便于在事件发生时自动发出通知。
这是唯一使用此服务相关角色的服务。
附加到**AWSServiceRoleForManagedServices\$1Contacts**服务相关角色的是以下托管策略:[AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.html#ContactsServiceManagedPolicy). 有关此策略的更新,请参阅[加快 AWS 托管策略的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。
### AMS Accelerate 的联系人权限 SLR
AWSServiceRoleForManagedServices\$1Contacts 服务相关角色信任以下服务来代入该角色:
+ `contacts-service.managedservices.amazonaws.com`
此角色附带的是 `AWSManagedServices_ContactsServiceRolePolicy` AWS 托管策略(参见[AWS 托管策略: AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.md#ContactsServiceManagedPolicy))。该服务使用该角色来读取任何 AWS 资源上的标签,并找到标签中包含的电子邮件,即事件发生时的相应联系人。此角色允许 AMS 读取受影响资源上的标签并检索电子邮件,从而便于在事件发生时自动发出通知。有关更多信息,请参阅《Identity and A *ccess Managem AWS ent* 用户指南》中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
**重要**
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AMS 使用标签为您提供管理服务。标签不适合用于私有或敏感数据。
名为的角色权限策略 AWSManagedServices\$1ContactsServiceRolePolicy 允许 AMS Accelerate 对指定资源完成以下操作:
+ 操作:允许联系人服务读取专门设置为包含 AMS 在任何 AWS 资源上发送事件通知的电子邮件的标签。
你可以下载这个压缩文件 AWSManagedServices\$1ContactsServiceRolePolicy 中的 JSON:[ContactsServicePolicy.zip。](samples/ContactsServicePolicy.zip)
### 为 AMS Accelerate 创建联系人单反相机
您无需手动创建服务相关角色。当您在 AWS 管理控制台、或 AWS API 中加入 AMS 时 AWS CLI,AMS Accelerate 会为您创建与服务相关的角色。
**重要**
如果您在 2023 年 2 月 16 日之前使用 AMS Accelerate 服务,则该服务相关角色可以出现在您的账户中,该服务相关角色开始支持服务相关角色,然后 AMS Accelerate 在您的账户中创建了该 AWSServiceRoleForManagedServices\$1Contacts 角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入 AMS 时,AMS Accelerate 会再次为您创建与服务相关的角色。
### 为 AMS Accelerate 编辑联系人单反相机
AMS Accelerate 不允许您编辑 AWSServiceRoleForManagedServices\$1Contacts 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
### 删除 AMS Accelerate 的联系人单反相机
您无需手动删除该 AWSServiceRoleForManagedServices\$1Contacts 角色。当您在 AWS 管理控制台、或 AWS API 中退出 AMS 时 AWS CLI,AMS Accelerate 会清理资源并为您删除服务相关角色。
您也可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
**注意**
如果您尝试删除资源时 AMS Accelerate 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWSServiceRoleForManagedServices\$1Contacts 服务相关角色使用的 AMS Accelerate 资源**
**使用 IAM 手动删除服务相关角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForManagedServices\$1Contacts 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AMS 支持的区域加速服务相关角色
AMS Accelerate 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
## 加快服务相关角色的更新
查看有关自该服务开始跟踪服务相关角色变更以来这些更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “加速” [AMS Accelerate 用户指南的文档历史记录](doc-history.md) 页面上的 RSS 提要。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 更新的政策-[部署工具包](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2024 年 4 月 4 日 |
| 更新的政策-[部署工具包](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2023年5月9日 |
| 更新后的政策 — Det [ective Con](#slr-deploy-detect-controls) t | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2023 年 4 月 10 日 |
| 更新后的政策 — Det [ective Con](#slr-deploy-detect-controls) t | 更新了策略并添加了权限边界策略。 | 2023 年 3 月 21 日 |
| 新的服务相关角色-[联系人](#slr-contacts-service) SLR | Accelerate 为通讯录服务添加了一个新的服务相关角色。 该角色允许服务读取受影响资源的现有标签并检索相应联系人的已配置电子邮件,从而便于在事件发生时自动发出通知。 | 2023 年 2 月 16 日 |
| 新的服务相关角色 — [EventBridge](#slr-evb-rule) | Accelerate 为 Amazon EventBridge 规则添加了一个新的服务相关角色。 该角色信任 AWS Managed Services 服务委托人(events.managedservices.amazonaws.com)代您担任该角色。该服务使用该角色来创建 Amazon EventBridge 托管规则。此规则是您的 AWS 账户中所需的基础设施,用于将警报状态变更信息从您的账户传送到 AWS Managed Services。 | 2023 年 2 月 7 日 |
| 更新了服务相关角色-[部署工具包](#slr-deploy-acc) | AWSServiceRoleForAWSManagedServicesDeploymentToolkit 使用新的 S3 权限加快更新速度。 添加了以下新权限: "s3:GetLifecycleConfiguration",
"s3:GetBucketLogging",
"s3:ListBucket",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:GetObject*"
| 2023 年 1 月 30 日 |
| 加速开始跟踪更改 | Accelerate 开始跟踪其服务相关角色的变化。 | 2022 年 11 月 30 日 |
| 新的服务相关角色 — Detective Contro [ls](#slr-deploy-detect-controls) | Accelerate 添加了一个新的服务相关角色来部署加速侦探控制。 AWS Managed Services 使用此服务相关角色来部署配置记录器、配置规则和 S3 存储桶侦测控件。 | 2022 年 10 月 13 日 |
| 新的服务相关角色-[部署工具包](#slr-deploy-acc) | Accelerate 添加了一个新的服务相关角色来部署加速基础架构。 此角色将 AMS Accelerate 基础设施部署到客户账户。 | 2022 年 6 月 9 日 |
# AWS AMS 加速的托管策略
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅*《IAM 用户指南》*中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
有关变更表,请参见[加快 AWS 托管策略的更新](#security-iam-awsmanpol-updates)。
## AWS 托管策略: AWSManagedServices\$1AlarmManagerPermissionsBoundary
AWS Managed Services (AMS) 使用`AWSManagedServices_AlarmManagerPermissionsBoundary` AWS 托管策略。 AWSManagedServices\$1AlarmManager\$1 中使用此 AWS托管策略ServiceRolePolicy 来限制由 AWSServiceRoleForManagedServices\$1AlarmManager创建的 IAM 角色的权限。
此策略授予作为其中一部分创建的 IAM 角色执行 AWS 配置评估[警报管理器的工作原理](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)、 AWS 读取 Config 以获取 Alarm Manager 配置以及创建必要的 Amazon CloudWatch 警报等操作的权限。
该`AWSManagedServices_AlarmManagerPermissionsBoundary`策略附加到`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服务相关角色。有关此角色的更新,请参阅[加快服务相关角色的更新](using-service-linked-roles.md#slr-updates)。
您可以将 策略附加得到 IAM 身份。
**权限详细信息**
该策略包含以下权限。
+ `AWS Config`— 允许评估配置规则和选择资源配置的权限。
+ `AWS AppConfig`— 允许获取 AlarmManager 配置的权限。
+ `Amazon S3`— 允许操作 AlarmManager 存储桶和对象的权限。
+ `Amazon CloudWatch`— 允许读取和发布 AlarmManager 托管警报和指标的权限。
+ `AWS Resource Groups and Tags`— 允许读取资源标签的权限。
+ `Amazon EC2`— 允许读取 Amazon EC2 资源。
+ `Amazon Redshift`— 允许读取 Redshift 实例和集群的权限。
+ `Amazon FSx`— 允许描述文件系统、卷和资源标签的权限。
+ `Amazon CloudWatch Synthetics`— 允许读取 Synthetics 资源的权限。
+ `Amazon Elastic Kubernetes Service`— 允许描述 Amazon EKS 集群的权限。
+ `Amazon ElastiCache`— 允许描述资源的权限。
您可以下载此压缩包中的策略文件:[RecommendedPermissionBoundary.zip。](samples/RecommendedPermissionBoundary.zip)
## AWS 托管策略: AWSManagedServices\$1DetectiveControlsConfig\$1 ServiceRolePolicy
AWS Managed Services (AMS) 使用`AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS 托管策略。此 AWS托管策略附加到[`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服务相关角色](using-service-linked-roles.html#slr-deploy-detect-controls)(请参阅[Detective 控制 AMS Accerate 的服务相关角色](using-service-linked-roles.md#slr-deploy-detect-controls))。有关`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服务相关角色的更新,请参阅[加快服务相关角色的更新](using-service-linked-roles.md#slr-updates)。
该策略允许服务相关角色为您完成操作。
您可以将 AWSManagedServices\$1DetectiveControlsConfig \$1 ServiceRolePolicy 策略附加到您的 IAM 实体。
有关更多信息,请参阅 [在 AMS Accelerate 中使用服务相关角色](using-service-linked-roles.md)。
**权限详细信息**
此策略具有以下权限,允许 Det AWS Managed Services ective Controls 部署和配置所有必要的资源。
+ `CloudFormation`— 允许 AMS Detective Controls 部署包含 s3 存储桶、配置规则和配置记录器等资源的 CloudFormation 堆栈。
+ `AWS Config`— 允许 AMS Detective Controls 创建 AMS 配置规则、配置聚合器和标记资源。
+ `Amazon S3`— 允许 AMS Detective Controls 管理其 s3 存储桶。
你可以下载此 ZIP 文件中的 JSON 策略文件:[DetectiveControlsConfig\$1 ServiceRolePolicy .zip。](samples/DetectiveControlsConfig_ServiceRolePolicy.zip)
## AWS 托管策略: AWSManagedServicesDeploymentToolkitPolicy
AWS Managed Services (AMS) 使用`AWSManagedServicesDeploymentToolkitPolicy` AWS 托管策略。此 AWS托管策略附加到[`AWSServiceRoleForAWSManagedServicesDeploymentToolkit`服务相关角色](using-service-linked-roles.html#slr-deploy-acc)(请参阅[AMS Accelerate 的部署工具包服务相关角色](using-service-linked-roles.md#slr-deploy-acc))。该策略允许服务相关角色为您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 [在 AMS Accelerate 中使用服务相关角色](using-service-linked-roles.md)。
有关`AWSServiceRoleForManagedServicesDeploymentToolkitPolicy`服务相关角色的更新,请参阅[加快服务相关角色的更新](using-service-linked-roles.md#slr-updates)。
**权限详细信息**
此策略具有以下权限,允许 Det AWS Managed Services ective Controls 部署和配置所有必要的资源。
+ `CloudFormation`— 允许 AMS 部署工具包使用 CDK 所需的 S3 资源部署 CFN 堆栈。
+ `Amazon S3`— 允许 AMS 部署工具包管理其 S3 存储桶。
+ `Elastic Container Registry`— 允许 AMS 部署工具包管理其 ECR 存储库,该存储库用于部署 AMS CDK 应用程序所需的资产。
你可以下载这个压缩文件中的 JSON 策略文件:[AWSManagedServicesDeploymentToolkitPolicy.zip。](samples/AWSManagedServices_DeploymentToolkitPolicy.zip)
## AWS 托管策略: AWSManagedServices\$1EventsServiceRolePolicy
AWS Managed Services (AMS) 使用 `AWSManagedServices_EventsServiceRolePolicy` AWS 托管策略。此 AWS托管策略附加到[`AWSServiceRoleForManagedServices_Events`服务相关角色](using-service-linked-roles.html#slr-evb-rule)。该策略允许服务相关角色为您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 [在 AMS Accelerate 中使用服务相关角色](using-service-linked-roles.md)。
有关`AWSServiceRoleForManagedServices_Events`服务相关角色的更新,请参阅[加快服务相关角色的更新](using-service-linked-roles.md#slr-updates)。
**权限详细信息**
此策略具有以下权限,允许亚马逊将警报状态变更信息从您的账户传送 EventBridge 到 AWS Managed Services。
+ `events`— 允许 Accelerate 创建亚马逊 EventBridge 托管规则。此规则是将警报状态变更信息从您的账户传送 AWS 账户 到您的账户所需的基础架构 AWS Managed Services。
你可以下载这个压缩文件中的 JSON 策略文件:[EventsServiceRolePolicy.zip。](samples/EventsServiceRolePolicy.zip)
## AWS 托管策略: AWSManagedServices\$1ContactsServiceRolePolicy
AWS Managed Services (AMS) 使用 `AWSManagedServices_ContactsServiceRolePolicy` AWS 托管策略。此 AWS托管策略附加到[`AWSServiceRoleForManagedServices_Contacts`服务相关角色](using-service-linked-roles.html#slr-contacts-service)(请参阅[为 AMS Accelerate 创建联系人单反相机](using-service-linked-roles.md#slr-contacts-service-create))。该策略允许 AMS 联系人 SLR 查看您在 AWS 资源上的资源标签及其值。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 [在 AMS Accelerate 中使用服务相关角色](using-service-linked-roles.md)。
**重要**
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AMS 使用标签为您提供管理服务。标签不适合用于私有或敏感数据。
有关`AWSServiceRoleForManagedServices_Contacts`服务相关角色的更新,请参阅[加快服务相关角色的更新](using-service-linked-roles.md#slr-updates)。
**权限详细信息**
此策略具有以下权限,允许联系人 SLR 读取您的资源标签,以检索您提前设置的资源联系人信息。
+ `IAM`— 允许联系人服务查看 IAM 角色和 IAM 用户的标签。
+ `Amazon EC2`— 允许联系人服务查看 Amazon EC2 资源上的标签。
+ `Amazon S3`— 允许联系人服务查看 Amazon S3 存储桶上的标签。此操作使用条件来确保 AMS 使用 HTTP 授权标头、Sigv4 签名协议以及使用 TLS 1.2 或更高版本的 HTTPS 访问您的存储桶标签。有关更多信息,请参阅[身份验证方法](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro)和 [Amazon S3 签名版本 4 身份验证特定策略密钥](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html)。
+ `Tag`— 允许联系人服务查看其他 AWS 资源上的标签。
+ “iam:ListRoleTags”、“iam:ListUserTags”、“tag:”、GetResources “tag:”、GetTagKeys “tag:”、GetTagValues “tag:”、DescribeTags “ec2:”、“s3:GetBucketTagging”
你可以下载这个压缩文件中的 JSON 策略文件:[ContactsServicePolicy.zip。](samples/ContactsServicePolicy.zip)
## 加快 AWS 托管策略的更新
查看有关自该服务开始跟踪这些更改以来对 Accelerate AWS 托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 更新的政策-[部署工具包](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2024 年 4 月 4 日 |
| 更新的政策-[部署工具包](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 5 月 9 日 |
| 更新的政策 — Det [ective Con](#security-iam-awsmanpol-DetectiveControlsConfig) t | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 4 月 10 日 |
| 更新的政策 — Det [ective Con](#security-iam-awsmanpol-DetectiveControlsConfig) t | 该`ListAttachedRolePolicies`操作已从策略中删除。该操作使用资源作为通配符 (\$1)。由于 “列表” 是一个非变异操作,因此它可以访问所有资源,并且不允许使用通配符。 | 2023 年 3 月 28 日 |
| 更新的政策 — Det [ective Con](#security-iam-awsmanpol-DetectiveControlsConfig) t | 更新了策略并添加了权限边界策略。 | 2023 年 3 月 21 日 |
| 新政策-[通讯录服务](#ContactsServiceManagedPolicy) | Accelerate 添加了一项新政策,用于查看资源标签中的账户联系信息。 Accelerate 添加了一项新的策略来读取您的资源标签,以便它可以检索您提前设置的资源联系信息。 | 2023 年 2 月 16 日 |
| 新政策-[活动服务](#EventsServiceRolePolicy) | Accelerate 添加了一项新政策,用于将警报状态变更信息从您的账户发送到 AWS Managed Services。 向作为[警报管理器的工作原理](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)权限一部分创建的 IAM 角色授予创建必需的 Amazon EventBridge 托管规则的权限。 | 2023年2月7日 |
| 更新的政策-[部署工具包](#security-iam-awsmanpol-DeploymentToolkitPolicy) | 添加了 S3 权限以支持客户从 Accelerate 中离线。 | 2023 年 1 月 30 日 |
| 新政策 — [侦探控制](#security-iam-awsmanpol-DetectiveControlsConfig) | 允许服务相关角色完成操作[Detective 控制 AMS Accerate 的服务相关角色](using-service-linked-roles.md#slr-deploy-detect-controls),以便您部署 Accelerate 侦探控件。 | 2022 年 12 月 19 日 |
| 新政策-[警报管理器](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary) | Accelerate 添加了一项新政策,允许权限执行警报管理器任务。 授予作为[警报管理器的工作原理](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)权限一部分创建的 IAM 角色执行诸如 AWS 配置评估、读取 Con AWS fig 以获取警报管理器配置、创建必要的 Amazon CloudWatch 警报等操作。 | 2022 年 11 月 30 日 |
| 加速开始跟踪变更 | Accelerate 开始跟踪其 AWS 托管策略的变更。 | 2022 年 11 月 30 日 |
| 新政策-[部署工具包](#security-iam-awsmanpol-DeploymentToolkitPolicy) | 加速为部署任务添加了此策略。 向服务相关角色授予访问和更新与部署相关的 Amazon S3 存储桶和堆栈的[AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc)权限。 CloudFormation | 2022 年 6 月 9 日 |