# AWS 托管式策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限,以便您可以开始为用户、组和角色分配权限。
要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管式策略更简单。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管式策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管式策略的更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务负责维护和更新关联的 AWS 托管策略。您无法更改 AWS 托管式策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,AWS 还支持跨多种服务的工作职能的托管式策略。例如,**ReadOnlyAccess** AWS 托管式策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的 AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
**Topics**
+ [AWS 托管策略:AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy)
+ [AWS 托管策略:AWSSecurityIncidentResponseFullAccess](#AWSSecurityIncidentResponseFullAccess)
+ [AWS 托管策略:AWSSecurityIncidentResponseReadOnlyAccess](#AWSSecurityIncidentResponseReadOnlyAccess)
+ [AWS 托管策略:AWSSecurityIncidentResponseCaseFullAccess](#AWSSecurityIncidentResponseCaseFullAccess)
+ [AWS 托管策略:AWSSecurityIncidentResponseTriageServiceRolePolicy](#AWSSecurityIncidentResponseTriageServiceRolePolicy)
+ [AWS 安全事件响应 SLR 和托管策略更新](#managed-policy-updates)
## AWS 托管策略:AWSSecurityIncidentResponseServiceRolePolicy
AWS 安全事件响应会使用 AWSSecurityIncidentResponseServiceRolePolicy AWS 托管策略。此 AWS 托管策略会附加到 [AWSServiceRoleForSecurityIncidentResponse](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse) 服务相关角色。此策略向 AWS 安全事件响应 提供识别订阅账户、创建案例、更新案例、创建案例备注、列出案例、列出案例备注以及标记相关资源的访问权限。
**重要**
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AWS 安全事件响应会使用标签来为您提供管理服务。标签不适合用于私有或敏感数据
*权限详细信息*
该服务会使用此策略对以下资源执行操作:
+ *AWS Organizations:*允许该服务查找用于该服务的会员资格账户。
+ *CreateCase:*允许该服务代表会员资格账户创建服务案例。
+ *ListCases:*允许服务的人工智能代理出于安全调查目的查看案例。
+ *UpdateCase:*允许服务的人工智能代理更新案例元数据。
+ *CreateCaseComment:*允许服务的人工智能代理将其结果发布为案例备注。
+ *ListComments:*允许服务的人工智能代理查看执行自动调查所需的案例备注。
+ *TagResource:*允许服务标签资源配置为该服务的一部分。
要查看此策略相关的权限,您可以参阅 AWS 托管策略中的 [AWSSecurityIncidentResponseServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseServiceRolePolicy.html)。
## AWS 托管策略:AWSSecurityIncidentResponseFullAccess
AWS 安全事件响应会使用 AWSSecurityIncidentResponseAdmin AWS 托管策略。此策略会授予对服务资源的完全访问权限以及对 AWS 服务相关资源的访问权限。您可以将此策略与 IAM 主体结合使用,以快速添加 AWS 安全事件响应权限。
**重要**
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AWS 安全事件响应会使用标签来为您提供管理服务。标签不适合用于私有或敏感数据
*权限详细信息*
该服务会使用此策略对以下资源执行操作:
+ *IAM 主体只读访问权限:*授予服务用户对现有 AWS 安全事件响应资源执行只读操作的权限。
+ *IAM 主体写入访问权限:*授予服务用户更新、修改、删除和创建 AWS 安全事件响应资源的权限。
要查看此策略相关的权限,请参阅 AWS 托管策略中的 [AWSSecurityIncidentResponseFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseFullAccess.html)。
## AWS 托管策略:AWSSecurityIncidentResponseReadOnlyAccess
AWS 安全事件响应会使用 AWSSecurityIncidentResponseReadOnlyAccess AWS 托管策略。此策略会授予对服务案例资源的只读访问权限。您可以将此策略与 IAM 主体结合使用,以快速添加 AWS 安全事件响应权限。
**重要**
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AWS 安全事件响应会使用标签来为您提供管理服务。标签不适合用于私有或敏感数据
*权限详细信息*
该服务会使用此策略对以下资源执行操作:
+ *IAM 主体只读访问权限:*授予服务用户对现有 AWS 安全事件响应资源执行只读操作的权限。
要查看此策略相关的权限,请参阅 AWS 托管策略中的 [AWSSecurityIncidentResponseReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseReadOnlyAccess.html)。
## AWS 托管策略:AWSSecurityIncidentResponseCaseFullAccess
AWS 安全事件响应会使用 AWSSecurityIncidentResponseCaseFullAccess AWS 托管策略。此策略会授予对服务案例资源的完全访问权限。您可以将此策略与 IAM 主体结合使用,以快速添加 AWS 安全事件响应权限。
**重要**
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AWS 安全事件响应会使用标签来为您提供管理服务。标签不适合用于私有或敏感数据
*权限详细信息*
该服务会使用此策略对以下资源执行操作:
+ *IAM 主体案例只读访问权限:*授予服务用户对现有 AWS 安全事件响应案例执行只读操作的权限。
+ *IAM 主体案例写入访问权限:*授予服务用户更新、修改、删除和创建 AWS 安全事件响应案例的权限。
要查看此策略相关的权限,请参阅 AWS 托管策略中的 [AWSSecurityIncidentResponseCaseFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseCaseFullAccess.html)。
## AWS 托管策略:AWSSecurityIncidentResponseTriageServiceRolePolicy
AWS 安全事件响应会使用 AWSSecurityIncidentResponseTriageServiceRolePolicy AWS 托管策略。此 AWS 托管策略会附加到 [AWSServiceRoleForSecurityIncidentResponse\$1Triage ](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse_Triage) 服务相关角色。
此策略提供对 AWS 安全事件响应的访问权限,以持续监控环境中是否存在安全威胁,调整安全服务以减少警报噪音,以及收集信息以调查潜在事件。您不能将此策略附加到您的 IAM 实体。
**重要**
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AWS 安全事件响应会使用标签来为您提供管理服务。标签不适合用于私有或敏感数据
*权限详细信息*
该服务会使用此策略对以下资源执行操作:
+ *事件:*允许该服务创建 Amazon EventBridge 托管规则。此规则是您的 AWS 账户所需的基础设施,用于将事件从账户传送到该服务。此操作可在由 `triage.security-ir.amazonaws.com` 管理的任何 AWS 资源上执行。
+ *Amazon GuardDuty:*允许该服务调整安全服务以减少警报噪音,收集信息以调查潜在事件,以及启动 GuardDuty 恶意软件扫描。
+ *AWS Security Hub CSPM:*允许该服务列出已启用的标准和产品集成,列出组织成员和管理员帐户,调整安全服务以减少警报噪音,以及收集信息以调查潜在事件。
+ *AWS Identity and Access Management:*允许服务检索 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服务相关角色的角色信息,以验证是否已配置 GuardDuty MalwareProtection。
+ *AWS 安全事件响应:*允许服务创建和更新案例并标记资源,仅限于标有 `SecurityIncidentResponseManaged=true` 的资源。允许该服务读取成员资格信息(GetMembership、ListMemberships)。
要查看此策略相关的权限,请参阅 AWS 托管策略中的 [AWSSecurityIncidentResponseTriageServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseTriageServiceRolePolicy.html)。
## AWS 安全事件响应 SLR 和托管策略更新
由于此服务开始跟踪这些更改,您可以查看 AWS 安全事件响应 SLR 和托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 已更新 – [AWSSecurityIncidentResponseTriageServiceRolePolicy](#AWSSecurityIncidentResponseTriageServiceRolePolicy) | 现在,该政策允许该服务修改标有 `SecurityIncidentResponseManaged=true` 的 GuardDuty 筛选条件,以更新检测器配置和启动 GuardDuty 恶意软件扫描。它允许该服务创建和管理自动根据 Security Hub CSPM 调查发现采取行动的规则,以及了解组织结构。 | 2026 年 3 月 27 日 |
| 更新了 – [AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy) | 此策略现在会在以下资源上执行操作: ListCases:允许服务的人工智能代理出于安全调查目的查看案例 UpdateCase:允许服务的人工智能代理更新案例元数据。 CreateCaseComment:允许服务的人工智能代理将其结果发布为案例备注 ListComments:允许服务的人工智能代理查看执行自动调查所需的案例备注 | 2025 年 11 月 |
| 更新了 – [AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy) | 该政策现在包括以下两个新操作 `"organizations:DescribeAccount"`、`"organizations:ListDelegatedAdministrators"` 和一个新条件:
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
| 2025 年 11 月 |
| SLR 更新,增加了获得支持服务权利的权限。 | [AWSSecurityIncidentResponseTriageServiceRolePolicy](#AWSSecurityIncidentResponseTriageServiceRolePolicy) 已更新,添加了 security-ir:GetMembership、security-ir:ListMemberships、security-ir:UpdateCase、guardduty:ListFilters、guarduty:UpdateFilter、guardduty:DeleteFilter,以及 guardduty:GetAdministratorAccount 权限。添加的 guardduty:GetAdministratorAccount 权限有助于在委托账户中实现 GuardDuty 自动存档筛选条件管理。 | 2025 年 6 月 2 日 |
| 新增 SLR:[AWSServiceRoleForSecurityIncidentResponse](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse) 新增托管策略:[AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy)。 | 新增服务相关角色和附加策略,允许服务访问 AWS Organizations 账户来识别会员资格。 | 2024 年 12 月 1 日 |
| 新增 SLR:[AWSServiceRoleForSecurityIncidentResponse\$1Triage](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse_Triage) 新增托管策略:[AWSSecurityIncidentResponseTriageServiceRolePolicy](#AWSSecurityIncidentResponseTriageServiceRolePolicy) | 新增服务相关角色和附加策略,允许服务访问 AWS Organizations 账户来对安全事件进行分类。 | 2024 年 12 月 1 日 |
| 新增托管策略:[AWSSecurityIncidentResponseFullAccess](#AWSSecurityIncidentResponseFullAccess) | AWS 安全事件响应添加一个新的附加到 IAM 主体的 SLR,用于执行服务的读取和写入操作。 | 2024 年 12 月 1 日 |
| 新增托管策略角色:[AWSSecurityIncidentResponseReadOnlyAccess](#AWSSecurityIncidentResponseReadOnlyAccess) | AWS 安全事件响应添加新的附加到 IAM 主体的 SLR 用于执行读取操作 | 2024 年 12 月 1 日 |
| 新增托管策略角色:[AWSSecurityIncidentResponseCaseFullAccess](#AWSSecurityIncidentResponseCaseFullAccess) | AWS 安全事件响应添加一个新的附加到 IAM 主体的 SLR,用于执行服务案例的读取和写入操作。 | 2024 年 12 月 1 日 |
| 开启更改跟踪。 | 开启了 AWS 安全事件响应 SLR 和托管策略更改跟踪 | 2024 年 12 月 1 日 |