AWS-SSM-RemediationAutomation-ExecutionRolePolicy - AWS Política gerenciada

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS-SSM-RemediationAutomation-ExecutionRolePolicy

Descrição: fornece permissões para remediar problemas com SSM serviços executando atividades definidas nos Documentos de Automação, usados principalmente para executar os documentos de automação em uma configuração de conta/região de destino, remediando a integridade dos SSM serviços em todos os nós.

AWS-SSM-RemediationAutomation-ExecutionRolePolicy é uma política gerenciada pelo AWS.

Utilização desta política

Você pode vincular a AWS-SSM-RemediationAutomation-ExecutionRolePolicy aos seus usuários, grupos e perfis.

Detalhes desta política

  • Tipo: política AWS gerenciada

  • Tempo de criação: 16 de novembro de 2024, 00:17 UTC

  • Horário editado: 16 de novembro de 2024, 00:17 UTC

  • ARN: arn:aws:iam::aws:policy/AWS-SSM-RemediationAutomation-ExecutionRolePolicy

Versão da política

Versão da política: v1 (padrão)

A versão padrão da política é aquela que define as permissões desta política. Quando um usuário ou função da política faz uma solicitação para acessar um AWS recurso, AWS verifica a versão padrão da política para determinar se a solicitação deve ser permitida.

JSONdocumento de política

{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "AllowReadOnlyAccessSSMResource", "Effect" : "Allow", "Action" : [ "ssm:GetAutomationExecution", "ssm:DescribeAutomationExecutions", "ssm:DescribeAutomationStepExecutions" ], "Resource" : "*" }, { "Sid" : "AllowReadOnlyAccessEC2Resource", "Effect" : "Allow", "Action" : [ "ec2:DescribeVpcAttribute", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeSecurityGroups" ], "Resource" : "*" }, { "Sid" : "AllowCreateVpcEndpointForTaggedSecurityGroup", "Effect" : "Allow", "Action" : [ "ec2:CreateVpcEndpoint" ], "Resource" : [ "arn:aws:ec2:*:*:security-group/*" ], "Condition" : { "StringEquals" : { "aws:ResourceTag/SystemsManager::FindingNetworkingSecurityGroups::VPCE::SG" : "VPCEndpointSecurityGroup" } } }, { "Sid" : "AllowCreateVpcEndpoint", "Effect" : "Allow", "Action" : [ "ec2:CreateVpcEndpoint" ], "Resource" : [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid" : "RestrictCreateVpcEndpointForSSMService", "Effect" : "Allow", "Action" : [ "ec2:CreateVpcEndpoint" ], "Resource" : [ "arn:aws:ec2:*:*:vpc-endpoint/*" ], "Condition" : { "StringLike" : { "ec2:VpceServiceName" : [ "com.amazonaws.*.ssm", "com.amazonaws.*.ssmmessages", "com.amazonaws.*.ec2messages" ] }, "StringEquals" : { "aws:RequestTag/SystemsManager::FindingNetworkingVPCEndpoints::VPCE" : "VPCEndpoint" } } }, { "Sid" : "RestrictCreateVpcEndpointWithTag", "Effect" : "Allow", "Action" : "ec2:CreateTags", "Resource" : [ "arn:aws:ec2:*:*:vpc-endpoint/*" ], "Condition" : { "StringEquals" : { "aws:RequestTag/SystemsManager::FindingNetworkingVPCEndpoints::VPCE" : "VPCEndpoint", "ec2:CreateAction" : [ "CreateVpcEndpoint" ] } } }, { "Sid" : "AllowModifyVpcAttributeForDns", "Effect" : "Allow", "Action" : [ "ec2:ModifyVpcAttribute" ], "Resource" : [ "arn:aws:ec2:*:*:vpc/*" ], "Condition" : { "StringEquals" : { "ec2:Attribute" : [ "EnableDnsSupport", "EnableDnsHostnames" ] } } }, { "Sid" : "AllowSecurityGroupRuleUpdate", "Effect" : "Allow", "Action" : [ "ec2:AuthorizeSecurityGroupEgress" ], "Resource" : [ "arn:aws:ec2:*:*:security-group/*" ] }, { "Sid" : "AllowSecurityGroupRuleUpdateForTaggedResource", "Effect" : "Allow", "Action" : [ "ec2:RevokeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress" ], "Resource" : [ "arn:aws:ec2:*:*:security-group/*" ], "Condition" : { "StringEquals" : { "aws:ResourceTag/SystemsManager::FindingNetworkingSecurityGroups::VPCE::SG" : "VPCEndpointSecurityGroup" } } }, { "Sid" : "AllowSecurityGroupRuleUpdateWithTag", "Effect" : "Allow", "Action" : [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress" ], "Resource" : [ "arn:aws:ec2:*:*:security-group-rule/*" ], "Condition" : { "StringEquals" : { "aws:RequestTag/SystemsManager::FindingNetworkingSecurityGroups::SG::Rule" : "HTTPSAccess" } } }, { "Sid" : "AllowSecurityGroupRuleUpdateTagRule", "Effect" : "Allow", "Action" : "ec2:CreateTags", "Resource" : [ "arn:aws:ec2:*:*:security-group-rule/*" ], "Condition" : { "StringEquals" : { "aws:RequestTag/SystemsManager::FindingNetworkingSecurityGroups::SG::Rule" : "HTTPSAccess", "ec2:CreateAction" : [ "AuthorizeSecurityGroupEgress", "AuthorizeSecurityGroupIngress" ] } } }, { "Sid" : "AllowCreateSecurityGroupForVPCEndpoint", "Effect" : "Allow", "Action" : [ "ec2:CreateSecurityGroup" ], "Resource" : [ "arn:aws:ec2:*:*:vpc/*" ] }, { "Sid" : "AllowCreateSecurityGroupWithTag", "Effect" : "Allow", "Action" : [ "ec2:CreateSecurityGroup" ], "Resource" : [ "arn:aws:ec2:*:*:security-group/*" ], "Condition" : { "StringEquals" : { "aws:RequestTag/SystemsManager::FindingNetworkingSecurityGroups::VPCE::SG" : "VPCEndpointSecurityGroup" } } }, { "Sid" : "AllowTagCreationForSecurityGroupTags", "Effect" : "Allow", "Action" : "ec2:CreateTags", "Resource" : [ "arn:aws:ec2:*:*:security-group/*" ], "Condition" : { "StringEquals" : { "aws:RequestTag/SystemsManager::FindingNetworkingSecurityGroups::VPCE::SG" : "VPCEndpointSecurityGroup", "ec2:CreateAction" : [ "CreateSecurityGroup" ] } } }, { "Sid" : "AllowExecuteSSMAutomation", "Effect" : "Allow", "Action" : [ "ssm:StartAutomationExecution" ], "Resource" : [ "arn:aws:ssm:*:*:automation-definition/AWS-OrchestrateUnmanagedEC2Actions:*", "arn:aws:ssm:*:*:automation-definition/AWS-RemediateSSMAgent*:*" ] }, { "Sid" : "AllowKMSOperations", "Effect" : "Allow", "Action" : [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource" : "arn:aws:kms:*:*:key/*", "Condition" : { "StringEquals" : { "aws:ResourceTag/SystemsManagerManaged" : "true" }, "ArnLike" : { "kms:EncryptionContext:aws:s3:arn" : "arn:aws:s3:::do-not-delete-ssm-diagnosis-*" }, "StringLike" : { "kms:ViaService" : "s3.*.amazonaws.com" }, "Bool" : { "aws:ViaAWSService" : "true" } } }, { "Sid" : "AllowPassRoleOnSelfToSsm", "Effect" : "Allow", "Action" : "iam:PassRole", "Resource" : "arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole*", "Condition" : { "StringEquals" : { "iam:PassedToService" : "ssm.amazonaws.com" } } } ] }

Saiba mais