本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 运行状况 基于身份的策略示例
默认情况下,IAM 用户和角色没有创建或修改 AWS 运行状况 资源的权限。它们还无法使用 AWS 管理控制台、AWS CLI 或 AWS API 执行任务。IAM 管理员必须创建 IAM 策略,为用户和角色授予权限,以便对他们所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。
要了解如何使用这些示例 JSON 策略文档创建基于IAM身份的策略,请参阅 中的在 JSON https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor 选项卡上IAM 用户指南创建策略。
策略最佳实践
基于身份的策略非常强大。它们确定某个人是否可以创建、访问或删除您账户中的 AWS 运行状况 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下准则和建议:
-
开始使用 AWS 托管策略 – 要快速开始使用 AWS 运行状况,请使用 AWS 托管策略,为您的员工授予他们所需的权限。这些策略已在您的账户中提供,并由 AWS 维护和更新。有关更多信息,请参阅 IAM 用户指南 中的利用 AWS 托管策略开始使用权限。
-
授予最低权限 – 创建自定义策略时,仅授予执行任务所需的许可。最开始只授予最低权限,然后根据需要授予其他权限。这样做比起一开始就授予过于宽松的权限而后再尝试收紧权限来说更为安全。有关更多信息,请参阅 IAM 用户指南 中的授予最小权限。
-
为敏感操作启用 MFA – 为增强安全性,要求 IAM 用户使用多重身份验证 (MFA) 来访问敏感资源或 API 操作。有关更多信息,请参阅 IAM 用户指南 中的在 AWS 中使用多重身份验证 (MFA)。
-
使用策略条件来增强安全性 – 在切实可行的范围内,定义基于身份的策略在哪些情况下允许访问资源。例如,您可编写条件来指定请求必须来自允许的 IP 地址范围。您也可以编写条件,以便仅允许指定日期或时间范围内的请求,或者要求使用 SSL 或 MFA。有关更多信息,请参阅 IAM 用户指南 中的 IAM JSON 策略元素:Condition。
使用 AWS 运行状况 控制台
要访问 AWS 运行状况 控制台,您必须拥有一组最低的权限。这些权限必须允许您列出和查看有关您的 AWS 运行状况 账户中的 AWS 资源的详细信息。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(IAM 用户或角色),控制台将无法按预期正常运行。
要确保这些实体仍可使用 AWS 运行状况 控制台,您可以附加以下 AWS 托管策略 AWSHealthFullAccess
该AWSHealthFullAccess策略向实体授予对以下内容的完全访问权限:
-
为AWS 运行状况组织中的所有账户启用或禁用AWS组织视图功能
-
Personal Health Dashboard 控制台AWS 运行状况中的
-
AWS 运行状况 API 操作和通知
-
查看有关属于组织的账户的信息 AWS
-
查看 的组织部门 (OU) 管理账户
例 : AWSHealthFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ] }
您还可以使用 AWS 托管角色 Health_OrganizationsServiceRolePolicy,以便 AWS 运行状况 可以查看组织中其他账户的事件。有关更多信息,请参阅Using service-linked roles for
AWS 运行状况.
对于只需要调用 AWS CLI 或 AWS API 的用户,您无需为其提供最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。
有关更多信息,请参阅 中的向用户添加权限IAM 用户指南。
允许用户查看他们自己的权限
此示例显示您可以如何创建策略,以便允许 IAM 用户查看附加到其用户身份的内联和托管策略。此策略包括在控制台上完成此操作或者以编程方式使用 AWS CLI 或 AWS API 所需的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws-cn:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
访问 Personal Health Dashboard 和 AWS 运行状况 API
Personal Health Dashboard 适用于所有 AWS 账户。AWS 运行状况 API 仅适用于具有商业或企业支持计划的账户。有关更多信息,AWS Support请参阅
您可以使用 IAM 创建实体(用户、组或角色),然后为这些实体授予权限,以访问 Personal Health Dashboard 和 AWS 运行状况 API。
默认情况下,IAM 用户无权访问 Personal Health Dashboard 或 AWS 运行状况 API。通过将 AWS 运行状况 策略附加到单个用户、一组用户或一个角色,您可为用户授予对账户的 IAM 信息的访问权限。有关更多信息,请参阅身份 (用户、组和角色) 和 IAM 策略概述.
创建 IAM 用户以后,您可以为这些用户提供单独的密码。然后,他们可以使用特定于账户的登录页面登录账户并查看 AWS 运行状况 信息。有关更多信息,请参阅 用户如何登录您的 账户.
有权查看 的 IAM 用户Personal Health Dashboard具有对账户上所有 AWS 服务的运行状况信息的只读访问权限,这些信息包括但不限于 AWS 资源IDs(如Amazon EC2实例 IDs)、EC2 实例 IP 地址和一般安全通知。
例如,如果某个 IAM 策略仅授予对 Personal Health Dashboard 和 AWS 运行状况 API 的访问权限,则该策略应用于的用户或角色可以访问已发布的有关 AWS 服务和相关资源的所有信息,即使其他 IAM 策略不允许该访问。
-
单个账户 – 您可以使用 DescribeEvents 和 等操作DescribeEventDetails来获取有关账户AWS 运行状况的事件的信息。
-
组织账户 – 您可以使用 DescribeEventsForOrganization 和 等操作DescribeEventDetailsForOrganization来获取有关属于组织的账户AWS 运行状况的事件的信息。
有关可用 API 操作的更多信息,请参阅 AWS Health API 参考.
单个操作
描述访问权限
此策略语句授予对 Personal Health Dashboard 和任何 Describe* AWS 运行状况 API 操作的访问权限。例如,具有此策略的 IAM 用户可以在 Personal Health Dashboard中访问 AWS 管理控制台 并调用
AWS 运行状况 DescribeEvents API 操作。
例 :描述访问权限
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }] }
拒绝访问
此策略语句拒绝访问 Personal Health Dashboard 和 AWS 运行状况 API。具有此策略的 IAM 用户无法在 Personal Health Dashboard中查看 AWS 管理控制台,也无法调用任何 AWS 运行状况 API 操作。
例 :拒绝访问
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "health:*" ], "Resource": "*" }] }
组织视图
如果要为 启用组织视图AWS 运行状况,则必须允许访问 AWS 运行状况 和 AWS Organizations 操作。
Action 策略的 IAM 元素必须包含以下权限:
-
iam:CreateServiceLinkedRole -
organizations:EnableAWSServiceAccess -
organizations:DescribeAccount -
organizations:DisableAWSServiceAccess -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListParents
要了解每个 所需的确切权限APIs,请参阅 中的 定义的操作AWS 运行状况APIs和 IAM 用户指南通知。
您必须使用来自组织的 管理账户 的凭证才能访问 AWS 运行状况 APIs 的 AWS Organizations。有关更多信息,请参阅使用组织视图跨账户聚合 AWS 运行状况 事件.
允许访问AWS 运行状况组织视图
此策略语句授予对组织视图功能所需的全部 AWS 运行状况 和 AWS Organizations 操作的访问权限。
例 :允许 AWS 运行状况 组织视图访问
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
拒绝访问AWS 运行状况组织视图
此策略语句拒绝访问 AWS Organizations 操作,但允许访问单个账户的 AWS 运行状况 操作。
例 :拒绝 AWS 运行状况 组织视图访问
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Deny", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
如果您想要授予权限的用户或组已拥有 IAM 策略,则可将特定于 AWS 运行状况 的策略语句添加到该策略。
基于资源和基于操作的条件
AWS 运行状况 支持 IAM 和 DescribeAffectedEntities API 操作DescribeEventDetails的条件。您可以使用基于资源和基于操作的条件来限制 AWS 运行状况 API 发送给用户、组或角色的事件。
为此,请更新 Condition 策略的 IAM 数据块或设置 Resource 元素。您可以使用 String Conditions 根据特定AWS 运行状况事件字段限制访问。
在策略中指定AWS 运行状况事件时,可以使用以下字段:
-
eventTypeCode -
service
-
DescribeAffectedEntities 和 DescribeEventDetails API 操作支持资源级权限。例如,您可以创建一个策略来允许或拒绝特定AWS 运行状况事件。
-
DescribeAffectedEntitiesForOrganization 和 DescribeEventDetailsForOrganization API 操作不支持资源级权限。
-
有关更多信息,请参阅 中的 和通知AWS 运行状况APIs的操作、资源和条件键服务授权参考。
例 :基于操作的条件
此策略语句授予对 Personal Health Dashboard 和 AWS 运行状况 Describe* API 操作的访问权限,但拒绝访问与 AWS 运行状况 相关的任何 Amazon EC2. 事件。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringEquals": { "health:service": "EC2" } } } ] }
例 :基于资源的条件
以下策略具有相同的效果,但使用 Resource 元素。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*", }, { "Effect": "Deny", "Action": [ "health:DescribeEventDetails", "health:DescribeAffectedEntities" ], "Resource": "arn:aws:health:*::event/EC2/*/*", }] }
例 :eventTypeCodecondition
此策略语句授予对 Personal Health Dashboard 和 AWS 运行状况 Describe* API 操作的访问权限,但拒绝访问 AWS 运行状况 与 eventTypeCode 匹配的任何 AWS_EC2_*. 事件。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringLike": { "health:eventTypeCode": "AWS_EC2_*" } } } ] }
如果您调用 DescribeAffectedEntities 和 DescribeEventDetails 操作,但无权访问AWS 运行状况事件,则会出现 AccessDeniedException 错误。有关更多信息,请参阅对 AWS 运行状况 身份和访问进行故障排除.