Políticas administradas de AWS para AWS Systems Manager
Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Política administrada de AWS: AmazonSSMServiceRolePolicy
Esta política proporciona acceso a una serie de recursos de AWS que son administrados por AWS Systems Manager o utilizados en las operaciones de Systems Manager.
No puede adjuntar AmazonSSMServiceRolePolicy
a sus entidades de AWS Identity and Access Management (IAM). Esta política está adjunta a un rol vinculado a servicios que permite a AWS Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Uso de roles para recopilar datos de inventario y ver OpsData.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales iniciar y escalonar las ejecuciones de Run Command y Automatización; recuperar información sobre las operaciones de Run Command y Automatización; recuperar información sobre los parámetros del Parameter Store y calendarios de Change Calendar; actualizar y recuperar información sobre la configuración del servicio de Systems Manager para recursos de OpsCenter; y leer información sobre las etiquetas que se aplicaron a los recursos. -
cloudformation
: permite a las entidades principales recuperar información sobre las operaciones y las instancias de los conjuntos de pilas, así como eliminarlos del recursoarn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
. Permite a las entidades principales eliminar las instancias de pila asociadas a los siguientes recursos:arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:type/resource/*
-
cloudwatch
: permite a las entidades principales obtener información sobre alarmas de Amazon CloudWatch. -
compute-optimizer
: permite a las entidades principales recuperar el estado de inscripción (suscripción) de una cuenta en el servicio de AWS Compute Optimizer y recuperar recomendaciones para las instancias de Amazon EC2 que cumplan con un conjunto específico de requisitos establecidos. -
config
: permite a las entidades principales recuperar información, corregir las configuraciones y los registradores de configuración de AWS Config y determinar si las reglas de AWS Config y los recursos de AWS especificados cumplen con los requisitos. -
events
. permite a las entidades principales recuperar información sobre las reglas de EventBridge; crear reglas y destino de EventBridge exclusivamente para el servicio de Systems Manager (ssm.amazonaws.com
); y eliminar reglas y destinos del recursoarn:aws:events:*:*:rule/SSMExplorerManagedRule
. -
ec2
: permite a las entidades principales recuperar información sobre las instancias de Amazon EC2. -
iam
: permite a las entidades principales transferir permisos de roles para el servicio de Systems Manager (ssm.amazonaws.com
). -
lambda
: permite a las entidades principales invocar funciones de Lambda configuradas específicamente para su uso por parte de Systems Manager. -
resource-explorer-2
: permite a las entidades principales recuperar datos sobre las instancias de EC2 para determinar si Systems Manager administra actualmente cada instancia.La acción
resource-explorer-2:CreateManagedView
está permitida para el recursoarn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*
. -
resource-groups
: permite a las entidades principales recuperar una lista de grupos de recursos y sus miembros de AWS Resource Groups desde los recursos que pertenecen a un grupo de recursos. -
securityhub
: permite a las entidades principales recuperar información sobre los recursos del centro de AWS Security Hub en la cuenta actual. -
states
: permite a las entidades principales iniciar y recuperar información de AWS Step Functions configurada específicamente para que la use Systems Manager. -
support
: permite a las entidades principales recuperar información sobre comprobaciones y casos en AWS Trusted Advisor. -
tag
: permite a las entidades principales recuperar información sobre todos los recursos etiquetados, o que estuvieron etiquetados previamente, que se encuentran en una Región de AWS específica de una cuenta.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AmazonSSMFullAccessV2
Puede adjuntar la política AmazonSSMFullAccessV2
a las identidades de IAM. La política concede acceso total a operaciones de AWS Systems Manager. Se han agregado permisos para las características más recientes, incluidos los permisos que permiten a Systems Manager ejecutar documentos de Automatización para el diagnóstico y la corrección.
Detalles de los permisos
-
ssm
: permite a las entidades principales tener acceso completo a todas las API de AWS Systems Manager. -
ssm-quicksetup
: permite a las entidades principales administrar su configuración de Quick Setup de AWS Systems Manager. -
cloudformation
: permite a las entidades principales leer sus pilas de Quick Setup. -
iam:CreateServiceLinkedRole
,iam:DeleteServiceLinkedRole
,iam:GetServiceLinkedRoleDeletionStatus
: permite a las entidades principales administrar los roles vinculados al servicio de Systems Manager. -
iam:GetRole
: permite a las entidades principales recuperar información sobre roles de Quick Setup específicos cuando trabajan con Systems Manager. -
ec2:DescribeRegions
: permite a Systems Manager determinar las Regiones de AWS en que trabaja usted. -
organizations
. permite a las entidades principales leer la estructura de la organización cuando su empresa se incorpora a Systems Manager como organización. -
iam:PassRole
: permite a las entidades principales transferir los roles que van a asumir a Systems Manager cuando ejecutan automatizaciones de diagnóstico y corrección de los nodos no administrados. -
s3
: permite a las entidades principales enumerar y obtener objetos de los buckets de Amazon S3 que se crean durante el proceso de incorporación de Systems Manager.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMV2FullAccess en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AmazonSSMReadOnlyAccess
Puede adjuntar la política AmazonSSMReadOnlyAccess
a las identidades de IAM. Esta política otorga acceso de solo lectura a las operaciones de la API de AWS Systems Manager, incluidas Describe*
, Get*
y List*
.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMReadOnlyAccess en la Guía de referencia de políticas administradas de AWS.
Política administrada por AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy
No puede adjuntar AWSSystemsManagerOpsDataSyncServiceRolePolicy
a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Uso de roles para crear OpsData y OpsItems para Explorer.
AWSSystemsManagerOpsDataSyncServiceRolePolicy
permite al rol vinculado a un servicio AWSServiceRoleForSystemsManagerOpsDataSync
crear y actualizar OpsItems y OpsData desde resultados de AWS Security Hub.
La política permite que Systems Manager complete las siguientes acciones en todos los recursos relacionados ("Resource": "*"
), excepto cuando se indica lo contrario:
-
ssm:GetOpsItem
[1] -
ssm:UpdateOpsItem
[1] -
ssm:CreateOpsItem
-
ssm:AddTagsToResource
[2] -
ssm:UpdateServiceSetting
[3] -
ssm:GetServiceSetting
[3] -
securityhub:GetFindings
-
securityhub:GetFindings
-
securityhub:BatchUpdateFindings
[4]
[1] Las acciones ssm:GetOpsItem
y ssm:UpdateOpsItem
solo tienen permisos por la siguiente condición para el servicio de Systems Manager.
"Condition": { "StringEquals": { "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true" } }
[2] La acción ssm:AddTagsToResource
solo tiene permisos para los siguientes recursos.
arn:aws:ssm:*:*:opsitem/*
[3] Las acciones ssm:UpdateServiceSetting
y ssm:GetServiceSetting
solo tienen permisos para los siguientes recursos.
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
[4] Las acciones securityhub:BatchUpdateFindings
son permisos denegados por la siguiente condición para el servicio de Systems Manager.
{ "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Confidence": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Criticality": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.Text": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.UpdatedBy": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/RelatedFindings": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Types": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.key": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.value": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/VerificationState": false } }
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerOpsDataSyncServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada por AWS: AmazonSSMManagedEC2InstanceDefaultPolicy
Solo debe adjuntar AmazonSSMManagedEC2InstanceDefaultPolicy
a roles de IAM para las instancias de Amazon EC2 para las que desee tener permiso para usar la funcionalidad de Systems Manager. No debe asignar esta función a otras entidades de IAM, como los usuarios y los grupos de IAM, ni a roles de IAM que sirvan para otros fines. Para obtener más información, consulte Administración automática de instancias EC2 con la configuración de administración de hosts predeterminada.
Esta política otorga permisos que permiten a SSM Agent en su instancia de Amazon EC2 comunicarse con el servicio Systems Manager en la nube para realizar diversas tareas. También otorga permisos para los dos servicios que proporcionan tokens de autorización para garantizar que las operaciones se realicen en la instancia correcta.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite que las entidades principales recuperen documentos, ejecuten comandos con Run Command, establezcan sesiones con Session Manager, recopilen un inventario de la instancia, y analicen las revisiones y el cumplimiento de las mismas mediante Patch Manager. -
ssmmessages
: permite a las entidades principale acceder, para cada instancia, a un token de autorización personalizado creado por Amazon Message Gateway Service. Systems Manager valida el token de autorización personalizado cotejándolo con el Nombre de recurso de Amazon (ARN) de la instancia, proporcionado en la operación de la API. Este acceso es necesario para garantizar que SSM Agent realice las operaciones de la API en la instancia correcta. -
ec2messages
: permite a las entidades principale acceder, para cada instancia, a un token de autorización personalizado creado por Amazon Message Delivery Service. Systems Manager valida el token de autorización personalizado cotejándolo con el Nombre de recurso de Amazon (ARN) de la instancia, proporcionado en la operación de la API. Este acceso es necesario para garantizar que SSM Agent realice las operaciones de la API en la instancia correcta.
Para obtener información relacionada con los puntos de conexión de ssmmessages
y de ec2messages
, incluidas las diferencias entre ambos, consulte Operaciones de la API relacionadas con el agente (puntos de conexión de ssmmessages y ec2messages).
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMManagedEC2InstanceDefaultPolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: SSMQuickSetupRolePolicy
No se puede adjuntar SSMQuickSetupRolePolicy a las entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Uso de roles para mantener el estado y la consistencia de los recursos aprovisionados de Quick Setup.
Esta política otorga permisos de solo lectura que permiten a Systems Manager comprobar el estado de la configuración, garantizar el uso coherente de los parámetros y los recursos aprovisionados, además de corregir los recursos cuando se detecta una desviación. También concede permisos administrativos para crear un rol vinculado al servicio.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales leer sincronizaciones de datos de recursos de información y documentos de SSM en Systems Manager y en las cuentas de administrador delegado. Esto es necesario para que la Quick Setup pueda determinar el estado en el que deben estar configurados los recursos. -
organizations
: permite a las entidades principales leer información sobre las cuentas de los miembros que pertenecen a una organización, tal como se configuró en AWS Organizations. Esto es necesario para que Quick Setup pueda identificar todas las cuentas de una organización en las que se van a realizar comprobaciones de estado de los recursos. -
cloudformation
: permite a las entidades principales leer la información de AWS CloudFormation. Esto es necesario para que Quick Setup pueda recopilar datos sobre las pilas de AWS CloudFormation que se utilizan para administrar el estado de los recursos y las operaciones de los conjuntos de pilas de CloudFormation.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte SSMQuickSetupRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupDeploymentRolePolicy
La política administrada de AWSQuickSetupDeploymentRolePolicy
admite varios tipos de configuración de Quick Setup. Estos tipos de configuración crean roles y automatizaciones de IAM que configuran servicios y características de Amazon Web Services utilizados con frecuencia, mediante las prácticas recomendadas.
Puede adjuntar AWSQuickSetupDeploymentRolePolicy
a sus entidades de IAM.
Esta política concede los permisos administrativos necesarios para crear recursos asociados a las siguientes configuraciones de Quick Setup:
-
Instalar la administración de host de Amazon EC2 mediante Quick Setup
-
Cree un registrador de configuración de AWS Config mediante Quick Setup
-
Implemente el paquete de conformidad de AWS Config mediante Quick Setup
-
Detenga e inicie las instancias EC2 automáticamente según una programación mediante Quick Setup
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
iam
: permite a las entidades principales gestionar y eliminar los roles de IAM necesarios para las tareas de configuración de automatización y gestionar las políticas de roles de automatización. -
cloudformation
: permite a las entidades principales crear y administrar conjuntos de pilas. -
config
: permite a las entidades principales crear, administrar y eliminar paquetes de conformidad. -
events
: permite a las entidades principales crear, actualizar y eliminar reglas de eventos para acciones programadas. -
resource-groups
: permite a las entidades principales recuperar las consultas de recursos asociadas a grupos de recursos a los que se dirigen las configuraciones de Quick Setup. -
ssm
: permite a las entidades principales crear manuales de procedimientos de automatización y asociaciones que apliquen las configuraciones de Quick Setup.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupDeploymentRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupPatchPolicyDeploymentRolePolicy
La política administrada de AWSQuickSetupPatchPolicyDeploymentRolePolicy
admite el tipo de Configurar las revisiones para las instancias de una organización mediante Quick Setup Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.
Puede adjuntar AWSQuickSetupPatchPolicyDeploymentRolePolicy
a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Esta política concede permisos administrativos que permiten que Quick Setup cree recursos asociados a la configuración de la política de revisiones.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
iam
: permite a las entidades principales gestionar y eliminar los roles de IAM necesarios para las tareas de configuración de automatización y gestionar las políticas de roles de automatización. -
cloudformation
: permite a las entidades principales leer la información de las pilas de AWS CloudFormation y controlar las pilas de AWS CloudFormation que se crearon por Quick Setupmediante conjuntos de pilas de AWS CloudFormation. -
ssm
: permite a las entidades principales crear, actualizar, leer y eliminar los manuales de procedimientos de automatización necesarios para las tareas de configuración, así como crear, actualizar y eliminar asociaciones de State Manager.
-
resource-groups
: permite a las entidades principales recuperar las consultas de recursos asociadas a grupos de recursos a los que se dirigen las configuraciones de Quick Setup.
-
s3
: permite a las entidades principales enumerar los buckets de Amazon S3 y gestionarlos para almacenar los registros de acceso a las políticas de revisiones. -
lambda
: permite a las entidades principales gestionar las funciones de corrección de AWS Lambda que mantienen las configuraciones en el estado correcto. -
logs
: permite a las entidades principales describir y administrar grupos de registros para recursos de configuración de Lambda.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupPatchPolicyDeploymentRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política adminsitrada de AWS: AWSQuickSetupPatchPolicyBaselineAccess
La política administrada de AWSQuickSetupPatchPolicyBaselineAccess
admite el tipo de Configurar las revisiones para las instancias de una organización mediante Quick Setup Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.
Puede adjuntar AWSQuickSetupPatchPolicyBaselineAccess
a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Esta política proporciona permisos de solo lectura para acceder a las líneas de base de revisiones configuradas por un administrador de la Cuenta de AWS actual o de la organización que utiliza Quick Setup. Las líneas de base de revisiones se almacenan en un bucket de Amazon S3 y se pueden utilizar para aplicar revisiones a instancias en una sola cuenta o en toda la organización.
Detalles de los permisos
Esta política incluye el siguiente permiso.
-
s3
: permite a las entidades principales leer las anulaciones de la línea de base de revisiones almacenadas en buckets de Amazon S3.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupPatchPolicyBaselineAccessy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSSystemsManagerEnableExplorerExecutionPolicy
La política gestionada de AWSSystemsManagerEnableExplorerExecutionPolicy
admite la habilitación de Explorer, una capacidad de AWS Systems Manager.
Puede adjuntar AWSSystemsManagerEnableExplorerExecutionPolicy
a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Esta política concede permisos administrativos para la habilitación de Explorer. Esto incluye permisos para actualizar la configuración de servicios de Systems Manager relacionados y para crear un rol vinculado al servicio para Systems Manager.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
config
: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones. -
iam
: permite que las entidades principales ayuden a habilitar Explorer -
ssm
: permite que las entidades principales inicien un flujo de trabajo de automatización que habilita Explorer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerEnableExplorerExecutionPolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSSystemsManagerEnableConfigRecordingExecutionPolicy
La política administrada de AWSSystemsManagerEnableConfigRecordingExecutionPolicy
admite los tipos de configuración de Cree un registrador de configuración de AWS Config mediante Quick Setup Quick Setup. Este tipo de configuración habilita a Quick Setup a realizar un seguimiento y registrar los cambios en los tipos de recursos de AWS que elija para AWS Config. También habilita a Quick Setup para que configure las opciones de entrega y notificación de los datos registrados.
Puede adjuntar AWSSystemsManagerEnableConfigRecordingExecutionPolicy
a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar el registro de la configuración de AWS Config.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
s3
: permite que las entidades principales creen y configuren buckets de Amazon S3 para la entrega de grabaciones de configuración. -
sns
: permite que las entidades principales enumeren y creen temas de Amazon SNS. -
config
: permite que las entidades principales configuren e inicien el registrador de configuración y ayudar a habilitar Explorer. -
iam
: permite que las entidades principales creen, obtengan y pasen un rol vinculado al servicio para AWS Config; y además crear un rol vinculado al servicio para Systems Manager; y ayudar a habilitar Explorer. -
ssm
: permite que las entidades principales inicien un flujo de trabajo de automatización que habilita Explorer. -
compute-optimizer
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer. -
support
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerEnableConfigRecordingExecutionPolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupDevOpsGuruPermissionsBoundary
nota
Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulta Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.
La política administrada AWSQuickSetupDevOpsGuruPermissionsBoundary
admite el tipo Configurar DevOps Guru con Quick Setup. El tipo de configuración habilita Amazon DevOps Guru, con tecnología de machine learning. El servicio DevOps Guru puede ayudar a mejorar el rendimiento operativo y la disponibilidad de la aplicación.
Al crear una configuración de AWSQuickSetupDevOpsGuruPermissionsBoundary
mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar Amazon DevOps Guru.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
iam
: permite que las entidades principales creen funciones vinculadas a servicios para DevOps Guru y Systems Manager, y enumerar los roles que ayudan a habilitar Explorer. -
cloudformation
: permite que las entidades principales enumeren y describar las pilas de AWS CloudFormation. -
sns
: permite que las entidades principales enumeren y creen temas de Amazon SNS. -
devops-guru
: permite a las entidades principales configuren DevOps Guru y agreguen un canal de notificaciones. -
config
: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones. -
ssm
: permite que las entidades principales inicien un flujo de trabajo de automatización que habilite Explorer; y lean y actualicen la configuración del servicio Explorer. -
compute-optimizer
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer. -
support
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupDevOpsGuruPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupDistributorPermissionsBoundary
nota
Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulta Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.
La política administrada de AWSQuickSetupDistributorPermissionsBoundary
admite los tipos de configuración de Implemente paquetes de Distributor mediante Quick Setup Quick Setup. El tipo de configuración permite la distribución de paquetes de software, como agentes, a sus instancias de Amazon Elastic Compute Cloud (Amazon EC2) mediante Distributor, una capacidad de AWS Systems Manager.
Al crear una configuración de AWSQuickSetupDistributorPermissionsBoundary
mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten que Quick Setup habilite la distribución de paquetes de software, como agentes, a sus instancias de Amazon EC2 mediante Distributor.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
iam
: permite que las entidades principales obtengan y pasen el rolde automatización de Distributor; que creen, lean, actualicen y elimien el rol de instancia predeterminada; transfieran el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas de administración de instancias a los roles de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los roles de IAM y los perfiles de instancia; y creen el perfil de instancia predeterminada. -
ec2
: permite que las entidades principales asocien el perfil de instancia predeterminada a las instancias EC2 y ayuden a habilitarExplorer. -
ssm
: permite que las entidades principales incien los flujos de trabajo de automatización que configuran las instancias e instalan paquetes; y ayudan a iniciar el flujo de trabajo de automatización que habilita Explorer; y leen y actualizan la configuración de servicio de Explorer. -
config
: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones. -
compute-optimizer
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer. -
support
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupDistributorPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupSSMHostMgmtPermissionsBoundary
nota
Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulta Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.
La política administrada de AWSQuickSetupSSMHostMgmtPermissionsBoundary
admite los tipos de configuración de Instalar la administración de host de Amazon EC2 mediante Quick Setup Quick Setup. Este tipo de configuración configura los roles de IAM y habilita las funciones de Systems Manager más utilizadas para gestionar de forma segura las instancias de Amazon EC2.
Al crear una configuración de AWSQuickSetupSSMHostMgmtPermissionsBoundary
mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten que Quick Setup habilite y configure las capacidades de Systems Manager necesarias para administrar de forma segura las instancias de EC2.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
iam
: permite que las entidades principales obtengan y transfieran el rol de servicio para la automatización. Permite que las entidades principales creen, lean, actualicen y elimien el rol de instancia predeterminada; transfieran el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas de administración de instancias a los roles de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los roles de IAM y los perfiles de instancia; y creen el perfil de instancia predeterminada. -
ec2
: permite que las entidades principales asocien y cancelen la asociación del perfil de instancia predeterminada a las instancias EC2. -
ssm
: permite que las entidades principales inicien flujos de trabajo de automatización que habilitan Explorer; lean y actualicen la configuración de servicio de Explorer; configuren instancias; y habiliten las capacidades de Systems Manager en las instancias. -
compute-optimizer
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer. -
support
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSSMHostMgmtPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupPatchPolicyPermissionsBoundary
nota
Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulta Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.
La política administrada de AWSQuickSetupPatchPolicyPermissionsBoundary
admite el tipo de Configurar las revisiones para las instancias de una organización mediante Quick Setup Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.
Al crear una configuración de AWSQuickSetupPatchPolicyPermissionsBoundary
mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten que Quick Setup habilite y configure políticas de revisiones en Patch Manager, una capacidad deAWS Systems Manager.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
iam
: permite que las entidades principales obtengan el rol de automatización de Patch Manager; pasen las funciones de automatización a las operaciones de aplicación de revisiones de Patch Manager; creen el rol de instancia predeterminada,AmazonSSMRoleForInstancesQuickSetup
; pasen el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas gestionadas de AWS seleccionadas al rol de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los perfiles y roles de las instancias; creen un perfil de instancia predeterminado; y etiqueten funciones que tienen permisos de lectura de anulaciones de línea de base de revisiones. -
ssm
: permite que las entidades principales actualicen el rol de instancia que gestiona Systems Manager; gestionen las asociaciones creadas por las políticas de revisiones de Patch Manager creadas enQuick Setup; etiqueten las instancias a las que se dirige una configuración de política de revisiones; lean información sobre las instancias y el estado de las revisiones; inicien los flujos de trabajo de automatización que configuran, habilitan y corrigen las revisiones de instancias; inicien los flujos de trabajo de automatización que habilitan Explorer; ayuden a habilitar Explorer; y lean y actualicen la configuración del servicio de Explorer. -
ec2
: permite que las entidades principales asocien y desasocien el perfil de instancia predeterminado con las instancias de EC2; etiqueten las instancias a las que se dirige una configuración de política de revisiones; etiqueten las instancias a las que se dirige una configuración de política de revisiones; y ayuden a habilitar Explorer. -
s3
: permite que las entidades principales creen y configuren buckets de S3 para almacenar las anulaciones de línea de base de revisiones. -
lambda
: permite que las entidades principales invoquen funciones AWS Lambda que configuran la aplicación de revisiones y realizan operaciones de limpieza una vez eliminada la configuración de una política de revisiones de Quick Setup. -
logs
: permite que las entidades principales configuren el registro para las funciones AWS Lambda de Quick Setup Patch Manager. -
config
: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones. -
compute-optimizer
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer. -
support
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupPatchPolicyPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupSchedulerPermissionsBoundary
nota
Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulta Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.
La política administrada de AWSQuickSetupSchedulerPermissionsBoundary
admite los tipos de configuración de Detenga e inicie las instancias EC2 automáticamente según una programación mediante Quick Setup Quick Setup. Este tipo de configuración le permite detener e iniciar las instancias de EC2 y otros recursos en los momentos que especifique.
Al crear una configuración de AWSQuickSetupSchedulerPermissionsBoundary
mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar operaciones programadas en instancias EC2 y otros recursos.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
iam
: permite que las entidades principales recuperen y transfieran roles para las acciones de automatización de la administración de instancias; administren, pasen y adjunten roles de instancia predeterminadas para la administración de instancias de EC2; creen perfiles de instancia predeterminados; agreguen roles de instancia predeterminados a los perfiles de instancia; creen un rol vinculado a un servicio para Systems Manager; lean información sobre los roles de IAM y los perfiles de instancia; asocien un perfil de instancia predeterminado a las instancias de EC2; e inicien flujos de trabajo de automatización para configurar las instancias y habilitar las capacidades de Systems Manager. -
ssm
: permite que las entidades principales inicien los flujos de trabajo de automatización que habilitan Explorer; y lean y actualicen la configuración de servicio de Explorer. -
ec2: permite que las entidades principales localicen las instancias de destino e iniciarlas y detenerlas según una programación.
-
config
: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones. -
compute-optimizer
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer. -
support
: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura a las verificaciónes de AWS Trusted Advisor de una cuenta.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSchedulerPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupCFGCPacksPermissionsBoundary
nota
Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulta Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.
La política administrada de AWSQuickSetupCFGCPacksPermissionsBoundary
admite el tipo de configuración Implemente el paquete de conformidad de AWS Config mediante Quick Setup Quick Setup. Este tipo de configuración implementa paquetes de conformidad AWS Config. Los paquetes de conformidad son conjunto de reglas de AWS Config y acciones correctivas que se puedan implementar como una sola entidad.
Al crear una configuración de AWSQuickSetupCFGCPacksPermissionsBoundary
mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten a Quick Setup implementar paquetes de conformidad de AWS Config.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
iam
: permite que las entidades principales creen, obtengan y pasen un rol vinculado a un servicio para AWS Config. -
sns
: permite que las entidades principales enumeren las aplicaciones de la plataforma en Amazon SNS. -
config
: permite que las entidades principales implementen paquetes de conformidad de AWS Config, obtengan el estado de los paquetes de conformidad y obtengan información sobre los registradores de configuración. -
ssm
: permite que las entidades principales obtengan información sobre los documentos SSM y los flujos de trabajo de automatización; obtengan información sobre las etiquetas de los recursos; y obtengan información sobre la configuración del servicio y la actualicen. -
compute-optimizer
: permite que las entidades principales obtengan el estado de suscripción de una cuenta. -
support
: permite que las entidades principales obtengan información sobre las verificaciones de AWS Trusted Advisor.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupCFGCPacksPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
La política AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
otorga permisos para diganosticar problemas con los nodos que interactúan con los servicios de Systems Manager al iniciar los flujos de trabajo de Automatización en las cuentas y regiones donde se administren los nodos.
Puede adjuntar AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones de diagnóstico en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales ejecutar manuales de procedimientos de Automatización que diagnostican los problemas de los nodos y acceden al estado de ejecución de un flujo de trabajo. -
kms
: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente que se utilizan para cifrar los objetos del bucket de S3 a fin de descifrar y acceder al contenido de los objetos del bucket. -
sts
: permite a las entidades principales asumir roles de ejecución de diagnósticos para ejecutar los manuales de procedimientos de Automatización en la misma cuenta. -
iam
: permite a las entidades principales transferir el rol de administración de diagnósticos (por ejemplo, uno mismo) a Systems Manager para ejecutar los manuales de procedimientos de Automatización. -
s3
: permite a las entidades principales acceder y escribir objetos en un bucket de S3.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
La política administrada AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
otorga permisos administrativos para ejecutar manuales de procedimientos de Automatización en una región y Cuenta de AWS específicas para diagnosticar problemas con los nodos administrados que interactúen con los servicios de Systems Manager.
Puede adjuntar AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales ejecutar manuales de procedimientos de Automatización específicos de diagnóstico y acceder al estado del flujo de trabajo de automatización y a los metadatos de ejecución. -
ec2
: permite a las entidades principales describir los recursos de Amazon EC2 y Amazon VPC, así como sus configuraciones, para diagnosticar problemas con los servicios de Systems Manager. -
kms
: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente que se utilizan para cifrar los objetos del bucket de S3 a fin de descifrar y acceder al contenido de los objetos del bucket. -
iam
: permite a las entidades principales transferir el rol de ejecución de diagnósticos (por ejemplo, uno mismo) a Systems Manager para ejecutar documentos de Automatización.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWS-SSM-RemediationAutomation-AdministrationRolePolicy
La política administrada AWS-SSM-RemediationAutomation-AdministrationRolePolicy
permite solucionar problemas en los nodos administrados que interactúan con los servicios de Systems Manager al iniciar los flujos de trabajo de Automatización en las cuentas y regiones donde se administren los nodos.
Puede adjuntar esta política a sus entidades de IAM. Systems Manager también adjuntar esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales ejecutar manuales de procedimientos de Automatización específicos y acceder a los estados del flujo de trabajo de automatización y de ejecución. -
kms
: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente que se utilizan para cifrar los objetos del bucket de S3 a fin de descifrar y acceder al contenido de los objetos del bucket. -
sts
: permite a las entidades principales asumir roles de correción de diagnósticos para ejecutar documentos de Automatización de SSM en la misma cuenta. -
iam
: permite a las entidades principales transferir el rol de ejecución de corrección (por ejemplo, uno mismo) a Systems Manager para ejecutar documentos de Automatización. -
s3
: permite a las entidades principales acceder y escribir objetos en un bucket de S3.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-RemediationAutomation-AdministrationRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWS-SSM-RemediationAutomation-ExecutionRolePolicy
La política administrada AWS-SSM-RemediationAutomation-ExecutionRolePolicy
otorga permisos administrativos para ejecutar manuales de procedimientos de Automatización en una región y cuenta de destino específicas para resolver problemas con los nodos administrados que interactúen con los servicios de Systems Manager.
Puede adjuntar la política a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones de corrección en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales ejecutar manuales de procedimientos de Automatización específicos y acceder a los metadatos y el estado de la ejecución. -
ec2
: permite a las entidades principales crear, acceder y modificar los recursos de Amazon EC2 y de Amazon VPC, así como sus configuraciones, para solucionar problemas con los servicios de Systems Manager y los recursos asociados, como los grupos de seguridad, y adjuntar etiquetas a los recursos. -
kms
: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente que se utilizan para cifrar los objetos del bucket de S3 a fin de descifrar y acceder al contenido de los objetos del bucket. -
iam
: permite a las entidades principales transferir el rol de ejecución de corrección (por ejemplo, uno mismo) al servicio de SSM para ejecutar documentos de Automatización.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-RemediationAutomation-ExecutionRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupSSMManageResourcesExecutionPolicy
Esta política otorga permisos que permiten a Quick Setup ejecutar el manual de procedimientos de Automatización AWSQuickSetupType-SSM-SetupResources
. Este manual de procedimientos crea roles de IAM para las asociaciones de Quick Setup, que a su vez se crean mediante una implementación de AWSQuickSetupType-SSM
. También concede permisos para limpiar un bucket de Amazon S3 asociado durante una operación de eliminación de Quick Setup.
Puede adjuntar la política a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
iam
: permite a las entidades principales enumerar y administrar los roles de IAM para utilizarlos con las operaciones del Explorador de Systems Manager de Quick Setup y ver, adjuntar y separar las políticas de IAM para utilizarlas con Quick Setup y el Explorador de Systems Manager. Estos permisos son necesarios para que Quick Setup pueda crear los roles necesarios para algunas de sus operaciones de configuración. -
s3
: permite a las entidades principales recuperar información sobre los objetos de los buckets de Amazon S3 de la cuenta de la entidad principal que se utilizan específicamente en las operaciones de configuración de Quick Setup. También les permite eliminarlos. Esto es necesario para poder eliminar los objetos de S3 que ya no se necesitan después de la configuración.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSSMManageResourcesExecutionPolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupSSMLifecycleManagementExecutionPolicy
La política AWSQuickSetupSSMLifecycleManagementExecutionPolicy
otorga permisos administrativos que permite a Quick Setup ejecutar un recurso personalizado de AWS CloudFormation en los eventos del ciclo de vida durante la implementación de Quick Setup en Systems Manager.
Puede adjuntar esta política a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales obtener información sobre las ejecuciones de automatización e iniciarlas para configurar determinadas operaciones de Quick Setup. -
iam
: permite a las entidades principales transferir roles de IAM para configurar determinados recursos de Quick Setup.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSSMLifecycleManagementExecutionPolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupSSMDeploymentRolePolicy
La política administrada AWSQuickSetupSSMDeploymentRolePolicy
concede permisos administrativos para que Quick Setup pueda crear recursos que se utilizan durante el proceso de incorporación de Systems Manager.
Aunque puede adjuntar esta política a sus entidades de IAM manualmente, no se recomienda. Quick Setup crea entidades que adjuntan esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Esta política no está relacionada con la política SSMQuickSetupRolePolicy, que se utiliza para conceder permisos para el rol AWSServiceRoleForSSMQuickSetup
vinculado al servicio.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales administrar las asociaciones de determinados recursos que se crean mediante plantillas de AWS CloudFormation y un conjunto específico de documentos de SSM; administrar los roles y sus políticas para el diagnóstico y la corrección de los nodos administrados mediante plantillas de AWS CloudFormation; y adjuntar y eliminar políticas de los eventos del ciclo de vida de Quick Setup -
iam
: permite a las entidades principales transferir permisos de roles para los servicios de Systems Manager y Lambda. Además, permite transferir permisos de roles para operaciones de diagnóstico. -
lambda
: permite a las entidades principales administrar las funciones durante todo el ciclo de vida de Quick Setup de la cuenta principal mediante plantillas de AWS CloudFormation. -
cloudformation
: permite a las entidades principales leer la información de AWS CloudFormation. Esto es necesario para que Quick Setup pueda recopilar datos sobre las pilas de AWS CloudFormation que se utilizan para administrar el estado de los recursos y las operaciones de los conjuntos de pilas de CloudFormation.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSSMDeploymentRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupSSMDeploymentS3BucketRolePolicy
La política AWSQuickSetupSSMDeploymentS3BucketRolePolicy
otorga permisos para enumerar todos los buckets de S3 de una cuenta, así como para administrar y recuperar información sobre buckets específicos de la cuenta de la entidad principal que se administran mediante plantillas de AWS CloudFormation.
Puede adjuntar AWSQuickSetupSSMDeploymentS3BucketRolePolicy
a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
s3
: permite a las entidades principales enumerar todos los buckets de S3 de una cuenta, así como administrar y recuperar información sobre buckets específicos de la cuenta de la entidad principal que se administran con plantillas de AWS CloudFormation.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSSMDeploymentS3BucketRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupEnableDHMCExecutionPolicy
Esta política otorga permisos administrativos que permiten a las entidades principales ejecutar el manual de procedimientos de Automatización AWSQuickSetupType-EnableDHMC
, que habilita la configuración de administración de hosts predeterminada. La configuración de administración de hosts predeterminada permite que Systems Manager administre las instancias de Amazon EC2 de forma automática como instancias administradas. Una instancia administrada es una instancia EC2 configurada para usarla con Systems Manager. Esta política también concede permisos para crear roles de IAM que se especifican en la configuración del servicio de Systems Manager como roles predeterminados de SSM Agent.
Puede adjuntar AWSQuickSetupEnableDHMCExecutionPolicy
a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales actualizar y obtener información sobre la configuración del servicio de Systems Manager. -
iam
: permite a las entidades principales crear y recuperar información sobre los roles de IAM para las operaciones de Quick Setup.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupEnableDHMCExecutionPolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupEnableAREXExecutionPolicy
Esta política concede permisos administrativos que permiten a Systems Manager ejecutar el manual de procedimientos de Automatización AWSQuickSetupType-EnableAREX
, que permite a Explorador de recursos de AWS el uso con Systems Manager. Resource Explorer permite ver los recursos de su cuenta con una experiencia de búsqueda similar a la de un motor de búsqueda de Internet. La política también otorga permisos para administrar los índices y vistas de Resource Explorer.
Puede adjuntar AWSQuickSetupEnableAREXExecutionPolicy
a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
iam
: permite que las entidades principales creen un rol vinculado al servicio en el servicio de AWS Identity and Access Management (IAM). -
resource-explorer-2
: permite a las entidades principales recuperar información sobre vistas e índices de Resource Explorer; crear vistas e índices de Resource Explorer; y cambiar el tipo de índice de los índices que se muestran en Quick Setup.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupEnableAREXExecutionPolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupManagedInstanceProfileExecutionPolicy
Esta política concede permisos administrativos que permiten a Systems Manager crear un perfil de instancia de IAM predeterminado para la capacidad de Quick Setup y adjuntarlo a las instancias de Amazon EC2 que aún no tienen un perfil de instancia adjuntado. La política también permite a Systems Manager adjuntar permisos a los perfiles de instancia existentes. Esto se hace para garantizar que están vigentes los permisos necesarios para que Systems Manager se comunique con SSM Agent en instancias de EC2.
Puede adjuntar AWSQuickSetupManagedInstanceProfileExecutionPolicy
a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales iniciar los flujos de trabajo de automatización asociados a los procesos de Quick Setup. -
ec2
: permite a las entidades principales adjuntar perfiles de instancia de IAM a las instancias de EC2 administradas por Quick Setup. -
iam
: permite a las entidades principales crear, actualizar y recuperar información sobre los roles de IAM que se utilizan en los procesos de Quick Setup, crear perfiles de instancias de IAM y adjuntar la política administradaAmazonSSMManagedInstanceCore
a los perfiles de instancia de IAM.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupManagedInstanceProfileExecutionPolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupFullAccess
Esta política otorga permisos administrativos que permiten el acceso total a las acciones y los datos de la API de Quick Setup de AWS Systems Manager en la AWS Management Console y los SDK de AWS, así como un acceso limitado a otros recurso de Servicio de AWS necesarios para las operaciones de Quick Setup.
Puede adjuntar la política de AWSQuickSetupFullAccess
a las identidades de IAM.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales habilitar Explorer, realizar operaciones de sincronización de datos de recursos en State Manager; y realizar operaciones con documentos de comandos de SSM y manuales de procedimientos de Automatización.Explorer, State Manager, Documentos y Automatización son todas capacidades de Systems Manager.
-
cloudformation
: permite a las entidades principales realizar las operaciones de AWS CloudFormation necesarias para aprovisionar recursos entre las Regiones de AWS y Cuentas de AWS. -
ec2
: permite a las entidades principales seleccionar los parámetros necesarios para una configuración determinada y proporcionar validación en la AWS Management Console. -
iam
: permite a las entidades principales crear los roles de servicio y roles vinculados al servicio necesarios para las operaciones de Quick Setup. -
organizations
: permite a las entidades principales leer el estado de las cuentas de una organización de AWS Organizations; recuperar la estructura de una organización; habilitar el acceso de confianza y registrar una cuenta de administrador delegado desde la cuenta de administración. -
resource-groups
: permite a las entidades principales seleccionar los parámetros necesarios para una configuración determinada y proporcionar validación en la AWS Management Console. -
s3
: permite a las entidades principales seleccionar los parámetros necesarios para una configuración determinada y proporcionar validación en la AWS Management Console. -
ssm-quicksetup
: permite a las entidades principales realizar acciones de solo lectura en Quick Setup.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupFullAccess en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWSQuickSetupReadOnlyAccess
Esta política concede permisos de solo lectura que permiten a las entidades principales ver datos e informes de Quick Setup de AWS Systems Manager, incluida la información de otros recursos de Servicio de AWS necesarios para las operaciones de Quick Setup.
Puede adjuntar la política de AWSQuickSetupReadOnlyAccess
a las identidades de IAM.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
ssm
: permite a las entidades principales leer los documentos de comandos de SSM y los manuales de procedimientos de Automatización, así como recuperar el estado de las ejecuciones de las asociaciones de State Manager. -
cloudformation
: permite a las entidades principales iniciar las operaciones necesarias para recuperar el estado de las implementaciones de AWS CloudFormation. -
organizations
: permite a las entidades principales leer el estado de las cuentas de una organización de AWS Organizations. -
ssm-quicksetup
: permite a las entidades principales realizar acciones de solo lectura en Quick Setup.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupReadOnlyAccess en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWS-SSM-Automation-DiagnosisBucketPolicy
La política administrada AWS-SSM-Automation-DiagnosisBucketPolicy
concede permisos para diagnosticar problemas en los nodos que interactúan con los servicios de AWS Systems Manager al permitir el acceso a los buckets de S3 que se utilizan para diagnosticar y solucionar problemas.
Puede adjuntar la política AWS-SSM-Automation-DiagnosisBucketPolicy
a las identidades de IAM. Systems Manager también adjunta esta política a un rol de IAM que permite a Systems Manager realizar acciones de diagnóstico en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
s3
: permite a las entidades principales acceder y escribir objetos en un bucket de Amazon S3.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-Automation-DiagnosisBucketPolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
La política administrada AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización.
Puede adjuntar AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
a las identidades de IAM. Systems Manager también adjunta esta política a un rol de IAM que permite a Systems Manager realizar acciones de diagnóstico en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
organizations
: permite a las entidades principales enumerar una raíz de la organización y obtener las cuentas de los miembros para determinar las de destino. -
sts
: permite a las entidades principales asumir roles de ejecución de correcciones para ejecutar los documentos de Automatización de SSM en todas las cuentas y regiones de la misma organización.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy en la Guía de referencia de políticas administradas de AWS.
Política administrada de AWS: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
La política administrada AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización.
Puede adjuntar la política AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
a las identidades de IAM. Systems Manager también adjunta esta política a un rol de IAM que permite a Systems Manager realizar acciones de diagnóstico en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
organizations
: permite a las entidades principales enumerar una raíz de la organización y obtener las cuentas de los miembros para determinar las de destino. -
sts
: permite a las entidades principales asumir roles de ejecución de diagnósticos para ejecutar los documentos de Automatización de SSM en todas las cuentas y regiones de la misma organización.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy en la Guía de referencia de políticas administradas de AWS.
Actualizaciones de Systems Manager para las políticas administradas de AWS
La siguiente tabla muestra los detalles de las actualizaciones de las políticas administradas de AWS para Systems Manager debido a que este servicio comenzó a realizar el seguimiento de estos cambios el 12 de marzo de 2021. Para obtener información sobre otras políticas administradas para el servicio Systems Manager, consulte Políticas administradas adicionales para Systems Manager más adelante en este tema. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Systems Manager Historial del documento.
Cambio | Descripción | Fecha |
---|---|---|
AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy: política nueva |
Systems Manager agregó una nueva política administrada que concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización. |
21 de noviembre de 2024 |
AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy: política nueva |
Systems Manager agregó una nueva política administrada que concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización. |
21 de noviembre de 2024 |
AWS-SSM-Automation-DiagnosisBucketPolicy: política nueva |
Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que diagnostican problemas con los nodos administrados en cuentas y regiones específicas. |
21 de noviembre de 2024 |
AmazonSSMServiceRolePolicy: actualización de una política actual |
Systems Manager agregó nuevos permisos que permiten a Explorador de recursos de AWS recopilar detalles sobre las instancias de Amazon EC2 y mostrar los resultados en los widgets del nuevo panel de Systems Manager. |
21 de noviembre de 2024 |
AmazonSSMFullAccessV2: política nueva |
Systems Manager agregó una nueva política de acceso total que incluye permisos para llevar a cabo operaciones en las nuevas características de Systems Manager. | 21 de noviembre de 2024 |
SSMQuickSetupRolePolicy: actualización de una política actual | Systems Manager actualizó la política administrada SSMQuickSetupRolePolicy . Esta actualización permite que el rol AWSServiceRoleForSSMQuickSetup , asociado y vinculado al servicio, administre las sincronizaciones de los datos de los recursos. |
21 de noviembre de 2024 |
AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy : política nueva | Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que diagnostican problemas con los nodos administrados en una cuenta y regiones específicas. | 21 de noviembre de 2024 |
AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy: política nueva | Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que diagnostican problemas con los nodos administrados en una región y cuenta de destino. | 21 de noviembre de 2024 |
AWS-SSM-RemediationAutomation-AdministrationRolePolicy: política nueva | Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que resuelven problemas con los nodos administrados en cuentas y regiones específicas. | 21 de noviembre de 2024 |
AWS-SSM-RemediationAutomation-ExecutionRolePolicy: política nueva | Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que resuelven problemas con los nodos administrados en una cuenta y región específicas. | 21 de noviembre de 2024 |
AWSQuickSetupSSMManageResourcesExecutionPolicy: política nueva | Systems Manager agregó una nueva política para respaldar la ejecución de una operación de Quick Setup que crea roles de IAM para las asociaciones de Quick Setup, que a su vez se crean mediante una implementación de AWSQuickSetupType-SSM . |
21 de noviembre de 2024 |
AWSQuickSetupSSMLifecycleManagementExecutionPolicy: política nueva | Systems Manager agregó una nueva política para permitir que Quick Setup ejecute un recurso de AWS CloudFormation personalizado en los eventos del ciclo de vida durante una implementación de Quick Setup. | 21 de noviembre de 2024 |
AWSQuickSetupSSMDeploymentRolePolicy: política nueva | Systems Manager agregó una nueva política para admitir la concesión de permisos administrativos que permiten a Quick Setup crear recursos que se utilizan durante el proceso de incorporación de Systems Manager. | 21 de noviembre de 2024 |
AWSQuickSetupSSMDeploymentS3BucketRolePolicy: política nueva | Systems Manager agregó una nueva política para admitir la administración y la recuperación de información sobre buckets específicos de la cuenta de la entidad principal que se administran con plantillas de AWS CloudFormation. | 21 de noviembre de 2024 |
AWSQuickSetupEnableDHMCExecutionPolicy: política nueva | Systems Manager presenta una nueva política que permite a Quick Setup crear un rol de IAM que, a su vez, utilice la política AmazonSSMManagedEC2InstanceDefaultPolicy existente. Esta política contiene todos los permisos necesarios para que SSM Agent se comunique con el servicio de Systems Manager. La nueva política también permite modificar la configuración del servicio de Systems Manager. | 21 de noviembre de 2024 |
AWSQuickSetupEnableAREXExecutionPolicy: política nueva | Systems Manager agregó una nueva política que permite que Quick Setup cree un rol vinculado al servicio de Explorador de recursos de AWS para acceder a las vistas y los índices de agregadores de Resource Explorer. | 21 de noviembre de 2024 |
AWSQuickSetupManagedInstanceProfileExecutionPolicy: política nueva |
Systems Manager agregó una nueva política que permite a Quick Setup crear un perfil de instancia de Quick Setup predeterminado y adjuntarlo a cualquier instancia de Amazon EC2 que no tenga uno asociado. Esta nueva política también permite que Quick Setup adjunte permisos a los perfiles existentes para garantizar que se concedan todos los permisos necesarios de Systems Manager. |
21 de noviembre de 2024 |
AWSQuickSetupFullAccess: política nueva | Systems Manager agregó una nueva politica que permite el acceso total a las acciones y los datos de la API de Quick Setup de AWS Systems Manager en la AWS Management Console y los SDK de AWS, así como un acceso limitado a otros recursos de Servicio de AWS necesarios para las operaciones de Quick Setup. | 21 de noviembre de 2024 |
AWSQuickSetupReadOnlyAccess: política nueva | Systems Manager agregó una nueva política que concede permisos de solo lectura que permiten a las entidades principales ver datos e informes de Quick Setup de AWS Systems Manager, incluida la información de otros recursos de Servicio de AWS necesarios para las operaciones de Quick Setup. | 21 de noviembre de 2024 |
SSMQuickSetupRolePolicy: actualización de una política actual |
Systems Manager agregó nuevos permisos para permitir a Quick Setup comprobar el estado de los conjuntos de pilas adicionales de AWS CloudFormation que ha creado. |
13 de agosto de 2024 |
AmazonSSMManagedEC2InstanceDefaultPolicy: actualización de una política actual | Systems Manager ha añadido identificadores de declaración (SID) a la política de JSON para AmazonSSMManagedEC2InstanceDefaultPolicy . Estos SID proporcionan descripciones en línea del propósito de cada declaración de política. |
18 de julio de 2024 |
SSMQuickSetupRolePolicy: política nueva | Systems Manager agregó una nueva política que permite a Quick Setup comprobar el estado de los recursos desplegados y corregir las instancias que se han desviado de la configuración original. | 3 de julio de 2024 |
AWSQuickSetupDeploymentRolePolicy: política nueva | Systems Manager agregó una nueva política para admitir varios tipos de configuración de Configuración Rápida que crean roles y automatizaciones de IAM, que a su vez configuran servicios y características de Amazon Web Services de uso frecuente, mediante las prácticas recomendadas. | 3 de julio de 2024 |
AWSQuickSetupPatchPolicyDeploymentRolePolicy : política nueva |
Systems Manager agregó una nueva política que permite a Quick Setup crear recursos asociados a las configuraciones de Patch Manager de las políticas de revisiones de Quick Setup. |
3 de julio de 2024 |
AWSQuickSetupPatchPolicyBaselineAccess: nueva política |
Systems Manager agregó una nueva política que permite a Quick Setup acceder a las líneas de base de revisiones en Patch Manager con permisos de solo lectura. |
3 de julio de 2024 |
AWSSystemsManagerEnableExplorerExecutionPolicy: nueva política | Systems Manager agregó una nueva política que permite a Quick Setup conceder permisos administrativos para habiltiar Explorer. | 3 de julio de 2024 |
AWSSystemsManagerEnableConfigRecordingExecutionPolicy: nueva política | Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar el registro de la configuración de AWS Config. | 3 de julio de 2024 |
AWSQuickSetupDevOpsGuruPermissionsBoundary: nueva política |
Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar Amazon DevOps Guru. |
3 de julio de 2024 |
AWSQuickSetupDistributorPermissionsBoundary: nueva política |
Systems Manager agregó una nueva política para permitir a Quick Setup habilitar y configurar Distributor, una capacidad de AWS Systems Manager. |
3 de julio de 2024 |
AWSQuickSetupSSMHostMgmtPermissionsBoundary: nueva política |
Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar las capacidades de Systems Manager para administrar de forma segura las instancias de Amazon EC2. |
3 de julio de 2024 |
AWSQuickSetupPatchPolicyPermissionsBoundary: nueva política |
Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar las políticas de revisiones en Patch Manager, una capacidad de AWS Systems Manager. |
3 de julio de 2024 |
AWSQuickSetupSchedulerPermissionsBoundary: nueva política |
Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar las operaciones programadas en las instancias de Amazon EC2 y otros recursos. |
3 de julio de 2024 |
AWSQuickSetupCFGCPacksPermissionsBoundary: nueva política |
Systems Manager agregó una nueva política que permite a Quick Setup implementar paquetes de conformidad con AWS Config. |
3 de julio de 2024 |
AWSSystemsManagerOpsDataSyncServiceRolePolicy: actualización de una política actual |
OpsCenter actualizó la política para mejorar la seguridad del código de servicio dentro del rol vinculado al servicio para que Explorer administre las operaciones relacionadas con OPSData. | 3 de julio de 2023 |
AmazonSSMManagedEC2InstanceDefaultPolicy: política nueva |
Systems Manager agregó una política nueva para permitir la funcionalidad de Systems Manager en las instancias de Amazon EC2 sin necesidad de usar un perfil de instancia de IAM. |
18 de agosto de 2022 |
AmazonSSMServiceRolePolicy: actualización a una política existente. |
Systems Manager agregó nuevos permisos para permitir a Explorer crear una regla administrada cuando active Security Hub desde Explorer o OpsCenter. Se agregaron nuevos permisos para verificar que la configuración y el optimizador de computación cumplen con los requisitos necesarios antes de permitir OpsData. |
27 de abril de 2021 |
AWSSystemsManagerOpsDataSyncServiceRolePolicy: política nueva |
Systems Manager agregó una política nueva para crear y actualizar OpsItems y OpsData desde resultados de Security Hub en Explorer y OpsCenter. |
27 de abril de 2021 |
|
Systems Manager agregó nuevos permisos para permitir la visualización de detalles agregados de OpsData y OpsItems de varias cuentas y Regiones de AWS en Explorer. |
24 de marzo de 2021 |
Systems Manager comenzó el seguimiento de los cambios. |
Systems Manager comenzó el seguimiento de los cambios de las políticas administradas de AWS. |
12 de marzo de 2021 |
Políticas administradas adicionales para Systems Manager
Además de las políticas administradas antes mencionadas en este tema, Systems Manager también admite las siguientes políticas.
-
AmazonSSMAutomationApproverAccess
: política administrada por AWS que permite el acceso para ver ejecuciones de automatización y enviar decisiones de aprobación de automatización en espera de aprobación. -
AmazonSSMAutomationRole
: política administrada por AWS que proporciona permisos para que el servicio Automatización de Systems Manager ejecute las actividades definidas en los manuales de procedimientos de Automatización. Asigne esta política a los administradores y a los usuarios de confianza avanzados. -
AmazonSSMDirectoryServiceAccess
: política administrada por AWS que permite a SSM Agent acceder a AWS Directory Service en nombre del usuario para realizar solicitudes de unión al dominio por parte del nodo administrado. -
AmazonSSMFullAccess
: política administrada por AWS que concede acceso total a la API y los documentos de Systems Manager. -
AmazonSSMMaintenanceWindowRole
: política administrada por AWS que proporciona periodos de mantenimiento con permisos para la API de Systems Manager. -
AmazonSSMManagedInstanceCore
: política administrada de AWS que permite que un nodo utilice la funcionalidad básica del servicio Systems Manager. -
AmazonSSMPatchAssociation
: política administrada por AWS que proporciona acceso a las instancias secundarias para realizar la asociación de revisiones. -
AmazonSSMReadOnlyAccess
: política administrada por AWS que concede acceso a operaciones de la API de solo lectura de Systems Manager, comoGet*
yList*
. -
AWSSSMOpsInsightsServiceRolePolicy
: política administrada por AWS que proporciona permisos para crear y actualizar información operativa de OpsItems en Systems Manager. Se utiliza para proporcionar permisos a través del rol vinculado al servicio AWSServiceRoleForAmazonSSM_OpsInsights. -
AWSSystemsManagerAccountDiscoveryServicePolicy
: política administrada por AWS que concede a Systems Manager permiso para descubrir la información de la Cuenta de AWS. -
AWSSystemsManagerChangeManagementServicePolicy
: política administrada por AWS que proporciona acceso a recursos de AWS administrados o utilizados por el marco de administración de cambios de Systems Manager y utilizados por el rol vinculado al servicioAWSServiceRoleForSystemsManagerChangeManagement
. -
AmazonEC2RoleforSSM
— Esta política ya no se admite y no debe utilizarse. En su lugar, utilice la políticaAmazonSSMManagedInstanceCore
para permitir la funcionalidad principal del servicio de Systems Manager en las instancias EC2. Para obtener información, consulte Configuración de permisos de instancia requeridos para Systems Manager.