Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk menggunakan Fleet Manager, kemampuan AWS Systems Manager, AWS Identity and Access Management (IAM) pengguna atau peran harus memiliki izin yang diperlukan. Anda dapat membuat IAM kebijakan yang menyediakan akses ke semua Fleet Manager fitur, atau ubah kebijakan Anda untuk memberikan akses ke fitur yang Anda pilih. Anda kemudian memberikan izin ini kepada pengguna, atau identitas, di akun Anda.
- Tugas 1: Buat IAM kebijakan untuk menentukan izin akses
-
Ikuti salah satu metode yang disediakan dalam topik followig di Panduan IAM Pengguna untuk membuat akses IAM ke identitas (pengguna, peran, atau grup pengguna) Fleet Manager:
Anda dapat menggunakan salah satu contoh kebijakan yang kami sediakan di bawah ini, atau memodifikasinya sesuai dengan izin yang ingin Anda berikan. Kami menyediakan contoh kebijakan untuk penuh Fleet Manager akses dan akses baca-saja.
- Tugas 2: Lampirkan IAM kebijakan ke pengguna untuk memberikan izin
-
Setelah Anda membuat IAM kebijakan atau kebijakan yang menentukan izin akses ke Fleet Manager, gunakan salah satu prosedur berikut dalam Panduan IAM Pengguna untuk memberikan izin ini untuk identitas di akun Anda:
Topik
Kebijakan sampel untuk Fleet Manager akses administrator
Kebijakan berikut menyediakan izin untuk semua Fleet Manager fitur. Ini berarti pengguna dapat membuat dan menghapus pengguna dan grup lokal, mengubah keanggotaan grup untuk grup lokal, dan memodifikasi Windows Server kunci atau nilai registri. Ganti masing-masing example resource placeholder
dengan informasi Anda sendiri.
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"EC2",
"Effect":"Allow",
"Action":[
"ec2:CreateTags",
"ec2:DeleteTags",
"ec2:DescribeInstances",
"ec2:DescribeTags"
],
"Resource":"*"
},
{
"Sid":"General",
"Effect":"Allow",
"Action":[
"ssm:AddTagsToResource",
"ssm:DescribeInstanceAssociationsStatus",
"ssm:DescribeInstancePatches",
"ssm:DescribeInstancePatchStates",
"ssm:DescribeInstanceProperties",
"ssm:GetCommandInvocation",
"ssm:GetServiceSetting",
"ssm:GetInventorySchema",
"ssm:ListComplianceItems",
"ssm:ListInventoryEntries",
"ssm:ListTagsForResource",
"ssm:ListCommandInvocations",
"ssm:ListAssociations",
"ssm:RemoveTagsFromResource"
],
"Resource":"*"
},
{
"Sid":"DefaultHostManagement",
"Effect": "Allow",
"Action": [
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:region
:account-id
:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id
:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
},
{
"Sid":"SendCommand",
"Effect":"Allow",
"Action":[
"ssm:GetDocument",
"ssm:SendCommand",
"ssm:StartSession"
],
"Resource":[
"arn:aws:ec2:*:account-id
:instance/*",
"arn:aws:ssm:*:account-id
:managed-instance/*",
"arn:aws:ssm:*:account-id
:document/SSM-SessionManagerRunShell",
"arn:aws:ssm:*:*:document/AWS-PasswordReset",
"arn:aws:ssm:*:*:document/AWSFleetManager-AddUsersToGroups",
"arn:aws:ssm:*:*:document/AWSFleetManager-CopyFileSystemItem",
"arn:aws:ssm:*:*:document/AWSFleetManager-CreateDirectory",
"arn:aws:ssm:*:*:document/AWSFleetManager-CreateGroup",
"arn:aws:ssm:*:*:document/AWSFleetManager-CreateUser",
"arn:aws:ssm:*:*:document/AWSFleetManager-CreateUserInteractive",
"arn:aws:ssm:*:*:document/AWSFleetManager-CreateWindowsRegistryKey",
"arn:aws:ssm:*:*:document/AWSFleetManager-DeleteFileSystemItem",
"arn:aws:ssm:*:*:document/AWSFleetManager-DeleteGroup",
"arn:aws:ssm:*:*:document/AWSFleetManager-DeleteUser",
"arn:aws:ssm:*:*:document/AWSFleetManager-DeleteWindowsRegistryKey",
"arn:aws:ssm:*:*:document/AWSFleetManager-DeleteWindowsRegistryValue",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetDiskInformation",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetFileContent",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetFileSystemContent",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetGroups",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetPerformanceCounters",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetProcessDetails",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetUsers",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsEvents",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsRegistryContent",
"arn:aws:ssm:*:*:document/AWSFleetManager-MountVolume",
"arn:aws:ssm:*:*:document/AWSFleetManager-MoveFileSystemItem",
"arn:aws:ssm:*:*:document/AWSFleetManager-RemoveUsersFromGroups",
"arn:aws:ssm:*:*:document/AWSFleetManager-RenameFileSystemItem",
"arn:aws:ssm:*:*:document/AWSFleetManager-SetWindowsRegistryValue",
"arn:aws:ssm:*:*:document/AWSFleetManager-StartProcess",
"arn:aws:ssm:*:*:document/AWSFleetManager-TerminateProcess"
]
},
{
"Sid":"TerminateSession",
"Effect":"Allow",
"Action":[
"ssm:TerminateSession"
],
"Resource":"*",
"Condition": {
"StringLike":{
"ssm:resourceTag/aws:ssmmessages:session-id":[
"${aws:userid}"
]
}
}
},
{
"Sid":"KMS",
"Effect":"Allow",
"Action":[
"kms:GenerateDataKey"
],
"Resource":[
"arn:aws:kms:region
:account-id
:key/key-ID
"
]
}
]
}
Kebijakan sampel untuk Fleet Manager akses hanya-baca
Kebijakan berikut menyediakan izin untuk hanya-baca Fleet Manager fitur. Ganti masing-masing example resource placeholder
dengan informasi Anda sendiri.
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"EC2",
"Effect":"Allow",
"Action":[
"ec2:DescribeInstances",
"ec2:DescribeTags"
],
"Resource":"*"
},
{
"Sid":"General",
"Effect":"Allow",
"Action":[
"ssm:DescribeInstanceAssociationsStatus",
"ssm:DescribeInstancePatches",
"ssm:DescribeInstancePatchStates",
"ssm:DescribeInstanceProperties",
"ssm:GetCommandInvocation",
"ssm:GetServiceSetting",
"ssm:GetInventorySchema",
"ssm:ListComplianceItems",
"ssm:ListInventoryEntries",
"ssm:ListTagsForResource",
"ssm:ListCommandInvocations",
"ssm:ListAssociations"
],
"Resource":"*"
},
{
"Sid":"SendCommand",
"Effect":"Allow",
"Action":[
"ssm:GetDocument",
"ssm:SendCommand",
"ssm:StartSession"
],
"Resource":[
"arn:aws:ec2:*:account-id
:instance/*",
"arn:aws:ssm:*:account-id
:managed-instance/*",
"arn:aws:ssm:*:account-id
:document/SSM-SessionManagerRunShell",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetDiskInformation",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetFileContent",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetFileSystemContent",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetGroups",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetPerformanceCounters",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetProcessDetails",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetUsers",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsEvents",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsRegistryContent"
]
},
{
"Sid":"TerminateSession",
"Effect":"Allow",
"Action":[
"ssm:TerminateSession"
],
"Resource":"*",
"Condition": {
"StringLike":{
"ssm:resourceTag/aws:ssmmessages:session-id":[
"${aws:userid}"
]
}
}
},
{
"Sid":"KMS",
"Effect":"Allow",
"Action":[
"kms:GenerateDataKey"
],
"Resource":[
"arn:aws:kms:region
:account-id
:key/key-ID
"
]
}
]
}