• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans AWS Systems Manager
Chez Amazon Web Services, la sécurité dans le cloud est la priorité la plus élevée. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui s'exécute Services AWS dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent àAWS Systems Manager, voir [Services AWS Portée par programme de conformitéServices AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par Service AWS ce que vous utilisez. Vous êtes également responsable d'autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise,et de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation AWS Systems Manager. Les rubriques suivantes expliquent comment configurer Systems Manager pour répondre à vos objectifs de sécurité et de conformité. Vous apprenez également à utiliser d'autres outils Services AWS qui vous aident à surveiller et à sécuriser vos Systems Manager ressources.
**Topics**
+ [Protection des données dans AWS Systems Manager](data-protection.md)
+ [Périmètres de données en AWS Systems Manager](data-perimeters.md)
+ [Gestion des identités et des accès pour AWS Systems Manager](security-iam.md)
+ [Utilisation des rôles liés aux services pour Systems Manager](using-service-linked-roles.md)
+ [Journalisation et surveillance dans AWS Systems Manager](logging-and-monitoring.md)
+ [Validation de la conformité pour AWS Systems Manager](compliance-validation.md)
+ [Résilience dans AWS Systems Manager](disaster-recovery-resiliency.md)
+ [Sécurité de l’infrastructure dans AWS Systems Manager](infrastructure-security.md)
+ [Configuration et analyse des vulnérabilités dans AWS Systems Manager](vulnerability-analysis-and-management.md)
+ [Bonnes pratiques de sécurité pour Systems Manager](security-best-practices.md)
# Protection des données dans AWS Systems Manager
La protection des données fait référence au fait de protéger les données lorsqu'elles sont *en transit* (lorsqu'elles sont transmises à Systems Manager ou à partir de celui-ci) et *au repos* (lorsqu'elles sont stockées dans les centres de données AWS).
Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) AWS s'applique à la protection des données dans AWS Systems Manager. Comme décrit dans ce modèle, AWS est responsable de la protection de l’infrastructure globale sur laquelle l’ensemble du AWS Cloud s’exécute. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécurité AWS*.
À des fins de protection des données, nous vous recommandons de protéger les informations d’identification Compte AWS et de configurer les comptes utilisateur individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez les certificats SSL/TLS pour communiquer avec les ressources AWS. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez une API (Interface de programmation) et la journalisation des activités des utilisateurs avec AWS CloudTrail. Pour plus d’informations sur l’utilisation des sentiers CloudTrail pour capturer des activités AWS, consultez la section [Utilisation des sentiers CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *Guide de l’utilisateur AWS CloudTrail*.
+ Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules de chiffrement validés FIPS (Federal Information Processing Standard) 140-3 lorsque vous accédez à AWS via une interface de ligne de commande ou une API (interface de programmation), utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela est également valable lorsque vous utilisez Systems Manager ou d’autres Services AWS à l’aide de la console, de l’API, d’AWS CLI ou des kits SDK AWS. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
## Chiffrement des données
### Chiffrement au repos
**Parameter Store paramètres**
Vous pouvez créer des paramètres du type `String`, `StringList` et `SecureString` dans Parameter Store, un outil d’AWS Systems Manager.
Tous vos paramètres, quel que soit leur type, sont chiffrés en transit et au repos. Pendant le transfert, les paramètres sont chiffrés à l’aide du protocole TLS (Transport Layer Security) afin de créer une connexion HTTPS sécurisée pour les demandes d’API. Au repos, ils sont chiffrés avec une Clé détenue par AWS dans AWS Key Management Service (AWS KMS). Pour plus d’informations sur le chiffrement Clé détenue par AWS, consultez [Clés détenues par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dans le *Guide du développeur AWS Key Management Service*.
Ce type de `SecureString` offre des options de chiffrement supplémentaires et est recommandé pour toutes les données sensibles. Vous pouvez choisir parmi les types de clé AWS KMS suivants pour chiffrer et déchiffrer la valeur d’un paramètre `SecureString` :
+ La Clé gérée par AWS de votre compte
+ Une clé gérée par le client (CMK) que vous avez créée dans votre compte
+ Une CMK dans un autre Compte AWS qui a été partagée avec vous
Pour plus d’informations sur le chiffrement AWS KMS, consultez dans le [Guide du développeur AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Contenu des compartiments S3**
Dans le cadre de vos opérations Systems Manager, vous pouvez choisir de charger ou de stocker des données dans un ou plusieurs compartiments Amazon Simple Storage Service (Amazon S3).
Pour plus d'informations sur le chiffrement de compartiment S3, consultez [Protection des données à l'aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) et [Protection des données dans Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) dans le *Guide de l'utilisateur Amazon Simple Storage Service*.
Voici les types de données que vous pouvez charger ou stocker dans les compartiments S3 dans le cadre de vos activités Systems Manager :
+ La sortie des commandes dans Run Command, un outil d’AWS Systems Manager
+ Packages dans Distributor, un outil d’AWS Systems Manager
+ L’opération de correction dans Patch Manager, un outil d’AWS Systems Manager
+ Listes de remplacement de correctifs Patch Manager
+ Scripts ou playbooks Ansible à exécuter dans un flux de travail de dossier d’exploitation dans Automation, un outil d’AWS Systems Manager
+ Les profils de Chef InSpec à utiliser avec les analyses de conformité, un outil d’AWS Systems Manager
+ Journaux AWS CloudTrail
+ L’historique des sessions dans Session Manager, un outil d’AWS Systems Manager
+ Les rapports de l’Explorer, un outil d’AWS Systems Manager
+ OpsData d’OpsCenter, ou outil d’AWS Systems Manager
+ Modèles AWS CloudFormation à utiliser avec les flux de travail Automation
+ Données de conformité issues d'une analyse de synchronisation de données de ressources
+ Sortie des demandes de création ou de modification d’association dans State Manager, un outil d’AWS Systems Manager, sur des nœuds gérés
+ Documents Systems Manager (documents SSM) personnalisés, que vous pouvez exécuter en utilisant le document SSM AWS géré par `AWS-RunDocument`
**Groupe de journaux CloudWatch Logs**
Dans le cadre de vos opérations Systems Manager, vous pouvez choisir de transmettre en continu des données à un ou plusieurs groupes de journaux Amazon CloudWatch Logs.
Pour plus d'informations sur le chiffrement des groupes de journaux CloudWatch Logs, consultez [Chiffrement des données de journaux dans CloudWatch LogsAWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) dans le *Guide de l'utilisateur Amazon CloudWatch Logs*.
Voici les types de données que vous avez pu transmettre en continu à un groupe de journaux CloudWatch Logs dans le cadre de vos activités Systems Manager.
+ Sortie des commandes Run Command
+ Sortie des scripts exécutés à l'aide de l'action `aws:executeScript` dans un runbook Automation
+ Journaux d'historique de session Session Manager
+ Journaux provenant de l'SSM Agent sur vos nœuds gérés
### Chiffrement en transit
Nous vous recommandons d'utiliser un protocole de chiffrement tel que Transport Layer Security (TLS) pour chiffrer les données sensibles en transit entre les clients et vos nœuds.
Systems Manager fournit la prise en charge suivante pour le chiffrement de vos données en transit.
**Connexions aux points de terminaison d'API Systems Manager**
Systems Manager Les points de terminaison d'API ne prennent en charge que des connexions sécurisées sur HTTPS. Lorsque vous gérez des ressources Systems Manager avec AWS Management Console, le kit SDK AWS ou l'API Systems Manager, toutes les communications sont chiffrées à l'aide du protocole TLS (Transport Layer Security). Pour obtenir la liste complète des points de terminaison d'API, veuillez consulter la rubrique [Points de terminaison de Service AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) de la *Référence générale d'Amazon Web Services*.
**Instances gérées**
AWS fournit une connectivité sécurisée et privée entre des instances Amazon Elastic Compute Cloud (Amazon EC2). De plus, nous chiffrons automatiquement le trafic en transit entre les instances prises en charge dans le même Virtual Private Cloud (VPC) ou dans des VPC appairés à l'aide des algorithmes AEAD avec un chiffrement 256 bits. Cette fonction de chiffrement utilise les capacités de déchargement du matériel sous-jacent, sans impact sur la performance de réseau. Les instances prises en charge sont : C5n, G4, I3en, M5dn, M5n, P3dn, R5dn et R5n.
**Sessions Session Manager**
Par défaut, Session Manager utilise TLS 1.3 pour chiffrer les données de session transmises entre les machines locales des utilisateurs de votre compte et vos instances EC2. Vous pouvez également choisir de chiffrer davantage les données en transit à l'aide d'un AWS KMS key qui a été créé dans AWS KMS. Le chiffrement AWS KMS est disponible pour les types de session `Standard_Stream`, `InteractiveCommands`, et `NonInteractiveCommands`.
**Accès à Run Command**
Par défaut, l’accès distant à vos nœuds via Run Command est chiffré à l’aide de TLS 1.3 et les demandes de création d’une connexion sont chiffrées à l’aide de SigV4.
## Confidentialité du trafic inter-réseau
Vous pouvez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour créer des limites entre les ressources de vos nœuds gérés et contrôler le trafic entre ceux-ci, votre réseau sur site et Internet. Pour en savoir plus, consultez [Renforcement de la sécurité des instances EC2 à l’aide des points de terminaison de VPC pour Systems Manager](setup-create-vpc.md).
Pour plus d'informations sur la sécurité Amazon Virtual Private Cloud, consultez [Confidentialité du trafic inter-réseau dans Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) dans le *Guide de l'utilisateur Amazon VPC*.
# Périmètres de données en AWS Systems Manager
Un périmètre de données est un ensemble de barrières préventives dans votre AWS environnement qui permettent de garantir que seules des identités fiables provenant des réseaux et des ressources attendus peuvent accéder à vos données. Lorsque vous implémentez des contrôles du périmètre des données, vous devrez peut-être inclure des exceptions pour les AWS ressources appartenant au service auxquelles Systems Manager accède en votre nom.
**Exemple de scénario : compartiment S3 des catégories de documents SSM**
Systems Manager accède à un compartiment S3 AWS géré pour récupérer les informations relatives aux catégories de [AWS Systems Manager Documents](documents.md) documents. Ce compartiment contient des métadonnées relatives aux catégories de documents qui permettent d’organiser et de classer les documents SSM dans la console.
Modèle d’ARN de ressource
`arn:aws:s3:::ssm-document-categories-region`
Exemples régionaux :
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`
Lors de l’accès
Cette ressource est accessible lorsque vous consultez les documents SSM dans la console Systems Manager ou lorsque vous utilisez APIs cette solution pour récupérer les métadonnées et les catégories de documents.
Données stockées
Le compartiment contient des fichiers JSON avec des définitions de catégories de documents et des métadonnées. Ces données sont en lecture seule et ne contiennent aucune information spécifique au client.
Identité utilisée
Systems Manager accède à cette ressource en utilisant les informations d'identification du AWS service pour répondre à vos demandes.
Autorisations requises
`s3:GetObject` sur le contenu du compartiment.
**Considérations relatives aux politiques de périmètre de sécurisation des données**
Lorsque vous implémentez des contrôles du périmètre des données à l'aide de politiques de contrôle de service (SCPs) ou de politiques de point de terminaison VPC avec des conditions telles que`aws:ResourceOrgID`, par exemple, vous devez créer des exceptions pour les ressources AWS appartenant aux services dont Systems Manager a besoin.
Par exemple, si vous utilisez un SCP pour restreindre l'accès aux ressources extérieures à votre organisation, vous devrez ajouter une exception pour le compartiment des catégories de documents SSM. `aws:ResourceOrgID`
La politique devra accéder à des ressources extérieures à votre organisation, mais inclure une exception pour les compartiments S3 appropriés, afin de permettre à Systems Manager de continuer à fonctionner correctement.
De même, si vous utilisez des politiques de point de terminaison d’un VPC pour restreindre l’accès à S3, vous devez vous assurer que les compartiments de catégories de documents SSM sont accessibles via vos points de terminaison VPC.
**En savoir plus**
Pour plus d'informations sur les périmètres de données dans AWS, consultez les rubriques suivantes :
+ [Périmètres de données activés. AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/)
+ [Établissez des barrières de protection des autorisations à l'aide des périmètres de données](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html) *du guide de l'utilisateur IAM*
+ [Conseils spécifiques au service : AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md) *et [ressources propres au service dans le référentiel](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md) d'échantillons sur AWS * GitHub
# Gestion des identités et des accès pour AWS Systems Manager
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Des administrateurs IAM contrôlent les personnes qui *s’authentifient* (sont connectées) et sont *autorisées* (disposent d’autorisations) à utiliser des ressources Systems Manager. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Fonctionnement d’AWS Systems Manager avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l’identité AWS Systems Manager](security_iam_id-based-policy-examples.md)
+ [AWS politiques gérées pour AWS Systems Manager](security-iam-awsmanpol.md)
+ [Résolution des problèmes d’identité et d’accès avec AWS Systems Manager](security_iam_troubleshoot.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes d’identité et d’accès avec AWS Systems Manager](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Fonctionnement d’AWS Systems Manager avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l’identité AWS Systems Manager](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d'informations sur les politiques AWS gérées pourSystems Manager, consultez[Politiques gérées par AWS Systems Manager](security_iam_service-with-iam.md#managed-policies).
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Clés de condition de politique
Les actions que les utilisateurs et les rôles peuvent effectuer et les ressources sur lesquelles ils peuvent effectuer ces actions peuvent être encore plus limitées par des *conditions* spécifiques.
Dans les documents de politique JSON, l’élément `Condition` (ou le bloc `Condition`) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément `Condition` est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que `StringEquals` ou `StringNotLike`, pour faire correspondre la condition de la politique aux valeurs de la demande.
Si vous spécifiez plusieurs éléments `Condition` dans une instruction, ou plusieurs clés dans un seul élément `Condition`, AWS les évalue à l’aide d’une opération `AND` logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une `OR` opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez accorder à un utilisateur IAM l’autorisation d’accéder à une ressource uniquement si elle est balisée avec son nom d’utilisateur IAM. Pour plus d’informations, consultez [Éléments d’une politique IAM : variables et identifications](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dans le *Guide de l’utilisateur IAM*.
AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour plus d’informations, consultez [Clés de contexte de condition globales AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *Guide de l’utilisateur IAM*.
**Important**
Si vous utilisez Systems Manager Automation, nous vous recommandons de ne pas utiliser la clé de SourceIp condition [aws :](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) dans vos politiques. Le comportement de cette clé de condition dépend de plusieurs facteurs, notamment de la fourniture d’un rôle IAM pour l’exécution du dossier d’exploitation Automation et des actions Automation utilisées dans le dossier d’exploitation. Par conséquent, la clé de condition peut causer un comportement inattendu. C’est pourquoi nous vous recommandons de ne pas l’utiliser.
Systems Manager prend en charge un certain nombre de ses propres clés de condition. Pour plus d’informations, consultez la rubrique [Clés de condition pour AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) dans la *Référence de l’autorisation de service*. Les actions et les ressources avec lesquelles vous pouvez utiliser une clé de condition spécifique à Systems Manager sont répertoriées dans les [Types de ressources définis par AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) dans la *Référence d’autorisation de service*.
Si votre politique doit dépendre d’un nom principal de service appartenant au service Systems Manager, nous vous recommandons de vérifier son existence ou son inexistence en utilisant la [clé de condition à valeurs multiples](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys) `aws:PrincipalServiceNamesList` plutôt que la clé de condition `aws:PrincipalServiceName`. La clé de condition `aws:PrincipalServiceName` ne contient qu’une seule entrée de la liste des noms des principaux de service et il se peut que ce ne soit pas toujours le nom principal de service attendu. Le bloc suivant `Condition` montre comment vérifier l’existence de `ssm.amazonaws.com`.
```
{
"Condition": {
"ForAnyValue:StringEquals": {
"aws:PrincipalServiceNamesList": "ssm.amazonaws.com"
}
}
}
```
Pour voir des exemples de politique basées sur l’identité Systems Manager, consultez [Exemples de politiques basées sur l’identité AWS Systems Manager](security_iam_id-based-policy-examples.md).
### Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Fonctionnement d’AWS Systems Manager avec IAM
Avant d'utiliser Gestion des identités et des accès AWS (IAM) pour gérer l'accès à AWS Systems Manager, vous devez comprendre quelles fonctionnalités IAM sont disponibles. Systems Manager Pour obtenir une vue d'ensemble de la manière dont vous Services AWS travaillez avec IAM Systems Manager et des autres méthodes utilisées, consultez Services AWS le guide de l'[utilisateur d'IAM consacré](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) à l'utilisation d'*IAM*.
**Topics**
+ [Systems ManagerPolitiques basées sur l'identité](#security_iam_service-with-iam-id-based-policies)
+ [Systems ManagerPolitiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les balises Systems Manager](#security_iam_service-with-iam-tags)
+ [Rôles IAM Systems Manager](#security_iam_service-with-iam-roles)
## Systems ManagerPolitiques basées sur l'identité
Avec les politiques basées sur l'identité IAM, vous pouvez spécifier les actions et les ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Systems Manager prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l'utilisateur IAM*.
### Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de politique dans Systems Manager utilisent le préfixe suivant avant l'action : `ssm:`. Par exemple, pour accorder à une personne l'autorisation de créer un paramètre Systems Manager (paramètre SSM) à l'aide de l'opération d'API Systems Manager `PutParameter`, vous incluez l'action `ssm:PutParameter` dans sa politique. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. Systems Manager définit son propre ensemble d'actions qui décrivent les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
```
"Action": [
"ssm:action1",
"ssm:action2"
]
```
**Note**
Les outils suivants AWS Systems Manager utilisent des préfixes différents avant les actions.
AWS AppConfig utilise le préfixe `appconfig:` avant les actions.
Incident Manager utilise le préfixe `ssm-incidents:` ou `ssm-contacts:` avant les actions.
Systems Manager GUI Connect utilise le préfixe `ssm-guiconnect:` avant les actions.
Quick Setup utilise le préfixe `ssm-quicksetup:` avant les actions.
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l'action suivante :
```
"Action": "ssm:Describe*"
```
Pour afficher la liste des actions Systems Manager, consultez [Actions définies par AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions) dans la *Référence de l'autorisation de service*.
### Ressources
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Par exemple, la ressource de fenêtre de maintenance Systems Manager a le format ARN suivant.
```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```
Pour spécifier les fenêtres de maintenance mw-0c50858d01EXAMPLE dans votre déclaration dans la Région USA Est (Ohio), vous utiliserez un ARN similaire au suivant.
```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```
Pour spécifier toutes les fenêtres de maintenance appartenant à un compte spécifique, utilisez le caractère générique (\$1).
```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```
Pour les opérations d'`Parameter Store`API, vous pouvez fournir ou restreindre l'accès à tous les paramètres d'un niveau d'une hiérarchie en utilisant des noms hiérarchiques et des politiques Gestion des identités et des accès AWS (IAM) comme suit.
```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```
Certaines actions Systems Manager, telles que la création de ressources, ne peuvent pas être exécutées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).
```
"Resource": "*"
```
Certaines opérations d'API Systems Manager acceptent plusieurs ressources. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules comme suit.
```
"Resource": [
"resource1",
"resource2"
```
**Note**
La plupart Services AWS considèrent les deux points (:)) ou les barres obliques (/) comme le même caractère dans ARNs. Cependant, Systems Manager nécessite une correspondance exacte dans les règles et les modèles de ressources. Lors de la création de modèles d'événements, veillez à utiliser les caractères ARN corrects afin qu'ils correspondent à l'ARN de la ressource.
Le tableau ci-dessous décrit les formats ARN des types de ressources pris en charge par Systems Manager.
**Note**
Notez les exceptions suivantes relatives aux formats ARN.
Les outils suivants AWS Systems Manager utilisent des préfixes différents avant les actions.
AWS AppConfig utilise le préfixe `appconfig:` avant les actions.
Incident Manager utilise le préfixe `ssm-incidents:` ou `ssm-contacts:` avant les actions.
Systems Manager GUI Connect utilise le préfixe `ssm-guiconnect` avant les actions.
Les documents et les ressources de définition d'automatisation détenus par Amazon, ainsi que les paramètres publics fournis par Amazon et par des sources tierces, n'incluent pas le compte IDs dans leurs formats ARN. Par exemple :
Le document SSM `AWS-RunPatchBaseline` :
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline`
Le dossier d’exploitation d’automatisation `AWS-ConfigureMaintenanceWindows` :
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
Le paramètre public `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version` :
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
Pour plus d’informations sur ces trois types de ressources, voir les sujets suivants :
[Utilisation de documents](documents-using.md)
[Exécuter une opération automatisée grâce à Systems Manager Automation](running-simple-automations.md)
[Utilisation des paramètres publics dans Parameter Store](parameter-store-public-parameters.md)
Quick Setup utilise le préfixe `ssm-quicksetup:` avant les actions.
| Type de ressource | Format ARN |
| --- | --- |
| Application (AWS AppConfig) | arn:aws:appconfig : ::application/ region account-id application-id |
| Association | arn:aws:ssm : :association/ region account-id association-id |
| Exécution d'Automation | arn:aws:ssm : :automation-execution/ region account-id automation-execution-id |
| Définition d'Automation (avec sous-ressource de version) | **arn:aws:ssm : :automation-definition/ : 1 *region* *account-id* *automation-definition-id* *version-id*** |
| Profil de configuration (AWS AppConfig) | arn:aws:appconfig : :application/ /configurationprofile/ region account-id application-id configurationprofile-id |
| Contact (Incident Manager) | arn:aws:ssm-contacts : :contact/ *region* *account-id* *contact-alias* |
| Politique de déploiement (AWS AppConfig) | arn:aws:appconfig : ::deploymentstrategy/ region account-id deploymentstrategy-id |
| Document | arn:aws:ssm : ::document/ *region* *account-id* *document-name* |
| Environnement (AWS AppConfig) | arn:aws:appconfig : :application/ /environnement/ region account-id application-id environment-id |
| Incident | arn:aws:ssm-incidents : ::incident-record//*region**account-id**response-plan-name**incident-id* |
| Fenêtre de maintenance | arn:aws:ssm : :maintenancewindow/ *region* *account-id* *window-id* |
| Nœud géré | arn:aws:ssm : :managed-instance/ *region* *account-id* *managed-node-id* |
| Inventaire des nœuds gérés | arn:aws:ssm : : :/regionaccount-idmanaged-instance-inventorymanaged-node-id |
| OpsItem | arn:aws:ssm : ::opsitem/ region account-id OpsItem-id |
| Paramètre | Un paramètre de premier niveau : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/security_iam_service-with-iam.html) Un paramètre nommé avec une construction hiérarchique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/security_iam_service-with-iam.html) |
| Référentiel de correctifs | arn:aws:ssm : :patchbaseline/ *region* *account-id* *patch-baseline-id* |
| Plan de réponse | arn:aws:ssm-incidents : ::response-plan/ *region* *account-id* *response-plan-name* |
| Session | **arn:aws:ssm : :session/ 3 *region* *account-id* *session-id*** |
| Toutes les ressources Systems Manager | arn:aws:ssm:\$1 |
| Toutes les Systems Manager ressources détenues par les personnes spécifiées Compte AWS dans les Région AWS | arn:aws:ssm : : : \$1 *region* *account-id* |
**Note**
Les ressources de définition d'automatisation sont déconseillées. Veuillez mettre à jour vos politiques IAM pour inclure une autorisation pour `ssm:StartAutomationExecution` ou `ssm:StartChangeRequestExecution` sur `document` et `automation-execution` des ressources. Pour consulter les meilleures pratiques et des exemples de configuration des autorisations IAM, consultez notre guide de l'utilisateur relatif à la [configuration de politiques basées sur l'identité](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html).
**1** Pour les définitions d’automatisation, Systems Manager prend en charge une ressource de deuxième niveau, l’*ID de version*. Dans AWS, ces ressources de deuxième niveau sont appelées *sous-ressources*. La spécification d'une sous-ressource de version pour une ressource de définition de l'automatisation vous permet de fournir l'accès à certaines versions d'une définition de l'automatisation. Par exemple, il se peut que vous souhaitiez veiller à ce que seule la dernière version de la définition de l'automatisation soit utilisée dans votre gestion des nœuds.
**2** Pour organiser et gérer des paramètres, vous pouvez créer des noms pour les paramètres à l'aide d'une construction hiérarchique. Grâce à une construction hiérarchique, un nom de paramètre peut inclure un chemin que vous définissez en utilisant des barres obliques. Vous pouvez nommer une ressource de paramètre avec quinze niveaux maximum. Nous vous suggérons de créer des hiérarchies qui reflètent une structure hiérarchique existante dans votre environnement. Pour de plus amples informations, veuillez consulter [Création de paramètres Parameter Store dans Systems Manager](sysman-paramstore-su-create.md).
**3** Dans la plupart des cas, l’ID de session est construit avec l’ID d’utilisateur de compte qui a démarré la session, auquel est ajouté un suffixe alphanumérique. Par exemple :
```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```
Toutefois, si l'ID utilisateur n'est pas disponible, l'ARN est construit plutôt de la façon suivante :
```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```
Pour plus d'informations sur le format de ARNs, consultez [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le *Référence générale d'Amazon Web Services*.
Pour une liste des types de Systems Manager ressources et de leurs ARNs caractéristiques, voir [Ressources définies par AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies) dans la *référence d'autorisation de service*. Pour savoir grâce à quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).
### Clés de condition pour Systems Manager
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour afficher la liste des clés de condition Systems Manager, consultez [Clés de condition pour AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) dans la *Référence de l'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).
Pour obtenir des informations sur l'utilisation de la clé de condition `ssm:resourceTag/*`, consultez les rubriques suivantes :
+ [Limitation de l'accès aux commandes de niveau racine via l'SSM Agent](ssm-agent-restrict-root-level-commands.md)
+ [Restriction de l'accès Run Command en fonction des balises](run-command-setting-up.md#tag-based-access)
+ [Limiter l'accès à la session en fonction des balises d'instance](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)
Pour obtenir des informations sur l’utilisation des clés de condition `ssm:Recursive`, `ssm:Policies` et `ssm:Overwrite`, consultez [Empêcher l’accès aux opérations d’API Parameter Store](parameter-store-policy-conditions.md).
### Exemples
Pour voir des exemples de politiques Systems Manager basées sur l'identité, consultez [Exemples de politiques basées sur l’identité AWS Systems Manager](security_iam_id-based-policy-examples.md).
## Systems ManagerPolitiques basées sur les ressources
D'autres Services AWS, comme Amazon Simple Storage Service (Amazon S3), prennent en charge les politiques d'autorisation basées sur les ressources. Par exemple, vous pouvez attacher une politique d'autorisation à un compartiment S3 pour gérer les autorisations d'accès à ce compartiment.
Systems Manager ne prend pas en charge les politiques basées sur une ressource.
## Autorisation basée sur les balises Systems Manager
Vous pouvez attacher des balises aux ressources de Systems Manager, ou transmettre des balises dans une demande à Systems Manager. Pour contrôler l'accès basé sur des balises, vous devez fournir les informations de balise dans l'[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d'une politique utilisant les clés de condition `ssm:resourceTag/key-name`, `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Vous pouvez ajouter des balises aux types de ressources suivants lorsque vous les créez ou les mettez à jour :
+ Document
+ Nœud géré
+ Fenêtre de maintenance
+ Paramètre
+ Référentiel de correctifs
+ OpsItem
Pour visualiser un exemple de politique basée sur l'identité permettant de limiter l'accès à une ressource en fonction des balises de cette ressource, consultez [Affichage de documents Systems Manager basés sur des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags).
## Rôles IAM Systems Manager
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité au sein de vous Compte AWS qui possède des autorisations spécifiques.
### Utilisation des informations d'identification temporaires avec Systems Manager
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant AWS Security Token Service (AWS STS) des opérations d'API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Systems Manager prend en charge l'utilisation des informations d'identification temporaires.
### Rôles liés à un service
Les [rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permettent Services AWS d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s'affichent dans votre compte IAM et sont la propriété du service. Un administrateur peut consulter, mais ne peut pas modifier les autorisations concernant les rôles liés à un service.
Systems Manager prend en charge les rôles liés à un service. Pour plus d'informations sur la création ou la gestion des rôles liés à un service Systems Manager, consultez [Utilisation des rôles liés aux services pour Systems Manager](using-service-linked-roles.md).
### Rôles du service
Cette fonction permet à un service d’endosser une [fonction du service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en votre nom. Ce rôle autorise le service à accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles de service s'affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu'un administrateur peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
Systems Manager prend en charge les rôles de service.
### Choix d'un rôle IAM dans Systems Manager
Pour que Systems Manager interagisse avec vos nœuds gérés, vous devez choisir un rôle autorisant Systems Manager à accéder aux nœuds en votre nom. Si vous avez déjà créé un rôle de service ou un rôle lié à un service, Systems Manager vous fournit une liste de rôles dans laquelle effectuer votre choix. Il est important de choisir un rôle qui permet d'accéder au démarrage et à l'arrêt des nœuds gérés.
Pour accéder aux instances EC2, vous devez configurer les autorisations d'instance. Pour plus d’informations, consultez la section [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md).
Pour accéder à des nœuds non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types), votre Compte AWS a besoin d'une fonction du service IAM. Pour plus d’informations, voir [Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud](hybrid-multicloud-service-role.md).
Un flux de travail Automation peut être lancé dans le contexte d'un rôle de service (ou rôle de responsable). Cela permet au service d'effectuer des actions en votre nom. Si vous ne spécifiez pas de rôle de responsable, Automation utilise le contexte de l'utilisateur qui a appelé l'exécution. Cependant, certaines situations exigent que vous spécifiiez un rôle de service pour Automation. Pour de plus amples informations, veuillez consulter [Configuration d'un accès à un rôle de service (rôle de responsable) pour les automatisations](automation-setup.md#automation-setup-configure-role).
### Politiques gérées par AWS Systems Manager
AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Ces *politiques gérées AWS * octroient les autorisations requises dans les cas d'utilisation courants, ce qui vous évite d'avoir à vous en soucier. (Vous pouvez également créer vos propres politiques IAM personnalisées afin d'accorder des autorisations pour les actions et les ressources Systems Manager.)
Pour plus d’informations sur les politiques gérées pour Systems Manager, consultez [AWS politiques gérées pour AWS Systems Manager](security-iam-awsmanpol.md)
Pour plus d’informations sur les politiques gérées, consultez [Stratégie gérées AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
# Exemples de politiques basées sur l’identité AWS Systems Manager
Par défaut, les entités Gestion des identités et des accès AWS (IAM) (utilisateurs et rôles) ne sont pas autorisées à créer ou à modifier AWS Systems Manager des ressources. Ils ne peuvent pas non plus effectuer de tâches à l'aide de la console Systems Manager AWS Command Line Interface (AWS CLI) ou de AWS l'API. Un administrateur doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d’API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes ayant besoin de ces autorisations.
Voici un exemple de politique d'autorisation qui permet à un utilisateur de supprimer des documents dont le nom commence par **MyDocument-** dans l'est des États-Unis (Ohio) (us-east-2). Région AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"ssm:DeleteDocument"
],
"Resource" : [
"arn:aws:ssm:us-east-1:111122223333:document/MyDocument-*"
]
}
]
}
```
------
Pour apprendre à créer une politique basée sur l'identité IAM à l'aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l'utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Exemple : autorisation d’utiliser la console Systems Manager](#security_iam_id-based-policy-examples-console)
+ [Exemple : autorisation pour autoriser les utilisateurs à afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Exemple : autorisation de lire et décrire des paramètres individuels](#security_iam_id-based-policy-examples-view-one-parameter)
+ [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md)
+ [Exemples de politiques gérées par le client](#customer-managed-policies)
+ [Affichage de documents Systems Manager basés sur des balises](#security_iam_id-based-policy-examples-view-documents-tags)
## Bonnes pratiques en matière de politiques
Les stratégies basées sur l’identité déterminent si une personne peut créer, consulter ou supprimer des ressources Systems Manager dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Exemple : autorisation d’utiliser la console Systems Manager
Pour accéder à la console Systems Manager, vous devez disposer d'un ensemble minimum d'autorisations. Ces autorisations doivent vous permettre de répertorier et consulter les informations relatives aux ressources Systems Manageret aux autres ressources de votre Compte AWS.
Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités IAM (utilisateurs et rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la console Systems Manager, associez également la politique SSMRead OnlyAccess AWS gérée par [Amazon SSMFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) [ou Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
## Exemple : autorisation pour autoriser les utilisateurs à afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Exemple : autorisation de lire et décrire des paramètres individuels
**Example Lire et décrire un paramètre**
Vous pouvez accorder l’accès à un paramètre en attachant la stratégie suivante à une identité.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:DescribeParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/parameter-name"
}
]
}
```
# Prévention du problème de l’adjoint confus entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.
Nous vous recommandons d'utiliser les clés de contexte de condition globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) et [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) dans les politiques de ressources afin de limiter les autorisations à la ressource octroyées par AWS Systems Manager à un autre service. Si la valeur `aws:SourceArn` ne contient pas l'ID de compte, tel qu'un Amazon Resource Name (ARN) pour un compartiment S3, vous devez utiliser les deux clés de contexte de condition globale pour limiter les autorisations. Si vous utilisez les deux clés de contexte de condition globale et que la valeur `aws:SourceArn` contient l'ID de compte, la valeur `aws:SourceAccount` et le compte dans la valeur `aws:SourceArn` doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction de politique. Utilisez `aws:SourceArn` si vous souhaitez qu'une seule ressource soit associée à l'accès entre services. Utilisez `aws:SourceAccount` si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices.
Les sections suivantes fournissent des exemples de politiques pour les outils AWS Systems Manager.
## Exemple de politique d'activation hybride
Pour les fonctions du service utilisées dans une [activation hybride](activations.md), la valeur de l'`aws:SourceArn` doit correspondre à l'ARN de l' Compte AWS. Assurez-vous de le spécifier Région AWS dans l'ARN dans lequel vous avez créé votre activation hybride. Si vous ne connaissez pas l'ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l'ARN. Par exemple, `arn:aws:ssm:*:region:123456789012:*`.
L'exemple suivant illustre l'utilisation des lés de contexte de condition globale `aws:SourceArn` et `aws:SourceAccount` pour Automation afin de prévenir le problème confus des adjoints dans la Région USA Est (Ohio) (us-east-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
------
## Exemple de politique de synchronisation des données de ressources
Systems ManagerExplorer, Inventory et Compliance vous permettent de créer une synchronisation des données de ressources afin de centraliser le stockage de vos données d'exploitation (OpsData) dans un bucket Amazon Simple Storage Service central. Si vous souhaitez chiffrer une synchronisation de données de ressource à l'aide de AWS Key Management Service (AWS KMS), vous devez soit créer une nouvelle clé incluant la politique suivante, soit mettre à jour une clé existante et y ajouter cette politique. Les clés de condition `aws:SourceArn` et `aws:SourceAccount` de cette politique empêchent le problème du député confus. Voici un exemple de politique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ssm-access-policy",
"Statement": [
{
"Sid": "ssm-access-policy-statement",
"Action": [
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id",
"Condition": {
"StringLike": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM"
}
}
}
]
}
```
------
**Note**
L'ARN dans l'exemple de politique permet au système de chiffrer à OpsData partir de toutes les sources sauf AWS Security Hub CSPM. Si vous devez chiffrer des données Security Hub CSPM, par exemple si vous les utilisez Explorer pour collecter des données Security Hub CSPM, vous devez joindre une politique supplémentaire qui spécifie l'ARN suivant :
`"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"`
## Exemples de politiques gérées par le client
Vous pouvez créer des politiques autonomes que vous gérez dans votre propre Compte AWS. Nous les appelons *politiques gérées par le client*. Vous pouvez associer ces politiques à plusieurs entités principales de votre Compte AWS. Lorsque vous attachez une politique à une entité principale, vous accordez à cette dernière les autorisations définies dans la politique. Pour plus d'informations, consultez[Exemples de politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) dans le *[Guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.
Les exemples suivants de politiques utilisateur accordent des autorisations pour différentes actions Systems Manager. Utilisez-les pour limiter l'accès à Systems Manager pour vos entités IAM (utilisateurs et rôles). Ces politiques fonctionnent lorsque vous effectuez des actions dans l'Systems ManagerAPI AWS SDKs, ou le AWS CLI. Pour les utilisateurs qui utilisent la console, vous devez accorder des autorisations supplémentaires propres à la console. Pour de plus amples informations, veuillez consulter [Exemple : autorisation d’utiliser la console Systems Manager](#security_iam_id-based-policy-examples-console).
**Note**
Tous les exemples utilisent la région USA Ouest (Oregon) (us-west-2) et contiennent un récit fictif. IDs L'ID de compte ne doit pas être spécifié dans le nom de ressource Amazon (ARN) pour les documents AWS publics (documents commençant par`AWS-*`).
**Exemples**
+ [Exemple 1 : Autoriser un utilisateur à effectuer des opérations Systems Manager dans une seule région](#identity-based-policies-example-1)
+ [Exemple 2 : Autoriser un utilisateur à répertorier les documents pour une seule région](#identity-based-policies-example-2)
### Exemple 1 : Autoriser un utilisateur à effectuer des opérations Systems Manager dans une seule région
L'exemple suivant accorde des autorisations pour effectuer des opérations Systems Manager uniquement dans la Région USA Est (Ohio) (us-east-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:*"
]
}
]
}
```
------
### Exemple 2 : Autoriser un utilisateur à répertorier les documents pour une seule région
L'exemple suivant accorde des permissions pour répertorier tous les noms de documents qui commencent par **Update** dans la Région USA Est (Ohio) (us-east-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:ListDocuments"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/Update*"
]
}
]
}
```
------
### Exemple 3 : Autoriser un utilisateur à utiliser un document SSM spécifique pour exécuter des commandes sur des nœuds spécifiques
L'exemple de politique IAM suivant permet à un utilisateur d'effectuer les opérations suivantes dans la Région USA Est (Ohio) (us-east-2) :
+ Répertorier les documents Systems Manager (documents SSM) et les versions de documents.
+ Afficher les détails des documents.
+ Envoyer une commande à l'aide du document indiqué dans la politique. Le nom du document est défini par l'entrée suivante.
```
arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name
```
+ Envoyer une commande à trois nœuds. Les nœuds sont déterminés par les entrées suivantes dans la seconde section `Resource`.
```
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE"
```
+ Afficher les détails d'une commande après qu'elle ait été envoyée.
+ Démarrer et arrêter des flux de travail dans Automation, un outil d’ AWS Systems Manager.
+ Obtenir des informations sur les flux de travail Automation.
Si vous souhaitez accorder à un utilisateur l'autorisation d'utiliser ce document pour envoyer des commandes sur n'importe quel nœud auquel l'utilisateur a accès, vous pouvez spécifier l'entrée suivante dans la section `Resource` et supprimer les autres entrées de nœud. L'exemple utilise la Région USA Est (Ohio) (us-east-2).
```
"arn:aws:ec2:us-east-2:*:instance/*"
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions",
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeInstanceInformation",
"ssm:DescribeDocumentParameters",
"ssm:DescribeInstanceProperties"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:SendCommand",
"Effect": "Allow",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-07782c72faEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/Systems-Manager-document-name"
]
},
{
"Action": [
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ec2:DescribeInstanceStatus",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Action": "ssm:DescribeAutomationExecutions",
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution"
],
"Effect": "Allow",
"Resource": [
"*"
]
}
]
}
```
------
## Affichage de documents Systems Manager basés sur des balises
Vous pouvez utiliser des conditions dans votre politique basée sur l'identité pour contrôler l'accès aux ressources Systems Manager en fonction des balises. Cet exemple montre comment créer une politique qui permet d'afficher un document SSM. Toutefois, l'autorisation est accordée uniquement si la balise de document `Owner` a la valeur du nom de l'utilisateur. Cette politique accorde également les autorisations nécessaires pour réaliser cette action sur la console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListDocumentsInConsole",
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Sid": "ViewDocumentIfOwner",
"Effect": "Allow",
"Action": "ssm:GetDocument",
"Resource": "arn:aws:ssm:*:*:document/*",
"Condition": {
"StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Vous pouvez attacher cette stratégie aux utilisateurs de votre compte. Si un utilisateur nommé `richard-roe` tente d'afficher un document Systems Manager, le document doit avoir la balise `Owner=richard-roe` ou `owner=richard-roe`. Dans le cas contraire, l'accès est refusé. La clé de condition de balise `Owner` correspond à la fois à `Owner` et à `owner`, car les noms de clé de condition ne sont pas sensibles à la casse. Pour plus d'informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
# AWS politiques gérées pour AWS Systems Manager
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [AWS politique gérée : Amazon SSMService RolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [AWS politique gérée : Amazon SSMAutomation Role](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [AWS politique gérée : Amazon SSMRead OnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [AWS politique gérée : AWSSystems ManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [AWS politique gérée : Amazon SSMManaged EC2 InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [AWS politique gérée : SSMQuick SetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [AWS politique gérée : AWSQuick SetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [AWS politique gérée : AWSQuick SetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [AWS politique gérée : AWSQuick SetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS politique gérée : `AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS politique gérée : `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [AWS politique gérée : AWSQuick SetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [AWS politique gérée : AWSQuick SetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [AWS politique gérée : AWSQuick Configuration SSMHost MgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [AWS politique gérée : AWSQuick SetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [AWS politique gérée : AWSQuick SetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [AWS politique gérée : AWSQuick Configuration CFGCPacks PermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [AWS politique gérée : AWSQuick SetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [AWS politique gérée : AWSQuick SetupStart SSMAssociations ExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [AWS politique gérée : AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [AWS politique gérée : AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [AWS politique gérée : AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [AWS politique gérée : AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [AWS politique gérée : AWSQuick Configuration SSMManage ResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [AWS politique gérée : AWSQuick Configuration SSMLifecycle ManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [AWS politique gérée : AWSQuick Configuration SSMDeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [AWS politique gérée : AWSQuick Configuration SSMDeployment S3 BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS politique gérée : AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS politique gérée : AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [AWS politique gérée : AWSQuick SetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [AWS politique gérée : AWSQuick SetupManage JITNAResources ExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [AWS politique gérée : AWSQuick Configuration JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [AWS politique gérée : AWSSystems ManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [AWS politique gérée : AWSSystems ManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [AWS politique gérée : AWSSystems ManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [AWS politique gérée : AWSSystems ManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [AWS politique gérée : AWSSystems ManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [AWS politique gérée : AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [AWS politique gérée : AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS politique gérée : AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [Systems Managermises à jour des politiques AWS gérées](#security-iam-awsmanpol-updates)
+ [Stratégie supplémentaires gérées pour Systems Manager](#policies-list)
## AWS politique gérée : Amazon SSMService RolePolicy
Cette politique donne accès à un certain nombre de AWS ressources gérées AWS Systems Manager ou utilisées dans le cadre des opérations de Systems Manager.
Vous ne pouvez pas vous associer `AmazonSSMServiceRolePolicy` à vos entités Gestion des identités et des accès AWS (IAM). Cette politique est associée à un rôle lié à un service qui permet d' AWS Systems Manager effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation des rôles pour collecter l'inventaire et consulter OpsData](using-service-linked-roles-service-action-1.md).
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` – Permet aux principaux de démarrer et d’accélérer les exécutions de Run Command et d’automatisation ; de récupérer des informations sur les opérations de Run Command et d’automatisation ; de récupérer des informations sur les paramètres Parameter Store, les calendriers Change Calendar ; de mettre à jour et de récupérer des informations sur les paramètres de services Systems Manager pour les ressources OpsCenter ; et de lire des informations sur les balises qui ont été appliquées aux ressources.
+ `cloudformation` – Permet aux principaux de récupérer des informations sur les opérations et les instances de stackset, et de supprimer les stacksets sur la ressource `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*`. Permet aux principaux de supprimer les instances de pile associées aux ressources suivantes :
```
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*
```
+ `cloudwatch`— Permet aux directeurs de récupérer des informations sur les CloudWatch alarmes Amazon.
+ `compute-optimizer`— Permet aux principaux de récupérer le statut d'inscription (d'adhésion) d'un compte au Optimiseur de calcul AWS service et de récupérer des recommandations pour les instances Amazon EC2 qui répondent à un ensemble spécifique d'exigences énoncées.
+ `config`— Permet aux responsables de récupérer les configurations de correction des informations et les enregistreurs de configuration AWS Config, et de déterminer si les AWS Config règles et les AWS ressources spécifiées sont conformes.
+ `events`— Permet aux principaux de récupérer des informations sur EventBridge les règles, de créer des EventBridge règles et des cibles exclusivement pour le service Systems Manager (`ssm.amazonaws.com`) et de supprimer des règles et des cibles pour la ressource`arn:aws:events:*:*:rule/SSMExplorerManagedRule`.
+ `ec2` – Permet aux principaux de récupérer des informations sur les instances Amazon EC2.
+ `iam` – Permet aux principaux de transmettre les autorisations de rôles pour le service Systems Manager (`ssm.amazonaws.com`).
+ `lambda` – Permet aux principaux d’invoquer des fonctions Lambda configurées spécifiquement pour être utilisées par Systems Manager.
+ `resource-explorer-2` – Permet aux principaux de récupérer des données sur les instances EC2 afin de déterminer si chaque instance est actuellement gérée ou pas par Systems Manager.
L’action `resource-explorer-2:CreateManagedView` est autorisée pour la ressource `arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*`.
+ `resource-groups`— Permet aux principaux de récupérer des groupes de ressources de liste et leurs membres parmi Groupes de ressources AWS les ressources appartenant à un groupe de ressources.
+ `securityhub`— Permet aux principaux de récupérer des informations sur les ressources du AWS Security Hub CSPM hub dans le compte courant.
+ `states`— Permet aux principaux de démarrer et de récupérer les informations AWS Step Functions configurées spécifiquement pour être utilisées par Systems Manager.
+ `support` – Permet aux principaux de récupérer des informations sur les contrôles et les dossiers dans AWS Trusted Advisor.
+ `tag` – Permet aux principaux de récupérer des informations sur toutes les ressources étiquetées ou précédemment étiquetées qui se trouvent dans une Région AWS spécifié pour un compte.
Pour en savoir plus sur la politique, y compris la dernière version du document de politique JSON, consultez [Amazon SSMService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html) dans le *AWS Managed Policy Reference Guide*.
## AWS politique gérée : Amazon SSMAutomation Role
Vous pouvez associer la politique `AmazonSSMAutomationRole` à vos identités IAM. Cette politique autorise le service AWS Systems Manager Automation à exécuter les activités définies dans les runbooks Automation.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `lambda` : permet aux principaux d’invoquer des fonctions Lambda dont les noms commencent par « Automation ». Cela est nécessaire pour que les dossiers d’exploitation Automation exécutent les fonctions Lambda dans le cadre de leur flux de travail.
+ `ec2` : permet aux principaux d’effectuer diverses opérations Amazon EC2, notamment la création, la copie et le désenregistrement d’images, la gestion des instantanés, le démarrage, l’exécution, l’arrêt et la résiliation d’instances, la gestion de l’état des instances, ainsi que la création, la suppression et la description de balises. Ces autorisations permettent aux dossiers d’exploitation Automation de gérer les ressources Amazon EC2 pendant l’exécution.
+ `cloudformation`— Permet aux principaux de créer, de décrire, de mettre à jour et de supprimer des CloudFormation piles. Cela permet aux runbooks d'automatisation de gérer l'infrastructure sous forme de code. CloudFormation
+ `ssm` : permet aux principaux d’utiliser toutes les actions Systems Manager. Cet accès complet est nécessaire pour que les dossiers d’exploitation d’Automation puissent interagir avec tous les outils de Systems Manager.
+ `sns` : permet aux principaux de publier des messages sur les rubriques Amazon SNS avec des noms commençant par « Automation ». Cela permet aux dossiers d’exploitation Automation d’envoyer des notifications lors de l’exécution.
+ `ssmmessages` : permet aux principaux d’ouvrir des canaux de données vers les sessions de Systems Manager. Cela permet aux dossiers d’exploitation Automation d’établir des canaux de communication pour les opérations basées sur les sessions.
Pour en savoir plus sur la politique, y compris la dernière version du document de politique JSON, consultez [Amazon SSMAutomation Role](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html) dans le *AWS Managed Policy Reference Guide*.
## AWS politique gérée : Amazon SSMRead OnlyAccess
Vous pouvez associer la politique `AmazonSSMReadOnlyAccess` à vos identités IAM. Cette politique accorde un accès en lecture seule aux opérations d' AWS Systems Manager API`Describe*`, notamment`Get*`, et. `List*`
Pour en savoir plus sur la politique, y compris la dernière version du document de politique JSON, consultez [Amazon SSMRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) dans le *AWS Managed Policy Reference Guide*.
## AWS politique gérée : AWSSystems ManagerOpsDataSyncServiceRolePolicy
Vous ne pouvez pas joindre de `AWSSystemsManagerOpsDataSyncServiceRolePolicy` à vos entités IAM. Cette politique est attachée à un rôle lié au service qui permet à Systems Manager d’effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Utiliser des rôles pour créer OpsData et OpsItems pour Explorer](using-service-linked-roles-service-action-3.md).
`AWSSystemsManagerOpsDataSyncServiceRolePolicy`permet au rôle `AWSServiceRoleForSystemsManagerOpsDataSync` lié au service de créer et de mettre à jour OpsItems et à OpsData partir AWS Security Hub CSPM des résultats.
Sauf mention contraire, la politique permet à Systems Manager d'effectuer les actions suivantes sur toutes les ressources connexes (`"Resource": "*"`) :
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]
[1] Les actions `ssm:GetOpsItem` et `ssm:UpdateOpsItem` ne sont autorisées par la condition suivante que pour le service Systems Manager.
```
"Condition": {
"StringEquals": {
"aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
}
}
```
[2] L'action `ssm:AddTagsToResource` n'est autorisée que pour la ressource suivante.
```
arn:aws:ssm:*:*:opsitem/*
```
[3] Les actions `ssm:UpdateServiceSetting` et `ssm:GetServiceSetting` ne sont autorisées que pour les ressources suivantes.
```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```
[4] Les autorisations sont refusées aux `securityhub:BatchUpdateFindings` par la condition suivante, pour le service Systems Manager uniquement.
```
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Confidence": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Criticality": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.Text": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/RelatedFindings": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Types": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/VerificationState": false
}
}
```
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : Amazon SSMManaged EC2 InstanceDefaultPolicy
Vous ne devez associer `AmazonSSMManagedEC2InstanceDefaultPolicy` aux rôles IAM que pour les instances Amazon EC2 pour lesquelles vous souhaitez avoir l’autorisation d’utiliser la fonctionnalité Systems Manager. Vous ne devez pas associer ce rôle à d’autres entités IAM, telles que les utilisateurs IAM et les groupes IAM, ni à des rôles IAM ayant d’autres objectifs. Pour de plus amples informations, veuillez consulter [Gestion automatique des instances EC2 avec la configuration par défaut de la gestion des hôtes](fleet-manager-default-host-management-configuration.md).
Cette politique accorde des autorisations qui permettent à SSM Agent sur votre instance Amazon EC2 de communiquer avec le service Systems Manager dans le cloud afin d’effectuer diverses tâches. Il accorde également des autorisations pour les deux services qui fournissent des jetons d’autorisation pour s’assurer que les opérations sont effectuées sur l’instance correcte.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` – Permet aux principaux de récupérer des documents, d’exécuter des commandes à l’aide de Run Command, d’établir des sessions à l’aide de Session Manager, de collecter un inventaire de l’instance et de rechercher des correctifs et la conformité des correctifs à l’aide de Patch Manager.
+ `ssmmessages` – Permet aux principaux d’accéder, pour chaque instance, à un jeton d’autorisation personnalisé créé par le service *[Amazon Message Gateway](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)*. Systems Manager valide le jeton d’autorisation personnalisé par rapport à l’Amazon Resource Name (ARN) de l’instance qui a été fournie lors de l’opération d’API. Cet accès est nécessaire pour garantir que l’SSM Agent exécute des opérations d’API sur la bonne instance.
+ `ec2messages` – Permet aux principaux d’accéder, pour chaque instance, à un jeton d’autorisation personnalisé créé par le service *[Amazon Message Delivery](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)*. Systems Manager valide le jeton d’autorisation personnalisé par rapport à l’Amazon Resource Name (ARN) de l’instance qui a été fournie lors de l’opération d’API. Cet accès est nécessaire pour garantir que l’SSM Agent exécute des opérations d’API sur la bonne instance.
Pour des informations connexes sur les points de terminaison `ssmmessages` et `ec2messages`, y compris les différences entre les deux, consultez [Opérations d’API liées à un agent (points de terminaison `ssmmessages` et `ec2messages`)](systems-manager-setting-up-messageAPIs.md#message-services).
Pour en savoir plus sur la politique, y compris la dernière version du document de politique JSON, consultez [Amazon SSMManaged EC2 InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html) dans le *AWS Managed Policy Reference Guide*.
## AWS politique gérée : SSMQuick SetupRolePolicy
Vous ne pouvez pas vous associer SSMQuick SetupRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié au service qui permet à Systems Manager d’effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour maintenir l’état et la cohérence des ressources provisionnées par Quick Setup](using-service-linked-roles-service-action-5.md).
Cette politique accorde des autorisations en lecture seule qui permettent au Systems Manager de vérifier l’état de la configuration, d’assurer une utilisation cohérente des paramètres et des ressources provisionnées et de corriger les ressources lorsqu’une dérive est détectée. Il accorde également des autorisations administratives pour la création d’un rôle lié à un service.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` – Permet aux principaux de lire les informations sur les synchronisations de données de ressources et les documents SSM dans Systems Manager, y compris dans les comptes d’administrateur délégué. Cela est nécessaire afin que Quick Setup détermine l’état dans lequel les ressources configurées sont censées se trouver.
+ `organizations` – Permet aux principaux de lire les informations relatives aux comptes des membres appartenant à une organisation, tels que configurés dans AWS Organizations. Cela est nécessaire afin que Quick Setup identifie tous les comptes d’une organisation où des surveillances de l’état des ressources doivent être effectués.
+ `cloudformation`— Permet aux directeurs d'école de lire des informations à partir de CloudFormation. Cela est nécessaire pour Quick Setup recueillir des données sur les CloudFormation piles utilisées pour gérer l'état des ressources et les opérations des CloudFormation stacksets.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick SetupDeploymentRolePolicy
La politique gérée `AWSQuickSetupDeploymentRolePolicy` prend en charge plusieurs types de configuration Quick Setup. Les types de configuration suivants créent des rôles et des automatisations IAM qui configurent rapidement les services et fonctions Amazon Web Services fréquemment utilisés avec les bonnes pratiques recommandées.
Vous pouvez attacher `AWSQuickSetupDeploymentRolePolicy` à vos entités IAM.
Cette politique accorde les autorisations administratives nécessaires pour créer des ressources associées aux configurations Quick Setup suivantes :
+ [Configurer la gestion des hôtes Amazon EC2 à l’aide d’Quick Setup](quick-setup-host-management.md)
+ [Créer un enregistreur de configuration AWS Configà l’aide de Quick Setup](quick-setup-config.md)
+ [Déployez le pack de AWS Config conformité à l'aide de Quick Setup](quick-setup-cpack.md)
+ [Configurer DevOps Guru à l’aide de Quick Setup](quick-setup-devops.md)
+ [Déployer les packages Distributor en utilisant Quick Setup](quick-setup-distributor.md)
+ [Arrêter et démarrer les instances EC2 automatiquement selon un calendrier en utilisant Quick Setup](quick-setup-scheduler.md)
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm`— Permet aux principaux de lire, de créer, de mettre à jour et de supprimer des documents SSM dont les noms commencent par « AWSQuick Setup- » ou « AWSOperations Pack- » lorsqu'ils sont appelés via CloudFormation ; de lire des documents AWS propriétaires spécifiques tels que AWSQuickSetupType-ManageInstanceProfile « », AWSQuickSetupType-ConfigureDevOpsGuru « » et AWSQuickSetupType-DeployConformancePack « » ; de créer, mettre à jour et supprimer des associations pour des Quick Setup documents et des documents AWS détenus lorsqu'ils sont appelés via CloudFormation ; et de nettoyer les ressources existantes étiquetées avec. `QuickSetupID` Cela permet à Quick Setup de déployer et de gérer les flux de travail et les associations d’automatisation.
+ `cloudformation`— Permet aux directeurs de lire des informations sur les CloudFormation piles et les ensembles de piles, ainsi que de créer, de mettre à jour et de supprimer des CloudFormation piles et de modifier des ensembles pour les ressources dont le nom commence par « StackSet -AWS- - ». QuickSetup Cela permet à Quick Setup de gérer les déploiements d’infrastructures à travers les comptes et les régions.
+ `config`— Permet aux principaux de lire des informations sur les packs de AWS Config conformité et leur statut, et de créer et de supprimer des packs de conformité dont le nom commence par « AWS- QuickSetup - » lorsqu'ils sont appelés via. CloudFormation Cela permet à Quick Setup de déployer des configurations de surveillance de la conformité.
+ `events`— Permet aux principaux de gérer les EventBridge règles et les cibles pour les ressources dont les noms contiennent « QuickSetup - ». Cela permet à Quick Setup de créer des flux de travail automatisés planifiés.
+ `iam`— Permet aux principaux de créer des rôles liés aux services pour et Systems AWS Config Manager ; de créer, gérer et supprimer des rôles IAM dont les noms commencent par « AWS- » ou « AWSOperations Pack QuickSetup - » lorsqu'ils sont appelés via CloudFormation ; de transmettre ces rôles à Systems Manager et aux EventBridge services ; d'associer des politiques AWS gérées spécifiques à ces rôles ; et de définir des limites d'autorisations à l'aide de politiques gérées spécifiques. Quick Setup Cela permet à Quick Setup de créer les rôles de service nécessaires à ses opérations.
+ `resource-groups` : permet aux principaux de récupérer des requêtes de groupes de ressources. Cela permet à Quick Setup de cibler des ensembles de ressources spécifiques pour la gestion de la configuration.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick SetupPatchPolicyDeploymentRolePolicy
La politique gérée `AWSQuickSetupPatchPolicyDeploymentRolePolicy` prend en charge le type [Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup](quick-setup-patch-manager.md) Quick Setup. Ce type de configuration permet d’automatiser le patchage des applications et des nœuds dans un seul compte ou dans votre organisation.
Vous pouvez également attacher `AWSQuickSetupPatchPolicyDeploymentRolePolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
Cette politique accorde des autorisations administratives qui permettent à Quick Setup de créer des ressources associées à une configuration de politique de correctifs.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam` – Permet aux principaux de gérer et de supprimer les rôles IAM requis pour les tâches de configuration d’automatisation ; ainsi que de gérer les politique relatives aux rôles d’automatisation.
+ `cloudformation`— Permet aux principaux de lire les informations relatives aux CloudFormation piles et de contrôler les CloudFormation piles créées à Quick Setup l'aide d'ensembles de CloudFormation piles.
+ `ssm` – Permet aux principaux de créer, de mettre à jour, de lire et de supprimer les dossiers d’exploitation d’automatisation requis pour les tâches de configuration, ainsi que de créer, mettre à jour et supprimer des associations State Manager.
+ `resource-groups` – Permet aux principaux de récupérer les requêtes de ressources associées aux groupes de ressources ciblés par les configurations Quick Setup.
+ `s3` – Permet aux principaux de répertorier les compartiments Amazon S3 ; ainsi que de gérer les compartiments pour stocker les journaux d’accès aux politiques de correctifs.
+ `lambda`— Permet aux principaux de gérer les fonctions de AWS Lambda correction qui maintiennent les configurations dans le bon état.
+ `logs` – Permet aux principaux de décrire et de gérer les groupes de journaux pour les ressources de configuration Lambda.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick SetupPatchPolicyBaselineAccess
La politique gérée `AWSQuickSetupPatchPolicyBaselineAccess` prend en charge le type [Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup](quick-setup-patch-manager.md) Quick Setup. Ce type de configuration permet d’automatiser le patchage des applications et des nœuds dans un seul compte ou dans votre organisation.
Vous pouvez également attacher `AWSQuickSetupPatchPolicyBaselineAccess` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
Cette politique fournit des autorisations en lecture seule pour accéder aux lignes de base de correctifs configurées par un administrateur de l'entreprise actuelle Compte AWS ou de l'organisation qui l'utilise. Quick Setup Les lignes de base des correctifs sont stockées dans un compartiment Amazon S3 et peuvent être utilisées pour les instances de correctifs dans un seul compte ou dans toute une organisation.
**Détails de l’autorisation**
Cette politique inclut l’autorisation suivante.
+ `s3` – Permet aux principaux de lire les ls remplacements du référentiel de correctifs stockées dans des compartiments Amazon S3.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSQuickSetupPatchPolicyBaselineAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : `AWSSystemsManagerEnableExplorerExecutionPolicy`
La politique gérée `AWSSystemsManagerEnableExplorerExecutionPolicy` prend en charge l'activationExplorer, un outil dans AWS Systems Manager.
Vous pouvez également attacher `AWSSystemsManagerEnableExplorerExecutionPolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
Cette politique accorde des autorisations administratives pour l’ activation de Explorer. Cela inclut les autorisations pour mettre à jour les paramètres de service Systems Manager associés et pour créer un rôle lié au service pour Systems Manager.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `config` – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule aux détails de l’enregistreur de configuration.
+ `iam` – Permet aux principaux de contribuer à activer Explorer.
+ `ssm` – Permet aux principaux de démarrer un flux de travail d’automatisation qui active Explorer.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
La politique gérée `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` prend en charge le type de configuration [Créer un enregistreur de configuration AWS Configà l’aide de Quick Setup](quick-setup-config.md) Quick Setup. Ce type de configuration permet Quick Setup de suivre et d'enregistrer les modifications apportées aux types de AWS ressources que vous choisissez AWS Config. Il permet également à Quick Setup de configurer les options de livraison et de notification des données enregistrées.
Vous pouvez également attacher `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
Cette politique accorde des autorisations administratives qui permettent d'Quick Setupactiver et de configurer l'enregistrement AWS Config de configuration.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `s3` – Permet aux principaux de créer et de configurer des compartiments Amazon S3 pour la livraison des enregistrements de configuration.
+ `sns` – Permet aux principaux d’obtenir une liste de rubriques Amazon SNS.
+ `config` – Permet aux principaux de configurer et de démarrer l’enregistreur de configuration ; et d’aider à activer Explorer.
+ `iam`— Permet aux principaux de créer, d'obtenir et de transmettre un rôle lié à un service pour AWS Config ; de créer un rôle lié à un service pour Systems Manager ; et de contribuer à l'activer. Explorer
+ `ssm` – Permet aux principaux de démarrer un flux de travail d’automatisation qui active Explorer.
+ `compute-optimizer`— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite ou non. Optimiseur de calcul AWS
+ `support` – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite avec Optimiseur de calcul AWS.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick SetupDevOpsGuruPermissionsBoundary
**Note**
Cette politique est une *limite des autorisations*. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
La politique gérée `AWSQuickSetupDevOpsGuruPermissionsBoundary` prend en charge le type [Configurer DevOps Guru à l’aide de Quick Setup](quick-setup-devops.md). Le type de configuration active Amazon DevOps Guru, basé sur l'apprentissage automatique. Le service DevOps Guru peut contribuer à améliorer les performances opérationnelles et la disponibilité d'une application.
Lorsque vous créez une configuration `AWSQuickSetupDevOpsGuruPermissionsBoundary` à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.
Cette politique accorde des autorisations administratives qui permettent Quick Setup d'activer et de configurer Amazon DevOps Guru.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam`— Permet aux directeurs de créer des rôles liés aux services pour DevOps Guru et Systems Manager, et de répertorier les rôles qui les aident à les activer. Explorer
+ `cloudformation` – Permet aux principaux de décrire et de répertorier des piles CloudFormation .
+ `sns` – Permet aux principaux d’obtenir une liste de rubriques Amazon SNS.
+ `devops-guru`— Permet aux principaux de configurer DevOps Guru et d'ajouter un canal de notification.
+ `config` – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule aux détails de l’enregistreur de configuration.
+ `ssm` – Permet aux principaux de démarrer un flux de travail d’automatisation qui active Explorer ; et de lire et de mettre à jour les paramètres du service Explorer.
+ `compute-optimizer`— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite ou non. Optimiseur de calcul AWS
+ `support` – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite avec Optimiseur de calcul AWS.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick SetupDistributorPermissionsBoundary
**Note**
Cette politique est une *limite des autorisations*. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
La politique gérée `AWSQuickSetupDistributorPermissionsBoundary` prend en charge le type de configuration [Déployer les packages Distributor en utilisant Quick Setup](quick-setup-distributor.md) Quick Setup. Le type de configuration permet la distribution de paquets logiciels, tels que des agents, à vos instances Amazon Elastic Compute Cloud (Amazon EC2), à l’aide de Distributor, un outil d’ AWS Systems Manager.
Lorsque vous créez une configuration `AWSQuickSetupDistributorPermissionsBoundary` à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.
Cette politique accorde des autorisations administratives qui permettent à Quick Setup d’activer la distribution de paquets logiciels, tels que des agents, à vos instances Amazon EC2 utilisant Distributor.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam` – Permet aux principaux d’obtenir et de transmettre le rôle d’automatisation Distributor ; de créer, lire, mettre à jour et supprimer le rôle d’instance par défaut ; de transmettre le rôle d’instance par défaut à Amazon EC2 et à System Manager ; d’attacher des politiques de gestion d’instance aux rôles d’instance ; de créer un rôle lié au service pour System Manager ; d’ajouter le rôle d’instance par défaut aux profils d’instance ; de lire des informations sur les rôles et les profils d’instance IAM ; et de créer le profil d’instance par défaut.
+ `ec2` – Permet aux principaux d’associer le profil d’instance par défaut aux instances EC2 ; et de contribuer à activer Explorer.
+ `ssm` – Permet aux principaux de démarrer des flux de travail d’automatisation qui configurent les instances et installent des packages, d’aider à démarrer le flux de travail d’automatisation qui active Explorer ; et de lire et de mettre à jour les paramètres des services Explorer.
+ `config` – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule aux détails de l’enregistreur de configuration.
+ `compute-optimizer`— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite ou non. Optimiseur de calcul AWS
+ `support` – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite avec Optimiseur de calcul AWS.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick Configuration SSMHost MgmtPermissionsBoundary
**Note**
Cette politique est une *limite des autorisations*. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
La politique gérée `AWSQuickSetupSSMHostMgmtPermissionsBoundary` prend en charge le type de configuration [Configurer la gestion des hôtes Amazon EC2 à l’aide d’Quick Setup](quick-setup-host-management.md) Quick Setup. Ce type de configuration configure les rôles IAM et active les outils courants de Systems Manager pour gérer en toute sécurité vos instances Amazon EC2.
Lorsque vous créez une configuration `AWSQuickSetupSSMHostMgmtPermissionsBoundary` à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.
Cette politique accorde des autorisations administratives qui permettent à Quick Setup d’activer et de configurer les outils de Systems Manager nécessaires à la gestion sécurisée des instances EC2.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam` – Permet aux principaux d’obtenir et de transmettre le rôle de service d’automatisation. Permet aux principaux de créer, lire, mettre à jour et supprimer le rôle d’instance par défaut ; de transmettre le rôle d’instance par défaut à Amazon EC2 et à System Manager ; d’attacher des politiques de gestion d’instance aux rôles d’instance ; de créer un rôle lié au service pour System Manager ; d’ajouter le rôle d’instance par défaut aux profils d’instance ; de lire des informations sur les rôles et les profils d’instance IAM ; et de créer le profil d’instance par défaut.
+ `ec2` – Permet aux principaux d’associer et de dissocier le profil d’instance par défaut des instances EC2.
+ `ssm` – Permet aux principaux de démarrer des flux de travail Automation qui activent Explorer ; de lire et de mettre à jour les paramètres des services Explorer ; de configurer des instances et d’activer les outils de Systems Manager sur les instances.
+ `compute-optimizer`— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite ou non. Optimiseur de calcul AWS
+ `support` – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite avec Optimiseur de calcul AWS.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir [AWSQuickConfiguration SSMHost MgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html) dans le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSQuick SetupPatchPolicyPermissionsBoundary
**Note**
Cette politique est une *limite des autorisations*. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
La politique gérée `AWSQuickSetupPatchPolicyPermissionsBoundary` prend en charge le type [Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup](quick-setup-patch-manager.md) Quick Setup. Ce type de configuration permet d’automatiser le patchage des applications et des nœuds dans un seul compte ou dans votre organisation.
Lorsque vous créez une configuration `AWSQuickSetupPatchPolicyPermissionsBoundary` à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.
Cette politique accorde des autorisations administratives qui permettent à Quick Setup d’activer et de configurer des politiques de correctifs dans Patch Manager, un outil d’ AWS Systems Manager.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam`— Permet aux principaux d'obtenir le rôle d'Patch Managerautomatisation ; de transmettre des rôles d'automatisation aux opérations de correction ; de créer le rôle d'instance par défaut `AmazonSSMRoleForInstancesQuickSetup` ; de transmettre le rôle d'instance par défaut à Amazon EC2 et Systems Manager ; d'associer des politiques gérées AWS sélectionnées au rôle d'instance ; de créer un rôle lié à un service pour Systems Manager ; d'ajouter le rôle d'instance par défaut aux profils d'instance ; de lire des informations sur les profils et les rôles d'instance ; de créer un profil d'instance par défaut ; et pour étiqueter les rôles autorisés à lire Patch Manager remplacements de la ligne de base des correctifs.
+ `ssm` – Permet aux principaux de mettre à jour le rôle d’instance géré par Systems Manager ; de gérer les associations créées par les politiques de correctif Patch Manager créées dans Quick Setup ; de baliser les instances ciblées par une configuration de politique de correctif ; de lire des informations sur les instances et le statut des correctifs ; de démarrer des flux de travail d’automatisation qui configurent, activent et corrigent les correctifs d’instance ; de démarrer des flux de travail automatisés qui activent Explorer ; d’aider à activer Explorer ; et de lire et mettre à jour les paramètres de service Explorer.
+ `ec2` – Permet aux principaux d’associer et de dissocier le profil d’instance par défaut avec les instances EC2; de marquer les instances ciblées par une configuration de politique de correction; de marquer les instances ciblées par une configuration de politique de correction; et d’aider à activer Explorer.
+ `s3` – Permet aux principaux de créer et de configurer des buckets S3 pour stocker les remplacements du référentiel de correctifs,
+ `lambda`— Permet aux principaux d'invoquer des AWS Lambda fonctions qui configurent l'application de correctifs et d'effectuer des opérations de nettoyage après la suppression d'une configuration de politique de Quick Setup correctifs.
+ `logs`— Permet aux principaux de configurer la journalisation des Patch Manager Quick Setup AWS Lambda fonctions.
+ `config` – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule aux détails de l’enregistreur de configuration.
+ `compute-optimizer`— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite ou non. Optimiseur de calcul AWS
+ `support` – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite avec Optimiseur de calcul AWS.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick SetupSchedulerPermissionsBoundary
**Note**
Cette politique est une *limite des autorisations*. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
La politique gérée `AWSQuickSetupSchedulerPermissionsBoundary` prend en charge le type de configuration [Arrêter et démarrer les instances EC2 automatiquement selon un calendrier en utilisant Quick Setup](quick-setup-scheduler.md) Quick Setup. Ce type de configuration vous permet d’arrêter et de démarrer vos instances EC2 et d’autres ressources aux heures que vous spécifiez.
Lorsque vous créez une configuration `AWSQuickSetupSchedulerPermissionsBoundary` à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.
Cette politique accorde des autorisations administratives qui permettent à Quick Setup d’activer et de configurer des opérations planifiées sur des instances EC2 et d’autres ressources.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam` – Permet aux principaux de récupérer et de transmettre des rôles pour des actions Automation de gestion d’instance ; de gérer, de transmettre et d’attacher des rôles d’instance par défaut pour la gestion d’instance EC2, de créer des profils d’instance par défaut, d’ajouter des rôles d’instance par défaut aux profils d’instance, de créer un rôle lié au service pour Systems Manager ; de lire des informations sur les rôles et les profils d’instance IAM, d’associer un profil d’instance par défaut aux instances EC2 ; et de démarrer des flux de travail Automation pour configurer les instances et activer les outils Systems Manager.
+ `ssm` – Permet aux principaux de démarrer des flux de travail d’automatisation qui activent Explorer ; et de lire et de mettre à jour les paramètres du service Explorer.
+ ec2 — Permet aux principaux de localiser les instances ciblées, de les démarrer et de les arrêter selon un calendrier.
+ `config` – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule aux détails de l’enregistreur de configuration.
+ `compute-optimizer`— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite ou non. Optimiseur de calcul AWS
+ `support`— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule aux AWS Trusted Advisor chèques d'un compte.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick Configuration CFGCPacks PermissionsBoundary
**Note**
Cette politique est une *limite des autorisations*. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
La politique gérée `AWSQuickSetupCFGCPacksPermissionsBoundary` prend en charge le type de configuration [Déployez le pack de AWS Config conformité à l'aide de Quick Setup](quick-setup-cpack.md) Quick Setup. Ce type de configuration déploie des packs de AWS Config conformité. Les packs de conformité sont des ensembles de AWS Config règles et d'actions correctives qui peuvent être déployés en tant qu'entité unique.
Lorsque vous créez une configuration `AWSQuickSetupCFGCPacksPermissionsBoundary` à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.
Cette politique accorde des autorisations d’administrateur qui permettent à Quick Setup de déployer des packs de conformité AWS Config .
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam`— Permet aux principaux de créer, d'obtenir et de transmettre un rôle lié à un service pour. AWS Config
+ `sns` – Permet aux principaux de répertorier les applications de plate-forme sur Amazon SNS.
+ `config`— Permet aux responsables de déployer des packs de AWS Config conformité, de connaître l'état des packs de conformité et d'obtenir des informations sur les enregistreurs de configuration.
+ `ssm` – Permet aux principaux d’obtenir des informations sur les documents SSM et les flux de travail d’automatisation, d’obtenir des informations sur les balises de ressources, ainsi que d’obtenir des informations sur les paramètres de service et de les mettre à jour.
+ `compute-optimizer` – Permet aux principaux d’obtenir le statut d’un compte.
+ `support` – Permet aux principaux d’obtenir des informations sur les chèques AWS Trusted Advisor .
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir [AWSQuickConfiguration CFGCPacks PermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html) dans le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSQuick SetupStartStopInstancesExecutionPolicy
Vous pouvez attacher `AWSQuickSetupStartStopInstancesExecutionPolicy` à vos entités IAM. Cette politique fournit des autorisations pour Quick Setup afin de gérer le démarrage et l’arrêt des instances Amazon EC2 à l’aide de Systems Manager Automation.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ec2`— Permet aux principaux de décrire les instances Amazon EC2, leur statut, leurs régions et leurs balises. Permet également de démarrer et d'arrêter des instances Amazon EC2 spécifiques.
+ `ssm`— Permet aux directeurs d'obtenir l'état du calendrier en Quick Setup modifiant les calendriers, en démarrant des associations et en exécutant des documents d'automatisation, par exemple en planifiant.
+ `iam`— Permet aux principaux de transmettre des rôles Quick Setup IAM à Systems Manager pour une exécution automatisée, avec des conditions qui limitent le service à ssm.amazonaws.com et à une ressource spécifique. ARNs
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick SetupStart SSMAssociations ExecutionPolicy
Cette politique accorde des autorisations permettant à Quick Setup d’exécuter le dossier d’exploitation d’automatisation `AWSQuickSetupType-Scheduler-ChangeCalendarState`. Ce runbook est utilisé pour gérer les états du calendrier des modifications pour les opérations planifiées dans les Quick Setup configurations.
Vous pouvez également attacher `AWSQuickSetupStartSSMAssociationsExecutionPolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` : permet aux principaux de démarrer des exécutions automatisées spécifiquement pour le document `AWSQuickSetupType-Scheduler-ChangeCalendarState`. Cela est nécessaire Quick Setup pour gérer les modifications des états du calendrier pour les opérations planifiées.
+ `iam`— Permet aux principaux de transmettre des rôles dont le nom commence par « AWS- QuickSetup - » au service Systems Manager. Cette autorisation est réservée à l'utilisation de documents SSM spécifiques liés à la gestion du calendrier des modifications. Cela est nécessaire pour que Quick Setup puisse transmettre le rôle d’exécution approprié au processus d’automatisation.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
La politique `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` fournit des autorisations pour diagnostiquer les problèmes liés aux nœuds qui interagissent avec les services Systems Manager en démarrant des flux de travail d’automatisation dans les comptes et les régions où les nœuds sont gérés.
Vous pouvez également associer `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` à vos entités IAM. Systems Manager associe également cette politique à un rôle de service qui permet à Systems Manager d’effectuer un diagnostic des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` – Permet aux principaux d’exécuter des dossiers d’exploitation Automation spécifiques qui diagnostiquent les problèmes liés aux nœuds, accèdent au statut d’exécution d’un flux de travail et récupèrent les détails de l’exécution. La politique accorde des autorisations pour décrire les exécutions automatisées, décrire les exécutions des étapes d’automatisation, obtenir les détails de l’exécution de l’automatisation et démarrer les exécutions automatisées pour les documents relatifs au diagnostic.
+ `kms` : permet aux principaux d’utiliser les clés AWS Key Management Service spécifiées par le client pour le déchiffrement et la génération de clés de données lorsqu’ils accèdent à des objets chiffrés dans des compartiments Amazon S3 utilisés pour les opérations de diagnostic. Ces autorisations sont limitées aux clés balisées avec `SystemsManagerManaged` et utilisées via le service Amazon S3 avec des exigences de contexte de chiffrement spécifiques.
+ `sts` – Permet aux principaux d’assumer des rôles d’exécution des diagnostics pour exécuter des dossiers d’exploitation d’automatisation sur le même compte. Cette autorisation est limitée aux rôles dotés du modèle de dénomination `AWS-SSM-DiagnosisExecutionRole` et inclut une condition garantissant que le compte de ressources correspond au compte principal.
+ `iam` – Permet aux principaux de transmettre le rôle d’administration des diagnostics à Systems Manager pour exécuter des dossiers d’exploitation Automation. Cette autorisation est limitée aux rôles dotés du modèle de dénomination `AWS-SSM-DiagnosisAdminRole` et ne peut être transmise qu’au service Systems Manager.
+ `s3` : permet aux principaux d’accéder, de lire, d’écrire et de supprimer des objets dans les compartiments Amazon S3 utilisés pour les opérations de diagnostic. Ces autorisations sont limitées aux compartiments dotés du même modèle de dénomination `do-not-delete-ssm-diagnosis-` et incluent des conditions garantissant que les opérations sont effectuées au sein du même compte.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez [AWS-SSM DiagnosisAutomation - AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html) dans le *AWS Managed Policy* Reference Guide.
## AWS politique gérée : AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
La politique gérée `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` fournit des autorisations administratives pour exécuter des dossiers d’exploitation d’automatisation dans un Compte AWS et une région ciblée afin de diagnostiquer les problèmes liés aux nœuds gérés qui interagissent avec les services Systems Manager.
Vous pouvez également attacher `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ec2` – Permet aux principaux de décrire les ressources Amazon EC2 et Amazon VPC ainsi que leurs configurations, afin de diagnostiquer les problèmes liés aux services Systems Manager. Cela inclut les autorisations de description VPCs, les attributs VPC, les points de terminaison VPC, les sous-réseaux, les groupes de sécurité, les instances, le statut des instances, le réseau et les passerelles Internet. ACLs
+ `ssm` – Permet aux principaux d’exécuter des dossiers d’exploitation d’automation spécifiques au diagnostic et d’accéder au statut du flux de travail d’automatisation et aux métadonnées d’exécution. Cela inclut les autorisations permettant de décrire les exécutions des étapes d'automatisation, de décrire les informations sur les instances, de décrire les exécutions d'automatisation, de décrire les activations, d'obtenir des détails sur l'exécution de l'automatisation, d'obtenir des paramètres de service et de démarrer des exécutions automatisées pour des documents de diagnostic EC2 AWS non gérés spécifiques.
+ `kms` : permet aux principaux d’utiliser les clés AWS Key Management Service spécifiées par le client pour le déchiffrement et la génération de clés de données lorsqu’ils accèdent à des objets chiffrés dans des compartiments Amazon S3 utilisés pour les opérations de diagnostic. Ces autorisations sont limitées aux clés balisées avec `SystemsManagerManaged` et utilisées via le service Amazon S3 avec des exigences de contexte de chiffrement spécifiques pour les compartiments de diagnostic.
+ `iam` – Permet aux principaux de transmettre le rôle d’exécution des diagnostics à Systems Manager pour exécuter des documents Automation. Cette autorisation est limitée aux rôles dotés du modèle de dénomination `AWS-SSM-DiagnosisExecutionRole` et ne peut être transmise qu’au service Systems Manager.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez [AWS-SSM DiagnosisAutomation - ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html) dans le *AWS Managed Policy* Reference Guide.
## AWS politique gérée : AWS-SSM-RemediationAutomation-AdministrationRolePolicy
La politique `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` fournit des autorisations pour résoudre les problèmes liés aux services Systems Manager en exécutant les activités définies dans les documents Automation ; principalement utilisée pour l’exécution des documents Automation. Cette politique permet de démarrer des flux de travail Automation dans les comptes et régions où les nœuds sont gérés pour résoudre les problèmes de connectivité et de configuration.
Vous pouvez également attacher `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions correctives en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` – Permet aux principaux d’exécuter des dossiers d’exploitation Automation spécifiques qui corrigent les problèmes liés aux nœuds, accèdent au statut d’exécution d’un flux de travail et récupèrent les détails de l’exécution. La politique accorde des autorisations pour décrire les exécutions automatisées, décrire les exécutions des étapes d’automatisation, obtenir les détails de l’exécution de l’automatisation et démarrer les exécutions automatisées pour les documents relatifs à la correction.
+ `kms` : permet aux principaux d’utiliser les clés AWS Key Management Service spécifiées par le client pour le déchiffrement et la génération de clés de données lorsqu’ils accèdent à des objets chiffrés dans des compartiments Amazon S3 utilisés pour les opérations de correction. Ces autorisations sont limitées aux clés balisées avec `SystemsManagerManaged` et utilisées via le service Amazon S3 avec des exigences de contexte de chiffrement spécifiques.
+ `sts` – Permet aux principaux d’assumer des rôles d’exécution des corrections pour exécuter des dossiers d’exploitation Automation sur le même compte. Cette autorisation est limitée aux rôles dotés du modèle de dénomination `AWS-SSM-RemediationExecutionRole` et inclut une condition garantissant que le compte de ressources correspond au compte principal.
+ `iam` – Permet aux principaux de transmettre le rôle d’administration des corrections à Systems Manager pour exécuter des dossiers d’exploitation Automation. Cette autorisation est limitée aux rôles dotés du modèle de dénomination `AWS-SSM-RemediationAdminRole` et ne peut être transmise qu’au service Systems Manager.
+ `s3` : permet aux principaux d’accéder, de lire, d’écrire et de supprimer des objets dans les compartiments Amazon S3 utilisés pour les opérations de correction. Ces autorisations sont limitées aux compartiments dotés du même modèle de dénomination `do-not-delete-ssm-diagnosis-` et incluent des conditions garantissant que les opérations sont effectuées au sein du même compte.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez [AWS-SSM RemediationAutomation - AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html) dans le *AWS Managed Policy* Reference Guide.
## AWS politique gérée : AWS-SSM-RemediationAutomation-ExecutionRolePolicy
La politique gérée `AWS-SSM-RemediationAutomation-ExecutionRolePolicy` fournit les autorisations pour exécuter des dossiers d’exploitation Automation dans un compte cible et une région spécifiques pour corriger les problèmes de réseau et de connectivité avec les nœuds gérés qui interagissent avec les services de Systems Manager. Cette politique autorise les activités de correction définies dans les documents Automation ; principalement utilisée pour exécuter des documents Automation afin de résoudre les problèmes de connectivité et de configuration.
Vous pouvez associer la politique à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions de correction en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` : permet aux principaux de récupérer des informations sur les exécutions Automation et leurs exécutions par étapes, et de démarrer des dossiers d’exploitation Automation spécifiques, y compris des documents `AWS-OrchestrateUnmanagedEC2Actions` et `AWS-RemediateSSMAgent`. La politique accorde des autorisations pour décrire les exécutions automatisées, décrire les exécutions des étapes d’automatisation, obtenir les détails de l’exécution de l’automatisation et démarrer les exécutions automatisées pour les documents relatifs à la correction.
+ `ec2` : permet aux principaux de décrire et de modifier les ressources réseau Amazon VPC afin de résoudre les problèmes de connectivité. Cela inclut notamment les éléments suivants :
+ Description des attributs, des sous-réseaux, des points de terminaison Amazon VPC et des groupes de sécurité Amazon VPC.
+ Création de points de terminaison Amazon VPC pour les services Systems Manager (`ssm`, `ssmmessages` et `ec2messages`) avec les balises requises.
+ Modification des attributs Amazon VPC pour activer la prise en charge de DNS et les noms d’hôte.
+ Création et gestion de groupes de sécurité dotés de balises spécifiques pour l’accès aux points de terminaison Amazon VPC.
+ Autorisation et révocation de règles de groupe de sécurité pour l’accès HTTPS avec les balises appropriées.
+ Création de balises sur les points de terminaison Amazon VPC, les groupes de sécurité et les règles de groupe de sécurité lors de la création de ressources.
+ `kms` : permet aux principaux d’utiliser les clés AWS Key Management Service spécifiées par le client pour le déchiffrement et la génération de clés de données lorsqu’ils accèdent à des objets chiffrés dans des compartiments Amazon S3 utilisés pour les opérations de correction. Ces autorisations sont limitées aux clés balisées avec `SystemsManagerManaged` et utilisées via le service Amazon S3 avec des exigences de contexte de chiffrement spécifiques.
+ `iam` – Permet aux principaux de transmettre le rôle exécution des corrections à Systems Manager pour exécuter des dossiers d’exploitation Automation. Cette autorisation est limitée aux rôles dotés du modèle de dénomination `AWS-SSM-RemediationExecutionRole` et ne peut être transmise qu’au service Systems Manager.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez [AWS-SSM RemediationAutomation - ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html) dans le *AWS Managed Policy* Reference Guide.
## AWS politique gérée : AWSQuick Configuration SSMManage ResourcesExecutionPolicy
Cette politique accorde des autorisations permettant à Quick Setup d’exécuter le dossier d’exploitation d’automatisation `AWSQuickSetupType-SSM-SetupResources`. Ce dossier d’exploitation crée des rôles IAM pour les associations Quick Setup, qui sont à leur tour créées par un déploiement `AWSQuickSetupType-SSM`. Il accorde également des autorisations pour nettoyer un compartiment Amazon S3 associé lors d’une opération de suppression Quick Setup.
Vous pouvez également associer la politique à vos entités IAM. Systems Manager associe également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam` – Permet aux principaux de répertorier et de gérer les rôles IAM à utiliser avec les opérations de Systems Manager Explorer Quick Setup ; de visualiser, joindre et détacher les politiques IAM à utiliser avec Quick Setup et Systems Manager Explorer. Ces autorisations sont requises afin que Quick Setup crée les rôles nécessaires à certaines de ses opérations de configuration.
+ `s3` – Permet aux principaux de récupérer des informations sur les objets et de supprimer les objets des seaux Amazon S3 du compte principal, qui sont utilisés spécifiquement dans les opérations de configuration Quick Setup. Cela est nécessaire pour que les objets S3 qui ne sont plus nécessaires après la configuration puissent être supprimés.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir [AWSQuickConfiguration SSMManage ResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html) dans le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSQuick Configuration SSMLifecycle ManagementExecutionPolicy
La `AWSQuickSetupSSMLifecycleManagementExecutionPolicy` politique accorde des autorisations administratives qui permettent Quick Setup d'exécuter une ressource CloudFormation personnalisée sur les événements du cycle de vie lors du Quick Setup déploiement dansSystems Manager.
Vous pouvez également associer cette politique à vos entités IAM. Systems Manager associe également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` – Permet aux principaux d’obtenir des informations sur les exécutions automatisées et de démarrer des exécutions automatisées pour configurer certaines opérations Quick Setup.
+ `iam` – Permet aux principaux de transmettre des rôles depuis IAM pour la configuration de certaines ressources Quick Setup.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir [AWSQuickConfiguration SSMLifecycle ManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html) dans le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSQuick Configuration SSMDeployment RolePolicy
La politique gérée `AWSQuickSetupSSMDeploymentRolePolicy` accorde des autorisations administratives qui permettent à Quick Setup de créer des ressources utilisées lors du processus d’intégration de Systems Manager.
Bien que vous puissiez joindre manuellement cette politique à vos entités IAM, cela n’est pas recommandé. Quick Setup crée des entités qui attachent cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
Cette politique n’est pas liée à la [politique `SSMQuickSetupRolePolicy`](using-service-linked-roles-service-action-5.md), qui est utilisée pour fournir des autorisations pour le rôle lié au service `AWSServiceRoleForSSMQuickSetup`.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm`— Permet aux principaux de gérer les associations pour certaines ressources créées à l'aide de AWS CloudFormation modèles et d'un ensemble spécifique de documents SSM ; de gérer les rôles et les politiques de rôles à l'aide de CloudFormation modèles pour diagnostiquer et corriger les nœuds gérés ; et d'associer et de supprimer des politiques pour les événements du cycle de vie Quick Setup
+ `iam` – Permet aux principaux de baliser des rôles et de transmettre des autorisations de rôle pour le service Gestionnaire de systèmes et le service Lambda; et de transmettre des autorisations de rôle pour les opérations de diagnostic.
+ `lambda`— Permet aux principaux de baliser et de gérer les fonctions pendant le Quick Setup cycle de vie du compte principal à l'aide de CloudFormation modèles.
+ `cloudformation`— Permet aux directeurs d'école de lire des informations à partir de CloudFormation. Cela est nécessaire pour Quick Setup recueillir des données sur les CloudFormation piles utilisées pour gérer l'état des ressources et les opérations des CloudFormation stacksets.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir [AWSQuickConfiguration SSMDeployment RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html) dans le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSQuick Configuration SSMDeployment S3 BucketRolePolicy
La politique `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` accorde des autorisations pour répertorier tous les compartiments S3 d’un compte, ainsi que pour gérer et récupérer des informations sur des compartiments spécifiques du compte principal gérés via des modèles CloudFormation .
Vous pouvez également attacher `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `s3`— Permet aux principaux de répertorier tous les compartiments S3 d'un compte, ainsi que de gérer et de récupérer des informations sur des compartiments spécifiques du compte principal gérés via des modèles. CloudFormation
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez la section [AWSQuickConfiguration de SSMDeployment S3 BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html) dans le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSQuickSetupEnableDHMCExecutionPolicy
Cette politique accorde des autorisations administratives qui permettent aux principaux d’exécuter le dossier d’exploitation d’automatisation `AWSQuickSetupType-EnableDHMC`, qui active la configuration de gestion des hôtes par défaut. Le paramètre de Default Host Management Configuration permet à Systems Manager de gérer automatiquement vos instances Amazon EC2 comme *instances gérées*. Une instance gérée est une instance EC2 configurée pour une utilisation avec Systems Manager. Cette politique accorde également des autorisations pour créer des rôles IAM spécifiés dans les paramètres du service Systems Manager en tant que rôles par défaut pour SSM Agent.
Vous pouvez également attacher `AWSQuickSetupEnableDHMCExecutionPolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` – Permet aux principaux de mettre à jour et d’obtenir des informations sur les paramètres du service Systems Manager.
+ `iam` – Permet aux principaux de créer et de récupérer des informations sur les rôles IAM pour les opérations Quick Setup.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuickSetupEnableAREXExecutionPolicy
Cette politique accorde des autorisations administratives qui permettent à Systems Manager d’exécuter le dossier d’exploitation d’automatisation `AWSQuickSetupType-EnableAREX`, qui permet à Explorateur de ressources AWS de l’utiliser avec Systems Manager. Resource Explorer permet de voir les ressources de votre compte avec une expérience de recherche similaire à un moteur de recherche Internet. La politique accorde également des autorisations pour la gestion des index et des vues de Resource Explorer.
Vous pouvez également attacher `AWSQuickSetupEnableAREXExecutionPolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam`— Permet aux principaux de créer un rôle lié au service dans le service Gestion des identités et des accès AWS (IAM).
+ `resource-explorer-2` – Permet aux principaux de récupérer des informations sur les vues et les index de l’explorateur de ressources; de créer des vues et des index de l’explorateur de ressources; de modifier le type d’index pour les index affichés dans Quick Setup.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick SetupManagedInstanceProfileExecutionPolicy
Cette politique accorde des autorisations administratives qui permettent à Systems Manager de créer un profil d’instance IAM par défaut pour l’outil Quick Setup et de l’attacher à des instances Amazon EC2 qui n’ont pas déjà de profil d’instance attaché. La politique permet également à Systems Manager d’associer des autorisations aux profils d’instance existants. Cela est fait pour garantir que les autorisations requises pour Systems Manager afin de communiquer avec SSM Agent sur les instances EC2 qui sont en place.
Vous pouvez également attacher `AWSQuickSetupManagedInstanceProfileExecutionPolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` – Permet aux principaux de démarrer des flux de travail automatisés associés aux processus Quick Setup.
+ `ec2` – Permet aux principaux d’associer des profils d’instance IAM aux instances EC2 gérées par Quick Setup.
+ `iam` – Permet aux principaux de créer, de mettre à jour et de récupérer des informations sur les rôles d’IAM utilisés dans les processus Quick Setup ; de créer des profils d’instance IAM ; d’associer la politique gérée `AmazonSSMManagedInstanceCore` aux profils d’instance IAM.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick SetupManage JITNAResources ExecutionPolicy
La politique gérée `AWSQuickSetupManageJITNAResourcesExecutionPolicy` permetQuick Setup, à l'aide d'un outil de Systems Manager, de configurer l'accès aux just-in-time nœuds.
Vous pouvez également attacher `AWSQuickSetupManageJITNAResourcesExecutionPolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
Cette politique accorde des autorisations administratives qui permettent Systems Manager de créer des ressources associées à l'accès aux just-in-time nœuds.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm`— Permet aux principaux d'obtenir et de mettre à jour le paramètre de service qui spécifie le fournisseur d'identité pour l'accès aux just-in-time nœuds.
+ `iam`— Permet aux principaux de créer, d'étiqueter et d'obtenir des rôles, d'associer des politiques de rôle pour les politiques gérées d'accès aux just-in-time nœuds et de créer des rôles liés aux services pour l'accès aux just-in-time nœuds et les notifications.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSQuick Configuration JITNADeployment RolePolicy
La politique gérée `AWSQuickSetupJITNADeploymentRolePolicy` permet Quick Setup de déployer le type de configuration requis pour configurer l'accès aux just-in-time nœuds.
Vous pouvez également attacher `AWSQuickSetupJITNADeploymentRolePolicy` à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.
Cette politique accorde des autorisations administratives qui permettent Systems Manager de créer des ressources associées à l'accès aux just-in-time nœuds.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `cloudformation`— Permet aux principaux de créer, de mettre à jour, de supprimer et de lire des CloudFormation piles.
+ `ssm`— Permet aux principaux de créer, de supprimer, de mettre à jour et de lire les State Manager associations appelées par CloudFormation.
+ `iam`— Permet aux principaux de créer, de supprimer, de lire et de baliser les rôles IAM appelés par. CloudFormation
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir [AWSQuickConfiguration JITNADeployment RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html) dans le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSSystems ManagerJustInTimeAccessServicePolicy
La politique gérée `AWSSystemsManagerJustInTimeAccessServicePolicy` permet d'accéder aux AWS ressources gérées ou utilisées par le cadre AWS Systems Manager just-in-time d'accès. Cette mise à jour de la politique ajoute des autorisations de balisage pour l’exécution automatisée afin de permettre aux clients de limiter les autorisations des opérateurs à des balises spécifiques.
Vous ne pouvez pas joindre de `AWSSystemsManagerJustInTimeAccessServicePolicy` à vos entités IAM. Cette politique est attachée à un rôle lié au service qui permet à Systems Manager d’effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour activer l'accès aux just-in-time nœuds](using-service-linked-roles-service-action-8.md).
Cette politique accorde des autorisations administratives qui permettent d'accéder aux ressources associées à l'accès aux just-in-time nœuds.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` : permet aux principaux de créer et de gérer OpsItems, d’ajouter des balises à OpsItems et d’automatiser les exécutions, d’obtenir et de mettre à jour OpsItems, de récupérer et de décrire des documents, de décrire des OpsItems et des sessions, de répertorier des documents et des balises pour les instances gérées.
+ `ssm-guiconnect` : permet aux principaux de répertorier les connexions.
+ `identitystore`— Permet aux principaux d'obtenir un utilisateur et un groupe IDs, de décrire les utilisateurs et de répertorier les membres du groupe.
+ `sso-directory` : permet aux principaux de décrire les utilisateurs et de déterminer si un utilisateur est membre d’un groupe.
+ `sso` : permet aux principaux de décrire les régions enregistrées et de répertorier les instances et les associations de répertoires.
+ `cloudwatch` : permet aux principaux de placer des données de métriques pour l’espace de noms `AWS/SSM/JustInTimeAccess`.
+ `ec2` : permet aux principaux de décrire les balises.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSSystems ManagerJustInTimeAccessTokenPolicy
La politique gérée `AWSSystemsManagerJustInTimeAccessTokenPolicy` autorise les utilisateurs à établir des connexions sécurisées aux instances Amazon EC2 et aux instances gérées via des connexions RDP Session Manager et Systems Manager GUI Connect dans le cadre des flux de travail d' just-in-timeaccès aux nœuds.
Vous pouvez attacher `AWSSystemsManagerJustInTimeAccessTokenPolicy` à vos entités IAM.
Cette politique accorde aux contributeurs des autorisations qui permettent aux utilisateurs de démarrer et de gérer des sessions sécurisées, d'établir des connexions RDP et d'effectuer les opérations cryptographiques nécessaires pour accéder aux just-in-time nœuds.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm`— Permet aux principaux de démarrer des Session Manager sessions sur des instances Amazon EC2 et des instances gérées à l'aide du document SessionManagerRunShell SSM-. Permet également de terminer et de reprendre des sessions, de récupérer les détails de l'appel de commandes et d'envoyer des commandes aux instances pour la configuration utilisateur SSO lors d'un appel via Systems Manager GUI Connect. Permet également de démarrer des sessions de transfert de port pour les connexions RDP lorsqu'elles sont appelées via Systems Manager GUI Connect.
+ `ssmmessages`— Permet aux directeurs d'ouvrir des canaux de données pour une communication sécurisée pendant les Session Manager sessions.
+ `ssm-guiconnect`— Permet aux principaux de démarrer, d'obtenir des informations sur et d'annuler les connexions RDP de Systems Manager GUI Connect aux instances.
+ `kms`— Permet aux principaux de générer des clés de données pour le Session Manager chiffrement et de créer des autorisations pour les connexions RDP. Ces autorisations sont limitées aux AWS KMS clés étiquetées avec`SystemsManagerJustInTimeNodeAccessManaged=true`. La création de subventions est également limitée et ne peut être utilisée que via le service Systems Manager GUI Connect.
+ `sso`— Permet aux principaux de répertorier les associations de répertoires lorsqu'ils sont appelés via Systems Manager GUI Connect. Cela est nécessaire pour la configuration de l'utilisateur RDP SSO.
+ `identitystore`— Permet aux principaux de décrire les utilisateurs dans le magasin d'identités lorsqu'ils sont appelés via Systems Manager GUI Connect. Cela est nécessaire pour la configuration de l'utilisateur RDP SSO.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSSystems ManagerJustInTimeAccessTokenSessionPolicy
La politique gérée `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` permet d'Systems Managerappliquer des autorisations limitées à un jeton d'accès au just-in-time nœud.
Vous pouvez attacher `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` à vos entités IAM.
Cette politique accorde des autorisations administratives qui permettent Systems Manager de limiter les autorisations pour les jetons d'accès aux just-in-time nœuds.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` : permet aux principaux de démarrer des sessions Session Manager en utilisant le document `SSM-SessionManagerRunShell`. De même lorsque vous l’appelez pour la première fois via `ssm-guiconnect`, démarrez des sessions avec le document `AWS-StartPortForwardingSession`, répertoriez les appels de commandes et envoyez des commandes avec le document `AWSSSO-CreateSSOUser`.
+ `ssm-guiconnect` : permet aux principaux d’annuler, d’obtenir et de démarrer des connexions sur toutes les ressources.
+ `kms`— Permet aux directeurs de créer des subventions et de générer des clés de données pour les clés étiquetées `SystemsManagerJustInTimeNodeAccessManaged` lorsqu'elles sont appelées `ssm-guiconnect` via un AWS service.
+ `sso` : permet aux principaux de répertorier les associations de répertoires lorsqu’ils sont appelés via `ssm-guiconnect`.
+ `identitystore` : permet aux principaux de décrire un utilisateur lorsqu’il est appelé via `ssm-guiconnect`.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSSystems ManagerJustInTimeNodeAccessRolePropagationPolicy
La politique gérée `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` permet à Systems Manager de partager les politiques de refus d’accès du compte administrateur délégué avec les comptes des membres, et de répliquer les politiques sur plusieurs comptes Régions AWS.
Vous pouvez attacher `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` à vos entités IAM.
Cette politique fournit les autorisations administratives nécessaires pour que Systems Manager puisse partager et créer des politiques de refus d’accès. Cela garantit que les politiques de refus d'accès sont appliquées à tous les comptes d'une AWS Organizations organisation et aux régions configurées pour l'accès aux just-in-time nœuds.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ssm` : permet aux principaux de gérer les documents SSM et les politiques de ressources.
+ `ssm-quicksetup` : permet aux principaux de lire leurs gestionnaires de configuration Quick Setup.
+ `organizations` : permet aux principaux de répertorier les informations relatives à une organisation AWS Organizations et aux administrateurs délégués.
+ `ram` : permet aux principaux de créer, baliser et décrire des partages de ressources.
+ `iam` : permet aux principaux de décrire un rôle de service.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWSSystems ManagerNotificationsServicePolicy
La politique gérée `AWSSystemsManagerNotificationsServicePolicy` permet d'Systems Managerenvoyer des notifications par e-mail pour les demandes d'accès aux just-in-time nœuds aux approbateurs de demandes d'accès.
Vous ne pouvez pas joindre de `AWSSystemsManagerJustInTimeAccessServicePolicy` à vos entités IAM. Cette politique est attachée à un rôle lié au service qui permet à Systems Manager d’effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour envoyer des notifications de demande d'accès aux just-in-time nœuds](using-service-linked-roles-service-action-9.md).
Cette politique accorde des autorisations administratives qui permettent d'Systems Managerenvoyer des notifications par e-mail pour les demandes d'accès aux just-in-time nœuds aux approbateurs de demandes d'accès.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `identitystore` : permet aux principaux de décrire et de répertorier les utilisateurs et membres des groupes.
+ `sso` : permet aux principaux de répertorier les instances et répertoires et de décrire les régions enregistrées.
+ `sso-directory` : permet aux principaux de décrire les utilisateurs et de répertorier les membres d’un groupe.
+ `iam` : permet aux principaux d’obtenir des informations sur les rôles.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWS-SSM-Automation-DiagnosisBucketPolicy
La politique gérée `AWS-SSM-Automation-DiagnosisBucketPolicy` fournit des autorisations pour diagnostiquer les problèmes liés aux nœuds qui interagissent avec les AWS Systems Manager services, en autorisant l'accès aux compartiments S3 utilisés pour le diagnostic et la résolution des problèmes.
Vous pouvez associer la politique `AWS-SSM-Automation-DiagnosisBucketPolicy` à vos identités IAM. Systems Manager attache également cette politique à un rôle IAM qui permet à Systems Manager d’effectuer des actions de diagnostic en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `s3` – Permet aux principaux d’accéder en lecture et en écriture aux objets d’un compartiment Amazon S3.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez [AWS-SSM-Automation- DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html) dans le *AWS Managed* Policy Reference Guide.
## AWS politique gérée : AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
La politique gérée `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` fournit des autorisations permettant à un compte opérationnel de diagnostiquer les problèmes liés aux nœuds en fournissant des autorisations spécifiques à l’organisation.
Vous pouvez associer `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` à vos identités IAM. Systems Manager attache également cette politique à un rôle IAM qui permet à Systems Manager d’effectuer des actions de diagnostic en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `organizations` – Permet aux principaux de répertorier une racine de l’organisation et d’obtenir des comptes membres pour déterminer les comptes cibles.
+ `sts` – Permet aux principaux d’assumer des rôles d’exécution de la réhabilitation pour exécuter des documents d’automatisation du MSU sur des comptes et des régions, au sein de la même organisation.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez [AWS-SSM RemediationAutomation - OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html) dans le *AWS Managed Policy* Reference Guide.
## AWS politique gérée : AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
La politique gérée `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` fournit des autorisations permettant à un compte opérationnel de diagnostiquer les problèmes liés aux nœuds en fournissant des autorisations spécifiques à l’organisation.
Vous pouvez associer la politique `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` à vos identités IAM. Systems Manager attache également cette politique à un rôle IAM qui permet à Systems Manager d’effectuer des actions de diagnostic en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `organizations` – Permet aux principaux de répertorier une racine de l’organisation et d’obtenir des comptes membres pour déterminer les comptes cibles.
+ `sts` – Permet aux principaux d’assumer les rôles d’exécution du diagnostic pour exécuter les documents d’automatisation SSM sur les comptes et les régions, au sein de la même organisation.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez [AWS-SSM DiagnosisAutomation - OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html) dans le *AWS Managed Policy* Reference Guide.
## Systems Managermises à jour des politiques AWS gérées
Dans le tableau suivant, consultez les détails des mises à jour des politiques AWS gérées Systems Manager depuis que ce service a commencé à suivre ces modifications le 12 mars 2021. Pour plus d’informations sur les autres politique gérées pour le service Systems Manager, voir [Stratégie supplémentaires gérées pour Systems Manager](#policies-list) plus loin dans cette rubrique. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page Systems Manager [Historique du document](systems-manager-release-history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| [Amazon SSMAutomation Role](#security-iam-awsmanpol-AmazonSSMAutomationRole) — Mise à jour d'une politique existante | Systems Managera ajouté les `cloudformation:UntagResource` autorisations `cloudformation:TagResource` et. Ces autorisations permettent aux runbooks d'automatisation qui créent des CloudFormation piles d'ajouter et de supprimer des balises dans les ressources. | 20 mars 2026 |
| [AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy — Politique gérée mise](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) à jour | Systems Managera mis à jour la politique gérée pour ajouter des autorisations EC2 et SSM supplémentaires afin d'améliorer les capacités de diagnostic. La politique inclut désormais des autorisations permettant de décrire l'état et le réseau de l'instance EC2 ACLs, ainsi que les activations SSM et les paramètres de service, fournissant ainsi des informations de diagnostic plus complètes pour résoudre les problèmes liés aux nœuds gérés. | 19 décembre 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)— Politique gérée mise à jour | Systems Managera mis à jour la politique gérée `AWSQuickSetupDeploymentRolePolicy` pour ajouter la prise en charge de deux documents SSM supplémentaires : `AWSQuickSetupType-ConfigureDevOpsGuru` et`AWSQuickSetupType-DeployConformancePack`. Ces ajouts permettent Quick Setup de déployer des configurations DevOps Guru et des packs de conformité par le biais de la politique. | 15 décembre 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) : mise à jour d’une politique existante | Systems Managera mis à jour la politique gérée`AWSSystemsManagerJustInTimeAccessTokenPolicy`. L'instruction (`SID`) `TerminateAndResumeSession` a été renommée `TerminateAndResumeSessionAndOpenDataChannel` et inclut désormais l'`ssmmessages:OpenDataChannel`action, combinant la gestion des sessions et les autorisations des canaux de données en une seule instruction. | 25 septembre 2025 |
| Politiques gérées mises à jour : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/security-iam-awsmanpol.html) | Systems Managera mis à jour trois politiques gérées afin de prendre en charge le lancement d'exécutions automatisées sur des ressources supplémentaires de Systems Manager, notamment des runbooks d'automatisation spécifiques et des documents de commande SSM. | 12 septembre 2025 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)— Politique gérée mise à jour | Systems Managera mis à jour la politique gérée afin d'affiner les autorisations pour la Quick Setup configuration du planificateur. La politique fournit désormais des autorisations plus spécifiques pour démarrer et arrêter les instances Amazon EC2, accéder aux calendriers des modifications et exécuter des documents d'automatisation dans des conditions de sécurité améliorées. | 12 septembre 2025 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)— Politique gérée mise à jour | Systems Managera mis à jour la politique gérée pour faire passer le document d'automatisation de `AWSQuickSetupType-StartSSMAssociations` à`AWSQuickSetupType-Scheduler-ChangeCalendarState`. Cette mise à jour modifie l'objectif de la politique, passant du lancement d'associations SSM à la gestion des modifications des états du calendrier pour les opérations planifiées. | 12 septembre 2025 |
| [Amazon SSMAutomation Role](#security-iam-awsmanpol-AmazonSSMAutomationRole) — Mise à jour d'une politique existante | Systems Manager a ajouté de nouvelles autorisations pour permettre aux dossiers d’exploitation Automation d’établir des canaux de communication pour les opérations basées sur les sessions. Ajout de l’autorisation `ssmmessages:OpenDataChannel` pour la ressource `arn:*:ssm:*:*:session/*`. | 11 septembre 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)— Politique gérée mise à jour | Systems Manager a mis à jour la politique gérée pour ajouter des autorisations de balisage d’exécution d’automatisation. Le service doit baliser les exécutions d’automatisation avec des balises `SystemsManagerJustInTimeNodeAccessManaged=true` afin de permettre aux clients de limiter les autorisations des opérateurs à des balises spécifiques. | 25 août 2025 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique permettant à Quick Setup d’exécuter le dossier d’exploitation Automation `AWSQuickSetupType-StartSSMAssociations`. Ce dossier d’exploitation est utilisé pour démarrer les associations State Manager créées par les configurations Quick Setup. | 12 août 2025 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique qui permet à Quick Setup de démarrer et d’arrêter des instances Amazon EC2 selon un calendrier. Cette politique fournit les autorisations nécessaires au type de configuration du planificateur Quick Setup pour gérer l’état de l’instance en fonction de calendriers définis. | 12 août 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)— Mise à jour de la documentation | Systems Manager a mis à jour la politique gérée `AWSQuickSetupDeploymentRolePolicy` afin d’accorder des autorisations pour des ressources supplémentaires. En outre, la documentation de `AWSQuickSetupDeploymentRolePolicy` a été mise à jour avec des descriptions plus détaillées des autorisations accordées par cette politique pour les opérations de gestion de configuration Quick Setup. | 12 août 2025 |
| [AWS-SSM- RemediationAutomation - ExecutionRolePolicy —](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) Mise à jour d'une politique existante | Systems Managera mis à jour la politique gérée afin d'améliorer le niveau de sécurité de l'StartAutomationExecution API ssm : en exigeant des autorisations pour les types de ressources « document » et « exécution automatisée ». La politique mise à jour fournit des autorisations plus complètes et détaillées pour l’exécution d’automatisation des corrections, notamment des descriptions améliorées des fonctionnalités de correction réseau, des autorisations de création de points de terminaison Amazon VPC plus spécifiques, des autorisations détaillées de gestion des groupes de sécurité et des contrôles de balisage des ressources améliorés pour les opérations de correction. | 16 juillet 2025 |
| [AWS-SSM- RemediationAutomation - AdministrationRolePolicy —](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) Mise à jour d'une politique existante | Systems Manager a mis à jour la politique gérée afin de permettre l’amélioration des autorisations d’API pour les opérations d’automatisation des corrections. La politique mise à jour améliore les autorisations pour exécuter les activités définies dans les documents Automation, avec des contrôles de sécurité et des modèles d’accès aux ressources améliorés pour les flux de travail d’application des corrections. | 16 juillet 2025 |
| [AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy —](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) Mise à jour d'une politique existante | Systems Manager a mis à jour la politique gérée afin de fournir des autorisations plus détaillées et précises pour l’exécution d’automatisations de diagnostic. La politique mise à jour inclut des descriptions améliorées pour l'accès aux ressources Amazon EC2 et Amazon VPC, des autorisations d'automatisation SSM plus spécifiques, ainsi que des descriptions d'autorisations IAM améliorées avec des AWS KMS restrictions de ressources appropriées. | 16 juillet 2025 |
| [AWS-SSM- DiagnosisAutomation - AdministrationRolePolicy —](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) Mise à jour d'une politique existante | Systems Manager a mis à jour la politique gérée afin de fournir des autorisations et des conditions de sécurité plus spécifiques pour les opérations d’automatisation des diagnostics. La politique mise à jour fournit des contrôles de sécurité améliorés pour l'utilisation des AWS KMS clés, l'accès au compartiment Amazon S3 et les hypothèses de rôle, avec des conditions basées sur les ressources et des restrictions au niveau du compte plus strictes. | 16 juillet 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)— Mise à jour d'une politique | Systems Managera ajouté des autorisations à la politique gérée `AWSQuickSetupDeploymentRolePolicy` pour accéder au runbook [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content)appartenant à Amazon. Cette autorisation permet à Quick Setup de créer des associations à l’aide de la stratégie gérée au lieu de politiques intégrées. | 14 juillet 2025 |
| [Amazon SSMAutomation Role](#security-iam-awsmanpol-AmazonSSMAutomationRole) — Mise à jour de la documentation | Systems Manager a ajouté une documentation complète pour la politique existante `AmazonSSMAutomationRole`, qui fournit des autorisations afin que le service Automation Systems puisse exécuter des activités définies dans des dossiers d’exploitation Automation. | 15 juillet 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)— Mise à jour d'une politique | Systems Managerautorisations ajoutées pour permettre Systems Manager de baliser une ressource partagée par AWS Resource Access Manager pour l'accès au just-in-time nœud. | 30 avril 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)— Mise à jour d'une politique | Systems Managerautorisations ajoutées pour permettre de Systems Manager baliser les rôles IAM créés pour l'accès aux just-in-time nœuds. | 30 avril 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique permettant d'Systems Managerappliquer des autorisations limitées à un jeton d'accès à un just-in-time nœud. | 30 avril 2025 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique permettant Systems Manager d'envoyer des notifications par e-mail pour les demandes d'accès aux just-in-time nœuds aux approbateurs de demandes d'accès. | 30 avril 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour permettre à Systems Manager de répliquer les politiques d’approbation dans différentes régions. | 30 avril 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique permettant de Systems Manager générer des jetons d'accès utilisés pour l'accès aux just-in-time nœuds. | 30 avril 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique pour fournir des autorisations aux AWS ressources gérées ou utilisées par la fonctionnalité d'accès aux just-in-time nœuds de Systems Manager. | 30 avril 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique permettantQuick Setup, un outil dans Systems Manager, de créer les rôles IAM nécessaires à l'accès aux just-in-time nœuds. | 30 avril 2025 |
| [AWSQuickConfiguration JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) — Nouvelle politique | Systems Managera ajouté une nouvelle politique qui fournit des autorisations permettant Quick Setup de déployer le type de configuration requis pour configurer l'accès aux just-in-time nœuds. | 30 avril 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)— Mise à jour d'une politique | Systems Managerautorisations ajoutées pour permettre Systems Manager de baliser une ressource partagée par AWS Resource Access Manager pour l'accès au just-in-time nœud. | 30 avril 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)— Mise à jour d'une politique | Systems Managerautorisations ajoutées pour permettre de Systems Manager baliser les rôles IAM créés pour l'accès aux just-in-time nœuds. | 30 avril 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique permettant d'Systems Managerappliquer des autorisations limitées à un jeton d'accès à un just-in-time nœud. | 30 avril 2025 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique permettant Systems Manager d'envoyer des notifications par e-mail pour les demandes d'accès aux just-in-time nœuds aux approbateurs de demandes d'accès. | 30 avril 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour permettre à Systems Manager de répliquer les politiques d’approbation dans différentes régions. | 30 avril 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique permettant de Systems Manager générer des jetons d'accès utilisés pour l'accès aux just-in-time nœuds. | 30 avril 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique pour fournir des autorisations aux AWS ressources gérées ou utilisées par la fonctionnalité d'accès aux just-in-time nœuds de Systems Manager. | 30 avril 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique permettantQuick Setup, un outil dans Systems Manager, de créer les rôles IAM nécessaires à l'accès aux just-in-time nœuds. | 30 avril 2025 |
| [AWSQuickConfiguration JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) — Nouvelle politique | Systems Managera ajouté une nouvelle politique qui fournit des autorisations permettant Quick Setup de déployer le type de configuration requis pour configurer l'accès aux just-in-time nœuds. | 30 avril 2025 |
| [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique qui fournit des autorisations permettant à un compte opérationnel de diagnostiquer les problèmes liés aux nœuds en fournissant des autorisations spécifiques à l’organisation. | 21 novembre 2024 |
| [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique qui fournit des autorisations permettant à un compte opérationnel de diagnostiquer les problèmes liés aux nœuds en fournissant des autorisations spécifiques à l’organisation. | 21 novembre 2024 |
| [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour soutenir le démarrage de flux de travail d’automatisation qui diagnostiquent les problèmes liés aux nœuds gérés dans des comptes et des régions ciblés. | 21 novembre 2024 |
| [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) : mise à jour d’une politique existante | Systems Managera ajouté de nouvelles autorisations pour Explorateur de ressources AWS permettre de recueillir des informations sur les instances Amazon EC2 et d'afficher les résultats sous forme de widgets dans le nouveau Systems Manager tableau de bord. | 21 novembre 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) : mise à jour d’une politique existante | Systems Manager a mis à jour la politique gérée SSMQuickSetupRolePolicy. Cette mise à jour permet au rôle AWSServiceRoleForSSMQuickSetup lié au service associé de gérer la synchronisation des données de ressources. | 21 novembre 2024 |
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour soutenir le démarrage de flux de travail d’automatisation qui diagnostiquent les problèmes liés aux nœuds gérés dans un compte et des régions ciblés. | 21 novembre 2024 |
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour soutenir le démarrage de flux de travail d’automatisation qui diagnostiquent les problèmes liés aux nœuds gérés dans un compte gérée et des régions ciblés. | 21 novembre 2024 |
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour soutenir le démarrage de flux de travail d’automatisation qui corrigent les problèmes dans les nœuds gérés dans les comptes et les régions ciblés. | 21 novembre 2024 |
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour soutenir le démarrage de flux de travail d’automatisation destinés à résoudre les problèmes liés aux nœuds gérés d’un compte et d’une région ciblés. | 21 novembre 2024 |
| [AWSQuickConfiguration SSMDeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) — Mise à jour d'une politique | Systems Manager a ajouté des autorisations pour permettre à Systems Manager de baliser les rôles IAM et Lambda créés pour la console unifiée. | 7 mai 2025 |
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour prendre en charge l’exécution d’une opération dans Quick Setup qui crée des rôles IAM pour les associations Quick Setup, qui sont à leur tour créées par un déploiement AWSQuickSetupType-SSM. | 21 novembre 2024 |
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour prendre en charge l'Quick Setupexécution d'une ressource CloudFormation personnalisée sur les événements du cycle de vie au cours d'un Quick Setup déploiement. | 21 novembre 2024 |
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) : nouvelle politique | Le gestionnaire de systèmes a ajouté une nouvelle politique pour soutenir l’octroi d’autorisations administratives qui permettent à Quick Setup de créer des ressources utilisées pendant le processus d’intégration du gestionnaire de systèmes. | 21 novembre 2024 |
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour faciliter la gestion et la récupération d'informations sur des compartiments spécifiques du compte principal gérés via des modèles CloudFormation | 21 novembre 2024 |
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy) : nouvelle politique | Systems Manager introduit une nouvelle politique permettant à Quick Setup de créer un rôle IAM qui utilise lui-même le rôle existant [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy). Cette politique contient toutes les autorisations requises pour SSM Agent afin de communiquer avec le service Systems Manager. La nouvelle politique permet également de modifier les paramètres du service Systems Manager. | 21 novembre 2024 |
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique permettant de créer un rôle lié Quick Setup à un service pour Explorateur de ressources AWS accéder aux vues de l'explorateur de ressources et aux index des agrégateurs. | 21 novembre 2024 |
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique permettant à Quick Setup de créer un profil d’instance Quick Setup par défaut et de l’associer à toutes les instances Amazon EC2 auxquelles aucun profil d’instance n’est associé. Cette nouvelle politique permet également à Quick Setup d’associer des autorisations aux profils existants afin de garantir que toutes les autorisations requises pour Systems Manager ont été accordées. | 21 novembre 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) : mise à jour d’une politique existante | Systems Managera ajouté de nouvelles autorisations Quick Setup pour permettre de vérifier l'état des ensembles de AWS CloudFormation piles supplémentaires qu'il a créés. | 13 août 2024 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) : mise à jour d’une politique existante | Systems Managera ajouté une déclaration IDs (Sids) à la politique JSON pourAmazonSSMManagedEC2InstanceDefaultPolicy. Ces Sids fournissent des descriptions en ligne de l’objectif de chaque déclaration de politique. | 18 juillet 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour permettre à Quick Setup de vérifier l’état des ressources déployées et de corriger les instances qui se sont éloignées de la configuration d’origine. | 3 juillet 2024 |
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour prendre en charge plusieurs types de configuration rapide qui créent des rôles et des automatisations IAM, qui à leur tour configurent les services et fonctionnalités Amazon Web Services fréquemment utilisés conformément aux meilleures pratiques recommandées. | 3 juillet 2024 |
| [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour permettre à Quick Setup de créer des ressources associées aux configurations Patch Manager de la politique de correctifs Quick Setup. | 3 juillet 2024 |
| [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess) : nouvelle politique | Systems Manager a ajouté une nouvelle politique permettant à Quick Setup d’accéder aux référentiels de correctifs Patch Manager avec des autorisations en lecture seule. | 3 juillet 2024 |
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique permettant à Quick Setup d’accorder des autorisations administratives pour activer Explorer. | 3 juillet 2024 |
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique pour permettre d'Quick Setupactiver et de configurer l'enregistrement AWS Config de configuration. | 3 juillet 2024 |
| [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary) : nouvelle politique | Systems Managera ajouté une nouvelle politique permettant d'Quick Setupactiver et de configurer Amazon DevOps Guru. | 3 juillet 2024 |
| [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary) : nouvelle politique | Systems Managera ajouté une nouvelle politique permettant Quick Setup d'activer et de configurer Distributor, un outil dans AWS Systems Manager. | 3 juillet 2024 |
| [AWSQuickConfiguration SSMHost MgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary) — Nouvelle politique | Systems Manager a ajouté une nouvelle politique permettant à Quick Setup d’activer et de configurer les outils de Systems Manager pour gérer en toute sécurité les instances Amazon EC2. | 3 juillet 2024 |
| [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary) : nouvelle politique | Systems Manager a ajouté une nouvelle politique permettant à Quick Setup d’activer et de configurer des politiques de correctifs dans Patch Manager, un outil d’ AWS Systems Manager. | 3 juillet 2024 |
| [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary) : nouvelle politique | Systems Manager a ajouté une nouvelle politique permettant à Quick Setup d’activer et de configurer les opérations planifiées sur les instances Amazon EC2 et d’autres ressources. | 3 juillet 2024 |
| [AWSQuickConfiguration CFGCPacks PermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary) — Nouvelle politique | Systems Manager a ajouté une nouvelle politique permettant à Quick Setup de déployer des packs de conformité AWS Config . | 3 juillet 2024 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) : mise à jour d’une politique existante | OpsCentera mis à jour la politique afin d'améliorer la sécurité du code de service dans le cadre du rôle lié au service Explorer afin de gérer les opérations OpsData connexes. | 3 juillet 2023 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) : nouvelle politique | Systems Manager a ajouté une nouvelle politique pour autoriser la fonctionnalité Systems Manager sur les instances Amazon EC2 sans utiliser de profil d'instance IAM. | 18 août 2022 |
| [Amazon SSMService RolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) — Mise à jour d'une politique existante | Systems Managera ajouté de nouvelles autorisations Explorer pour permettre de créer une règle gérée lorsque vous activez Security Hub CSPM depuis Explorer ou. OpsCenter De nouvelles autorisations ont été ajoutées pour vérifier que la configuration et l'optimiseur de calcul répondent aux exigences nécessaires avant d'autoriser. OpsData | 27 avril 2021 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) : nouvelle politique | Systems Managera ajouté une nouvelle politique pour créer et mettre à jour OpsItems et à OpsData partir des conclusions du Security Hub CSPM dans Explorer et. OpsCenter | 27 avril 2021 |
| `AmazonSSMServiceRolePolicy` : mise à jour d’une politique existante | Systems Managera ajouté de nouvelles autorisations pour permettre l'affichage des agrégats OpsData et des OpsItems détails provenant de plusieurs comptes et Régions AWS dansExplorer. | 24 mars 2021 |
| Systems Manager a démarré le suivi des modifications | Systems Managera commencé à suivre les modifications apportées AWS à ses politiques gérées. | 12 mars 2021 |
## Stratégie supplémentaires gérées pour Systems Manager
En plus des politiques gérées décrites plus haut dans ce sujet, les politique suivantes sont également prises en charge par System Manager.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html) – La politique gérée AWS qui permet d’accéder à l’affichage des exécutions d’automatisation et à l’envoi des décisions d’approbations pour les instances d’automatisation en attente d’approbation.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html)— politique AWS gérée qui permet d'SSM Agentaccéder au Directory Service nom de l'utilisateur aux demandes d'adhésion au domaine par le nœud géré.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html)— politique AWS gérée qui accorde un accès complet à l'Systems ManagerAPI et aux documents.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html) – La politique gérée AWS qui fournit aux fenêtres de maintenance des autorisations d’accès à l’API Systems Manager.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) : politique gérée par AWS permettant à un nœud d’utiliser une fonctionnalité principale de service de Systems Manager.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html) – La politique gérée AWS qui permet d’accéder aux instances enfants pour les opérations d’association de correctifs.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) – La politique gérée AWS qui accorde d’accéder aux opérations d’API en lecture seule Systems Manager telles que `Get*` et `List*`.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html): politique AWS gérée qui fournit des autorisations pour créer et mettre à jour des informations opérationnelles *OpsItems*dansSystems Manager. Utilisé pour fournir des autorisations via le rôle lié au service [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md).
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html)— politique AWS gérée qui accorde à Systems Manager l'autorisation de découvrir Compte AWS des informations.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html) – Cette politique n’est plus prise en charge et ne doit pas être utilisée. À la place, utilisez la politique `AmazonSSMManagedInstanceCore` pour activer la fonctionnalité principale du service Systems Manager sur les instances EC2. Pour plus d’informations, consultez la section [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md).
# Résolution des problèmes d’identité et d’accès avec AWS Systems Manager
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec AWS Systems Manager et Gestion des identités et des accès AWS (IAM).
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans Systems Manager](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes Systems Manager ressources](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans Systems Manager
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion.
L'exemple d'erreur suivant se produit lorsque l'utilisateur IAM `mateojackson` tente d'utiliser la console pour afficher des informations détaillées concernant un document, mais ne dispose pas des autorisations `ssm:GetDocument` nécessaires.
```
User: arn:aws:ssm::123456789012:user/mateojackson isn't authorized to perform: ssm:GetDocument on resource: MyExampleDocument
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d'accéder à la ressource `MyExampleDocument` à l'aide de l'action `ssm:GetDocument`.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter `iam:PassRole` l’action, vos stratégies doivent être mises à jour afin de vous permettre de transmettre un rôle à Systems Manager.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé `marymajor` essaie d’utiliser la console pour exécuter une action dans Systems Manager. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes Systems Manager ressources
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Systems Manager prend en charge ces fonctionnalités, consultez [Fonctionnement d’AWS Systems Manager avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utilisation des rôles liés aux services pour Systems Manager
AWS Systems Managerutilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à Systems Manager. Les rôles liés à un service sont prédéfinis par Systems Manager et incluent toutes les autorisations requises par le service pour appeler d'autres Services AWS en votre nom.
**Note**
Une *fonction de service* est différente d'un rôle lié à un service. Un rôle de service est un type de rôle Gestion des identités et des accès AWS (IAM) qui accorde des autorisations à un service Service AWS afin qu'il puisse accéder aux AWS ressources. Seuls quelques scénarios Systems Manager nécessitent un rôle de service. Lorsque vous créez une fonction du service pour Systems Manager, vous choisissez les autorisations à accorder pour qu'il puisse accéder aux autres ressources AWS ou interagir avec ces dernières.
Un rôle lié à un service permet d’utiliser Systems Manager plus facilement, car vous n’avez pas besoin d’ajouter manuellement les autorisations requises. Systems Manager définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul Systems Manager peut endosser ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Vos ressources Systems Manager sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l’autorisation d’accéder aux ressources.
**Note**
Pour les nœuds non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types), vous avez besoin d'un rôle IAM supplémentaire qui permet à ces machines de communiquer avec le service Systems Manager. Il s'agit du rôle de service IAM pour Systems Manager. Ce rôle accorde AWS Security Token Service (AWS STS) *AssumeRole*confiance au Systems Manager service. L'action `AssumeRole` renvoie un ensemble d'informations d'identification de sécurité temporaires (composé d'un ID de clé d'accès, d'une clé d'accès secrète et d'un jeton de sécurité). Vous utilisez ces informations d'identification temporaires pour accéder à AWS des ressources auxquelles vous n'avez pas normalement accès. Pour plus d'informations, consultez la section [Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud](hybrid-multicloud-service-role.md) et [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)dans le Guide de référence des *[AWS Security Token Service API](https://docs.aws.amazon.com/STS/latest/APIReference/)*.
Pour plus d'informations sur les autres services prenant en charge les rôles liés à un service, reportez-vous aux [Services AWS opérationnels avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services présentant la mention **Yes** (Oui) dans la colonne **Service-linked roles** (Rôles liés à un service). Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
**Topics**
+ [Utilisation des rôles pour collecter l'inventaire et consulter OpsData](using-service-linked-roles-service-action-1.md)
+ [Utilisation des rôles pour collecter des Compte AWS informations pour OpsCenter et Explorer](using-service-linked-roles-service-action-2.md)
+ [Utiliser des rôles pour créer OpsData et OpsItems pour Explorer](using-service-linked-roles-service-action-3.md)
+ [Utiliser les rôles pour créer des informations opérationnelles OpsItems dans Systems Manager OpsCenter](using-service-linked-roles-service-action-4.md)
+ [Utilisation de rôles pour maintenir l’état et la cohérence des ressources provisionnées par Quick Setup](using-service-linked-roles-service-action-5.md)
+ [Utiliser des rôles pour exporter Explorer OpsData](using-service-linked-roles-service-action-6.md)
+ [Utilisation de rôles pour activer l'accès aux just-in-time nœuds](using-service-linked-roles-service-action-8.md)
+ [Utilisation de rôles pour envoyer des notifications de demande d'accès aux just-in-time nœuds](using-service-linked-roles-service-action-9.md)
# Utilisation des rôles pour collecter l'inventaire et consulter OpsData
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForAmazonSSM`** AWS Systems Manager utilise ce rôle de service IAM pour gérer les AWS ressources en votre nom.
## Autorisations de rôle liées au service pour l'inventaire, et OpsData OpsItems
Le rôle lié à un service `AWSServiceRoleForAmazonSSM` fait confiance uniquement à `ssm.amazonaws.com` pour assumer le rôle.
Vous pouvez utiliser le rôle lié au service `AWSServiceRoleForAmazonSSM` de Systems Manager dans les cas suivants :
+ L’outil Systems Manager Inventory utilise le rôle lié à un service `AWSServiceRoleForAmazonSSM` pour collecter les métadonnées d’inventaire à partir des balises et des groupes de ressources.
+ L'Exploreroutil utilise le rôle lié au service `AWSServiceRoleForAmazonSSM` pour permettre la visualisation OpsData et à OpsItems partir de plusieurs comptes. Ce rôle lié au service permet également de Explorer créer une règle gérée lorsque vous activez Security Hub CSPM en tant que source de données depuis ou. Explorer OpsCenter
**Important**
Auparavant, la console Systems Manager vous permettait de choisir le rôle lié au service IAM AWS géré `AWSServiceRoleForAmazonSSM` à utiliser comme rôle de maintenance pour vos tâches. L'utilisation de ce rôle et de la politique associée, `AmazonSSMServiceRolePolicy`, pour les tâches de la fenêtre de maintenance n'est plus recommandée. Si vous utilisez ce rôle pour des tâches de fenêtre de maintenance maintenant, nous vous encourageons à cesser de l'utiliser. Créez plutôt votre propre rôle IAM qui permet la communication entre Systems Manager et les autres Services AWS lorsque les tâches de votre fenêtre de maintenance sont exécutées.
Pour de plus amples informations, veuillez consulter [Configuration de Maintenance Windows](setting-up-maintenance-windows.md).
La politique gérée utilisée pour fournir des autorisations au rôle `AWSServiceRoleForAmazonSSM` est `AmazonSSMServiceRolePolicy`. Pour plus d'informations sur les autorisations accordées, consultez [AWS politique gérée : Amazon SSMService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy).
## Création du rôle lié au service `AWSServiceRoleForAmazonSSM` pour Systems Manager
Vous pouvez utiliser la console IAM pour créer un rôle lié au service avec le cas d'utilisation **EC2**. L'utilisation de commandes pour IAM dans la AWS Command Line Interface (AWS CLI) ou l'utilisation de l'API IAM, crée un rôle lié au service qui porte le nom du service `ssm.amazonaws.com`. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte.
## Modification du rôle lié au service `AWSServiceRoleForAmazonSSM` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForAmazonSSM`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForAmazonSSM` pour Systems Manager
Si vous n'avez plus besoin d'utiliser de fonction ni de service nécessitant un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Vous pouvez utiliser la console IAM AWS CLI, ou l'API IAM pour supprimer manuellement le rôle lié à un service. Pour cela, vous devez commencer par nettoyer manuellement les ressources pour votre rôle lié à un service. Vous pouvez ensuite supprimer manuellement ce rôle.
Comme le rôle lié au service `AWSServiceRoleForAmazonSSM` peut être utilisé par plusieurs outils, avant d’essayer de supprimer le rôle, assurez-vous qu’aucune d’elles ne l’utilise.
+ **Inventaire** : si vous supprimez le rôle lié à un service utilisé par l’outil Inventory, les données d’inventaire pour les balises et les groupes de ressources ne seront plus synchronisées. Vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
+ **Explorer:** Si vous supprimez le rôle lié au service utilisé par l'Exploreroutil, les rôles entre comptes et entre régions OpsItems ne sont plus OpsData visibles.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les balises ou les groupes de ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources Systems Manager utilisées par le service `AWSServiceRoleForAmazonSSM`**
1. Pour supprimer des balises, consultez [Ajout et suppression de balises sur une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1. Pour supprimer des groupes de ressources, voir [Supprimer des groupes de Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).
**Pour supprimer manuellement le rôle lié au service `AWSServiceRoleForAmazonSSM` à l'aide d'IAM**
Utilisez la console IAM AWS CLI, ou l'API IAM pour supprimer le rôle lié au `AWSServiceRoleForAmazonSSM` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForAmazonSSM` de Systems Manager
Systems Managerprend en charge l'utilisation du rôle `AWSServiceRoleForAmazonSSM` lié au service partout Régions AWS où le service est disponible. Pour plus d’informations, consultez [Points de terminaison et quotas AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Utilisation des rôles pour collecter des Compte AWS informations pour OpsCenter et Explorer
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForAmazonSSM_AccountDiscovery`** AWS Systems Manager utilise ce rôle de service IAM pour appeler d'autres personnes afin Services AWS de découvrir des Compte AWS informations.
## Autorisations des rôles liés à un service pour la découverte de comptes Systems Manager
Le rôle lié à un service `AWSServiceRoleForAmazonSSM_AccountDiscovery` approuve les services suivants pour endosser le rôle :
+ `accountdiscovery.ssm.amazonaws.com`
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery` pour Systems Manager
Vous devez créer un rôle lié à un service si vous souhaitez utiliser Explorer et OpsCenter, des outils de Systems Manager, sur plusieurs Comptes AWS. Pour OpsCenter, vous devez créer manuellement le rôle lié à un service. Pour de plus amples informations, veuillez consulter [(Facultatif) Configurez manuellement OpsCenter pour gérer de manière centralisée OpsItems sur l’ensemble des comptes](OpsCenter-getting-started-multiple-accounts.md).
Pour Explorer, si vous créez une synchronisation des données de ressource avec Systems Manager dans AWS Management Console, vous pouvez créer le rôle lié à un service en choisissant le bouton **Create role** (Créer un rôle). Pour créer une synchronisation des données de ressource par programmation, vous devez créer le rôle au préalable. Vous pouvez créer le rôle à l'aide de l'opération [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API.
## Modification du rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForAmazonSSM_AccountDiscovery`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage du rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Avant de pouvoir utiliser IAM pour supprimer le rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery`, vous devez d'abord supprimer toutes les synchronisations de données des ressources Explorer.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
### Suppression manuelle du rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForAmazonSSM_AccountDiscovery` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForAmazonSSM_AccountDiscovery` de Systems Manager
Systems Manager prend en charge l’utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [Points de terminaison et quotas AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
## Mises à jour du rôle AWSServiceRoleForAmazonSSM\$1AccountDiscovery lié au service
Consultez les détails des mises à jour apportées au rôle AWSServiceRoleForAmazonSSM\$1AccountDiscovery lié au service depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page Systems Manager [Historique du document](systems-manager-release-history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| Ajout de nouvelles autorisations | Ce rôle lié à un service comprend désormais les autorisations `organizations:DescribeOrganizationalUnit` et `organizations:ListRoots`. Ces autorisations permettent à un compte AWS Organizations de gestion ou à un compte administrateur délégué de Systems Manager de travailler avec OpsItems plusieurs comptes. Pour de plus amples informations, veuillez consulter [(Facultatif) Configurez manuellement OpsCenter pour gérer de manière centralisée OpsItems sur l’ensemble des comptes](OpsCenter-getting-started-multiple-accounts.md). | 17 octobre 2022 |
# Utiliser des rôles pour créer OpsData et OpsItems pour Explorer
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForSystemsManagerOpsDataSync`** AWS Systems Manager utilise ce rôle de service IAM pour Explorer créer OpsData etOpsItems.
## Autorisations de rôle liées au service pour la synchronisation Systems Manager OpsData
Le rôle lié à un service `AWSServiceRoleForSystemsManagerOpsDataSync` approuve les services suivants pour endosser le rôle :
+ `opsdatasync.ssm.amazonaws.com`
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ Systems Manager Explorer exige qu'un rôle lié à un service accorde l'autorisation de mettre à jour une constatation de sécurité lorsqu'une OpsItem est mise à jour, de créer et de mettre à jour une source de données Security Hub CSPMOpsItem, et de désactiver la source de données Security Hub CSPM lorsqu'une règle gérée par SSM est supprimée par les clients.
La politique gérée utilisée pour fournir des autorisations au rôle `AWSServiceRoleForSystemsManagerOpsDataSync` est `AWSSystemsManagerOpsDataSyncServiceRolePolicy`. Pour plus d'informations sur les autorisations accordées, consultez [AWS politique gérée : AWSSystems ManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForSystemsManagerOpsDataSync` pour Systems Manager
Vous n'avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous l'activez Explorer dans le AWS Management Console, Systems Manager crée le rôle lié au service pour vous.
**Important**
Ce rôle lié au service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. De même, si vous utilisiez Systems Manager avant le 1er janvier 2017, quand il commençait à prendre en charge les rôles liés à un service, Systems Manager créait le rôle `AWSServiceRoleForSystemsManagerOpsDataSync` dans votre compte. Pour en savoir plus, consultez [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous l'activez Explorer dans le AWS Management Console, Systems Manager crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le rôle de **AWS service qui permet de créer OpsData et OpsItems d'Explorerutiliser** un cas. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `opsdatasync.ssm.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Modification du rôle lié au service `AWSServiceRoleForSystemsManagerOpsDataSync` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForSystemsManagerOpsDataSync`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForSystemsManagerOpsDataSync` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
La procédure de suppression Systems Manager des ressources utilisées par le `AWSServiceRoleForSystemsManagerOpsDataSync` rôle dépend de votre configuration Explorer ou de votre intégration OpsCenter à Security Hub CSPM.
**Pour supprimer les ressources Systems Manager utilisées par le rôle `AWSServiceRoleForSystemsManagerOpsDataSync`**
+ Pour arrêter Explorer de créer de nouvelles conclusions OpsItems pour le Security Hub CSPM, consultez. [Comment arrêter l'envoi des résultats](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive)
+ Pour arrêter OpsCenter de créer de nouvelles conclusions OpsItems relatives au Security Hub CSPM, voir
**Pour supprimer manuellement le rôle lié au service `AWSServiceRoleForSystemsManagerOpsDataSync` à l'aide d'IAM**
Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForSystemsManagerOpsDataSync` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForSystemsManagerOpsDataSync` de Systems Manager
Systems Manager prend en charge l'utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour de plus amples informations, consultez [Points de terminaison et quotas AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
Systems Manager ne prend pas en charge l'utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le rôle `AWSServiceRoleForSystemsManagerOpsDataSync` dans les régions suivantes :
****
| Région AWS nom | Identité de la région | Prise en charge dans Systems Manager |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Europe (Stockholm) | eu-north-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (US) | us-gov-west-1 | Non |
# Utiliser les rôles pour créer des informations opérationnelles OpsItems dans Systems Manager OpsCenter
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForAmazonSSM_OpsInsights`** AWS Systems Manager utilise ce rôle de service IAM pour créer et mettre à jour des informations opérationnelles OpsItems dans Systems ManagerOpsCenter.
## `AWSServiceRoleForAmazonSSM_OpsInsights`autorisations de rôle liées au service pour Systems Manager un aperçu opérationnel OpsItems
Le rôle lié à un service `AWSServiceRoleForAmazonSSM_OpsInsights` approuve les services suivants pour endosser le rôle :
+ `opsinsights.ssm.amazonaws.com`
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:UpdateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SsmOperationalInsight": "true"
}
}
}
]
}
```
------
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights` pour Systems Manager
Vous devez créer un rôle lié au service. Si vous activez les informations opérationnelles Systems Manager en utilisant le AWS Management Console, vous pouvez créer le rôle lié au service en cliquant sur le bouton **Activer**.
## Modification du rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForAmazonSSM_OpsInsights`. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage du rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights`
Avant de pouvoir utiliser IAM pour supprimer un rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights`, vous devez d'abord désactiver les informations opérationnelles dans Systems Manager OpsCenter. Pour de plus amples informations, veuillez consulter [Analyse des informations opérationnelles pour réduire OpsItems](OpsCenter-working-operational-insights.md).
### Suppression manuelle du rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights`
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForAmazonSSM_OpsInsights` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForAmazonSSM_OpsInsights` de Systems Manager
Systems Manager ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le AWSServiceRoleForAmazonSSM\$1OpsInsights rôle dans les régions suivantes.
****
| Nom de la région | Identité de la région | Prise en charge dans Systems Manager |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Hong Kong) | ap-east-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Europe (Stockholm) | eu-north-1 | Oui |
| Europe (Milan) | eu-south-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| Moyen-Orient (Bahreïn) | me-south-1 | Oui |
| Afrique (Le Cap) | af-south-1 | Oui |
| AWS GovCloud (US) | us-gov-west-1 | Oui |
| AWS GovCloud (US) | us-gov-east-1 | Oui |
# Utilisation de rôles pour maintenir l’état et la cohérence des ressources provisionnées par Quick Setup
Systems Manager utilise le rôle lié à un service **`AWSServiceRoleForSSMQuickSetup`**.
## Autorisations de rôle lié à un service `AWSServiceRoleForSSMQuickSetup` pour Systems Manager
Le rôle lié à un service `AWSServiceRoleForSSMQuickSetup` approuve les services suivants pour endosser le rôle :
+ `ssm-quicksetup.amazonaws.com`
AWS Systems Manager utilise ce rôle de service IAM pour vérifier l'état de la configuration, garantir une utilisation cohérente des paramètres et des ressources allouées, et corriger les ressources lorsqu'une dérive est détectée.
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ `ssm` (Systems Manager) : lit les informations relatives à l’état dans lequel les ressources configurées sont censées se trouver, y compris dans les comptes d’administrateurs délégués.
+ `iam` (Gestion des identités et des accès AWS) : nécessaire pour que les synchronisations des données de ressources soient accessibles à l’ensemble des organisations dans AWS Organizations.
+ `organizations` (AWS Organizations) : lit les informations sur les comptes membres appartenant à une organisation, tels que configurés dans Organizations.
+ `cloudformation`(CloudFormation) — Lit les informations sur les CloudFormation piles utilisées pour gérer l'état des ressources et les opérations des CloudFormation stacksets.
La politique gérée utilisée pour fournir des autorisations au rôle `AWSServiceRoleForSSMQuickSetup` est `SSMQuickSetupRolePolicy`. Pour plus d'informations sur les autorisations accordées, consultez [AWS politique gérée : SSMQuick SetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForSSMQuickSetup` pour Systems Manager
Il n'est pas nécessaire de créer manuellement le rôle lié au service de AWSService RoleFor SSMQuick configuration. Lorsque vous créez une configuration Quick Setup dans l’ AWS Management Console, Systems Manager crée automatiquement le rôle lié au service pour vous.
## Modification du rôle lié au service `AWSServiceRoleForSSMQuickSetup` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForSSMQuickSetup`. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForSSMQuickSetup` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage du rôle lié au service `AWSServiceRoleForSSMQuickSetup`
Avant que vous puissiez utiliser IAM pour supprimer le rôle lié au service `AWSServiceRoleForSSMQuickSetup`, vous devez d’abord supprimer les configurations Quick Setup qui utilisent le rôle. Pour de plus amples informations, veuillez consulter [Modification et suppression de votre configuration](quick-setup-using.md#quick-setup-edit-delete).
### Suppression manuelle du rôle lié au service `AWSServiceRoleForSSMQuickSetup`
Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForSSMQuickSetup` service. Pour plus d’informations, consultez les rubriques suivantes :
+ [Deleting a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *guide de l’utilisateur IAM*
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html) dans la section Quick Setup de la *référence AWS CLI *
+ [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html) dans la *Référence d'API Quick Setup*
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForSSMQuickSetup` de Systems Manager
Systems Manager ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le rôle AWSService RoleFor SSMQuick Configuration dans les régions suivantes.
+ USA Est (Ohio)
+ USA Est (Virginie du Nord)
+ USA Ouest (Californie du Nord)
+ USA Ouest (Oregon)
+ Asie-Pacifique (Mumbai)
+ Asie-Pacifique (Séoul)
+ Asie-Pacifique (Singapour)
+ Asie-Pacifique (Sydney)
+ Asie-Pacifique (Tokyo)
+ Canada (Centre)
+ Europe (Francfort)
+ Europe (Stockholm)
+ Europe (Irlande)
+ Europe (Londres)
+ Europe (Paris)
+ Amérique du Sud (São Paulo)
# Utiliser des rôles pour exporter Explorer OpsData
AWS Systems Manager Explorerutilise le rôle de SSMExplorer ExportRole service **Amazon** pour exporter les données d'opérations (OpsData) à l'aide du runbook `AWS-ExportOpsDataToS3` d'automatisation.
## Autorisations des rôles liés à un service pour Explorer
Le rôle lié à un service `AmazonSSMExplorerExportRole` fait confiance uniquement à `ssm.amazonaws.com` pour assumer le rôle.
Vous pouvez utiliser le rôle `AmazonSSMExplorerExportRole` lié à un service pour exporter les données d'opérations (OpsData) à l'aide du runbook `AWS-ExportOpsDataToS3` d'automatisation. Vous pouvez exporter 5 000 OpsData articles depuis Explorer un fichier de valeurs séparées par des virgules (.csv) vers un bucket Amazon Simple Storage Service (Amazon S3).
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents`
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AmazonSSMExplorerExportRole` pour Systems Manager
Systems Manager crée le rôle `AmazonSSMExplorerExportRole` lié au service lorsque vous exportez à OpsData l'aide de Explorer la console Systems Manager. Pour de plus amples informations, veuillez consulter [Exportation OpsData depuis Systems Manager Explorer](Explorer-exporting-OpsData.md).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte.
## Modification du rôle lié au service `AmazonSSMExplorerExportRole` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AmazonSSMExplorerExportRole`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AmazonSSMExplorerExportRole` pour Systems Manager
Si vous n'avez plus besoin d'utiliser de fonction ni de service nécessitant un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Vous pouvez utiliser la console IAM AWS CLI, ou l'API IAM pour supprimer manuellement le rôle lié à un service. Pour cela, vous devez commencer par nettoyer manuellement les ressources pour votre rôle lié à un service. Vous pouvez ensuite supprimer manuellement ce rôle.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les balises ou les groupes de ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources Systems Manager utilisées par le service `AmazonSSMExplorerExportRole`**
1. Pour supprimer des balises, consultez [Ajout et suppression de balises sur une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1. Pour supprimer des groupes de ressources, voir [Supprimer des groupes de Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).
**Pour supprimer manuellement le rôle lié au service `AmazonSSMExplorerExportRole` à l'aide d'IAM**
Utilisez la console IAM AWS CLI, ou l'API IAM pour supprimer le rôle lié au `AmazonSSMExplorerExportRole` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AmazonSSMExplorerExportRole` de Systems Manager
Systems Managerprend en charge l'utilisation du rôle `AmazonSSMExplorerExportRole` lié au service partout Régions AWS où le service est disponible. Pour plus d’informations, consultez [Points de terminaison et quotas AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Utilisation de rôles pour activer l'accès aux just-in-time nœuds
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForSystemsManagerJustInTimeAccess`** AWS Systems Manager utilise ce rôle de service IAM pour permettre l'accès aux just-in-time nœuds.
## Autorisations de rôle liées au service pour l'accès aux nœuds Systems Manager just-in-time
Le rôle lié à un service `AWSServiceRoleForSystemsManagerJustInTimeAccess` approuve les services suivants pour endosser le rôle :
+ `ssm.amazonaws.com`
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`
La politique gérée utilisée pour fournir des autorisations au rôle `AWSServiceRoleForSystemsManagerJustInTimeAccess` est `AWSSystemsManagerEnableJustInTimeAccessPolicy`. Pour plus d'informations sur les autorisations accordées, consultez [AWS politique gérée : AWSSystems ManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForSystemsManagerJustInTimeAccess` pour Systems Manager
Vous n'avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez l'accès aux just-in-time nœuds dans le AWS Management Console, Systems Manager crée le rôle lié au service pour vous.
**Important**
Ce rôle lié au service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. De même, si vous utilisiez Systems Manager avant le 19 novembre 2024, quand il commençait à prendre en charge les rôles liés à un service, Systems Manager créait le rôle `AWSServiceRoleForSystemsManagerJustInTimeAccess` dans votre compte. Pour en savoir plus, consultez [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez l'accès aux just-in-time nœuds dans le AWS Management Console, Systems Manager crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le rôle de **AWS service qui permet à Systems Manager d'activer just-in-time** l'accès aux nœuds. cas d'utilisation. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `ssm.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Modification du rôle lié au service `AWSServiceRoleForSystemsManagerJustInTimeAccess` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForSystemsManagerJustInTimeAccess`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForSystemsManagerJustInTimeAccess` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié au service `AWSServiceRoleForSystemsManagerJustInTimeAccess` à l'aide d'IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForSystemsManagerJustInTimeAccess` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForSystemsManagerJustInTimeAccess` de Systems Manager
****
| Région AWS nom | Identité de la région | Prise en charge dans Systems Manager |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Europe (Stockholm) | eu-north-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (US) | us-gov-west-1 | Non |
# Utilisation de rôles pour envoyer des notifications de demande d'accès aux just-in-time nœuds
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForSystemsManagerNotifications`** AWS Systems Manager utilise ce rôle de service IAM pour envoyer des notifications aux approbateurs de demandes d'accès.
## Autorisations de rôle liées au service pour les notifications d'accès aux Systems Manager just-in-time nœuds
Le rôle lié à un service `AWSServiceRoleForSystemsManagerNotifications` approuve les services suivants pour endosser le rôle :
+ `ssm.amazonaws.com`
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`
La politique gérée utilisée pour fournir des autorisations au rôle `AWSServiceRoleForSystemsManagerNotifications` est `AWSSystemsManagerNotificationsServicePolicy`. Pour plus d'informations sur les autorisations accordées, consultez [AWS politique gérée : AWSSystems ManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForSystemsManagerNotifications` pour Systems Manager
Vous n'avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez l'accès aux just-in-time nœuds dans le AWS Management Console, Systems Manager crée le rôle lié au service pour vous.
**Important**
Ce rôle lié au service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. De même, si vous utilisiez Systems Manager avant le 19 novembre 2024, quand il commençait à prendre en charge les rôles liés à un service, Systems Manager créait le rôle `AWSServiceRoleForSystemsManagerNotifications` dans votre compte. Pour en savoir plus, consultez [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez l'accès aux just-in-time nœuds dans le AWS Management Console, Systems Manager crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le cas d’utilisation **Rôle de service AWS qui permet à Systems Manager d’envoyer des notifications aux approbateurs de demandes d’accès**. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `ssm.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Modification du rôle lié au service `AWSServiceRoleForSystemsManagerNotifications` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForSystemsManagerNotifications`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForSystemsManagerNotifications` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié au service `AWSServiceRoleForSystemsManagerNotifications` à l'aide d'IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForSystemsManagerNotifications` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForSystemsManagerNotifications` de Systems Manager
****
| Région AWS nom | Identité de la région | Prise en charge dans Systems Manager |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Europe (Stockholm) | eu-north-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (US) | us-gov-west-1 | Non |
# Journalisation et surveillance dans AWS Systems Manager
La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité AWS Systems Manager et des performances de vos AWS solutions. Vous devez collecter des données de surveillance provenant de toutes les parties de votre AWS solution afin de pouvoir mieux corriger une défaillance multipoint, le cas échéant. AWS fournit plusieurs outils pour surveiller vos ressources Systems Manager et les autres ressources et répondre aux incidents potentiels.
**AWS CloudTrail journaux**
CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un Service AWS utilisateurSystems Manager. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faiteSystems Manager, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires. Pour de plus amples informations, veuillez consulter [Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail](monitoring-cloudtrail-logs.md).
** CloudWatch Alarmes Amazon**
À l'aide des CloudWatch alarmes Amazon, vous observez une seule métrique sur une période que vous spécifiez pour vos instances Amazon Elastic Compute Cloud (Amazon EC2) et pour d'autres ressources. Si la métrique dépasse un seuil donné, une notification est envoyée à un sujet ou à une politique Amazon Simple Notification Service (Amazon SNS). AWS Auto Scaling CloudWatch les alarmes n'appellent pas d'actions parce qu'elles sont dans un état particulier. L’état doit avoir changé et avoir été conservé pendant un nombre de périodes spécifié. Pour plus d'informations, consultez la section [Utilisation des CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
**Tableaux de CloudWatch bord Amazon**
CloudWatch les tableaux de bord sont des pages d'accueil personnalisables dans la CloudWatch console que vous pouvez utiliser pour surveiller vos ressources dans une seule vue, même celles qui sont réparties entre différentes Régions AWS entités. Vous pouvez utiliser CloudWatch des tableaux de bord pour créer des vues personnalisées des métriques et des alarmes relatives à vos AWS ressources. Pour de plus amples informations, veuillez consulter [Utilisation des CloudWatch tableaux de bord Amazon hébergés par Systems Manager](systems-manager-cloudwatch-dashboards.md).
**Amazon EventBridge**
À l'aide d'Amazon EventBridge, vous pouvez configurer des règles pour vous avertir des modifications apportées aux Systems Manager ressources et EventBridge pour vous demander de prendre des mesures en fonction du contenu de ces événements. EventBridge fournit un support pour un certain nombre d'événements émis par divers Systems Manager outils. Pour de plus amples informations, veuillez consulter [Surveillance des événements de Systems Manager avec Amazon EventBridge](monitoring-eventbridge-events.md).
**Amazon CloudWatch Logs et SSM Agent journaux**
L'SSM Agent écrit des informations relatives aux exécutions, actions planifiées, erreurs et états d'intégrité dans les fichiers journaux de chaque nœud. Vous pouvez afficher les fichiers journaux en vous connectant manuellement à un nœud. Nous recommandons d'envoyer automatiquement les données du journal de l'agent à un groupe de CloudWatch journaux dans Logs à des fins d'analyse. Pour plus d’informations, consultez [Envoi des journaux des nœuds vers CloudWatch des journaux unifiés (CloudWatch agent)](monitoring-cloudwatch-agent.md) et [Affichage des journaux SSM Agent](ssm-agent-logs.md).
**Conformité d'AWS Systems Manager**
Vous pouvez utiliser Compliance, un outil intégré AWS Systems Manager, pour analyser votre parc de nœuds gérés afin de détecter la conformité des correctifs et les incohérences de configuration. Vous pouvez collecter et agréger des données provenant de plusieurs Comptes AWS sources Régions AWS, puis explorer des ressources spécifiques non conformes. Par défaut, Compliance affiche les données de conformité actuelles relatives à l’application de correctifs dans Patch Manager, un outil d’ AWS Systems Manager, et aux associations dans State Manager, un outil d’ AWS Systems Manager. Pour de plus amples informations, veuillez consulter [Conformité d'AWS Systems Manager](systems-manager-compliance.md).
**AWS Systems Manager Explorer**
Explorer, un outil de AWS Systems Manager, est un tableau de bord des opérations personnalisable qui fournit des informations sur vos AWS ressources. Exploreraffiche une vue agrégée des données d'exploitation (OpsData) pour vous Comptes AWS et pour l'ensemble de celles-ci Régions AWS. DansExplorer, OpsData inclut les métadonnées relatives à vos instances EC2, les détails de conformité des correctifs et les éléments de travail opérationnels (OpsItems). Explorerfournit un contexte sur la manière dont elles OpsItems sont réparties entre vos unités commerciales ou vos applications, sur leur évolution dans le temps et sur leur variation par catégorie. Vous pouvez regrouper et filtrer les informations dans Explorer pour vous concentrer sur les éléments qui vous intéressent et qui nécessitent une action. Pour de plus amples informations, veuillez consulter [AWS Systems Manager Explorer](Explorer.md).
**AWS Systems Manager OpsCenter**
OpsCenter, un outil dans AWS Systems Manager, fournit un emplacement central où les ingénieurs des opérations et les professionnels de l'informatique peuvent consulter, étudier et résoudre les éléments de travail opérationnels (OpsItems) liés aux AWS ressources. OpsCenteragrège et normalise OpsItems l'ensemble des services tout en fournissant des données d'investigation contextuelles sur chacun des servicesOpsItem, ainsi que sur les ressources connexes OpsItems et connexes. OpsCenterfournit également des runbooks dans Automation, un outil dans Automation AWS Systems Manager, que vous pouvez utiliser pour résoudre rapidement les problèmes. OpsCenterest intégré à Amazon EventBridge. Cela signifie que vous pouvez créer des EventBridge règles qui se créent automatiquement OpsItems pour tous ceux Service AWS qui publient des événements sur EventBridge. Pour de plus amples informations, veuillez consulter [AWS Systems Manager OpsCenter](OpsCenter.md).
**Amazon Simple Notification Service**
Vous pouvez configurer Amazon Simple Notification Service (Amazon SNS) de sorte à envoyer des notifications sur le statut des commandes que vous envoyez à l’aide de Run Command ou Maintenance Windows, qui sont des outils d’ AWS Systems Manager. Amazon SNS coordonne et gère la réception ou l'envoi de notifications aux points de terminaison ou aux clients abonnés aux rubriques Amazon SNS. Vous pouvez recevoir une notification chaque fois qu'une commande change de statut ou passe à un statut spécifique, par exemple, `Failed` ou `Timed Out`. Lorsque vous envoyez une commande à plusieurs nœuds, vous pouvez recevoir une notification pour chaque copie de la commande envoyée à un nœud spécifique. Pour de plus amples informations, veuillez consulter [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).
**AWS Trusted Advisor et Tableau de bord AWS Health**
Trusted Advisor s'appuie sur les meilleures pratiques apprises en servant des centaines de milliers de AWS clients. Trusted Advisor inspecte votre AWS environnement, puis émet des recommandations lorsque des opportunités se présentent pour économiser de l'argent, améliorer la disponibilité et les performances du système ou contribuer à combler les failles de sécurité. Tous les AWS clients ont accès à cinq Trusted Advisor chèques. Les clients disposant d'un forfait AWS Support Business ou Enterprise peuvent consulter tous les Trusted Advisor chèques. Pour de plus amples informations, veuillez consulter [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) dans le *Guide de l'utilisateur de AWS Support * et le *[Guide de l'utilisateur de AWS Health](https://docs.aws.amazon.com/health/latest/ug/)*.
**Plus d'informations**
+ [Connexion et surveillance AWS Systems Manager](monitoring.md)
# Validation de la conformité pour AWS Systems Manager
Cette rubrique traite de la conformité d'AWS Systems Manager avec les programmes d'assurance tiers. Pour plus d'informations sur l'affichage des données de conformité pour vos nœuds gérés, consultez [Conformité d'AWS Systems Manager](systems-manager-compliance.md).
Des auditeurs tiers évaluent la sécurité et la conformité de Systems Manager dans le cadre de plusieurs programmes de conformité AWS . Il s’agit notamment des certifications SOC, PCI, FedRAMP, HIPAA et d’autres.
Pour une liste des programmes Services AWS de conformité spécifiques concernés, voir [AWS Services concernés par programme Services AWS de conformité dans Champ](https://aws.amazon.com/compliance/services-in-scope/) . Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Systems Manager est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. AWS fournit les ressources suivantes pour faciliter la mise en conformité :
+ [Guides démarrage rapide de la sécurité et de la conformité](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance). Ces guides de déploiement traitent des considérations architecturales et fournissent des étapes pour déployer des environnements de base axés sur la sécurité et la conformité sur AWS.
+ Livre blanc [sur l'architecture pour la sécurité et la conformité HIPAA — Ce livre blanc](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html) décrit comment les entreprises peuvent créer des applications conformes à la loi HIPAA. AWS
+ AWS Ressources de [https://aws.amazon.com/compliance/resources/](https://aws.amazon.com/compliance/resources/) de conformité — Cette collection de classeurs et de guides peut s'appliquer à votre secteur d'activité et à votre région.
+ [Évaluation des ressources à l'aide des règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) du *guide du AWS Config développeur* : le AWS Config service évalue dans quelle mesure les configurations de vos ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Cela Service AWS fournit une vue complète de votre état de sécurité AWS qui vous permet de vérifier votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité.
# Résilience dans AWS Systems Manager
L’infrastructure mondiale d’AWS est construite autour de zones de disponibilité et de Régions AWS. Les Régions AWSfournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseau à latence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d’informations sur les Régions AWS et les zones de disponibilité, consultez [Infrastructure mondiale d’AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l’infrastructure dans AWS Systems Manager
En tant que service géré, AWS Systems Manager il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder Systems Manager via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
# Configuration et analyse des vulnérabilités dans AWS Systems Manager
AWS gère les tâches de sécurité de base telles que la configuration du pare-feu et la reprise après sinistre. Ces procédures ont été vérifiées et certifiées par les tiers appropriés. Pour plus de détails, consultez les ressources suivantes :
+ [Validation de la conformité pour AWS Systems Manager](compliance-validation.md)
+ [Modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Bonnes pratiques en matière de sécurité, d'identité et de conformité](https://aws.amazon.com/architecture/security-identity-compliance/)
# Bonnes pratiques de sécurité pour Systems Manager
AWS Systems Manager fournit un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
**Topics**
+ [Bonnes pratiques de sécurité préventive pour Systems Manager](#security-best-practices-prevent)
+ [Bonnes pratiques d’installation de SSM Agent](#security-best-practices-ssm-agent)
+ [Bonnes pratiques de surveillance et d'audit pour Systems Manager](#security-best-practices-detect)
## Bonnes pratiques de sécurité préventive pour Systems Manager
Les bonnes pratiques suivantes pour Systems Manager peuvent aider à éviter les incidents de sécurité.
**Implémentation d'un accès sur la base du moindre privilège**
Lorsque vous accordez des autorisations, vous sélectionnez qui obtient les autorisations pour telles ou telles ressources Systems Manager. Vous autorisez des actions spécifiques que vous souhaitez autoriser sur ces ressources. Par conséquent, vous devez accorder uniquement les autorisations qui sont requises pour exécuter une tâche. L'implémentation d'un accès sur la base du moindre privilège est fondamentale pour réduire les risques en matière de sécurité et l'impact que pourraient avoir des d'erreurs ou des actes de malveillance.
Les outils suivants sont disponibles pour l'implémentation d'un accès sur la base du moindre privilège :
+ [Politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) et [Limites d'autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
**Utiliser les paramètres recommandés pour SSM Agent lorsque vous êtes configuré pour utiliser un proxy**
Si vous configurez SSM Agent pour utiliser un proxy, utilisez la variable `no_proxy` avec l’adresse IP du service de métadonnées de l’instance de Systems Manager pour vous assurer que les appels à Systems Manager ne prennent pas l’identité du service proxy.
Pour plus d’informations, consultez [Configuration de SSM Agent pour l’utilisation d’un proxy sur les nœuds Linux](configure-proxy-ssm-agent.md) et [Configurer l'SSM Agent pour utiliser un proxy pour les instances Windows Server](configure-proxy-ssm-agent-windows.md).
**Utiliser SecureString des paramètres pour chiffrer et protéger les données secrètes**
Dans Parameter Store, un des outils d’ AWS Systems Manager, un paramètre `SecureString` correspond à des données sensibles qui doivent être stockées et référencées de manière sécurisée. Si vous ne souhaitez pas que les utilisateurs modifient ou référencent en texte brut, telles que des mots de passe ou des clés de licence, créez ces paramètres à l'aide du type de `SecureString` données. Parameter Storeutilise un AWS KMS key in AWS Key Management Service (AWS KMS) pour chiffrer la valeur du paramètre. AWS KMS utilise soit une clé gérée par le client, soit une clé Clé gérée par AWS lors du chiffrement de la valeur du paramètre. Pour une sécurité maximale, nous vous recommandons d'utiliser votre propre clé KMS. Si vous utilisez le Clé gérée par AWS, tout utilisateur autorisé à exécuter les [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)actions [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)et dans votre compte peut consulter ou récupérer le contenu de tous les `SecureString` paramètres. Si vous utilisez des clés gérées par le client pour chiffrer vos valeurs `SecureString` sécurisées, vous pouvez utiliser des politiques IAM et des politiques de clé pour gérer les autorisations de chiffrement et de déchiffrement des paramètres.
Il est plus difficile d’établir des politiques de contrôle d’accès pour ces opérations lorsque vous utilisez une Clé gérée par AWS. Par exemple, si vous utilisez un Clé gérée par AWS pour chiffrer des `SecureString` paramètres et que vous ne souhaitez pas que les utilisateurs utilisent des `SecureString` paramètres, les politiques IAM de l'utilisateur doivent explicitement refuser l'accès à la clé par défaut.
Pour de plus amples informations, consultez [Restriction de l'accès aux paramètres Parameter Store à l'aide des stratégies IAM](sysman-paramstore-access.md) et [Comment AWS Systems ManagerParameter Store utilise la AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html) dans le *Manuel du développeur AWS Key Management Service *.
**Définir des allowedValues et un allowedPattern pour les paramètres de document**
Vous pouvez valider les entrées utilisateur pour les paramètres de documents Systems Manager (SSM) en définissant `allowedValues` et `allowedPattern`. Pour `allowedValues`, vous définissez un tableau de valeurs autorisées pour le paramètre. Si un utilisateur saisit une valeur non autorisée, l'exécution échoue. Pour `allowedPattern`, vous définissez une expression régulière qui valide si l'entrée utilisateur correspond au modèle défini pour le paramètre. Si l'entrée utilisateur ne correspond pas au modèle autorisé, l'exécution échoue.
Pour plus d'informations sur `allowedValues` et `allowedPattern`, consultez [Éléments de données et paramètres](documents-syntax-data-elements-parameters.md).
**Bloquer le partage public de documents**
À moins que votre cas d'utilisation exige que le partage public soit autorisé, nous vous recommandons d'activer le paramètre de partage public de bloc pour vos documents SSM dans la section **Preferences (Préférences)** de la console Systems Manager Documents.
**Utilisation d'un Amazon Virtual Private Cloud (Amazon VPC) et de points de terminaison de VPC**
Vous pouvez utiliser Amazon VPC pour lancer AWS des ressources dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre data center, et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS.
En implémentant un point de terminaison VPC, vous pouvez connecter de manière privée votre VPC aux services de point de terminaison VPC pris en charge et Services AWS alimentés par celui-ci AWS PrivateLink sans avoir besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion. AWS Direct Connect Les instances de votre VPC ne requièrent pas d'adresses IP publiques pour communiquer avec les ressources du service. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon.
Pour plus d’informations sur la sécurité d’Amazon VPC, consultez [Renforcement de la sécurité des instances EC2 à l’aide des points de terminaison de VPC pour Systems Manager](setup-create-vpc.md) et [Confidentialité du trafic inter-réseau dans Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) dans le *Guide de l’utilisateur Amazon VPC*.
**Limiter les utilisateurs Session Manager aux sessions utilisant des commandes interactives et des documents de session SSM spécifiques**
Session Manager, un des outils d’AWS Systems Manager, fournit [plusieurs méthodes pour démarrer des sessions](session-manager-working-with-sessions-start.md) sur vos nœuds gérés. Pour les connexions les plus sécurisées, vous pouvez exiger que les utilisateurs se connectent à l'aide de la méthode des *commandes interactives* afin de limiter l'interaction de l'utilisateur à une commande ou une séquence de commandes spécifique. Cela vous permet de gérer les actions interactives qu'un utilisateur peut effectuer. Pour de plus amples informations, veuillez consulter [Démarrage d'une session (commandes interactives et non interactives)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands).
Pour plus de sécurité, vous pouvez limiter l'accès à Session Manager à des instances Amazon EC2 spécifiques et à des documents de session Session Manager spécifiques. Vous accordez ou révoquez Session Manager l'accès de cette manière en utilisant des politiques Gestion des identités et des accès AWS (IAM). Pour de plus amples informations, veuillez consulter [Étape 3 : Contrôler les accès de session aux nœuds gérés](session-manager-getting-started-restrict-access.md).
**Mise à disposition d'autorisations de nœud temporaires aux flux de travail Automation**
Lors d’un flux de travail dans Automation, un des outils d’AWS Systems Manager, vos nœuds peuvent avoir besoin d’autorisations nécessaires pour cette exécution uniquement, mais pas pour d’autres opérations Systems Manager. Par exemple, un flux de travail d'automatisation peut nécessiter qu'un nœud appelle une opération d'API particulière ou accède à une AWS ressource spécifiquement pendant le flux de travail. Si ces appels ou ressources sont ceux auxquels vous souhaitez limiter l'accès, vous pouvez fournir des autorisations supplémentaires temporaires pour vos nœuds dans le runbook Automation lui-même au lieu d'ajouter les autorisations à votre profil d'instance IAM. À la fin du flux de travail Automation, les autorisations temporaires sont supprimées. Pour plus d'informations, consultez l'article relatif à l'[affectation d'autorisations d'instance temporaires avec AWS Systems Manager Automations](https://aws.amazon.com/blogs/mt/providing-temporary-instance-permissions-with-aws-systems-manager-automations/) sur l'*AWS Management and Governance Blog*.
**Maintien à jour AWS et mise à jour des Systems Manager outils**
AWS publie régulièrement des versions mises à jour d'outils et de plugins que vous pouvez utiliser dans le cadre de vos Systems Manager opérations AWS et de vos activités. La mise à jour de ces ressources garantit que les utilisateurs et les nœuds de votre compte ont accès aux fonctionnalités et aux fonctions de sécurité les plus récentes de ces outils.
+ SSM Agent – AWS Systems Manager Agent (SSM Agent) est un logiciel Amazon qui peut être installé et configuré sur une instance Amazon Elastic Compute Cloud (Amazon EC2), un serveur sur site ou une machine virtuelle (VM). SSM Agent permet à Systems Manager de mettre à jour, de gérer et de configurer ces ressources. Nous vous recommandons de rechercher les nouvelles versions, ou d'automatiser les mises à jour de l'agent, au moins toutes les deux semaines. Pour plus d'informations, consultez [Automatisation des mises à jour de l'SSM Agent](ssm-agent-automatic-updates.md). Nous vous recommandons également de vérifier la signature de SSM Agent dans le cadre de votre processus de mise à jour. Pour plus d'informations, consultez [Vérification de la signature de SSM Agent](verify-agent-signature.md).
+ AWS CLI — The AWS Command Line Interface (AWS CLI) est un outil open source qui vous permet d'interagir à Services AWS l'aide de commandes dans votre interface de ligne de commande. Pour mettre à jour le AWS CLI, vous devez exécuter la même commande que celle utilisée pour installer le AWS CLI. Nous vous recommandons de créer une tâche planifiée sur votre ordinateur local pour exécuter la commande appropriée pour votre système d'exploitation au moins une fois toutes les deux semaines. Pour plus d'informations sur les commandes d'installation, consultez la section [Installation de la AWS CLI version 2](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
+ AWS Tools for Windows PowerShell — Les outils pour Windows PowerShell sont un ensemble de PowerShell modules basés sur les fonctionnalités proposées par le AWS SDK pour .NET. Ils vous AWS Tools for Windows PowerShell permettent de scripter des opérations sur vos AWS ressources à partir de la ligne de PowerShell commande. Régulièrement, à mesure que des versions mises à jour des Outils pour Windows PowerShell sont publiées, vous devez mettre à jour la version que vous exécutez localement. Pour plus d'informations, consultez [la section Mise à AWS Tools for Windows PowerShell jour du sous Windows](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-windows.html#pstools-updating) ou [Mise à AWS Tools for Windows PowerShell jour du sous Linux ou macOS](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-linux-mac.html#pstools-updating-linux) dans le *guide de l'utilisateur d'IAM Policy Simulator*.
+ Plugin Session Manager – si les utilisateurs de votre organisation disposant des autorisations nécessaires pour utiliser Session Manager veulent se connecter à un nœud à l'aide de l' AWS CLI, ils doivent d'abord installer le plugin Session Manager sur leurs ordinateurs locaux. Pour mettre à jour le plug-in, vous exécutez la même commande que pour l'installer. Nous vous recommandons de créer une tâche planifiée sur votre ordinateur local pour exécuter la commande appropriée pour votre système d'exploitation au moins une fois toutes les deux semaines. Pour plus d'informations, consultez [Installez le Session Manager plugin pour AWS CLI](session-manager-working-with-install-plugin.md).
+ CloudWatch agent : vous pouvez configurer et utiliser l' CloudWatch agent pour collecter des métriques et des journaux à partir de vos instances EC2, de vos instances locales et de vos machines virtuelles ()VMs. Ces journaux peuvent être envoyés à Amazon CloudWatch Logs à des fins de surveillance et d'analyse. Nous vous recommandons de rechercher les nouvelles versions, ou d'automatiser les mises à jour de l'agent, au moins toutes les deux semaines. Pour les mises à jour les plus simples, utilisez la configuration rapide AWS Systems Manager. Pour plus d'informations, consultez [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md).
## Bonnes pratiques d’installation de SSM Agent
Lors de l’installation de SSM Agent, utilisez la méthode d’installation adaptée à votre type de machine. Utilisez notamment l’outil `ssm-setup-cli` pour toutes les installations non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types). Cet outil fournit des protections de sécurité supplémentaires pour les machines non EC2.
Pour installer l’agent sur des serveurs et des machines virtuelles sur site, utilisez l’outil `ssm-setup-cli` comme décrit dans les rubriques suivantes :
+ [Installer SSM Agent sur les nœuds Linux hybrides](hybrid-multicloud-ssm-agent-install-linux.md)
+ [Installer SSM Agent sur les nœuds hybrides Windows Server](hybrid-multicloud-ssm-agent-install-windows.md)
Pour installer l’agent sur des instances EC2, suivez la procédure d’installation correspondant à votre type de système d’exploitation :
+ [Installation et désinstallation manuelles de SSM Agent sur les instances EC2 pour Linux](manually-install-ssm-agent-linux.md)
+ [Installation et désinstallation manuelles de SSM Agent sur les instances EC2 pour macOS](manually-install-ssm-agent-macos.md)
+ [Installation et désinstallation manuelles de SSM Agent sur les instances EC2 pour Windows Server](manually-install-ssm-agent-windows.md)
## Bonnes pratiques de surveillance et d'audit pour Systems Manager
Les bonnes pratiques suivantes pour Systems Manager peuvent aider à détecter les vulnérabilités et les incidents de sécurité potentiels.
**Identifier et auditer l'intégralité de vos resources Systems Manager**
L'identification de vos ressources informatiques est un aspect crucial de la gouvernance et de la sécurité. Vous devez identifier toutes vos ressources Systems Manager pour évaluer leur niveau de sécurité et agir sur les zones de vulnérabilité potentielles.
Utilisez Tag Editor pour identifier les ressources sensibles en termes de sécurité ou d'audit, puis utilisez les balises générées lorsque vous devez rechercher ces ressources. Pour plus d'informations, consultez [Recherche de ressources à baliser](https://docs.aws.amazon.com/ARG/latest/userguide/find-resources-to-tag.html) dans le *Guide de l'utilisateur Groupes de ressources AWS *.
Créez des groupes de ressources pour vos ressourcesSystems Manager. Pour plus d'informations, consultez [Présentation des groupes de ressources](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html).
**Mettre en œuvre la surveillance à l'aide CloudWatch des outils de surveillance Amazon**
La surveillance est un enjeu important pour assurer la fiabilité, la sécurité, la disponibilité et les performances d’Systems Manager et de vos solutions AWS . Amazon CloudWatch fournit plusieurs outils et services pour vous aider à surveiller Systems Manager et à surveiller vos autres Services AWS. Pour plus d’informations, consultez [Envoi des journaux des nœuds vers CloudWatch des journaux unifiés (CloudWatch agent)](monitoring-cloudwatch-agent.md) et [Surveillance des événements de Systems Manager avec Amazon EventBridge](monitoring-eventbridge-events.md).
**Utiliser CloudTrail**
AWS CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un Service AWS utilisateurSystems Manager. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faiteSystems Manager, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires. Pour de plus amples informations, veuillez consulter [Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail](monitoring-cloudtrail-logs.md).
**Allumez AWS Config**
AWS Config vous permet d'évaluer, d'auditer et d'évaluer les configurations de vos AWS ressources. AWS Config surveille les configurations des ressources, ce qui vous permet d'évaluer les configurations enregistrées par rapport aux configurations sécurisées requises. Vous pouvez ainsi examiner les modifications apportées aux configurations et les relations entre les AWS ressources, étudier les historiques détaillés de configuration des ressources et déterminer votre conformité globale par rapport aux configurations spécifiées dans vos directives internes. AWS Config Cela peut vous aider à simplifier le contrôle de la conformité, l'analyse de la sécurité, la gestion des modifications et le diagnostic de défaillances opérationnelles. Pour plus d'informations, consultez [Configuration de AWS Config à l'aide de la console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) dans le *Manuel du développeur AWS Config *. Lors de la spécification des types de ressource à enregistrer, assurez-vous d'inclure les ressources Systems Manager.
**Surveillez les avis AWS de sécurité**
Vous devriez consulter régulièrement les avis de sécurité publiés Trusted Advisor pour votre Compte AWS. Vous pouvez le faire par programmation en utilisant. [describe-trusted-advisor-checks](https://docs.aws.amazon.com/cli/latest/reference/support/describe-trusted-advisor-checks.html)
De plus, surveillez activement l'adresse e-mail principale enregistrée pour chacun de vos Comptes AWS. AWS vous contactera, à l'aide de cette adresse e-mail, au sujet des problèmes de sécurité émergents susceptibles de vous affecter.
AWS les problèmes opérationnels ayant un impact important sont publiés sur le [AWS Service Health Dashboard](https://status.aws.amazon.com/). Les problèmes opérationnels sont également publiés dans les différents comptes via le tableau de bord d'état personnel. Pour de plus amples d'informations, consultez [la documentation AWS Health](https://docs.aws.amazon.com/health/).
**Plus d'informations**
+ [Bonnes pratiques en matière de sécurité, d'identité et de conformité](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [Mise en route : suivez les meilleures pratiques de sécurité lors de la configuration de vos AWS ressources](https://aws.amazon.com/blogs/security/getting-started-follow-security-best-practices-as-you-configure-your-aws-resources/) (blog sur AWS la sécurité)
+ [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Bonnes pratiques en matière de sécurité dans AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Bonnes pratiques de sécurité pour Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)
+ [Bonnes pratiques en matière de sécurité pour AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)