本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Amazon 应用程序恢复控制器 (ARC) 中用于路由控制的托管策略
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AmazonRoute53 RecoveryControlConfigFullAccess
您可以将 `AmazonRoute53RecoveryControlConfigFullAccess` 附加到 IAM 实体。此策略授予对 ARC 中恢复控制配置操作的完全访问权限。将此策略附加到需要恢复控制配置操作的完全访问权限的 IAM 用户和其他主体。
您可以自行决定添加对其他 Amazon Route 53 操作的访问权限,以使用户能够为路由控制创建运行状况检查。例如,您可以提供对以下一项或多项操作的访问权限:`route53:GetHealthCheck`、`route53:CreateHealthCheck`、`route53:DeleteHealthCheck` 和 `route53:ChangeTagsForResource`。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》RecoveryControlConfigFullAccess中的 [AmazonRoute53](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigFullAccess.html)。
## AWS 托管策略: AmazonRoute53 RecoveryControlConfigReadOnlyAccess
您可以将 `AmazonRoute53RecoveryControlConfigReadOnlyAccess` 附加到 IAM 实体。它适用于需要查看路由控制和安全规则配置的用户。此策略授予对 ARC 中恢复控制配置操作的只读访问权限。这些用户无法创建、更新或删除恢复控制资源。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》RecoveryControlConfigReadOnlyAccess中的 [AmazonRoute53](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigReadOnlyAccess.html)。
## AWS 托管策略: AmazonRoute53 RecoveryClusterFullAccess
您可以将 `AmazonRoute53RecoveryClusterFullAccess` 附加到 IAM 实体。此策略授予对 ARC 中集群数据面板操作的完全访问权限。将此策略附加到需要更新和检索路由控制状态的完全访问权限的 IAM 用户和其他主体。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》RecoveryClusterFullAccess中的 [AmazonRoute53](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryClusterFullAccess.html)。
## AWS 托管策略: AmazonRoute53 RecoveryClusterReadOnlyAccess
您可以将 `AmazonRoute53RecoveryClusterReadOnlyAccess` 附加到 IAM 实体。此策略授予对 ARC 中集群数据面板的只读访问权限。这些用户可以检索路由控制状态,但无法更新这些状态。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》RecoveryClusterReadOnlyAccess中的 [AmazonRoute53](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryClusterReadOnlyAccess.html)。
## AWS 托管策略: AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy
您可以将 `AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy` 附加到 IAM 实体。此策略授予执行和评估 ARC 区域切换计划的权限。将其附加到用于执行区域切换计划的 IAM 角色。
**权限详细信息**
该策略包含以下权限:
+ `arc-region-switch:GetPlan` – 允许主体检索区域切换计划的配置详细信息。
+ `arc-region-switch:GetPlanExecution` – 允许主体检索有关特定区域交换计划执行的信息。
+ `arc-region-switch:ListPlanExecutions` – 允许主体列出所有执行的可用区切换计划。
+ `iam:SimulatePrincipalPolicy` – 允许主体模拟和评估 IAM 角色可以执行的操作。此权限仅限于 IAM 角色,在评估计划期间用于在执行区域切换计划之前验证必要的权限是否就绪。
+ `cloudwatch:DescribeAlarms`— 允许委托人检索有关 Amazon CloudWatch 警报的信息。
+ `cloudwatch:DescribeAlarmHistory`— 允许委托人检索 Amazon CloudWatch 警报的历史状态变化。
+ `cloudwatch:GetMetricStatistics`— 允许委托人检索 Amazon CloudWatch 指标的统计数据。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》**中的 [AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy.html)。
## 路由控制 AWS 托管策略的更新
有关自该服务开始跟踪这些更改以来,ARC 中路由控制 AWS 托管策略更新的详细信息,请参阅[Amazon 应用程序恢复控制器 (ARC) AWS 托管策略的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates)。有关此页面更改的自动提示,请订阅 ARC [文档历史记录页面](doc-history.md)上的 RSS 信息源。