本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS Resilience Hub
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWSResilienceHubAsssessmentExecutionPolicy
您可以将 `AWSResilienceHubAsssessmentExecutionPolicy` 附加得到 IAM 身份。在运行评估时,此策略向其他 AWS 服务授予执行评估的访问权限。
### 权限详细信息
该政策提供了足够的权限来向您的亚马逊简单存储服务 (Amazon S3) 存储桶发布警报 AWS FIS 和 SOP 模板。Amazon S3 存储桶的名称必须以 `aws-resilience-hub-artifacts-` 开头。如果您想发布到其他 Amazon S3 存储桶,则可以在调用 `CreateRecommendationTemplate` API 的同时执行此操作。有关更多信息,请参阅 [CreateRecommendationTemplate](https://docs.aws.amazon.com/resilience-hub/latest/APIReference/API_CreateRecommendationTemplate.html)。
该策略包含以下权限:
+ Amazon CloudWatch (CloudWatch)-获取您在亚马逊中为监控应用程序 CloudWatch 而设置的所有已实现警报。此外,我们还`cloudwatch:PutMetricData`用于发布`ResilienceHub`命名空间中应用程序的弹性分数 CloudWatch 指标。
+ Amazon Data Lifecycle Manager — 获取并提供与您的 AWS 账户关联的亚马逊数据生命周期管理器资源的`Describe`权限。
+ Amazon DevOps Guru — 列出与您的 AWS 账户关联的 Amazon DevOps Guru 资源并提供`Describe`权限。
+ 亚马逊 DocumentDB — 列出与您的账户关联的亚马逊 DocumentDB 资源并为其提供`Describe`权限。 AWS
+ Amazon DynamoDB(DynamoDB)– 列出并提供与您的 AWS 账户关联的 Amazon DynamoDB 资源的 `Describe` 权限。
+ Amazon ElastiCache (ElastiCache)-为与您的 AWS 账户关联的 ElastiCache 资源提供`Describe`权限。
+ 亚马逊 ElastiCache (Redis OSS)无服务器(ElastiCache (Redis OSS)Serverless)— 为与您的账户关联的 ElastiCache (Redis OSS)无服务器配置提供`Describe`权限。 AWS
+ Amazon Elastic Compute Cloud(Amazon EC2)– 列出并提供与您的 AWS 账户关联的 Amazon EC2 资源的 `Describe` 权限。
+ Amazon Elastic Container Registry (Amazon ECR) — 为与您的账户关联的亚马逊 ECR 资源提供`Describe`权限。 AWS
+ 亚马逊弹性容器服务 (Amazon ECS) Servic `Describe` e — 为与 AWS 您的账户关联的亚马逊 ECS 资源提供权限。
+ Amazon Elastic File System (Amazon EFS) — 为与您的 AWS 账户关联的亚马逊 EFS 资源提供`Describe`权限。
+ Amazon Elastic Kubernetes Service(Amazon EKS)– 列出并提供与您的 AWS 账户关联的 Amazon EKS 资源的 `Describe` 权限。
+ Amazon EC2 Auto Scaling — 列出与您的 AWS 账户关联的 Amazon EC2 Auto Scaling 资源并提供`Describe`权限。
+ Amazon EC2 Systems Manager (SSM) — 为与您的 AWS 账户关联的 SSM 资源提供`Describe`权限。
+ AWS Fault Injection Service (AWS FIS) — 列出与您的 AWS 账户关联的 AWS FIS 实验和实验模板并提供`Describe`权限。
+ FSx 适用于 Windows 的亚马逊文件服务器 (亚马逊 FSx)-列出与您的 AWS 账户关联的亚马逊 FSx 资源并提供`Describe`权限。
+ Amazon RDS — 列出与您的 AWS 账户关联的 Amazon RDS 资源并为其提供`Describe`权限。
+ Amazon Route 53(Route 53)– 列出与您的 AWS 账户关联的 Route 53 资源的 `Describe` 权限。
+ Amazon Route 53 Resolver — 列出与您的 AWS 账户关联的 Amazon Route 53 Resolver 资源并为其提供`Describe`权限。
+ Amazon Simple Notification Service(Amazon SNS)– 列出并提供与您 AWS 账户关联的 Amazon SNS 资源的 `Describe` 权限。
+ Amazon Simple Queue Service(Amazon SQS)– 列出并提供与您的 AWS 账户关联的 Amazon SQS 资源的 `Describe` 权限。
+ 亚马逊简单存储服务 (Amazon S3) Simple Service — 列出与您的账户关联的 Amazon S3 资源并`Describe`提供权限。 AWS
**注意**
运行评估时,如果托管策略中缺少任何权限需要更新,则 AWS Resilience Hub 将使用 s3: GetBucketLogging 权限成功完成评估。但是, AWS Resilience Hub 将显示一条警告消息,列出缺少的权限,并提供添加权限的宽限期。如果您未在指定的宽限期内添加缺少的权限,则评估将失败。
+ AWS Backup — 列出与您的 AWS 账户关联的 Amazon EC2 Auto Scaling 资源并获取其`Describe`权限。
+ AWS CloudFormation — 列出与您的 AWS 账户关联的 AWS CloudFormation 堆栈上的资源并获取其`Describe`权限。
+ AWS DataSync — 列出与您的 AWS 账户关联的 AWS DataSync 资源并为其提供`Describe`权限。
+ Directory Service — 列出与您的 AWS 账户关联的 Directory Service 资源并为其提供`Describe`权限。
+ AWS Elastic Disaster Recovery (弹性灾难恢复)— 提供与您的 AWS 账户关联的 Elastic 灾难恢复资源的`Describe`权限。
+ AWS Lambda (Lambda) — 列出与您的账户关联的 Lambda 资源并为其提供`Describe`权限。 AWS
+ AWS Resource Groups (资源组)-列出与您的 AWS 账户关联的资源组资源并提供`Describe`权限。
+ AWS Service Catalog (Service Catalog)-列出与您的 AWS 账户关联的服务目录资源并为其提供`Describe`权限。
+ AWS Step Functions — 列出与您的 AWS 账户关联的 AWS Step Functions 资源并为其提供`Describe`权限。
+ Elastic Load Balancing — 列出与您的 AWS 账户关联的 Elastic Load Balancing 资源并提供`Describe`权限。
+ `ssm:GetParametersByPath`— 我们使用此权限来管理 CloudWatch 警报、测试或为您的应用程序配置 SOPs 的警报、测试。
AWS 账户需要以下 IAM 策略才能为用户、用户组和角色添加权限,从而为您的团队提供在运行评估时访问 AWS 服务的必要权限。
## AWS Resilience Hub AWS 托管策略的更新
查看 AWS Resilience Hub 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS Resilience Hub 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 更改 | AWS Resilience Hub 更新了授AWSResilienceHubAsssessmentExecutionPolicy予List和Get权限,允许您在运行评估 AWS FIS 时从中访问实验。 | 2024 年 12 月 17 日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 更改 | AWS Resilience Hub 更新了AWSResilienceHubAsssessmentExecutionPolicy以授予Describe权限,允许您在运行评估时访问亚马逊 ElastiCache (Redis OSS) Serverless 上的资源和配置。 | 2024 年 9 月 25 日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 更改 | AWS Resilience Hub 更新了AWSResilienceHubAsssessmentExecutionPolicy以授予Describe权限,允许您在运行评估 AWS Lambda 时访问 Amazon DocumentDB、Elastic Load Balancing 上的资源和配置。 | 2024年8月1日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 更改 | AWS Resilience Hub 更新了AWSResilienceHubAsssessmentExecutionPolicy以授予Describe权限,允许您在运行评估时读取 Amazon FSx for Windows 文件服务器配置。 | 2024 年 3 月 26 日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 更改 | AWS Resilience Hub 更新了AWSResilienceHubAsssessmentExecutionPolicy以授予Describe权限,允许您在运行评估时读取 AWS Step Functions 配置。 | 2023 年 10 月 30 日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 更改 | AWS Resilience Hub 更新了AWSResilienceHubAsssessmentExecutionPolicy以授予Describe权限,允许您在运行评估时访问 Amazon RDS 上的资源。 | 2023 年 10 月 5 日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— 全新 | 此 AWS Resilience Hub 政策允许访问其他 AWS 服务以进行评估。 | 2023 年 6 月 26 日 |
| AWS Resilience Hub 开始跟踪更改 | AWS Resilience Hub 开始跟踪其 AWS 托管策略的更改。 | 2023 年 6 月 15 日 |