# AWS 的 受管政策AWS Well-Architected Tool
AWS 受管政策是由 AWS 建立和管理的獨立政策。AWS 受管政策的設計在於為許多常見使用案例提供許可,如此您就可以開始將許可指派給使用者、群組和角色。
請謹記,AWS 受管政策可能不會授予您特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法更改 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,更新會影響政策連接的所有主體身分 (使用者、群組和角色)。在推出新的 AWS 服務 或有新的 API 操作可供現有服務使用時,AWS 很可能會更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:WellArchitectedConsoleFullAccess
您可將 `WellArchitectedConsoleFullAccess` 政策連接到 IAM 身分。
此政策授予 AWS Well-Architected Tool 的完整存取權限。
**許可詳細資訊**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:*"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:WellArchitectedConsoleReadOnlyAccess
您可將 `WellArchitectedConsoleReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予 AWS Well-Architected Tool 的唯讀存取權。
**許可詳細資訊**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wellarchitected:Get*",
"wellarchitected:List*",
"wellarchitected:ExportLens"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSWellArchitectedOrganizationsServiceRolePolicy
您可將 `AWSWellArchitectedOrganizationsServiceRolePolicy` 政策連接到 IAM 身分。
此政策授予 AWS Organizations 中的管理許可權,這是支援 AWS Well-Architected Tool 與 Organizations 整合所需的權限。這些許可權允許組織管理帳戶與 AWS WA Tool 共用資源。
**許可詳細資訊**
此政策包含以下許可。
+ `organizations:ListAWSServiceAccessForOrganization` – 允許主體檢查是否已針對 AWS WA Tool 啟用 AWS 服務存取權。
+ `organizations:DescribeAccount` – 允許主體擷取組織中帳戶的相關資訊。
+ `organizations:DescribeOrganization` – 允許主體擷取組織組態的相關資訊。
+ `organizations:ListAccounts` – 允許主體擷取屬於組織的帳戶清單。
+ `organizations:ListAccountsForParent` – 允許主體從組織中指定的根節點擷取屬於組織的帳戶清單。
+ `organizations:ListChildren` – 允許主體從組織中指定的根節點擷取屬於組織的帳戶和組織單位清單。
+ `organizations:ListParents` – 允許主體擷取 OU 或組織內帳戶指定的直屬父系清單。
+ `organizations:ListRoots` – 允許主體擷取組織內所有根節點的清單。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSWellArchitectedDiscoveryServiceRolePolicy
您可將 `AWSWellArchitectedDiscoveryServiceRolePolicy` 政策連接到 IAM 身分。
此政策允許 AWS Well-Architected Tool 存取與 AWS WA Tool 資源相關的 AWS 服務和資源。
**許可詳細資訊**
此政策包含以下許可。
+ `trustedadvisor:DescribeChecks` – 列出可用的 Trusted Advisor 檢查項。
+ `trustedadvisor:DescribeCheckItems` – 擷取 Trusted Advisor 檢查資料,包括 Trusted Advisor 標記的狀態和資源。
+ `servicecatalog:GetApplication` – 擷取 AppRegistry 應用程式的詳細資訊。
+ `servicecatalog:ListAssociatedResources` – 列出與 AppRegistry 應用程式相關聯的資源。
+ `cloudformation:DescribeStacks` – 取得 CloudFormation 堆疊的詳細資訊。
+ `cloudformation:ListStackResources` – 列出與 CloudFormation 堆疊相關聯的資源。
+ `resource-groups:ListGroupResources` – 列出 ResourceGroup 的資源。
+ `tag:GetResources` – 為 ListGroupResources 所需。
+ `servicecatalog:CreateAttributeGroup` – 視需要建立服務受管屬性群組。
+ `servicecatalog:AssociateAttributeGroup` – 為服務受管屬性群組與 AppRegistry 應用程式建立關聯。
+ `servicecatalog:UpdateAttributeGroup` – 更新服務受管屬性群組。
+ `servicecatalog:DisassociateAttributeGroup` – 取消服務受管屬性群組與 AppRegistry 應用程式的關聯。
+ `servicecatalog:DeleteAttributeGroup` – 在需要時刪除服務受管屬性群組。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeChecks",
"trustedadvisor:DescribeCheckItems"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"resource-groups:ListGroupResources",
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:ListAssociatedResources",
"servicecatalog:GetApplication",
"servicecatalog:CreateAttributeGroup"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:AssociateAttributeGroup",
"servicecatalog:DisassociateAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/applications/*",
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:UpdateAttributeGroup",
"servicecatalog:DeleteAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
}
]
}
```
------
## AWS 管理的政策的 AWS WA Tool 更新項目
檢視自 AWS WA Tool 開始追蹤 AWS 管理的政策變更以來的更新詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 AWS WA Tool [文件歷史記錄頁面](document-revisions.md)上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| AWS WA Tool 變更的受管政策 | 已新增 `"wellarchitected:Export*"` 到 ` WellArchitectedConsoleReadOnlyAccess`。 | 2023 年 6 月 22 日 |
| AWS WA Tool 新增的服務角色政策 | 新增 `AWSWellArchitectedDiscoveryServiceRolePolicy` 以允許 AWS Well-Architected Tool 存取與 AWS WA Tool 資源相關的 AWS 服務和資源。 | 2023 年 5 月 3 日 |
| AWS WA Tool 新增的許可權 | 新增了要授予 `ListAWSServiceAccessForOrganization` 的新動作,以允許 AWS WA Tool 檢查是否已為 AWS WA Tool 啟用 AWS 服務存取權。 | 2022 年 7 月 22 日 |
| AWS WA Tool 已開始追蹤變更 | AWS WA Tool 已開始追蹤其 AWS 管理的政策的變更。 | 2022 年 7 月 22 日 |