Restreindre l'accès au plan de réponse d'Incident Manager par l'organisation Fournir un accès de contact au responsable des incidents à un mandant

Exemples de politiques basées sur les ressources pour AWS Systems Manager Incident Manager

AWS Systems Manager Incident Manager prend en charge les politiques d'autorisation basées sur les ressources pour les plans de réponse et les contacts d'Incident Manager.

Incident Manager ne prend pas en charge les politiques basées sur les ressources qui refusent l'accès aux ressources partagées à l'aide. AWS RAM

Pour savoir comment créer un plan d'intervention ou un contact, consultez Création et configuration de plans de réponse dans Incident Manager etCréation et configuration de contacts dans Incident Manager.

Restreindre l'accès au plan de réponse d'Incident Manager par l'organisation

L'exemple suivant accorde des autorisations aux utilisateurs de l'organisation dotés de l'identifiant de l'organisation : o-abc123def45 pour répondre aux incidents créés à l'aide du plan de réponsemyplan.

Le Condition bloc utilise les StringEquals conditions et la clé de aws:PrincipalOrgID condition, qui est une clé de condition AWS Organizations spécifique. Pour plus d'informations sur ces clés de condition, consultez la section Spécification de conditions dans une politique.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "OrganizationAccess",
      "Effect": "Allow", 
      "Principal": “*”,
      "Condition": {
         "StringEquals": {"aws:PrincipalOrgID":"o-abc123def45"}
      },
      "Action": [
        "ssm-incidents:GetResponsePlan",
        "ssm-incidents:StartIncident",
        "ssm-incidents:UpdateIncidentRecord",
        "ssm-incidents:GetIncidentRecord",
        "ssm-incidents:CreateTimelineEvent",
        "ssm-incidents:UpdateTimelineEvent",
        "ssm-incidents:GetTimelineEvent",
        "ssm-incidents:ListTimelineEvents",
        "ssm-incidents:UpdateRelatedItems",
        "ssm-incidents:ListRelatedItems"
      ],
      "Resource": [
        "arn:aws:ssm-incidents:*:111122223333:response-plan/myplan",
        "arn:aws:ssm-incidents:*:111122223333:incident-record/myplan/*"
      ]
    }
  ]
}

Fournir un accès de contact au responsable des incidents à un mandant

L'exemple suivant autorise le directeur ARN arn:aws:iam::999988887777:root à créer des engagements avec le contactmycontact.


{
    "Version": "2012-10-17", 
    "Statement": [
        { 
            "Sid": "PrincipalAccess",
            "Effect": "Allow", 
            "Principal": { 
                "AWS": "arn:aws:iam::999988887777:root" 
            }, 
            "Action": [
                "ssm-contacts:GetContact",
                "ssm-contacts:StartEngagement",
                "ssm-contacts:DescribeEngagement",
                "ssm-contacts:ListPagesByContact"
            ],
            "Resource": [
                "arn:aws:ssm-contacts:*:111122223333:contact/mycontact"
                "arn:aws:ssm-contacts:*:111122223333:engagement/mycontact/*"
            ]
        }
    ] 
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples de politiques basées sur l’identité

Prévention du problème de l’adjoint confus entre services