Controle AWS acesso e permissões usando políticas

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Configure políticas com o nível necessário de permissões para fornecer acesso ao AWS recursos para Descoberta na nuvem e. Cloud Provisioning and Governance.

    Antes de Iniciar

    Familiarize-se com a criação de usuários do IAM e políticas de usuário. Consulte Documentação da AWS .

    Identifique o nível de permissões necessário para descobrir os recursos usando Descoberta na nuvem e gerenciar os recursos com Cloud Provisioning and Governance. Por exemplo:
    • Permissões adicionais do S3 são necessárias como AWS Usa um bucket do S3 para armazenar e executar os modelos de formação de nuvem para implantar pilhas usando o CloudFormation. Essas permissões são necessárias mesmo se você executar o mesmo modelo do CloudFormation do AWS console.
    • O acesso somente leitura é necessário para fazer a descoberta de padrão com a política personalizada.
    AWS CloudFormation provisiona e configura recursos fazendo chamadas para AWS serviços descritos no seu modelo. Para obter mais informações, consulte Como o CloudFormation funciona?

    Baixe o. Descoberta na nuvem planilha de padrões para que você possa conceder as permissões de usuário necessárias para executar o. Descoberta padrões. Além das permissões, a planilha também inclui informações úteis, como nomes de padrões, tipos, classes de IC e links para a documentação do fornecedor. Novos padrões são disponibilizados trimestralmente; por isso, verifique periodicamente para ter certeza de que está usando a versão mais recente da planilha.

    Funções necessárias:
    • Administrador do Console de gerenciamento da AWS
    • Para Descoberta na nuvem: discovery_admin
    • Para Cloud Provisioning and Governance: admin ou sn_cmp.cloud_admin

    Por Que e Quando Desempenhar Esta Tarefa

    A política que você configura define AWS permissões que você pode atribuir a um usuário, grupo ou função. Dependendo do AWS serviços que você usa, especifique ações para o serviço executar descoberta e provisionamento e ações de ciclo de vida usando Cloud Provisioning and Governance.

    Procedimento

    1. Faça login no AWS Console de gestão usando as credenciais da conta de serviço relevante.
      Se você usou um usuário do IAM ou uma função do IAM para fornecer acesso usando credenciais temporárias, faça login usando o mesmo usuário do IAM ou função do IAM.
    2. Abra o registro do usuário na instância do usuário relevante.
    3. Defina uma política de usuário em AWS Console de gestão usando um dos seguintes métodos:
      • Conceda acesso de administrador à instância. Este método fornece o mesmo nível de acesso que usar o ID da chave de acesso e a Chave de acesso secreta. Anexe o. Administrador política para o perfil do usuário.
        Nota:
        Para criar uma política de usuário que ofereça suporte somente a Descoberta na nuvem em vez de provisionar recursos de nuvem, anexe o. ReadOnlyAccess em vez disso, a política.
      • Crie uma política personalizada com um nome descritivo. No campo Documento de política, escreva o código que inclui as APIs que esta política permite a execução.
        Nota:
        A amostra JSON a seguir é um exemplo parcial que mostra permissões para Descoberta na nuvem. Não é uma lista completa de todas as permissões necessárias.
        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"PermissionsNeededForDiscovery",
         "Effect":"Allow",
         "Action":[
            "account:ListRegions",
            "apigateway:GET",
            "application-autoscaling:Describe*",
            "autoscaling-plans:Describe*",
            "autoscaling:Describe*",
            "autoscaling:DescribeAutoScalingGroups",
            "autoscaling:DescribeLaunchConfigurations",
            "cloudformation:Describe*",
            "cloudformation:DescribeStack*",
            "cloudformation:List*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "config:ListDiscoveredResources",
            "dynamodb:Describe*",
            "dynamodb:DescribeTable",
            "dynamodb:ListGlobalTables",
            "dynamodb:ListTables",
            "ec2:Describe*",
            "ec2:ReportInstanceStatus",
            "ecs:Describe*",
            "ecs:List*",
            "eks:Describe*",
            "eks:List*",
            "elasticache:Describe*",
            "elasticache:List*",
            "elasticfilesystem:Describe*",
            "elasticloadbalancing:Describe*",
            "lambda:Get*",
            "lambda:List*",
            "organizations:Describe*",
            "organizations:DescribeOrganization",
            "organizations:List*",
            "rds:Describe*",
            "redshift:Describe*",
            "route53:GetHostedZone",
            "route53:List*",
            "s3:GetAccountPublicAccessBlock",
            "s3:GetBucket*",
            "s3:GetBucketLocation",
            "s3:List*",
            "sdb:GetAttributes",
            "sns:GetEndpointAttributes",
            "sns:GetSubscriptionAttributes",
            "sns:List*",
            "sns:ListPlatformApplications",
            "sns:ListSubscriptions",
            "sns:ListSubscriptionsByTopic",
            "sns:ListTopics"
         ],
         "Resource":"*"
      }
   ]
}
      • A amostra JSON a seguir é um exemplo parcial que mostra permissões para Descoberta na nuvem e. Cloud Provisioning and Governance. Não é uma lista completa de todas as permissões necessárias.
        {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PermissionsNeededForCPG",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "apigateway:GET",
                "application-autoscaling:Describe*",
                "autoscaling-plans:Describe*",
                "autoscaling:Describe*",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "cloudformation:Describe*",
                "cloudformation:DescribeStack*",
                "cloudwatch:Get*",
                "cloudwatch:List*",
                "config:ListDiscoveredResources"
                "dynamodb:Describe*",
                "dynamodb:DescribeTable",
                "dynamodb:ListGlobalTables",
                "dynamodb:ListTables",
                "ec2:Describe*",
                "ec2:ReportInstanceStatus",
                "ecs:Describe*",
                "ecs:List*",
                "eks:Describe*",
                "eks:List*",
                "elasticache:Describe*",
                "elasticache:List*",
                "elasticfilesystem:Describe*",
                "elasticloadbalancing:Describe*",
                "lambda:Get*",
                "lambda:List*",
                "organizations:Describe*",
                "organizations:DescribeOrganization",
                "organizations:List*",
                "rds:Describe*",
                "redshift:Describe*",
                "route53:GetHostedZone",
                "route53:List*",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucket*",
                "s3:GetBucketLocation",
                "s3:List*",
                "sdb:GetAttributes",
                "sns:GetEndpointAttributes",
                "sns:GetSubscriptionAttributes",
                "sns:List*",
                "sns:ListPlatformApplications",
                "sns:ListSubscriptions",
                "sns:ListSubscriptionsByTopic",
                "sns:ListTopics"
            ],
            "Resource": "*"
        },
        {
            "Sid": "MinimalPermissionsNeededForEc2ProvisioningThroughCloudFormation",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:CreateUploadBucket",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplate",
                "cloudformation:GetTemplateSummary",
                "cloudformation:List*",
                "cloudformation:UpdateStack",
                "cloudformation:ValidateTemplate"
                "ec2:*",
                "s3:CreateBucket",
                "s3:DeleteBucket",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}