Systems Manager 콘솔 액세스 설정
AWS Systems Manager에서 AWS Management Console을 사용하려면 올바른 권한이 구성되어 있어야 합니다.
AWS Identity and Access Management 정책을 생성하고 IAM 자격 증명에 연결하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 생성을 참조하세요.
Systems Manager 온보딩 정책
다음 예제와 같은 IAM 정책을 생성하고 해당 정책을 IAM 자격 증명에 연결할 수 있습니다. 이 정책은 Systems Manager에 온보딩하고 구성할 수 있는 전체 액세스 권한을 부여합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
ssm-quicksetup- 위탁자에게 모든 AWS Systems Manager 빠른 설정 작업에 대한 액세스할 수 있도록 허용합니다. -
ssm- 위탁자가 Systems Manager Automation 및 Resource Explorer에 액세스할 수 있도록 허용합니다. -
organizations- 위탁자가 AWS Organizations에서 조직의 구조를 읽고 위임된 관리자를 조직으로 Systems Manager에 온보딩할 때 관리할 수 있도록 허용합니다. -
cloudformation- 위탁자가 Quick Setup 스택을 관리할 수 있도록 허용합니다. -
iam- 위탁자가 Systems Manager 온보딩에 필요한 IAM 역할 및 정책을 관리할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "QuickSetupActions", "Effect": "Allow", "Action": [ "ssm-quicksetup:*" ], "Resource": "*" }, { "Sid": "SsmReadOnly", "Effect": "Allow", "Action": [ "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListAssociations", "ssm:DescribeAssociation", "ssm:ListDocuments", "ssm:ListResourceDataSync", "ssm:DescribePatchBaselines", "ssm:GetPatchBaseline", "ssm:DescribeMaintenanceWindows", "ssm:DescribeMaintenanceWindowTasks" ], "Resource": "*" }, { "Sid": "SsmDocument", "Effect": "Allow", "Action": [ "ssm:GetDocument", "ssm:DescribeDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/AWSQuickSetupType-*", "arn:aws:ssm:*:*:document/AWS-EnableExplorer" ] }, { "Sid": "SsmEnableExplorer", "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*" }, { "Sid": "SsmExplorerRds", "Effect": "Allow", "Action": [ "ssm:GetOpsSummary", "ssm:CreateResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*" }, { "Sid": "OrgsReadOnly", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Sid": "OrgsAdministration", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "ssm.amazonaws.com", "ssm-quicksetup.amazonaws.com", "member.org.stacksets.cloudformation.amazonaws.com", "resource-explorer-2.amazonaws.com" ] } } }, { "Sid": "CfnReadOnly", "Effect": "Allow", "Action": [ "cloudformation:ListStacks", "cloudformation:DescribeStacks", "cloudformation:ListStackSets", "cloudformation:DescribeOrganizationsAccess" ], "Resource": "*" }, { "Sid": "OrgCfnAccess", "Effect": "Allow", "Action": [ "cloudformation:ActivateOrganizationsAccess" ], "Resource": "*" }, { "Sid": "CfnStackActions", "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackResources", "cloudformation:DescribeStackEvents", "cloudformation:GetTemplate", "cloudformation:RollbackStack", "cloudformation:TagResource", "cloudformation:UntagResource", "cloudformation:UpdateStack" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:type/resource/*" ] }, { "Sid": "CfnStackSetActions", "Effect": "Allow", "Action": [ "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DetectStackSetDrift", "cloudformation:ListStackInstanceResourceDrifts", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStackInstances", "cloudformation:ListStackSetOperations", "cloudformation:ListStackSetOperationResults", "cloudformation:TagResource", "cloudformation:UntagResource", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*" ] }, { "Sid": "ValidationReadonlyActions", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRole" ], "Resource": "*" }, { "Sid": "IamRolesMgmt", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:GetRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:GetRolePolicy", "iam:ListRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ] }, { "Sid": "IamPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com", "ssm-quicksetup.amazonaws.com", "cloudformation.amazonaws.com" ] } } }, { "Sid": "IamRolesPoliciesMgmt", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:DetachRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ], "Condition": { "ArnEquals": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AWSSystemsManagerEnableExplorerExecutionPolicy", "arn:aws:iam::aws:policy/AWSQuickSetupSSMDeploymentRolePolicy" ] } } }, { "Sid": "CfnStackSetsSLR", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin", "arn:aws:iam::*:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM", "arn:aws:iam::*:role/aws-service-role/accountdiscovery.ssm.amazonaws.com/AWSServiceRoleForAmazonSSM_AccountDiscovery", "arn:aws:iam::*:role/aws-service-role/ssm-quicksetup.amazonaws.com/AWSServiceRoleForSSMQuickSetup", "arn:aws:iam::*:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer" ] } ] }
AWS Systems Manager 콘솔 운영자 정책
다음 예제와 같은 IAM 정책을 생성하고 해당 정책을 IAM 자격 증명에 연결할 수 있습니다. 이 정책은 Systems Manager를 운영할 수 있는 전체 액세스 권한을 부여하고 Systems Manager가 진단 및 문제 해결을 위해 Automation 문서를 실행할 수 있도록 허용합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
ssm- 위탁자가 모든 Systems Manager API에 액세스할 수 있도록 허용합니다. -
ssm-quicksetup- 위탁자가 Quick Setup 구성을 관리할 수 있도록 허용합니다. -
ec2- Systems Manager가 활성화된 AWS 리전 및 Amazon EC2 인스턴스 상태를 확인할 수 있도록 허용합니다. -
cloudformation- 위탁자가 Quick Setup 스택을 읽을 수 있도록 허용합니다. -
organizations- 위탁자가 AWS Organizations에서 조직의 구조를 읽고 위임된 관리자를 조직으로 Systems Manager에 온보딩할 때 관리할 수 있도록 허용합니다. -
s3- 위탁자가 Systems Manager 온보딩 프로세스 중에 생성된 진단을 위한 Amazon S3 버킷에 객체를 나열하고 가져올 수 있도록 허용합니다. -
iam:PassRole- 위탁자가 비관리형 노드의 진단 및 문제 해결을 위해 자동화를 실행하는 경우 수임할 역할을 Systems Manager에 전달할 수 있도록 허용합니다. -
iam:GetRole- 위탁자가 Systems Manager에서 작업하는 경우 Quick Setup 역할에 대한 특정 역할 정보를 가져올 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:*", "ssm-quicksetup:*" ], "Resource": "*" }, { "Sid": "AllowEC2DescribeActions", "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeRegions" ], "Resource": "*" }, { "Sid": "CfnAccess", "Effect": "Allow", "Action": [ "cloudformation:ListStacks", "cloudformation:ListStackSets", "cloudformation:ListStackInstances", "cloudformation:ListStackSetOperations", "cloudformation:ListStackSetOperationResults", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:DescribeOrganizationsAccess", "cloudformation:DescribeStackInstance", "cloudformation:DetectStackSetDrift", "cloudformation:ListStackInstanceResourceDrifts" ], "Resource": "*" }, { "Sid": "OrgsReadOnly", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Sid": "AllowKMSOperations", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/SystemsManagerManaged": "true" }, "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*" }, "StringLike": { "kms:ViaService": "s3.*.amazonaws.com" }, "Bool": { "aws:ViaAWSService": "true" } } }, { "Sid": "AllowReadS3BucketFromOrganization", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*", "Condition": { "StringEquals": { "aws:ResourceOrgId": "${aws:PrincipalOrgId}" } } }, { "Sid": "AllowReadS3BucketFromSingleAccount", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole*", "arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole*", "arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole*", "arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ssm.amazonaws.com" } } }, { "Sid": "IamReadOnly", "Effect": "Allow", "Action": "iam:GetRole", "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ] } ] }
AWS Systems Manager 콘솔 운영자 읽기 전용 정책
다음 예제와 같은 IAM 정책을 생성하고 해당 정책을 IAM 자격 증명에 연결할 수 있습니다. 이 정책은 Systems Manager를 사용할 수 있는 읽기 전용 액세스 권한을 부여합니다.
-
ssm- 위탁자가 Systems Manager 읽기 전용 API에 액세스할 수 있도록 허용합니다. -
ssm-quicksetup- 위탁자가 Quick Setup 구성을 읽을 수 있도록 허용합니다. -
cloudformation- 위탁자가 Quick Setup 스택을 읽을 수 있도록 허용합니다. -
iam:GetRole- 위탁자가 Systems Manager를 사용하는 경우 Quick Setup 역할에 대한 특정 역할 정보를 가져올 수 있도록 허용합니다. -
ec2:DescribeRegions- Systems Manager가 활성화된 AWS 리전을 확인할 수 있도록 허용합니다. -
organizations- 조직으로서 Systems Manager에 온보딩할 때 위탁자가 AWS Organizations에서 조직의 구조를 읽을 수 있도록 허용합니다. -
s3- 위탁자가 Systems Manager 온보딩 프로세스 중에 생성된 Amazon S3 버킷에 객체를 나열하고 가져올 수 있도록 허용합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:Describe*", "ssm:Get*", "ssm:List*", "ssm-quicksetup:List*", "ssm-quicksetup:Get*", "cloudformation:Describe*", "cloudformation:Get*", "cloudformation:List*", "iam:GetRole", "ec2:DescribeRegions", "organizations:Describe*", "organizations:List*" ], "Resource": "*" }, { "Sid": "AllowKMSOperations", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/SystemsManagerManaged": "true" }, "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*" }, "StringLike": { "kms:ViaService": "s3.*.amazonaws.com" }, "Bool": { "aws:ViaAWSService": "true" } } }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*", "Condition": { "StringEquals": { "aws:ResourceOrgId": "${aws:PrincipalOrgId}" } } }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
