• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Systems Manager
Cloud-Sicherheit genießt bei Amazon Web Services höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS-Services in der läuft AWS Cloud. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für geltenAWS Systems Manager, finden Sie [AWS-Services unter Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/)AWS-Services und unter .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS-Service , was Sie verwenden. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, die Anforderungen Ihres Unternehmens und die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung anwenden können AWS Systems Manager. Die folgenden Themen veranschaulichen, wie Sie Systems Manager zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie erfahren auch, wie Sie andere verwenden können AWS-Services , die Ihnen bei der Überwachung und Sicherung Ihrer Systems Manager Ressourcen helfen.
**Topics**
+ [Datenschutz in AWS Systems Manager](data-protection.md)
+ [Datenperimeter in AWS Systems Manager](data-perimeters.md)
+ [Identity and Access Management für AWS Systems Manager](security-iam.md)
+ [Verwenden von serviceverknüpften Rollen für Systems Manager](using-service-linked-roles.md)
+ [Protokollieren und Überwachen in AWS Systems Manager](logging-and-monitoring.md)
+ [Compliance-Validierung für AWS Systems Manager](compliance-validation.md)
+ [Ausfallsicherheit in AWS Systems Manager](disaster-recovery-resiliency.md)
+ [Sicherheit der Infrastruktur in AWS Systems Manager](infrastructure-security.md)
+ [Konfigurations- und Schwachstellenanalyse in AWS Systems Manager](vulnerability-analysis-and-management.md)
+ [Bewährte Methoden für die Sicherheit für Systems Manager](security-best-practices.md)
# Datenschutz in AWS Systems Manager
Dieser Datenschutz bezieht sich auf Daten bei der *Übertragung* (wenn sie zu oder von Systems Manager geschickt werden), ebenso wie im *Ruhezustand* (die in AWS-Rechenzentren gespeichert sind).
Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) von AWS gilt für den Datenschutz in AWS Systems Manager. Wie in diesem Modell beschrieben, ist AWS verantwortlich für den Schutz der globalen Infrastruktur, in der die gesamte AWS Cloud ausgeführt wird. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS-Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS-Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, AWS-Konto-Anmeldeinformationen zu schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einzurichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein. Informationen zur Verwendung von CloudTrail-Trails zur Erfassung von AWS-Aktivitäten finden Sie unter [Arbeiten mit CloudTrail-Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail-Benutzerhandbuch*.
+ Verwenden Sie AWS-Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen in AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Systems Manager oder anderen AWS-Services über die Konsole, API, AWS CLI oder AWS-SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Datenverschlüsselung
### Verschlüsselung im Ruhezustand
**Parameter Store-Parameter**
Zu den Parametertypen, die Sie in Parameter Store (einem Tool in AWS Systems Manager) erstellen können, gehören `String`, `StringList` und `SecureString`.
Alle Parameter, unabhängig von ihrem Typ, werden bei der Übertragung und im Ruhezustand verschlüsselt. Bei der Übertragung werden Parameter mithilfe von Transport Layer Security (TLS) verschlüsselt, um eine sichere HTTPS-Verbindung für API-Anfragen herzustellen. Im Ruhezustand werden sie mit einem AWS-eigener Schlüssel in AWS Key Management Service (AWS KMS) verschlüsselt. Weitere Informationen zur AWS-eigener Schlüssel-Verschlüsselung finden Sie im *AWS Key Management Service-Entwicklerhandbuch* unter [AWS-eigene Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
Der Typ `SecureString` bietet zusätzliche Verschlüsselungsoptionen und wird für alle sensiblen Daten empfohlen. Sie können aus den folgenden AWS KMS-Schlüsseltypen wählen, um den Wert eines `SecureString`-Parameters zu verschlüsseln und zu entschlüsseln:
+ Der Von AWS verwalteter Schlüssel Ihres Kontos.
+ Ein kundenseitig verwalteter Schlüssel (CMK), den Sie in Ihrem Konto erstellt haben
+ Ein CMK in einem anderen AWS-Konto, der für Sie freigegeben wurde
Weitere Informationen zur AWS KMS-Verschlüsselung finden Sie im [AWS Key Management Service-Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Inhalt in S3-Buckets**
Als Teil Ihrer Systems Manager-Vorgänge können Sie Daten in einen oder mehrere Amazon Simple Storage Service (Amazon S3)-Buckets hochladen oder speichern.
Informationen zur Verschlüsselung von S3-Buckets finden Sie unter [Daten durch Verschlüsselung schützen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) und [Datenschutz in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) im *Benutzerhandbuch zu Amazon Simple Storage Service*.
Die folgenden Datentypen können Sie als Teil Ihrer Systems Manager-Aktivitäten hochladen oder in S3 Buckets speichern lassen:
+ Die Ausgabe von Befehlen in Run Command, einem Tool in AWS Systems Manager
+ Pakete in Distributor, einem Tool in AWS Systems Manager
+ Patching-Protokolle in Patch Manager, einem Tool in AWS Systems Manager
+ Patch Manager Patch-Überschreibungslisten
+ Skripte oder Ansible Playbooks, die in einem Runbook-Workflow in Automation ausgeführt werden sollen, einem Tool in AWS Systems Manager
+ Chef InSpec-Profile für die Verwendung mit Scans in Compliance, einem Tool in AWS Systems Manager
+ AWS CloudTrail-Protokolle
+ Sitzungsverlaufsprotokolle in Session Manager, einem Tool in AWS Systems Manager
+ Berichte aus Explorer, einem Tool in AWS Systems Manager
+ OpsData von OpsCenter, einem Tool in AWS Systems Manager
+ AWS CloudFormation-Vorlagen für die Verwendung mit Automation-Workflows
+ Compliance-Daten aus einem Resource Data Sync-Scan
+ Ausgabe von Anforderungen zum Erstellen oder Bearbeiten von Zuordnungen in State Manager, einem Tool in AWS Systems Manager, auf verwalteten Knoten
+ Benutzerdefinierte Systems Manager-Dokumente (SSM-Dokumente), die Sie mit dem AWS-verwalteten SSM-Dokument `AWS-RunDocument` ausführen können
**CloudWatch Logs-Protokollgruppen**
Als Teil Ihrer Systems Manager-Operationen könnten Sie sich dafür entscheiden, Daten in eine oder mehrere Amazon CloudWatch Logs-Protokollgruppen zu streamen.
Informationen zur Verschlüsselung von CloudWatch-Logs-Protokollgruppen finden Sie unter [Verschlüsseln von Protokolldaten in CloudWatch Logs mit AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) im *Benutzerhandbuch zu Amazon CloudWatch Logs*.
Im Folgenden sind die Datentypen aufgeführt, die Sie möglicherweise als Teil Ihrer Systems Manager-Aktivitäten in eine CloudWatch Logs-Protokollgruppe gestreamt haben.
+ Die Ausgabe der Run Command-Befehle
+ Ausgabe von Skripten, die mit der `aws:executeScript`-Aktion in einem Automation-Runbooks ausgeführt werden
+ Session Manager-Sitzungsverlaufsprotokolle
+ Protokolle vom SSM Agent auf Ihren verwalteten Nodes
### Verschlüsselung während der Übertragung.
Wir empfehlen, dass Sie ein Verschlüsselungsprotokoll wie Transport Layer Security (TLS) verwenden, um sensible Daten bei der Übertragung zwischen den Clients und Ihren Knoten zu verschlüsseln.
Systems Manager bietet die folgende Unterstützung für die Verschlüsselung Ihrer Daten während der Übertragung.
**Verbindungen zu Systems Manager API-Endpunkten**
Systems Manager-API-Endpunkte unterstützen ausschließlich sichere Verbindungen über HTTPS. Wenn Sie Systems Manager-Ressourcen mit der AWS-Managementkonsole, dem AWS SDK oder der Systems Manager-API verwalten, wird die gesamte Kommunikation mit Transport Layer Security (TLS) verschlüsselt. Eine vollständige Liste der API-Endpunkte finden Sie unter [AWS-Service-Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html) im *Allgemeine Amazon Web Services-Referenz*.
**Verwaltete Instances**
AWS bietet sichere und private Konnektivität zwischen Amazon Elastic Compute Cloud (Amazon EC2)-Instances. Darüber hinaus wird Datenverkehr zwischen unterstützen Instances in einer Virtual Private Cloud (VPC) oder in per Peering verbundenen VPCs automatisch mithilfe von AEAD-Algorithmen mit 256-Bit-Verschlüsselung verschlüsselt. Das Verschlüsselungsfeature verwendet die Offload-Möglichkeiten der zugrunde liegenden Hardware ohne Auswirkungen auf die Netzwerkleistung. Unterstützte Instances: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn und R5n.
**Session Manager-Sitzungen**
Standardmäßig verwendet Session Manager TLS 1.3 zum Verschlüsseln von Sitzungsdaten, die zwischen lokalen Computern von Benutzern in Ihrem Konto und Ihren EC2-Instances übertragen werden. Sie können die Daten während der Übertragung auch weiter verschlüsseln, indem Sie ein AWS KMS key verwenden, das in AWS KMS erstellt wurde. AWS KMS-Verschlüsselung ist verfügbar für `Standard_Stream`-, `InteractiveCommands`-, und `NonInteractiveCommands`-Sitzungstypen.
**Run Command-Zugriff**
Standardmäßig wird der Remote-Zugriff auf Ihre Knoten über Run Command mit TLS 1.3 verschlüsselt und Anfragen zum Verbindungsaufbau werden mit SigV4 signiert.
## Richtlinie für den Datenverkehr zwischen Netzwerken
Sie können Amazon Virtual Private Cloud (Amazon VPC) verwenden, um Grenzen zwischen Ressourcen in Ihren verwalteten Knoten zu erstellen und den Datenverkehr zwischen ihnen, Ihrem On-Premises-Netzwerk und dem Internet zu steuern. Einzelheiten finden Sie unter [Verbessern Sie die Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten für](setup-create-vpc.md) Systems Manager.
Weitere Informationen zur Sicherheit der Amazon Virtual Private Cloud finden Sie unter [Datenschutz des Internet-Datenverkehrs in Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) im *Benutzerhandbuch Amazon VPC*.
# Datenperimeter in AWS Systems Manager
Bei einem Datenperimeter handelt es sich um eine Reihe präventiver Schutzmaßnahmen in Ihrer AWS Umgebung, die sicherstellen, dass nur vertrauenswürdige Identitäten aus den erwarteten Netzwerken und Ressourcen auf Ihre Daten zugreifen können. Wenn Sie Datenperimeterkontrollen implementieren, müssen Sie möglicherweise Ausnahmen für AWS diensteigene Ressourcen einbeziehen, auf die Systems Manager in Ihrem Namen zugreift.
**Beispielszenario: SSM-Dokumentkategorien, S3-Bucket**
Systems Manager greift auf einen AWS verwalteten S3-Bucket zu, um Informationen zur [AWS Systems Manager-Documents](documents.md) Dokumentkategorie abzurufen. Dieser Bucket enthält Metadaten zu Dokumentkategorien, mit deren Hilfe SSM-Dokumente in der Konsole organisiert und klassifiziert werden können.
ARN-Muster für Ressourcen
`arn:aws:s3:::ssm-document-categories-region`
Regionale Beispiele:
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`
Zugriff
Auf diese Ressource wird zugegriffen, wenn Sie SSM-Dokumente in der Systems Manager Manager-Konsole anzeigen oder wenn Sie APIs diese zum Abrufen von Dokumentmetadaten und Kategorien verwenden.
Gespeicherte Daten
Der Bucket enthält JSON-Dateien mit Definitionen und Metadaten für Dokumentkategorien. Diese Daten sind schreibgeschützt und enthalten keine kundenspezifischen Informationen.
Verwendete Identität
Systems Manager greift im Namen Ihrer Anfragen mithilfe von AWS Dienstanmeldedaten auf diese Ressource zu.
Erforderliche Berechtigungen
`s3:GetObject` für die Inhalte des Buckets.
**Überlegungen zur Datenperimeter-Richtlinien**
Bei der Implementierung von Datenperimeterkontrollen mithilfe von Service Control Policies (SCPs) oder VPC-Endpunktrichtlinien mit Bedingungen wie`aws:ResourceOrgID`, müssen Sie Ausnahmen für die AWS diensteigenen Ressourcen erstellen, die Systems Manager benötigt.
Wenn Sie beispielsweise ein SCP mit verwenden, `aws:ResourceOrgID` um den Zugriff auf Ressourcen außerhalb Ihrer Organisation einzuschränken, müssten Sie eine Ausnahme für den Bereich SSM-Dokumentkategorien hinzufügen.
Die Richtlinie müsste auf Ressourcen außerhalb Ihrer Organisation zugreifen, aber eine Ausnahme für die entsprechenden S3-Buckets enthalten, damit Systems Manager weiterhin ordnungsgemäß funktionieren kann.
Wenn Sie VPC-Endpunktrichtlinien verwenden, um den S3-Zugriff einzuschränken, müssten Sie ebenfalls sicherstellen, dass die Buckets für SSM-Dokumentkategorien über Ihre VPC-Endpunkte zugänglich sind.
**Weitere Informationen**
Weitere Informationen zu Datenperimetern finden Sie in den AWS folgenden Themen:
+ [Datenperimeter aktiviert](https://aws.amazon.com/identity/data-perimeters-on-aws/). AWS
+ [Richten Sie mithilfe von Datenperimetern im IAM-Benutzerhandbuch Richtlinien für Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html) *ein*
+ [Servicespezifische Anleitungen: AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md) *und Ressourcen, die dem Dienst gehören, befinden sich im [Samples-Repository](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md) auf AWS * GitHub
# Identity and Access Management für AWS Systems Manager
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren steuern, wer *authentifiziert* (angemeldet) und *autorisiert* (Berechtigungen besitzt) ist, um Systems Manager Ressourcen zu nutzen. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Funktionsweise von AWS Systems Manager mit IAM](security_iam_service-with-iam.md)
+ [AWS Systems ManagerBeispiele für identitätsbasierte -Richtlinien](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für AWS Systems Manager](security-iam-awsmanpol.md)
+ [Fehlerbehebung für AWS Systems Manager-Identität und -Zugriff](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung für AWS Systems Manager-Identität und -Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Funktionsweise von AWS Systems Manager mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [AWS Systems ManagerBeispiele für identitätsbasierte -Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
Informationen zu AWS verwalteten Richtlinien für Systems Manager finden Sie unter[Von AWS Systems Manager verwaltete Richtlinien](security_iam_service-with-iam.md#managed-policies).
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Bedingungsschlüssel für die Richtlinie
Die Aktionen, die Benutzer und Rollen ausführen können, und die Ressourcen, auf denen sie diese Aktionen ausführen können, können durch bestimmte *Bedingungen* weiter eingeschränkt werden.
Das Element `Condition` (oder `Condition`-Blockierung) ermöglicht Ihnen in JSON-Richtliniendokumenten die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Element `Condition` ist optional. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. `StringEquals` oder `StringNotLike`, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.
Wenn Sie mehrere `Condition`-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen `Condition`-Element angeben, wertet AWS diese mittels einer logischen `AND`-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen Operation aus. `OR` Alle Bedingungen müssen erfüllt sein, bevor die Berechtigungen für die Anweisung erteilt werden.
Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Beispielsweise können Sie einem IAM-Benutzer die Berechtigung für den Zugriff auf eine Ressource nur dann gewähren, wenn sie mit dessen IAM-Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie unter [IAM-Richtlinienelemente: Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *IAM-Benutzerhandbuch*.
AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Weitere Informationen finden Sie unter [Globale AWS -Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
**Wichtig**
Wenn Sie Systems Manager Automation verwenden, empfehlen wir, den SourceIp Bedingungsschlüssel [aws:](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) nicht in Ihren Richtlinien zu verwenden. Das Verhalten dieses Bedingungsschlüssels hängt von mehreren Faktoren ab, z. B. davon, ob eine IAM-Rolle für die Ausführung des Automation-Runbooks bereitgestellt wird, und von den im Runbook verwendeten Automatisierungsaktionen. Daher kann der Bedingungsschlüssel zu unerwartetem Verhalten führen. Aus diesem Grund raten wir davon ab, dass Sie es verwenden.
Systems Manager unterstützt eine Reihe von eigenen Bedingungsschlüsseln. Weitere Informationen finden Sie unter [Bedingungsschlüssel für AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) in der *Service-Autorisierungsreferenz*. Die Aktionen und Ressourcen, mit denen Sie einen Systems-Manager-spezifischen Bedingungsschlüssel verwenden können, sind unter [Ressourcentypen definiert von AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) in der *Service Authorization* Reference aufgeführt.
Wenn Ihre Richtlinie von einem Serviceprinzipalnamen abhängen muss, der dem Systems-Manager-Service gehört, empfehlen wir Ihnen, anhand des `aws:PrincipalServiceNamesList` [mehrwertigen Bedingungsschlüssels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys) und nicht anhand des `aws:PrincipalServiceName`-Bedingungsschlüssels zu prüfen, ob es existiert oder nicht existiert. Der `aws:PrincipalServiceName`-Bedingungsschlüssel enthält nur einen Eintrag aus der Liste der Serviceprinzipalnamen, und es handelt sich möglicherweise nicht immer um den erwarteten Serviceprinzipalnamen. Der folgende `Condition`-Block zeigt die Überprüfung auf das Vorhandensein von `ssm.amazonaws.com`.
```
{
"Condition": {
"ForAnyValue:StringEquals": {
"aws:PrincipalServiceNamesList": "ssm.amazonaws.com"
}
}
}
```
Beispiele für identitätsbasierte Systems-Manager-Richtlinien finden Sie unter [AWS Systems ManagerBeispiele für identitätsbasierte -Richtlinien](security_iam_id-based-policy-examples.md).
### Zugriffskontrolllisten (ACLs)
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Funktionsweise von AWS Systems Manager mit IAM
Bevor Sie AWS Identity and Access Management (IAM) zur Verwaltung des Zugriffs auf verwenden AWS Systems Manager, sollten Sie wissen, mit welchen IAM-Funktionen Sie verwenden können. Systems Manager *Einen allgemeinen Überblick über die Funktionsweise von IAM Systems Manager und andere AWS-Services Funktionen finden Sie im [AWS-Services IAM-Benutzerhandbuch unter Funktionen mit IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Identitätsbasierte Systems Manager-Richtlinien](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Systems Manager-Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung auf der Basis von Systems Manager-Tags](#security_iam_service-with-iam-tags)
+ [Systems ManagerIAM-Rollen](#security_iam_service-with-iam-roles)
## Identitätsbasierte Systems Manager-Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie festlegen, welche Aktionen und Ressourcen gewährt oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Systems Manager unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in Systems Manager verwenden das folgende Präfix vor der Aktion: `ssm:`. Um jemandem beispielsweise die Berechtigung zu erteilen, einen Systems Manager-Parameter (SSM-Parameter) mit der Systems Manager `PutParameter` API-Operation zu erstellen, nehmen Sie die Aktion `ssm:PutParameter` in seine Richtlinie auf. Richtlinienanweisungen müssen ein `Action`- oder `NotAction`-Element enthalten. Systems Manager definiert seinen eigenen Satz an Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service durchführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"ssm:action1",
"ssm:action2"
]
```
**Anmerkung**
Die folgenden Tools AWS Systems Manager verwenden unterschiedliche Präfixe vor Aktionen.
AWS AppConfig verwendet das Präfix `appconfig:` vor Aktionen.
Incident Manager verwendet das Präfix `ssm-incidents:` oder `ssm-contacts:` vor Aktionen.
Systems Manager GUI Connect verwendet das Präfix `ssm-guiconnect:` vor Aktionen.
Quick Setup verwendet das Präfix `ssm-quicksetup:` vor Aktionen.
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "ssm:Describe*"
```
Eine Liste der Systems Manager-Aktionen finden Sie unter [Von AWS Systems Manager definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions) in der *Service-Autorisierungs-Referenz*.
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Die Ressource des Systems Manager-Wartungsfensters hat beispielsweise das folgende ARN-Format.
```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```
Um die mw-0c50858d01EXAMPLE-Wartungsfenster in Ihrer Anweisung in der Region USA Ost (Ohio) anzugeben, verwenden Sie einen ARN ähnlich dem folgenden.
```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```
Um alle Wartungsfenster anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1).
```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```
Bei `Parameter Store` API-Vorgängen können Sie den Zugriff auf alle Parameter auf einer Hierarchieebene bereitstellen oder einschränken, indem Sie hierarchische Namen und AWS Identity and Access Management (IAM-) Richtlinien wie folgt verwenden.
```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```
Einige Systems Manager-Aktionen, z. B. zum Erstellen von Ressourcen, können auf bestimmten Ressourcen nicht ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Manche Systems Manager-API-Operationen akzeptieren mehrere Ressourcen. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt ARNs durch Kommas.
```
"Resource": [
"resource1",
"resource2"
```
**Anmerkung**
Die meisten AWS-Services behandeln einen Doppelpunkt (:) oder einen Schrägstrich (/) als dasselbe Zeichen in. ARNs Allerdings erfordert Systems Manager eine exakte Übereinstimmung in den Ressourcenmustern und -regeln. Verwenden Sie also die richtigen ARN-Zeichen zum Erstellen von Ereignismustern, sodass sie mit dem ARN der Ressource übereinstimmen.
Die folgende Tabelle beschreibt die ARN-Formate für die von Systems Manager unterstützten Ressourcentypen.
**Anmerkung**
Beachten Sie die folgenden Ausnahmen für ARN-Formate.
Die folgenden Tools AWS Systems Manager verwenden unterschiedliche Präfixe vor Aktionen.
AWS AppConfig verwendet das Präfix `appconfig:` vor Aktionen.
Incident Manager verwendet das Präfix `ssm-incidents:` oder `ssm-contacts:` vor Aktionen.
Systems Manager GUI Connect verwendet das Präfix `ssm-guiconnect` vor Aktionen.
Dokumente und Automatisierungsdefinitionsressourcen, die Eigentum von Amazon sind, sowie öffentliche Parameter, die sowohl von Amazon als auch von Drittanbietern bereitgestellt werden, enthalten IDs in ihren ARN-Formaten kein Konto. Beispiel:
Das SSM-Dokument `AWS-RunPatchBaseline`:
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline`
Automation-Runbook `AWS-ConfigureMaintenanceWindows`:
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
Öffentliche Parameter `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`:
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
Weitere Informationen zu diesen drei Ressourcentypen finden Sie in den folgenden Themen:
[Arbeiten mit Dokumenten](documents-using.md)
[Führen Sie einen automatisierten Vorgang aus, der von Systems Manager Automation unterstützt wird](running-simple-automations.md)
[Arbeiten mit öffentlichen Parametern in Parameter Store](parameter-store-public-parameters.md)
Quick Setup verwendet das Präfix `ssm-quicksetup:` vor Aktionen.
| Ressourcentyp | ARN-Format |
| --- | --- |
| Anwendung (AWS AppConfig) | arn:aws:appconfig: ::application/ region account-id application-id |
| Zuordnung | arn:aws:ssm: :assoziation/ region account-id association-id |
| Automatisierungsausführung | arn:aws:ssm: region ::Automationsausführung/ account-id automation-execution-id |
| Automatisierungsdefinition (mit Versions-Subressource) | **arn:aws:ssm: *region* ::automationsdefinition/: 1 *account-id* *automation-definition-id* *version-id*** |
| Konfigurationsprofil (AWS AppConfig) | arn:aws:appconfig: region ::application/ /configurationprofile/ account-id application-id configurationprofile-id |
| Kontakt (Incident Manager) | arn:aws:ssm-contacts: *region* ::kontakt/ *account-id* *contact-alias* |
| Bereitstellungsstrategie (AWS AppConfig) | arn:aws:appconfig: ::deploymentstrategy/ region account-id deploymentstrategy-id |
| Dokument | arn:aws:ssm: :document/ *region* *account-id* *document-name* |
| Umgebung (AWS AppConfig) | arn:aws:appconfig: :application/ region /environment/ account-id application-id environment-id |
| Vorfall | arn:aws:ssm-incidents: *region* *account-id* ::incident-record//*response-plan-name**incident-id* |
| Wartungsfenster | arn:aws:ssm: ::Wartungsfenster/ *region* *account-id* *window-id* |
| Verwalteter Knoten | arn:aws:ssm: *region* ::managed-instance/ *account-id* *managed-node-id* |
| Bestand an verwalteten Knoten | arn:aws:ssm::region:/account-idmanaged-instance-inventorymanaged-node-id |
| OpsItem | arn:aws:ssm regionaccount-id: :opsitem/ OpsItem-id |
| Parameter | Ein Parameter mit einer Ebene: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/security_iam_service-with-iam.html) Ein Parameter, der mit einer hierarchischen Struktur benannt ist: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/security_iam_service-with-iam.html) |
| Patch-Baseline | arn:aws:ssm: *region* :patchbaseline/ *account-id* *patch-baseline-id* |
| Response-Plan | arn:aws:ssm-incidents: *region* ::response-plan/ *account-id* *response-plan-name* |
| Sitzung | **arn:aws:ssm: ::session/ 3 *region* *account-id* *session-id*** |
| Alle Systems Manager-Ressourcen | arn:aws:ssm:\$1 |
| Alle Ressourcen gehören den in der angegebenen Liste angegebenen Systems Manager AWS-Konto AWS-Region | arn:aws:ssm::: \$1 *region* *account-id* |
**Anmerkung**
Ressourcen für Automatisierungsdefinitionen sind veraltet. Bitte aktualisieren Sie Ihre IAM-Richtlinien so, dass sie die Optionen „Zulassen für“ `ssm:StartAutomationExecution` oder `ssm:StartChangeRequestExecution` „Aktivieren“ und „Ressourcen“ enthalten. `document` `automation-execution` Bewährte Methoden und Beispiele für die Einrichtung von IAM-Berechtigungen finden Sie in unserem [Beispielbenutzerhandbuch zur Einrichtung identitätsbasierter Richtlinien](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html).
**1** Für Automatisierungsdefinitionen unterstützt Systems Manager eine Second-Level-Ressource (*version-ID*). *In AWS werden diese Ressourcen der zweiten Ebene als Unterressourcen bezeichnet.* Wenn Sie eine Versions-Subressource für eine Automatisierungsdefinition-Ressource angeben, können Sie Zugriff auf bestimmte Versionen einer Automatisierungsdefinition erteilen. So können Sie beispielsweise sicherstellen, dass nur die neueste Version einer Automatisierungsdefinition in der Verwaltung Ihrer Knoten verwendet wird.
**2** Zum Organisieren und Verwalten von Parametern können Sie Namen für Parameter mit hierarchischem Aufbau anlegen. Bei dem hierarchischen Aufbau kann ein Parametername einen Pfad enthalten, den Sie mit Schrägstrichen definieren. Der Name einer Parameterressource darf maximal fünfzehn Ebenen umfassen. Wir empfehlen, dass Sie Hierarchien erstellen, die eine vorhandene hierarchische Struktur in Ihrer Umgebung abbilden. Weitere Informationen finden Sie unter [Parameter Store-Parameter im Systems Manager erstellen](sysman-paramstore-su-create.md).
**3** In den meisten Fällen wird die Sitzungs-ID mit der ID des Kontobenutzers erstellt, der die Sitzung gestartet hat, an die ein alphanumerisches Suffix angefügt wird. Beispiel:
```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```
Wenn die Benutzer-ID jedoch nicht verfügbar ist, wird der ARN stattdessen auf diese Weise erstellt:
```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in der *Allgemeine Amazon Web Services-Referenz*.
Eine Liste der Systems Manager Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Resources Defined by AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS Systems Manager definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).
### Bedingungsschlüssel für Systems Manager
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste von Systems Manager-Bedingungsschlüsseln finden Sie unter [Bedingungsschlüssel für AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) in der *Service-Autorisierungs-Referenz*. Informationen dazu, mit welchen Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von AWS Systems Manager definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).
Weitere Informationen zum Verwenden des `ssm:resourceTag/*`-Bedingungsschlüssels finden Sie in den folgenden Themen:
+ [Einschränken des Zugriffs auf Befehle auf Stammebene durch SSM Agent](ssm-agent-restrict-root-level-commands.md)
+ [Den Zugriff von Run Command anhand von Tags beschränken](run-command-setting-up.md#tag-based-access)
+ [Beschränkung des Sitzungszugriffs auf Instance-Tags](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)
Weitere Informationen zum Verwenden der Bedingungsschlüssels `ssm:Recursive`, `ssm:Policies` und `ssm:Overwrite` finden Sie unter [Zugriff auf Parameter Store-API-Vorgänge verhindern](parameter-store-policy-conditions.md).
### Beispiele
Beispiele für identitätsbasierte Systems Manager-Richtlinien finden Sie unter [AWS Systems ManagerBeispiele für identitätsbasierte -Richtlinien](security_iam_id-based-policy-examples.md).
## Ressourcenbasierte Systems Manager-Richtlinien
Andere AWS-Services, wie Amazon Simple Storage Service (Amazon S3), unterstützen ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3-Bucket eine Berechtigungsrichtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten.
Systems Manager unterstützt keine ressourcenbasierten Richtlinien.
## Autorisierung auf der Basis von Systems Manager-Tags
Sie können Tags an Systems Manager-Ressourcen anfügen oder Tags in einer Anforderung an Systems Manager übergeben. Um den Zugriff basierend auf Tags zu steuern, stellen Sie Tag-Informationen im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie unter Verwendung der Bedingungsschlüssel `ssm:resourceTag/key-name`, `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` oder `aws:TagKeys` zur Verfügung. Sie können den folgenden Ressourcentypen beim Erstellen oder Aktualisieren Tags hinzufügen:
+ Dokument
+ Verwalteter Knoten
+ Wartungsfenster
+ Parameter
+ Patch-Baseline
+ OpsItem
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Anzeigen von Systems Manager-Dokumenten basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags).
## Systems ManagerIAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb Ihres Unternehmens AWS-Konto , die über bestimmte Berechtigungen verfügt.
### Verwenden temporärer Anmeldeinformationen mit Systems Manager
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie API-Operationen AWS -Security-Token-Service (AWS STS) wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
Systems Manager unterstützt die Verwendung temporärer Anmeldeinformationen.
### Service-verknüpfte Rollen
[Mit Diensten verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) ermöglichen AWS-Services den Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto aufgelistet und gehören zum Service. Ein -Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Systems Manager unterstützt serviceverknüpfte Rollen. Details zum Erstellen oder Verwalten von serviceverknüpften Systems Manager-Rollen finden Sie unter [Verwenden von serviceverknüpften Rollen für Systems Manager](using-service-linked-roles.md).
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein -Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktion des Services beeinträchtigen.
Systems Manager unterstützt Servicerollen.
### Auswählen einer IAM-Rolle in Systems Manager
Damit Systems Manager mit Ihren verwalteten Knoten interagieren kann, müssen Sie eine Rolle wählen, die Systems Manager den Zugriff auf Knoten in Ihrem Namen erlaubt. Wenn Sie zuvor eine Servicerolle oder serviceverknüpfte Rolle erstellt haben, stellt Ihnen Systems Manager eine Liste mit Rollen bereit, aus denen Sie wählen können. Es ist wichtig, eine Rolle zu wählen, die den Zugriff auf das Starten und Stoppen von verwalteten Knoten erlaubt.
Um auf EC2-Instances zuzugreifen, müssen Sie Instance-Berechtigungen konfigurieren. Informationen finden Sie unter [Konfiguration von erforderliche Instance-Berechtigungen für Systems Manager](setup-instance-permissions.md).
Für den Zugriff auf Nicht-EC2-Knoten in einer [Hybrid- und Multi-Cloud](operating-systems-and-machine-types.md#supported-machine-types) benötigt Ihr AWS-Konto eine IAM-Servicerolle. Weitere Informationen finden Sie unter [Erstellen der für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderlichen IAM-Servicerolle](hybrid-multicloud-service-role.md).
Ein Automation-Workflow kann im Kontext einer Service-Rolle initiiert werden (oder eine Rolle übernehmen). Auf diese Weise kann der Service Aktionen in Ihrem Namen ausführen. Wenn Sie keine Übernahmerolle angeben, verwendet Automation den Kontext des Benutzers, der die Ausführung aufgerufen hat. In bestimmten Situationen ist es jedoch erforderlich, dass Sie eine Service-Rolle für Automation angeben. Weitere Informationen finden Sie unter [Konfigurieren eines Service-Rollenzugriffs (Rolle übernehmen) für Automatisierungen](automation-setup.md#automation-setup-configure-role).
### Von AWS Systems Manager verwaltete Richtlinien
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet AWS werden. Diese von AWS *verwalteten Richtlinien* erteilen die erforderlichen Berechtigungen für häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. (Sie können auch Ihre eigenen, benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für Systems Manager-Aktionen und -Ressourcen zu gewähren.)
Weitere Informationen über -verwaltete Richtlinien für Systems Manager finden Sie unter [AWS verwaltete Richtlinien für AWS Systems Manager](security-iam-awsmanpol.md)
Allgemeine Informationen über verwaltete Richtlinien finden Sie unter [AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
# AWS Systems ManagerBeispiele für identitätsbasierte -Richtlinien
Standardmäßig sind AWS Identity and Access Management (IAM-) Entitäten (Benutzer und Rollen) nicht berechtigt, Ressourcen zu erstellen oder zu ändern AWS Systems Manager . Sie können auch keine Aufgaben mit der Systems Manager Manager-Konsole AWS Command Line Interface (AWS CLI) oder der AWS API ausführen. Ein Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den -Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Im Folgenden finden Sie ein Beispiel für eine Berechtigungsrichtlinie, die es einem Benutzer ermöglicht, Dokumente zu löschen, deren Namen mit **MyDocument-** „USA Ost (Ohio)“ (us-east-2) beginnen. AWS-Region
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"ssm:DeleteDocument"
],
"Resource" : [
"arn:aws:ssm:us-east-1:111122223333:document/MyDocument-*"
]
}
]
}
```
------
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Beispiel: Erlaubnis zur Nutzung der Systems Manager-Konsole](#security_iam_id-based-policy-examples-console)
+ [Beispiel: Berechtigung dafür, Benutzern die Anzeige der eigenen Berechtigungen zu erlauben](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Beispiel: Berechtigung zum Lesen und Beschreiben von einzelnen Parametern](#security_iam_id-based-policy-examples-view-one-parameter)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
+ [Beispiele für vom Kunden verwaltete Richtlinien](#customer-managed-policies)
+ [Anzeigen von Systems Manager-Dokumenten basierend auf Tags](#security_iam_id-based-policy-examples-view-documents-tags)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Systems Manager-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Beispiel: Erlaubnis zur Nutzung der Systems Manager-Konsole
Um auf die Systems Manager-Konsole zuzugreifen, müssen Sie über einen Mindestsatz von Berechtigungen verfügen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details über die Systems Manager-Ressourcen und andere Ressourcen in Ihrem AWS-Konto aufzulisten und anzuzeigen.
Wenn Sie eine identitätsbasierte Richtlinie erstellen, die restriktiver ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole für IAM-Entitäten (Benutzer oder Rollen) mit dieser Richtlinie nicht wie vorgesehen.
Sie müssen Benutzern, die nur die API oder die API aufrufen, keine Mindestberechtigungen für die AWS CLI Konsole gewähren. AWS Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die Systems Manager Manager-Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die von [Amazon SSMFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) [oder von Amazon SSMRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Beispiel: Berechtigung dafür, Benutzern die Anzeige der eigenen Berechtigungen zu erlauben
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Beispiel: Berechtigung zum Lesen und Beschreiben von einzelnen Parametern
**Example Lesen und Beschreiben eines Parameters**
Sie können Zugriff auf einen Parameter gewähren, indem Sie die folgende Richtlinie an eine Identität anfügen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:DescribeParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/parameter-name"
}
]
}
```
# Serviceübergreifende Confused-Deputy-Prävention
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS, dienstübergreifender Identitätswechsel kann zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, AWS bietet Tools, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.
Wir empfehlen die Verwendung der globalen Bedingungskontext-Schlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) in ressourcenbasierten Richtlinien, um die Berechtigungen, die AWS Systems Manager einem anderen Service erteilt, auf eine bestimmte Ressource einzuschränken. Wenn der `aws:SourceArn`-Wert nicht die Konto-ID enthält, z. B. den Amazon-Ressourcenname (ARN) eines S3-Buckets, müssen Sie beide globale Bedingungskontext-Schlüssel verwenden, um Berechtigungen einzuschränken. Wenn Sie beide globale Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
In den folgenden Abschnitten finden Sie Beispielrichtlinien für AWS Systems Manager-Tools.
## Beispiel für hybride Aktivierungsrichtlinien
Bei Servicerollen, die bei einer [Hybrid-Aktivierung](activations.md) verwendet werden, muss der Wert von `aws:SourceArn` der ARN des AWS-Konto sein. Stellen Sie sicher, dass Sie AWS-Region im ARN angeben, in dem Sie Ihre Hybrid-Aktivierung erstellt haben. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:ssm:*:region:123456789012:*`.
Das folgende Beispiel veranschaulicht die Verwendung der globalen Bedingungskontext-Schlüssel `aws:SourceArn` und `aws:SourceAccount` für Automatisierung, um das Confused-Deputy-Problem in der Region USA Ost (Ohio) (us-east-2) zu verhindern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
------
## Beispiel-Richtlinie für Ressourcen-Datensynchronisierung
Systems Manager Inventory und Compliance ermöglichen es IhnenExplorer, eine Ressourcendatensynchronisierung zu erstellen, um die Speicherung Ihrer Betriebsdaten (OpsData) in einem zentralen Amazon Simple Storage Service-Bucket zu zentralisieren. Wenn Sie eine Ressourcendatensynchronisierung mit AWS Key Management Service (AWS KMS) verschlüsseln möchten, müssen Sie entweder einen neuen Schlüssel erstellen, der die folgende Richtlinie enthält, oder Sie müssen einen vorhandenen Schlüssel aktualisieren und diese Richtlinie hinzufügen. Die `aws:SourceArn` und `aws:SourceAccount`-Bedingungsschlüssel in dieser Richtlinie verhindern das Confused-Deputy-Problem. Hier ist eine Beispielrichtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ssm-access-policy",
"Statement": [
{
"Sid": "ssm-access-policy-statement",
"Action": [
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id",
"Condition": {
"StringLike": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM"
}
}
}
]
}
```
------
**Anmerkung**
Der ARN im Richtlinienbeispiel ermöglicht es dem System, OpsData aus allen Quellen außer AWS Security Hub CSPM zu verschlüsseln. Wenn Sie Security Hub-CSPM-Daten verschlüsseln müssen, z. B. wenn Sie sie Explorer zum Sammeln von Security Hub-CSPM-Daten verwenden, müssen Sie eine zusätzliche Richtlinie anhängen, die den folgenden ARN festlegt:
`"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"`
## Beispiele für vom Kunden verwaltete Richtlinien
Sie können eigenständige Richtlinien erstellen, die Sie in Ihrem eigenen AWS-Konto verwalten. Wir bezeichnen diese als *vom Kunden verwaltete Richtlinien*. Sie können diese Richtlinien mehreren Hauptentitäten in Ihrem zuordnen. AWS-Konto Wenn Sie eine Richtlinie an eine Auftraggeber-Entität anfügen, gewähren Sie ihr die in der Richtlinie festgelegten Berechtigungen. Weitere Informationen finden Sie unter [Beispiele für kundenverwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) im *[IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.
Die folgenden Beispiele für Benutzerrichtlinien gewähren Berechtigungen für verschiedene Aktionen von Systems Manager. Verwenden Sie diese, um den Systems Manager-Zugriff für Ihre IAM-Entitäten (Benutzer und Rollen) einzuschränken. Diese Richtlinien funktionieren, wenn Aktionen in der Systems Manager API AWS SDKs, oder der ausgeführt AWS CLI werden. Für Benutzer, die die Konsole verwenden, müssen Sie zusätzliche konsolenspezifische Berechtigungen erteilen. Weitere Informationen finden Sie unter [Beispiel: Erlaubnis zur Nutzung der Systems Manager-Konsole](#security_iam_id-based-policy-examples-console).
**Anmerkung**
Alle Beispiele verwenden die Region USA West (Oregon) (us-west-2) und enthalten ein fiktives Konto. IDs Die Konto-ID sollte nicht im Amazon-Ressourcennamen (ARN) für AWS öffentliche Dokumente (Dokumente, die mit beginnen`AWS-*`) angegeben werden.
**Beispiele**
+ [Beispiel 1: Zulassen, dass ein Benutzer Systems Manager-Operationen in einer einzelnen Region ausführt](#identity-based-policies-example-1)
+ [Beispiel 2: Zulassen, dass ein Benutzer Dokumente für eine einzelne Region auflistet](#identity-based-policies-example-2)
### Beispiel 1: Zulassen, dass ein Benutzer Systems Manager-Operationen in einer einzelnen Region ausführt
Im folgenden Beispiel werden die Berechtigungen zur Ausführung von Systems Manager-Operationen nur in der Region USA Ost (Ohio) (us-east-2) gewährt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:*"
]
}
]
}
```
------
### Beispiel 2: Zulassen, dass ein Benutzer Dokumente für eine einzelne Region auflistet
Das folgende Beispiel erteilt Berechtigungen zum Auflisten aller Dokumentennamen, die mit **Update** in der Region USA Ost (Ohio) (us-east-2) beginnen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:ListDocuments"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/Update*"
]
}
]
}
```
------
### Beispiel 3: Erlauben, dass ein Benutzer ein spezifisches SSM-Dokument zum Ausführen von Befehlen auf bestimmten Knoten verwendet
Die folgende IAM-Beispielrichtlinie ermöglicht es einem Benutzer, in der Region USA Ost (Ohio) (us-east-2) die folgenden Aktionen auszuführen:
+ Listen Sie Systems Manager-Dokumente (SSM-Dokumente) und Dokumentversionen auf.
+ Zeigen Sie Details zu Dokumenten an.
+ Senden Sie einen Befehl mit dem in der Richtlinie angegebenen Dokument. Der Name des Dokuments wird durch den folgenden Eintrag bestimmt.
```
arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name
```
+ Senden Sie einen Befehl an drei Knoten. Die Knoten werden anhand der folgenden Einträge im zweiten `Resource`-Abschnitt bestimmt.
```
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE"
```
+ Zeigen Sie Details zu einem Befehl an, nachdem er gesendet wurde.
+ Starten und Beenden von Workflows in Automation, einem Tool von AWS Systems Manager.
+ Informationen zum Automation-Workflows
Wenn Sie einem Benutzer die Berechtigung gewähren möchten, dieses Dokument zu verwenden, um Befehle an jeden Knoten zu senden, auf den der Benutzer Zugriff hat, können Sie einen Eintrag ähnlich dem folgenden im `Resource`-Abschnitt angeben und die anderen Knoteneinträge entfernen. Im folgenden Beispiel wird die Region USA Ost (Ohio) (us-east-2) verwendet.
```
"arn:aws:ec2:us-east-2:*:instance/*"
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions",
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeInstanceInformation",
"ssm:DescribeDocumentParameters",
"ssm:DescribeInstanceProperties"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:SendCommand",
"Effect": "Allow",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-07782c72faEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/Systems-Manager-document-name"
]
},
{
"Action": [
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ec2:DescribeInstanceStatus",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Action": "ssm:DescribeAutomationExecutions",
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution"
],
"Effect": "Allow",
"Resource": [
"*"
]
}
]
}
```
------
## Anzeigen von Systems Manager-Dokumenten basierend auf Tags
Sie können in Ihrer identitätsbasierten Richtlinie Bedingungen für die Steuerung des Zugriffs auf Systems Manager-Ressourcen auf der Basis von Tags verwenden. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die die Anzeige eines SSM-Dokuments ermöglicht. Die Berechtigung wird jedoch nur gewährt, wenn das Dokument-Tag `Owner` den Wert des Benutzernamens dieses Benutzers hat. Diese Richtlinie gewährt auch die Berechtigungen, die für die Ausführung dieser Aktion auf der Konsole erforderlich sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListDocumentsInConsole",
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Sid": "ViewDocumentIfOwner",
"Effect": "Allow",
"Action": "ssm:GetDocument",
"Resource": "arn:aws:ssm:*:*:document/*",
"Condition": {
"StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Sie können diese Richtlinie den -Benutzern in Ihrem Konto zuweisen. Wenn ein Benutzer mit dem Namen `richard-roe` versucht, ein Dokument mit dem Namen Systems Manager anzuzeigen, muss das Dokument mit dem Tag `Owner=richard-roe` oder `owner=richard-roe` gekennzeichnet werden. Andernfalls wird diesen der Zugriff verweigert. Der Tag-Schlüssel `Owner` der Bedingung stimmt sowohl mit `Owner` als auch mit `owner` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
# AWS verwaltete Richtlinien für AWS Systems Manager
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
**Topics**
+ [AWS verwaltete Richtlinie: Amazon SSMService RolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [AWS verwaltete Richtlinie: Amazon SSMAutomation Role](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [AWS verwaltete Richtlinie: Amazon SSMRead OnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [AWS verwaltete Richtlinie: AWSSystems ManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [AWS verwaltete Richtlinie: Amazon SSMManaged EC2 InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [AWS verwaltete Richtlinie: SSMQuick SetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [AWS verwaltete Richtlinie: AWSQuick SetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [AWS verwaltete Richtlinie: AWSQuick SetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [AWS verwaltete Richtlinie: AWSQuick SetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS verwaltete Richtlinie: `AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS verwaltete Richtlinie: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [AWS verwaltete Richtlinie: AWSQuick SetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [AWS verwaltete Richtlinie: AWSQuick SetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [AWS verwaltete Richtlinie: Einrichtung AWSQuick SSMHost MgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [AWS verwaltete Richtlinie: AWSQuick SetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [AWS verwaltete Richtlinie: AWSQuick SetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [AWS verwaltete Richtlinie: Einrichtung AWSQuick CFGCPacks PermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [AWS verwaltete Richtlinie: AWSQuick SetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [AWS verwaltete Richtlinie: AWSQuick SetupStart SSMAssociations ExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [AWS verwaltete Richtlinie: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [AWS verwaltete Richtlinie: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [AWS verwaltete Richtlinie: AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [AWS verwaltete Richtlinie: AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [AWS verwaltete Richtlinie: Einrichtung AWSQuick SSMManage ResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [AWS verwaltete Richtlinie: AWSQuick Einrichtung SSMLifecycle ManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [AWS verwaltete Richtlinie: AWSQuick Einrichtung SSMDeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [AWS verwaltete Richtlinie: SSMDeployment S3 AWSQuick einrichten BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS verwaltete Richtlinie: AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS verwaltete Richtlinie: AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [AWS verwaltete Richtlinie: AWSQuick SetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [AWS verwaltete Richtlinie: AWSQuick SetupManage JITNAResources ExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [AWS verwaltete Richtlinie: Einrichtung AWSQuick JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [AWS verwaltete Richtlinie: AWSSystems ManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [AWS verwaltete Richtlinie: AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [AWS verwaltete Richtlinie: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS verwaltete Richtlinie: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [Systems ManagerAktualisierungen der verwalteten Richtlinien AWS](#security-iam-awsmanpol-updates)
+ [Zusätzliche verwaltete Richtlinien für Systems Manager](#policies-list)
## AWS verwaltete Richtlinie: Amazon SSMService RolePolicy
Diese Richtlinie ermöglicht den Zugriff auf eine Reihe von AWS Ressourcen, die von Systems Manager Manager-Vorgängen verwaltet AWS Systems Manager oder in diesen verwendet werden.
Sie können keine Verbindungen `AmazonSSMServiceRolePolicy` zu Ihren AWS Identity and Access Management (IAM-) Entitäten herstellen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es AWS Systems Manager ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwenden von Rollen zum Sammeln und Anzeigen von Inventar OpsData](using-service-linked-roles-service-action-1.md).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen, Ausführungen sowohl für Run Command als auch für Automation zu starten und auszuführen sowie Informationen über Run Command und Automation-Vorgänge abzurufen, Informationen über Parameter Store-Parameter-Change Calendar-Kalender abzurufen, Informationen zu Systems-Manager-Serviceteinstellungen für OpsCenter-Ressourcen zu aktualisieren und abzurufen und Informationen über Tags zu lesen, die auf Ressourcen angewendet wurden.
+ `cloudformation` – Ermöglicht Prinzipalen das Abrufen von Informationen über Stackset-Operationen und Stackset-Instances sowie das Löschen von Stacksets in der `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*`-Ressource. Ermöglicht Prinzipalen das Löschen von Stack-Instances, die den folgenden Ressourcen zugeordnet sind:
```
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*
```
+ `cloudwatch`— Ermöglicht Prinzipalen das Abrufen von Informationen zu CloudWatch Amazon-Alarmen.
+ `compute-optimizer`— Ermöglicht Principals, den Anmeldestatus (Opt-In) eines Kontos für den AWS Compute Optimizer Service abzurufen und Empfehlungen für Amazon EC2 EC2-Instances abzurufen, die bestimmte festgelegte Anforderungen erfüllen.
+ `config`— Ermöglicht Prinzipalen das Abrufen von Informationen zur Korrektur von Konfigurationen und Konfigurationsrekordern sowie die Feststellung AWS Config, ob die angegebenen Regeln und Ressourcen den Anforderungen entsprechen. AWS Config AWS
+ `events`— Ermöglicht Prinzipalen das Abrufen von Informationen über EventBridge Regeln, das Erstellen von EventBridge Regeln und Zielen ausschließlich für den Systems Manager Manager-Dienst (`ssm.amazonaws.com`) und das Löschen von Regeln und Zielen für die Ressource`arn:aws:events:*:*:rule/SSMExplorerManagedRule`.
+ `ec2` – Ermöglicht Prinzipalen, Informationen über Amazon-EC2-Instances abzurufen.
+ `iam` – Ermöglicht Prinzipalen die Weitergabe von Rollenberechtigungen für den Systems-Manager-Service (`ssm.amazonaws.com`).
+ `lambda` – Ermöglicht Prinzipalen das Aufrufen von Lambda-Funktionen, die speziell für die Verwendung durch Systems Manager konfiguriert wurden.
+ `resource-explorer-2` – Ermöglicht Prinzipalen das Abrufen von Daten über EC2-Instances, um festzustellen, ob jede Instance derzeit von Systems Manager verwaltet wird oder nicht.
Die Aktion `resource-explorer-2:CreateManagedView` ist für die `arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*`-Ressource zulässig.
+ `resource-groups`— Ermöglicht Prinzipalen das Abrufen von Listenressourcengruppen und ihren Mitgliedern AWS -Ressourcengruppen aus Ressourcen, die zu einer Ressourcengruppe gehören.
+ `securityhub`— Ermöglicht Prinzipalen das Abrufen von Informationen über AWS Security Hub CSPM Hub-Ressourcen im aktuellen Konto.
+ `states`— Ermöglicht Prinzipalen das Starten und Abrufen von Informationen AWS Step Functions , die speziell für die Verwendung durch Systems Manager konfiguriert wurden.
+ `support` – Ermöglicht Prinzipalen das Abrufen von Informationen über Prüfungen und Fälle in AWS Trusted Advisor.
+ `tag` – Ermöglicht Prinzipalen das Abrufen von Informationen über alle markierten oder zuvor markierten Ressourcen, die sich in einer angegebenen AWS-Region für ein Konto befinden.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [Amazon SSMService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html) im *AWS Managed Policy Reference Guide*.
## AWS verwaltete Richtlinie: Amazon SSMAutomation Role
Sie können die `AmazonSSMAutomationRole`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt dem AWS Systems Manager Automation-Service Berechtigungen zur Ausführung von Aktivitäten, die in Automation-Runbooks definiert sind.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `lambda` – Ermöglicht Prinzipalen das Aufrufen von Lambda-Funktionen, deren Namen mit „Automation“ beginnen. Das ist erforderlich, damit Automation-Runbooks Lambda-Funktionen als Teil ihres Workflows ausführen können.
+ `ec2` – Ermöglicht Prinzipalen, verschiedene Amazon-EC2-Vorgänge durchzuführen, darunter das Erstellen, Kopieren und Abmelden von Images, das Verwalten von Snapshots, das Starten, Ausführen, Stoppen und Beenden von Instances, das Verwalten des Instance-Status sowie das Erstellen, Löschen und Beschreiben von Tags. Diese Berechtigungen ermöglichen es Automation-Runbooks, Amazon-EC2-Ressourcen während der Ausführung zu verwalten.
+ `cloudformation`— Ermöglicht Prinzipalen das Erstellen, Beschreiben, Aktualisieren und Löschen CloudFormation von Stacks. Auf diese Weise können Automation-Runbooks die Infrastruktur als Code verwalten. CloudFormation
+ `ssm` – Ermöglicht Prinzipalen die Verwendung aller Systems-Manager-Aktionen. Dieser umfassende Zugriff ist erforderlich, damit Automation-Runbooks mit allen Systems-Manager-Funktionen interagieren können.
+ `sns` – Ermöglicht Prinzipalen, Nachrichten zu Amazon-SNS-Themen zu veröffentlichen, deren Namen mit „Automation“ beginnen. Dadurch können Automation-Runbooks während der Ausführung Benachrichtigungen senden.
+ `ssmmessages` – Ermöglicht Prinzipalen das Öffnen von Datenkanälen für Systems-Manager-Sitzungen. Auf diese Weise können Automation-Runbooks Kommunikationskanäle für sitzungsbasierte Vorgänge einrichten.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [Amazon SSMAutomation Role](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html) im *AWS Managed Policy Reference Guide*.
## AWS verwaltete Richtlinie: Amazon SSMRead OnlyAccess
Sie können die `AmazonSSMReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt schreibgeschützten Zugriff auf AWS Systems Manager API-Operationen`Describe*`, einschließlich`Get*`, und. `List*`
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [Amazon SSMRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) im *AWS Managed Policy Reference Guide*.
## AWS verwaltete Richtlinie: AWSSystems ManagerOpsDataSyncServiceRolePolicy
Sie können `AWSSystemsManagerOpsDataSyncServiceRolePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die Systems Manager die Durchführung von Aktionen in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter [Verwenden von Rollen zum Erstellen OpsData und OpsItems für Explorer](using-service-linked-roles-service-action-3.md).
`AWSSystemsManagerOpsDataSyncServiceRolePolicy`ermöglicht der `AWSServiceRoleForSystemsManagerOpsDataSync` serviceverknüpften Rolle das Erstellen und Aktualisieren von Ergebnissen OpsItems sowie das Verwenden OpsData von AWS Security Hub CSPM Ergebnissen.
Die Richtlinie erlaubt es Systems Manager, die folgenden Aktionen für alle damit verbundenen Ressourcen (`"Resource": "*"`) auszuführen, außer wenn dies angegeben ist:
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]
[1] Die Aktionen `ssm:GetOpsItem` und `ssm:UpdateOpsItem` sind nur mit der folgenden Bedingung für den Systems Manager-Service zulässig.
```
"Condition": {
"StringEquals": {
"aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
}
}
```
[2] Die Aktion `ssm:AddTagsToResource` ist nur für die folgende Ressource zulässig.
```
arn:aws:ssm:*:*:opsitem/*
```
[3] Die Aktionen `ssm:UpdateServiceSetting` und `ssm:GetServiceSetting` sind nur für die folgenden Ressourcen zulässig.
```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```
[4] Die `securityhub:BatchUpdateFindings` werden die Berechtigungen durch die folgende Bedingung nur für den Systems Manager-Dienst verweigert.
```
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Confidence": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Criticality": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.Text": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/RelatedFindings": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Types": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/VerificationState": false
}
}
```
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: Amazon SSMManaged EC2 InstanceDefaultPolicy
Sie sollten nur `AmazonSSMManagedEC2InstanceDefaultPolicy` an IAM-Rollen für Amazon-EC2-Instances anhängen, für die Sie die Berechtigung zur Nutzung von Systems Manager-Funktionen benötigen. Sie sollten diese Rolle nicht anderen IAM-Entitäten wie IAM-Benutzern und IAM-Gruppen oder IAM-Rollen zuordnen, die anderen Zwecken dienen. Weitere Informationen finden Sie unter [Automatisches Verwalten von EC2-Instances mit der Standard-Host-Management-Konfiguration](fleet-manager-default-host-management-configuration.md).
Diese Richtlinie gewährt Berechtigungen, die es Ihrer SSM Agent in Amazon-EC2-Instance ermöglichen, mit dem Systems-Manager-Service in der Cloud zu kommunizieren, um eine Vielzahl von Aufgaben auszuführen. Sie gewährt auch Berechtigungen für die beiden Services, die Autorisierungstoken bereitstellen, um sicherzustellen, dass Operationen auf der richtigen Instance ausgeführt werden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen das Abrufen von Dokumenten, das Ausführen von Befehlen mit Run Command, das Einrichten von Sitzungen mit Session Manager, das Erfassen einer Bestandsaufnahme der Instance und das Scannen nach Patches und Patch-Compliance mit Patch Manager.
+ `ssmmessages` – Ermöglicht Prinzipalen, für jede Instance auf ein personalisiertes Autorisierungstoken zuzugreifen, das vom *[Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* erstellt wurde. Systems Manager validiert das personalisierte Autorisierungs-Token anhand des Amazon-Ressourcennamens (ARN) der Instance, der in des API-Vorgangs angegeben wurde. Dieser Zugriff ist erforderlich, um sicherzustellen, dass SSM Agent die API-Vorgänge auf der richtigen Instance ausführt.
+ `ec2messages` – Ermöglicht Prinzipalen, für jede Instance auf ein personalisiertes Autorisierungstoken zuzugreifen, das vom *[Amazon Message Delivery Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* erstellt wurde. Systems Manager validiert das personalisierte Autorisierungs-Token anhand des Amazon-Ressourcennamens (ARN) der Instance, der in des API-Vorgangs angegeben wurde. Dieser Zugriff ist erforderlich, um sicherzustellen, dass SSM Agent die API-Vorgänge auf der richtigen Instance ausführt.
Weiterführende Informationen zu den `ssmmessages`- und `ec2messages`-Endpunkten einschließlich der Unterschiede zwischen den beiden, finden Sie unter [API-Vorgänge (`ssmmessages`- und `ec2messages`-Endpunkte) im Zusammenhang mit Agenten](systems-manager-setting-up-messageAPIs.md#message-services).
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [Amazon SSMManaged EC2 InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html) im *AWS Managed Policy Reference Guide*.
## AWS verwaltete Richtlinie: SSMQuick SetupRolePolicy
Sie können keine Verbindungen SSMQuick SetupRolePolicy zu Ihren IAM-Entitäten herstellen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die Systems Manager die Durchführung von Aktionen in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter [Verwenden von Rollen zur Erhaltung des Zustands und der Konsistenz der von Quick Setup bereitgestellten Ressourcen](using-service-linked-roles-service-action-5.md).
Diese Richtlinie gewährt schreibgeschützte Berechtigungen, die es Systems Manager ermöglichen, den Zustand der Konfiguration zu überprüfen, die konsistente Verwendung von Parametern und bereitgestellten Ressourcen sicherzustellen und Ressourcen zu korrigieren, wenn Abweichungen festgestellt werden. Sie gewährt auch administrative Berechtigungen zum Erstellen einer serviceverknüpften Rolle.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen das Lesen von Informationen zu Resource Data Syncs und SSM-Dokumenten im Systems Manager, einschließlich in delegierten Administratorkonten. Dies ist erforderlich, sodass Quick Setup den Status bestimmen kann, in dem sich die konfigurierten Ressourcen befinden sollen.
+ `organizations` – Ermöglicht Prinzipalen das Lesen von Informationen über die Mitgliedskonten, die zu einer Organisation gehören, wie sie unter konfiguriert ist. AWS Organizations Dies ist erforderlich, sodass Quick Setup alle Konten in einer Organisation identifizieren kann, in der Ressourcenzustandsprüfungen durchgeführt werden sollen.
+ `cloudformation`— Ermöglicht Prinzipalen das Lesen von Informationen von. CloudFormation Dies ist erforderlich, um Daten über die CloudFormation Stacks zu sammeln, die zur Verwaltung des Ressourcenstatus und der CloudFormation Stackset-Operationen verwendet werden. Quick Setup
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuick SetupDeploymentRolePolicy
Die verwaltete Richtlinie `AWSQuickSetupDeploymentRolePolicy` unterstützt mehrere Quick Setup-Konfigurationstypen. Diese Konfigurationstypen erstellen IAM-Rollen und -Automatisierungen, die wiederum häufig verwendete Amazon-Web-Services-Services und -Funktionen mit empfohlenen bewährten Methoden konfigurieren.
Sie können `AWSQuickSetupDeploymentRolePolicy` an Ihre IAM-Entitäten anhängen.
Diese Richtlinie gewährt Administratorberechtigungen, die zum Erstellen von Ressourcen für die folgenden Quick Setup-Konfigurationen erforderlich sind:
+ [Amazon-EC2-Host-Verwaltung mit Quick Setup einrichten](quick-setup-host-management.md)
+ [Erstellen Sie einen AWS Config-Konfigurationsrekorder mit Quick Setup](quick-setup-config.md)
+ [Stellen Sie das AWS Config Conformance Pack bereit mit Quick Setup](quick-setup-cpack.md)
+ [DevOps-Guru einrichten mit Quick Setup](quick-setup-devops.md)
+ [Bereitstellen von Distributor-Paketen mit Quick Setup](quick-setup-distributor.md)
+ [Automatisches Stoppen und Starten von EC2-Instances nach einem Zeitplan mit Quick Setup](quick-setup-scheduler.md)
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm`— Ermöglicht Prinzipalen das Lesen, Erstellen, Aktualisieren und Löschen von SSM-Dokumenten, deren Namen mit „AWSQuickSetup-“ oder „AWSOperationsPack-“ beginnen, wenn sie über aufgerufen werden CloudFormation; das Lesen bestimmter AWS eigener Dokumente wie "AWSQuickSetupType-ManageInstanceProfile„," „und" AWSQuickSetupType-ConfigureDevOpsGuru AWSQuickSetupType-DeployConformancePack „; das Erstellen, Aktualisieren und Löschen von Verknüpfungen für Quick Setup Dokumente und AWS eigene Dokumente, wenn sie über aufgerufen werden CloudFormation; und das Bereinigen älterer Ressourcen, die mit gekennzeichnet sind. `QuickSetupID` Dies ermöglicht Quick Setup die Bereitstellung und Verwaltung von Automatisierungsworkflows und -zuordnungen.
+ `cloudformation`— Ermöglicht Prinzipalen, Informationen über CloudFormation Stacks und Stack-Sets zu lesen und CloudFormation Stacks zu erstellen, zu aktualisieren und zu löschen und Sets für Ressourcen zu ändern, deren Namen mit "StackSet-AWS- -“ beginnen. QuickSetup Dies ermöglicht Quick Setup die Verwaltung von Infrastrukturbereitstellungen über Konten und Regionen hinweg.
+ `config`— Ermöglicht Principals, Informationen über AWS Config Conformance Packs und deren Status zu lesen und Conformance Packs zu erstellen und zu löschen, deren Namen mit „AWS- QuickSetup -“ beginnen, wenn sie über aufgerufen werden. CloudFormation Dies ermöglicht Quick Setup die Implementierung von Konfigurationen zur Compliance-Überwachung.
+ `events`— Ermöglicht Prinzipalen die Verwaltung von EventBridge Regeln und Zielen für Ressourcen, deren Namen "-“ enthalten. QuickSetup Dies ermöglicht Quick Setup die Erstellung von geplanten Automatisierungsworkflows.
+ `iam`— Ermöglicht es Prinzipalen, serviceverknüpfte Rollen für AWS Config und Systems Manager zu erstellen, zu verwalten und zu löschen, deren Namen mit „AWS-“ oder „AWSOperationsPack QuickSetup -“ beginnen, wenn sie über aufgerufen werden CloudFormation; diese Rollen an Systems Manager und EventBridge Services weiterzugeben; diesen Rollen spezifische AWS verwaltete Richtlinien zuzuordnen; und Berechtigungsgrenzen mithilfe bestimmter Quick Setup verwalteter Richtlinien festzulegen. Auf diese Weise kann Quick Setup die für den Betrieb erforderlichen Servicerollen erstellen.
+ `resource-groups` – Ermöglicht Prinzipalen das Abrufen von Ressourcengruppenabfragen. Dies ermöglicht Quick Setup die gezielte Nutzung bestimmter Ressourcensätze für das Konfigurationsmanagement.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuick SetupPatchPolicyDeploymentRolePolicy
Die verwaltete Richtlinie `AWSQuickSetupPatchPolicyDeploymentRolePolicy` unterstützt den Typ [Das Patchen für Instances in einer Organisation mithilfe einer Patch-Richtlinie für Quick Setup konfigurieren](quick-setup-patch-manager.md) Quick Setup. Dieser Konfigurationstyp hilft dabei, das Patchen von Anwendungen und Knoten in einem einzigen Konto oder in Ihrem gesamten Organisation zu automatisieren.
Sie können `AWSQuickSetupPatchPolicyDeploymentRolePolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
Diese Richtlinie erteilt Administratorberechtigungen, die es Quick Setup ermöglichen, Ressourcen zu erstellen, die mit einer Patch-Richtlinienkonfiguration verknüpft sind.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `iam` – Ermöglicht Prinzipalen das Verwalten und Löschen von IAM-Rollen, die für Automation-Konfigurationsaufgaben erforderlich sind, sowie das Verwalten von Automation-Rollenrichtlinien.
+ `cloudformation`— Ermöglicht Prinzipalen das Lesen von CloudFormation Stack-Informationen und das Steuern von CloudFormation Stacks, die Quick Setup mithilfe von CloudFormation Stack-Sets erstellt wurden.
+ `ssm` – Ermöglicht Prinzipalen das Erstellen, Aktualisieren, Lesen und Löschen von Automation-Runbooks, die für Konfigurationsaufgaben erforderlich sind, sowie das Erstellen, Aktualisieren und Löschen von State Manager-Verknüpfungen.
+ `resource-groups` – Ermöglicht Prinzipalen das Abrufen von Ressourcenabfragen, die mit Ressourcengruppen verknüpft sind, auf die Quick Setup-Konfigurationen abzielen.
+ `s3` – Ermöglicht Prinzipalen, Amazon-S3-Buckets aufzulisten und die Buckets zum Speichern von Zugriffsprotokollen für Patch-Richtlinien zu verwalten.
+ `lambda`— Ermöglicht es den Prinzipalen, AWS Lambda Korrekturfunktionen zu verwalten, die dafür sorgen, dass die Konfigurationen im richtigen Zustand bleiben.
+ `logs` – Ermöglicht Prinzipalen, Protokollgruppen für Lambda-Konfigurationsressourcen zu beschreiben und zu verwalten.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuick SetupPatchPolicyBaselineAccess
Die verwaltete Richtlinie `AWSQuickSetupPatchPolicyBaselineAccess` unterstützt den Typ [Das Patchen für Instances in einer Organisation mithilfe einer Patch-Richtlinie für Quick Setup konfigurieren](quick-setup-patch-manager.md) Quick Setup. Dieser Konfigurationstyp hilft dabei, das Patchen von Anwendungen und Knoten in einem einzigen Konto oder in Ihrem gesamten Organisation zu automatisieren.
Sie können `AWSQuickSetupPatchPolicyBaselineAccess` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
Diese Richtlinie gewährt nur Leseberechtigungen für den Zugriff auf Patch-Baselines, die von einem Administrator in der aktuellen AWS-Konto Version oder in der Organisation konfiguriert wurden, die sie verwendet. Quick Setup Die Patch-Baselines werden in einem Amazon-S3-Bucket gespeichert und können für das Patchen von Instances in einem einzelnen Konto oder in einer gesamten Organisation verwendet werden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgende Berechtigung.
+ `s3` – Ermöglicht Prinzipalen das Lesen von Patch-Baseline Overrides, die in Amazon-S3-Buckets gespeichert sind.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetupPatchPolicyBaselineAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: `AWSSystemsManagerEnableExplorerExecutionPolicy`
Die verwaltete Richtlinie `AWSSystemsManagerEnableExplorerExecutionPolicy` unterstützt die AktivierungExplorer, ein Tool in AWS Systems Manager.
Sie können `AWSSystemsManagerEnableExplorerExecutionPolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
Diese Richtlinie gewährt administrative Berechtigungen für die Aktivierung von Explorer. Dazu gehören Berechtigungen zum Aktualisieren der zugehörigen Systems Manager-Serviceeinstellungen und zum Erstellen einer servicebezogenen Rolle für Systems Manager.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `config` – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.
+ `iam` – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen.
+ `ssm` – Ermöglicht Prinzipalen, einen Automation-Workflow zu starten, der Explorer aktiviert.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
Die verwaltete Richtlinie `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` unterstützt den Konfigurationstypen [Erstellen Sie einen AWS Config-Konfigurationsrekorder mit Quick Setup](quick-setup-config.md) Quick Setup. Dieser Konfigurationstyp ermöglicht Quick Setup das Nachverfolgen und Aufzeichnen von Änderungen an den AWS Ressourcentypen, für die Sie sich entscheiden AWS Config. Darüber hinaus kann Quick Setup die Übermittlungs- und Benachrichtigungsoptionen für die aufgezeichneten Daten konfigurieren.
Sie können `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
Diese Richtlinie gewährt Administratorberechtigungen, mit denen Sie Quick Setup die AWS Config Konfigurationsaufzeichnung aktivieren und konfigurieren können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `s3` – Ermöglicht Prinzipalen das Erstellen und Konfigurieren von Amazon-S3-Buckets für die Bereitstellung von Konfigurationsaufzeichnungen.
+ `sns` – Ermöglicht Prinzipalen das Auflisten und Erstellen von Amazon-SNS-Themen.
+ `config` – Ermöglicht Prinzipalen, den Konfigurationsrekorder zu konfigurieren und zu starten und bei der Aktivierung von Explorer zu helfen.
+ `iam`— Ermöglicht es Prinzipalen, eine dienstbezogene Rolle für Systems Manager zu erstellen, abzurufen und zu übergeben AWS Config, eine dienstbezogene Rolle für Systems Manager zu erstellen und bei der Aktivierung zu helfen. Explorer
+ `ssm` – Ermöglicht Prinzipalen, einen Automation-Workflow zu starten, der Explorer aktiviert.
+ `compute-optimizer`— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer
+ `support` – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff gewähren, um festzustellen, ob eine Ressource mit AWS Compute Optimizer registriert ist.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuick SetupDevOpsGuruPermissionsBoundary
**Anmerkung**
Bei dieser Richtlinie handelt es sich um eine *Berechtigungsgrenze.* Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
Die verwaltete Richtlinie `AWSQuickSetupDevOpsGuruPermissionsBoundary` unterstützt den Typ [DevOps-Guru einrichten mit Quick Setup](quick-setup-devops.md). Der Konfigurationstyp aktiviert den auf maschinellem Lernen basierenden Amazon Guru. DevOps Der DevOps Guru-Service kann dazu beitragen, die Betriebsleistung und Verfügbarkeit einer Anwendung zu verbessern.
Wenn Sie eine `AWSQuickSetupDevOpsGuruPermissionsBoundary`-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.
Diese Richtlinie gewährt Administratorberechtigungen, die es ermöglichen, Amazon DevOps Guru Quick Setup zu aktivieren und zu konfigurieren.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `iam`— Ermöglicht Principals, dienstbezogene Rollen für DevOps Guru und Systems Manager zu erstellen und Rollen aufzulisten, die bei der Aktivierung helfen. Explorer
+ `cloudformation` – Ermöglicht Prinzipalen das Auflisten und Beschreiben von CloudFormation -Stacks.
+ `sns` – Ermöglicht Prinzipalen das Auflisten und Erstellen von Amazon-SNS-Themen.
+ `devops-guru`— Ermöglicht Prinzipalen, DevOps Guru zu konfigurieren und einen Benachrichtigungskanal hinzuzufügen.
+ `config` – – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.
+ `ssm` – Ermöglicht Prinzipalen, einen Automation-Workflow zu starten, der Explorer, aktiviert, sowie Explorer-Serviceeinstellungen zu lesen und zu aktualisieren.
+ `compute-optimizer`— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer
+ `support` – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff gewähren, um festzustellen, ob eine Ressource mit AWS Compute Optimizer registriert ist.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuick SetupDistributorPermissionsBoundary
**Anmerkung**
Bei dieser Richtlinie handelt es sich um eine *Berechtigungsgrenze.* Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
Die verwaltete Richtlinie `AWSQuickSetupDistributorPermissionsBoundary` unterstützt den Konfigurationstypen [Bereitstellen von Distributor-Paketen mit Quick Setup](quick-setup-distributor.md) Quick Setup. Der Konfigurationstyp ermöglicht die Verteilung von Softwarepaketen, wie Agenten, an Ihre Amazon Elastic Compute Cloud (Amazon EC2)-Instances mit Distributor, einem Tool in AWS Systems Manager.
Wenn Sie eine `AWSQuickSetupDistributorPermissionsBoundary`-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.
Diese Richtlinie gewährt Administratorberechtigungen, die Quick Setup die Verteilung von Softwarepaketen, wie z. B. Agenten, an Ihre Amazon-EC2-Instances mithilfe von Distributor ermöglichen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `iam` – Ermöglicht Prinzipalen, die Automatisierungsrolle „Verteiler“ abzurufen und zu übergeben, die Standard-Instance-Rolle zu erstellen, zu lesen, zu aktualisieren und zu löschen, die Standard-Instance-Rolle an Amazon EC2 und Systems Manager zu übergeben, Instance-Verwaltungsrichtlinien an Instance-Rollen anzuhängen, eine serviceverknüpfte Rolle für Systems Manager zu erstellen, die Standard-Instance-Rolle zu Instance-Profilen hinzuzufügen, Informationen über IAM-Rollen und Instance-Profile zu lesen und das Standard-Instance-Profil zu erstellen.
+ `ec2` – Ermöglicht Prinzipalen, das Standard-Instance-Profil EC2-Instances zuzuordnen und bei der Aktivierung von Explorer zu helfen.
+ `ssm` – Ermöglicht Prinzipalen, Automatisierungs-Workflows zu starten, die Instances konfigurieren und Pakete installieren, sowie den Automatisierungs-Workflow zu starten, der Explorer aktiviert, und Explorer-Serviceeinstellungen zu lesen und zu aktualisieren.
+ `config` – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.
+ `compute-optimizer`— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer
+ `support` – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff gewähren, um festzustellen, ob eine Ressource mit AWS Compute Optimizer registriert ist.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: Einrichtung AWSQuick SSMHost MgmtPermissionsBoundary
**Anmerkung**
Bei dieser Richtlinie handelt es sich um eine *Berechtigungsgrenze.* Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
Die verwaltete Richtlinie `AWSQuickSetupSSMHostMgmtPermissionsBoundary` unterstützt den Konfigurationstypen [Amazon-EC2-Host-Verwaltung mit Quick Setup einrichten](quick-setup-host-management.md) Quick Setup. Dieser Konfigurationstyp konfiguriert IAM-Rollen und ermöglicht häufig verwendete Systems-Manager-Tools zur sicheren Verwaltung Ihrer Amazon-EC2-Instances.
Wenn Sie eine `AWSQuickSetupSSMHostMgmtPermissionsBoundary`-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.
Diese Richtlinie gewährt Administratorberechtigungen, mit denen Quick Setup die Systems-Manager-Tools aktiviert und konfiguriert, die für die sichere Verwaltung von EC2-Instances erforderlich sind.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `iam` – Ermöglicht Prinzipalen das Abrufen und Übergeben der Servicerolle an Automation. – Ermöglicht Prinzipalen, die Standard-Instance-Rolle zu erstellen, zu lesen, zu aktualisieren und zu löschen, die Standard-Instance-Rolle an Amazon EC2 und Systems Manager zu übergeben, Instance-Verwaltungsrichtlinien an Instance-Rollen anzuhängen, eine serviceverknüpfte Rolle für Systems Manager zu erstellen, die Standard-Instance-Rolle zu Instance-Profilen hinzuzufügen, Informationen über IAM-Rollen und Instance-Profile zu lesen und das Standard-Instance-Profil zu erstellen.
+ `ec2` – Ermöglicht Prinzipalen, das Standard-Instance-Profil EC2-Instances zuzuordnen oder zu trennen.
+ `ssm` – Ermöglicht Prinzipalen, Automation-Workflows zu starten, die Explorer aktivieren, Explorer-Serviceeinstellungen zu lesen und zu aktualisieren, Instances zu konfigurieren und Systems-Manager-Tools in Instances zu aktivieren.
+ `compute-optimizer`— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer
+ `support` – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff gewähren, um festzustellen, ob eine Ressource mit AWS Compute Optimizer registriert ist.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetup SSMHost MgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html) im Referenzhandbuch für *AWS verwaltete* Richtlinien.
## AWS verwaltete Richtlinie: AWSQuick SetupPatchPolicyPermissionsBoundary
**Anmerkung**
Bei dieser Richtlinie handelt es sich um eine *Berechtigungsgrenze.* Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
Die verwaltete Richtlinie `AWSQuickSetupPatchPolicyPermissionsBoundary` unterstützt den Typ [Das Patchen für Instances in einer Organisation mithilfe einer Patch-Richtlinie für Quick Setup konfigurieren](quick-setup-patch-manager.md) Quick Setup. Dieser Konfigurationstyp hilft dabei, das Patchen von Anwendungen und Knoten in einem einzigen Konto oder in Ihrem gesamten Organisation zu automatisieren.
Wenn Sie eine `AWSQuickSetupPatchPolicyPermissionsBoundary`-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.
Diese Richtlinie erteilt Administratorberechtigungen, die es Quick Setup ermöglichen, Patch-Richtlinien in Patch Manager zu aktivieren und zu konfigurieren, einem Tool in AWS Systems Manager.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `iam`— Ermöglicht Principals, die Patch Manager Automatisierungsrolle zu erhalten, Automatisierungsrollen an Patch Manager Patching-Operationen weiterzugeben, die Standard-Instance-Rolle zu erstellen`AmazonSSMRoleForInstancesQuickSetup`, die Standard-Instance-Rolle an Amazon EC2 und Systems Manager zu übergeben, ausgewählte AWS verwaltete Richtlinien an die Instance-Rolle anzuhängen, eine serviceverknüpfte Rolle für Systems Manager zu erstellen, die Standard-Instance-Rolle zu Instance-Profilen hinzuzufügen, Informationen über Instance-Profile und Rollen zu lesen, ein Standard-Instance-Profil zu erstellen und Rollen zu taggen, die über Berechtigungen verfügen lesen Überschreibungen der Patch-Baseline.
+ `ssm` – Ermöglicht Prinzipalen, die Instance-Rolle zu aktualisieren (diese wird von Systems Manager verwaltet), Zuordnungen zu verwalten, die durch die in Quick Setup erstellten Patch Manager-Patch-Richtlinien erstellt wurden, Instances zu markieren, auf die eine Patch-Richtlinienkonfiguration abzielt, Informationen über Instances und den Patching-Status zu lesen, Automation-Workflows zu starten, die Instance-Patching konfigurieren, aktivieren und korrigieren, Automatisierungsworkflows zu starten, die Explorer aktivieren, bei der Aktivierung von Explorer zu helfen sowie Explorer-Serviceeinstellungen zu lesen und zu aktualisieren.
+ `ec2` – Ermöglicht Prinzipalen, das Standard-Instance-Profil EC2-Instances zuzuordnen und zu trennen, Instances zu markieren, auf die eine Patch-Richtlinienkonfiguration abzielt, Instances zu markieren, auf die eine Patch-Richtlinienkonfiguration abzielt, und bei der Aktivierung von Explorer zu helfen.
+ `s3` – Ermöglicht Prinzipalen die Erstellung und Konfiguration von S3-Buckets zum Speichern von Patch-Baseline-Overrides.
+ `lambda`— Ermöglicht Prinzipalen das Aufrufen von AWS Lambda Funktionen zur Konfiguration von Patches und das Ausführen von Bereinigungsvorgängen, nachdem eine Quick Setup Patch-Richtlinienkonfiguration gelöscht wurde.
+ `logs`— Ermöglicht Prinzipalen, die Protokollierung für Funktionen zu konfigurieren. Patch Manager Quick Setup AWS Lambda
+ `config` – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.
+ `compute-optimizer`— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer
+ `support` – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff gewähren, um festzustellen, ob eine Ressource mit AWS Compute Optimizer registriert ist.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuick SetupSchedulerPermissionsBoundary
**Anmerkung**
Bei dieser Richtlinie handelt es sich um eine *Berechtigungsgrenze.* Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
Die verwaltete Richtlinie `AWSQuickSetupSchedulerPermissionsBoundary` unterstützt den Konfigurationstypen [Automatisches Stoppen und Starten von EC2-Instances nach einem Zeitplan mit Quick Setup](quick-setup-scheduler.md) Quick Setup. Mit diesem Konfigurationstyp können Sie Ihre EC2-Instances und andere Ressourcen zu den von Ihnen angegebenen Zeiten beenden und starten.
Wenn Sie eine `AWSQuickSetupSchedulerPermissionsBoundary`-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.
Diese Richtlinie gewährt Administratorberechtigungen, die es Quick Setup ermöglichen, geplante Operationen auf EC2-Instances und anderen Ressourcen zu aktivieren und zu konfigurieren.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `iam` – Ermöglicht Prinzipalen das Abrufen und Übergeben von Rollen für Automatisierungsaktionen des Instance-Managements, das Verwalten, Weiterleiten und Anhängen von Standard-Instance-Rollen für das EC2-Instance-Management, das Erstellen von Standard-Instance-Profilen, das Hinzufügen von Standard-Instance-Rollen zu Instance-Profilen, das Erstellen einer serviceverknüpften Rolle für Systems Manager, das Lesen von Informationen über IAM-Rollen und Instance-Pofile, das Zuordnen eines Standard-Instance-Profils zu EC2-Instances und das Starten von Automatisierungsworkflows zur Konfiguration von Instances und zum Aktivieren von Systems Manager-Tools für diese.
+ `ssm` – Ermöglicht Prinzipalen, Automation-Workflows zu starten, die Explorer aktivieren, sowie Explorer-Serviceeinstellungen zu lesen und zu aktualisieren.
+ ec2 – Ermöglicht Prinzipalen, gezielte Instances zu lokalisieren und sie nach einem Zeitplan zu starten und zu beenden.
+ `config` – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.
+ `compute-optimizer`— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer
+ `support`— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff auf Schecks für ein Konto gewähren. AWS Trusted Advisor
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: Einrichtung AWSQuick CFGCPacks PermissionsBoundary
**Anmerkung**
Bei dieser Richtlinie handelt es sich um eine *Berechtigungsgrenze.* Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
Die verwaltete Richtlinie `AWSQuickSetupCFGCPacksPermissionsBoundary` unterstützt den Konfigurationstypen [Stellen Sie das AWS Config Conformance Pack bereit mit Quick Setup](quick-setup-cpack.md) Quick Setup. Dieser Konfigurationstyp stellt AWS Config Conformance Packs bereit. Conformance Packs sind Sammlungen von AWS Config Regeln und Behebungsmaßnahmen, die als eine Einheit bereitgestellt werden können.
Wenn Sie eine `AWSQuickSetupCFGCPacksPermissionsBoundary`-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.
Diese Richtlinie erteilt Administratorberechtigungen, die es Quick Setup ermöglichen, Konformitätspakete AWS Config bereitzustellen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `iam`— Ermöglicht Prinzipalen das Erstellen, Abrufen und Weitergeben einer dienstbezogenen Rolle für. AWS Config
+ `sns` – Ermöglicht Prinzipalen das Auflisten von Plattformanwendungen in Amazon SNS.
+ `config`— Ermöglicht Principals die Bereitstellung von AWS Config Conformance Packs, das Abrufen des Status von Conformance Packs und das Abrufen von Informationen zu Konfigurationsrekordern.
+ `ssm` – Ermöglicht Prinzipalen das Abrufen von Informationen über SSM-Dokumente und Automation-Workflows, das Abrufen von Informationen über Ressourcen-Tags und das Abrufen von Informationen über Serviceeinstellungen und deren Aktualisierung.
+ `compute-optimizer` – Ermöglicht Prinzipalen das Abrufen des Opt-in-Status eines Accounts.
+ `support` – Ermöglicht Prinzipalen das Abrufen von Informationen über AWS Trusted Advisor -Prüfungen.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetup CFGCPacks PermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html) im Referenzhandbuch für *AWS verwaltete* Richtlinien.
## AWS verwaltete Richtlinie: AWSQuick SetupStartStopInstancesExecutionPolicy
Sie können `AWSQuickSetupStartStopInstancesExecutionPolicy` an Ihre IAM-Entitäten anhängen. Diese Richtlinie ermöglicht es Quick Setup, das Starten und Stoppen von Amazon-EC2-Instances mithilfe von Systems-Manager-Automation zu verwalten.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ec2`— Ermöglicht Principals, Amazon EC2 EC2-Instances, ihren Status, ihre Regionen und Tags zu beschreiben. Ermöglicht auch das Starten und Stoppen bestimmter Amazon EC2 EC2-Instances.
+ `ssm`— Ermöglicht Prinzipalen, den Kalenderstatus aus Quick Setup Änderungskalendern abzurufen, Verknüpfungen zu starten und Automatisierungsdokumente für die Instanzplanung auszuführen.
+ `iam`— Ermöglicht Principals, Quick Setup IAM-Rollen zur automatisierten Ausführung an Systems Manager zu übergeben, mit Bedingungen, die den Service auf ssm.amazonaws.com und bestimmte Ressourcen beschränken. ARNs
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuick SetupStart SSMAssociations ExecutionPolicy
Diese Richtlinie gewährt Quick Setup Berechtigungen, mit denen das `AWSQuickSetupType-Scheduler-ChangeCalendarState`-Automation-Runbook ausgeführt werden kann. Dieses Runbook wird zur Verwaltung von Änderungskalenderstatus für geplante Operationen in Quick Setup Konfigurationen verwendet.
Sie können `AWSQuickSetupStartSSMAssociationsExecutionPolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen, Automatisierungsausführungen speziell für das `AWSQuickSetupType-Scheduler-ChangeCalendarState`-Dokument zu starten. Dies ist erforderlichQuick Setup, um den Status des Änderungskalenders für geplante Operationen zu verwalten.
+ `iam`— Ermöglicht Prinzipalen, Rollen, deren Namen mit „AWS- QuickSetup -“ beginnen, an den Systems Manager Manager-Service zu übergeben. Diese Berechtigung ist auf die Verwendung mit bestimmten SSM-Dokumenten beschränkt, die sich auf die Verwaltung von Änderungskalendern beziehen. Dies ist erforderlich für Quick Setup, um die entsprechende Ausführungsrolle an den Automatisierungsprozess zu übergeben.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
Die Richtlinie `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` bietet Berechtigungen für die Diagnose von Problemen mit Knoten, die mit Systems-Manager-Services interagieren, indem Automation-Workflows in Konten und Regionen gestartet werden, in denen Knoten verwaltet werden.
Sie können `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Systems Manager Diagnosen in Ihrem Namen ausführen kann.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen das Ausführen von Automation-Runbooks, die Knotenprobleme diagnostizieren, auf den Ausführungsstatus eines Workflows zugreifen und Details zur Automation-Ausführung abrufen. Die Richtlinie gewährt Berechtigungen zur Beschreibung von Automatisierungsausführungen, zur Beschreibung von Ausführungen von Automatisierungsschritten, zum Abrufen von Details zur Automatisierungsausführung und zum Starten von Automatisierungsausführungen für Dokumente im Zusammenhang mit der Diagnose.
+ `kms` – Ermöglicht Prinzipalen die Verwendung von kundenspezifischen AWS Key Management Service -Schlüsseln für die Entschlüsselung und Datenschlüsselgenerierung beim Zugriff auf verschlüsselte Objekte in Amazon-S3-Buckets, die für Diagnosevorgänge verwendet werden. Diese Berechtigungen sind auf Schlüssel beschränkt, die mit `SystemsManagerManaged` gekennzeichnet sind und mit dem Amazon-S3-Service verwendet werden, mit spezifischen Anforderungen an den Verschlüsselungskontext.
+ `sts` – Ermöglicht Prinzipalen, Rollen zur Ausführung von Diagnosen zu übernehmen, um Automation-Runbooks im selben Konto auszuführen. Diese Berechtigung ist auf Rollen mit dem `AWS-SSM-DiagnosisExecutionRole`-Benennungsmuster beschränkt und beinhaltet eine Bedingung, die sicherstellt, dass das Ressourcenkonto mit dem Prinzipalkonto übereinstimmt.
+ `iam` – Ermöglicht Prinzipalen, die Verwaltungsrolle der Diagnose an Systems Manager zur Ausführung von Automation-Runbooks zu übergeben. Diese Berechtigung ist auf Rollen mit dem `AWS-SSM-DiagnosisAdminRole`-Benennungsmuster beschränkt und kann nur an den Systems-Manager-Service weitergegeben werden.
+ `s3` – Ermöglicht Prinzipalen, auf Objekte in Amazon-S3-Buckets, die für Diagnosevorgänge verwendet werden, zuzugreifen, diese zu lesen, zu schreiben und zu löschen. Diese Berechtigungen sind auf Buckets mit dem `do-not-delete-ssm-diagnosis-`-Benennungsmuster beschränkt und beinhalten Bedingungen, um sicherzustellen, dass Vorgänge innerhalb desselben Kontos ausgeführt werden.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWS-SSM- DiagnosisAutomation — AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html) im Referenzhandbuch *für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
Die verwaltete Richtlinie `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` gewährt Administratorberechtigungen für die Ausführung von Automations-Runbooks in einer Zielregion AWS-Konto und Region, um Probleme mit verwalteten Knoten zu diagnostizieren, die mit Systems-Manager-Services interagieren.
Sie können `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ec2` – Ermöglicht Prinzipalen die Beschreibung von Amazon-EC2- und Amazon-VPC-Ressourcen und deren Konfigurationen, um Probleme mit Systems Manager-Services zu diagnostizieren. Dazu gehören Berechtigungen zur Beschreibung VPCs von VPC-Attributen, VPC-Endpunkten, Subnetzen, Sicherheitsgruppen, Instanzen, Instanzstatus ACLs, Netzwerk- und Internet-Gateways.
+ `ssm` – Ermöglicht Prinzipalen, diagnosespezifische Automation-Runbooks auszuführen und auf den Status und die Ausführungsmetadaten des Automation-Workflows zuzugreifen. Dazu gehören Berechtigungen zur Beschreibung von Automatisierungsschrittausführungen, zur Beschreibung von Instanzinformationen, zur Beschreibung von Automatisierungsausführungen, zur Beschreibung von Aktivierungen, zum Abrufen von Automatisierungsausführungsdetails, zum Abrufen von Diensteinstellungen und zum Starten von Automatisierungsausführungen für bestimmte nicht verwaltete EC2-Diagnosedokumente. AWS
+ `kms` – Ermöglicht Prinzipalen die Verwendung von kundenspezifischen AWS Key Management Service -Schlüsseln für die Entschlüsselung und Datenschlüsselgenerierung beim Zugriff auf verschlüsselte Objekte in Amazon-S3-Buckets, die für Diagnosevorgänge verwendet werden. Diese Berechtigungen sind auf Schlüssel beschränkt, die mit `SystemsManagerManaged` gekennzeichnet sind und mit dem Amazon-S3-Service verwendet werden, mit spezifischen Anforderungen an den Verschlüsselungskontext für Diagnosebuckets.
+ `iam` – Ermöglicht Prinzipalen, die Ausführungsrolle für die Diagnose an Systems Manager zur Ausführung von Automation-Dokumenten zu übergeben. Diese Berechtigung ist auf Rollen mit dem `AWS-SSM-DiagnosisExecutionRole`-Benennungsmuster beschränkt und kann nur an den Systems-Manager-Service weitergegeben werden.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWS-SSM- DiagnosisAutomation — ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html) im Referenzhandbuch *für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWS-SSM-RemediationAutomation-AdministrationRolePolicy
Die Richtlinie `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` bietet Berechtigungen zur Behebung von Problemen mit Systems-Manager-Services durch Ausführung von Aktivitäten, die in Automatisierungsdokumenten definiert sind und hauptsächlich für die Ausführung der Automatisierungsdokumente verwendet werden. Diese Richtlinie ermöglicht das Starten von Automatisierungsworkflows in Konten und Regionen, in denen Knoten verwaltet werden, um Konnektivitäts- und Konfigurationsprobleme zu beheben.
Sie können `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Systems Manager Abhilfemaßnahmen in Ihrem Namen ausführen kann.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen das Ausführen von Automation-Runbooks, die Knotenprobleme beheben, auf den Ausführungsstatus eines Workflows zugreifen und Details zur Automation-Ausführung abrufen. Die Richtlinie gewährt Berechtigungen zur Beschreibung von Automatisierungsausführungen, zur Beschreibung von Ausführungen von Automatisierungsschritten, zum Abrufen von Details zur Automatisierungsausführung und zum Starten von Automatisierungsausführungen für Dokumente im Zusammenhang mit der Behebung.
+ `kms` – Ermöglicht Prinzipalen die Verwendung von kundenspezifischen AWS Key Management Service -Schlüsseln für die Entschlüsselung und Datenschlüsselgenerierung beim Zugriff auf verschlüsselte Objekte in Amazon-S3-Buckets, die für Behebungsvorgänge verwendet werden. Diese Berechtigungen sind auf Schlüssel beschränkt, die mit `SystemsManagerManaged` gekennzeichnet sind und mit dem Amazon-S3-Service verwendet werden, mit spezifischen Anforderungen an den Verschlüsselungskontext.
+ `sts` – Ermöglicht Prinzipalen, Rollen zur Ausführung von Behebungen zu übernehmen, um Automation-Runbooks im selben Konto auszuführen. Diese Berechtigung ist auf Rollen mit dem `AWS-SSM-RemediationExecutionRole`-Benennungsmuster beschränkt und beinhaltet eine Bedingung, die sicherstellt, dass das Ressourcenkonto mit dem Prinzipalkonto übereinstimmt.
+ `iam` – Ermöglicht Prinzipalen, die Verwaltungsrolle der Behebung an Systems Manager zur Ausführung von Automation-Runbooks zu übergeben. Diese Berechtigung ist auf Rollen mit dem `AWS-SSM-RemediationAdminRole`-Benennungsmuster beschränkt und kann nur an den Systems-Manager-Service weitergegeben werden.
+ `s3` – Ermöglicht Prinzipalen, auf Objekte in Amazon-S3-Buckets, die für Behebungsvorgänge verwendet werden, zuzugreifen, diese zu lesen, zu schreiben und zu löschen. Diese Berechtigungen sind auf Buckets mit dem `do-not-delete-ssm-diagnosis-`-Benennungsmuster beschränkt und beinhalten Bedingungen, um sicherzustellen, dass Vorgänge innerhalb desselben Kontos ausgeführt werden.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWS-SSM- RemediationAutomation — AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html) im Referenzhandbuch *für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWS-SSM-RemediationAutomation-ExecutionRolePolicy
Die verwaltete Richtlinie `AWS-SSM-RemediationAutomation-ExecutionRolePolicy` bietet die Berechtigungen zum Ausführen von Automation-Runbooks in einem bestimmten Zielkonto und einer bestimmten Region, um Netzwerk- und Konnektivitätsprobleme mit verwalteten Knoten zu beheben, die mit Systems-Manager-Services interagieren. Diese Richtlinie ermöglicht Abhilfemaßnahmen, die in Automation-Dokumenten definiert sind und hauptsächlich für die Ausführung der Automation-Dokumente zur Behebung von Konnektivitäts- und Konfigurationsproblemen verwendet werden.
Sie können die -Richtlinie auch Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie einer Servicerolle hinzu, mit der Systems Manager in Ihrem Namen Abhilfemaßnahmen ausführen kann.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen das Abrufen von Informationen über Automation-Ausführungen und deren Schrittausführungen sowie das Starten bestimmter Runbooks für die Automatisierung von Problembehebungen, einschließlich `AWS-OrchestrateUnmanagedEC2Actions`- und `AWS-RemediateSSMAgent`-Dokumenten. Die Richtlinie gewährt Berechtigungen zur Beschreibung von Automatisierungsausführungen, zur Beschreibung von Ausführungen von Automatisierungsschritten, zum Abrufen von Details zur Automatisierungsausführung und zum Starten von Automatisierungsausführungen für Dokumente im Zusammenhang mit der Behebung.
+ `ec2` – Ermöglicht Prinzipalen, Amazon-VPC-Netzwerkressourcen zu beschreiben und zu modifizieren, um Verbindungsprobleme zu beheben. Dies umfasst:
+ Beschreiben von Amazon-VPC-Attributen, Subnetzen, Amazon-VPC-Endpunkten und Sicherheitsgruppen.
+ Erstellen von Amazon-VPC-Endpunkten für Systems-Manager-Services (`ssm`, `ssmmessages` und `ec2messages`) mit den erforderlichen Tags.
+ Ändern der Amazon-VPC-Attribute, um DNS-Unterstützung und Hostnamen zu aktivieren.
+ Erstellen und Verwalten von Sicherheitsgruppen mit spezifischen Tags für den Zugriff auf Amazon-VPC-Endgeräte.
+ Autorisierung und Widerruf von Sicherheitsgruppenregeln für den HTTPS-Zugriff mit entsprechenden Tags.
+ Erstellen von Tags auf Amazon-VPC-Endpunkten, Sicherheitsgruppen und Sicherheitsgruppenregeln während der Ressourcenerstellung.
+ `kms` – Ermöglicht Prinzipalen die Verwendung von kundenspezifischen AWS Key Management Service -Schlüsseln für die Entschlüsselung und Datenschlüsselgenerierung beim Zugriff auf verschlüsselte Objekte in Amazon-S3-Buckets, die für Behebungsvorgänge verwendet werden. Diese Berechtigungen sind auf Schlüssel beschränkt, die mit `SystemsManagerManaged` gekennzeichnet sind und mit dem Amazon-S3-Service verwendet werden, mit spezifischen Anforderungen an den Verschlüsselungskontext.
+ `iam` – Ermöglicht Prinzipalen, die Ausführungsrolle für die Problembehebung an Systems Manager zu übergeben, um Automation-Runbooks auszuführen. Diese Berechtigung ist auf Rollen mit dem `AWS-SSM-RemediationExecutionRole`-Benennungsmuster beschränkt und kann nur an den Systems-Manager-Service weitergegeben werden.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWS-SSM- RemediationAutomation — ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html) im Referenzhandbuch *für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: Einrichtung AWSQuick SSMManage ResourcesExecutionPolicy
Diese Richtlinie gewährt Quick Setup Berechtigungen, mit denen das `AWSQuickSetupType-SSM-SetupResources`-Automation-Runbook ausgeführt werden kann. Dieses Runbook erstellt IAM-Rollen für Quick Setup-Zuordnungen, die wiederum durch eine `AWSQuickSetupType-SSM`-Bereitstellung erstellt werden. Es gewährt auch Berechtigungen zum Bereinigen eines zugehörigen Amazon-S3-Buckets während eines Quick Setup-Löschvorgangs.
Sie können die Richtlinie zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `iam` – Ermöglicht Prinzipalen das Auflisten und Verwalten von IAM-Rollen zur Verwendung mit Quick Setup-Systems-Manager-Explorer-Vorgängen sowie das Anzeigen, Anhängen und Trennen von IAM-Richtlinien für die Verwendung mit Quick Setup und Systems Manager Explorer. Diese Berechtigungen sind erforderlich, damit Quick Setup Rollen erstellen kann, die für einige seiner Konfigurationsvorgänge erforderlich sind.
+ `s3` – Ermöglicht Prinzipalen das Abrufen von Informationen über Objekte in Amazon-S3-Buckets und das Löschen von Objekten aus Amazon-S3-Buckets im Prinzipalkonto, die speziell für Quick Setup-Konfigurationsvorgänge verwendet werden. Dies ist erforderlich, damit S3-Objekte, die nach der Konfiguration nicht mehr benötigt werden, entfernt werden können.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetup SSMManage ResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html) im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuick Einrichtung SSMLifecycle ManagementExecutionPolicy
Die `AWSQuickSetupSSMLifecycleManagementExecutionPolicy` Richtlinie gewährt Administratorberechtigungen, die es Quick Setup ermöglichen, eine CloudFormation benutzerdefinierte Ressource bei Lebenszyklusereignissen während der Quick Setup Bereitstellung in auszuführenSystems Manager.
Sie können diese Richtlinie zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Systems Manager Korrekturmaßnahmen in Ihrem Namen ausführen kann.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen, Informationen über Automatisierungsausführungen abzurufen und Automatisierungsausführungen für die Einrichtung bestimmter Quick Setup-Operationen zu starten.
+ `iam` – Ermöglicht Prinzipalen, Rollen von IAM für die Einrichtung bestimmter Quick Setup-Ressourcen zu übergeben.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetup SSMLifecycle ManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html) im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuick Einrichtung SSMDeployment RolePolicy
Die verwaltete Richtlinie `AWSQuickSetupSSMDeploymentRolePolicy` gewährt Administratorberechtigungen, mit denen Quick Setup-Ressourcen erstellt werden können, die während des Systems-Manager-Onboarding-Prozesses verwendet werden.
Obwohl Sie diese Richtlinie manuell an Ihre IAM-Entitäten anhängen können, wird dies nicht empfohlen. Quick Setup erstellt Entitäten, die diese Richtlinie an eine Servicerolle anhängen, die es Systems Manager ermöglicht, Aktionen in Ihrem Namen auszuführen.
Diese Richtlinie hat nichts mit der [`SSMQuickSetupRolePolicy`-Richtlinie](using-service-linked-roles-service-action-5.md) zu tun, die verwendet wird, um Berechtigungen für die servicebezogene Rolle `AWSServiceRoleForSSMQuickSetup` bereitzustellen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm`— Ermöglicht es Prinzipalen, Zuordnungen für bestimmte Ressourcen zu verwalten, die mithilfe von AWS CloudFormation Vorlagen und einem bestimmten Satz von SSM-Dokumenten erstellt wurden, Rollen und Rollenrichtlinien zu verwalten, die zur Diagnose und Behebung verwalteter Knoten mithilfe von CloudFormation Vorlagen verwendet werden, und Richtlinien für Lebenszyklusereignisse anzuhängen und zu löschen Quick Setup
+ `iam` – Ermöglicht Prinzipalen die Kennzeichnung von Tags und Weitergabe von Rollenberechtigungen für den Systems-Manager-Service und den Lambda-Service sowie die Weitergabe von Rollenberechtigungen für Diagnosevorgänge.
+ `lambda`— Ermöglicht es Prinzipalen, Funktionen für den Quick Setup Lebenszyklus im Hauptkonto mithilfe von Vorlagen zu kennzeichnen und zu verwalten. CloudFormation
+ `cloudformation`— Ermöglicht es Prinzipalen, Informationen von zu lesen. CloudFormation Dies ist erforderlich, um Daten über die CloudFormation Stacks zu sammeln, die zur Verwaltung des Ressourcenstatus und der CloudFormation Stackset-Operationen verwendet werden. Quick Setup
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetup SSMDeployment RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html) im Referenzhandbuch *für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: SSMDeployment S3 AWSQuick einrichten BucketRolePolicy
Die `AWSQuickSetupSSMDeploymentS3BucketRolePolicy`-Richtlinie gewährt Berechtigungen zum Auflisten aller S3-Buckets in einem Konto sowie zum Verwalten und Abrufen von Informationen zu bestimmten Buckets im Hauptkonto, die über CloudFormation -Vorlagen verwaltet werden.
Sie können `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `s3`— Ermöglicht Principals, alle S3-Buckets in einem Konto aufzulisten und Informationen zu bestimmten Buckets im Hauptkonto zu verwalten und abzurufen, die über Vorlagen verwaltet werden. CloudFormation
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetup SSMDeployment S3 BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html) im Referenzhandbuch *für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuickSetupEnableDHMCExecutionPolicy
Diese Richtlinie gewährt Administratorberechtigungen, die es Prinzipalen ermöglichen, das `AWSQuickSetupType-EnableDHMC`-Automation-Runbook auszuführen, wodurch die Standard-Hostverwaltungskonfiguration aktiviert wird. Mit der Einstellung Standardmäßige Hostverwaltungskonfiguration kann Systems Manager Amazon-EC2-Instances automatisch als *verwaltete Instances* verwalten. Eine verwaltete Instance ist eine EC2-Instance, die für die Verwendung mit Systems Manager konfiguriert ist. Diese Richtlinie gewährt auch Berechtigungen zum Erstellen von IAM-Rollen, die in den Systems-Manager-Serviceeinstellungen als Standardrollen für SSM Agent angegeben sind.
Sie können `AWSQuickSetupEnableDHMCExecutionPolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen das Aktualisieren und Abrufen von Informationen zu den Systems-Manager-Serviceeinstellungen.
+ `iam` – Ermöglicht Prinzipalen das Erstellen und Abrufen von Informationen zu IAM-Rollen für Quick Setup-Operationen.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuickSetupEnableAREXExecutionPolicy
Diese Richtlinie gewährt Administratorberechtigungen, die es Systems Manager ermöglichen, das `AWSQuickSetupType-EnableAREX`-Automation-Runbook auszuführen, das die Verwendung von AWS Resource Explorer mit Systems Manager ermöglicht. Resource Explorer ermöglicht das Anzeigen von Ressourcen in Ihrem Konto mit einer Suchfunktion, die einer Internet-Suchmaschine ähnelt. Die Richtlinie gewährt auch Berechtigungen für die Verwaltung von Resource Explorer-Indizes und -Ansichten.
Sie können `AWSQuickSetupEnableAREXExecutionPolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `iam`— Ermöglicht Prinzipalen das Erstellen einer dienstbezogenen Rolle im AWS Identity and Access Management (IAM-) Dienst.
+ `resource-explorer-2` – Ermöglicht Prinzipalen das Abrufen von Informationen über Resource-Explorer-Ansichten und -Indizes, das Erstellen von Resource-Explorer-Ansichten und -Indizes sowie das Ändern des Indextyps für Indizes, die in Quick Setup angezeigt werden.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuick SetupManagedInstanceProfileExecutionPolicy
Diese Richtlinie gewährt Administratorberechtigungen, die es Systems Manager ermöglichen, ein Standard-IAM-Instance-Profil für das Quick Setup-Tool zu erstellen und es an Amazon-EC2-Instances anzuhängen, denen noch kein Instance-Profil angehängt ist. Die Richtlinie gewährt auch Systems Manager die Möglichkeit, Berechtigungen an bestehende Instance-Profile anzuhängen. Auf diese Weise wird sichergestellt, dass die für Systems Manager für die Kommunikation mit erforderlichen Berechtigungen vorhanden sind. In SSM Agent sind keine EC2-Instances vorhanden.
Sie können `AWSQuickSetupManagedInstanceProfileExecutionPolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen das Starten von Automatisierungsworkflows, die mit Quick Setup-Prozessen verknüpft sind.
+ `ec2` – Ermöglicht Prinzipalen das Anhängen von IAM-Instance-Profilen an EC2-Instances, die von Quick Setup verwaltet werden.
+ `iam` – Ermöglicht Prinzipalen das Erstellen, Aktualisieren und Abrufen von Informationen über Rollen aus IAM, die in Quick Setup-Prozessen verwendet werden; das Erstellen von IAM-Instance-Profilen; das Anhängen der `AmazonSSMManagedInstanceCore`-verwalteten Richtlinie an IAM-Instance-Profile.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSQuick SetupManage JITNAResources ExecutionPolicy
Die verwaltete Richtlinie `AWSQuickSetupManageJITNAResourcesExecutionPolicy` ermöglicht esQuick Setup, einem Tool in Systems Manager, den just-in-time Knotenzugriff einzurichten.
Sie können `AWSQuickSetupManageJITNAResourcesExecutionPolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
Diese Richtlinie gewährt Administratorberechtigungen, mit denen Ressourcen Systems Manager für den just-in-time Knotenzugriff erstellt werden können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm`— Ermöglicht Prinzipalen, die Diensteinstellung abzurufen und zu aktualisieren, die den Identitätsanbieter für den just-in-time Knotenzugriff angibt.
+ `iam`— Ermöglicht es Prinzipalen, Rollen zu erstellen, zu kennzeichnen und abzurufen, Rollenrichtlinien für verwaltete Richtlinien für den just-in-time Knotenzugriff anzuhängen und dienstbezogene Rollen für den just-in-time Knotenzugriff und Benachrichtigungen zu erstellen.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: Einrichtung AWSQuick JITNADeployment RolePolicy
Die verwaltete Richtlinie `AWSQuickSetupJITNADeploymentRolePolicy` ermöglicht Quick Setup die Bereitstellung des Konfigurationstyps, der für die Einrichtung des just-in-time Knotenzugriffs erforderlich ist.
Sie können `AWSQuickSetupJITNADeploymentRolePolicy` zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.
Diese Richtlinie gewährt Administratorberechtigungen, mit denen Ressourcen Systems Manager für den just-in-time Knotenzugriff erstellt werden können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `cloudformation`— Ermöglicht Prinzipalen das Erstellen, Aktualisieren, Löschen und Lesen von CloudFormation Stacks.
+ `ssm`— Ermöglicht Prinzipalen das Erstellen, Löschen, Aktualisieren und Lesen von State Manager Verknüpfungen, die von aufgerufen werden. CloudFormation
+ `iam`— Ermöglicht Prinzipalen das Erstellen, Löschen, Lesen und Markieren von IAM-Rollen, die von aufgerufen werden. CloudFormation
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSQuickSetup JITNADeployment RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html) im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeAccessServicePolicy
Die verwaltete Richtlinie `AWSSystemsManagerJustInTimeAccessServicePolicy` bietet Zugriff auf AWS Ressourcen, die vom AWS Systems Manager just-in-time Access-Framework verwaltet oder genutzt werden. Dieses Richtlinienupdate fügt Tagging-Berechtigungen für die automatische Ausführung hinzu, sodass Kunden die Bedienerberechtigungen auf bestimmte Tags einschränken können.
Sie können `AWSSystemsManagerJustInTimeAccessServicePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die Systems Manager die Durchführung von Aktionen in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter [Verwenden von Rollen zum Aktivieren des just-in-time Knotenzugriffs](using-service-linked-roles-service-action-8.md).
Diese Richtlinie gewährt Administratorberechtigungen, die den Zugriff auf Ressourcen ermöglichen, die mit dem just-in-time Knotenzugriff verknüpft sind.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen das Erstellen und VerwaltenOpsItems, Hinzufügen von Tags zu OpsItems und das Automatisieren von Ausführungen, das Abrufen und Aktualisieren von OpsItems, Abrufen und Beschreiben von Dokumenten, Beschreiben von OpsItems und Sitzungen, das Auflisten von Dokumenten und Tags für verwaltete Instances.
+ `ssm-guiconnect` – Ermöglicht Prinzipalen das Auflisten von Verbindungen.
+ `identitystore`— Ermöglicht es Prinzipalen, Benutzer und Gruppen abzurufen IDs, Benutzer zu beschreiben und Gruppenmitgliedschaften aufzulisten.
+ `sso-directory` – Ermöglicht Prinzipalen, Benutzer zu beschreiben und festzustellen, ob ein Benutzer ein Mitglied einer Gruppe ist.
+ `sso` – Ermöglicht Prinzipalen, registrierte Regionen zu beschreiben und Instances und Verzeichniszuordnungen aufzulisten.
+ `cloudwatch` – Ermöglicht Prinzipalen, Metrikdaten für den `AWS/SSM/JustInTimeAccess`-Namespace einzugeben.
+ `ec2` – Ermöglicht Prinzipalen die Beschreibung von Tags.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeAccessTokenPolicy
Die verwaltete Richtlinie `AWSSystemsManagerJustInTimeAccessTokenPolicy` gewährt Benutzern die Erlaubnis, sichere Verbindungen zu Amazon EC2 EC2-Instances und verwalteten Instances über Session Manager RDP-Verbindungen von Systems Manager GUI Connect als Teil von just-in-time Knotenzugriffs-Workflows herzustellen.
Sie können `AWSSystemsManagerJustInTimeAccessTokenPolicy` an Ihre IAM-Entitäten anhängen.
Diese Richtlinie gewährt Mitwirkenden Berechtigungen, die es Benutzern ermöglichen, sichere Sitzungen zu starten und zu verwalten, RDP-Verbindungen herzustellen und die für den Knotenzugriff erforderlichen kryptografischen Operationen durchzuführen. just-in-time
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm`— Ermöglicht Principals, Session Manager Sitzungen auf Amazon EC2 EC2-Instances und verwalteten Instances mithilfe des SSM-Dokuments zu starten. SessionManagerRunShell Ermöglicht auch das Beenden und Wiederaufnehmen von Sitzungen, das Abrufen von Befehlsaufrufdetails und das Senden von Befehlen an Instanzen für die SSO-Benutzereinrichtung, wenn sie über Systems Manager GUI Connect aufgerufen werden. Ermöglicht außerdem das Starten von Portweiterleitungssitzungen für RDP-Verbindungen, wenn sie über Systems Manager GUI Connect aufgerufen werden.
+ `ssmmessages`— Ermöglicht Prinzipalen das Öffnen von Datenkanälen für eine sichere Kommunikation während Session Manager Sitzungen.
+ `ssm-guiconnect`— Ermöglicht Prinzipalen, Systems Manager GUI Connect RDP-Verbindungen zu Instanzen zu starten, Details zu diesen abzurufen und abzubrechen.
+ `kms`— Ermöglicht Prinzipalen das Generieren von Datenschlüsseln für die Session Manager Verschlüsselung und das Erstellen von Zuweisungen für RDP-Verbindungen. Diese Berechtigungen sind auf AWS KMS Schlüssel beschränkt, die mit gekennzeichnet sind. `SystemsManagerJustInTimeNodeAccessManaged=true` Die Erstellung von Zuschüssen ist außerdem darauf beschränkt, dass sie nur über den Systems Manager GUI Connect-Dienst verwendet werden kann.
+ `sso`— Ermöglicht Prinzipalen, Verzeichniszuordnungen aufzulisten, wenn sie über Systems Manager GUI Connect aufgerufen werden. Dies ist für die RDP-SSO-Benutzereinrichtung erforderlich.
+ `identitystore`— Ermöglicht Prinzipalen, Benutzer im Identitätsspeicher zu beschreiben, wenn sie über Systems Manager GUI Connect aufgerufen werden. Dies ist für die Einrichtung von RDP-SSO-Benutzern erforderlich.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeAccessTokenSessionPolicy
Die verwaltete Richtlinie `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` ermöglicht die Anwendung von Berechtigungen Systems Manager mit eingeschränktem Geltungsbereich auf ein just-in-time Knotenzugriffstoken.
Sie können `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` an Ihre IAM-Entitäten anhängen.
Diese Richtlinie gewährt Administratorberechtigungen, die es ermöglichen, Berechtigungen für just-in-time Knotenzugriffstoken nach unten Systems Manager zu beschränken.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht es den Prinzipalen, Session Manager-Sitzungen mit dem `SSM-SessionManagerRunShell`-Dokument zu starten. Auch beim ersten Aufruf über `ssm-guiconnect` können Sitzungen mithilfe des `AWS-StartPortForwardingSession`-Dokuments gestartet, Befehlsaufrufe aufgelistet und Befehle mithilfe des `AWSSSO-CreateSSOUser`-Dokuments gesendet werden.
+ `ssm-guiconnect` – Ermöglicht Prinzipalen das Abbrechen, Abrufen und Starten von Verbindungen zu allen Ressourcen.
+ `kms`— Ermöglicht es Prinzipalen, Grants zu erstellen und Datenschlüssel für Schlüssel zu generieren, die mit markiert sind`SystemsManagerJustInTimeNodeAccessManaged`, wenn sie `ssm-guiconnect` über einen AWS Dienst aufgerufen werden.
+ `sso` – Ermöglicht Prinzipalen, Verzeichniszuordnungen aufzulisten, wenn sie über `ssm-guiconnect` aufgerufen werden.
+ `identitystore` – Ermöglicht es den Prinzipalen, einen Benutzer zu beschreiben, wenn er über `ssm-guiconnect` aufgerufen wird.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeNodeAccessRolePropagationPolicy
Die verwaltete Richtlinie `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` ermöglicht Systems Manager die gemeinsame Nutzung von Zugriffsverweigerungsrichtlinien aus dem delegierten Administratorkonto für Mitgliedskonten und die Replikation der Richtlinien in mehreren AWS-Regionen.
Sie können `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` an Ihre IAM-Entitäten anhängen.
Diese Richtlinie bietet die Administratorberechtigungen, die für das Teilen und die Erstellung von Zugriffsverweigerungsrichtlinien durch Systems Manager erforderlich sind. Dadurch wird sichergestellt, dass Richtlinien zur Zugriffsverweigerung auf alle Konten in einer AWS Organizations Organisation und in Regionen angewendet werden, die für den just-in-time Knotenzugriff konfiguriert sind.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ssm` – Ermöglicht Prinzipalen die Verwaltung von SSM-Dokumenten und Ressourcenrichtlinien.
+ `ssm-quicksetup` – Ermöglicht Prinzipalen das Lesen von Quick Setup-Konfigurationsmanagern.
+ `organizations` – Ermöglicht Prinzipalen, Details über eine AWS Organizations -Organisation und delegierte Administratoren aufzulisten.
+ `ram` – Ermöglicht Prinzipalen das Erstellen, Markieren und Beschreiben von Ressourcenfreigaben.
+ `iam` – Ermöglicht Prinzipalen, eine Servicerolle zu beschreiben.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSSystems ManagerNotificationsServicePolicy
Die verwaltete Richtlinie `AWSSystemsManagerNotificationsServicePolicy` ermöglicht Systems Manager das Senden von E-Mail-Benachrichtigungen für just-in-time Knotenzugriffsanfragen an Genehmiger von Zugriffsanfragen.
Sie können `AWSSystemsManagerJustInTimeAccessServicePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die Systems Manager die Durchführung von Aktionen in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter [Verwenden von Rollen zum Senden von Benachrichtigungen über just-in-time Knotenzugriffsanfragen](using-service-linked-roles-service-action-9.md).
Diese Richtlinie gewährt Administratorberechtigungen, die es ermöglichenSystems Manager, E-Mail-Benachrichtigungen für just-in-time Knotenzugriffsanfragen an Genehmiger von Zugriffsanfragen zu senden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `identitystore` – Ermöglicht Prinzipalen, Benutzer und Gruppenmitgliedschaften aufzulisten und zu beschreiben.
+ `sso` – Ermöglicht Prinzipalen, Instances und Verzeichnisse aufzulisten und registrierte Regionen zu beschreiben.
+ `sso-directory` – Ermöglicht Prinzipalen, Benutzer zu beschreiben und Mitglieder einer Gruppe aufzulisten.
+ `iam` – Ermöglicht Prinzipalen das Abrufen von Informationen über Rollen.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWS-SSM-Automation-DiagnosisBucketPolicy
Die verwaltete Richtlinie `AWS-SSM-Automation-DiagnosisBucketPolicy` bietet Berechtigungen für die Diagnose von Problemen mit Knoten, die mit AWS Systems Manager Diensten interagieren, indem sie den Zugriff auf S3-Buckets ermöglicht, die zur Diagnose und Behebung von Problemen verwendet werden.
Sie können die `AWS-SSM-Automation-DiagnosisBucketPolicy`-Richtlinie an Ihre IAM-Identitäten anfügen. Systems Manager fügt diese Richtlinie auch einer IAM-Rolle zu, mit der Systems Manager in Ihrem Namen Diagnoseaktionen ausführen kann.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `s3` – Ermöglicht Prinzipalen, auf Objekte zuzugreifen und diese in einen Amazon-S3-Bucket zu schreiben.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWS-SSM-Automation- DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html) im Referenzhandbuch für *AWS verwaltete* Richtlinien.
## AWS verwaltete Richtlinie: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
Die verwaltete Richtlinie `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` stellt Berechtigungen für ein Betriebskonto bereit, um Probleme mit Knoten zu diagnostizieren, indem sie organisationsspezifische Berechtigungen bereitstellt.
Sie können die `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` an Ihre IAM-Identitäten anfügen. Systems Manager fügt diese Richtlinie auch einer IAM-Rolle zu, mit der Systems Manager in Ihrem Namen Diagnoseaktionen ausführen kann.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `organizations` – Ermöglicht Prinzipalen, ein Stammverzeichnis der Organisation aufzulisten und über Mitgliedskonten die Zielkonten zu bestimmen.
+ `sts` – Ermöglicht Prinzipalen, Rollen zur Ausführung von Problembehebungen zu übernehmen, um SSM-Automation-Dokumente konto- und regionsübergreifend innerhalb derselben Organisation auszuführen.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWS-SSM- RemediationAutomation — OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html) im Referenzhandbuch *für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
Die verwaltete Richtlinie `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` stellt Berechtigungen für ein Betriebskonto bereit, um Probleme mit Knoten zu diagnostizieren, indem sie organisationsspezifische Berechtigungen bereitstellt.
Sie können die `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`-Richtlinie an Ihre IAM-Identitäten anfügen. Systems Manager fügt diese Richtlinie auch einer IAM-Rolle zu, mit der Systems Manager in Ihrem Namen Diagnoseaktionen ausführen kann.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `organizations` – Ermöglicht Prinzipalen, ein Stammverzeichnis der Organisation aufzulisten und über Mitgliedskonten die Zielkonten zu bestimmen.
+ `sts` – Ermöglicht Prinzipalen, Rollen bei der Ausführung von Diagnosen zu übernehmen, um SSM-Automation-Dokumente konto- und regionsübergreifend innerhalb derselben Organisation auszuführen.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWS-SSM- DiagnosisAutomation — OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html) im Referenzhandbuch *für AWS verwaltete Richtlinien*.
## Systems ManagerAktualisierungen der verwalteten Richtlinien AWS
In der folgenden Tabelle finden Sie Details zu Aktualisierungen AWS verwalteter Richtlinien Systems Manager seit Beginn der Erfassung dieser Änderungen durch diesen Dienst am 12. März 2021. Informationen zu anderen verwalteten Richtlinien für den Systems-Manager-Service finden Sie unter [Zusätzliche verwaltete Richtlinien für Systems Manager](#policies-list) weiter unten in diesem Thema. Um automatische Warnungen über Änderungen an dieser Seite erhalten, abonnieren Sie den RSS-Feed auf der Systems Manager [Dokumentverlauf](systems-manager-release-history.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [SSMAutomationAmazon-Rolle](#security-iam-awsmanpol-AmazonSSMAutomationRole) — Aktualisierung einer bestehenden Richtlinie | Systems Managerhat die `cloudformation:UntagResource` Berechtigungen `cloudformation:TagResource` und hinzugefügt. Mit diesen Berechtigungen können Automatisierungs-Runbooks, die CloudFormation Stapel erstellen, Tags zu Ressourcen hinzufügen und daraus entfernen. | 20. März 2026 |
| [AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) — Aktualisierte verwaltete Richtlinie | Systems ManagerDie verwaltete Richtlinie wurde aktualisiert, um zusätzliche EC2- und SSM-Berechtigungen für erweiterte Diagnosefunktionen hinzuzufügen. Die Richtlinie umfasst jetzt Berechtigungen zur Beschreibung des Status und des Netzwerks ACLs der EC2-Instanz sowie zur Beschreibung von SSM-Aktivierungen und Diensteinstellungen und bietet so umfassendere Diagnoseinformationen für die Behebung von Problemen mit verwalteten Knoten. | 19. Dezember 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)— Die verwaltete Richtlinie wurde aktualisiert | Systems ManagerDie verwaltete Richtlinie wurde aktualisiert`AWSQuickSetupDeploymentRolePolicy`, um Unterstützung für zwei weitere SSM-Dokumente hinzuzufügen: `AWSQuickSetupType-ConfigureDevOpsGuru` und`AWSQuickSetupType-DeployConformancePack`. Diese Ergänzungen ermöglichen Quick Setup die Bereitstellung von DevOps Guru-Konfigurationen und Konformitätspaketen im Rahmen der Richtlinie. | 15. Dezember 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – Aktualisierung auf eine bestehende Richtlinie | Systems Managerhat die verwaltete Richtlinie aktualisiert`AWSSystemsManagerJustInTimeAccessTokenPolicy`. Die Anweisung (`SID`) `TerminateAndResumeSession` wurde in umbenannt `TerminateAndResumeSessionAndOpenDataChannel` und umfasst nun die `ssmmessages:OpenDataChannel` Aktion, die Sitzungsverwaltung und Datenkanalberechtigungen in einer einzigen Anweisung kombiniert. | 25. September 2025 |
| Aktualisierte verwaltete Richtlinien: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/security-iam-awsmanpol.html) | Systems Managerdrei verwaltete Richtlinien wurden aktualisiert, um Unterstützung für das Starten von Automatisierungsausführungen auf zusätzlichen Systems Manager Manager-Ressourcen hinzuzufügen, einschließlich bestimmter Automations-Runbooks und SSM-Befehlsdokumente. | 12. September 2025 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)— Die verwaltete Richtlinie wurde aktualisiert | Systems ManagerDie verwaltete Richtlinie wurde aktualisiert, um die Berechtigungen für die Quick Setup Scheduler-Konfiguration zu verfeinern. Die Richtlinie bietet jetzt spezifischere Berechtigungen für das Starten und Stoppen von Amazon EC2 EC2-Instances, den Zugriff auf Änderungskalender und die Ausführung von Automatisierungsdokumenten mit erweiterten Sicherheitsbedingungen. | 12. September 2025 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)— Die verwaltete Richtlinie wurde aktualisiert | Systems Managerhat die verwaltete Richtlinie aktualisiert, um das Automatisierungsdokument von `AWSQuickSetupType-StartSSMAssociations` zu zu ändern`AWSQuickSetupType-Scheduler-ChangeCalendarState`. Mit diesem Update wird der Zweck der Richtlinie geändert: Statt SSM-Verknüpfungen zu starten, wird nun der Status des Änderungskalenders für geplante Operationen verwaltet. | 12. September 2025 |
| [SSMAutomationAmazon-Rolle](#security-iam-awsmanpol-AmazonSSMAutomationRole) — Aktualisierung einer bestehenden Richtlinie | Systems Manager hat neue Berechtigungen hinzugefügt, damit Automation-Runbooks Kommunikationskanäle für sitzungsbasierte Vorgänge einrichten können. Die `ssmmessages:OpenDataChannel`-Berechtigung für die Ressource `arn:*:ssm:*:*:session/*` wurde hinzugefügt. | 11. September 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)— Die verwaltete Richtlinie wurde aktualisiert | Systems Manager hat die verwaltete Richtlinie aktualisiert, um Tagging-Berechtigungen für die Automatisierungsausführung hinzuzufügen. Der Service muss Automatisierungsausführungen mit einem `SystemsManagerJustInTimeNodeAccessManaged=true`-Tag kennzeichnen, damit Kunden die Bedienerberechtigungen auf bestimmte Tags beschränken können. | 25. August 2025 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um Quick Setup die Ausführung des `AWSQuickSetupType-StartSSMAssociations`-Automation-Runbooks zu erlauben. Dieses Runbook wird verwendet, um State Manager-Zuordnungen zu starten, die durch Quick Setup-Konfigurationen erstellt werden. | 12. August 2025 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, die es Quick Setup ermöglicht, Amazon-EC2-Instances nach einem Zeitplan zu starten und zu beenden. Diese Richtlinie bietet die erforderlichen Berechtigungen für den Quick Setup-Scheduler-Konfigurationstyp, um den Instance-Status auf der Grundlage definierter Zeitpläne zu verwalten. | 12. August 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)— Aktualisierung der Dokumentation | Systems Manager hat die `AWSQuickSetupDeploymentRolePolicy`-verwaltete Richtlinie aktualisiert, um Berechtigungen für zusätzliche Ressourcen zu gewähren. Darüber hinaus wurde die Dokumentation für `AWSQuickSetupDeploymentRolePolicy` aktualisiert und enthält detailliertere Beschreibungen der Berechtigungen, die im Rahmen dieser Richtlinie für Quick Setup-Konfigurationsverwaltungsvorgänge gewährt werden. | 12. August 2025 |
| [AWS-SSM- RemediationAutomation - ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) — Aktualisierung einer bestehenden Richtlinie | Systems ManagerDie verwaltete Richtlinie wurde aktualisiert, um die Sicherheitslage der StartAutomationExecution SSM:API zu verbessern, indem Berechtigungen sowohl für die Ressourcentypen „Dokument“ als auch für „Automationsausführung“ erforderlich sind. Die aktualisierte Richtlinie bietet umfassendere und detailliertere Berechtigungen für die automatische Ausführung von Problembehebungsmaßnahmen, einschließlich verbesserter Beschreibungen für Netzwerkabhilfefunktionen, spezifischerer Berechtigungen zur Erstellung von Amazon VPC-Endpunkten, detailliertere Berechtigungen zur Verwaltung von Sicherheitsgruppen und verbesserte Kontrollen zur Ressourcenmarkierung für Behebungsvorgänge. | 16. Juli 2025 |
| [AWS-SSM- RemediationAutomation - AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) — Aktualisierung einer bestehenden Richtlinie | Systems Manager hat die verwaltete Richtlinie aktualisiert, um Verbesserungen der API-Autorisierung für automatische Behebungsvorgänge zu unterstützen. Die aktualisierte Richtlinie erweitert die Berechtigungen für die Ausführung von Aktivitäten, die in Automatisierungsdokumenten definiert sind, und bietet verbesserte Sicherheitskontrollen und Ressourcenzugriffsmuster für Korrektur-Workflows. | 16. Juli 2025 |
| [AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) — Aktualisierung einer bestehenden Richtlinie | Systems Manager hat die verwaltete Richtlinie aktualisiert, um detailliertere und genauere Berechtigungen für die automatische Ausführung von Diagnosen bereitzustellen. Die aktualisierte Richtlinie umfasst erweiterte Beschreibungen für den Zugriff auf Amazon EC2- und Amazon VPC-Ressourcen, spezifischere SSM-Automatisierungsberechtigungen AWS KMS sowie verbesserte IAM-Berechtigungsbeschreibungen mit entsprechenden Ressourceneinschränkungen. | 16. Juli 2025 |
| [AWS-SSM- DiagnosisAutomation - AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) — Aktualisierung einer bestehenden Richtlinie | Systems Manager hat die verwaltete Richtlinie aktualisiert, um spezifischere Berechtigungen und Sicherheitsbedingungen für Vorgänge zur Automatisierung von Diagnosen bereitzustellen. Die aktualisierte Richtlinie bietet erweiterte Sicherheitskontrollen für die AWS KMS Schlüsselnutzung, den Zugriff auf Amazon S3 S3-Buckets und Rollenannahmen mit strengeren ressourcenbasierten Bedingungen und Einschränkungen auf Kontoebene. | 16. Juli 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)— Aktualisierung einer Richtlinie | Systems Managerhat der verwalteten Richtlinie Berechtigungen `AWSQuickSetupDeploymentRolePolicy` für den Zugriff auf das Amazon-eigene Runbook [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content)hinzugefügt. Diese Berechtigung ermöglicht es Quick Setup, Verknüpfungen mithilfe der verwalteten Richtlinie anstelle von Inline-Richtlinien zu erstellen. | 14. Juli 2025 |
| [Amazon SSMAutomation Role](#security-iam-awsmanpol-AmazonSSMAutomationRole) — Aktualisierung der Dokumentation | Systems Manager hat eine umfassende Dokumentation für die bestehende `AmazonSSMAutomationRole`-Richtlinie hinzugefügt, die dem Systems-Manager-Automation-Service Berechtigungen zum Ausführen der innerhalb von Automation-Runbooks definierten Aktivitäten hinzufügt. | 15. Juli 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)— Aktualisierung einer Richtlinie | Systems ManagerEs wurden Berechtigungen hinzugefügt, um Systems Manager das Markieren einer Ressource zu ermöglichen, die AWS Resource Access Manager für den just-in-time Knotenzugriff gemeinsam genutzt wird. | 30. April 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)— Aktualisierung einer Richtlinie | Systems ManagerEs wurden Berechtigungen hinzugefügt, um das Markieren von IAM-Rollen Systems Manager zu ermöglichen, die für den just-in-time Knotenzugriff erstellt wurden. | 30. April 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglicht, Berechtigungen Systems Manager mit eingeschränktem Geltungsbereich auf ein just-in-time Knotenzugriffstoken anzuwenden. | 30. April 2025 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglichtSystems Manager, E-Mail-Benachrichtigungen für just-in-time Knotenzugriffsanfragen an Genehmiger zu senden. | 30. April 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um Systems Manager zu erlauben, Genehmigungsrichtlinien für verschiedene Regionen zu replizieren. | 30. April 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglicht, Zugriffstoken Systems Manager zu generieren, die für den just-in-time Knotenzugriff verwendet werden. | 30. April 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, um Berechtigungen für AWS Ressourcen bereitzustellen, die von der just-in-time Knotenzugriffsfunktion von Systems Manager verwaltet oder verwendet werden. | 30. April 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügtQuick Setup, die es einem Tool in Systems Manager ermöglicht, die für den just-in-time Knotenzugriff erforderlichen IAM-Rollen zu erstellen. | 30. April 2025 |
| [AWSQuickEinrichtung JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) — Neue Richtlinie | Systems ManagerEs wurde eine neue Richtlinie hinzugefügt, die Berechtigungen bereitstellt, mit denen Quick Setup der Konfigurationstyp bereitgestellt werden kann, der für die Einrichtung des just-in-time Knotenzugriffs erforderlich ist. | 30. April 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)— Aktualisierung einer Richtlinie | Systems ManagerEs wurden Berechtigungen hinzugefügt, um Systems Manager das Markieren einer Ressource zu ermöglichen, die AWS Resource Access Manager für den just-in-time Knotenzugriff gemeinsam genutzt wird. | 30. April 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)— Aktualisierung einer Richtlinie | Systems ManagerEs wurden Berechtigungen hinzugefügt, um das Markieren von IAM-Rollen Systems Manager zu ermöglichen, die für den just-in-time Knotenzugriff erstellt wurden. | 30. April 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglicht, Berechtigungen Systems Manager mit eingeschränktem Geltungsbereich auf ein just-in-time Knotenzugriffstoken anzuwenden. | 30. April 2025 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglichtSystems Manager, E-Mail-Benachrichtigungen für just-in-time Knotenzugriffsanfragen an Genehmiger zu senden. | 30. April 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um Systems Manager zu erlauben, Genehmigungsrichtlinien für verschiedene Regionen zu replizieren. | 30. April 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglicht, Zugriffstoken Systems Manager zu generieren, die für den just-in-time Knotenzugriff verwendet werden. | 30. April 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, um Berechtigungen für AWS Ressourcen bereitzustellen, die von der just-in-time Knotenzugriffsfunktion von Systems Manager verwaltet oder verwendet werden. | 30. April 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügtQuick Setup, die es einem Tool in Systems Manager ermöglicht, die für den just-in-time Knotenzugriff erforderlichen IAM-Rollen zu erstellen. | 30. April 2025 |
| [AWSQuickEinrichtung JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) — Neue Richtlinie | Systems ManagerEs wurde eine neue Richtlinie hinzugefügt, die Berechtigungen bereitstellt, mit denen Quick Setup der Konfigurationstyp bereitgestellt werden kann, der für die Einrichtung des just-in-time Knotenzugriffs erforderlich ist. | 30. April 2025 |
| [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, die einem Betriebskonto Berechtigungen zur Diagnose von Problemen mit Knoten gewährt, indem organisationsspezifische Berechtigungen bereitgestellt werden. | 21. November 2024 |
| [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, die einem Betriebskonto Berechtigungen zur Diagnose von Problemen mit Knoten gewährt, indem organisationsspezifische Berechtigungen bereitgestellt werden. | 21. November 2024 |
| [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um das Starten von Automation-Workflows zu unterstützen, die Probleme mit verwalteten Knoten in bestimmten Konten und Regionen diagnostizieren. | 21. November 2024 |
| [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – Aktualisierung auf eine bestehende Richtlinie | Systems Managerneue Berechtigungen hinzugefügt, um Details AWS Resource Explorer zu Amazon EC2 EC2-Instances zu sammeln und die Ergebnisse in Widgets im neuen Systems Manager Dashboard anzuzeigen. | 21. November 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – Aktualisierung auf eine bestehende Richtlinie | Systems Manager hat die verwaltete Richtlinie SSMQuickSetupRolePolicy aktualisiert. Diese Aktualisierung ermöglicht es der zugehörigen, mit dem Service verknüpften Rolle AWSServiceRoleForSSMQuickSetup, Ressourcendatensynchronisationen zu verwalten. | 21. November 2024 |
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um das Starten von Automation-Workflows zu unterstützen, die Probleme mit verwalteten Knoten in einem Zielkonto und einer Zielregion diagnostizieren. | 21. November 2024 |
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um das Starten von Automation-Workflows zu unterstützen, die Probleme mit verwalteten Knoten in einem Zielkonto und einer Zielregion diagnostizieren. | 21. November 2024 |
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um das Starten von Automation-Workflows zu unterstützen, die Probleme mit verwalteten Knoten in bestimmten Konten und Regionen diagnostizieren. | 21. November 2024 |
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um das Starten von Automation-Workflows zu unterstützen, die Probleme mit verwalteten Knoten in bestimmten Konten und Regionen diagnostizieren. | 21. November 2024 |
| [AWSQuickEinrichtung SSMDeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) — Aktualisierung einer Richtlinie | Systems ManagerEs wurden Berechtigungen hinzugefügt, um das Systems Manager Taggen von IAM-Rollen und Lambda zu ermöglichen, die für die vereinheitlichte Konsole erstellt wurden. | 7. Mai 2025 |
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um die Ausführung eines Vorgangs in Quick Setup zu unterstützen, bei dem IAM-Rollen für Quick Setup-Zuordnungen erstellt werden, die wiederum durch eine AWSQuickSetupType-SSM-Bereitstellung erstellt werden. | 21. November 2024 |
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um die Quick Setup Ausführung einer CloudFormation benutzerdefinierten Ressource bei Lebenszyklusereignissen während einer Quick Setup Bereitstellung zu unterstützen. | 21. November 2024 |
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um die Gewährung von Administratorberechtigungen Quick Setup zu unterstützen, mit denen Ressourcen erstellt werden können, die während des Systems-Manager-Onboarding-Prozesses verwendet werden. | 21. November 2024 |
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um die Verwaltung und das Abrufen von Informationen zu bestimmten Buckets im Hauptkonto zu unterstützen, die über Vorlagen verwaltet werden. CloudFormation | 21. November 2024 |
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy) – Neue Richtlinie | Systems Manager führt eine neue Richtlinie ein, die es Quick Setup ermöglicht, eine IAM-Rolle zu erstellen, die selbst die vorhandenen [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) verwendet. Diese Richtlinie enthält alle Berechtigungen, die für die Kommunikation von SSM Agent mit dem Systems-Manager-Service erforderlich sind. Die neue Richtlinie ermöglicht auch Änderungen an den Systems-Manager-Serviceeinstellungen. | 21. November 2024 |
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, mit der eine dienstverknüpfte Rolle für AWS Resource Explorer den Zugriff auf Resource Explorer-Ansichten und Aggregatorindizes erstellt werden kann. Quick Setup | 21. November 2024 |
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, die es Quick Setup ermöglicht, ein Quick Setup-Standard-Instance-Profil zu erstellen und es an alle Amazon-EC2-Instances anzuhängen, denen ein zugeordnetes Instance-Profil fehlt. Diese neue Richtlinie ermöglicht Quick Setup auch das Anhängen von Berechtigungen an bestehende Profile, um sicherzustellen, dass alle erforderlichen Systems-Manager-Berechtigungen erteilt wurden. | 21. November 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – Aktualisierung auf eine bestehende Richtlinie | Systems Managerhat neue Berechtigungen hinzugefügt, um den Zustand zusätzlicher AWS CloudFormation Stack-Sets, die es erstellt hat, überprüfen zu könnenQuick Setup. | 13. August 2024 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – Aktualisierung auf eine bestehende Richtlinie | Systems Managerhat der JSON-Richtlinie für AmazonSSMManagedEC2InstanceDefaultPolicy eine Anweisung IDs (Sids) hinzugefügt. Diese SIDs enthalten Inline-Beschreibungen des Zwecks der einzelnen Richtlinienerklärungen. | 18. Juli 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, die es Quick Setup ermöglicht, den Zustand der bereitgestellten Ressourcen zu überprüfen und Instances zu korrigieren, die von der ursprünglichen Konfiguration abweichen. | 3. Juli 2024 |
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie zur Unterstützung mehrerer Quick-Setup-Konfigurationstypen hinzugefügt, die IAM-Rollen und Automatisierungen erstellen, die wiederum häufig verwendete Amazon-Web-Services-Services und -Funktionen mit empfohlenen bewährten Methoden konfigurieren. | 3. Juli 2024 |
| [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, mit der Quick Setup Ressourcen erstellen kann, die mit Patch Manager-Patch-Richtlinienkonfigurationen Quick Setup verknüpft sind. | 3. Juli 2024 |
| [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, die Quick Setup den Zugriff auf Patch-Baselines in Patch Manager mit schreibgeschützte Berechtigungen ermöglicht. | 3. Juli 2024 |
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, mit der Quick Setup Administratorrechte für die Aktivierung von Explorer erteilen kann. | 3. Juli 2024 |
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, um die AWS Config Konfigurationsaufzeichnung Quick Setup zu aktivieren und zu konfigurieren. | 3. Juli 2024 |
| [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglichtQuick Setup, Amazon DevOps Guru zu aktivieren und zu konfigurieren. | 3. Juli 2024 |
| [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, Quick Setup um die Aktivierung und Konfiguration des Tools Distributor in zu ermöglichen AWS Systems Manager. | 3. Juli 2024 |
| [AWSQuickEinrichtung SSMHost MgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary) — Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, die es Quick Setup ermöglicht, Systems-Manager-Tools für die sichere Verwaltung von Amazon-EC2-Instances zu aktivieren und zu konfigurieren. | 3. Juli 2024 |
| [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, mit der Quick Setup Patch-Richtlinien in Patch Manager aktiviert und konfiguriert, einem Tool in AWS Systems Manager. | 3. Juli 2024 |
| [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, die es Quick Setup ermöglicht, geplante Operationen in Amazon-EC2-Instances und anderen Ressourcen zu aktivieren und zu konfigurieren. | 3. Juli 2024 |
| [AWSQuickEinrichtung CFGCPacks PermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary) — Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, mit der Quick Setup die Bereitstellung von Conformance Packs AWS Config ermöglicht. | 3. Juli 2024 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – Aktualisierung auf eine bestehende Richtlinie | OpsCenterDie Richtlinie wurde aktualisiert, um die Sicherheit des Servicecodes innerhalb der OpsData dienstbezogenen Rolle für die Verwaltung verwandter Vorgänge Explorer zu verbessern. | 03. Juli 2023 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – Neue Richtlinie | Systems Manager hat eine neue Richtlinie hinzugefügt, um die Systems Manager-Funktionalität auf Amazon-EC2-Instances ohne die Verwendung eines IAM-Instance-Profils zuzulassen. | 18. August 2022 |
| [Amazon SSMService RolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) — Aktualisierung einer bestehenden Richtlinie | Systems Managerneue Berechtigungen hinzugefügt, mit denen Explorer Sie eine verwaltete Regel erstellen können, wenn Sie Security Hub CSPM von oder aus Explorer aktivieren. OpsCenter Neue Berechtigungen wurden hinzugefügt, um zu überprüfen, ob die Konfiguration und der Compute-Optimizer die erforderlichen Anforderungen erfüllen, bevor sie zugelassen werden. OpsData | 27. April 2021 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – Neue Richtlinie | Systems Managerhat eine neue Richtlinie hinzugefügt, um die Ergebnisse OpsData von Security Hub CSPM in OpsItems Explorer und zu erstellen und zu aktualisieren. OpsCenter | 27. April 2021 |
| `AmazonSSMServiceRolePolicy` – Aktualisierung auf eine bestehende Richtlinie | Systems Managerneue Berechtigungen hinzugefügt, um die Anzeige von Aggregaten OpsData und OpsItems Details aus mehreren Konten und AWS-Regionen in zu ermöglichen. Explorer | 24. März 2021 |
| Systems Manager hat die Änderungsverfolgung gestartet | Systems Managerhat begonnen, Änderungen an den AWS verwalteten Richtlinien zu verfolgen. | 12. März 2021 |
## Zusätzliche verwaltete Richtlinien für Systems Manager
Zusätzlich zu den verwalteten Richtlinien, die weiter oben in diesem Thema beschrieben wurden, werden die folgenden Richtlinien auch von Systems Manager unterstützt.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html) – AWS -verwaltete Richtlinie, die den Zugriff ermöglicht, um Automatisierungsausführungen anzuzeigen und Genehmigungsentscheidungen an Automatisierungen zu senden, die auf Genehmigung warten.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html)— AWS verwaltete Richtlinie, die SSM Agent den Zugriff im Namen des Benutzers Directory Service auf Anfragen zum Beitritt zur Domäne durch den verwalteten Knoten ermöglicht.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html)— AWS verwaltete Richtlinie, die vollen Zugriff auf die Systems Manager API und Dokumente gewährt.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html) – AWS -verwaltete Richtlinie, die Wartungsfenstern Berechtigungen für die Systems-Manager-API gewährt.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) – Von AWS verwaltete Richtlinie, die einem Knoten die Nutzung von Systems Manager-Servicekern-Funktionalität erlaubt.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html) – AWS -verwaltete Richtlinie, die den Zugriff auf untergeordnete Instances für Patch-Zuordnungsvorgänge ermöglicht.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) – AWS -verwaltete Richtlinie, die Zugriff auf schreibgeschützte Systems Manager-API-Vorgänge wie `Get*` und `List*` gewährt.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html)— AWS verwaltete Richtlinie, die Berechtigungen für die Erstellung und Aktualisierung betrieblicher Einblicke *OpsItems*in gewährtSystems Manager. Wird verwendet, um Berechtigungen durch die serviceverknüpfte Rolle [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md) bereitzustellen.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html)— AWS verwaltete Richtlinie, die Systems Manager die Erlaubnis erteilt, AWS-Konto Informationen zu ermitteln.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html) – Diese Richtlinie wird nicht mehr unterstützt und sollte nicht verwendet werden. Verwenden Sie stattdessen die Richtlinie `AmazonSSMManagedInstanceCore`, um die Systems Manager-Service-Core-Funktionalität auf EC2-Instances zu aktivieren. Informationen finden Sie unter [Konfiguration von erforderliche Instance-Berechtigungen für Systems Manager](setup-instance-permissions.md).
# Fehlerbehebung für AWS Systems Manager-Identität und -Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS Systems Manager und AWS Identity and Access Management (IAM) auftreten können.
**Topics**
+ [Ich bin nicht autorisiert, eine Aktion in Systems Manager auszuführen.](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Systems Manager Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht autorisiert, eine Aktion in Systems Manager auszuführen.
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion auszuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson`-Benutzer versucht, die Konsole zum Anzeigen von Details zu einem Dokument zu verwenden, jedoch nicht über `ssm:GetDocument`-Berechtigungen verfügt.
```
User: arn:aws:ssm::123456789012:user/mateojackson isn't authorized to perform: ssm:GetDocument on resource: MyExampleDocument
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `MyExampleDocument` auf die Ressource `ssm:GetDocument` zugreifen zu können.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an Systems Manager übergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Systems Manager auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Systems Manager Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen dazu, ob Systems Manager diese Features unterstützt, finden Sie unter [Funktionsweise von AWS Systems Manager mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen in AWS-Konten Ihrem Besitz gewähren können, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , dem Sie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) gehören.*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Verwenden von serviceverknüpften Rollen für Systems Manager
AWS Systems Managerverwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Systems Manager verknüpft ist. Serviceverknüpfte Rollen werden von Systems Manager vordefiniert und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert.
**Anmerkung**
Eine *Servicerolle* Rolle unterscheidet sich von einer servicegebundenen Rolle. Eine Servicerolle ist eine Art von AWS Identity and Access Management (IAM-) Rolle, die einer Person Berechtigungen erteilt, AWS-Service sodass der Dienst auf Ressourcen zugreifen kann. AWS Nur einige Systems Manager-Szenarien erfordern eine Servicerolle. Wenn Sie eine Servicerolle für Systems Manager erstellen, wählen Sie die dafür zu erteilenden Berechtigungen aus, damit ein Zugriff auf oder eine Interaktion mit anderen AWS -Ressourcen möglich ist.
Eine serviceverknüpfte Rolle vereinfacht die Einrichtung von Systems Manager, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Systems Manager definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur Systems Manager die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Systems Manager-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
**Anmerkung**
Für Nicht-EC2-Knoten in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) benötigen Sie eine zusätzliche IAM-Rolle, die es diesen Maschinen ermöglicht, mit dem Systems Manager-Service zu kommunizieren. Dies ist die IAM-Servicerolle für Systems Manager. Diese Rolle gewährt AWS -Security-Token-Service (AWS STS) *AssumeRole*Vertrauen in den Systems Manager Dienst. Die `AssumeRole`-Aktion gibt temporäre Sicherheitsanmeldeinformationen zurück (bestehend aus einer Zugriffsschlüssel-ID, einem geheimen Zugriffsschlüssel und einem Sicherheits-Token). Sie verwenden diese temporären Anmeldeinformationen, um auf AWS Ressourcen zuzugreifen, auf die Sie normalerweise keinen Zugriff haben. Weitere Informationen finden Sie unter [Erstellen der für Systems Manager erforderlichen IAM-Servicerolle in Hybrid- und Multicloud-Umgebungen](hybrid-multicloud-service-role.md) und [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)in der *[AWS -Security-Token-Service API-Referenz](https://docs.aws.amazon.com/STS/latest/APIReference/)*.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS-Services , die mit IAM arbeiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Topics**
+ [Verwenden von Rollen zum Sammeln und Anzeigen von Inventar OpsData](using-service-linked-roles-service-action-1.md)
+ [Verwenden von Rollen zum Sammeln von AWS-Konto Informationen für OpsCenter und Explorer](using-service-linked-roles-service-action-2.md)
+ [Verwenden von Rollen zum Erstellen OpsData und OpsItems für Explorer](using-service-linked-roles-service-action-3.md)
+ [Mithilfe von Rollen betriebliche Einblicke OpsItems in Systems Manager gewinnen OpsCenter](using-service-linked-roles-service-action-4.md)
+ [Verwenden von Rollen zur Erhaltung des Zustands und der Konsistenz der von Quick Setup bereitgestellten Ressourcen](using-service-linked-roles-service-action-5.md)
+ [Rollen zum Exportieren verwenden Explorer OpsData](using-service-linked-roles-service-action-6.md)
+ [Verwenden von Rollen zum Aktivieren des just-in-time Knotenzugriffs](using-service-linked-roles-service-action-8.md)
+ [Verwenden von Rollen zum Senden von Benachrichtigungen über just-in-time Knotenzugriffsanfragen](using-service-linked-roles-service-action-9.md)
# Verwenden von Rollen zum Sammeln und Anzeigen von Inventar OpsData
Systems Managerverwendet die angegebene dienstbezogene Rolle. **`AWSServiceRoleForAmazonSSM`** AWS Systems Manager verwendet diese IAM-Servicerolle, um AWS Ressourcen in Ihrem Namen zu verwalten.
## Dienstbezogene Rollenberechtigungen für Inventar, und OpsData OpsItems
Die serviceverknüpfte Rolle `AWSServiceRoleForAmazonSSM` vertraut nur darauf, dass `ssm.amazonaws.com` die Rolle annimmt.
Sie können die serviceverknüpfte Rolle `AWSServiceRoleForAmazonSSM` im Systems Manager für Folgendes verwenden:
+ Das Inventory-Tool von Systems Manager verwendet die serviceverknüpfte Rolle `AWSServiceRoleForAmazonSSM` zum Erfassen von Bestand-Metadaten von Tags und Ressourcengruppen.
+ Das Explorer Tool verwendet die dienstbezogene Rolle, `AWSServiceRoleForAmazonSSM` um die Anzeige OpsItems von OpsData und von mehreren Konten aus zu ermöglichen. Diese dienstverknüpfte Rolle ermöglicht auch Explorer die Erstellung einer verwalteten Regel, wenn Sie Security Hub CSPM als Datenquelle von oder aktivieren. Explorer OpsCenter
**Wichtig**
Bisher bot Ihnen die Systems Manager Manager-Konsole die Möglichkeit, die AWS verwaltete, mit dem IAM-Dienst verknüpfte Rolle auszuwählen`AWSServiceRoleForAmazonSSM`, die Sie als Wartungsrolle für Ihre Aufgaben verwenden möchten. Die Verwendung dieser Rolle und der zugehörigen Richtlinie, `AmazonSSMServiceRolePolicy`, für Wartungsfenster-Aufgaben wird nicht mehr empfohlen. Wenn Sie diese Rolle jetzt für Wartungsfenster-Aufgaben verwenden, empfehlen wir Ihnen, sie nicht mehr zu verwenden. Erstellen Sie stattdessen Ihre eigene IAM-Rolle, die die Kommunikation zwischen Systems Manager und anderen ermöglicht, AWS-Services wenn Ihre Wartungsfensteraufgaben ausgeführt werden.
Weitere Informationen finden Sie unter [Einrichten von Maintenance Windows](setting-up-maintenance-windows.md).
Die verwaltete Richtlinie, die zum Bereitstellen von Berechtigungen für die `AWSServiceRoleForAmazonSSM`-Rolle verwendet wird, ist `AmazonSSMServiceRolePolicy`. Einzelheiten zu den Berechtigungen, gewährt werden, finden Sie unter [AWS verwaltete Richtlinie: Amazon SSMService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy).
## Erstellen einer `AWSServiceRoleForAmazonSSM`-serviceverknüpften Rolle für Systems Manager
Sie können die IAM-Konsole verwenden, um eine serviceverknüpfte Rolle mit dem Anwendungsfall **EC2** zu erstellen. Erstellen Sie mithilfe von Befehlen für IAM in AWS Command Line Interface (AWS CLI) oder mithilfe der IAM-API eine dienstverknüpfte Rolle mit dem `ssm.amazonaws.com`-Servicenamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen.
## Bearbeiten einer `AWSServiceRoleForAmazonSSM`-serviceverknüpften Rolle für Systems Manager
Systems Manager lässt die Bearbeitung der serviceverknüpften Rolle namens `AWSServiceRoleForAmazonSSM` nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer `AWSServiceRoleForAmazonSSM`-serviceverknüpften Rolle für Systems Manager
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird. Sie können die IAM-Konsole, die oder die IAM-API verwenden AWS CLI, um die serviceverknüpfte Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.
Da die serviceverknüpfte Rolle `AWSServiceRoleForAmazonSSM` von mehreren Tools verwendet werden kann, müssen Sie sicherstellen, dass keines der Tools diese Rolle verwendet, bevor Sie versuchen, diese zu löschen.
+ **Inventory:** Wenn Sie die vom Bestands-Tool verwendete serviceverknüpfte Rolle löschen, werden die Bestands-Daten für Tags und Ressourcengruppen nicht mehr synchronisiert. Sie müssen die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
+ **Explorer:** Wenn Sie die vom Explorer Tool verwendete serviceverknüpfte Rolle löschen, sind die konto- und regionsübergreifenden Rollen nicht mehr OpsData sichtbar. OpsItems
**Anmerkung**
Wenn der Systems Manager-Service die Rolle verwendet, wenn Sie versuchen, Tags oder Ressourcengruppen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Löschen Sie die von `AWSServiceRoleForAmazonSSM` verwendeten Systems Manager-Ressourcen wie folgt:**
1. Weitere Informationen zum Löschen von Tags finden Sie unter [Hinzufügen und Löschen von Tags für einzelne Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1. Informationen zum Löschen von Ressourcengruppen finden Sie unter Gruppen [löschen](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html) von. AWS -Ressourcengruppen
**So löschen Sie die `AWSServiceRoleForAmazonSSM`-servicegebundene Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die IAM-API AWS CLI, um die `AWSServiceRoleForAmazonSSM` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für die Systems Manager `AWSServiceRoleForAmazonSSM`-serviceverknüpfte Rolle
Systems Managerunterstützt die Verwendung der `AWSServiceRoleForAmazonSSM` serviceverknüpften Rolle überall dort, AWS-Regionen wo der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS Systems Manager -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Verwenden von Rollen zum Sammeln von AWS-Konto Informationen für OpsCenter und Explorer
Systems Managerverwendet die mit dem Dienst verknüpfte Rolle mit dem Namen **`AWSServiceRoleForAmazonSSM_AccountDiscovery`**. AWS Systems Manager verwendet diese IAM-Servicerolle, um andere anzurufen, AWS-Services um Informationen zu ermitteln AWS-Konto .
## Berechtigungen von serviceverknüpften Rollen für Systems Manager-Kontoerkennung
Die serviceverknüpfte Rolle `AWSServiceRoleForAmazonSSM_AccountDiscovery` vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `accountdiscovery.ssm.amazonaws.com`
Die Rollenberechtigungsrichtlinie erlaubt Systems Manager die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer `AWSServiceRoleForAmazonSSM_AccountDiscovery`-serviceverknüpften Rolle für Systems Manager
Sie müssen eine serviceverknüpfte Rolle erstellen, wenn Sie Explorer- und OpsCenter-Tools von Systems Manager über mehrere AWS-Konten hinweg verwenden möchten. Für OpsCenter müssen Sie die serviceverknüpfte Rolle manuell erstellen. Weitere Informationen finden Sie unter [(Optional) Manuelle Einrichtung von OpsCenter für die zentrale kontenübergreifende Verwaltung von OpsItems](OpsCenter-getting-started-multiple-accounts.md).
Wenn Sie für Explorer eine Ressourcendatensynchronisierung erstellen, indem Sie Systems Manager in der AWS-Managementkonsole verwenden, können Sie die serviceverknüpfte Rolle erstellen, indem Sie die Schaltfläche **Create role** (Rolle erstellen) auswählen. Wenn Sie eine Resource Data Sync programmgesteuert erstellen möchten, müssen Sie die Rolle erstellen, bevor Sie die Resource Data Sync erstellen. Sie können die Rolle mithilfe der [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API-Operation erstellen.
## Bearbeiten einer `AWSServiceRoleForAmazonSSM_AccountDiscovery`-serviceverknüpften Rolle für Systems Manager
Systems Manager lässt die Bearbeitung der serviceverknüpften Rolle namens `AWSServiceRoleForAmazonSSM_AccountDiscovery` nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer `AWSServiceRoleForAmazonSSM_AccountDiscovery`-serviceverknüpften Rolle für Systems Manager
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Bereinigen der `AWSServiceRoleForAmazonSSM_AccountDiscovery`-serviceverknüpften Rolle
Bevor Sie mit IAM eine `AWSServiceRoleForAmazonSSM_AccountDiscovery`-serviceverknüpfte Rolle löschen können, müssen Sie zunächst alle Explorer Resource Data Syncs löschen.
**Anmerkung**
Wenn der Systems Manager-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
### Manuelles Löschen der `AWSServiceRoleForAmazonSSM_AccountDiscovery`-serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die `AWSServiceRoleForAmazonSSM_AccountDiscovery` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für die Systems Manager `AWSServiceRoleForAmazonSSM_AccountDiscovery`-serviceverknüpfte Rolle
Systems Manager unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS Systems Manager -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
## Aktualisierungen der serviceverknüpften Rolle AWSServiceRoleForAmazonSSM\$1AccountDiscovery
Hier finden Sie Informationen zu Aktualisierungen der AWSServiceRoleForAmazonSSM\$1AccountDiscovery dienstbezogenen Rolle, die seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Um automatische Warnungen über Änderungen an dieser Seite erhalten, abonnieren Sie den RSS-Feed auf der Systems Manager [Dokumentverlauf](systems-manager-release-history.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| Neue Berechtigungen hinzugefügt | Diese serviceverknüpfte Rolle enthält jetzt `organizations:DescribeOrganizationalUnit`- und `organizations:ListRoots`-Berechtigungen. Diese Berechtigungen ermöglichen es einem AWS Organizations Verwaltungskonto oder einem delegierten Systems Manager Manager-Administratorkonto, OpsItems kontenübergreifend zu arbeiten. Weitere Informationen finden Sie unter [(Optional) Manuelle Einrichtung von OpsCenter für die zentrale kontenübergreifende Verwaltung von OpsItems](OpsCenter-getting-started-multiple-accounts.md). | 17. Oktober 2022 |
# Verwenden von Rollen zum Erstellen OpsData und OpsItems für Explorer
Systems Managerverwendet die benannte dienstverknüpfte Rolle. **`AWSServiceRoleForSystemsManagerOpsDataSync`** AWS Systems Manager verwendet diese IAM-Dienstrolle Explorer zum Erstellen OpsData von und. OpsItems
## Mit dem Dienst verknüpfte Rollenberechtigungen für die Synchronisierung Systems Manager OpsData
Die serviceverknüpfte Rolle `AWSServiceRoleForSystemsManagerOpsDataSync` vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `opsdatasync.ssm.amazonaws.com`
Die Rollenberechtigungsrichtlinie erlaubt Systems Manager die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
+ Systems Manager Explorer erfordert, dass eine dienstverknüpfte Rolle die Erlaubnis erteilt, eine Sicherheitsfeststellung zu aktualisieren, wenn eine aktualisiert OpsItem wird, eine Sicherheitsfeststellung zu aktualisierenOpsItem, eine zu erstellen und zu aktualisieren und die Security Hub CSPM-Datenquelle zu deaktivieren, wenn eine von SSM verwaltete Regel von Kunden gelöscht wird.
Die verwaltete Richtlinie, die zum Bereitstellen von Berechtigungen für die `AWSServiceRoleForSystemsManagerOpsDataSync`-Rolle verwendet wird, ist `AWSSystemsManagerOpsDataSyncServiceRolePolicy`. Einzelheiten zu den Berechtigungen, gewährt werden, finden Sie unter [AWS verwaltete Richtlinie: AWSSystems ManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy).
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer `AWSServiceRoleForSystemsManagerOpsDataSync`-serviceverknüpften Rolle für Systems Manager
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die Option aktivieren Explorer AWS-Managementkonsole, Systems Manager wird die dienstverknüpfte Rolle für Sie erstellt.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den Systems Manager-Service vor dem 1. Januar 2017 verwendet haben, als dieser begann, serviceverknüpfte Rollen zu unterstützen, dann hat Systems Manager die Rolle `AWSServiceRoleForSystemsManagerOpsDataSync` in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [In meinem IAM-Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie Explorer in aktivieren AWS-Managementkonsole, Systems Manager wird die dienstverknüpfte Rolle erneut für Sie erstellt.
Sie können auch die IAM-Konsole verwenden, um eine serviceverknüpfte Rolle mit der **AWS Servicerolle zu erstellen, mit der Sie einen Fall erstellen OpsData und OpsItems verwenden können Explorer**. Erstellen Sie in der AWS CLI oder der AWS API eine dienstbezogene Rolle mit dem `opsdatasync.ssm.amazonaws.com` Dienstnamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer `AWSServiceRoleForSystemsManagerOpsDataSync`-serviceverknüpften Rolle für Systems Manager
Systems Manager lässt die Bearbeitung der serviceverknüpften Rolle namens `AWSServiceRoleForSystemsManagerOpsDataSync` nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer `AWSServiceRoleForSystemsManagerOpsDataSync`-serviceverknüpften Rolle für Systems Manager
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der Systems Manager-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Das Verfahren zum Löschen von Systems Manager Ressourcen, die von der `AWSServiceRoleForSystemsManagerOpsDataSync` Rolle verwendet werden, hängt davon ab, ob Sie Security Hub Explorer CSPM konfiguriert haben oder OpsCenter ob Sie es in Security Hub integrieren möchten.
**Löschen Sie die von der `AWSServiceRoleForSystemsManagerOpsDataSync`-Rolle verwendeten Systems Manager-Ressourcen wie folgt:**
+ Informationen dazu, wie Sie Explorer verhindern können, neue CSPM-Ergebnisse OpsItems für Security Hub zu erstellen, finden Sie unter. [Empfangen von Ergebnisse stoppen](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive)
+ Um zu OpsCenter verhindern, dass neue CSPM-Ergebnisse OpsItems für Security Hub erstellt werden, siehe
**So löschen Sie die `AWSServiceRoleForSystemsManagerOpsDataSync`-servicegebundene Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. `AWSServiceRoleForSystemsManagerOpsDataSync` Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für die Systems Manager `AWSServiceRoleForSystemsManagerOpsDataSync`-serviceverknüpfte Rolle
Systems Manager unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS Systems Manager -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
Systems Manager unterstützt die Verwendung von serviceverknüpften Rollen nicht in allen Regionen, in denen der Service verfügbar ist. Sie können die Rolle `AWSServiceRoleForSystemsManagerOpsDataSync` in den folgenden Regionen verwenden.
****
| AWS-Region Name | Regions-ID | Unterstützung in Systems Manager |
| --- | --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja |
| Kanada (Zentral) | ca-central-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Europa (Stockholm) | eu-north-1 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
| AWS GovCloud (US) | us-gov-west-1 | Nein |
# Mithilfe von Rollen betriebliche Einblicke OpsItems in Systems Manager gewinnen OpsCenter
Systems Managerverwendet die mit dem Dienst verknüpfte Rolle mit dem Namen. **`AWSServiceRoleForAmazonSSM_OpsInsights`** AWS Systems Manager verwendet diese IAM-Servicerolle, um betriebliche Einblicke OpsItems in Systems Manager OpsCenter zu erstellen und zu aktualisieren.
## `AWSServiceRoleForAmazonSSM_OpsInsights`Mit dem Dienst verknüpfte Rollenberechtigungen für betriebliche Einblicke Systems Manager OpsItems
Die serviceverknüpfte Rolle `AWSServiceRoleForAmazonSSM_OpsInsights` vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `opsinsights.ssm.amazonaws.com`
Die Rollenberechtigungsrichtlinie erlaubt Systems Manager die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:UpdateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SsmOperationalInsight": "true"
}
}
}
]
}
```
------
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer `AWSServiceRoleForAmazonSSM_OpsInsights`-serviceverknüpften Rolle für Systems Manager
Sie müssen eine serviceverknüpfte Rolle erstellen. Wenn Sie Operational Insights mithilfe von Systems Manager in aktivieren AWS-Managementkonsole, können Sie die serviceverknüpfte Rolle erstellen, indem Sie auf die Schaltfläche **Aktivieren** klicken.
## Bearbeiten einer `AWSServiceRoleForAmazonSSM_OpsInsights`-serviceverknüpften Rolle für Systems Manager
Systems Manager verhindert die Bearbeitung der serviceverknüpften Rolle `AWSServiceRoleForAmazonSSM_OpsInsights`. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer `AWSServiceRoleForAmazonSSM_OpsInsights`-serviceverknüpften Rolle für Systems Manager
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Bereinigen der `AWSServiceRoleForAmazonSSM_OpsInsights`-serviceverknüpften Rolle
Bevor Sie IAM zum Löschen einer serviceverknüpften `AWSServiceRoleForAmazonSSM_OpsInsights`-Rolle verwenden können, müssen Sie zunächst betriebliche Einblicke in Systems Manager OpsCenter deaktivieren. Weitere Informationen finden Sie unter [Analyse betrieblicher Einblicke zur Reduzierung von OpsItems](OpsCenter-working-operational-insights.md).
### Manuelles Löschen der `AWSServiceRoleForAmazonSSM_OpsInsights`-serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die `AWSServiceRoleForAmazonSSM_OpsInsights` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für die Systems Manager `AWSServiceRoleForAmazonSSM_OpsInsights`-serviceverknüpfte Rolle
Systems Manager unterstützt die Verwendung von serviceverknüpften Rollen nicht in allen Regionen, in denen der Service verfügbar ist. Sie können die AWSServiceRoleForAmazonSSM\$1OpsInsights Rolle in den folgenden Regionen verwenden.
****
| Name der Region | Regions-ID | Unterstützung in Systems Manager |
| --- | --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Hongkong) | ap-east-1 | Ja |
| Kanada (Zentral) | ca-central-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Europa (Stockholm) | eu-north-1 | Ja |
| Europa (Milan) | eu-south-1 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
| Naher Osten (Bahrain) | me-south-1 | Ja |
| Afrika (Kapstadt) | af-south-1 | Ja |
| AWS GovCloud (US) | us-gov-west-1 | Ja |
| AWS GovCloud (US) | us-gov-east-1 | Ja |
# Verwenden von Rollen zur Erhaltung des Zustands und der Konsistenz der von Quick Setup bereitgestellten Ressourcen
Systems Manager verwendet die serviceverknüpfte Rolle namens **`AWSServiceRoleForSSMQuickSetup`**.
## `AWSServiceRoleForSSMQuickSetup`-Berechtigungen von serviceverknüpften Rollen für Systems Manager
Die serviceverknüpfte Rolle `AWSServiceRoleForSSMQuickSetup` vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `ssm-quicksetup.amazonaws.com`
AWS Systems Manager verwendet diese IAM-Servicerolle, um den Zustand der Konfiguration zu überprüfen, die konsistente Verwendung von Parametern und bereitgestellten Ressourcen sicherzustellen und Ressourcen zu korrigieren, wenn Abweichungen festgestellt werden.
Die Rollenberechtigungsrichtlinie erlaubt Systems Manager die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
+ `ssm` (Systems Manager) – Liest Informationen über den Status, in dem sich konfigurierte Ressourcen befinden sollen, einschließlich delegierter Administratorkonten.
+ `iam` (AWS Identity and Access Management) – Dies ist erforderlich, damit Ressourcendaten organisationsweit in AWS Organizations synchronisiert werden können.
+ `organizations` (AWS Organizations) – Liest Informationen über die Mitgliedskonten, die zu einer Organisation gehören, wie sie in Organizations konfiguriert ist.
+ `cloudformation`(CloudFormation) — Liest Informationen über CloudFormation Stacks, die zur Verwaltung des Status von Ressourcen und Stackset-Vorgängen verwendet werden. CloudFormation
Die verwaltete Richtlinie, die zum Bereitstellen von Berechtigungen für die `AWSServiceRoleForSSMQuickSetup`-Rolle verwendet wird, ist `SSMQuickSetupRolePolicy`. Einzelheiten zu den Berechtigungen, gewährt werden, finden Sie unter [AWS verwaltete Richtlinie: SSMQuick SetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy).
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer `AWSServiceRoleForSSMQuickSetup`-serviceverknüpften Rolle für Systems Manager
Sie müssen die mit dem AWSService RoleFor SSMQuick Setup-Dienst verknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Quick Setup-Konfiguration in der AWS-Managementkonsole erstellen, erstellt Systems Manager die serviceverknüpfte Rolle für Sie.
## Bearbeiten einer `AWSServiceRoleForSSMQuickSetup`-serviceverknüpften Rolle für Systems Manager
Systems Manager verhindert die Bearbeitung der serviceverknüpften Rolle `AWSServiceRoleForSSMQuickSetup`. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer `AWSServiceRoleForSSMQuickSetup`-serviceverknüpften Rolle für Systems Manager
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Bereinigen der `AWSServiceRoleForSSMQuickSetup`-serviceverknüpften Rolle
Bevor Sie die serviceverknüpfte Rolle mit `AWSServiceRoleForSSMQuickSetup` löschen können, müssen Sie zunächst die Konfigurationen Quick Setup, die die Rollen nutzen über die Konsole deaktivieren. Weitere Informationen finden Sie unter [Bearbeiten und Löschen Ihrer Konfiguration](quick-setup-using.md#quick-setup-edit-delete).
### Manuelles Löschen der `AWSServiceRoleForSSMQuickSetup`-serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die `AWSServiceRoleForSSMQuickSetup` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter den folgenden Themen:
+ [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html) im Abschnitt Quick Setup der *AWS CLI -Referenz*
+ [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html) in der *Quick Setup-API-Referenz*
## Unterstützte Regionen für die Systems Manager `AWSServiceRoleForSSMQuickSetup`-serviceverknüpfte Rolle
Systems Manager unterstützt die Verwendung von serviceverknüpften Rollen nicht in allen Regionen, in denen der Service verfügbar ist. Sie können die AWSService RoleFor SSMQuick Setup-Rolle in den folgenden Regionen verwenden.
+ US East (Ohio)
+ USA Ost (Nord-Virginia)
+ USA West (Nordkalifornien)
+ USA West (Oregon)
+ Asia Pacific (Mumbai)
+ Asia Pacific (Seoul)
+ Asien-Pazifik (Singapur)
+ Asien-Pazifik (Sydney)
+ Asien-Pazifik (Tokio)
+ Canada (Central)
+ Europa (Frankfurt)
+ Europa (Stockholm)
+ Europa (Irland)
+ Europa (London)
+ Europa (Paris)
+ Südamerika (São Paulo)
# Rollen zum Exportieren verwenden Explorer OpsData
AWS Systems Manager Explorerverwendet die **SSMExplorerExportRoleAmazon-Servicerolle**, um Betriebsdaten (OpsData) mithilfe des `AWS-ExportOpsDataToS3` Automatisierungs-Runbooks zu exportieren.
## Berechtigungen von serviceverknüpften Rollen für Explorer
Die serviceverknüpfte Rolle `AmazonSSMExplorerExportRole` vertraut nur darauf, dass `ssm.amazonaws.com` die Rolle annimmt.
Sie können die `AmazonSSMExplorerExportRole` serviceverknüpfte Rolle verwenden, um Betriebsdaten (OpsData) mithilfe des `AWS-ExportOpsDataToS3` Automatisierungs-Runbooks zu exportieren. Sie können 5.000 OpsData Artikel aus Explorer einer Datei mit kommagetrennten Werten (.csv) in einen Amazon Simple Storage Service (Amazon S3) -Bucket exportieren.
Die Rollenberechtigungsrichtlinie erlaubt Systems Manager die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents`
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer `AmazonSSMExplorerExportRole`-serviceverknüpften Rolle für Systems Manager
Systems Manager erstellt die `AmazonSSMExplorerExportRole` serviceverknüpfte Rolle, wenn Sie Explorer in der Systems Manager OpsData Manager-Konsole exportieren. Weitere Informationen finden Sie unter [OpsData Aus Systems Manager exportieren Explorer](Explorer-exporting-OpsData.md).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen.
## Bearbeiten einer `AmazonSSMExplorerExportRole`-serviceverknüpften Rolle für Systems Manager
Systems Manager lässt die Bearbeitung der serviceverknüpften Rolle namens `AmazonSSMExplorerExportRole` nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer `AmazonSSMExplorerExportRole`-serviceverknüpften Rolle für Systems Manager
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird. Sie können die IAM-Konsole, die oder die IAM-API verwenden AWS CLI, um die dienstverknüpfte Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.
**Anmerkung**
Wenn der Systems Manager-Service die Rolle verwendet, wenn Sie versuchen, Tags oder Ressourcengruppen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Löschen Sie die von `AmazonSSMExplorerExportRole` verwendeten Systems Manager-Ressourcen wie folgt:**
1. Weitere Informationen zum Löschen von Tags finden Sie unter [Hinzufügen und Löschen von Tags für einzelne Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1. Informationen zum Löschen von Ressourcengruppen finden Sie unter Gruppen [löschen](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html) von. AWS -Ressourcengruppen
**So löschen Sie die `AmazonSSMExplorerExportRole`-servicegebundene Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die IAM-API AWS CLI, um die `AmazonSSMExplorerExportRole` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für die Systems Manager `AmazonSSMExplorerExportRole`-serviceverknüpfte Rolle
Systems Managerunterstützt die Verwendung der `AmazonSSMExplorerExportRole` serviceverknüpften Rolle überall dort, AWS-Regionen wo der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS Systems Manager -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Verwenden von Rollen zum Aktivieren des just-in-time Knotenzugriffs
Systems Managerverwendet die benannte dienstverknüpfte Rolle. **`AWSServiceRoleForSystemsManagerJustInTimeAccess`** AWS Systems Manager verwendet diese IAM-Dienstrolle, um den just-in-time Knotenzugriff zu ermöglichen.
## Dienstbezogene Rollenberechtigungen für Systems Manager just-in-time den Knotenzugriff
Die serviceverknüpfte Rolle `AWSServiceRoleForSystemsManagerJustInTimeAccess` vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `ssm.amazonaws.com`
Die Rollenberechtigungsrichtlinie erlaubt Systems Manager die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`
Die verwaltete Richtlinie, die zum Bereitstellen von Berechtigungen für die `AWSServiceRoleForSystemsManagerJustInTimeAccess`-Rolle verwendet wird, ist `AWSSystemsManagerEnableJustInTimeAccessPolicy`. Einzelheiten zu den Berechtigungen, gewährt werden, finden Sie unter [AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy).
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer `AWSServiceRoleForSystemsManagerJustInTimeAccess`-serviceverknüpften Rolle für Systems Manager
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie den just-in-time Knotenzugriff in aktivieren AWS-Managementkonsole, Systems Manager wird die dienstverknüpfte Rolle für Sie erstellt.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den Systems Manager-Service bereits seit der Einführung von serviceverknüpften Rollen am 19. November 2024 nutzen, hat Systems Manager die Rolle `AWSServiceRoleForSystemsManagerJustInTimeAccess` in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [In meinem IAM-Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie den just-in-time Knotenzugriff in aktivieren AWS-Managementkonsole, Systems Manager erstellt die dienstverknüpfte Rolle erneut für Sie.
Sie können die IAM-Konsole auch verwenden, um eine serviceverknüpfte Rolle mit der **AWS Servicerolle zu erstellen, die es Systems Manager ermöglicht, den just-in-time Knotenzugriff zu aktivieren**. Anwendungsfall. Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem `ssm.amazonaws.com` Dienstnamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer `AWSServiceRoleForSystemsManagerJustInTimeAccess`-serviceverknüpften Rolle für Systems Manager
Systems Manager lässt die Bearbeitung der serviceverknüpften Rolle namens `AWSServiceRoleForSystemsManagerJustInTimeAccess` nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer `AWSServiceRoleForSystemsManagerJustInTimeAccess`-serviceverknüpften Rolle für Systems Manager
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der Systems Manager-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die `AWSServiceRoleForSystemsManagerJustInTimeAccess`-servicegebundene Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die `AWSServiceRoleForSystemsManagerJustInTimeAccess` dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für die Systems Manager `AWSServiceRoleForSystemsManagerJustInTimeAccess`-serviceverknüpfte Rolle
****
| AWS-Region Name | Regions-ID | Unterstützung in Systems Manager |
| --- | --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja |
| Kanada (Zentral) | ca-central-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Europa (Stockholm) | eu-north-1 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
| AWS GovCloud (US) | us-gov-west-1 | Nein |
# Verwenden von Rollen zum Senden von Benachrichtigungen über just-in-time Knotenzugriffsanfragen
Systems Managerverwendet die benannte dienstverknüpfte Rolle. **`AWSServiceRoleForSystemsManagerNotifications`** AWS Systems Manager verwendet diese IAM-Dienstrolle, um Benachrichtigungen an Genehmigungsberechtigte für Zugriffsanfragen zu senden.
## Mit dem Dienst verknüpfte Rollenberechtigungen für Systems Manager just-in-time Benachrichtigungen über den Knotenzugriff
Die serviceverknüpfte Rolle `AWSServiceRoleForSystemsManagerNotifications` vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `ssm.amazonaws.com`
Die Rollenberechtigungsrichtlinie erlaubt Systems Manager die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`
Die verwaltete Richtlinie, die zum Bereitstellen von Berechtigungen für die `AWSServiceRoleForSystemsManagerNotifications`-Rolle verwendet wird, ist `AWSSystemsManagerNotificationsServicePolicy`. Einzelheiten zu den Berechtigungen, gewährt werden, finden Sie unter [AWS verwaltete Richtlinie: AWSSystems ManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy).
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer `AWSServiceRoleForSystemsManagerNotifications`-serviceverknüpften Rolle für Systems Manager
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie den just-in-time Knotenzugriff in aktivieren AWS-Managementkonsole, Systems Manager wird die dienstverknüpfte Rolle für Sie erstellt.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den Systems Manager-Service bereits seit der Einführung von serviceverknüpften Rollen am 19. November 2024 nutzen, hat Systems Manager die Rolle `AWSServiceRoleForSystemsManagerNotifications` in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [In meinem IAM-Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie den just-in-time Knotenzugriff in aktivieren AWS-Managementkonsole, Systems Manager erstellt die dienstverknüpfte Rolle erneut für Sie.
Sie können auch den Anwendungsfall **AWS -Servicerolle, die es Systems Manager ermöglicht, Benachrichtigungen an Genehmigungsberechtigte für Zugriffsanforderungen zu senden** in der IAM-Konsole verwenden, um eine serviceverknüpfte Rolle zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem `ssm.amazonaws.com` Dienstnamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer `AWSServiceRoleForSystemsManagerNotifications`-serviceverknüpften Rolle für Systems Manager
Systems Manager lässt die Bearbeitung der serviceverknüpften Rolle namens `AWSServiceRoleForSystemsManagerNotifications` nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer `AWSServiceRoleForSystemsManagerNotifications`-serviceverknüpften Rolle für Systems Manager
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der Systems Manager-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die `AWSServiceRoleForSystemsManagerNotifications`-servicegebundene Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die `AWSServiceRoleForSystemsManagerNotifications` dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für die Systems Manager `AWSServiceRoleForSystemsManagerNotifications`-serviceverknüpfte Rolle
****
| AWS-Region Name | Regions-ID | Unterstützung in Systems Manager |
| --- | --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja |
| Kanada (Zentral) | ca-central-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Europa (Stockholm) | eu-north-1 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
| AWS GovCloud (US) | us-gov-west-1 | Nein |
# Protokollieren und Überwachen in AWS Systems Manager
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit AWS Systems Manager und Leistung Ihrer AWS Lösungen. Sie sollten Überwachungsdaten aus allen Teilen Ihrer AWS Lösung sammeln, damit Sie einen Fehler an mehreren Stellen besser debuggen können, falls einer auftritt. AWS stellt mehrere Tools bereit, mit denen Sie Ihre Systems Manager und andere Ressourcen überwachen und auf mögliche Vorfälle reagieren können.
**AWS CloudTrail Logs**
CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service Mitglied ausgeführt wurdenSystems Manager. Anhand der von gesammelten Informationen können Sie die Anfrage ermitteln CloudTrail, an die die Anfrage gestellt wurdeSystems Manager, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Informationen. Weitere Informationen finden Sie unter [AWS Systems Manager API-Aufrufe protokollieren mit AWS CloudTrail](monitoring-cloudtrail-logs.md).
** CloudWatch Amazon-Alarme**
Mithilfe von CloudWatch Amazon-Alarmen beobachten Sie eine einzelne Metrik über einen Zeitraum, den Sie für Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Instances und andere Ressourcen angeben. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, wird eine Benachrichtigung an ein Thema oder eine AWS Auto Scaling Richtlinie von Amazon Simple Notification Service (Amazon SNS) gesendet. CloudWatch Alarme lösen keine Aktionen aus, da sie sich in einem bestimmten Status befinden. Der Status muss sich stattdessen geändert haben und für eine festgelegte Anzahl an Zeiträumen aufrechterhalten worden sein. Weitere Informationen finden Sie unter [Verwenden von CloudWatch Amazon-Alarmen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) im * CloudWatch Amazon-Benutzerhandbuch*.
** CloudWatch Amazon-Dashboards**
CloudWatch Dashboards sind anpassbare Homepages in der CloudWatch Konsole, mit denen Sie Ihre Ressourcen in einer einzigen Ansicht überwachen können, auch die Ressourcen, die auf verschiedene verteilt sind. AWS-Regionen Mithilfe von CloudWatch Dashboards können Sie benutzerdefinierte Ansichten der Metriken und Alarme für Ihre AWS Ressourcen erstellen. Weitere Informationen finden Sie unter [Verwenden von CloudWatch Amazon-Dashboards, die von Systems Manager gehostet werden](systems-manager-cloudwatch-dashboards.md).
**Amazon EventBridge**
Mithilfe von Amazon können Sie Regeln konfigurieren EventBridge, die Sie über Änderungen an Systems Manager Ressourcen informieren und Sie veranlassen, auf der Grundlage des Inhalts dieser Ereignisse Maßnahmen EventBridge zu ergreifen. EventBridge bietet Unterstützung für eine Reihe von Ereignissen, die von verschiedenen Systems Manager Tools ausgelöst werden. Weitere Informationen finden Sie unter [Überwachung von Systems Manager Manager-Ereignissen mit Amazon EventBridge](monitoring-eventbridge-events.md).
** CloudWatch Amazon-Logs und SSM Agent Logs**
SSM Agent schreibt Informationen zu Ausführungen, geplanten Aktionen, Fehlern und dem Zustandsstatus in Protokolldateien auf jedem Knoten. Sie können Protokolldateien anzeigen, indem Sie sich manuell mit einem Knoten verbinden. Wir empfehlen, Agenten-Protokolldaten zur Analyse automatisch an eine Protokollgruppe in CloudWatch Logs zu senden. Weitere Informationen erhalten Sie unter [Senden von Knotenprotokollen an Unified CloudWatch Logs (CloudWatch Agent)](monitoring-cloudwatch-agent.md) und [Anzeigen von SSM Agent-Protokollen](ssm-agent-logs.md).
**AWS Systems Manager-Compliance**
Sie können Compliance, ein Tool in, verwenden AWS Systems Manager, um Ihre Flotte verwalteter Knoten auf Patch-Konformität und Konfigurationsinkonsistenzen zu überprüfen. Sie können Daten aus mehreren Bereichen sammeln und aggregieren AWS-Konten und dann nach bestimmten Ressourcen suchen AWS-Regionen, die nicht den Vorschriften entsprechen. Standardmäßig zeigt Compliance aktuelle Compliance-Daten zum Patchen in Patch Manager, einem Tool in AWS Systems Manager, und Verknüpfungen in State Manager an, einem Tool in AWS Systems Manager. Weitere Informationen finden Sie unter [AWS Systems Manager-Compliance](systems-manager-compliance.md).
**AWS Systems Manager Explorer**
Explorer, ein Tool in AWS Systems Manager, ist ein anpassbares Operations-Dashboard, das Informationen über Ihre AWS Ressourcen enthält. Explorerzeigt eine aggregierte Ansicht der Betriebsdaten (OpsData) für Sie AWS-Konten und Across AWS-Regionen an. OpsData Enthält Metadaten zu Ihren EC2-Instances, Details zur Patch-Konformität und betriebliche Arbeitselemente ()OpsItems. Explorer Explorerbietet Informationen darüber, wie sie auf Ihre Geschäftsbereiche oder Anwendungen verteilt OpsItems sind, wie sie sich im Laufe der Zeit entwickeln und wie sie sich je nach Kategorie unterscheiden. Sie können Informationen in Explorer gruppieren und filtern, um sich auf die Elemente zu konzentrieren, die für Sie relevant sind und eine Aktion erfordern. Weitere Informationen finden Sie unter [AWS Systems Manager Explorer](Explorer.md).
**AWS Systems Manager OpsCenter**
OpsCenter, ein Tool in AWS Systems Manager, bietet einen zentralen Ort, an dem Betriebsingenieure und IT-Experten betriebliche Arbeitsaufgaben (OpsItems) im Zusammenhang mit AWS Ressourcen einsehen, untersuchen und lösen können. OpsCenteraggregiert und standardisiert OpsItems alle Services und stellt gleichzeitig kontextbezogene Untersuchungsdaten zu den einzelnen OpsItemOpsItems, verwandten und verwandten Ressourcen bereit. OpsCenterstellt außerdem Runbooks in Automation bereit, ein Tool AWS Systems Manager, mit dem Sie Probleme schnell lösen können. OpsCenterist in Amazon integriert EventBridge. Das bedeutet, dass Sie EventBridge Regeln erstellen können, die automatisch OpsItems für alle erstellt werden, für AWS-Service die Ereignisse veröffentlicht EventBridge werden. Weitere Informationen finden Sie unter [AWS Systems Manager OpsCenter](OpsCenter.md).
**Amazon Simple Notification Service**
Sie können Amazon Simple Notification Service (Amazon SNS) zum Senden von Benachrichtigungen über den Status der Befehle konfigurieren, die Sie mithilfe von Run Command oder Maintenance Windows, Tools in AWS Systems Manager, senden. Amazon SNS koordiniert und verwaltet das Senden und Zustellen von Benachrichtigungen an Clients oder Endpunkte, die Amazon-SNS-Themen abonniert haben. Sie können eine Benachrichtigung erhalten, wenn ein Befehl in einen neuen Status oder in einen bestimmten Status wechselt, z. B. `Failed` oder `Timed Out`. In Fällen, in denen Sie einen Befehl an mehrere Knoten senden, können Sie eine Benachrichtigung für jede Kopie des Befehls abrufen, die an einen bestimmten Knoten gesendet wurde. Weitere Informationen finden Sie unter [Überwachung von Systems Manager-Statusänderungen mit Amazon SNS-Benachrichtigungen](monitoring-sns-notifications.md).
**AWS Trusted Advisor und AWS Health Dashboard**
Trusted Advisor stützt sich auf bewährte Verfahren, die wir bei der Betreuung von Hunderttausenden von AWS Kunden gelernt haben. Trusted Advisor untersucht Ihre AWS Umgebung und gibt dann Empfehlungen, wenn Möglichkeiten bestehen, Geld zu sparen, die Systemverfügbarkeit und -leistung zu verbessern oder Sicherheitslücken zu schließen. Alle AWS Kunden haben Zugriff auf fünf Trusted Advisor Schecks. Kunden mit einem AWS Support Business- oder Enterprise-Tarif können alle Trusted Advisor Schecks einsehen. Weitere Informationen finden Sie unter [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) im *AWS Support -Benutzerhandbuch* und im *[AWS Health -Benutzerhandbuch](https://docs.aws.amazon.com/health/latest/ug/)*.
**Weitere Informationen**
+ [Einloggen und Überwachen AWS Systems Manager](monitoring.md)
# Compliance-Validierung für AWS Systems Manager
Dieses Thema befasst sich mit der AWS Systems Manager-Compliance mit Assurance-Programmen von Drittanbietern. Informationen zum Anzeigen von Compliance-Daten für Ihre verwalteten Knoten finden Sie unter [AWS Systems Manager-Compliance](systems-manager-compliance.md).
Externe Prüfer bewerten im Rahmen verschiedener AWS -Compliance-Programme die Sicherheit und Compliance von Systems Manager. Hierzu zählen unter anderem SOC, PCI, FedRAMP und HIPAA.
Eine Liste der AWS-Services einzelnen Compliance-Programme finden Sie unter [AWS Services im Umfang nach Compliance-Programmen AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung Systems Manager hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWS stellt die folgenden Ressourcen zur Verfügung, die Sie bei der Einhaltung der Vorschriften unterstützen:
+ [Schnellstartanleitungen für Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – In diesen Bereitstellungsleitfäden werden architektonische Überlegungen erörtert und Schritte für die Bereitstellung von sicherheits- und konformitätsorientierten Basisumgebungen auf AWS angegeben.
+ Whitepaper „[Architecting for HIPAA Security and Compliance“ — In diesem Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html) wird beschrieben, wie Unternehmen HIPAA-konforme Anwendungen erstellen können AWS .
+ [AWS Compliance-Ressourcen ](https://aws.amazon.com/compliance/resources/) — Diese Sammlung von Arbeitsmappen und Leitfäden kann auf Ihre Branche und Ihren Standort zutreffen.
+ [Bewertung von Ressourcen anhand von Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config Entwicklerhandbuch* — Der AWS Config Service bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Auf diese AWS-Service Weise erhalten Sie einen umfassenden Überblick über Ihren Sicherheitsstatus AWS , anhand dessen Sie überprüfen können, ob Sie die Sicherheitsstandards und Best Practices der Branche einhalten.
# Ausfallsicherheit in AWS Systems Manager
Die globale AWS-Infrastruktur ist um AWS-Regionen und Availability Zones herum aufgebaut. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die mit einem Netzwerk mit geringer Latenz, hohem Durchsatz und hoher Redundanz verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen über AWS-Regionen und Availability Zones finden Sie unter [Globale AWS-Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicherheit der Infrastruktur in AWS Systems Manager
Als verwalteter Dienst AWS Systems Manager ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff Systems Manager über das Netzwerk. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Konfigurations- und Schwachstellenanalyse in AWS Systems Manager
AWS erledigt grundlegende Sicherheitsaufgaben wie Firewallkonfiguration und Notfallwiederherstellung. Diese Verfahren wurden von qualifizierten Dritten überprüft und zertifiziert. Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Compliance-Validierung für AWS Systems Manager](compliance-validation.md)
+ [Modell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Bewährte Methoden für Sicherheit, Identität und Compliance](https://aws.amazon.com/architecture/security-identity-compliance/)
# Bewährte Methoden für die Sicherheit für Systems Manager
AWS Systems Manager bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
**Topics**
+ [Bewährte Methoden für vorbeugende Systems Manager-Sicherheitsmaßnahmen](#security-best-practices-prevent)
+ [Bewährte Methoden für die Installation von SSM Agent](#security-best-practices-ssm-agent)
+ [Bewährte Methoden zur Überwachung und Prüfung von Systems Manager](#security-best-practices-detect)
## Bewährte Methoden für vorbeugende Systems Manager-Sicherheitsmaßnahmen
Die folgenden bewährten Methoden für Systems Manager können dabei helfen, Sicherheitsvorfälle zu verhindern.
**Implementieren des Zugriffs mit geringsten Berechtigungen**
Beim Erteilen von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche Systems Manager-Ressourcen erhält. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.
Die folgenden Tools stehen zur Implementierung der geringstmöglichen Zugriffsrechte zur Verfügung:
+ [IAM-Richtlinien ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) und [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
**Verwenden Sie die empfohlenen Einstellungen für SSM Agent, wenn Sie für die Verwendung eines Proxys konfiguriert sind**
Wenn Sie SSM Agent eines Proxys konfigurieren, verwenden Sie die `no_proxy`-Variable mit der IP-Adresse des Metadaten-Services der Systems-Manager-Instance, um sicherzustellen, dass Aufrufe von Systems Manager nicht die Identität des Proxyservices annehmen.
Weitere Informationen erhalten Sie unter [Konfigurieren Sie SSM Agent, um einen Proxy in Linux-Knoten zu verwenden](configure-proxy-ssm-agent.md) und [Konfigurieren des SSM Agent zur Nutzung eines Proxys für Windows Server-Instances](configure-proxy-ssm-agent-windows.md).
**Verwenden Sie SecureString Parameter, um geheime Daten zu verschlüsseln und zu schützen**
In Parameter Store, ein Tool in AWS Systems Manager, kann ein `SecureString`-Parameter aus beliebigen vertraulichen Daten bestehen, die auf sichere Weise gespeichert und referenziert werden müssen. Wenn Sie Daten haben, die Benutzer nicht ändern oder im Klartext referenzieren sollen, z. B. Passwörter oder Lizenzschlüssel, erstellen Sie diese Parameter mithilfe des `SecureString` Datentyps. Parameter Storeverwendet ein AWS KMS key in AWS Key Management Service (AWS KMS), um den Parameterwert zu verschlüsseln. AWS KMS verwendet Von AWS verwalteter Schlüssel beim Verschlüsseln des Parameterwerts entweder einen vom Kunden verwalteten Schlüssel oder einen. Für maximale Sicherheit empfehlen wir die Verwendung eines eigenen KMS-Schlüssel. Wenn Sie den verwenden Von AWS verwalteter Schlüssel, kann jeder Benutzer, der berechtigt ist, die [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)AND-Aktionen in Ihrem Konto auszuführen, den Inhalt aller `SecureString` Parameter anzeigen oder abrufen. Wenn Sie vom Kunden verwaltete Schlüssel zur Verschlüsselung Ihrer sicheren `SecureString`-Werte verwenden, können Sie IAM-Richtlinien und -Schlüsselrichtlinien verwenden, um die Berechtigungen für die Ver- und Entschlüsselung von Parametern zu verwalten.
Es ist schwieriger, Richtlinien für die Zugriffssteuerung für diese Vorgänge zu erstellen, wenn Sie Von AWS verwalteter Schlüssel verwenden. Wenn Sie beispielsweise einen Von AWS verwalteter Schlüssel zum Verschlüsseln von `SecureString` Parametern verwenden und nicht möchten, dass Benutzer mit `SecureString` Parametern arbeiten, müssen die IAM-Richtlinien des Benutzers den Zugriff auf den Standardschlüssel ausdrücklich verweigern.
Weitere Informationen finden Sie unter [Einschränken des Zugriffs auf Parameter Store-Parameter mithilfe von IAM-Richtlinien](sysman-paramstore-access.md) und [How AWS Systems ManagerParameter Store Uses AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html) in the *AWS Key Management Service Developer Guide*.
**Definieren von allowedValues und allowedPattern für Dokumentparameter**
Sie können Benutzereingaben für Parameter in Systems Manager-Dokumenten (SSM-Dokumenten) validieren, indem Sie `allowedValues` und `allowedPattern` definieren. Für `allowedValues` definieren Sie ein Array von Werten, die für den Parameter zulässig sind. Wenn ein Benutzer einen Wert eingibt, der nicht zulässig ist, kann die Ausführung nicht gestartet werden. Für `allowedPattern` definieren Sie einen regulären Ausdruck, der überprüft, ob die Benutzereingabe mit dem definierten Muster für den Parameter übereinstimmt. Wenn die Benutzereingabe nicht mit dem zulässigen Muster übereinstimmt, kann die Ausführung nicht gestartet werden.
Weitere Informationen zu `allowedValues` und `allowedPattern` finden Sie unter [Datenelemente und Parameter](documents-syntax-data-elements-parameters.md).
**Öffentliche Freigabe für Dokumente blockieren**
Sofern für Ihren Anwendungsfall keine öffentliche Freigabe erforderlich ist, empfehlen wir Ihnen, die Einstellung zum Blockieren der öffentlichen Freigabe für Ihre SSM-Dokumente im Abschnitt **Preferences (Einstellungen)** der Systems Manager-Dokumentenkonsole zu aktivieren.
**Amazon Virtual Private Cloud (Amazon VPC) und VPC-Endpunkte verwenden**
Sie können Amazon VPC verwenden, um AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht weitgehend einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben, kann jedoch die Vorzüge der skalierbaren Infrastruktur von AWS nutzen.
Durch die Implementierung eines VPC-Endpunkts können Sie Ihre VPC privat mit unterstützten AWS-Services und unterstützten VPC-Endpunktdiensten verbinden, AWS PrivateLink ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Verbindung erforderlich ist. AWS Direct Connect Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Ressourcen im Service zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht.
Weitere Informationen zur Amazon-VPC-Sicherheit finden Sie unter [Verbessern Sie die Sicherheit von EC2-Instances durch die Verwendung von VPC-Endpunkten für Systems Manager](setup-create-vpc.md) und [Internetwork-Datenverkehr-Datenschutz in Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) im *Amazon-VPC-Benutzerhandbuch*.
**Beschränken Sie Session Manager-Benutzer auf Sitzungen mit interaktiven Befehlen und bestimmten SSM-Sitzungsdokumenten**
Session Manager, ein Tool in AWS Systems Manager, bietet [mehrere Methoden zum Starten von Sitzungen](session-manager-working-with-sessions-start.md) für Ihre verwalteten Knoten. Für die sichersten Verbindungen können Sie von den Benutzern verlangen, dass sie sich mit der Methode *interaktive Befehle* verbinden, um die Benutzerinteraktion auf einen bestimmten Befehl oder eine bestimmte Befehlssequenz zu beschränken. Dies hilft Ihnen bei der Verwaltung der interaktiven Aktionen, die ein Benutzer durchführen kann. Weitere Informationen finden Sie unter [Starten einer Sitzung (interaktive und nicht interaktive Befehle)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands).
Für zusätzliche Sicherheit können Sie den Session Manager-Zugriff auf bestimmte Amazon-EC2-Instances und bestimmte Session Manager-Sitzungsdokumente beschränken. Sie gewähren oder widerrufen Session Manager den Zugriff auf diese Weise mithilfe von AWS Identity and Access Management (IAM-) Richtlinien. Weitere Informationen finden Sie unter [Schritt 3: Steuern des Sitzungs-Zugriffs auf verwaltete Knoten](session-manager-getting-started-restrict-access.md).
**Bereitstellen von temporären Knoten-Berechtigungen für Automatisierungs-Workflows**
Während eines Workflows in Automation, ein Tool in AWS Systems Manager, benötigen Ihre Knoten möglicherweise Berechtigungen, die nur für diese Ausführung, nicht aber für andere Systems Manager-Vorgänge benötigt werden. Für einen Automatisierungs-Workflow kann es beispielsweise erforderlich sein, dass ein Knoten während des Workflows eine bestimmte API-Operation aufruft oder auf eine AWS Ressource zugreift. Wenn diese Aufrufe oder Ressourcen solche sind, auf die Sie den Zugriff beschränken möchten, können Sie temporäre, zusätzliche Berechtigungen für Ihre Knoten im Automatisierungs-Runbook selbst bereitstellen, anstatt die Berechtigungen zu Ihrem IAM-Instance-Profil hinzuzufügen. Am Ende des Automation-Workflows werden die temporären Berechtigungen entfernt. Weitere Informationen finden Sie unter [Bereitstellung temporärer Instance-Berechtigungen mit AWS Systems Manager Automations](https://aws.amazon.com/blogs/mt/providing-temporary-instance-permissions-with-aws-systems-manager-automations/) im *AWS Management- und Governance-Blog*.
**Halten Sie AWS die Systems Manager Tools auf dem neuesten Stand**
AWS veröffentlicht regelmäßig aktualisierte Versionen von Tools und Plugins, die Sie in Ihren AWS Systems Manager Betriebsabläufen verwenden können. Wenn Sie diese Ressourcen auf dem neuesten Stand halten, wird sichergestellt, dass Benutzer und Knoten in Ihrem Konto Zugriff auf die neueste Funktion und Sicherheitsfeatures dieser Tools haben.
+ SSM Agent – AWS Systems Manager Agent (SSM Agent) ist eine Amazon-Software, die auf einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance, einem On-Premises-Server oder in einer virtuellen Maschine (VM) installiert und konfiguriert werden kann. SSM Agent ermöglicht es Systems Manager, diese Ressourcen zu aktualisieren, zu verwalten und zu konfigurieren. Es wird empfohlen, mindestens alle zwei Wochen nach neuen Versionen zu suchen oder Aktualisierungen des Agenten zu automatisieren. Weitere Informationen finden Sie unter [Automatisieren von Updates für SSM Agent](ssm-agent-automatic-updates.md). Wir empfehlen außerdem, die Signatur von SSM Agent im Rahmen Ihres Aktualisierungsprozesses zu überprüfen. Weitere Informationen finden Sie unter [Verifizieren der Signatur von SSM Agent](verify-agent-signature.md).
+ AWS CLI — The AWS Command Line Interface (AWS CLI) ist ein Open-Source-Tool, mit dem Sie AWS-Services mithilfe von Befehlen in Ihrer Befehlszeilen-Shell interagieren können. Um das zu aktualisieren AWS CLI, führen Sie denselben Befehl aus, mit dem Sie das installiert haben. AWS CLI Wir empfehlen, mindestens alle zwei Wochen eine geplante Aufgabe auf Ihrem lokalen Rechner zu erstellen, um den für Ihr Betriebssystem geeigneten Befehl auszuführen. Informationen zu Installationsbefehlen finden Sie im *AWS Command Line Interface Benutzerhandbuch* unter [Installation der AWS CLI Version 2.](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ AWS Tools for Windows PowerShell — Die Tools für Windows PowerShell sind eine Reihe von PowerShell Modulen, die auf der Funktionalität aufbauen, die das AWS SDK for .NET. Sie AWS Tools for Windows PowerShell ermöglichen es Ihnen, Operationen auf Ihren AWS Ressourcen von der PowerShell Befehlszeile aus per Skript auszuführen. Wenn aktualisierte Versionen der Tools für Windows veröffentlicht PowerShell werden, sollten Sie regelmäßig die Version aktualisieren, die Sie lokal ausführen. Weitere Informationen finden Sie unter [Aktualisieren von AWS Tools for Windows PowerShell unter Windows](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-windows.html#pstools-updating) oder [Aktualisieren von unter Linux oder macOS](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-linux-mac.html#pstools-updating-linux) im *IAM Policy Simulator-Benutzerhandbuch*. AWS Tools for Windows PowerShell
+ Session Manager-Plugin – Wenn Benutzer in Ihrer Organisation mit den Berechtigungen für die Verwendung von Session Manager eine Verbindung zu einem Knoten mit AWS CLI herstellen möchten, müssen sie zuerst Session Manager in ihren lokalen Maschinen installieren. Um das Plugin zu aktualisieren, führen Sie denselben Befehl aus, der für die Installation des Plugins verwendet wird. Wir empfehlen, mindestens alle zwei Wochen eine geplante Aufgabe auf Ihrem lokalen Rechner zu erstellen, um den für Ihr Betriebssystem geeigneten Befehl auszuführen. Weitere Informationen finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md).
+ CloudWatch Agent — Sie können den CloudWatch Agenten konfigurieren und verwenden, um Metriken und Protokolle von Ihren EC2-Instances, lokalen Instanzen und virtuellen Maschinen zu sammeln (). VMs Diese Protokolle können zur Überwachung und Analyse an Amazon CloudWatch Logs gesendet werden. Es wird empfohlen, mindestens alle zwei Wochen nach neuen Versionen zu suchen oder Aktualisierungen des Agenten zu automatisieren. Für die einfachsten Aktualisierungen verwenden Sie AWS Systems Manager Quick Setup. Weitere Informationen finden Sie unter [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md).
## Bewährte Methoden für die Installation von SSM Agent
Verwenden Sie bei der Installation von SSM Agent die für Ihren Maschinentyp geeignete Installationsmethode. Verwenden Sie das `ssm-setup-cli`-Tool insbesondere für alle Nicht-EC2-Installationen in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types). Dieses Tool bietet zusätzlichen Sicherheitsschutz für Nicht-EC2-Computer.
Verwenden Sie das `ssm-setup-cli` Tool, um den Agenten auf On-PremisesServern und virtuellen Maschinen zu installieren, wie in den folgenden Themen beschrieben:
+ [Installation von SSM Agent auf hybriden Linux-Knoten](hybrid-multicloud-ssm-agent-install-linux.md)
+ [Installation von SSM Agent auf hybriden Windows Server-Knoten](hybrid-multicloud-ssm-agent-install-windows.md)
Verwenden Sie das richtige Verfahren für Ihren Betriebssystemtyp, um den Agenten auf EC2-Instances zu installieren:
+ [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Linux](manually-install-ssm-agent-linux.md)
+ [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für macOS](manually-install-ssm-agent-macos.md)
+ [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Windows Server](manually-install-ssm-agent-windows.md)
## Bewährte Methoden zur Überwachung und Prüfung von Systems Manager
Mithilfe der folgenden bewährten Methoden für Systems Manager können Sie potenzielle Sicherheitsschwächen und Vorfälle erkennen.
**Identifizieren und prüfen all Ihrer Systems Manager-Ressourcen**
Die Identifikation Ihrer IT-Assets ist ein wichtiger Aspekt von Governance und Sicherheit. Sie müssen alle Ihre Systems Manager-Ressourcen identifizieren, um ihre Sicherheitssituation zu bewerten und Maßnahmen in potentiellen Schwachstellenbereichen zu ergreifen.
Verwenden Sie den Tag-Editor, um sicherheits- und prüfungsrelevante Ressourcen zu identifizieren. Verwenden Sie dann diese Markierungen zur Suche nach den entsprechenden Ressourcen. Weitere Informationen finden Sie unter [Suchen nach zu markierenden Ressourcen](https://docs.aws.amazon.com/ARG/latest/userguide/find-resources-to-tag.html) im *AWS -Ressourcengruppen -Benutzerhandbuch*.
Erstellen Sie Ressourcengruppen für Ihre Systems Manager-Ressourcen. Weitere Informationen finden Sie unter [Was sind Ressourcengruppen?](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)
**Implementieren Sie die Überwachung mithilfe der CloudWatch Amazon-Überwachungstools**
Die Überwachung ist ein wichtiger Teil der Aufrechterhaltung von Zuverlässigkeit, Sicherheit, Verfügbarkeit und Performance von Systems Manager und Ihren AWS -Lösungen. Amazon CloudWatch bietet verschiedene Tools und Dienste, die Ihnen bei der Überwachung Systems Manager und Ihrer anderen helfen AWS-Services. Weitere Informationen erhalten Sie unter [Senden von Knotenprotokollen an Unified CloudWatch Logs (CloudWatch Agent)](monitoring-cloudwatch-agent.md) und [Überwachung von Systems Manager Manager-Ereignissen mit Amazon EventBridge](monitoring-eventbridge-events.md).
**Benutzen CloudTrail**
AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service Mitglied ausgeführt wurdenSystems Manager. Anhand der von gesammelten Informationen können Sie die Anfrage ermitteln CloudTrail, an die die Anfrage gestellt wurdeSystems Manager, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Informationen. Weitere Informationen finden Sie unter [AWS Systems Manager API-Aufrufe protokollieren mit AWS CloudTrail](monitoring-cloudtrail-logs.md).
**Einschalten AWS Config**
AWS Config ermöglicht es Ihnen, die Konfigurationen Ihrer AWS Ressourcen zu bewerten, zu prüfen und zu bewerten. AWS Config überwacht die Ressourcenkonfigurationen, sodass Sie die aufgezeichneten Konfigurationen mit den erforderlichen sicheren Konfigurationen vergleichen können. Mithilfe AWS Config dieser Funktion können Sie Änderungen an Konfigurationen und Beziehungen zwischen AWS Ressourcen überprüfen, den detaillierten Verlauf der Ressourcenkonfigurationen untersuchen und die allgemeine Konformität mit den in Ihren internen Richtlinien festgelegten Konfigurationen ermitteln. Dadurch können Sie die Compliance-Prüfung, die Sicherheitsanalyse, das Änderungsmanagement und die Fehlerbehebung bei Betriebsabläufen vereinfachen. Weitere Informationen finden Sie unter [Einrichten von AWS Config mit der Konsole](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) im *AWS Config -Entwicklerhandbuch*. Achten Sie bei der Angabe der Ressourcentypen, die aufgezeichnet werden sollen, darauf, dass Systems Manager-Ressourcen enthalten sind.
**Überwachen Sie die AWS Sicherheitsempfehlungen**
Sie sollten regelmäßig die Trusted Advisor für Sie veröffentlichten Sicherheitshinweise überprüfen. AWS-Konto Sie können dies programmgesteuert tun mit. [describe-trusted-advisor-checks](https://docs.aws.amazon.com/cli/latest/reference/support/describe-trusted-advisor-checks.html)
Überwachen Sie außerdem aktiv die primäre E-Mail-Adresse, die für jeden von Ihnen registriert ist. AWS-Konten AWS wird Sie unter Verwendung dieser E-Mail-Adresse über neu auftretende Sicherheitsprobleme kontaktieren, die Sie betreffen könnten.
AWS Betriebsprobleme mit weitreichenden Auswirkungen werden im [AWS Service Health Dashboard](https://status.aws.amazon.com/) veröffentlicht. Operative Probleme werden ebenfalls über das Personal Health Dashboard in den einzelnen Konten gepostet. Weitere Informationen finden Sie in der [AWS Health Dokumentation](https://docs.aws.amazon.com/health/).
**Weitere Informationen**
+ [Bewährte Methoden für Sicherheit, Identität und Compliance](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [Erste Schritte: Halten Sie sich bei der Konfiguration Ihrer AWS Ressourcen an bewährte Sicherheitsmethoden](https://aws.amazon.com/blogs/security/getting-started-follow-security-best-practices-as-you-configure-your-aws-resources/) (AWS Sicherheitsblog)
+ [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Bewährte Sicherheitsmethoden in AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Bewährte Methoden für die Sicherheit in Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)
+ [Bewährte Sicherheitsmethoden für AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)