Políticas gerenciadas pela AWS para o AWS Systems Manager - AWS Systems Manager

Políticas gerenciadas pela AWS para o AWS Systems Manager

Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomenda-se que as permissões sejam ainda mais reduzidas, definindo políticas gerenciadas pelo cliente da  específicas para os casos de uso.

Não é possível alterar as permissões definidas em políticas gerenciadas AWS. Se a AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que a AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Política gerenciada da AWS: AmazonSSMServiceRolePolicy

Esta política fornece acesso a vários recursos da AWS que são gerenciados pelo AWS Systems Manager ou usados nas operações do Systems Manager.

Não é possível anexar AmazonSSMServiceRolePolicy às entidades do AWS Identity and Access Management (IAM). Essa política é anexada a uma função vinculada ao serviço que permite que o AWS Systems Manager realize ações em seu nome. Para obter mais informações, consulte Usar perfis para coletar inventário e visualizar OpsData.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais iniciem e avancem as execuções tanto do Run Command quanto do Automation, recuperem informações sobre as operações de Run Command e do Automation, recuperem informações sobre calendários Change Calendar de parâmetros do Parameter Store, atualizem e recuperem informações sobre as configurações do serviço Systems Manager para recursos OpsCenter e leiam informações sobre tags que foram aplicadas aos recursos.

  • cloudformation: permite que as entidades principais recuperem informações sobre operações e instâncias de conjuntos de pilhas e excluam conjuntos de pilhas no recurso arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*. Permite que as entidades principais excluam instâncias de pilha associadas aos seguintes recursos:

    arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
    arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
    arn:aws:cloudformation:*:*:type/resource/*
  • cloudwatch: permite que as entidades principais recuperem informações sobre alarmes do Amazon CloudWatch.

  • compute-optimizer: permite que as entidades principais recuperem o status de inscrição (opt-in) de uma conta no serviço AWS Compute Optimizer e recuperem recomendações para instâncias do Amazon EC2 que atendam a um conjunto específico de requisitos declarados.

  • config: permite que as entidades principais recuperem as configurações de correção de informações e os gravadores de configuração no AWS Config e determinem se as regras do AWS Config e os recursos da AWS especificados estão em conformidade.

  • events: que as entidades principais recuperem informações sobre as regras do EventBridge, criem regras e destinos do EventBridge exclusivamente para o serviço Systems Manager (ssm.amazonaws.com) e excluam regras e destinos para o recurso arn:aws:events:*:*:rule/SSMExplorerManagedRule.

  • ec2: permite que as entidades principais recuperem informações sobre instâncias do Amazon EC2.

  • iam: permite que as entidades principais transmitam permissões de perfis para o serviço Systems Manager (ssm.amazonaws.com).

  • lambda: permite que as entidades principais invoquem funções do Lambda que são configuradas especificamente para uso pelo Systems Manager.

  • resource-explorer-2: permite que as entidades principais recuperem dados sobre instâncias do EC2 para determinar se cada instância é gerenciada ou não pelo Systems Manager no momento.

    A ação resource-explorer-2:CreateManagedView é permitida para o recurso arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*.

  • resource-groups: permite que as entidades principais recuperem grupos de recursos de lista e seus membros do AWS Resource Groups para recursos que pertencem a um grupo de recursos.

  • securityhub: permite que as entidades principais recuperem informações sobre os recursos do hub do AWS Security Hub na conta atual.

  • states: permite que as entidades principais iniciem e recuperem informações para o AWS Step Functions que estão configuradas especificamente para uso pelo Systems Manager.

  • support: permite que as entidades principais recuperem informações sobre verificações e casos no AWS Trusted Advisor.

  • tag: permite que as entidades principais recuperem informações sobre todos os recursos marcados ou anteriormente marcados com tags que estão localizados em uma Região da AWS especificada para uma conta.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AmazonSSMServiceRolePolicy no AWS Managed Policy Reference Guide.

Política gerenciada pela AWS: AmazonSSMFullAccessV2

É possível anexar a política AmazonSSMFullAccessV2 a suas identidades do IAM. Essa política concede o acesso total às operações do AWS Systems Manager. Permissões foram adicionadas para recursos mais novos, incluindo permissões que permitem que o Systems Manager execute documentos do Automation para diagnóstico e correção.

Detalhes da permissão

  • ssm: permite às entidades principais acesso a todas as APIs do AWS Systems Manager.

  • ssm-quicksetup: permite que as entidades principais gerenciem suas configurações do Configuração rápida do AWS Systems Manager.

  • cloudformation: permite que as entidades principais leiam as próprias pilhas da Quick Setup.

  • iam:CreateServiceLinkedRole,iam:DeleteServiceLinkedRole, iam:GetServiceLinkedRoleDeletionStatus: permitem que as entidades principais gerenciem os perfis vinculados ao serviço Systems Manager.

  • iam:GetRole: permite que as entidades principais recuperem informações específicas de perfis do Quick Setup ao operar com o Systems Manager.

  • ec2:DescribeRegions: permite que o Systems Manager determine as Regiões da AWS em que você está trabalhando.

  • organizations: permite que as entidades principais leiam a estrutura organizacional quando sua empresa se integra ao Systems Manager como uma organização.

  • iam:PassRole: permite que as entidades principais passem funções a serem assumidas para o Systems Manager quando começam a executar automações para diagnóstico e correção de nós não gerenciados.

  • s3: permite que as entidades principais listem e obtenham objetos nos buckets do Amazon S3 que são criados durante o processo de integração do Systems Manager.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AmazonSSMV2FullAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AmazonSSMReadOnlyAccess

É possível anexar a política AmazonSSMReadOnlyAccess a suas identidades do IAM. Essa política concede acesso somente para leitura às operações de API do AWS Systems Manager, como Describe*, Get* e List*.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AmazonSSMReadOnlyAccess no AWS Managed Policy Reference Guide.

Política gerenciada pela AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy

Não é possível anexar AWSSystemsManagerOpsDataSyncServiceRolePolicy às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Systems Manager realize ações em seu nome. Para obter mais informações, consulte Usar perfis para criar OpsData e OpsItems para o Explorer.

O AWSSystemsManagerOpsDataSyncServiceRolePolicy permite que a função vinculada ao AWSServiceRoleForSystemsManagerOpsDataSync crie e atualize o OpsItems e OpsData nas descobertas do AWS Security Hub.

A política permite que o Systems Manager conclua as seguintes ações em todos os recursos relacionados ("Resource": "*"), exceto quando indicado:

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

[1] As ações ssm:GetOpsItem e ssm:UpdateOpsItem têm permissões pela seguinte condição apenas para o serviço do Systems Manager:

"Condition": { "StringEquals": { "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true" } }

[2] A ação ssm:AddTagsToResource tem permissões apenas para o seguinte recurso:

arn:aws:ssm:*:*:opsitem/*

[3] As ações ssm:UpdateServiceSetting e ssm:GetServiceSetting têm permissões apenas nos seguintes recursos:

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] A ação securityhub:BatchUpdateFindings tem permissões pela seguinte condição apenas para o serviço do Systems Manager:

{ "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Confidence": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Criticality": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.Text": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.UpdatedBy": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/RelatedFindings": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Types": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.key": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.value": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/VerificationState": false } }

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSSystemsManagerOpsDataSyncServiceRolePolicy no AWS Managed Policy Reference Guide.

Política gerenciada pela AWS: AmazonSSMManagedEC2InstanceDefaultPolicy

Somente associe AmazonSSMManagedEC2InstanceDefaultPolicy a perfis do IAM para instâncias do Amazon EC2 que você deseja que tenham permissão para usar a funcionalidade Systems Manager. Você não deve vincular esse perfil a outras entidades do IAM, como usuários e grupos do IAM, ou a perfis do IAM que servem outros propósitos. Para obter mais informações, consulte Gerenciar instâncias do EC2 automaticamente com a Configuração de gerenciamento de hosts padrão.

Esta política concede permissões que permitem que o SSM Agent em sua instância do Amazon EC2 se comunique com o serviço Systems Manager na nuvem para realizar uma variedade de tarefas. Ela também concede permissões para os dois serviços que fornecem tokens de autorização para garantir que as operações sejam executadas na instância correta.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm — Permite que entidades principais recuperem documentos, executem comandos usando Run Command, estabeleçam sessões usando o Session Manager, coletem um inventário da instância e verificar se há patches e conformidade de patches usando o Patch Manager.

  • ssmmessages — Permite que entidades principais acessem, para cada instância, um token de autorização personalizado criado pelo Amazon Message Gateway Service. O Systems Manager valida o token personalizado de autorização em relação ao nome do recurso da Amazon (ARN)da instância que foi fornecido na operação de API. Esse acesso é necessário para garantir que o SSM Agent execute as operações de API na instância correta.

  • ec2messages — Permite que entidades principais acessem, para cada instância, um token de autorização personalizado criado pelo Amazon Message Delivery Service. O Systems Manager valida o token personalizado de autorização em relação ao nome do recurso da Amazon (ARN)da instância que foi fornecido na operação de API. Esse acesso é necessário para garantir que o SSM Agent execute as operações de API na instância correta.

Para obter informações relacionadas sobre os endpoints ssmmessages e ec2messages, incluindo as diferenças entre os dois, consulte Operações de API relacionadas a agentes (endpoints ssmmessages e ec2messages).

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AmazonSSMManagedEC2InstanceDefaultPolicy no AWS Managed Policy Reference Guide.

Política gerenciada da AWS: SSMQuickSetupRolePolicy

Não é possível anexar SSMQuickSetupRolePolicy às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Systems Manager realize ações em seu nome. Para obter mais informações, consulte Usar funções para manter a integridade e a uniformidade dos recursos provisionados da Quick Setup.

Essa política concede permissões somente de leitura que permitem que o Systems Manager verifique a integridade da configuração, garanta o uso consistente dos parâmetros e dos recursos provisionados e corrija os recursos quando um desvio é detectado. Também concede permissões administrativas para criar um perfil vinculado ao serviço.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais leiam informações de sincronizações de dados de recursos e documentos do SSM no Systems Manager, incluindo contas de administrador delegado. Isso é necessário para que a Quick Setup possa determinar o estado em que os recursos configurados devem estar.

  • organizations: permite que as entidades principais leiam informações sobre as contas-membros que pertencem a uma organização, conforme configurado em AWS Organizations. Isso é necessário para que a Quick Setup possa identificar todas as contas em uma organização em que as verificações de integridade dos recursos devem ser realizadas.

  • cloudformation: permite que as entidades principais leiam as informações de AWS CloudFormation. Isso é necessário para que a Quick Setup possa coletar dados sobre as pilhas do AWS CloudFormation usadas para gerenciar o estado dos recursos e as operações do conjunto de pilhas do CloudFormation.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte SSMQuickSetupRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupDeploymentRolePolicy

A política gerenciada AWSQuickSetupDeploymentRolePolicy oferece suporte a vários tipos de configuração Quick Setup. Esses tipos de configuração criam perfis e automações do IAM que configuram os serviços e os atributos da Amazon Web Services frequentemente usados com práticas recomendadas.

Você pode anexar AWSQuickSetupDeploymentRolePolicy às entidades do IAM.

Essa política concede as permissões administrativas necessárias para criar recursos associados às seguintes configurações da Quick Setup:

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais gerenciem e excluam os perfis do IAM necessários para tarefas de configuração de automação e gerenciem as políticas de perfis de automação.

  • cloudformation: permite que as entidades principais criem e gerenciem conjuntos de pilhas.

  • config: permite que as entidades principais criem, gerenciem e excluam pacotes de conformidade.

  • events: permite que as entidades principais criem, atualizem e excluam regras de eventos para ações agendadas.

  • resource-groups: permite que as entidade principais recuperem consultas de recursos associadas a grupos de recursos segmentados pelas configurações da Quick Setup.

  • ssm: permite que as entidades principais criem runbooks e associações de automação que apliquem configurações da Quick Setup.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupDeploymentRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada da AWS: AWSQuickSetupPatchPolicyDeploymentRolePolicy

A política gerenciada AWSQuickSetupPatchPolicyDeploymentRolePolicy oferece suporte ao tipo Configurar patches para instâncias em uma organização usando a Quick Setup da Quick Setup. Esse tipo de configuração ajuda a automatizar a aplicação de patches em aplicações e nós em uma única conta ou em toda a organização.

Você pode anexar AWSQuickSetupPatchPolicyDeploymentRolePolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Essa política concede permissões administrativas que permitem que o Quick Setup crie recursos associados a uma configuração de política de patch.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais gerenciem e excluam os perfis do IAM necessários para tarefas de configuração de automação e gerenciem as políticas de perfis de automação.

  • cloudformation: permite que as entidades principais leiam as informações da pilha do AWS CloudFormation e controlem as pilhas do AWS CloudFormation que foram criadas pela Quick Setup usando os conjuntos de pilhas do AWS CloudFormation.

  • ssm: permite que as entidades principais criem, atualizem, leiam e excluam os runbooks de automação necessários para tarefas de configuração e para criar, atualizar e excluir associações do State Manager.

  • resource-groups: permite que as entidade principais recuperem consultas de recursos associadas a grupos de recursos segmentados pelas configurações da Quick Setup.

  • s3: permite que as entidades principais listem os buckets do Amazon S3 e gerenciem os buckets para armazenar os logs de acesso à política de patches.

  • lambda: permite que as entidades principais gerenciem as funções de remediação do AWS Lambda que mantêm as configurações no estado correto.

  • logs: permite que as entidades principais descrevam e gerenciem grupos de log para recursos de configuração do Lambda.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupPatchPolicyDeploymentRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupPatchPolicyBaselineAccess

A política gerenciada AWSQuickSetupPatchPolicyBaselineAccess oferece suporte ao tipo Configurar patches para instâncias em uma organização usando a Quick Setup da Quick Setup. Esse tipo de configuração ajuda a automatizar a aplicação de patches em aplicações e nós em uma única conta ou em toda a organização.

Você pode anexar AWSQuickSetupPatchPolicyBaselineAccess às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Esta política fornece permissões somente de leitura para acessar listas de referência de patches que foram configuradas por um administrador na Conta da AWS atual ou na organização usando a Quick Setup. As listas de referência de patches são armazenadas em um bucket do Amazon S3 e podem ser usadas para aplicar patches em instâncias em uma única conta ou em toda a organização.

Detalhes da permissão

Esta política inclui a seguinte permissão.

  • s3: permite que as entidades principais leiam substituições da lista de referência de patches armazenadas nos buckets do Amazon S3.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupPatchPolicyBaselineAccess no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSSystemsManagerEnableExplorerExecutionPolicy

A política gerenciada AWSSystemsManagerEnableExplorerExecutionPolicy oferece suporte à habilitação do Explorer, uma capacidade do AWS Systems Manager.

Você pode anexar AWSSystemsManagerEnableExplorerExecutionPolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Esta política concede permissões administrativas para habilitar o Explorer. Isso inclui permissões para atualizar as configurações de serviços relacionados do Systems Manager e criar uma função vinculada a serviços para o Systems Manager.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • config: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.

  • iam: permite que as entidades principais ajudem a habilitar o Explorer.

  • ssm: permite que as entidades principais iniciem um fluxo de trabalho de automação que habilite o Explorer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSSystemsManagerEnableExplorerExecutionPolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

A política gerenciada AWSSystemsManagerEnableConfigRecordingExecutionPolicy oferece suporte ao tipo de configuração Criar um gravador de configuração do AWS Config usando o Quick Setup do Quick Setup. Esse tipo de configuração habilita s Quick Setup para rastrear e registrar alterações nos tipos de recursos da AWS que você escolher para o AWS Config. Ele também permite que a Quick Setup configure as opções de entrega e notificações para os dados gravados.

Você pode anexar AWSSystemsManagerEnableConfigRecordingExecutionPolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Esta política concede permissões administrativas que permitem que a Quick Setup habilite e configure o registro de configuração do AWS Config.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • s3: permite que as entidades principais criem e configurem buckets do Amazon S3 para entrega de gravações de configuração.

  • sns: permite que as entidades principais listem e criem tópicos do Amazon SNS.

  • config: permite que as entidades principais configurem e iniciem o gravador de configuração; e ajudem a habilitar o Explorer.

  • iam: permite que as entidades principais criem, obtenham e transmitam uma função vinculada a serviços para o AWS Config e criem uma função vinculada a serviços para o Systems Manager; e ajudem a habilitar o Explorer.

  • ssm: permite que as entidades principais iniciem um fluxo de trabalho de automação que habilite o Explorer.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSSystemsManagerEnableConfigRecordingExecutionPolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupDevOpsGuruPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do usuário do IAM.

A política gerenciada AWSQuickSetupDevOpsGuruPermissionsBoundary oferece suporte ao tipo Configurar o DevOps Guru usando a Quick Setup. O tipo de configuração habilita o Amazon DevOps Guru baseado em machine learning. O serviço DevOps Guru pode ajudar a melhorar o desempenho operacional e a disponibilidade de uma aplicação.

Quando você cria uma configuração AWSQuickSetupDevOpsGuruPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas que permitem que a Quick Setup habilite e configure o Amazon DevOps Guru.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais criem funções vinculadas a serviços para o DevOps Guru e o Systems Manager; e listem funções que ajudam a habilitar o Explorer.

  • cloudformation: permite que as entidades principais listem e descrevam as pilhas do AWS CloudFormation.

  • sns: permite que as entidades principais listem e criem tópicos do Amazon SNS.

  • devops-guru: permite que as entidades principais configurem o DevOps Guru e adicionem um canal de notificação.

  • config: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.

  • ssm: permite que as entidades principais iniciem um fluxo de trabalho de automação que habilita o Explorer; e leiam e atualizem as configurações de serviço do Explorer.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupDevOpsGuruPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupDistributorPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do usuário do IAM.

A política gerenciada AWSQuickSetupDistributorPermissionsBoundary oferece suporte ao tipo de configuração Implantar pacotes do Distributor usando o Quick Setup do Quick Setup. O tipo de configuração ajuda a permitir a distribuição de pacotes de software, como agentes, para instâncias do Amazon Elastic Compute Cloud (Amazon EC2), usando o Distributor, um recurso do AWS Systems Manager.

Quando você cria uma configuração AWSQuickSetupDistributorPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas para que a Quick Setup possa distribuir pacotes de software, como agentes, para suas instâncias do Amazon EC2 usando o Distributor.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais obtenham e transmitam a função de automação do Distributor; criem, leiam, atualizem e excluam a função de instância padrão; passem a função de instância padrão para o Amazon EC2 e Systems Manager; anexem políticas de gerenciamento de instâncias às funções de instância; criem uma função vinculada a serviços para o Systems Manager; adicionem a função de instância padrão aos perfis de instância; leiam informações sobre perfis do IAM e perfis de instância; e criem o perfil de instância padrão.

  • ec2: permite que as entidades principais associem o perfil de instância padrão às instâncias do EC2 e ajudem a habilitar o Explorer.

  • ssm: permite que as entidades principais iniciem fluxos de trabalho de automação que configurem instâncias e instalem pacotes; e ajudem a iniciar o fluxo de trabalho de automação que habilita o Explorer; e leiam e atualizem as configurações de serviço do Explorer.

  • config: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupDistributorPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupSSMHostMgmtPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do usuário do IAM.

A política gerenciada AWSQuickSetupSSMHostMgmtPermissionsBoundary oferece suporte ao tipo de configuração Configurar o gerenciamento de host do Amazon EC2 usando a Quick Setup do Quick Setup. Esse tipo de configuração configura os perfis do IAM e habilita recursos comumente usados do Systems Manager para gerenciar com segurança suas instâncias do Amazon EC2.

Quando você cria uma configuração AWSQuickSetupSSMHostMgmtPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas para que a Quick Setup possa configurar os recursos do Systems Manager necessários para gerenciar com segurança as instâncias do EC2.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais obtenham e passem o perfil de serviço para a automação. Permite que as entidades principais criem, leiam, atualizem e excluam a função de instância padrão; passem a função de instância padrão para o Amazon EC2 e Systems Manager; anexem políticas de gerenciamento de instâncias às funções de instância; criem uma função vinculada a serviços para o Systems Manager; adicionem a função de instância padrão aos perfis de instância; leiam informações sobre perfis do IAM e perfis de instância; e criem o perfil de instância padrão.

  • ec2: permite que as entidades principais associem e desassociem o perfil de instância padrão das instâncias do EC2.

  • ssm: permite que as entidades principais iniciem fluxos de trabalho de automação que habilitam o Explorer; leiam e atualizem as configurações de serviço do Explorer; configurem instâncias; e habilitem os recursos do Systems Manager nas instâncias.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupSSMHostMgmtPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupPatchPolicyPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do usuário do IAM.

A política gerenciada AWSQuickSetupPatchPolicyPermissionsBoundary oferece suporte ao tipo Configurar patches para instâncias em uma organização usando a Quick Setup da Quick Setup. Esse tipo de configuração ajuda a automatizar a aplicação de patches em aplicações e nós em uma única conta ou em toda a organização.

Quando você cria uma configuração AWSQuickSetupPatchPolicyPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas para que a Quick Setup possa habilitar e configurar políticas de patch no Patch Manager, um recurso do AWS Systems Manager.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais obtenham a função de automação do Patch Manager; passem funções de automação para operações de correção do Patch Manager; criem o perfil de instância padrãoAmazonSSMRoleForInstancesQuickSetup; passem a função de instância padrão para o Amazon EC2 e o Systems Manager; anexem políticas gerenciadas da AWS selecionadas à função de instância; criem uma função vinculada a serviços para o Systems Manager; adicionem a função de instância padrão aos perfis e funções de instância; criem um perfil de instância padrão; e marquem funções que tenham permissões de leitura substituições da lista de referência de patches.

  • ssm: permite que as entidades principais atualizem a função da instância que é gerenciada pelo Systems Manager; gerenciem associações criadas pelas políticas de patch do Patch Manager criadas no Quick Setup; marquem instâncias segmentadas por uma configuração de política de patch; leiam informações sobre instâncias e status de patches; iniciem fluxos de trabalho de automação que configuram, habilitam e corrijam a correção de instâncias; iniciem fluxos de trabalho de automação que habilitam o Explorer; ajudem a habilitar o Explorer; e leiam e atualizem as configurações do serviço do Explorer.

  • ec2: permite que as entidades principais associem e desassociem o perfil de instância padrão das instâncias do EC2; marquem instâncias segmentadas por uma configuração de política de patch; marquem instâncias segmentadas por uma configuração de política de patch; e ajudem a habilitar o Explorer.

  • s3: permite que as entidades principais criem e configurem buckets do S3 para armazenar substituições da lista de referência de patches.

  • lambda: permite que as entidades principais invoquem funções do AWS Lambda que configuram a aplicação de patches e realizem operações de limpeza após a exclusão de uma configuração de política de patch da Quick Setup.

  • logs: permite que as entidades principais configurem o registro em log para funções Patch Manager Quick Setup AWS Lambda.

  • config: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupPatchPolicyPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupSchedulerPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do usuário do IAM.

A política gerenciada AWSQuickSetupSchedulerPermissionsBoundary oferece suporte ao tipo de configuração Parar e iniciar instâncias do EC2 automaticamente de acordo com uma programação usando a Quick Setup do Quick Setup. Este tipo de configuração permite que você interrompa e inicie suas instâncias do EC2 e outros recursos nos horários que você especificar.

Quando você cria uma configuração AWSQuickSetupSchedulerPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas que permitem que a Quick Setup habilite e configurar operações agendadas nas instâncias do EC2 e em outros recursos.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais recuperem e passem funções para ações de automação de gerenciamento de instâncias; gerenciem, passem e anexem funções de instância padrão para o gerenciamento de instâncias do EC2; criem perfis de instância padrão; adicionem funções de instância padrão para perfis de instância; criem uma função vinculada a serviços para o Systems Manager; leiam informações sobre perfis do IAM e perfis de instância; associem um perfil de instância padrão às instâncias do EC2; e iniciem fluxos de trabalho de automação para configurar instâncias e habilitar recursos do Systems Manager nelas.

  • ssm: permite que as entidades principais iniciem fluxos de trabalho de automação que habilitam o Explorer; e leiam e atualizem as configurações de serviço do Explorer.

  • ec2 : permite que as entidades principais localizem instâncias segmentadas e as iniciem e interrompam de acordo com um cronograma.

  • config: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente de leitura às verificações do AWS Trusted Advisor de uma conta.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupSchedulerPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupCFGCPacksPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do usuário do IAM.

A política gerenciada AWSQuickSetupCFGCPacksPermissionsBoundary oferece suporte ao tipo de configuração Implantar um pacote de conformidade do AWS Config usando o Quick Setup do Quick Setup. Este tipo de configuração implanta pacotes de conformidade do AWS Config. Os pacotes de conformidade são uma coleção de regras e ações de remediação do AWS Config que possam ser implantadas como uma única entidade.

Quando você cria uma configuração AWSQuickSetupCFGCPacksPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas que permitem ao Quick Setup implantar pacotes de conformidade do AWS Config.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais criem, obtenham e passem uma função vinculada a serviço para o AWS Config.

  • sns: permite que as entidades principais listem aplicações da plataforma no Amazon SNS.

  • config: permite que as entidades principais implantem pacotes de conformidade do AWS Config; obtenham o status dos pacotes de conformidade; e obtenham informações sobre gravadores de configuração.

  • ssm: permite que as entidades principais obtenham informações sobre documentos SSM e fluxos de trabalho de automação; obtenham informações sobre tags de recursos; e obtenham informações e atualizem as configurações do serviço.

  • compute-optimizer: permite que as entidades principais obtenham o status de aceitação de uma conta.

  • support: permite que as entidades principais obtenham informações sobre verificações do AWS Trusted Advisor.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupCFGCPacksPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada pela AWS: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy

A política AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy concede permissões para diagnosticar problemas com nós que interagem com os serviços do Systems Manager iniciando fluxos de trabalho do Automation em contas e regiões nas quais os nós são gerenciados.

Você pode anexar AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações de diagnóstico em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais executem runbooks do Automation que diagnosticam problemas nos nós e acessem o status de execução de um fluxo de trabalho.

  • kms: permite que as entidades principais usem chaves do AWS Key Management Service especificadas pelo cliente que são usadas para criptografar objetos no bucket do S3 para descriptografar e acessar o conteúdo dos objetos no bucket.

  • sts: permite que as entidades principais assumam perfis de execução de diagnóstico para executar runbooks do Automation na mesma conta.

  • iam: permite que as entidades principais passem o perfil de administração de diagnóstico (por exemplo, auto) para o Systems Manager a fim de executar runbooks do Automation.

  • s3: concede às entidades principais acesso de leitura e gravação a objetos em um bucket do S3.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy

A política gerenciada AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy fornece permissão administrativa para executar runbooks do Automation em uma região e Conta da AWS de destino a fim de diagnosticar problemas com nós gerenciados que interagem com os serviços do Systems Manager.

Você pode anexar AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais executem runbooks do Automation específicos para diagnósticos e acessem o status do fluxo de trabalho de automação e os metadados de execução.

  • ec2: permite que as entidades principais descrevam os recursos do Amazon EC2 e da Amazon VPC e suas configurações para diagnosticar problemas com os serviços do Systems Manager.

  • kms: permite que as entidades principais usem chaves do AWS Key Management Service especificadas pelo cliente que são usadas para criptografar objetos em um bucket do S3 para descriptografar e acessar o conteúdo dos objetos no bucket.

  • iam: permite que as entidades principais passem o perfil de execução de diagnóstico (por exemplo, auto) para o Systems Manager a fim de executar documentos do Automation.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWS-SSM-RemediationAutomation-AdministrationRolePolicy

A política gerenciada AWS-SSM-RemediationAutomation-AdministrationRolePolicy concede permissão para corrigir problemas em nós gerenciados que interagem com os serviços do Systems Manager iniciando fluxos de trabalho do Automation em contas e regiões nas quais os nós são gerenciados.

Essa política pode ser anexada a suas identidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações de correção em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais executem runbooks de automação específicos e acessem o status do fluxo de trabalho do Automation e o status de execução.

  • kms: permite que as entidades principais usem chaves do AWS Key Management Service especificadas pelo cliente que são usadas para criptografar objetos em um bucket do S3 para descriptografar e acessar o conteúdo dos objetos no bucket.

  • sts: permite que as entidades principais assumam perfis de execução de correção para executar documentos do SSM Automation na mesma conta.

  • iam: permite que as entidades principais passem o perfil de administração de correção (por exemplo, auto) para o Systems Manager a fim de executar documentos do Automation.

  • s3: concede às entidades principais acesso de leitura e gravação a objetos em um bucket do S3.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWS-SSM-RemediationAutomation-AdministrationRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWS-SSM-RemediationAutomation-ExecutionRolePolicy

A política gerenciada AWS-SSM-RemediationAutomation-ExecutionRolePolicy fornece permissão administrativa para executar runbooks do Automation em uma região e conta de destino a fim de corrigir problemas com nós gerenciados que interagem com os serviços do Systems Manager.

A política pode ser anexada a suas identidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações de correção em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais executem runbooks do Automation específicos e acessem metadados e o status da execução.

  • ec2: permite que as entidades principais criem, acessem e modifiquem recursos do Amazon EC2 e da Amazon VPC e suas configurações para remediar problemas com serviços do Systems Manager e recursos associados, como grupos de segurança, e anexar tags aos recursos.

  • kms: permite que as entidades principais usem chaves do AWS Key Management Service especificadas pelo cliente que são usadas para criptografar objetos no bucket do S3 para descriptografar e acessar o conteúdo dos objetos no bucket.

  • iam: permite que as entidades principais passem o perfil de execução de correção (por exemplo, auto) para o serviço SSM a fim de executar documentos do Automation.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWS-SSM-RemediationAutomation-ExecutionRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSQuickSetupSSMManageResourcesExecutionPolicy

Essa política concede permissões que permitem à Quick Setup executar o runbook do Automation AWSQuickSetupType-SSM-SetupResources. Esse runbook cria perfis do IAM para associações da Quick Setup que, por sua vez, são criadas por uma implantação do AWSQuickSetupType-SSM. Ele também concede permissões para limpar um bucket do Amazon S3 associado durante uma operação de exclusão da Quick Setup.

Você pode anexar a política Systems Manager às suas entidades do IAM. O também anexa essa política a um perfil de serviço que permite que o Systems Manager execute ações em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais listem e gerenciem perfis do IAM para uso com as operações do Quick Setup Systems Manager Explorer e visualizem, anexem e desanexem políticas do IAM para uso com a Quick Setup e o Systems Manager Explorer. Essas permissões são necessárias para que a Quick Setup possa criar os perfis necessários para algumas de suas operações de configuração.

  • s3: permite que as entidades principais recuperem informações sobre objetos e excluam objetos dos buckets do Amazon S3, na conta da entidade principal, que são usados especificamente em operações de configuração da Quick Setup. Isso é necessário para que os objetos do S3 que não são mais exigidos após a configuração possam ser removidos.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupSSMManageResourcesExecutionPolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSQuickSetupSSMLifecycleManagementExecutionPolicy

A política AWSQuickSetupSSMLifecycleManagementExecutionPolicy concede permissões administrativas que permitem à Quick Setup executar um recurso personalizado do AWS CloudFormation em eventos de ciclo de vida durante a implantação da Quick Setup no Systems Manager.

Essa política pode ser anexada a suas identidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais obtenham informações sobre execuções do Automation e iniciem execuções de automação para configurar determinadas operações da Quick Setup.

  • iam: permite que as entidades principais passem perfis do IAM para configurar determinados recursos da Quick Setup.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupSSMLifecycleManagementExecutionPolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSQuickSetupSSMDeploymentRolePolicy

A política gerenciada AWSQuickSetupSSMDeploymentRolePolicy concede permissões administrativas que permitem à Quick Setup criar recursos que são usados durante o processo de integração do Systems Manager.

Embora seja possível anexar essa política a suas entidades do IAM, fazer isso não é recomendado. A Quick Setup cria entidades que anexam essa política a um perfil de serviço que permite ao Systems Manager realizar ações em seu nome.

Essa política não está relacionada à política SSMQuickSetupRolePolicy que é usada para fornecer permissões para o perfil vinculado ao serviço AWSServiceRoleForSSMQuickSetup.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais gerenciem associações para determinados recursos que são criados usando modelos do AWS CloudFormation e um conjunto específico de documentos do SSM, gerenciem perfis e políticas de perfis usados para diagnosticar e corrigir nós gerenciados por meio de modelos do AWS CloudFormation e anexem e excluam políticas para eventos de ciclo de vida da Quick Setup

  • iam: permite que as entidades principais passem permissões de perfis para o serviço Systems Manager e o serviço do Lambda e passem permissões de perfil para as operações de diagnóstico.

  • lambda: permite que as entidades principais gerenciem os perfis de ciclo de vida da Quick Setup na conta principal usando modelos do AWS CloudFormation.

  • cloudformation: permite que as entidades principais leiam as informações de AWS CloudFormation. Isso é necessário para que a Quick Setup possa coletar dados sobre as pilhas do AWS CloudFormation usadas para gerenciar o estado dos recursos e as operações do conjunto de pilhas do CloudFormation.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupSSMDeploymentRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSQuickSetupSSMDeploymentS3BucketRolePolicy

A política AWSQuickSetupSSMDeploymentS3BucketRolePolicy concede permissões para listar todos os buckets do S3 em uma conta e para gerenciar e recuperar informações sobre buckets específicos na conta da entidade principal que são gerenciados via modelos do AWS CloudFormation.

Você pode anexar AWSQuickSetupSSMDeploymentS3BucketRolePolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • s3: permite que as entidades principais listem todos os buckets do S3 em uma conta e gerenciem e recuperem informações sobre buckets específicos na conta da entidade principal que são gerenciados via modelos do AWS CloudFormation.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupSSMDeploymentS3BucketRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSQuickSetupEnableDHMCExecutionPolicy

Essa política concede permissões administrativas que permitem que as entidades principais executem o runbook do Automation AWSQuickSetupType-EnableDHMC que habilita a configuração de gerenciamento de host padrão. A opção Configuração de gerenciamento de hosts padrão permite que o Systems Manager gerencie automaticamente as instâncias do Amazon EC2 na forma de instâncias gerenciadas. Uma instância gerenciada é uma instância do EC2 que foi configurada para uso com o Systems Manager. Essa política também concede permissões para criar perfis do IAM que são especificados nas configurações do serviço Systems Manager como os perfis padrão para SSM Agent.

Você pode anexar AWSQuickSetupEnableDHMCExecutionPolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais atualizem e obtenham informações sobre as configurações do serviço Systems Manager.

  • iam: permite que as entidades principais criem e recuperem informações sobre os perfis do IAM para operações da Quick Setup.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupEnableDHMCExecutionPolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSQuickSetupEnableAREXExecutionPolicy

Essa política concede permissões administrativas que permitem que o Systems Manager execute o runbook do Automation AWSQuickSetupType-EnableAREX, o qual permite o uso do Explorador de recursos da AWS com o Systems Manager. O Explorador de Recursos possibilita a visualização de recursos em sua conta com uma experiência de pesquisa semelhante a um mecanismo de pesquisa da Internet. A política também concede permissões para gerenciar índices e visualizações do Explorador de Recursos.

Você pode anexar AWSQuickSetupEnableAREXExecutionPolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais criem um perfil vinculado ao serviço no serviço AWS Identity and Access Management (IAM).

  • resource-explorer-2: permite que as entidades principais recuperem informações sobre visualizações e índices do Explorador de Recursos, criem visualizações e índices do Explorador de recursos e alterem o tipo de índice dos índices exibidos na Quick Setup.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupEnableAREXExecutionPolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSQuickSetupManagedInstanceProfileExecutionPolicy

Essa política concede permissões administrativas que permitem ao Systems Manager criar um perfil de instância do IAM padrão para o recurso Quick Setup e anexá-lo a instâncias do Amazon EC2 que ainda não têm um perfil de instância anexado. A política também concede ao Systems Manager a capacidade de anexar permissões aos perfis de instância existentes. Isso é feito para garantir que as permissões necessárias para o Systems Manager se comunicar com o SSM Agent em instâncias do EC2 estejam em vigor.

Você pode anexar AWSQuickSetupManagedInstanceProfileExecutionPolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais iniciem fluxos de trabalho de automação associados aos processos da Quick Setup.

  • ec2: permite que as entidades principais anexem perfis de instância do IAM às instâncias do EC2 que são gerenciadas pela Quick Setup.

  • iam: permite que as entidades principais criem, atualizem e recuperem informações sobre perfis do IAM que são usadas em processos da Quick Setup, criem perfis de instância do IA e anexem a política gerenciada AmazonSSMManagedInstanceCore aos perfis de instância do IAM.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupManagedInstanceProfileExecutionPolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSQuickSetupFullAccess

Essa política concede permissões administrativas que permitem acesso total às ações e dados da API AWS Systems Manager Quick Setup no AWS Management Console e nos AWS SDKs, bem como acesso limitado a outros recursos do AWS service (Serviço da AWS) necessários para as operações da Quick Setup.

É possível anexar a política AWSQuickSetupFullAccess a suas identidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais habilitem o Explorer, realizem operações de sincronização de dados de recursos no State Manager e executem operações usando documentos de comandos do SSM e runbooks do Automation.

    Explorer, State Manager, Documentos e Automation são todos recursos do Systems Manager.

  • cloudformation: permite que as entidades principais realizem as operações do AWS CloudFormation necessárias para provisionar recursos em Regiões da AWS e Contas da AWS.

  • ec2: permite que as entidades principais selecionem os parâmetros necessários para uma determinada configuração e forneçam validação no AWS Management Console.

  • iam: permite que as entidades principais criem os perfis de serviço necessários e os perfis vinculadas ao serviço para as operações da Quick Setup.

  • organizations: permite que as entidades principais leiam o status das contas em uma organização do AWS Organizations, recuperem a estrutura de uma organização, habilitem acesso confiável e registrem uma conta de administrador delegado na conta de gerenciamento.

  • resource-groups: permite que as entidades principais selecionem os parâmetros necessários para uma determinada configuração e forneçam validação no AWS Management Console.

  • s3: permite que as entidades principais selecionem os parâmetros necessários para uma determinada configuração e forneçam validação no AWS Management Console.

  • ssm-quicksetup: permite que as entidades principais realizem ações somente leitura na Quick Setup.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupFullAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSQuickSetupReadOnlyAccess

Essa política concede permissões somente leitura que permitem que as entidades principais visualizem dados e relatórios do AWS Systems Manager Quick Setup, incluindo informações de outros recursos do AWS service (Serviço da AWS) necessários para as operações da Quick Setup.

É possível anexar a política AWSQuickSetupReadOnlyAccess a suas identidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais leiam documentos de comandos do SSM e runbooks do Automation e recuperem o status de execuções da associação do State Manager.

  • cloudformation: permite que as entidades principais iniciem as operações necessárias para recuperar o status das implantações do AWS CloudFormation.

  • organizations: permite que as entidades principais leiam o status das contas em uma organização do AWS Organizations.

  • ssm-quicksetup: permite que as entidades principais realizem ações somente leitura na Quick Setup.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWS-SSM-Automation-DiagnosisBucketPolicy

A política gerenciada AWS-SSM-Automation-DiagnosisBucketPolicy fornece permissões para diagnosticar problemas com nós que interagem com os serviços do AWS Systems Manager, permitindo o acesso aos buckets do S3 que são usados para diagnóstico e correção de problemas.

É possível anexar a política AWS-SSM-Automation-DiagnosisBucketPolicy a suas identidades do IAM. O Systems Manager também anexa essa política a um perfil do IAM que permite que o Systems Manager execute ações de diagnóstico em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • s3: concede às entidades principais acesso de leitura e gravação a objetos em um bucket do Amazon S3

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWS-SSM-Automation-DiagnosisBucketPolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy

A política gerenciada AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy fornece permissões para que uma conta operacional diagnostique problemas com os nós fornecendo para isso permissões específicas da organização.

É possível anexar a AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy a suas identidades do IAM. O Systems Manager também anexa essa política a um perfil do IAM que permite que o Systems Manager execute ações de diagnóstico em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • organizations: permite que as entidades principais listem uma raiz da organização e obtenham contas-membro para determinar as contas de destino.

  • sts: permite que as entidades principais assumam perfis de execução de correção para executar documentos do SSM Automation em contas e regiões diversas na mesma organização.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy

A política gerenciada AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy fornece permissões para que uma conta operacional diagnostique problemas com os nós fornecendo para isso permissões específicas da organização.

É possível anexar a política AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy a suas identidades do IAM. O Systems Manager também anexa essa política a um perfil do IAM que permite que o Systems Manager execute ações de diagnóstico em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • organizations: permite que as entidades principais listem uma raiz da organização e obtenham contas-membro para determinar as contas de destino.

  • sts: permite que as entidades principais assumam perfis de execução de diagnóstico para executar documentos do SSM Automation em contas e regiões diversas na mesma organização.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Atualizações do Systems Manager para políticas gerenciadas pela AWS

Na tabela a seguir, veja detalhes sobre atualizações em políticas gerenciadas pela AWS para o Systems Manager desde que esse serviço começou a rastrear essas alterações em 12 de março de 2021. Para obter informações sobre outras políticas gerenciadas para o serviço Systems Manager, consulte Políticas gerenciadas adicionais para o Systems Manager mais adiante neste tópico. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico do documento do Systems Manager.

Alteração Descrição Data

AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy – Nova política

O Systems Manager adicionou uma nova política que fornece permissões para que uma conta operacional diagnostique problemas com os nós fornecendo para isso permissões específicas da organização.

21 de novembro de 2024

AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy – Nova política

O Systems Manager adicionou uma nova política que fornece permissões para que uma conta operacional diagnostique problemas com os nós fornecendo para isso permissões específicas da organização.

21 de novembro de 2024

AWS-SSM-Automation-DiagnosisBucketPolicy – Nova política

O Systems Manager adicionou uma nova política para oferecer suporte ao início de fluxos de trabalho do Automation que diagnosticam problemas com nós gerenciados em contas e regiões específicas.

21 de novembro de 2024

AmazonSSMServiceRolePolicy: atualizar para uma política existente

O Systems Manager adicionou novas permissões para permitir ao Explorador de recursos da AWS coletar detalhes sobre as instâncias do Amazon EC2 e a exibição dos resultados em widgets no novo painel do Systems Manager.

21 de novembro de 2024

AmazonSSMFullAccessV2 – Nova política

O Systems Manager adicionou uma nova política de acesso total que inclui permissões para realizar operações nos recursos mais recentes do Systems Manager. 21 de novembro de 2024
SSMQuickSetupRolePolicy: atualizar para uma política existente O Systems Manager atualizou a política gerenciada SSMQuickSetupRolePolicy. Essas atualizações permitem que o perfil vinculado ao serviço associado gerencie as AWSServiceRoleForSSMQuickSetup sincronizações de dados de recursos. 21 de novembro de 2024
AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy – Nova política O Systems Manager adicionou uma nova política para oferecer suporte ao início de fluxos de trabalho do Automation que diagnosticam problemas com nós gerenciados em uma conta específica e regiões. 21 de novembro de 2024
AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy – Nova política O Systems Manager adicionou uma nova política para oferecer suporte ao início de fluxos de trabalho do Automation que diagnosticam problemas com nós gerenciados em uma conta e uma região específica. 21 de novembro de 2024
AWS-SSM-RemediationAutomation-AdministrationRolePolicy – Nova política O Systems Manager adicionou uma nova política para oferecer suporte ao início de fluxos de trabalho do Automation que corrigem problemas com nós gerenciados em contas e regiões específicas. 21 de novembro de 2024
AWS-SSM-RemediationAutomation-ExecutionRolePolicy – Nova política O Systems Manager adicionou uma nova política para oferecer suporte ao início de fluxos de trabalho do Automation que corrigem problemas com nós gerenciados em uma conta e uma região específicas. 21 de novembro de 2024
AWSQuickSetupSSMManageResourcesExecutionPolicy – Nova política O Systems Manager adicionou uma nova política para oferecer suporte à execução de uma operação na Quick Setup que cria perfis do IAM para associações da Quick Setup, que por sua vez são criadas por uma implantação da AWSQuickSetupType-SSM. 21 de novembro de 2024
AWSQuickSetupSSMLifecycleManagementExecutionPolicy – Nova política O Systems Manager adicionou uma nova política para oferecer suporte à execução pela Quick Setup de um recurso do AWS CloudFormation personalizado em eventos de ciclo de vida durante uma implantação da Quick Setup. 21 de novembro de 2024
AWSQuickSetupSSMDeploymentRolePolicy – Nova política O Systems Manager adicionou uma nova política para oferecer suporte à concessão de permissões administrativas que permitem à Quick Setup criar recursos que são usados durante o processo de integração do Systems Manager. 21 de novembro de 2024
AWSQuickSetupSSMDeploymentS3BucketRolePolicy – Nova política O Systems Manager adicionou uma nova política para oferecer suporte ao gerenciamento e à recuperação de informações sobre buckets específicos na conta da entidade principal que são gerenciados via modelos do AWS CloudFormation 21 de novembro de 2024
AWSQuickSetupEnableDHMCExecutionPolicy – Nova política O Systems Manager está introduzindo uma nova política para permitir que a Quick Setup crie um perfil do IAM que, por sua vez, usa a AmazonSSMManagedEC2InstanceDefaultPolicy existente. Essa política contém todas as permissões necessárias para o SSM Agent se comunicar com o serviço Systems Manager. A nova política também permite modificações nas configurações do serviço Systems Manager. 21 de novembro de 2024
AWSQuickSetupEnableAREXExecutionPolicy – Nova política O Systems Manager adicionou uma nova política Quick Setup para permitir a criação de um perfil vinculado ao serviço para o Explorador de recursos da AWS a fim de permitir o acesso a visualizações do Explorador de Recursos e a índices agregadores. 21 de novembro de 2024
AWSQuickSetupManagedInstanceProfileExecutionPolicy – Nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup crie um perfil de instância da Quick Setup padrão e anexe-o a qualquer instância do Amazon EC2 que não tenha um perfil de instância associado. Essa nova política também permite à Quick Setup anexar permissões aos perfis existentes para garantir que todas as permissões necessárias do Systems Manager tenham sido concedidas.

21 de novembro de 2024
AWSQuickSetupFullAccess – Nova política O Systems Manager adicionou uma nova política para permitir que as entidades tenham acesso total às ações e dados da API da AWS Systems Manager Quick Setup no AWS Management Console e nos AWS SDKs, bem como acesso limitado a outros recursos do AWS service (Serviço da AWS) necessários para as operações da Quick Setup. 21 de novembro de 2024
AWSQuickSetupReadOnlyAccess – Nova política O Systems Manager adicionou uma nova política para conceder permissões somente leitura que permitem que as entidades principais visualizem dados e relatórios do AWS Systems Manager Quick Setup, incluindo informações de outros recursos do AWS service (Serviço da AWS) necessários para as operações da Quick Setup. 21 de novembro de 2024

SSMQuickSetupRolePolicy: atualizar para uma política existente

O Systems Manager adicionou novas permissões para permitir que Quick Setup verifique a integridade de conjuntos de pilhas adicionais do AWS CloudFormation que ele criou.

13 de agosto de 2024
AmazonSSMManagedEC2InstanceDefaultPolicy: atualizar para uma política existente Systems Manager adicionou IDs de declaração (Sids) à política JSON para AmazonSSMManagedEC2InstanceDefaultPolicy. Esses Sids fornecem descrições em linha do propósito de cada declaração de política. 18 de julho de 2024
SSMQuickSetupRolePolicy – Nova política O Systems Manager adicionou uma nova política para que o Quick Setup possa verificar a integridade dos recursos implantados e corrigir instâncias que se afastaram da configuração original. 3 de julho de 2024
AWSQuickSetupDeploymentRolePolicy – Nova política O Systems Manager adicionou uma nova política para oferecer suporte a vários tipos de configuração da Configuração Rápida que criam perfis e automações do IAM, que, por sua vez, configuram serviços e recursos da Amazon Web Services usados com frequência com as melhores práticas recomendadas. 3 de julho de 2024

AWSQuickSetupPatchPolicyDeploymentRolePolicy

: nova política

O Systems Manager adicionou uma nova política para que a Quick Setup possa criar recursos associados às configurações da Patch Manager da política de patch do Quick Setup.

3 de julho de 2024

AWSQuickSetupPatchPolicyBaselineAccess: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup acesse as listas de referência de patches no Patch Manager com permissões somente de leitura.

3 de julho de 2024
AWSSystemsManagerEnableExplorerExecutionPolicy: nova política O Systems Manager adicionou uma nova política para permitir que a Quick Setup conceda permissões administrativas para habilitar o Explorer. 3 de julho de 2024
AWSSystemsManagerEnableConfigRecordingExecutionPolicy: nova política O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure a gravação de configuração do AWS Config. 3 de julho de 2024

AWSQuickSetupDevOpsGuruPermissionsBoundary: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure o Amazon DevOps Guru.

3 de julho de 2024

AWSQuickSetupDistributorPermissionsBoundary: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure o Distributor, um recurso do AWS Systems Manager.

3 de julho de 2024

AWSQuickSetupSSMHostMgmtPermissionsBoundary: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure os recursos do Systems Manager para gerenciar com segurança as instâncias do Amazon EC2.

3 de julho de 2024

AWSQuickSetupPatchPolicyPermissionsBoundary: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure políticas de patch no Patch Manager, uma capacidade do AWS Systems Manager.

3 de julho de 2024

AWSQuickSetupSchedulerPermissionsBoundary: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure operações programadas em instâncias do Amazon EC2 e outros recursos.

3 de julho de 2024

AWSQuickSetupCFGCPacksPermissionsBoundary: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup implemente pacotes de conformidade do AWS Config.

3 de julho de 2024

AWSSystemsManagerOpsDataSyncServiceRolePolicy: atualizar para uma política existente

O OpsCenter atualizou a política para melhorar a segurança do código de serviço dentro do perfil vinculado a serviço para o Explorer gerenciar operações relacionadas a OpsData. 3 de julho de 2023

AmazonSSMManagedEC2InstanceDefaultPolicy – Nova política

O Systems Manager adicionou uma nova política para permitir a funcionalidade do Systems Manager em instâncias do Amazon EC2 sem o uso de um perfil de instância do IAM.

18 de agosto de 2022

AmazonSSMServiceRolePolicy: atualização para uma política existente

O Systems Manager adicionou novas permissões para permitir que o Explorer crie uma regra gerenciada quando você ativar o Security Hub no Explorer ou no OpsCenter. Novas permissões foram adicionadas para verificar se a configuração e o Compute Optimizer atendem aos requisitos necessários antes de permitir o OpsData.

27 de abril de 2021

AWSSystemsManagerOpsDataSyncServiceRolePolicy – Nova política

O Systems Manager adicionou uma nova política para criar e atualizar o OpsItems e as descobertas do OpsData do Security Hub no Explorer e no OpsCenter.

27 de abril de 2021

AmazonSSMServiceRolePolicy: atualizar para uma política existente

O Systems Manager adicionou novas permissões para permitir a visualização agregada de detalhes do OpsData e OpsItems em várias contas e em Regiões da AWS e no Explorer.

24 de março de 2021

O Systems Manager iniciou o rastreamento das alterações

O Systems Manager começou a monitorar as alterações para as políticas gerenciadas da AWS.

12 de março de 2021

Políticas gerenciadas adicionais para o Systems Manager

Além das políticas gerenciadas descritas anteriormente neste tópico, o Systems Manager também oferece suporte às políticas gerenciadas a seguir.

  • AmazonSSMAutomationApproverAccess: política gerenciada pela AWS que permite visualizar execuções de automação e enviar decisões de aprovação para automação que está aguardando aprovação.

  • AmazonSSMAutomationRole: política gerenciada pela AWS que fornece permissões para o serviço Automation do Systems Manager executar atividades definidas nos runbooks de automação. Atribui essa política a administradores e usuários avançados confiáveis.

  • AmazonSSMDirectoryServiceAccess: política gerenciada pela AWS que permite ao SSM Agent acessar o AWS Directory Service em nome do usuário para solicitações de ingresso no domínio pelo nó gerenciado.

  • AmazonSSMFullAccess: política gerenciada pela AWS que concede acesso total à API e a documentos do Systems Manager.

  • AmazonSSMMaintenanceWindowRole: política gerenciada pela AWS que fornece janelas de manutenção com permissões para a API do Systems Manager.

  • AmazonSSMManagedInstanceCore – Política gerenciada do AWS que permite que uma instância use a funcionalidade básica do serviço do Systems Manager.

  • AmazonSSMPatchAssociation: política gerenciada pela AWS que fornece acesso a instâncias filhas para operações de associação de patches.

  • AmazonSSMReadOnlyAccess: política gerenciada pela AWS que concede acesso a operações de API somente leitura do Systems Manager, como Get* e List*.

  • AWSSSMOpsInsightsServiceRolePolicy: política gerenciada pela AWS que fornece permissões para criar e atualizar OPSitems de insights operacionais no Systems Manager. Usada para fornecer permissões por meio do perfil vinculado ao serviço AWSServiceRoleForAmazonSSM_OpsInsights.

  • AWSSystemsManagerAccountDiscoveryServicePolicy: política gerenciada pela AWS que concede ao Systems Manager permissões para descobrir informações da Conta da AWS.

  • AWSSystemsManagerChangeManagementServicePolicy: política gerenciada pela AWS fornece acesso aos recursos da AWS gerenciados ou usados pelo framework de gerenciamento de alterações do Systems Manager e usados pelo perfil vinculado ao serviço AWSServiceRoleForSystemsManagerChangeManagement.

  • AmazonEC2RoleforSSM: política obsoleta, não deve mais ser usada. Em seu lugar, use a política AmazonSSMManagedInstanceCore para permitir a funcionalidade principal do serviço Systems Manager em instâncias do EC2. Para obter informações, consulte Configurar permissões de instância obrigatórias para o Systems Manager.