本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 的身份和访问管理 Amazon Health Identity and access management Amazon Identity and Access Management (IAM) Amazon Web Services 服务 可帮助管理员安全地控制对 Amazon 资源的访问权限。IAM 管理员控制谁可以*进行身份验证*(登录)和*授权*(拥有权限)使用 Amazon Health 资源。您可以使用 IAM Amazon Web Services 服务 ,无需支付额外费用。 **Topics** + [ ## 受众 ](#security_iam_audience) + [ ## 使用身份进行身份验证 ](#security_iam_authentication) + [ ## 使用策略管理访问 ](#security_iam_access-manage) + [ # 如何 Amazon Health 与 IAM 配合使用 ](security_iam_service-with-iam.md) + [ # Amazon Health 基于身份的策略示例 ](security_iam_id-based-policy-examples.md) + [ # 对 Amazon Health 身份和访问进行故障排除 ](security_iam_troubleshoot.md) + [ # 将服务相关角色用于 Amazon Health ](using-service-linked-roles.md) + [ # Amazon 的托管策略 Amazon Health ](security-iam-awsmanpol.md) ## 受众 您的使用方式 Amazon Identity and Access Management (IAM) 因您的角色而异: + **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[对 Amazon Health 身份和访问进行故障排除](security_iam_troubleshoot.md)) + **服务管理员**:确定用户访问权限并提交权限请求(请参阅[如何 Amazon Health 与 IAM 配合使用](security_iam_service-with-iam.md)) + **IAM 管理员**:编写用于管理访问权限的策略(请参阅[Amazon Health 基于身份的策略示例](security_iam_id-based-policy-examples.md)) ## 使用身份进行身份验证 身份验证是您 Amazon 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 Amazon Web Services 账户根用户,或者通过担任 IAM 角色进行身份验证。 对于编程访问, Amazon 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的Amazon 签名版本 4](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_sigv.html)。 ### Amazon 账户 root 用户 创建时 Amazon Web Services 账户,首先会有一个名为 Amazon Web Services 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 Amazon Web Services 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。 ### IAM 用户和群组 *[IAM 用户](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 Amazon 使用临时证书进行访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。 [https://docs.amazonaws.cn/IAM/latest/UserGuide/id_groups.html](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.amazonaws.cn/IAM/latest/UserGuide/gs-identities-iam-users.html)。 ### IAM 角色 *[IAM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 Amazon CLI 或 Amazon API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage-assume.html)。 IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。 ## 使用策略管理访问 您可以 Amazon 通过创建策略并将其附加到 Amazon 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 Amazon 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 Amazon 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html#access_policies-json)。 管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。 默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。 ### 基于身份的策略 基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html)。 基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。 ### 基于资源的策略 基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_principal.html)。 基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 Amazon 托管策略。 Amazon Health 支持基于资源的条件。您可以指定用户可以查看的 Amazon Health 事件。例如,您可以创建一个仅允许 IAM 用户访问 Amazon Health 控制面板中的特定 Amazon EC2 事件的策略。 有关更多信息,请参阅 [资源](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources)。 ### 访问控制列表 访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。 Amazon S3 和 Amazon VPC 就是支持的服务示例 ACLs。 Amazon WAF要了解更多信息 ACLs,请参阅《*亚马逊简单存储服务开发者指南*》中的[访问控制列表 (ACL) 概述](https://docs.amazonaws.cn/AmazonS3/latest/userguide/acl-overview.html)。 Amazon Health 不支持 ACLs。 ### 其他策略类型 Amazon 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限: + **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_boundaries.html)。 + **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 Amazon Organizations。有关更多信息,请参阅《Amazon Organizations 用户指南》**中的[服务控制策略](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)。 + **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*Amazon Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_rcps.html)。 + **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html#policies_session)。 ### 多个策略类型 当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 Amazon 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。 # 如何 Amazon Health 与 IAM 配合使用 在使用 IAM 管理访问权限之前 Amazon Health,您应该了解哪些可用的 IAM 功能 Amazon Health。要全面了解如何 Amazon Health 和其他 Amazon 服务与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的Amazon 服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **Topics** + [ ## Amazon Health 基于身份的策略 ](#security_iam_service-with-iam-id-based-policies) + [ ## Amazon Health 基于资源的政策 ](#security_iam_service-with-iam-resource-based-policies) + [ ## 基于 Amazon Health 标签的授权 ](#security_iam_service-with-iam-tags) + [ ## Amazon Health IAM 角色 ](#security_iam_service-with-iam-roles) ## Amazon Health 基于身份的策略 使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及指定在什么条件下允许或拒绝操作。 Amazon Health 支持特定操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html)。 ### 操作 管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。 JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。 正在执行的策略操作在操作前 Amazon Health 使用以下前缀:`health:`. 例如,要授予某人[DescribeEventDetails](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEventDetails.html)通过 API 操作查看有关指定事件的详细信息的权限,您需要在策略中包含该`heath:DescribeEventDetails`操作。 策略声明必须包含`Action`或`NotAction`元素。 Amazon Health 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。 要在单个语句中指定多项 操作,请使用逗号将它们隔开,如下所示。 ``` "Action": [ "health:action1", "health:action2" ``` 您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,请包括以下操作。 ``` "Action": "health:Describe*" ``` 要查看 Amazon Health 操作列表,请参阅 *IAM 用户指南 Amazon Health*中的[定义操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions)。 ### 资源 管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。 `Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。 ``` "Resource": "*" ``` Amazon Health 事件采用以下亚马逊资源名称 (ARN) 格式。 ``` arn:${Partition}:health:*::event/service/event-type-code/event-ID ``` 例如,要在语句中指定 `EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456` 事件,请使用以下 ARN。 ``` "Resource": "arn:aws:health:*::event/EC2/EC2_INSTANCE_RETIREMENT_SCHEDULED/EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456" ``` 要为属于特定账户的 Amazon EC2 指定所有 Amazon Health 事件,请使用通配符 (\$1)。 ``` "Resource": "arn:aws:health:*::event/EC2/*/*" ``` 有关格式的更多信息 ARNs,请参阅 [Amazon 资源名称 (ARNs) 和 Amazon 服务命名空间](https://docs.amazonaws.cn/general/latest/gr/aws-arns-and-namespaces.html)。 某些 Amazon Health 操作无法对特定资源执行。在这些情况下,您必须使用通配符(\$1)。 ``` "Resource": "*" ``` Amazon Health API 操作可能涉及多个资源。例如,该[DescribeEvents](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEvents.html)操作返回有关满足指定筛选条件的事件的信息。这意味着 IAM 用户必须具有查看此事件的权限。 要在单个语句中指定多个资源,请 ARNs 用逗号分隔。 ``` "Resource": [ "resource1", "resource2" ``` Amazon Health 仅支持运行状况事件的资源级权限,且仅支持[DescribeAffectedEntities](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeAffectedEntities.html)和 [DescribeEventDetails](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEventDetails.html)API 操作。有关更多信息,请参阅 [基于资源和基于操作的条件](security_iam_id-based-policy-examples.md#resource-action-based-conditions)。 要查看 Amazon Health 资源类型及其列表 ARNs,请参阅 *IAM 用户指南 Amazon Health*中的[由定义的资源](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-resources-for-iam-policies)。要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 [Amazon Health定义的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions)。 ### 条件键 管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。 `Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 Amazon 全局条件键,请参阅 *IAM 用户指南*中的[Amazon 全局条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 Amazon Health 定义自己的条件键集,还支持使用一些全局条件键。要查看所有 Amazon 全局条件键,请参阅 *IAM 用户指南*中的[Amazon 全局条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 [DescribeAffectedEntities](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeAffectedEntities.html)和 [DescribeEventDetails](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEventDetails.html)API 操作支持`health:eventTypeCode`和`health:service`条件键。 要查看 Amazon Health 条件键列表,请参阅 *IAM 用户指南 Amazon Health*中的[条件密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-policy-keys)。要了解您可以使用条件键的操作和资源,请参阅[操作定义者 Amazon Health](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions)。 ### 示例 要查看 Amazon Health 基于身份的策略的示例,请参阅。[Amazon Health 基于身份的策略示例](security_iam_id-based-policy-examples.md) ## Amazon Health 基于资源的政策 基于资源的策略是 JSON 策略文档,用于指定委托人可以在哪些条件下对 Amazon Health 资源执行哪些操作。 Amazon Health 支持基于资源的健康事件权限策略。基于资源的策略允许您基于资源向其他账户授予使用权限。您也可以使用基于资源的策略来允许 Amazon 服务访问您的 Amazon Health 事件。 要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为[基于资源的策略中的委托人](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_principal.html)。将跨账户主体添加到基于资源的策略只是建立信任关系工作的一半而已。当委托人和资源位于不同的 Amazon 账户中时,您还必须向委托人实体授予访问资源的权限。通过将基于身份的策略附加到实体以授予权限。但是,如果基于资源的策略向同一个账户中的主体授予访问权限,则不需要额外的基于身份的策略。有关更多信息,请参阅*《IAM 用户指南》* 中的 [IAM 角色与基于资源的策略有何不同](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)。 Amazon Health 仅支持针对[DescribeAffectedEntities](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeAffectedEntities.html)和 [DescribeEventDetails](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEventDetails.html)API 操作的基于资源的策略。您可以在策略中指定这些操作,以定义哪些委托人实体(账户、用户、角色和联合用户)可以对 Amazon Health 事件执行操作。 ### 示例 要查看 Amazon Health 基于资源的策略的示例,请参阅[基于资源和基于操作的条件](security_iam_id-based-policy-examples.md#resource-action-based-conditions)。 ## 基于 Amazon Health 标签的授权 Amazon Health 不支持标记资源或基于标签控制访问权限。 ## Amazon Health IAM 角色 I [AM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)是您的 Amazon 账户中具有特定权限的实体。 ### 将临时证书与 Amazon Health 可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html)或之类的 Amazon STS API 操作来获取临时安全证书[GetFederationToken](https://docs.amazonaws.cn/STS/latest/APIReference/API_GetFederationToken.html)。 Amazon Health 支持使用临时证书。 ### 服务关联角色 [服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 Amazon 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。 Amazon Health 支持与服务相关的角色进行集成。 Amazon Organizations服务相关角色命名为 `AWSServiceRoleForHealth_Organizations`。该角色附带的是 [Health\$1 OrganizationsServiceRolePolicy](https://console.amazonaws.cn//iam/home?#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy) Amazon 托管策略。 Amazon 托管策略 Amazon Health 允许从组织中的其他 Amazon 账户访问健康事件。 您可以使用该[EnableHealthServiceAccessForOrganization](https://docs.amazonaws.cn//health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html)操作在账户中创建服务相关角色。但是,如果要禁用此功能,则必须先调用该[DisableHealthServiceAccessForOrganization](https://docs.amazonaws.cn//health/latest/APIReference/API_DisableHealthServiceAccessForOrganization.html)操作。然后,您可以通过 IAM 控制台、IAM API 或 Amazon Command Line Interface (Amazon CLI) 删除该角色。有关更多信息,请参阅《 IAM 用户指南》**中的[使用服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html)。 有关更多信息,请参阅 [跨账号聚合 Amazon Health 事件](aggregate-events.md)。 ### 服务角色 此功能允许服务代表您担任[服务角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。 Amazon Health 不支持服务角色。 # Amazon Health 基于身份的策略示例 基于身份的策略示例 默认情况下,IAM 用户和角色没有创建或修改 Amazon Health 资源的权限。他们也无法使用 Amazon Web Services 管理控制台 Amazon CLI、或 Amazon API 执行任务。IAM 管理员必须创建 IAM 策略,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。 要了解如何使用这些示例 JSON 策略文档创建 IAM 基于身份的策略,请参阅*《IAM 用户指南》*中的 [在 JSON 选项卡上创建策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。 **Topics** + [ ## 策略最佳实践 ](#security_iam_service-with-iam-policy-best-practices) + [ ## 使用控制 Amazon Health 台 ](#security_iam_id-based-policy-examples-console) + [ ## 允许用户查看他们自己的权限 ](#security_iam_id-based-policy-examples-view-own-permissions) + [ ## 访问 Amazon Health 控制面板和 Amazon Health API ](#security_iam_id-based-policy-examples-access-dashboard) + [ ## 基于资源和基于操作的条件 ](#resource-action-based-conditions) ## 策略最佳实践 基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除 Amazon Health 资源。这些操作可能会使 Amazon Web Services 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议: + **开始使用 Amazon 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*Amazon 托管策略*。它们在你的版本中可用 Amazon Web Services 账户。我们建议您通过定义针对您的用例的 Amazon 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_job-functions.html)。 + **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html)。 + **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 Amazon Web Services 服务,例如 Amazon CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)。 + **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。 + **需要多重身份验证 (MFA**)-如果 Amazon Web Services 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。 有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html)。 ## 使用控制 Amazon Health 台 使用控制台 要访问 Amazon Health 控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您 Amazon 账户中 Amazon Health 资源的详细信息。如果您创建的基于身份的策略比所需的最低权限更严格,则无法为具有该策略的实体(IAM 用户或角色)正常运行控制台。 为确保这些实体仍然可以使用 Amazon Health 控制台,您可以附加以下 Amazon 托管策略[https://console.amazonaws.cn//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess](https://console.amazonaws.cn//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess)。 `AWSHealthFullAccess` 策略授予实体对以下内容的完全访问权限: + 为 Amazon Health 组织中的所有账户启用或禁用 Amazon 组织视图功能 + 控制台中的 Amazon Health 控制 Amazon Health 面板 + Amazon Health API 操作和通知 + 查看有关属于您的 Amazon 组织的账户的信息 + 查看管理账户的组织单位 (OU) **Example : AWSHealthFullAccess** **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ] } ``` **注意** 您还可以使用`Health_OrganizationsServiceRolePolicy` Amazon 托管策略,以便 Amazon Health 可以查看组织中其他账户的事件。有关更多信息,请参阅 [将服务相关角色用于 Amazon Health](using-service-linked-roles.md)。 对于仅调用 Amazon CLI 或 Amazon API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。 有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。 ## 允许用户查看他们自己的权限 该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 Amazon CLI 或 Amazon API 以编程方式完成此操作的权限。 ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] } ``` ## 访问 Amazon Health 控制面板和 Amazon Health API 控制 Amazon Health 面板适用于所有 Amazon 账户。该 Amazon Health API 仅适用于拥有 B Amazon usiness Support\$1、En Amazon terprise Support 或 Amazon 统一运营计划的账户。有关更多信息,请参阅 [Amazon Web Services 支持](https://www.amazonaws.cn/premiumsupport/)。 您可以使用 IAM 创建实体(用户、群组或角色),然后向这些实体授予访问 Amazon Health 控制面板和 Amazon Health API 的权限。 默认情况下,IAM 用户无权访问 Amazon Health 控制面板或 Amazon Health API。您可以通过将 IAM 策略附加到单个用户、一组用户或一个角色来授予用户访问您账户 Amazon Health 信息的权限。有关更多信息,请参阅[身份 (用户、组和角色)](https://docs.amazonaws.cn/IAM/latest/UserGuide/id.html) 和 [IAM 策略概述](https://docs.amazonaws.cn/IAM/latest/UserGuide/PoliciesOverview.html)。 创建 IAM 用户以后,您可以为这些用户提供单独的密码。然后,他们可以使用账户特定的登录页面登录您的账户并查看 Amazon Health 信息。有关更多信息,请参阅[用户如何登录您的账户](https://docs.amazonaws.cn/IAM/latest/UserGuide/getting-started_how-users-sign-in.html)。 **注意** 有权查看 Amazon Health 控制面板的 IAM 用户拥有账户中所有 Amazon 服务的运行状况信息的只读访问权限,这些信息可能包括但不限于 Amazon 资源 ID,例如 Amazon EC2 实例 ID、EC2 实例 IP 地址和一般安全通知。 例如,如果 IAM 策略仅授予对 Amazon Health 控制面板和 Amazon Health API 的访问权限,则该策略适用的用户或角色可以访问发布的有关 Amazon 服务和相关资源的所有信息,即使其他 IAM 策略不允许该访问也是如此。 + 个人账户 — 您可以使用诸如[DescribeEvents](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEvents.html)和之类的操作[DescribeEventDetails](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEventDetails.html)来获取有关您账户 Amazon Health 的事件的信息。 + 组织帐户-您可以使用[DescribeEventsForOrganization](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEventsForOrganization.html)和之类的操作[DescribeEventDetailsForOrganization](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html)来获取有关属于您组织的帐户 Amazon Health 的事件的信息。 有关可用 API 操作的更多信息,请参阅 [Amazon Health API 参考](https://docs.amazonaws.cn/health/latest/APIReference/)。 ### 单个操作 #### 描述访问权限 本政策声明授予访问 Amazon Health 控制面板和任何 `Describe*` Amazon Health API 操作的权限。例如,拥有此策略的 IAM 用户可以访问中的 Amazon Health 控制面板 Amazon Web Services 管理控制台 并调用 Amazon Health `DescribeEvents` API 操作。 **Example :描述访问权限** **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }] } ``` #### 拒绝访问 此政策声明拒绝访问 Amazon Health 控制面板和 Amazon Health API。拥有此策略的 IAM 用户无法在中查看 Amazon Health 控制面板 Amazon Web Services 管理控制台 ,也无法调用任何 Amazon Health API 操作。 **Example :拒绝访问** **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "health:*" ], "Resource": "*" }] } ``` ### 组织视图 如果要为启用组织视图 Amazon Health,则必须允许访问 Amazon Health 和 Amazon Organizations 操作。 IAM 策略的 `Action` 元素必须包含以下权限: + `iam:CreateServiceLinkedRole` + `organizations:EnableAWSServiceAccess` + `organizations:DescribeAccount` + `organizations:DisableAWSServiceAccess` + `organizations:ListAccounts` + `organizations:ListDelegatedAdministrators` + `organizations:ListParents` 要了解每个操作所需的确切权限 APIs,请参阅 *IAM 用户指南*中的[定义操作 Amazon Health APIs 和通知](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions)。 **注意** 您必须使用组织管理账户中的凭据才能访问 Amazon Health APIs 的 Amazon Organizations。有关更多信息,请参阅 [跨账号聚合 Amazon Health 事件](aggregate-events.md)。 #### 允许访问 Amazon Health 组织视图 本政策声明授予您访问组织视图功能所需的所有内容 Amazon Health 和 Amazon Organizations 操作的权限。 **Example : 允许访问 Amazon Health 组织视图** **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] } ``` #### 拒绝访问 Amazon Health 组织视图 此政策声明拒绝访问 Amazon Organizations 操作,但允许个人账户访问 Amazon Health 这些操作。 **Example : 拒绝访问 Amazon Health 组织视图** **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Deny", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] } ``` **注意** 如果您要向其授予权限的用户或群组已有 IAM 策略,则可以在该策略中添加 Amazon Health特定于该策略的策略声明。 ## 基于资源和基于操作的条件 Amazon Health 支持[ DescribeAffectedEntities](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeAffectedEntities.html)和 [DescribeEventDetails](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEventDetails.html)API 操作的 I [AM 条件](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)。您可以使用基于资源和操作的条件来限制 Amazon Health API 向用户、群组或角色发送的事件。 为此,请更新 IAM policy 的 `Condition` 数据块或设置 `Resource` 元素。您可以使用[字符串条件](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)来限制基于特定 Amazon Health 事件字段的访问权限。 在策略中指定 Amazon Health 事件时,可以使用以下字段: + `eventTypeCode` + `service` **注意** [ DescribeAffectedEntities](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeAffectedEntities.html)和 [DescribeEventDetails](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEventDetails.html)API 操作支持资源级权限。例如,您可以创建策略,允许或拒绝特定 Amazon Health 事件。 [ DescribeAffectedEntitiesForOrganization](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeAffectedEntitiesForOrganization.html)和 [DescribeEventDetailsForOrganization](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html)API 操作不支持资源级权限。 有关更多信息,请参阅《*服务授权参考*》中的 “[Amazon Health APIs 和通知” 中的操作、资源和条件密钥](https://docs.amazonaws.cn/service-authorization/latest/reference/list_awshealthapisandnotifications.html)。 **Example :基于操作的条件** 本政策声明允许访问 Amazon Health 控制面板和 Amazon Health `Describe*` API 操作,但拒绝访问任何与 Amazon EC2 相关 Amazon Health 的事件。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringEquals": { "health:service": "EC2" } } } ] } ``` **Example :基于资源的条件** 以下策略具有相同的效果,但使用 `Resource` 元素。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeEventDetails", "health:DescribeAffectedEntities" ], "Resource": "arn:aws:health:*::event/EC2/*/*" }] } ``` **Example : eventTypeCode 状况** 此政策声明授予访问 Amazon Health 控制面板和 Amazon Health `Describe*` API 操作的权限,但拒绝访问任何与之匹配 Amazon Health `eventTypeCode`的事件`AWS_EC2_*`。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringLike": { "health:eventTypeCode": "AWS_EC2_*" } } } ] } ``` **重要** 如果您调用[DescribeAffectedEntities](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeAffectedEntities.html)和[DescribeEventDetails](https://docs.amazonaws.cn/health/latest/APIReference/API_DescribeEventDetails.html)操作但无权访问该 Amazon Health 事件,则会出现`AccessDeniedException`错误。有关更多信息,请参阅 [对 Amazon Health 身份和访问进行故障排除](security_iam_troubleshoot.md)。 # 对 Amazon Health 身份和访问进行故障排除 问题排查 使用以下信息来诊断和修复您在使用 Amazon Health 和 IAM 时可能遇到的常见问题。 **Topics** + [ ## 我无权在以下位置执行操作 Amazon Health ](#security_iam_troubleshoot-no-permissions) + [ ## 我无权执行 iam:PassRole ](#security_iam_troubleshoot-passrole) + [ ## 我想要查看我的访问密钥 ](#security_iam_troubleshoot-access-keys) + [ ## 我是一名管理员,想允许其他人访问 Amazon Health ](#security_iam_troubleshoot-admin-delegate) + [ ## 我想允许 Amazon 账户之外的人访问我的 Amazon Health 资源 ](#security_iam_troubleshoot-cross-account-access) ## 我无权在以下位置执行操作 Amazon Health 如果 Amazon Web Services 管理控制台 告诉您您无权执行某项操作,则必须联系管理员寻求帮助。管理员是指提供用户名和密码的人员。 当用户无权使用 Amazon Health 控制面板或 Amazon Health API 操作时,就会出现`AccessDeniedException`错误。 在这种情况下,用户的管理员必须更新策略以允许用户访问。 Amazon Health API 需要来自[Amazon Web Services 支持](https://www.amazonaws.cn/premiumsupport/)的 B Amazon usiness Support\$1、E Amazon nterprise Support 或 Amazon 统一运营计划。如果您使用没有 Amazon 商业支持\$1、En Amazon terprise Support或 Amazon 统一运营计划的账户调用 Amazon Health API,则会返回以下错误代码:`SubscriptionRequiredException`。 ## 我无权执行 iam:PassRole 如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给。 Amazon Health 有些 Amazon Web Services 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。 当名为 `marymajor` 的 IAM 用户尝试使用控制台在 Amazon Health中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。 ``` User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole ``` 在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。 如果您需要帮助,请联系您的 Amazon 管理员。您的管理员是提供登录凭证的人。 ## 我想要查看我的访问密钥 在创建 IAM 用户访问密钥后,您可以随时查看您的访问密钥 ID。但是,您无法再查看您的秘密访问密钥。如果您丢失了私有密钥,则必须创建一个新的访问密钥对。 访问密钥包含两部分:访问密钥 ID(例如 `AKIAIOSFODNN7EXAMPLE`)和秘密访问密钥(例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)。与用户名和密码一样,您必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。像对用户名和密码一样,安全地管理访问密钥。 **重要** 请不要向第三方提供访问密钥,即便是为了帮助[找到您的规范用户 ID](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) 也不行。通过这样做,您可以授予他人永久访问您的权限 Amazon Web Services 账户。 当您创建访问密钥对时,系统会提示您将访问密钥 ID 和秘密访问密钥保存在一个安全位置。秘密访问密钥仅在您创建它时可用。如果丢失了您的秘密访问密钥,您必须为 IAM 用户添加新的访问密钥。您最多可拥有两个访问密钥。如果您已有两个密钥,则必须删除一个密钥对,然后再创建新的密钥。要查看说明,请参阅 *IAM 用户指南*中的[管理访问密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。 ## 我是一名管理员,想允许其他人访问 Amazon Health 要允许其他人访问 Amazon Health,您必须向需要访问的人员或应用程序授予权限。如果使用 Amazon IAM Identity Center 管理人员和应用程序,则可以向用户或组分配权限集来定义其访问权限级别。权限集会自动创建 IAM 策略并将其分配给与人员或应用程序关联的 IAM 角色。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》**中的[权限集](https://docs.amazonaws.cn/singlesignon/latest/userguide/permissionsetsconcept.html)。 如果未使用 IAM Identity Center,则必须为需要访问的人员或应用程序创建 IAM 实体(用户或角色)。然后,您必须将策略附加到实体,以便在 Amazon Health中向其授予正确的权限。授予权限后,向用户或应用程序开发人员提供凭证。他们将使用这些凭证访问 Amazon。要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份](https://docs.amazonaws.cn/IAM/latest/UserGuide/id.html)和 [IAM 中的策略和权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html)。 ## 我想允许 Amazon 账户之外的人访问我的 Amazon Health 资源 您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。 要了解更多信息,请参阅以下内容: + 要了解是否 Amazon Health 支持这些功能,请参阅[如何 Amazon Health 与 IAM 配合使用](security_iam_service-with-iam.md)。 + 要了解如何提供对您拥有的资源的访问权限 Amazon Web Services 账户 ,请参阅 [IAM 用户*指南中的向您拥有 Amazon Web Services 账户 的另一个 IAM 用户*提供访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。 + 要了解如何向第三方提供对您的资源的访问[权限 Amazon Web Services 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 Amazon Web Services 账户 + 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。 + 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。 # 将服务相关角色用于 Amazon Health 使用服务关联角色 Amazon Health 使用 Amazon Identity and Access Management (IAM) [服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 Amazon Health服务相关角色由 Amazon Health 预定义,并包含相关服务为您调用其他 Amazon Web Services 服务 所需的所有权限。 您可以使用服务相关角色进行设置, Amazon Health 以避免手动添加必要的权限。 Amazon Health 定义其服务相关角色的权限,除非另有定义,否则 Amazon Health 只能担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。 ## 的服务相关角色权限 Amazon Health Amazon Health 有两个与服务相关的角色: + [https://console.amazonaws.cn/iam/home?#/roles/AWSServiceRoleForHealth_Organizations](https://console.amazonaws.cn/iam/home?#/roles/AWSServiceRoleForHealth_Organizations)— 此角色信任 Amazon Health (`health.amazonaws.com`) 代替您访问 Amazon Web Services 服务 的角色。附属于此角色的是`Health_OrganizationsServiceRolePolicy` Amazon 托管策略。 + [https://console.amazonaws.cn/iam/home?#/roles/AWSServiceRoleForHealth_EventProcessor](https://console.amazonaws.cn/iam/home?#/roles/AWSServiceRoleForHealth_EventProcessor)— 此角色信任 Amazon Health 服务主体 (`event-processor.health.amazonaws.com`) 代您担任该角色。附属于此角色的是`AWSHealth_EventProcessorServiceRolePolicy` Amazon 托管策略。服务主体使用该角色为 Amazon 事件检测和响应创建 Amazon EventBridge 托管规则。此规则是将警报状态变更信息从您的账户传送 Amazon Web Services 账户 到您的账户所需的基础架构 Amazon Health。 有关 Amazon 托管策略的更多信息,请参阅[Amazon 的托管策略 Amazon Health](security-iam-awsmanpol.md)。 ## 为创建服务相关角色 Amazon Health 您无需创建 AWSServiceRoleForHealth\$1Organizations 服务相关角色。当您调用[EnableHealthServiceAccessForOrganization](https://docs.amazonaws.cn//health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html)操作时, Amazon Health 会在账户中为您创建此服务相关角色。 您必须在账户中手动创建 AWSServiceRoleForHealth\$1EventProcessor 服务相关角色。有关更多信息,请参阅 *IAM 用户指南* 中的[创建服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。 ## 编辑的服务相关角色 Amazon Health Amazon Health 不允许您编辑服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。 ## 删除的服务相关角色 Amazon Health 要删除该AWSServiceRoleForHealth\$1Organizations角色,必须先调用该[DisableHealthServiceAccessForOrganization](https://docs.amazonaws.cn//health/latest/APIReference/API_DisableHealthServiceAccessForOrganization.html)操作。然后,您可以通过 IAM 控制台、IAM API 或 Amazon Command Line Interface (Amazon CLI) 删除该角色。 要删除该AWSServiceRoleForHealth\$1EventProcessor角色,请联系 Amazon Web Services 支持 并要求他们将您的工作负载从 Amazon 事件检测和响应中移除。完成此过程后,您可以通过 IAM 控制台、IAM API 或其他 Amazon CLI删除任一角色。 ### 相关信息 有关更多信息,请参阅《 IAM 用户指南》**中的[使用服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html)。 # Amazon 的托管策略 Amazon Health Amazon 的托管策略 Amazon Health Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。 请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。 您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。 有关更多信息,请参阅《IAM 用户指南》**中的 [Amazon 托管式策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。 Amazon Health 具有以下托管策略。 **Contents** + [ ## Amazon 托管策略:AWSHealth\$1EventProcessorServiceRolePolicy ](#security-iam-awsmanpol-Health_EventProcessorServiceRolePolicy) + [ ## Amazon 托管策略:Health\$1OrganizationsServiceRolePolicy ](#security-iam-awsmanpol-Health_OrganizationsServiceRolePolicy) + [ ## Amazon 托管策略:AWSHealthFullAccess ](#security-iam-awsmanpol-AWSHealthFullAccess) + [ ## Amazon Health Amazon 托管策略的更新 ](#security-iam-awsmanpol-updates) ## Amazon 托管策略:AWSHealth\$1EventProcessorServiceRolePolicy AWSHealth\$1EventProcessorServiceRolePolicy Amazon Health 使用[https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_EventProcessorServiceRolePolicy$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_EventProcessorServiceRolePolicy$jsonEditor) Amazon 托管策略。此托管策略附加到 `AWSServiceRoleForHealth_EventProcessor` 服务关联角色。该策略允许服务相关角色为您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 [将服务相关角色用于 Amazon Health](using-service-linked-roles.md)。 托管策略具有以下权限, Amazon Health 允许访问 Amazon 事件检测和响应的 Amazon EventBridge 规则。 **权限详细信息** 该策略包含以下权限。 + `events`— 描述和删除 EventBridge 规则,并描述和更新这些规则的目标。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Condition": { "StringEquals": {"events:ManagedBy": "event-processor.health.amazonaws.com"} }, "Action": [ "events:DeleteRule", "events:RemoveTargets", "events:PutTargets", "events:PutRule" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "events:ListTargetsByRule", "events:DescribeRule" ], "Resource": "*", "Effect": "Allow" } ] } ``` ------ 有关对策略的更改列表,请参阅 [Amazon Health Amazon 托管策略的更新](#security-iam-awsmanpol-updates)。 ## Amazon 托管策略:Health\$1OrganizationsServiceRolePolicy Health\$1OrganizationsServiceRolePolicy Amazon Health 使用[https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy$jsonEditor) Amazon 托管策略。此托管策略附加到 `AWSServiceRoleForHealth_Organizations` 服务关联角色。该策略允许服务相关角色为您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 [将服务相关角色用于 Amazon Health](using-service-linked-roles.md)。 此策略授予的权限 Amazon Health 允许访问 Health Organization 视图所需的 Amazon Organizations 详细信息。 **权限详细信息** 该策略包含以下权限。 + `organizations`— 描述中的帐户 Amazon Organizations 以及可以与 Organ Amazon Web Services 服务 izations 一起使用的帐户。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators", "organizations:DescribeOrganization", "organizations:DescribeAccount" ], "Resource": "*" } ] } ``` ------ 有关对策略的更改列表,请参阅 [Amazon Health Amazon 托管策略的更新](#security-iam-awsmanpol-updates)。 ## Amazon 托管策略:AWSHealthFullAccess AWSHealthFullAccess Amazon Health 使用[https://console.amazonaws.cn//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess$jsonEditor](https://console.amazonaws.cn//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess$jsonEditor) Amazon 托管策略。该策略授予实体(IAM 用户或角色)访问 Amazon Health 控制台的权限。有关更多信息,请参阅 [使用控制 Amazon Health 台](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)。 **权限详细信息** 该策略包含以下权限。 + `organizations`— 启用或禁用 Amazon Health 组织中所有账户的 Amazon 组织视图功能,并查看管理账户的组织单位 (OU) + `health`— 访问 Amazon Health API 操作和通知 + `iam` – 创建链接到 Amazon Health 服务的 IAM 角色 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "OrganizationWriteAccess", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Sid": "HealthFullAccess", "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Sid": "ServiceLinkAccess", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ] } ``` ------ 有关对策略的更改列表,请参阅 [Amazon Health Amazon 托管策略的更新](#security-iam-awsmanpol-updates)。 ## Amazon Health Amazon 托管策略的更新 策略更新 查看 Amazon Health 自该服务开始跟踪这些更改以来 Amazon 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [的文档历史记录 Amazon Health](doc-history.md) 页面上的 RSS 源。 下表描述了自 2022 年 1 月 13 日以来 Amazon Health 托管策略的重要更新。 **Amazon Health** | 更改 | 描述 | 日期 | | --- | --- | --- | | [Amazon 托管策略:AWSHealthFullAccess](#security-iam-awsmanpol-AWSHealthFullAccess) – 对现有策略的更新 | Amazon Health 已将该 AWSHealthFullAccess 政策扩展到 Amazon GovCloud (US) Regions 和中国地区。 | 2023 年 10 月 16 日 | | [Amazon 托管策略:Health\$1OrganizationsServiceRolePolicy](#security-iam-awsmanpol-Health_OrganizationsServiceRolePolicy) – 对现有策略的更新 | Amazon Health 添加了新的 Amazon Organizations 操作,允许服务相关角色描述可以与之配合 Amazon Organizations使用的账户和 Amazon 服务。 | 2023 年 7 月 19 日 | | 已发布的更改日志 | Amazon Health 托管策略的更改日志。 | 2023 年 1 月 13 日 |