本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS Resilience Hub
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWSResilienceHubAsssessmentExecutionPolicy
您可以將 `AWSResilienceHubAsssessmentExecutionPolicy` 連接至您的 IAM 身分。執行評估時,此政策會授予其他 AWS 服務的存取許可,以執行評估。
### 許可詳細資訊
此政策提供足夠的許可,將警示 AWS FIS 和 SOP 範本發佈到您的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。Amazon S3 儲存貯體名稱必須以 開頭`aws-resilience-hub-artifacts-`。如果您想要發佈到另一個 Amazon S3 儲存貯體,您可以在呼叫 `CreateRecommendationTemplate` API 時執行此操作。如需詳細資訊,請參閱 [CreateRecommendationTemplate](https://docs.aws.amazon.com/resilience-hub/latest/APIReference/API_CreateRecommendationTemplate.html)。
此政策包含以下許可:
+ Amazon CloudWatch (CloudWatch) – 取得您在 Amazon CloudWatch 中設定的所有實作警示,以監控應用程式。此外,我們使用 `cloudwatch:PutMetricData`來發佈`ResilienceHub`命名空間中應用程式彈性分數的 CloudWatch 指標。
+ Amazon Data Lifecycle Manager – 取得與 AWS 您的帳戶相關聯的 Amazon Data Lifecycle Manager 資源並提供其`Describe`許可。
+ Amazon DevOps Guru – 列出與 AWS 您的帳戶相關聯的 Amazon DevOps Guru 資源並提供`Describe`許可。
+ Amazon DocumentDB – 列出與您的帳戶 AWS 相關聯的 Amazon DocumentDB 資源並提供`Describe`許可。
+ Amazon DynamoDB (DynamoDB) – 列出與您的帳戶 AWS 相關聯的 Amazon DynamoDB 資源並提供其`Describe`許可。
+ Amazon ElastiCache (ElastiCache) – 為與您 AWS 帳戶相關聯的 ElastiCache 資源提供`Describe`許可。
+ Amazon ElastiCache (Redis OSS) Serverless (ElastiCache (Redis OSS) Serverless) – 為與您 AWS 帳戶相關聯的 ElastiCache (Redis OSS) Serverless 組態提供`Describe`許可。
+ Amazon Elastic Compute Cloud (Amazon EC2) – 列出與您的帳戶 AWS 相關聯的 Amazon EC2 資源並提供其`Describe`許可。
+ Amazon Elastic Container Registry (Amazon ECR) – 為與您 AWS 帳戶相關聯的 Amazon ECR 資源提供`Describe`許可。
+ Amazon Elastic Container Service (Amazon ECS) – 為與您 AWS 帳戶相關聯的 Amazon ECS 資源提供`Describe`許可。
+ Amazon Elastic File System (Amazon EFS) – 為與您 AWS 帳戶相關聯的 Amazon EFS 資源提供`Describe`許可。
+ Amazon Elastic Kubernetes Service (Amazon EKS) – 列出與您的帳戶 AWS 相關聯的 Amazon EKS 資源並提供其`Describe`許可。
+ Amazon EC2 Auto Scaling – 列出與 AWS 您的帳戶相關聯的 Amazon EC2 Auto Scaling 資源並提供其`Describe`許可。
+ Amazon EC2 Systems Manager (SSM) – 為與您 AWS 帳戶相關聯的 SSM 資源提供`Describe`許可。
+ AWS Fault Injection Service (AWS FIS) – 列出並提供與 AWS 您的帳戶相關聯的 AWS FIS 實驗和實驗範本的`Describe`許可。
+ Amazon FSx for Windows File Server (Amazon FSx) – 列出與您的帳戶 AWS 相關聯的 Amazon FSx 資源並提供其`Describe`許可。
+ Amazon RDS – 列出與 AWS 您的帳戶相關聯的 Amazon RDS 資源並提供`Describe`許可。
+ Amazon Route 53 (Route 53) – 列出與您的帳戶 AWS 相關聯的 Route 53 資源並提供其`Describe`許可。
+ Amazon Route 53 Resolver – 列出與 AWS 您的帳戶相關聯的 Amazon Route 53 Resolver 資源並提供`Describe`許可。
+ Amazon Simple Notification Service (Amazon SNS) – 列出與您的帳戶 AWS 相關聯的 Amazon SNS 資源並提供其`Describe`許可。
+ Amazon Simple Queue Service (Amazon SQS) – 列出與您的帳戶 AWS 相關聯的 Amazon SQS 資源並提供其`Describe`許可。
+ Amazon Simple Storage Service (Amazon S3) – 列出與您的帳戶 AWS 相關聯的 Amazon S3 資源並提供其`Describe`許可。
**注意**
執行評估時,如果有任何遺漏的許可需要從 受管政策更新, AWS Resilience Hub 將使用 s3:GetBucketLogging 許可成功完成評估。不過, AWS Resilience Hub 會顯示警告訊息,其中列出缺少的許可,並提供寬限期來新增相同的許可。如果您未在指定的寬限期內新增缺少的許可,評估將會失敗。
+ AWS Backup – 列出並取得與您 AWS 帳戶相關聯之 Amazon EC2 Auto Scaling 資源的`Describe`許可。
+ AWS CloudFormation – 列出並取得與您 AWS 帳戶相關聯之 AWS CloudFormation 堆疊上資源的`Describe`許可。
+ AWS DataSync – 列出與 AWS 您的帳戶相關聯的 AWS DataSync 資源並提供`Describe`許可。
+ Directory Service – 列出與 AWS 您的帳戶相關聯的 Directory Service 資源並提供`Describe`許可。
+ AWS 彈性災難復原 (彈性災難復原) – 為與您 AWS 帳戶相關聯的彈性災難復原資源提供`Describe`許可。
+ AWS Lambda (Lambda) – 列出與您的帳戶 AWS 相關聯的 Lambda 資源並提供其`Describe`許可。
+ AWS Resource Groups (資源群組) – 列出與您的帳戶 AWS 相關聯的資源群組資源並提供其`Describe`許可。
+ AWS Service Catalog (服務目錄) – 列出與您的帳戶 AWS 相關聯的 Service Catalog 資源並提供其`Describe`許可。
+ AWS Step Functions – 列出與 AWS 您的帳戶相關聯的 AWS Step Functions 資源並提供`Describe`許可。
+ Elastic Load Balancing – 列出與 AWS 您的帳戶相關聯的 Elastic Load Balancing 資源並提供其`Describe`許可。
+ `ssm:GetParametersByPath` – 我們使用此許可來管理為您的應用程式設定的 CloudWatch 警示、測試或 SOPs。
AWS 帳戶需要下列 IAM 政策,才能為使用者、使用者群組和角色新增許可,這些使用者、使用者群組和角色為您的團隊提供在執行評估時存取 AWS 服務所需的許可。
## AWS Resilience Hub AWS 受管政策的更新
檢視自此服務開始追蹤這些變更 AWS Resilience Hub 以來, AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS Resilience Hub 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 變更 | AWS Resilience Hub 已更新 AWSResilienceHubAsssessmentExecutionPolicy以授予 List和 Get許可,讓您在執行評估 AWS FIS 時從 存取實驗。 | 2024 年 12 月 17 日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 變更 | AWS Resilience Hub 已更新 AWSResilienceHubAsssessmentExecutionPolicy以授予Describe許可,讓您在執行評估時存取 Amazon ElastiCache (Redis OSS) Serverless 上的資源和組態。 | 2024 年 9 月 25 日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 變更 | AWS Resilience Hub 已更新 AWSResilienceHubAsssessmentExecutionPolicy以授予Describe許可,讓您在執行評估 AWS Lambda 時存取 Amazon DocumentDB、Elastic Load Balancing 上的資源和組態。 | 2024 年 8 月 1 日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 變更 | AWS Resilience Hub 已更新 AWSResilienceHubAsssessmentExecutionPolicy以授予Describe許可,讓您在執行評估時讀取 Amazon FSx for Windows File Server 組態。 | 2024 年 3 月 26 日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 變更 | AWS Resilience Hub 已更新 AWSResilienceHubAsssessmentExecutionPolicy以授予Describe許可,讓您在執行評估時讀取 AWS Step Functions 組態。 | 2023 年 10 月 30 日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 變更 | AWS Resilience Hub 已更新 AWSResilienceHubAsssessmentExecutionPolicy以授予Describe許可,讓您在執行評估時存取 Amazon RDS 上的資源。 | 2023 年 10 月 5 日 |
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy) – 新 | 此 AWS Resilience Hub 政策提供其他 AWS 服務的存取權,以執行評估。 | 2023 年 6 月 26 日 |
| AWS Resilience Hub 開始追蹤變更 | AWS Resilience Hub 開始追蹤其 AWS 受管政策的變更。 | 2023 年 6 月 15 日 |