# AWS适用于 的 托管式策略AWS Well-Architected Tool
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用案例授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。
有关更多信息,请参阅《*IAM 用户指南*》中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管式策略:WellArchitectedConsoleFullAccess
您可以将 `WellArchitectedConsoleFullAccess` 策略附加到 IAM 身份。
此策略授予 AWS Well-Architected Tool 的完全访问权限。
**权限详细信息**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:*"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略:WellArchitectedConsoleReadOnlyAccess
您可以将 `WellArchitectedConsoleReadOnlyAccess` 策略附加到 IAM 身份。
此策略将授予对 AWS Well-Architected Tool 的只读访问权限。
**权限详细信息**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wellarchitected:Get*",
"wellarchitected:List*",
"wellarchitected:ExportLens"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略:AWSWellArchitectedOrganizationsServiceRolePolicy
您可以将 `AWSWellArchitectedOrganizationsServiceRolePolicy` 策略附加到 IAM 身份。
此策略授予 AWS Organizations 中为支持 AWS Well-Architected Tool 与 Organizations 集成所需的管理权限。这些权限让企业管理账户可以启用与 AWS WA Tool 的资源共享。
**权限详细信息**
该策略包含以下权限。
+ `organizations:ListAWSServiceAccessForOrganization` – 让委托人可以检查是否针对 AWS WA Tool 启用了 AWS 服务访问权限。
+ `organizations:DescribeAccount` – 让委托人可以检索有关企业中某个账户的信息。
+ `organizations:DescribeOrganization` – 让委托人可以检索有关企业配置的信息。
+ `organizations:ListAccounts` – 让委托人可以检索属于某个企业的账户列表。
+ `organizations:ListAccountsForParent` – 让委托人可以从企业的给定根节点检索属于该企业的账户列表。
+ `organizations:ListChildren` – 让委托人可以从企业的给定根节点检索属于该企业的账户和企业单位列表。
+ `organizations:ListParents` – 让委托人可以检索 OU 或企业内账户指定的直系父项列表。
+ `organizations:ListRoots` – 让委托人可以检索企业内所有根节点的列表。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管式策略:AWSWellArchitectedDiscoveryServiceRolePolicy
您可以将 `AWSWellArchitectedDiscoveryServiceRolePolicy` 策略附加到 IAM 身份。
此策略让 AWS Well-Architected Tool 可以访问与 AWS WA Tool 资源相关的 AWS 服务和资源。
**权限详细信息**
该策略包含以下权限。
+ `trustedadvisor:DescribeChecks` – 列出可用的 Trusted Advisor 检查。
+ `trustedadvisor:DescribeCheckItems` – 获取 Trusted Advisor 检查数据,包括 Trusted Advisor 标记的状态和资源。
+ `servicecatalog:GetApplication` – 获取 AppRegistry 应用程序的详细信息。
+ `servicecatalog:ListAssociatedResources` – 列出与 AppRegistry 应用程序关联的资源。
+ `cloudformation:DescribeStacks` – 获取 CloudFormation 堆栈的详细信息。
+ `cloudformation:ListStackResources` – 列出与 CloudFormation 堆栈关联的资源。
+ `resource-groups:ListGroupResources` – 列出 ResourceGroup 中的资源。
+ `tag:GetResources` – 对于 ListGroupResources 必需。
+ `servicecatalog:CreateAttributeGroup` – 需要时创建服务管理的属性组。
+ `servicecatalog:AssociateAttributeGroup` – 将服务管理的属性组与 AppRegistry 应用程序关联起来。
+ `servicecatalog:UpdateAttributeGroup` – 更新服务管理的属性组。
+ `servicecatalog:DisassociateAttributeGroup` – 将服务管理的属性组与 AppRegistry 应用程序取消关联。
+ `servicecatalog:DeleteAttributeGroup` –需要时删除服务管理的属性组。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeChecks",
"trustedadvisor:DescribeCheckItems"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"resource-groups:ListGroupResources",
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:ListAssociatedResources",
"servicecatalog:GetApplication",
"servicecatalog:CreateAttributeGroup"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:AssociateAttributeGroup",
"servicecatalog:DisassociateAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/applications/*",
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:UpdateAttributeGroup",
"servicecatalog:DeleteAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
}
]
}
```
------
## AWS WA Tool 更新了 AWS 托管策略
查看有关 AWS WA Tool 的 AWS 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 AWS WA Tool [文档修订版](document-revisions.md)页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| AWS WA Tool 更改了托管式策略 | 已将 `"wellarchitected:Export*"` 添加到 ` WellArchitectedConsoleReadOnlyAccess`。 | 2023 年 6 月 22 日 |
| AWS WA Tool 添加了服务角色策略 | 添加了 `AWSWellArchitectedDiscoveryServiceRolePolicy`,以允许 AWS Well-Architected Tool 访问与 AWS WA Tool 资源相关的 AWS 服务和资源。 | 2023 年 5 月 3 日 |
| AWS WA Tool 添加了权限 | 添加了新的授予 `ListAWSServiceAccessForOrganization` 的操作,以允许 AWS WA Tool 检查为 AWS WA Tool 启用的 AWS 服务访问权限。 | 2022 年 7 月 22 日 |
| AWS WA Tool 开启了跟踪更改 | AWS WA Tool 为其 AWS 托管式策略开启了跟踪更改。 | 2022 年 7 月 22 日 |