适用于 AWS Systems Manager 的 AWS 托管式策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略。
AWS 托管式策略:AmazonSSMServiceRolePolicy
您不能将 AmazonSSMServiceRolePolicy 附加到自己的 AWS Identity and Access Management(IAM)实体。此附加到服务相关角色的策略允许 AWS Systems Manager 代表您执行操作。有关更多信息,请参阅 使用角色来收集清单并查看 OpsData。
除非另有说明,否则 AmazonSSMServiceRolePolicy 允许 Systems Manager 对所有相关资源("Resource": "*")完成以下操作:
-
ssm:CancelCommand -
ssm:GetCommandInvocation -
ssm:ListCommandInvocations -
ssm:ListCommands -
ssm:SendCommand -
ssm:GetAutomationExecution -
ssm:GetParameters -
ssm:StartAutomationExecution -
ssm:StopAutomationExecution -
ssm:ListTagsForResource -
ssm:GetCalendarState -
ssm:UpdateServiceSetting[1] -
ssm:GetServiceSetting[1] -
ec2:DescribeInstanceAttribute -
ec2:DescribeInstanceStatus -
ec2:DescribeInstances -
lambda:InvokeFunction[2] -
states:DescribeExecution[3] -
states:StartExecution[3] -
resource-groups:ListGroups -
resource-groups:ListGroupResources -
resource-groups:GetGroupQuery -
tag:GetResources -
config:SelectResourceConfig -
config:DescribeComplianceByConfigRule -
config:DescribeComplianceByResource -
config:DescribeRemediationConfigurations -
config:DescribeConfigurationRecorders -
cloudwatch:DescribeAlarms -
compute-optimizer:GetEC2InstanceRecommendations -
compute-optimizer:GetEnrollmentStatus -
support:DescribeTrustedAdvisorChecks -
support:DescribeTrustedAdvisorCheckSummaries -
support:DescribeTrustedAdvisorCheckResult -
support:DescribeCases -
iam:PassRole[4] -
cloudformation:DescribeStacks -
cloudformation:ListStackResources -
cloudformation:ListStackInstances[5] -
cloudformation:DescribeStackSetOperation[5] -
cloudformation:DeleteStackSet[5] -
cloudformation:DeleteStackInstances[6] -
events:PutRule[7] -
events:PutTargets[7] -
events:RemoveTargets[8] -
events:DeleteRule[8] -
events:DescribeRule -
securityhub:DescribeHub
[1] 仅允许对以下资源执行 ssm:UpdateServiceSetting 和 ssm:GetServiceSetting 操作的权限。
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
[2] 仅允许对以下资源执行 lambda:InvokeFunction 操作的权限。
arn:aws:lambda:*:*:function:SSM* arn:aws:lambda:*:*:function:*:SSM*
[3] 仅允许对以下资源执行 states: 操作的权限。
arn:aws:states:*:*:stateMachine:SSM* arn:aws:states:*:*:execution:SSM*
[4] 根据 Systems Manager 服务的以下条件,仅允许执行 iam:PassRole 操作的权限。
"Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com" ] } }
[5] 仅允许对以下资源执行 cloudformation:ListStackInstances、cloudformation:DescribeStackSetOperation 和 cloudformation:DeleteStackSet 操作的权限。
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
[6] 仅允许对以下资源执行 cloudformation:DeleteStackInstances 操作的权限。
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:type/resource/*
[7] 根据 Systems Manager 服务的以下条件,仅允许执行 events:PutRule 和 events:PutTargets 操作的权限。
"Condition": { "StringEquals": { "events:ManagedBy": "ssm.amazonaws.com" } }
[8] 仅允许对以下资源执行 events:RemoveTargets 和 events:DeleteRule 操作的权限。
arn:aws:events:*:*:rule/SSMExplorerManagedRule
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AmazonSSMServiceRolePolicy。
AWS 托管式策略:AmazonSSMReadOnlyAccess
您可以将 AmazonSSMReadOnlyAccess 策略附加到 IAM 身份。此策略授予对 AWS Systems Manager API 操作的只读访问权限,包括 Describe*、Get* 和 List*。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AmazonSSMReadOnlyAccess。
AWS 托管式策略:AWSSystemsManagerOpsDataSyncServiceRolePolicy
您不能将 AWSSystemsManagerOpsDataSyncServiceRolePolicy 附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 使用角色为 Explorer 创建 OpsData 和 OpsItems。
AWSSystemsManagerOpsDataSyncServiceRolePolicy 允许 AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色创建和更新来自 AWS Security Hub 调查结果的 OpsItems 及 OpsData。
除非另有说明,否则策略允许 Systems Manager 对所有相关资源("Resource": "*")完成以下操作:
-
ssm:GetOpsItem[1] -
ssm:UpdateOpsItem[1] -
ssm:CreateOpsItem -
ssm:AddTagsToResource[2] -
ssm:UpdateServiceSetting[3] -
ssm:GetServiceSetting[3] -
securityhub:GetFindings -
securityhub:GetFindings -
securityhub:BatchUpdateFindings[4]
[1] 根据 Systems Manager 服务的以下条件,仅允许执行 ssm:GetOpsItem 和 ssm:UpdateOpsItem 操作的权限。
"Condition": { "StringEquals": { "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true" } }
[2] 仅允许对以下资源执行 ssm:AddTagsToResource 操作的权限。
arn:aws:ssm:*:*:opsitem/*
[3] 仅允许对以下资源执行 ssm:UpdateServiceSetting 和 ssm:GetServiceSetting 操作的权限。
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
[4] 根据 Systems Manager 服务的以下条件,仅拒绝执行 securityhub:BatchUpdateFindings 的权限。
{ "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Confidence": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Criticality": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.Text": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.UpdatedBy": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/RelatedFindings": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Types": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.key": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.value": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/VerificationState": false } }
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSSystemsManagerOpsDataSyncServiceRolePolicy。
AWS 托管式策略:AmazonSSMManagedEC2InstanceDefaultPolicy
对于想要获得 Systems Manager 功能使用权限的 Amazon EC2 实例,您只应将 AmazonSSMManagedEC2InstanceDefaultPolicy 附加到 IAM 角色。您不应将该角色附加到其他 IAM 实体(例如 IAM 用户和 IAM 组)或用于其他目的的 IAM 角色。有关更多信息,请参阅 使用默认主机管理配置自动管理 EC2 实例。
此策略授予的权限允许您 Amazon EC2 实例上的 SSM Agent 与云中的 Systems Manager 服务进行通信以执行各种任务。它还为提供授权令牌的两个服务授予权限,以确保在正确的实例上执行操作。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体检索文档、使用 Run Command 执行命令、使用 Session Manager 建立会话、收集实例清单以及使用 Patch Manager 扫描补丁和补丁合规性的权限。 -
ssmmessages– 允许主体针对每个实例访问由 Amazon Message Gateway Service 创建的个性化授权令牌。Systems Manager 根据 API 操作中提供的实例 Amazon 资源名称(ARN)验证个性化授权令牌。此访问权限是确保 SSM Agent 在正确的实例上执行 API 操作的必要条件。 -
ec2messages– 允许主体针对每个实例访问由 Amazon Message Delivery Service 创建的个性化授权令牌。Systems Manager 根据 API 操作中提供的实例 Amazon 资源名称(ARN)验证个性化授权令牌。此访问权限是确保 SSM Agent 在正确的实例上执行 API 操作的必要条件。
有关 ssmmessages 和 ec2messages 端点的相关信息,包括两者之间的区别,请参阅 与代理相关的 API 操作(ssmmessages 和 ec2messages 端点)。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AmazonSSMManagedEC2InstanceDefaultPolicy。
AWS 托管式策略:SSMQuickSetupRolePolicy
您无法将 SSMQuickSetupRolePolicy 附加至您的 IAM 实体。此策略附加至服务相关角色,允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 使用角色来维护已配置 Quick Setup 的资源运行状况和一致性。
此策略授予只读权限,允许 Systems Manager 检查配置运行状况,确保参数和已配置资源的一致使用,并在检测到偏差时修复资源。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体在 Systems Manager 中读取“资源数据同步”和“SSM 文档”信息。这是必需的,这样 Quick Setup 才能确定已配置资源的预期状态。 -
organizations– 允许主体读取属于组织的成员账户的信息,如 AWS Organizations 中所配置。这是必需的,这样 Quick Setup 才能识别组织中要执行资源运行状况检查的所有账户。 -
cloudformation– 允许主体从 AWS CloudFormation 中读取信息。这是必需的,这样 Quick Setup 才能收集有关用于管理资源状态和 CloudFormation 堆栈集操作的 AWS CloudFormation 堆栈的数据。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 SSMQuickSetupRolePolicy。
AWS 托管式策略:AWSQuickSetupDeploymentRolePolicy
托管式策略 AWSQuickSetupDeploymentRolePolicy 支持多种 Quick Setup 配置类型。这些配置类型创建 IAM 角色和自动化,以配置常用 Amazon Web Services 服务和功能,并提供建议的最佳实践。
您可以将 AWSQuickSetupDeploymentRolePolicy 附加到 IAM 实体。
此策略授予创建与以下 Quick Setup 配置关联的资源所需的管理权限:
权限详细信息
该策略包含以下权限。
-
iam– 允许主体管理和删除自动化配置任务所需的 IAM 角色;以及管理自动化角色策略。 -
cloudformation– 允许主体创建和管理堆栈集。 -
config– 允许主体创建、托管和删除一致性包。 -
events– 允许主体创建、更新和删除计划操作的事件规则。 -
resource-groups– 允许主体检索与 Quick Setup 配置所针对的资源组关联的资源查询。 -
ssm– 允许主体创建应用 Quick Setup 配置的自动化运行手册和关联。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupDeploymentRolePolicy。
AWS 托管式策略:AWSQuickSetupPatchPolicyDeploymentRolePolicy
托管式策略 AWSQuickSetupPatchPolicyDeploymentRolePolicy 支持 使用 Quick Setup 为组织中的实例配置补丁 Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
您可以将 AWSQuickSetupPatchPolicyDeploymentRolePolicy 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许 Quick Setup 创建与补丁策略配置关联的资源。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体管理和删除自动化配置任务所需的 IAM 角色;以及管理自动化角色策略。 -
cloudformation– 允许主体读取 AWS CloudFormation 堆栈信息;并控制由 Quick Setup 使用 AWS CloudFormation 堆栈集创建的 AWS CloudFormation 堆栈。 -
ssm– 允许主体创建、更新、读取和删除配置任务所需的自动化运行手册;以及创建、更新和删除 State Manager 关联。
-
resource-groups– 允许主体检索与 Quick Setup 配置所针对的资源组关联的资源查询。
-
s3– 允许主体列出 Amazon S3 存储桶;以及管理用于存储补丁策略访问日志的存储桶。 -
lambda– 允许主体管理 AWS Lambda 修复功能,将配置保持在正确的状态。 -
logs– 允许主体为 Lambda 配置资源描述和管理日志组。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupPatchPolicyDeploymentRolePolicy。
AWS 托管式策略:AWSQuickSetupPatchPolicyBaselineAccess
托管式策略 AWSQuickSetupPatchPolicyBaselineAccess 支持 使用 Quick Setup 为组织中的实例配置补丁 Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
您可以将 AWSQuickSetupPatchPolicyBaselineAccess 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略提供只读权限,允许访问由当前 AWS 账户 或组织中的管理员使用 Quick Setup 配置的补丁基准。补丁基准存储在 Amazon S3 存储桶中,可用于修补单个账户或整个组织中的实例。
权限详细信息
此策略包含以下权限。
-
s3– 允许主体读取 Amazon S3 存储桶中存储的补丁基准覆盖。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupPatchPolicyBaselineAccess。
AWS 托管式策略:AWSSystemsManagerEnableExplorerExecutionPolicy
托管式策略 AWSSystemsManagerEnableExplorerExecutionPolicy 支持启用 Explorer,其为 AWS Systems Manager 的一项功能。
您可以将 AWSSystemsManagerEnableExplorerExecutionPolicy 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,以便启用 Explorer。这包括更新相关 Systems Manager 服务设置和为 Systems Manager 创建服务相关角色的权限。
权限详细信息
该策略包含以下权限。
-
config– 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。 -
iam– 允许主体帮助启用 Explorer。 -
ssm– 允许主体启动启用 Explorer 的自动化工作流。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管是策略参考指南》中的 AWSSystemsManagerEnableExplorerExecutionPolicy。
AWS 托管式策略:AWSSystemsManagerEnableConfigRecordingExecutionPolicy
托管式策略 AWSSystemsManagerEnableConfigRecordingExecutionPolicy 支持 使用 Quick Setup 创建 AWS Config 配置记录器 Quick Setup 配置类型。使用此配置类型,Quick Setup 可以跟踪和记录对为 AWS Config 选择的 AWS 资源类型的更改。它还可让 Quick Setup 为记录的数据配置传送和通知选项。
您可以将 AWSSystemsManagerEnableConfigRecordingExecutionPolicy 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许Quick Setup 启用和配置 AWS Config 配置记录。
权限详细信息
该策略包含以下权限。
-
s3– 允许主体创建和配置 Amazon S3 存储桶以交付配置记录。 -
sns- 允许主体列出并创建 Amazon SNS 主题。 -
config– 允许主体配置和启动配置记录器;并帮助启用 Explorer。 -
iam– 允许主体为 AWS Config 创建、获取和传递服务相关角色;为 Systems Manager 创建服务相关角色;以及帮助启用 Explorer。 -
ssm– 允许主体启动启用 Explorer 的自动化工作流。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSSystemsManagerEnableConfigRecordingExecutionPolicy。
AWS 托管式策略:AWSQuickSetupDevOpsGuruPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupDevOpsGuruPermissionsBoundary 支持 使用 Quick Setup 设置 DevOps Guru 类型。配置类型支持由机器学习助力的 Amazon DevOps Guru。DevOps Guru 服务可以帮助提高应用程序的运行性能和可用性。
当您使用 Quick Setup 创建 AWSQuickSetupDevOpsGuruPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 启用和配置 Amazon DevOps Guru。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体为 DevOps Guru 和 Systems Manager 创建服务相关角色;以及列出帮助启用 Explorer 的角色。 -
cloudformation– 允许主体列出并描述 AWS CloudFormation 堆栈。 -
sns– 允许主体列出并创建 Amazon SNS 主题。 -
devops-guru– 允许主体配置 DevOps Guru;以及添加通知渠道。 -
config– 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。 -
ssm– 允许主体启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupDevOpsGuruPermissionsBoundary。
AWS 托管式策略:AWSQuickSetupDistributorPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupDistributorPermissionsBoundary 支持 使用 Quick Setup 部署 Distributor 软件包 Quick Setup 配置类型。此配置类型有助于使用 Distributor(AWS Systems Manager 的一种功能)将软件包(例如代理)分发至您的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。
当您使用 Quick Setup 创建 AWSQuickSetupDistributorPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
该策略授予管理权限,允许 Quick Setup 使用 Distributor 将软件包(例如代理)分发至您的 Amazon EC2 实例。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体获取和传递 Distributor 自动化角色;创建、读取、更新和删除默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;将实例管理策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关 IAM 角色和实例配置文件的信息;以及创建默认实例配置文件。 -
ec2– 允许主体将默认实例配置文件与 EC2 实例关联起来;以及帮助启用 Explorer。 -
ssm– 允许主体启动配置实例和安装软件包的自动化工作流;帮助启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。 -
config– 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupDistributorPermissionsBoundary。
AWS 托管式策略:AWSQuickSetupSSMHostMgmtPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupSSMHostMgmtPermissionsBoundary 支持 使用 Quick Setup 设置 Amazon EC2 主机管理 Quick Setup 配置类型。此配置类型用于配置 IAM 角色并启用常用的 Systems Manager 功能来安全地管理您的 Amazon EC2 实例。
当您使用 Quick Setup 创建 AWSQuickSetupSSMHostMgmtPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 启用和配置安全管理 EC2 实例所需的 Systems Manager 功能。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体获取服务角色并将其传递给自动化。允许主体创建、读取、更新和删除默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;将实例管理策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关 IAM 角色和实例配置文件的信息;以及创建默认实例配置文件。 -
ec2– 允许主体将默认实例配置文件与 EC2 实例关联和取消关联。 -
ssm– 允许主体启动启用 Explorer 的自动化工作流;读取和更新 Explorer 服务设置;配置实例;以及在实例上启用 Systems Manager 功能。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupSSMHostMgmtPermissionsBoundary。
AWS 托管式策略:AWSQuickSetupPatchPolicyPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupPatchPolicyPermissionsBoundary 支持 使用 Quick Setup 为组织中的实例配置补丁 Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
当您使用 Quick Setup 创建 AWSQuickSetupPatchPolicyPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 在 Patch Manager(AWS Systems Manager 的一项功能)中启用和配置补丁策略。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体获得 Patch Manager 自动化角色;将自动化角色传递给 Patch Manager 修补操作;创建默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;AmazonSSMRoleForInstancesQuickSetup;将选定的 AWS 托管式策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关实例配置文件和角色的信息;创建默认实例配置文件;以及标记有权读取补丁基准覆盖的角色。 -
ssm– 允许主体更新由 Systems Manager 管理的实例角色;管理由 Quick Setup 中创建的 Patch Manager 补丁策略创建的关联;标记补丁策略配置所针对的实例;读取有关实例和修补状态的信息;启动配置、启用和修复实例补丁的自动化工作流;启动启用 Explorer 的自动化工作流;帮助启用 Explorer;以及读取和更新 Explorer 服务设置。 -
ec2– 允许主体将默认实例配置文件与 EC2 实例关联和取消关联;标记补丁策略配置所针对的实例;标记补丁策略配置所针对的实例;以及帮助启用 Explorer。 -
s3– 允许主体创建和配置 S3 存储桶以存储补丁基准覆盖。 -
lambda– 允许主体调用配置补丁的 AWS Lambda 函数,并在删除 Quick Setup 补丁策略配置后执行清理操作。 -
logs– 允许主体为 Patch Manager Quick Setup AWS Lambda 函数配置日志记录。 -
config– 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupPatchPolicyPermissionsBoundary。
AWS 托管式策略:AWSQuickSetupSchedulerPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupSchedulerPermissionsBoundary 支持 按计划使用 Quick Setup 自动停止和启动 EC2 实例 Quick Setup 配置类型。此配置类型允许您在指定的时间停止和启动 EC2 实例和其他资源。
当您使用 Quick Setup 创建 AWSQuickSetupSchedulerPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 在 EC2 实例和其他资源上启用和配置计划操作。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体检索和传递实例管理自动化操作的角色;管理、传递和附加用于 EC2 实例管理的默认实例角色;创建默认实例配置文件;向实例配置文件添加默认实例角色;为 Systems Manager 创建服务相关角色;读取有关 IAM 角色和实例配置文件的信息;将默认实例配置文件与 EC2 实例关联;以及启动自动化工作流以配置实例并在实例上启用 Systems Manager 功能。 -
ssm– 允许主体启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。 -
ec2 – 允许主体找到目标实例并按计划启动和停止它们。
-
config– 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support— 允许主体通过提供对账户 AWS Trusted Advisor 检查的只读访问权限来帮助启用 Explorer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupSchedulerPermissionsBoundary。
AWS 托管式策略:AWSQuickSetupCFGCPacksPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupCFGCPacksPermissionsBoundary 支持 使用 Quick Setup 部署 AWS Config 一致性包 Quick Setup 配置类型。此配置类型部署 AWS Config 一致性包。一致性包是一系列 AWS Config 规则和补救措施,这些规则和补救措施可以作为单个实体进行部署。
当您使用 Quick Setup 创建 AWSQuickSetupCFGCPacksPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 部署 AWS Config 一致性包。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体为 AWS Config 创建、获取和传递服务相关角色。 -
sns– 允许主体在 Amazon SNS 中列出平台应用程序。 -
config– 允许主体部署 AWS Config 一致性包;获取一致性包的状态;以及获取有关配置记录器的信息。 -
ssm– 允许主体获取有关 SSM 文档和自动化工作流的信息;获取有关资源标签的信息;以及获取相关信息和更新服务设置。 -
compute-optimizer– 允许主体获取账户的选择加入状态。 -
support– 允许主体获取有关 AWS Trusted Advisor 检查的信息。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupCFGCPacksPermissionsBoundary。
Systems Manager 更新了 AWS 托管式策略
在下表中,查看自该服务于 2021 年 3 月 12 日开始跟踪这些更改以来,有关 Systems Manager 的 AWS 托管策略更新的详细信息。有关 Systems Manager 服务的其他托管策略的信息,请参阅本主题后面的 Systems Manager 的其他托管策略。要获得有关此页面更改的自动提示,请订阅 Systems Manager 文档历史记录 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
SSMQuickSetupRolePolicy – 对现有策略的更新 |
Systems Manager 增加了新的权限,以允许 Quick Setup 检查其创建的其他 AWS CloudFormation 堆栈集的运行状况。 |
2024 年 8 月 13 日 |
| AmazonSSMManagedEC2InstanceDefaultPolicy – 更新到现有策略 | Systems Manager 已针对 AmazonSSMManagedEC2InstanceDefaultPolicy 向 JSON 策略添加语句 ID(Sid)。这些 Sid 针对每条策略语句的目的提供内联描述。 |
2024 年 7 月 18 日 |
| SSMQuickSetupRolePolicy:新策略 | Systems Manager 添加了新策略,允许 Quick Setup 检查已部署的资源的运行状况并修复偏离原始配置的实例。 | 2024 年 7 月 3 日 |
| AWSQuickSetupDeploymentRolePolicy:新策略 | Systems Manager 添加了新策略以支持多种快速设置配置类型,这些配置类型可创建 IAM 角色和自动化,进而使用推荐的最佳实践配置常用的 Amazon Web Services 服务和功能。 | 2024 年 7 月 3 日 |
|
AWSQuickSetupPatchPolicyDeploymentRolePolicy – 新策略 |
Systems Manager 添加了新策略,允许 Quick Setup 创建与 Patch Manager 补丁策略 Quick Setup 配置关联的资源。 |
2024 年 7 月 3 日 |
|
Systems Manager 添加了新策略,允许 Quick Setup 以只读权限访问 Patch Manager 中的补丁基准。 |
2024 年 7 月 3 日 | |
| AWSSystemsManagerEnableExplorerExecutionPolicy – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 授予启用 Explorer 的管理权限。 | 2024 年 7 月 3 日 |
| AWSSystemsManagerEnableConfigRecordingExecutionPolicy – 新策略 | Systems Manager 添加了允许 Quick Setup 启用和配置 AWS Config 配置记录的新策略。 | 2024 年 7 月 3 日 |
|
Systems Manager 添加了新策略,允许 Quick Setup 启用和配置 Amazon DevOps Guru。 |
2024 年 7 月 3 日 | |
|
Systems Manager 添加了允许 Quick Setup 启用和配置 Distributor(AWS Systems Manager 的一项功能)的新策略。 |
2024 年 7 月 3 日 | |
|
Systems Manager 添加了新策略,允许 Quick Setup 启用和配置 Systems Manager 功能,从而安全地管理 Amazon EC2 实例。 |
2024 年 7 月 3 日 | |
|
Systems Manager 添加了允许 Quick Setup 在 Patch Manager(AWS Systems Manager 的一项功能)中启用和配置补丁策略。 |
2024 年 7 月 3 日 | |
|
Systems Manager 添加了新策略,允许 Quick Setup 在 Amazon EC2 实例和其他资源上启用和配置计划操作。 |
2024 年 7 月 3 日 | |
|
Systems Manager 添加了允许 Quick Setup 部署 AWS Config 一致性包的新策略。 |
2024 年 7 月 3 日 | |
| OpsCenter 更新了策略,以提高 Explorer 管理 OpsData 相关操作的服务相关角色内服务代码的安全性。 | 2023 年 7 月 3 日 | |
|
Systems Manager 添加了新策略,允许 Amazon EC2 实例上的 Systems Manager 功能,而不使用 IAM 实例配置文件。 |
2022 年 8 月 18 日 | |
|
AmazonSSMServiceRolePolicy – 更新到现有策略 |
Systems Manager 添加了新的权限,允许 Explorer 在您从 Explorer 或 OpsCenter 启用 Security Hub 时创建托管规则。添加了新的权限,以便在允许 OpsData 之前检查 config 和 compute-optimizer 是否满足必需的要求。 |
2021 年 4 月 27 日 |
|
Systems Manager 添加了新策略,用于从 Explorer 和 OpsCenter 中的 Security Hub 调查结果创建并更新 OpsItems 及 OpsData。 |
2021 年 4 月 27 日 | |
|
|
Systems Manager 添加了新的权限,允许在 Explorer 中查看多个账户和 AWS 区域 的聚合 OpsData 及 OpsItems 详细信息。 |
2021 年 3 月 24 日 |
|
Systems Manager 已开启跟踪更改 |
Systems Manager 为其 AWS 托管式策略开启了跟踪更改。 |
2021 年 3 月 12 日 |
Systems Manager 的其他托管策略
除了本主题前面介绍的托管策略外,Systems Manager 还支持以下策略。
-
AmazonSSMAutomationApproverAccess– 允许访问以查看自动化执行并将批准决策发送到等待批准的自动化的 AWS 托管策略。 -
AmazonSSMAutomationRole– 为 Systems Manager 自动化服务提供权限,以运行在自动化运行手册中定义的活动的 AWS 托管策略。将此策略分配给管理员和可信高级用户。 -
AmazonSSMDirectoryServiceAccess– 允许 SSM Agent 代表用户访问 AWS Directory Service 以处理托管式节点加入域的请求的 AWS 托管策略。 -
AmazonSSMFullAccess– 授予 Systems Manager API 和文档完全访问权限的 AWS 托管策略。 -
AmazonSSMMaintenanceWindowRole– 为维护时段提供 Systems Manager API 权限的 AWS 托管策略。 -
AmazonSSMManagedInstanceCore– 允许节点使用 Systems Manager 服务核心功能的 AWS 托管式策略。 -
AmazonSSMPatchAssociation– 为补丁关联操作提供对子实例的访问权限的 AWS 托管式策略。 -
AmazonSSMReadOnlyAccess– 授予 Systems Manager 只读 API 操作(例如Get*和List*)访问权限的 AWS 托管策略。 -
AWSSSMOpsInsightsServiceRolePolicy– 为在 Systems Manager 中创建和更新运维洞察 OpsItems 提供权限的 AWS 托管策略。其借助服务相关角色 AWSServiceRoleForAmazonSSM_OpsInsights 提供权限。 -
AWSSystemsManagerAccountDiscoveryServicePolicy– 授予 Systems Manager 发现 AWS 账户 信息的权限的 AWS 托管策略。 -
AWSSystemsManagerChangeManagementServicePolicy– 提供对由 Systems Manager 更改管理框架管理或使用的以及由服务相关角色AWSServiceRoleForSystemsManagerChangeManagement使用的 AWS 资源的访问权限的 AWS 托管策略。 -
AmazonEC2RoleforSSM– 此策略不再受支持,不应使用。在相应的位置,使用AmazonSSMManagedInstanceCore策略在 EC2 实例上允许 Systems Manager 服务的核心功能。有关信息,请参阅配置 Systems Manager 所需的实例权限。
