AWS の AWS Systems Manager マネージドポリシー
AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供できるように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWS 管理ポリシー: AmazonSSMServiceRolePolicy
このポリシーを使用すると、AWS Systems Manager によって管理されているか、Systems Manager オペレーションで使用されている数多くの AWS リソースにアクセスできます。
AWS Identity and Access Management (IAM) エンティティに AmazonSSMServiceRolePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって AWS Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「ロールを使用してインベントリの収集と OpsData の表示を行う」を参照してください。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルが Run Command と Automation の両方を開始およびステップ実行すること、Run Command と Automation オペレーションに関する情報を取得すること、Parameter Store パラメータである Change Calendar カレンダーに関する情報を取得すること、OpsCenter リソースの Systems Manager サービス設定に関する情報を更新および取得すること、リソースに適用されたタグに関する情報を読み込むことを許可します。 -
cloudformation– プリンシパルがスタックセットオペレーションとスタックセットインスタンスに関する情報を取得すること、リソースarn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*上のスタックセットを削除することを許可します。プリンシパルが次のリソースに関連付けられているスタックインスタンスを削除することを許可します。arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:type/resource/*
-
cloudwatch– プリンシパルが Amazon CloudWatch アラームに関する情報を取得することを許可します。 -
compute-optimizer– プリンシパルが AWS Compute Optimizer サービスに対するアカウントの登録 (オプトイン) ステータスを取得すること、特定の規定要件セットを満たす Amazon EC2 インスタンスの推奨事項を取得することを許可します。 -
config– プリンシパルが AWS Config で情報修正設定と設定レコーダーを取得すること、指定された AWS Config ルールと AWS リソースに準拠するかどうかを決定することを許可します。 -
events– プリンシパルが EventBridge ルールに関する情報を取得すること、Systems Manager サービス (ssm.amazonaws.com) 専用の EventBridge ルールとターゲットを作成すること、リソースarn:aws:events:*:*:rule/SSMExplorerManagedRuleのルールとターゲットを削除することを許可します。 -
ec2– プリンシパルが Amazon EC2 インスタンスに関する情報を取得することを許可します。 -
iam– プリンシパルが Systems Manager サービス (ssm.amazonaws.com) のロールのアクセス許可を渡すことを許可します。 -
lambda– プリンシパルが特に Systems Manager で使用するために設定された Lambda 関数を呼び出すことを許可します。 -
resource-explorer-2– プリンシパルが EC2 インスタンスに関するデータを取得して、各インスタンスが現在 Systems Manager によって管理されているかどうかを確認することを許可します。アクション
resource-explorer-2:CreateManagedViewは、arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*リソースに対して許可されます。 -
resource-groups– プリンシパルがリソースグループに属する AWS Resource Groups リソースからリソースグループとそのメンバーのリストを取得することを許可します。 -
securityhub– プリンシパルが現在のアカウントの AWS Security Hub ハブリソースに関する情報を取得することを許可します。 -
states– プリンシパルが特に Systems Manager で使用するために設定された AWS Step Functions を開始してその情報を取得することを許可します。 -
support– プリンシパルが AWS Trusted Advisor のチェックとケースに関する情報を取得することを許可します。 -
tag– プリンシパルがアカウントの指定された AWS リージョンにあるすべてのタグ付けされたリソースまたは以前にタグ付けされていたリソースに関する情報を取得することを許可します。
JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「AWS マネージドポリシーリファレンスガイド」の「AmazonSSMServiceRolePolicy」を参照してください。
AWS マネージドポリシー: AmazonSSMReadOnlyAccess
AmazonSSMReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、Describe*、Get*、List* など、AWS Systems Manager API オペレーションへの読み取り専用アクセスを許可します。
JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「AWS マネージドポリシーリファレンスガイド」の「AmazonSSMReadOnlyAccess」を参照してください。
AWS マネージドポリシー: AWSSystemsManagerOpsDataSyncServiceRolePolicy
IAM エンティティに AWSSystemsManagerOpsDataSyncServiceRolePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「ロールを使用して、Explorer の OpsData および OpsItems を作成」を参照してください。
AWSSystemsManagerOpsDataSyncServiceRolePolicy では、AWSServiceRoleForSystemsManagerOpsDataSync サービスリンクロールは AWS Security Hub の結果から OpsItems と OpsData を作成して更新できます。
ポリシーでは、Systems Manager がすべての関連リソース ("Resource": "*") に対して、以下のアクションを実行できます。ただし、後述しているような例外があります。
-
ssm:GetOpsItem[1] -
ssm:UpdateOpsItem[1] -
ssm:CreateOpsItem -
ssm:AddTagsToResource[2] -
ssm:UpdateServiceSetting[3] -
ssm:GetServiceSetting[3] -
securityhub:GetFindings -
securityhub:GetFindings -
securityhub:BatchUpdateFindings[4]
[1] ssm:GetOpsItem および ssm:UpdateOpsItem のアクションは以下の条件でのみ Systems Manager のサービスに許可されます。
"Condition": { "StringEquals": { "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true" } }
[2] ssm:AddTagsToResource アクションは以下のリソースにのみ許可されます。
arn:aws:ssm:*:*:opsitem/*
[3] ssm:UpdateServiceSetting および ssm:GetServiceSetting アクションは以下のリソースにのみ許可されます。
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
[4] securityhub:BatchUpdateFindings は以下の条件でのみ、Systems Manager のサービスへのアクセス許可が拒否されます。
{ "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Confidence": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Criticality": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.Text": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.UpdatedBy": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/RelatedFindings": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Types": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.key": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.value": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/VerificationState": false } }
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSystemsManagerOpsDataSyncServiceRolePolicy」を参照してください。
AWS マネージドポリシー: AmazonSSMManagedEC2InstanceDefaultPolicy
Systems Manager 機能を使用するアクセス許可が必要な Amazon EC2 インスタンスの IAM ロールにのみ AmazonSSMManagedEC2InstanceDefaultPolicy をアタッチする必要があります。このロールは、IAM ユーザーや IAM グループなど、他の IAM エンティティや、他の目的を果たす IAM ロールにはアタッチしないでください。詳細については、「Default Host Management Configuration を使用した EC2 インスタンスの自動管理」を参照してください。
このポリシーは、さまざまなタスクを実行するために、Amazon EC2 インスタンス上の SSM Agent がクラウド内の Systems Manager サービスと通信することを可能にする許可を付与します。また、認可トークンを提供する 2 つのサービスの許可を付与して、オペレーションが正しいインスタンスで実行されることも確実にします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– ドキュメントの取得、Run Command を使用したコマンドの実行、Session Manager を使用したセッションの確立、インスタンスのインベントリの収集、および Patch Manager を使用したパッチとパッチコンプライアンスのスキャンを実行することをプリンシパルに許可します。 -
ssmmessages– 各インスタンスで、Amazon Message Gateway Service が作成したパーソナライズ済み認可トークンにアクセスすることをプリンシパルに許可します。Systems Manager は、API オペレーションで提供されたインスタンスの Amazon リソースネーム (ARN) に照らしてパーソナライズされた認可トークンを検証します。このアクセスは、SSM Agent が正しいインスタンスで API オペレーションを実行することを確実にするために必要です。 -
ec2messages– 各インスタンスで、Amazon Message Delivery Service が作成したパーソナライズ済み認可トークンにアクセスすることをプリンシパルに許可します。Systems Manager は、API オペレーションで提供されたインスタンスの Amazon リソースネーム (ARN) に照らしてパーソナライズされた認可トークンを検証します。このアクセスは、SSM Agent が正しいインスタンスで API オペレーションを実行することを確実にするために必要です。
ssmmessages および ec2messages エンドポイントに関連する情報 (2 つのエンドポイント間の違いなど) については、「エージェント関連の API オペレーション (ssmmessages および ec2messages エンドポイント)」を参照してください。
JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「AWS マネージドポリシーリファレンスガイド」の「AmazonSSMManagedEC2InstanceDefaultPolicy」を参照してください。
AWS マネージドポリシー: SSMQuickSetupRolePolicy
SSMQuickSetupRolePolicy を IAM エンティティにアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「ロールを使用して Quick Setup によってプロビジョニングされたリソースの正常性と一貫性を維持する」を参照してください。
このポリシーは、Systems Manager が設定の正常性をチェックし、パラメータとプロビジョニングされたリソースが確実に一貫して使用されるようにするとともに、ドリフトが検出された場合にリソースを修復することを許可する読み取り専用許可を付与します。また、サービスリンクロールを作成するための管理アクセス許可も付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルが委任管理者アカウントなど Systems Manager でリソースデータ同期と SSM ドキュメントの情報を読み取ることを許可します。これは、設定されたリソースについて意図されている状態を Quick Setup が判別するために必要です。 -
organizations– プリンシパルが、AWS Organizations で設定されている組織に属するメンバーアカウントに関する情報を読み取るのを許可します。これは、Quick Setup がリソースのヘルスチェックを実行する組織内のすべてのアカウントを識別するために必要です。 -
cloudformation– プリンシパルが AWS CloudFormation から情報を読み取るのを許可します。これは、Quick Setup がリソースの状態と CloudFormation スタックセットオペレーションを管理するために使用される AWS CloudFormation スタックに関するデータを収集するために必要です。
JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「AWS マネージドポリシーリファレンスガイド」の「SSMQuickSetupRolePolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupDeploymentRolePolicy
マネージドポリシー AWSQuickSetupDeploymentRolePolicy は複数の Quick Setup 設定タイプをサポートします。これらの設定タイプは、推奨されるベストプラクティスを使用して、頻繁に使用される Amazon Web Services のサービスと機能を設定する IAM ロールとオートメーションを作成します。
IAM エンティティに AWSQuickSetupDeploymentRolePolicy をアタッチできます。
このポリシーは、次の Quick Setup 設定に関連付けられたリソースを作成するために必要な管理許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
iam– プリンシパルがオートメーション設定タスクに必要な IAM ロールを管理および削除し、オートメーションロールポリシーを管理するのを許可します。 -
cloudformation— プリンシパルがスタックセットを作成および管理することを許可します。 -
config– プリンシパルが適合パックを作成、管理、削除するのを許可します。 -
events– プリンシパルがスケジュールされたアクションのイベントルールを作成、更新、削除するのを許可します。 -
resource-groups– プリンシパルが、Quick Setup 設定の対象となるリソースグループに関連付けられているリソースクエリを取得するのを許可します。 -
ssm– プリンシパルが Quick Setup 設定を適用するオートメーションランブックと関連付けを作成するのを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupDeploymentRolePolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupPatchPolicyDeploymentRolePolicy
マネージドポリシー AWSQuickSetupPatchPolicyDeploymentRolePolicy は Quick Setup を使用して組織内のインスタンスのためにパッチ適用を設定する Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。
AWSQuickSetupPatchPolicyDeploymentRolePolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
このポリシーは、Quick Setup がパッチポリシー設定に関連付けられたリソースを作成することを許可する管理許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
iam– プリンシパルがオートメーション設定タスクに必要な IAM ロールを管理および削除し、オートメーションロールポリシーを管理するのを許可します。 -
cloudformation– プリンシパルが AWS CloudFormation スタック情報を読み取り、AWS CloudFormation スタックセットを使用して Quick Setup によって作成された AWS CloudFormation スタックを制御するのを許可します。 -
ssm– プリンシパルが設定タスクに必要なオートメーションランブックを作成、更新、読み取り、削除し、State Manager 関連付けを作成、更新、削除するのを許可します。
-
resource-groups– プリンシパルが、Quick Setup 設定の対象となるリソースグループに関連付けられているリソースクエリを取得するのを許可します。
-
s3– プリンシパルが Amazon S3 バケットを一覧表示し、パッチポリシーアクセスログを保存するためのバケットを管理するのを許可します。 -
lambda– プリンシパルが設定を正しい状態に維持する AWS Lambda 修復機能を管理するのを許可します。 -
logs– プリンシパルが Lambda 設定リソースのロググループを記述および管理するのを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupPatchPolicyDeploymentRolePolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupPatchPolicyBaselineAccess
マネージドポリシー AWSQuickSetupPatchPolicyBaselineAccess は Quick Setup を使用して組織内のインスタンスのためにパッチ適用を設定する Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。
AWSQuickSetupPatchPolicyBaselineAccess を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
このポリシーは、現在の AWS アカウント または組織内の管理者が Quick Setup を使用して設定したパッチベースラインにアクセスするための読み取り専用許可を付与します。パッチベースラインは Amazon S3 バケットに保存され、単一のアカウントまたは組織全体のインスタンスへのパッチ適用に使用できます。
アクセス許可の詳細
このポリシーには、次の許可が含まれています。
-
s3– プリンシパルが Amazon S3 バケットに保存されているパッチベースラインオーバーライドを読み取るのを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupPatchPolicyBaselineAccess」を参照してください。
AWS マネージドポリシー: AWSSystemsManagerEnableExplorerExecutionPolicy
マネージドポリシー AWSSystemsManagerEnableExplorerExecutionPolicy は AWS Systems Manager のツールである Explorer の有効化をサポートします。
AWSSystemsManagerEnableExplorerExecutionPolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
このポリシーは、Explorer を有効にするための管理許可を付与します。これには、関連する Systems Manager サービス設定を更新し、Systems Manager のためにサービスにリンクされたロールを作成する許可が含まれます。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
config– 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。 -
iam– プリンシパルが Explorer の有効化をサポートするのを許可します。 -
ssm– プリンシパルが Explorer を有効にするオートメーションワークフローを開始するのを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSystemsManagerEnableExplorerExecutionPolicy」を参照してください。
AWS マネージドポリシー: AWSSystemsManagerEnableConfigRecordingExecutionPolicy
マネージドポリシー AWSSystemsManagerEnableConfigRecordingExecutionPolicy は Quick Setup を使用して AWS Config 設定レコーダーを作成する Quick Setup 設定タイプをサポートします。この設定タイプを使用すると、AWS Config のために選択した AWS リソースタイプに対する変更を追跡および記録するよう Quick Setup を有効にできます。また、記録されたデータの配信および通知オプションを設定するよう Quick Setup を有効にすることもできます。
AWSSystemsManagerEnableConfigRecordingExecutionPolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
このポリシーは、Quick Setup が AWS Config 設定記録を有効にして設定することを許可する管理許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
s3– プリンシパルが設定記録の配信用に Amazon S3 バケットを作成および設定するのを許可します。 -
sns– プリンシパルが Amazon SNS トピックを一覧表示および作成するのを許可します。 -
config– プリンシパルが設定レコーダーを設定して起動し、Explorer の有効化をサポートするのを許可します。 -
iam– プリンシパルが AWS Config のためにサービスにリンクされたロールを作成、取得、渡して、Systems Manager のためにサービスにリンクされたロールを作成し、Explorer の有効化をサポートするのを許可します。 -
ssm– プリンシパルが Explorer を有効にするオートメーションワークフローを開始するのを許可します。 -
compute-optimizer– リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。 -
support– リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSystemsManagerEnableConfigRecordingExecutionPolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupDevOpsGuruPermissionsBoundary
注記
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「IAM ユーザーガイド」の「IAM エンティティのアクセス許可の境界」を参照してください。
マネージドポリシー AWSQuickSetupDevOpsGuruPermissionsBoundary は Quick Setup を使用して DevOps Guru をセットアップする タイプをサポートします。この設定タイプにより、機械学習を活用した Amazon DevOps Guru が有効になります。DevOps Guru サービスは、アプリケーションの運用パフォーマンスと可用性の向上に役立ちます。
Quick Setup を使用して AWSQuickSetupDevOpsGuruPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、Quick Setup が Amazon DevOps Guru を有効にして設定するのを許可する管理許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
iam– プリンシパルが DevOps Guru および Systems Manager のためにサービスにリンクされたロールを作成し、Explorer を有効にするのに役立つロールを一覧表示するのを許可します。 -
cloudformation— プリンシパルが AWS CloudFormation スタックを一覧表示および記述することを許可します。 -
sns– プリンシパルが Amazon SNS トピックを一覧表示および作成するのを許可します。 -
devops-guru– プリンシパルが DevOps Guru を設定し、通知チャネルを追加するのを許可します。 -
config– – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。 -
ssm– プリンシパルが Explorer を有効にするオートメーションワークフローを開始すること、および Explorer サービス設定を読み取ったり、更新したりすることを許可します。 -
compute-optimizer– リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。 -
support– リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupDevOpsGuruPermissionsBoundary」を参照してください。
AWS マネージドポリシー: AWSQuickSetupDistributorPermissionsBoundary
注記
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「IAM ユーザーガイド」の「IAM エンティティのアクセス許可の境界」を参照してください。
マネージドポリシー AWSQuickSetupDistributorPermissionsBoundary は Quick Setup を使用して Distributor パッケージをデプロイする Quick Setup 設定タイプをサポートします。この設定タイプは、AWS Systems Manager のツールである Distributor を使用して、エージェントなどのソフトウェアパッケージの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへの配布の有効化をサポートします。
Quick Setup を使用して AWSQuickSetupDistributorPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、ディストリビューターを使用した、エージェントなどのソフトウェアパッケージの Amazon EC2 インスタンスへの配布を Quick Setup が有効にすることを許可する管理許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
iam– プリンシパルがディストリビューターオートメーションロールを取得して渡すこと、デフォルトのインスタンスロールを作成、読み取り、更新、削除すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、インスタンスマネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、およびデフォルトのインスタンスプロファイルを作成することを許可します。 -
ec2– プリンシパルがデフォルトのインスタンスプロファイルを EC2 インスタンスに関連付け、Explorer の有効化をサポートするのを許可します。 -
ssm– プリンシパルがインスタンスを設定してパッケージをインストールするオートメーションワークフローを開始すること、Explorer を有効にするオートメーションワークフローの開始をサポートすること、Explorer サービス設定を読み取ったり、更新したりすることを許可します。 -
config– 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。 -
compute-optimizer– リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。 -
support– リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupDistributorPermissionsBoundary」を参照してください。
AWS マネージドポリシー: AWSQuickSetupSSMHostMgmtPermissionsBoundary
注記
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「IAM ユーザーガイド」の「IAM エンティティのアクセス許可の境界」を参照してください。
マネージドポリシー AWSQuickSetupSSMHostMgmtPermissionsBoundary は Quick Setup を使用して Amazon EC2 ホスト管理を設定する Quick Setup 設定タイプをサポートします。この設定タイプは、IAM ロールを設定し、一般的に使用される Systems Manager のツールを有効にして、Amazon EC2 インスタンスを安全に管理します。
Quick Setup を使用して AWSQuickSetupSSMHostMgmtPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、Quick Setup が EC2 インスタンスを安全に管理するために必要な Systems Manager のツールを有効にして設定することを許可する管理許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
iam– プリンシパルがサービスロールを取得してオートメーションに渡すのを許可します。プリンシパルがデフォルトのインスタンスロールを作成、読み取り、更新、削除すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、インスタンスマネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、およびデフォルトのインスタンスプロファイルを作成することを許可します。 -
ec2– プリンシパルがデフォルトのインスタンスプロファイルを EC2 インスタンスに関連付けたり、関連付けを解除したりするのを許可します -
ssm– プリンシパルが Explorer を有効にするオートメーションワークフローを開始すること、Explorer サービス設定を読み取ったり、更新したりすること、インスタンスを設定すること、インスタンスで Systems Manager のツールを有効にすることを許可します。 -
compute-optimizer– リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。 -
support– リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupSSMHostMgmtPermissionsBoundary」を参照してください。
AWS マネージドポリシー: AWSQuickSetupPatchPolicyPermissionsBoundary
注記
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「IAM ユーザーガイド」の「IAM エンティティのアクセス許可の境界」を参照してください。
マネージドポリシー AWSQuickSetupPatchPolicyPermissionsBoundary は Quick Setup を使用して組織内のインスタンスのためにパッチ適用を設定する Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。
Quick Setup を使用して AWSQuickSetupPatchPolicyPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、Quick Setup が AWS Systems Manager のツールである Patch Manager でパッチポリシーを有効にして設定することを許可する管理許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
iam– プリンシパルが Patch Manager オートメーションロールを取得すること、オートメーションロールを Patch Manager パッチ適用オペレーションに渡すこと、デフォルトのインスタンスロールAmazonSSMRoleForInstancesQuickSetupを作成すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、選択した AWS マネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、インスタンスプロファイルとロールに関する情報を読み取ること、デフォルトのインスタンスプロファイルを作成すること、パッチベースラインオーバーライドを読み取るための許可を持つロールにタグ付けすることを許可します。 -
ssm– プリンシパルが Systems Manager によって管理されるインスタンスロールを更新すること、Quick Setup で作成された Patch Manager パッチポリシーによって作成された関連付けを管理すること、パッチポリシー設定の対象となるインスタンスにタグ付けすること、インスタンスとパッチ適用ステータスに関する情報を読み取ること、インスタンスパッチを設定、有効化、修復するオートメーションワークフローを開始すること、Explorer を有効にするオートメーションワークフローを開始すること、Explorer の有効化をサポートすること、Explorer サービス設定を読み取ったり、更新したりすることを許可します。 -
ec2– プリンシパルが、デフォルトのインスタンスプロファイルの EC2 インスタンスへの関連付けおよび関連付け解除、パッチポリシー設定の対象となるインスタンスへのタグ付け、Explorer の有効化のサポートを実行するのを許可します。 -
s3– プリンシパルがパッチベースラインオーバーライドを保存するために S3 バケットを作成および設定するのを許可します。 -
lambda– プリンシパルがパッチ適用を設定する AWS Lambda 関数を呼び出し、Quick Setup パッチポリシー設定が削除された後にクリーンアップオペレーションを実行するのを許可します。 -
logs– プリンシパルが Patch Manager Quick Setup AWS Lambda 関数についてのログ記録を設定するのを許可します。 -
config– 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。 -
compute-optimizer– リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。 -
support– リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupPatchPolicyPermissionsBoundary」を参照してください。
AWS マネージドポリシー: AWSQuickSetupSchedulerPermissionsBoundary
注記
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「IAM ユーザーガイド」の「IAM エンティティのアクセス許可の境界」を参照してください。
マネージドポリシー AWSQuickSetupSchedulerPermissionsBoundary は Quick Setup を使用してスケジュールに従って EC2 インスタンスを自動的に停止および起動する Quick Setup 設定タイプをサポートします。この設定タイプを使用すると、指定した時刻に EC2 インスタンスや他のリソースを停止および起動できます。
Quick Setup を使用して AWSQuickSetupSchedulerPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、Quick Setup が EC2 インスタンスや他のリソースでスケジュールされたオペレーションを有効にして設定することを許可する管理許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
iam– プリンシパルがインスタンス管理オートメーションアクション用のロールを取得して渡すこと、EC2 インスタンス管理用のデフォルトのインスタンスロールを管理およびアタッチしたり、渡したりすること、デフォルトのインスタンスプロファイルを作成すること、インスタンスプロファイルにデフォルトのインスタンスロールを追加すること、Systems Manager のためにサービスにリンクされたロールを作成すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、デフォルトのインスタンスプロファイルを EC2 インスタンスに関連付けること、ならびにオートメーションワークフローを開始してインスタンスを設定し、それらで Systems Manager ツールを有効にすることを許可します。 -
ssm– プリンシパルが Explorer を有効にするオートメーションワークフローを開始し、Explorer サービス設定を読み取ったり、更新したりするのを許可します。 -
ec2 – プリンシパルがターゲットインスタンスを見つけて、スケジュールに従ってそれらのインスタンスを起動および停止するのを許可します。
-
config– 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。 -
compute-optimizer– リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。 -
support– プリンシパルがアカウントの AWS Trusted Advisor チェックへの読み取り専用アクセスを提供することで、Explorer の有効化をサポートするのを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupSchedulerPermissionsBoundary」を参照してください。
AWS マネージドポリシー: AWSQuickSetupCFGCPacksPermissionsBoundary
注記
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「IAM ユーザーガイド」の「IAM エンティティのアクセス許可の境界」を参照してください。
マネージドポリシー AWSQuickSetupCFGCPacksPermissionsBoundary は Quick Setup を使用して AWS Config 適合パックをデプロイする Quick Setup 設定タイプをサポートします。この設定タイプは、AWS Config 適合パックをデプロイします。適合パックは、単一のエンティティとしてデプロイできる AWS Config ルールと修復アクションをまとめたものです。
Quick Setup を使用して AWSQuickSetupCFGCPacksPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。
このポリシーは、Quick Setup が AWS Config 適合パックをデプロイすることを許可する管理許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
iam– プリンシパルが AWS Config のためにサービスにリンクされたロールを作成、取得、渡すのを許可します。 -
sns– プリンシパルが Amazon SNS でプラットフォームアプリケーションを一覧表示するのを許可します。 -
config– プリンシパルが AWS Config 適合パックをデプロイすること、適合パックのステータスを取得すること、設定レコーダーに関する情報を取得することを許可します。 -
ssm– プリンシパルが SSM ドキュメントとオートメーションワークフローに関する情報を取得すること、リソースタグに関する情報を取得すること、サービス設定に関する情報を取得し、サービス設定を更新することを許可します。 -
compute-optimizer– プリンシパルがアカウントのオプトインステータスを取得するのを許可します。 -
support– プリンシパルが AWS Trusted Advisor チェックに関する情報を取得するのを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupCFGCPacksPermissionsBoundary」を参照してください。
AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
ポリシー AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy では、ノードが管理されているアカウントとリージョンで Automation ワークフローを開始することで、Systems Manager サービスとやり取りするノードの問題を診断するためのアクセス許可を付与できます。
AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わって診断アクションを実行することを許可するサービスロールをこのポリシーにアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルがノードの問題を診断する Automation ランブックを実行し、ワークフローの実行ステータスにアクセスすることを許可します。 -
kms– プリンシパルが S3 バケット内のオブジェクトの暗号化に使用されるお客様指定の AWS Key Management Service キーを使用して、バケット内のオブジェクトのコンテンツを復号化してアクセスすることを許可します。 -
sts– プリンシパルが診断実行ロールを引き受けて同じアカウントで Automation ランブックを実行することを許可します。 -
iam– プリンシパルが診断管理ロール (例えば、self) を Systems Manager に渡して Automation ランブックを実行することを許可します。 -
s3– プリンシパルがオブジェクトにアクセスして S3 バケットに書き込むことを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy」を参照してください。
AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
マネージドポリシー AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy では、ターゲットの AWS アカウントとリージョンで Automation ランブックを実行して、Systems Manager サービスとやり取りするマネージドノードの問題を診断するための管理アクセス許可を付与できます。
AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルが診断固有の Automation ランブックを実行し、Automation ワークフローのステータスと実行メタデータにアクセスすることを許可します。 -
ec2– プリンシパルが Amazon EC2 および Amazon VPC のリソースとその設定を記述して、Systems Manager サービスに関する問題を診断することを許可します。 -
kms– プリンシパルが S3 バケット内のオブジェクトの暗号化に使用されるお客様指定の AWS Key Management Service キーを使用して、バケット内のオブジェクトのコンテンツを復号化してアクセスすることを許可します。 -
iam– プリンシパルが診断実行ロール (例えば、self) を Systems Manager に渡して Automation ドキュメントを実行することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy」を参照してください。
AWS マネージドポリシー: AWS-SSM-RemediationAutomation-AdministrationRolePolicy
マネージドポリシー AWS-SSM-RemediationAutomation-AdministrationRolePolicy では、ノードを管理しているアカウントとリージョンで Automation ワークフローを開始することにより、Systems Manager サービスとやり取りするマネージドノードの問題を修復するためのアクセス許可を付与できます。
このポリシーを IAM エンティティにアタッチできます。Systems Manager は、Systems Manager がユーザーに代わって修復アクションを実行することを許可するサービスロールにも、このポリシーをアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルが特定の Automation ランブックを実行し、Automation ワークフローのステータスと実行ステータスにアクセスすることを許可します。 -
kms– プリンシパルが S3 バケット内のオブジェクトの暗号化に使用されるお客様指定の AWS Key Management Service キーを使用して、バケット内のオブジェクトのコンテンツを復号化してアクセスすることを許可します。 -
sts– プリンシパルが修復実行ロールを引き受けて同じアカウントで SSM Automation ドキュメントを実行することを許可します。 -
iam– プリンシパルが修復管理者ロール (例えば、self) を Systems Manager に渡して Automation ドキュメントを実行することを許可します。 -
s3– プリンシパルがオブジェクトにアクセスして S3 バケットに書き込むことを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWS-SSM-RemediationAutomation-AdministrationRolePolicy」を参照してください。
AWS マネージドポリシー: AWS-SSM-RemediationAutomation-ExecutionRolePolicy
マネージドポリシー AWS-SSM-RemediationAutomation-ExecutionRolePolicy では、特定のターゲットアカウントとリージョンで Automation ランブックを実行して、Systems Manager サービスとやり取りするマネージドノードの問題を修復するためのアクセス許可を付与できます。
このポリシーを IAM エンティティにアタッチできます。Systems Manager は、Systems Manager がユーザーに代わって修復アクションを実行することを許可するサービスロールにも、このポリシーをアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルが特定の Automation ランブックを実行し、実行メタデータと実行ステータスにアクセスすることを許可します。 -
ec2– プリンシパルが Systems Manager サービスとその関連するリソース (セキュリティグループなど) の問題を修復するために Amazon EC2 リソースおよび Amazon VPC リソースとその設定を作成、アクセス、変更し、リソースにタグをアタッチすることを許可します。 -
kms– プリンシパルが S3 バケット内のオブジェクトの暗号化に使用されるお客様指定の AWS Key Management Service キーを使用して、バケット内のオブジェクトのコンテンツを復号化してアクセスすることを許可します。 -
iam– プリンシパルが修復実行ロール (例えば、self) を SSM サービスに渡して Automation ドキュメントを実行することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWS-SSM-RemediationAutomation-ExecutionRolePolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupSSMManageResourcesExecutionPolicy
このポリシーは、Quick Setup が AWSQuickSetupType-SSM-SetupResources Automation ランブックを実行することを許可するアクセス許可を付与します。このランブックは Quick Setup 関連付けの IAM ロールを作成し、関連付けは AWSQuickSetupType-SSM のデプロイによって作成されます。また、Quick Setup 削除オペレーション時に関連する Amazon S3 バケットをクリーンアップするためのアクセス許可も付与します。
このポリシーを IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わってアクションを実行することを許可するサービスロールをこのポリシーにアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
iam– プリンシパルが Quick Setup Systems Manager Explorer オペレーションで使用する IAM ロールをリストおよび管理すること、Quick Setup および Systems Manager Explorer で使用する IAM ポリシーを表示、アタッチ、デタッチすることを許可します。これらのアクセス許可は、Quick Setup で一部の設定オペレーションに必要なロールを作成するために必要です。 -
s3– プリンシパルがプリンシパルアカウントの Amazon S3 バケットにあるオブジェクトのうち、特に Quick Setup 設定オペレーションに使用されるオブジェクトの情報を取得すること、そのオブジェクトを Amazon S3 バケットから削除することを許可します。これは、設定後に不要になった S3 オブジェクトを削除するために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupSSMManageResourcesExecutionPolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupSSMLifecycleManagementExecutionPolicy
AWSQuickSetupSSMLifecycleManagementExecutionPolicy ポリシーは、Systems Manager に Quick Setup をデプロイする際にライフサイクルイベントに対して AWS CloudFormation カスタムリソースを実行することを Quick Setup に許可する管理アクセス許可を付与します。
このポリシーを IAM エンティティにアタッチできます。Systems Manager は、Systems Manager がユーザーに代わってアクションを実行することを許可するサービスロールにも、このポリシーをアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルがオートメーションの実行に関する情報を取得し、特定の Quick Setup オペレーションをセットアップするためのオートメーションの実行を開始することを許可します。 -
iam– プリンシパルが特定の Quick Setup リソースをセットアップするためのロールを IAM から渡すことを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupSSMLifecycleManagementExecutionPolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupSSMDeploymentRolePolicy
マネージドポリシー AWSQuickSetupSSMDeploymentRolePolicy は、Systems Manager のオンボーディングプロセス時に使用されるリソースの作成を Quick Setup に許可する管理アクセス許可を付与します。
このポリシーを IAM エンティティに手動でアタッチすることもできますがお勧めしません。Quick Setup は、ユーザーに代わってアクションを実行することを Systems Manager に許可するサービスロールにこのポリシーをアタッチするエンティティを作成します。
このポリシーは、SSMQuickSetupRolePolicy ポリシーとは関係ありません。これは、AWSServiceRoleForSSMQuickSetup サービスリンクロールにアクセス許可を付与するために使用するポリシーです。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルが AWS CloudFormation テンプレートと特定の SSM ドキュメントセットを使用して作成された特定のリソースの関連付けを管理すること、AWS CloudFormation テンプレートを使用してマネージドノードを診断して修復するためのロールとロールポリシーを管理すること、Quick Setup ライフサイクルイベントのポリシーをアタッチおよび削除することを許可します。 -
iam– プリンシパルが Systems Manager サービスと Lambda サービスのロールのアクセス許可を渡すこと、診断オペレーションのロールのアクセス許可を渡すことを許可します。 -
lambda– プリンシパルが AWS CloudFormation テンプレートを使用してプリンシパルアカウントの Quick Setup ライフサイクルの関数を管理することを許可します。 -
cloudformation– プリンシパルが AWS CloudFormation から情報を読み取るのを許可します。これは、Quick Setup がリソースの状態と CloudFormation スタックセットオペレーションを管理するために使用される AWS CloudFormation スタックに関するデータを収集するために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupSSMDeploymentRolePolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupSSMDeploymentS3BucketRolePolicy
AWSQuickSetupSSMDeploymentS3BucketRolePolicy ポリシーは、アカウント内のすべての S3 バケットをリストするためのアクセス許可と、プリンシパルアカウントで AWS CloudFormation テンプレートを使用して管理される特定のバケットに関する情報を管理および取得するためのアクセス許可を付与します。
AWSQuickSetupSSMDeploymentS3BucketRolePolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
s3– プリンシパルがアカウント内のすべての S3 バケットをリストすること、プリンシパルアカウントで AWS CloudFormation テンプレートを使用して管理される特定のバケットに関する情報を管理および取得することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupSSMDeploymentS3BucketRolePolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupEnableDHMCExecutionPolicy
このポリシーは、プリンシパルが AWSQuickSetupType-EnableDHMC Automation ランブックを実行してデフォルトのホスト管理設定を有効にすることを許可する管理アクセス許可を付与します。デフォルトのホスト管理設定では、Systems Manager が Amazon EC2 インスタンスをマネージドインスタンスとして自動的に管理できます。マネージドインスタンスとは、Systems Manager で使用するために設定された EC2 インスタンスです。このポリシーは、Systems Manager サービス設定に SSM Agent のデフォルトのロールとして指定されている IAM ロールを作成するためのアクセス許可も付与します。
AWSQuickSetupEnableDHMCExecutionPolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルが Systems Manager サービス設定に関する情報を更新および取得することを許可します。 -
iam– プリンシパルが Quick Setup オペレーションの IAM ロールに関する情報を作成および取得することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupEnableDHMCExecutionPolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupEnableAREXExecutionPolicy
このポリシーは、AWSQuickSetupType-EnableAREX Automation ランブックを実行して Systems Manager で AWS Resource Explorer を使用できるようにすることを Systems Manager に許可する管理アクセス許可を付与します。Resource Explorer を使用すると、インターネット検索エンジンと似た検索エクスペリエンスでアカウントのリソースを表示できます。このポリシーは、Resource Explorer のインデックスとビューを管理するためのアクセス許可も付与します。
AWSQuickSetupEnableAREXExecutionPolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
iam– プリンシパルが AWS Identity and Access Management (IAM) サービスにサービスリンクロールを作成することを許可します。 -
resource-explorer-2– プリンシパルが Resource Explorer のビューとインデックスに関する情報を取得すること、Resource Explorer のビューとインデックスを作成すること、Quick Setup に表示されているインデックスのインデックスタイプを変更することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupEnableAREXExecutionPolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupManagedInstanceProfileExecutionPolicy
このポリシーは、Quick Setup ツールのデフォルトの IAM インスタンスプロファイルを作成して、まだインスタンスプロファイルがアタッチされていない Amazon EC2 インスタンスにアタッチすることを Systems Manager に許可する管理アクセス許可を付与します。このポリシーは、既存のインスタンスプロファイルにアクセス許可をアタッチする機能も Systems Manager に付与します。その目的は、Systems Manager が EC2 インスタンス上の SSM Agent と通信するために必要なアクセス許可を確実に付与することです。
AWSQuickSetupManagedInstanceProfileExecutionPolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルが Quick Setup プロセスに関連付けられている Automation ワークフローを開始することを許可します。 -
ec2– プリンシパルが Quick Setup によって管理される EC2 インスタンスに IAM インスタンスプロファイルをアタッチすることを許可します。 -
iam– プリンシパルが Quick Setup プロセスに使用されるロールに関する情報を作成、更新、および IAM から取得すること、IAM インスタンスプロファイルを作成すること、IAM インスタンスプロファイルにAmazonSSMManagedInstanceCoreマネージドポリシーをアタッチすることを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupManagedInstanceProfileExecutionPolicy」を参照してください。
AWS マネージドポリシー: AWSQuickSetupFullAccess
このポリシーは、AWS Management Consoleおよび AWS SDK 内の AWS Systems Manager Quick Setup API アクションとデータへのフルアクセスと、Quick Setup オペレーションに必要な他の AWS のサービスリソースへの制限付きアクセスを許可する管理アクセス許可を付与します。
AWSQuickSetupFullAccess ポリシーを IAM アイデンティティにアタッチできます。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルが Explorer を有効にすること、State Manager でリソースデータ同期オペレーションを実行すること、SSM コマンドドキュメントと Automation ランブックを使用してオペレーションを実行することを許可します。Explorer、State Manager、Documents、Automation はすべて Systems Manager のツールです。
-
cloudformation– プリンシパルが AWS リージョンと AWS アカウント全体にわたってリソースをプロビジョニングするために必要な AWS CloudFormation オペレーションを実行することを許可します。 -
ec2– プリンシパルが AWS Management Consoleで特定の設定に必要なパラメータを選択して検証を実施することを許可します。 -
iam– プリンシパルが Quick Setup オペレーションに必要なサービスロールとサービスリンクロールを作成することを許可します。 -
organizations– プリンシパルが AWS Organizations 組織内のアカウントのステータスを読み取ること、組織の構造を取得すること、信頼できるアクセスを有効にすること、管理アカウントから委任管理者アカウントを登録することを許可します。 -
resource-groups– プリンシパルが AWS Management Consoleで特定の設定に必要なパラメータを選択して検証を実施することを許可します。 -
s3– プリンシパルが AWS Management Consoleで特定の設定に必要なパラメータを選択して検証を実施することを許可します。 -
ssm-quicksetup– プリンシパルが Quick Setup で読み取り専用アクションを実行することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupFullAccess」を参照してください。
AWS マネージドポリシー: AWSQuickSetupReadOnlyAccess
このポリシーは、Quick Setup オペレーションに必要な他の AWS のサービスリソースからの情報など、プリンシパルが AWS Systems Manager Quick Setup データとレポートを表示することを許可する読み取り専用アクセス許可を付与します。
AWSQuickSetupReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルが SSM コマンドドキュメントと Automation ランブックを読み取ること、State Manager 関連付け実行のステータスを取得することを許可します。 -
cloudformation– プリンシパルが AWS CloudFormation のデプロイのステータスを取得するために必要なオペレーションを開始することを許可します。 -
organizations– プリンシパルが AWS Organizations 組織内のアカウントのステータスを読み取ることを許可します。 -
ssm-quicksetup– プリンシパルが Quick Setup で読み取り専用アクションを実行することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupReadOnlyAccess」を参照してください。
AWS マネージドポリシー: AWS-SSM-Automation-DiagnosisBucketPolicy
マネージドポリシー AWS-SSM-Automation-DiagnosisBucketPolicy では、問題の診断と修復に使用される S3 バケットにアクセスして、AWS Systems Manager サービスとやり取りするノードの問題を診断するためのアクセス許可を付与できます。
AWS-SSM-Automation-DiagnosisBucketPolicy ポリシーを IAM アイデンティティにアタッチできます。Systems Manager は、ユーザーに代わって診断アクションを実行することを許可する IAM ロールにもこのポリシーをアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
s3– プリンシパルがオブジェクトにアクセスして Amazon S3 バケットに書き込むことを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWS-SSM-Automation-DiagnosisBucketPolicy」を参照してください。
AWS マネージドポリシー: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
マネージドポリシー AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy では、組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できます。
AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy を IAM ID にアタッチできます。Systems Manager は、ユーザーに代わって診断アクションを実行することを許可する IAM ロールにもこのポリシーをアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
organizations– プリンシパルが組織のルートをリストし、メンバーアカウントを取得してターゲットアカウントを決定することを許可します。 -
sts– プリンシパルが修復実行ロールを引き受けて同じ組織内のアカウントとリージョン全体にわたって SSM Automation ドキュメントを実行することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy」を参照してください。
AWS マネージドポリシー: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
マネージドポリシー AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy では、組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できます。
AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy ポリシーを IAM アイデンティティにアタッチできます。Systems Manager は、ユーザーに代わって診断アクションを実行することを許可する IAM ロールにもこのポリシーをアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
organizations– プリンシパルが組織のルートをリストし、メンバーアカウントを取得してターゲットアカウントを決定することを許可します。 -
sts– プリンシパルが診断実行ロールを引き受けて同じ組織内のアカウントとリージョン全体にわたって SSM Automation ドキュメントを実行することを許可します。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy」を参照してください。
AWS マネージドポリシーの Systems Manager 更新
以下の表には、このサービスによりこれらの変更の追跡が開始された 2021 年 3 月 12 日以降に行われた Systems Manager 用 AWS マネージドポリシーに対する更新の詳しい説明が記載されています。Systems Manager サービスの他のマネージドポリシーについては、このトピックの後半の「Systems Manager 用の追加のマネージドポリシー」を参照してください。このページの変更に関する自動通知については、[Systems Manager ドキュメント履歴] ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy - 新しいポリシー |
組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できる新しいポリシーが Systems Manager に追加されました。 |
2024 年 11 月 21 日 |
|
AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy - 新しいポリシー |
組織固有のアクセス許可を提供することで、ノードの問題を診断するためのアクセス許可を運用アカウントに付与できる新しいポリシーが Systems Manager に追加されました。 |
2024 年 11 月 21 日 |
|
AWS-SSM-Automation-DiagnosisBucketPolicy - 新しいポリシー |
ターゲットのアカウントとリージョン内のマネージドノードに関する問題を診断する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 |
2024 年 11 月 21 日 |
|
AmazonSSMServiceRolePolicy – 既存ポリシーへの更新 |
AWS Resource Explorer に Amazon EC2 インスタンスに関する詳細を収集し、結果を新しい Systems Manager ダッシュボードのウィジェットに表示することを許可する新しいアクセス許可が Systems Manager に追加されました。 |
2024 年 11 月 21 日 |
| SSMQuickSetupRolePolicy – 既存ポリシーへの更新 | Systems Manager のマネージドポリシー SSMQuickSetupRolePolicy が更新されました。この更新により、関連付けられたサービスリンクロール AWSServiceRoleForSSMQuickSetup でリソースデータの同期を管理できるようになります。 |
2024 年 11 月 21 日 |
| AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を診断する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を診断する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| AWS-SSM-RemediationAutomation-AdministrationRolePolicy - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を修復する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| AWS-SSM-RemediationAutomation-ExecutionRolePolicy - 新しいポリシー | ターゲットのアカウントとリージョン内のマネージドノードに関する問題を修復する Automation ワークフローを開始できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| AWSQuickSetupSSMManageResourcesExecutionPolicy - 新しいポリシー | Quick Setup で Quick Setup 関連付けの IAM ロールを作成するオペレーションを実行できるように、新しいポリシーが Systems Manager に追加されました。関連付けは AWSQuickSetupType-SSM のデプロイによって作成されます。 |
2024 年 11 月 21 日 |
| AWSQuickSetupSSMLifecycleManagementExecutionPolicy - 新しいポリシー | Quick Setup のデプロイ時に Quick Setup がライフサイクルイベントで AWS CloudFormation カスタムリソースを実行できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| AWSQuickSetupSSMDeploymentRolePolicy - 新しいポリシー | Systems Manager のオンボーディングプロセス時に使用されるリソースの作成を Quick Setup に許可する管理アクセス許可を付与できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| AWSQuickSetupSSMDeploymentS3BucketRolePolicy - 新しいポリシー | AWS CloudFormation テンプレートを使用して管理されるプリンシパルアカウントの特定のバケットに関する情報を管理および取得できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| AWSQuickSetupEnableDHMCExecutionPolicy - 新しいポリシー | 自ら既存の AmazonSSMManagedEC2InstanceDefaultPolicy を使用する IAM ロールを作成することを Quick Setup に許可する新しいポリシーが Systems Manager に導入されます。このポリシーには、SSM Agent が Systems Manager サービスと通信するために必要なアクセス許可がすべて含まれています。この新しいポリシーでは、Systems Manager サービス設定に変更を加えることもできます。 | 2024 年 11 月 21 日 |
| AWSQuickSetupEnableAREXExecutionPolicy - 新しいポリシー | Quick Setup が AWS Resource Explorer のサービスリンクロールを作成して Resource Explorer のビューとアグリゲーターインデックスにアクセスできるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| AWSQuickSetupManagedInstanceProfileExecutionPolicy - 新しいポリシー |
Quick Setup がデフォルトの Quick Setup インスタンスプロファイルを作成して、関連付けられたインスタンスプロファイルがない任意の Amazon EC2 インスタンスにアタッチできるように、新しいポリシーが Systems Manager に追加されました。この新しいポリシーにより、Quick Setup は既存のプロファイルにアクセス許可をアタッチして、必要なすべての Systems Manager アクセス許可を確実に付与できるようになります。 |
2024 年 11 月 21 日 |
| AWSQuickSetupFullAccess - 新しいポリシー | エンティティに AWS Management Consoleおよび AWS SDK 内の AWS Systems Manager Quick Setup API アクションとデータへのフルアクセスと、Quick Setup オペレーションに必要な他の AWS のサービスリソースへの制限付きアクセスを付与できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
| AWSQuickSetupReadOnlyAccess - 新しいポリシー | Quick Setup オペレーションに必要な他の AWS のサービスリソースからの情報など、プリンシパルが AWS Systems Manager Quick Setup データとレポートを表示することを許可する読み取り専用アクセス許可を付与できるように、新しいポリシーが Systems Manager に追加されました。 | 2024 年 11 月 21 日 |
|
SSMQuickSetupRolePolicy – 既存ポリシーへの更新 |
Quick Setup で作成した追加の AWS CloudFormation スタックセットの健全性をチェックできるよう、Systems Manager で新しいアクセス許可を追加しました。 |
2024 年 8 月 13 日 |
| AmazonSSMManagedEC2InstanceDefaultPolicy – 既存ポリシーへの更新 | Systems Manager が、AmazonSSMManagedEC2InstanceDefaultPolicy の JSON ポリシーにステートメント ID (Sid) を追加しました。これらの Sid は、各ポリシーステートメントの目的のインライン記述を提供します。 |
2024 年 7 月 18 日 |
| SSMQuickSetupRolePolicy - 新しいポリシー | Systems Manager は、デプロイされたリソースの正常性をチェックし、元の設定からドリフトしたインスタンスを修復することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| AWSQuickSetupDeploymentRolePolicy - 新しいポリシー | Systems Manager は、IAM ロールとオートメーションを作成する (これは、推奨されるベストプラクティスを使用して頻繁に使用される Amazon Web Services サービスと機能を設定します) 複数の Quick Setup 設定タイプをサポートする新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
|
AWSQuickSetupPatchPolicyDeploymentRolePolicy – 新しいポリシー |
Systems Manager は、Patch Manager パッチポリシー Quick Setup 設定に関連付けられたリソースを作成することを Quick Setup に許可する新しいポリシーを追加しました。 |
2024 年 7 月 3 日 |
|
AWSQuickSetupPatchPolicyBaselineAccess – 新しいポリシー |
Systems Manager は、読み取り専用許可で Patch Manager のパッチベースラインにアクセスすることを Quick Setup に許可する新しいポリシーを追加しました。 |
2024 年 7 月 3 日 |
| AWSSystemsManagerEnableExplorerExecutionPolicy – 新しいポリシー | Systems Manager は、Explorer を有効にするための管理許可を付与することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
| AWSSystemsManagerEnableConfigRecordingExecutionPolicy – 新しいポリシー | Systems Manager は、AWS Config 設定記録を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 | 2024 年 7 月 3 日 |
|
Systems Manager は、Amazon DevOps Guru を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 |
2024 年 7 月 3 日 | |
|
Systems Manager は、AWS Systems Manager のツールである Distributor を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 |
2024 年 7 月 3 日 | |
|
Systems Manager は、Amazon EC2 インスタンスを安全に管理するための Systems Manager のツールを有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 |
2024 年 7 月 3 日 | |
|
Systems Manager は、AWS Systems Manager のツールである Patch Manager でパッチポリシーを有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 |
2024 年 7 月 3 日 | |
|
Systems Manager は、Amazon EC2 インスタンスや他のリソースでスケジュールされたオペレーションを有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 |
2024 年 7 月 3 日 | |
|
Systems Manager は、AWS Config 適合パックをデプロイすることを Quick Setup に許可する新しいポリシーを追加しました。 |
2024 年 7 月 3 日 | |
|
AWSSystemsManagerOpsDataSyncServiceRolePolicy – 既存ポリシーへの更新 |
OpsCenter は、OpsData 関連のオペレーションを管理するための Explorer のサービスにリンクされたロール内のサービスコードのセキュリティを強化することを目的として、ポリシーを更新しました。 | 2023 年 7 月 3 日 |
|
AmazonSSMManagedEC2InstanceDefaultPolicy - 新しいポリシー |
Systems Manager は、IAM インスタンスプロファイルを使用せずに、Amazon EC2 インスタンスで Systems Manager 機能を許可する新しいポリシーを追加しました。 |
2022 年 8 月 18 日 |
|
AmazonSSMServiceRolePolicy – 既存のポリシーを更新します |
Systems Manager では、Explorer または OpsCenter からSecurity Hub を有効にしたときに、Explorer が管理ルールを作成できるようにする新しいアクセス許可が追加されました。OpsData を許可する前に、その設定と Compute Optimizer コンピュートオプティマイザが、必要な要件を満たしていることを確認するための新しいアクセス許可が追加されました。 |
2021 年 4 月 27 日 |
|
Systems Manager は、Explorer と OpsCenter のSecurity Hub 結果から OpsItems と OpsData を作成および更新する新しいポリシーを追加しました。 |
2021 年 4 月 27 日 | |
|
|
Systems Manager では、Explorer の複数のアカウントと AWS リージョン からの集計 OpsData と OpsItems の詳細を表示できるようにする新しいアクセス許可が追加されました。 |
2021 年 3 月 24 日 |
|
Systems Manager は変更の追跡を開始しました |
Systems Manager が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 3 月 12 日 |
Systems Manager 用の追加のマネージドポリシー
Systems Manager では、このトピックで前述したマネージドポリシーに加えて、次のポリシーもサポートされています。
-
AmazonSSMAutomationApproverAccess– オートメーションの実行を表示するアクセスと、承認待ちのオートメーションへの承認決定を送信するアクセスを許可する AWS マネージドポリシー。 -
AmazonSSMAutomationRole– Systems Manager オートメーションサービスにオートメーションランブックで定義されているアクティビティを実行するためのアクセス許可を付与する AWS マネージドポリシー。このポリシーは、管理者および信頼されたパワーユーザーに割り当てます。 -
AmazonSSMDirectoryServiceAccess– マネージドノードによるドメインの参加リクエストに対して、SSM Agent による AWS Directory Service へのアクセスをユーザーに代わって許可する AWS マネージドポリシー。 -
AmazonSSMFullAccess– Systems Manager API およびドキュメントに対するフルアクセス権を付与する AWS マネージドポリシー。 -
AmazonSSMMaintenanceWindowRole– Systems Manager API へのアクセス許可をメンテナンスウィンドウに付与する AWS マネージドポリシー。 -
AmazonSSMManagedInstanceCore– ノードに Systems Manager サービスコア機能の使用を許可する AWS マネージドポリシー。 -
AmazonSSMPatchAssociation– パッチ関連付け操作用の子インスタンスへのアクセス権を付与する AWS マネージドポリシー。 -
AmazonSSMReadOnlyAccess– Systems Manager の読み取り専用 API オペレーション (Get*やList*など) へのアクセス権を付与する AWS マネージドポリシー。 -
AWSSSMOpsInsightsServiceRolePolicy– Systems Manager での運用上のインサイト OpsItems を作成および更新するアクセス許可を付与する AWS マネージドポリシー。サービスにリンクされたロール AWSServiceRoleForAmazonSSM_OpsInsights を通じてアクセス許可を付与するために使用されます。 -
AWSSystemsManagerAccountDiscoveryServicePolicy– Systems Manager に AWS アカウント 情報を検出するアクセス許可を付与する AWS マネージドポリシー。 -
AWSSystemsManagerChangeManagementServicePolicy– Systems Manager 変更管理フレームワークによって管理または使用され、サービスにリンクされたロールAWSServiceRoleForSystemsManagerChangeManagementによって使用される AWS リソースへのアクセス権を付与する AWS マネージドポリシー。 -
AmazonEC2RoleforSSM– このポリシーはサポートされなくなったため、使用しないでください。代わりに、AmazonSSMManagedInstanceCoreポリシーを使用して、EC2 インスタンスで Systems Manager サービスコア機能を有効にします。詳細については、「Systems Manager に必要なインスタンスのアクセス許可を設定する」を参照してください。
