Amazon Web Services Support 和 Amazon Trusted Advisor 的 Amazon 托管策略 - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon Web Services Support 和 Amazon Trusted Advisor 的 Amazon 托管策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管式策略更简单。创建仅为团队提供所需权限的 IAM 客户托管式策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略

Amazon Web Services负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管策略。服务不会从 Amazon 托管策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon 还支持跨多种服务的工作职能的托管策略。例如,ViewOnlyAccess Amazon 托管式策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略

Amazon 托管策略:AWSSupportServiceRolePolicy

Amazon Web Services Support 使用 AWSSupportServiceRolePolicy Amazon 托管策略。此托管策略附加到 AWSServiceRoleForSupport 服务相关角色。该策略允许服务相关角色代表您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 的服务相关角色权限Amazon Web Services Support

有关对策略的更改列表,请参阅 Amazon Web Services Support 和 Trusted Advisor 对 Amazon 托管策略的更新AWSSupportServiceRolePolicy 的权限更改

Amazon 托管策略:AWSTrustedAdvisorServiceRolePolicy

此策略附加到 AWSServiceRoleForTrustedAdvisor 服务相关角色。它使服务相关角色能够代表您执行操作。您不能将 AWSTrustedAdvisorServiceRolePolicy 附加到您的 IAM 实体。有关更多信息,请参阅 将服务相关角色用于 Trusted Advisor

此策略授予管理权限,允许服务相关角色访问 Amazon 服务。这些权限允许 Trusted Advisor 的检查来评估您的账户。

权限详细信息

此策略包含以下权限。

  • Auto Scaling – 描述 Amazon EC2 Auto Scaling 账户配额和资源

  • cloudformation – 描述 Amazon CloudFormation (CloudFormation) 账户配额和堆栈

  • cloudfront – 描述 Amazon CloudFront 分配

  • cloudtrail – 描述 Amazon CloudTrail (CloudTrail) 跟踪

  • dynamodb – 描述 Amazon DynamoDB 账户配额和资源

  • ec2 – 描述 Amazon Elastic Compute Cloud (Amazon EC2) 账户配额和资源

  • elasticloadbalancing – 描述 Elastic Load Balancing 账户配额和资源

  • iam – 获取 IAM 资源,如证书、密码策略和证书

  • kinesis – 描述 Amazon Kinesis (Kinesis) 账户配额

  • rds – 描述 Amazon Relational Database Service (Amazon RDS) 资源

  • redshift – 描述 Amazon Redshift 资源

  • route53 – 描述 Amazon Route 53 账户配额和资源

  • s3 – 描述 Amazon Simple Storage Service (Amazon S3) 资源

  • ses – 获取 Amazon Simple Email Service (Amazon SES) 发送配额

  • sqs – 列出 Amazon Simple Queue Service (Amazon SQS) 队列

  • cloudwatch – 获取 Amazon CloudWatch Events (CloudWatch Events) 指标统计数据

  • ce – 获取 Cost Explorer 服务 (Cost Explorer) 建议

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "cloudformation:DescribeAccountLimits", "cloudformation:DescribeStacks", "cloudformation:ListStacks", "cloudfront:ListDistributions", "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "dynamodb:DescribeLimits", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeAddresses", "ec2:DescribeReservedInstances", "ec2:DescribeInstances", "ec2:DescribeVpcs", "ec2:DescribeInternetGateways", "ec2:DescribeImages", "ec2:DescribeVolumes", "ec2:DescribeSecurityGroups", "ec2:DescribeReservedInstancesOfferings", "ec2:DescribeSnapshots", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:DescribeLaunchTemplateVersions", "elasticloadbalancing:DescribeAccountLimits", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:DescribeLoadBalancerAttributes", "elasticloadbalancing:DescribeLoadBalancerPolicies", "elasticloadbalancing:DescribeLoadBalancerPolicyTypes", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "iam:GenerateCredentialReport", "iam:GetAccountPasswordPolicy", "iam:GetAccountSummary", "iam:GetCredentialReport", "iam:GetServerCertificate", "iam:ListServerCertificates", "kinesis:DescribeLimits", "rds:DescribeAccountAttributes", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSnapshots", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultParameters", "rds:DescribeEvents", "rds:DescribeOptionGroupOptions", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribeReservedDBInstances", "rds:DescribeReservedDBInstancesOfferings", "rds:ListTagsForResource", "redshift:DescribeClusters", "redshift:DescribeReservedNodeOfferings", "redshift:DescribeReservedNodes", "route53:GetAccountLimit", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:ListHealthChecks", "route53:ListHostedZones", "route53:ListHostedZonesByName", "route53:ListResourceRecordSets", "s3:GetAccountPublicAccessBlock", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketVersioning", "s3:GetBucketPublicAccessBlock", "s3:ListBucket", "s3:ListAllMyBuckets", "ses:GetSendQuota", "sqs:ListQueues", "cloudwatch:GetMetricStatistics", "ce:GetReservationPurchaseRecommendation", "ce:GetSavingsPlansPurchaseRecommendation" ], "Resource": "*" } ] }

Amazon 托管策略:AWSTrustedAdvisorReportingServiceRolePolicy

此策略附加到 AWSServiceRoleForTrustedAdvisorReporting 服务相关角色,使 Trusted Advisor 能够执行组织视图功能的操作。您不能将 AWSTrustedAdvisorReportingServiceRolePolicy 附加到您的 IAM 实体。有关更多信息,请参阅 将服务相关角色用于 Trusted Advisor

此策略授予管理权限,允许服务相关角色执行 Amazon Organizations 操作。

权限详细信息

此策略包含以下权限。

  • organizations – 描述您的组织并列出服务访问权限、账户、父级、子级和组织单位

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListChildren", "organizations:ListParents", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount" ], "Effect": "Allow", "Resource": "*" } ] }

Amazon Web Services Support 和 Trusted Advisor 对 Amazon 托管策略的更新

查看有关 Amazon Web Services Support 和 Trusted Advisor 的 Amazon 托管策略更新的详细信息(从这些服务开始跟踪这些更改开始)。要获得有关此页面更改的自动提示,请订阅 文档历史记录 页面上的 RSS 源。

下表介绍了截至 2022 年 2 月 17 日对 Amazon Web Services Support 托管策略的重要更新。

Amazon Web Services Support
更改 描述 日期

AWSSupportServiceRolePolicy – 对现有策略的更新

为以下服务添加了 54 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作:

  • Amazon Elastic Compute Cloud

    • 解决与客户和 Amazon 管理的前缀列表相关的问题。

    • 解决与 Amazon VPC IP 地址管理器 (IPAM) 相关的问题。

  • Amazon 网络管理器 – 解决与网络管理器相关的问题。

  • Savings Plans – 获取有关未完成 Savings Plan 承诺的元数据。

  • Amazon Serverless Application Repository – 作为研究和解决支持案例的一部分,改进和支持响应操作。

  • Amazon WorkSpaces Web – 调试和解决 WorkSpaces Web 服务的问题。

2022 年 3 月 14 日

AWSSupportServiceRolePolicy – 对现有策略的更新

为以下服务添加了 74 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作:

  • Amazon Application Migration Service - 在应用程序迁移服务中支持无代理复制。

  • Amazon CloudFormation - 对 IAM、扩展和版本控制相关问题执行诊断。

  • Amazon CloudWatch Logs - 验证资源策略。

  • Amazon EC2 回收站 - 获取有关回收站保留规则的元数据。

  • Amazon Elastic Disaster Recovery - 解决客户账户中的复制问题和启动问题。

  • Amazon FSx - 查看 Amazon FSx 快照的描述。

  • Amazon Lightsail - 查看 Lightsail 存储桶的元数据和配置详细信息。

  • Amazon Macie - 查看 Macie 配置,例如分类任务、自定义数据标识符、正则表达式和结果。

  • Simple Storage Service (Amazon S3) - 收集 Simple Storage Service (Amazon S3) 存储桶的元数据和配置。

  • Amazon Storage Gateway - 查看有关客户自动创建磁带策略的元数据。

  • Elastic Load Balancing - 查看使用 Service Quotas 控制台时的资源限制的说明。

有关更多信息,请参阅 AWSSupportServiceRolePolicy 的权限更改

2022 年 2 月 17 日

已发布的更改日志

Amazon Web Services Support 托管策略的更改日志。

2022 年 2 月 17 日

下表介绍了截至 2021 年 8 月 10 日对 Trusted Advisor 托管策略的重要更新。

Trusted Advisor
更改 描述 日期

AWSTrustedAdvisorServiceRolePolicy – 对现有策略的更新

Trusted Advisor 添加了新的操作来授予 DescribeTargetGroupsGetAccountPublicAccessBlock 权限。

Auto Scaling 组运行状况检查需要 DescribeTargetGroup 权限,以检索附加到 Auto Scaling 组的非 Classic Load Balancer。

Amazon S3 存储桶权限检查需要 GetAccountPublicAccessBlock 权限以检索 Amazon Web Services 账户 的阻止公有访问设置。

2021 年 8 月 10 日

已发布的更改日志

Trusted Advisor 托管策略的更改日志。

2021 年 8 月 10 日