本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 受管理的政策 AWS Systems Manager
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新API作業可供現有服務使 AWS 服務 用時,最有可能更新 AWS 受管理的策略。
如需詳細資訊,請參閱IAM使用指南中的AWS 受管理策略。
AWS 受管理策略:A mazonSSMService RolePolicy
您無法附加AmazonSSMServiceRolePolicy至您的 AWS Identity and Access Management (IAM) 實體。此原則附加至服務連結角色,可 AWS Systems Manager 代表您執行動作。如需詳細資訊,請參閱使用角色收集庫存和檢視 OpsData。
AmazonSSMServiceRolePolicy 允許 Systems Manager 對所有相關資源 ("Resource": "*") 完成下列動作,除非另有說明:
-
ssm:CancelCommand -
ssm:GetCommandInvocation -
ssm:ListCommandInvocations -
ssm:ListCommands -
ssm:SendCommand -
ssm:GetAutomationExecution -
ssm:GetParameters -
ssm:StartAutomationExecution -
ssm:StopAutomationExecution -
ssm:ListTagsForResource -
ssm:GetCalendarState -
ssm:UpdateServiceSetting[1] -
ssm:GetServiceSetting[1] -
ec2:DescribeInstanceAttribute -
ec2:DescribeInstanceStatus -
ec2:DescribeInstances -
lambda:InvokeFunction[2] -
states:DescribeExecution[3] -
states:StartExecution[3] -
resource-groups:ListGroups -
resource-groups:ListGroupResources -
resource-groups:GetGroupQuery -
tag:GetResources -
config:SelectResourceConfig -
config:DescribeComplianceByConfigRule -
config:DescribeComplianceByResource -
config:DescribeRemediationConfigurations -
config:DescribeConfigurationRecorders -
cloudwatch:DescribeAlarms -
compute-optimizer:GetEC2InstanceRecommendations -
compute-optimizer:GetEnrollmentStatus -
support:DescribeTrustedAdvisorChecks -
support:DescribeTrustedAdvisorCheckSummaries -
support:DescribeTrustedAdvisorCheckResult -
support:DescribeCases -
iam:PassRole[4] -
cloudformation:DescribeStacks -
cloudformation:ListStackResources -
cloudformation:ListStackInstances[5] -
cloudformation:DescribeStackSetOperation[5] -
cloudformation:DeleteStackSet[5] -
cloudformation:DeleteStackInstances[6] -
events:PutRule[7] -
events:PutTargets[7] -
events:RemoveTargets[8] -
events:DeleteRule[8] -
events:DescribeRule -
securityhub:DescribeHub
[1] 僅允許對以下資源進行 ssm:UpdateServiceSetting 和 ssm:GetServiceSetting 動作的許可。
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
[2] 僅允許對以下資源進行 lambda:InvokeFunction 動作的許可。
arn:aws:lambda:*:*:function:SSM* arn:aws:lambda:*:*:function:*:SSM*
[3] 僅允許對以下資源進行 states: 動作的許可。
arn:aws:states:*:*:stateMachine:SSM* arn:aws:states:*:*:execution:SSM*
[4] 透過以下條件,僅允許對 Systems Manager 服務進行 iam:PassRole 動作的許可。
"Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com" ] } }
[5] 僅允許對以下資源進行 cloudformation:ListStackInstances、cloudformation:DescribeStackSetOperation 和 cloudformation:DeleteStackSet 動作的許可。
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
[6] 僅允許對以下資源進行 cloudformation:DeleteStackInstances 動作的許可。
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:type/resource/*
[7] 透過以下條件,僅允許對 Systems Manager 服務進行 events:PutRule 和 events:PutTargets 動作的許可。
"Condition": { "StringEquals": { "events:ManagedBy": "ssm.amazonaws.com" } }
[8] 僅允許對以下資源進行 events:RemoveTargets 和 events:DeleteRule 動作的許可。
arn:aws:events:*:*:rule/SSMExplorerManagedRule
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理mazonSSMServiceRolePolicy的策略參考指南》中的 A。
AWS 受管理策略:A mazonSSMRead OnlyAccess
您可以將AmazonSSMReadOnlyAccess原則附加至您的IAM身分識別。此原則會授與 AWS Systems Manager API作業的唯讀存取權Describe*,包括Get*、和List*。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理mazonSSMReadOnlyAccess的策略參考指南》中的 A。
AWS 受管理的策略: AWSSystemsManagerOpsDataSyncServiceRolePolicy
您無法附加AWSSystemsManagerOpsDataSyncServiceRolePolicy至您的IAM實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱使用角色建立 OpsData 和 OpsItems for Explorer。
AWSSystemsManagerOpsDataSyncServiceRolePolicy允許AWSServiceRoleForSystemsManagerOpsDataSync服務連結角色建立OpsItems和更新 OpsData 發 AWS Security Hub 現項目。
此政策允許 Systems Manager 對所有相關資源 ("Resource": "*") 完成下列動作,除非另有說明:
-
ssm:GetOpsItem[1] -
ssm:UpdateOpsItem[1] -
ssm:CreateOpsItem -
ssm:AddTagsToResource[2] -
ssm:UpdateServiceSetting[3] -
ssm:GetServiceSetting[3] -
securityhub:GetFindings -
securityhub:GetFindings -
securityhub:BatchUpdateFindings[4]
[1] 透過以下條件,僅允許對 Systems Manager 服務進行 ssm:GetOpsItem 和 ssm:UpdateOpsItem 動作的許可。
"Condition": { "StringEquals": { "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true" } }
[2] 僅允許對以下資源進行 ssm:AddTagsToResource 動作的許可。
arn:aws:ssm:*:*:opsitem/*
[3] 僅允許對以下資源進行 ssm:UpdateServiceSetting 和 ssm:GetServiceSetting 動作的許可。
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
[4] 透過以下條件,僅拒絕對 Systems Manager 服務進行 securityhub:BatchUpdateFindings 的許可。
{ "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Confidence": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Criticality": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.Text": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.UpdatedBy": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/RelatedFindings": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Types": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.key": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.value": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/VerificationState": false } }
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSSystemsManagerOpsDataSyncServiceRolePolicy中的。
AWS 受管理策略:A mazonSSMManaged EC2InstanceDefaultPolicy
您只應附加AmazonSSMManagedEC2InstanceDefaultPolicy至想要授權使用Systems Manager功能之 Amazon EC2 執行個體的IAM角色。您不應將此角色附加至其他IAM實體 (例如IAM使用者和IAM群組),或是服務於其他用途的IAM角色。如需詳細資訊,請參閱使用預設主機管理組態自動管理EC2執行個體。
此政策授予許可,允許 SSM Agent Amazon EC2 執行個體與雲端中的 Systems Manager 服務通訊,以便執行各種任務。它還授予兩個提供授權令牌的服務的權限,以確保在正確的實例上執行操作。
許可詳細資訊
此政策包含以下許可。
-
ssm— 允許主參與者擷取文件、使用執行命令Run Command、使用建立工作階段Session Manager、收集執行個體的詳細目錄,以及使用Patch Manager掃描修補程式和修補程式符合性。 -
ssmmessages— 允許主體針對每個執行個體存取 Amazon 訊息閘道服務建立的個人化授權令牌。Systems Manager 會根據API作業中提供的執行個體的 Amazon 資源名稱 (ARN) 來驗證個人化的授權權杖。此存取權是必要的,以確保在正確的SSM AgentAPI執行個體上執行作業。 -
ec2messages— 允許主體針對每個執行個體存取 Amazon 訊息交付服務建立的個人化授權令牌。Systems Manager 會根據API作業中提供的執行個體的 Amazon 資源名稱 (ARN) 來驗證個人化的授權權杖。此存取權是必要的,以確保在正確的SSM AgentAPI執行個體上執行作業。
如需ssmmessages和ec2messages端點的相關資訊,包括兩者之間的差異,請參閱客服人員相關API操作 (ssmmessages 和 ec2messages 端點)。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理mazonSSMManagedEC2InstanceDefaultPolicy的策略參考指南》中的 A。
AWS 受管理的策略:SSMQuickSetupRolePolicy
您無法附加SSMQuickSetupRolePolicy至您的IAM實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱使用角色來維護 Quick Setup-佈建的資源運作狀態和一致性。
此原則會授與唯讀權限,讓 Systems Manager 檢查組態健康狀態、確保參數和佈建資源的一致性使用,並在偵測到漂移時修復資源。
許可詳細資訊
此政策包含以下許可。
-
ssm— 允許主參與者在系統管理員中讀取資訊資源資料同步處 Systems Manager 與SSM文件。這是必要的,因此Quick Setup可以判斷已配置資源所要處於的狀態。 -
organizations— 允許主參與者讀取有關屬於組織的成員帳戶的資訊 (如中 AWS Organizations所配置)。這是必要的,因此Quick Setup可以識別組織中要執行資源健全狀況檢查的所有帳號。 -
cloudformation-允許主參與者讀取資訊。 AWS CloudFormation這是必需的,因此Quick Setup可以收集有關用於管理資源狀態和 AWS CloudFormation 堆棧 CloudFormation 集操作的堆棧的數據。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》SSMQuickSetupRolePolicy中的。
AWS 受管理的策略: AWSQuickSetupDeploymentRolePolicy
受管理的原則AWSQuickSetupDeploymentRolePolicy支援多種Quick Setup組態類型。這些組態類型會建立IAM角色和自動化,以建議的最佳實務來設定常用 Amazon Web Services 服務和功能。
您可以附加AWSQuickSetupDeploymentRolePolicy到您的IAM實體。
此原則會授與建立與下列Quick Setup組態相關聯之資源所需的管理權限:
許可詳細資訊
此政策包含以下許可。
-
iam— 可讓主參與者管理及刪除「自動化」組態工作所需的IAM角色;以及管理「自動化」角色原則。 -
cloudformation— 允許主參與者建立及管理堆疊集。 -
config— 可讓主參與者建立、管理及刪除一致性套件。 -
events— 可讓主參與者建立、更新及刪除已排程動作的事件規則。 -
resource-groups— 可讓主參與者擷取與組Quick Setup態目標之資源群組相關聯的資源查詢。 -
ssm— 允許主參與者建立自動化工作流程簿和套用Quick Setup組態的關聯。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSQuickSetupDeploymentRolePolicy中的。
AWS 受管理的策略: AWSQuickSetupPatchPolicyDeploymentRolePolicy
受管理的策略AWSQuickSetupPatchPolicyDeploymentRolePolicy支援此使用 設定組織中執行個體的修補 Quick SetupQuick Setup類型。此組態類型有助於自動修補單一帳戶或整個組織中的應用程式和節點。
您可以附加AWSQuickSetupPatchPolicyDeploymentRolePolicy到您的IAM實體。 Systems Manager也會將此原則附加至允許代表您執Systems Manager行動作的服務角色。
此原則會授與管理權限,這些權限Quick Setup允許建立與修補程式原則組態相關聯的資源。
許可詳細資訊
此政策包含以下許可。
-
iam— 可讓主參與者管理及刪除「自動化」組態工作所需的IAM角色;以及管理「自動化」角色原則。 -
cloudformation— 允許主參與者讀取 AWS CloudFormation 堆 AWS CloudFormation 疊資訊;以及控制Quick Setup使用 AWS CloudFormation 堆疊集建立的堆疊。 -
ssm— 允許主參與者建立、更新、讀取和刪除組態工作所需的自動化工作流程簿;以及建立、更新和刪除State Manager關聯。
-
resource-groups— 可讓主參與者擷取與組Quick Setup態目標之資源群組相關聯的資源查詢。
-
s3— 允許主體列出 Amazon S3 儲存貯體,以及管理用於存放修補程式政策存取日誌的儲存貯體。 -
lambda— 可讓主參與者管理 AWS Lambda 修復功能,這些功能可將組態維持在正確狀態。 -
logs— 允許主體描述和管理 Lambda 組態資源的記錄群組。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSQuickSetupPatchPolicyDeploymentRolePolicy中的。
AWS 受管理的策略: AWSQuickSetupPatchPolicyBaselineAccess
受管理的策略AWSQuickSetupPatchPolicyBaselineAccess支援此使用 設定組織中執行個體的修補 Quick SetupQuick Setup類型。此組態類型有助於自動修補單一帳戶或整個組織中的應用程式和節點。
您可以附加AWSQuickSetupPatchPolicyBaselineAccess到您的IAM實體。 Systems Manager也會將此原則附加至允許代表您執Systems Manager行動作的服務角色。
此原則提供唯讀權限,以存取目前 AWS 帳戶 或組織中的系統管理員使用設定的修補程式基準Quick Setup。修補程式基準存放在 Amazon S3 儲存貯體中,可用於修補單一帳戶或整個組織中的執行個體。
許可詳細資訊
此原則包含下列權限。
-
s3— 允許主體讀取存放在 Amazon S3 儲存貯體中的修補程式基準覆寫。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSQuickSetupPatchPolicyBaselineAccess中的。
AWS 受管理的策略:AWSSystemsManagerEnableExplorerExecutionPolicy
受管理的原則AWSSystemsManagerEnableExplorerExecutionPolicy支援啟用Explorer的功能 AWS Systems Manager。
您可以附加AWSSystemsManagerEnableExplorerExecutionPolicy到您的IAM實體。 Systems Manager也會將此原則附加至允許代表您執Systems Manager行動作的服務角色。
此原則會授與啟用的管理權限Explorer。這包括更新相關Systems Manager服務設定,以及為其建立服務連結角色的Systems Manager權限。
許可詳細資訊
此政策包含以下許可。
-
config— 允許主參與者Explorer透過提供組態錄製程式詳細資訊的唯讀存取權來協助啟用。 -
iam-允許主參與者協助啟用Explorer。 -
ssm— 允許主參與者啟動啟用的「自動化」工作流程Explorer。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSSystemsManagerEnableExplorerExecutionPolicy中的。
AWS 受管理的策略:AWSSystemsManagerEnableConfigRecordingExecutionPolicy
受管理的原則AWSSystemsManagerEnableConfigRecordingExecutionPolicy支援使用 建立 AWS Config組態記錄器 Quick SetupQuick Setup組態類型。此組態類型可Quick Setup讓您追蹤並記錄您選擇的 AWS 資源類型的變更 AWS Config。它還可Quick Setup以為記錄的數據配置傳遞和通知選項。
您可以附加AWSSystemsManagerEnableConfigRecordingExecutionPolicy到您的IAM實體。 Systems Manager也會將此原則附加至允許代表您執Systems Manager行動作的服務角色。
此原則會授與允許Quick Setup啟用和設定 AWS Config 組態記錄的管理權限。
許可詳細資訊
此政策包含以下許可。
-
s3— 允許主體建立和設定 Amazon S3 儲存貯體以交付組態記錄。 -
sns— 允許校長列出和創建 Amazon SNS 主題。 -
config— 允許主參與者配置及啟動組態記錄程式;以及協助啟用Explorer。 -
iam— 允許主參與者建立、取得及傳遞的服務連結角色 AWS Config;以及建立「Systems Manager」的服務連結角色,以及協助啟用。Explorer -
ssm— 允許主參與者啟動啟用的「自動化」工作流程Explorer。 -
compute-optimizer— 允許主參與 AWS Compute Optimizer者透Explorer過提供唯讀存取權來決定是否使用註冊資源來協助啟用。 -
support— 允許主參與 AWS Compute Optimizer者透Explorer過提供唯讀存取權來決定是否使用註冊資源來協助啟用。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSSystemsManagerEnableConfigRecordingExecutionPolicy中的。
AWS 受管理的策略: AWSQuickSetupDevOpsGuruPermissionsBoundary
注意
此原則是權限界限。權限界限會設定以身分識別為基礎的原則可授與實體的最大權限。IAM您不應該自行使用和附加Quick Setup權限界限原則。 Quick Setup權限界限原則應該只附加至Quick Setup受管理的角色。如需有關權限界限的詳細資訊,請參閱《IAM使用指南》中的IAM實體的權限界限。
受管理的策略AWSQuickSetupDevOpsGuruPermissionsBoundary支援此使用 設定 DevOpsGuru Quick Setup類型。組態類型可讓機器學習支援的 Amazon DevOps Guru。 DevOpsGuru 服務可協助改善應用程式的作業效能和可用性。
當您使用建立AWSQuickSetupDevOpsGuruPermissionsBoundary組態時Quick Setup,系統會將此權限界限套用至部署組態時建立的IAM角色。權限界限會限制Quick Setup建立的角色範圍。
此政策授予允許Quick Setup啟用和設定 Amazon DevOps Guru 的管理許可。
許可詳細資訊
此政策包含以下許可。
-
iam— 允許主參與者為 DevOps Guru 和 Systems Manager 建立服務連結角色;並列出有助於啟用的角色。Explorer -
cloudformation— 允許主參與者列出和描述 AWS CloudFormation 堆疊。 -
sns— 允許校長列出和創建 Amazon SNS 主題。 -
devops-guru— 允許主體設定 DevOps Guru;並新增通知通道。 -
config— 允許主參與者Explorer透過提供組態錄製程式詳細資訊的唯讀存取權來協助啟用。 -
ssm— 允許主參與者啟動啟用的「自動化」工作流程Explorer;以及讀取和更新Explorer服務設定。 -
compute-optimizer— 允許主參與 AWS Compute Optimizer者透Explorer過提供唯讀存取權來決定是否使用註冊資源來協助啟用。 -
support— 允許主參與 AWS Compute Optimizer者透Explorer過提供唯讀存取權來決定是否使用註冊資源來協助啟用。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSQuickSetupDevOpsGuruPermissionsBoundary中的。
AWS 受管理的策略: AWSQuickSetupDistributorPermissionsBoundary
注意
此原則是權限界限。權限界限會設定以身分識別為基礎的原則可授與實體的最大權限。IAM您不應該自行使用和附加Quick Setup權限界限原則。 Quick Setup權限界限原則應該只附加至Quick Setup受管理的角色。如需有關權限界限的詳細資訊,請參閱《IAM使用指南》中的IAM實體的權限界限。
受管理的原則AWSQuickSetupDistributorPermissionsBoundary支援部署 Distributor 套件使用 Quick SetupQuick Setup組態類型。此組態類型有助於啟用軟體套件 (例如代理程式) 分發到 Amazon 彈性運算雲端 (AmazonEC2) 執行個體 (使用代理程式) 的功能 AWS Systems Manager。
當您使用建立AWSQuickSetupDistributorPermissionsBoundary組態時Quick Setup,系統會將此權限界限套用至部署組態時建立的IAM角色。權限界限會限制Quick Setup建立的角色範圍。
此政策授予管理許可,Quick Setup允許使用代理商將軟體套件 (例如代理程式) 散發到 Amazon EC2 執行個體。
許可詳細資訊
此政策包含以下許可。
-
iam— 允許主體取得並傳遞代理商自動化角色;建立、讀取、更新和刪除預設執行個體角色;將預設執行個體角色傳遞給 Amazon EC2 和 Systems Manager;將執行個體管理政策附加至執行個體角色;建立 Systems Manager 的服務連結角色;將預設執行個體角色新增至執行個體設定檔;讀取有關IAM角色和執行個體設定檔的資訊;以及建立預設執行個體設定檔的資訊。 -
ec2— 允許主參與者將預設實例設定檔與EC2實例相關聯;以及協助啟用Explorer。 -
ssm— 允許主參與者啟動設定執行個體和安裝套件的自動化工作流程;並協助啟動啟用的自動化工作流程Explorer;以及讀取和更新Explorer服務設定。 -
config— 允許主參與者Explorer透過提供組態錄製程式詳細資訊的唯讀存取權來協助啟用。 -
compute-optimizer— 允許主參與 AWS Compute Optimizer者透Explorer過提供唯讀存取權來決定是否使用註冊資源來協助啟用。 -
support— 允許主參與 AWS Compute Optimizer者透Explorer過提供唯讀存取權來決定是否使用註冊資源來協助啟用。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSQuickSetupDistributorPermissionsBoundary中的。
AWS 受管理的策略: AWSQuickSetupSSMHostMgmtPermissionsBoundary
注意
此原則是權限界限。權限界限會設定以身分識別為基礎的原則可授與實體的最大權限。IAM您不應該自行使用和附加Quick Setup權限界限原則。 Quick Setup權限界限原則應該只附加至Quick Setup受管理的角色。如需有關權限界限的詳細資訊,請參閱《IAM使用指南》中的IAM實體的權限界限。
受管理的原則AWSQuickSetupSSMHostMgmtPermissionsBoundary支援使用 設定 Amazon EC2 主機管理 Quick SetupQuick Setup組態類型。此組態類型可設定IAM角色,並啟用常用的 Systems Manager 功能,以安全地管理 Amazon EC2 執行個體。
當您使用建立AWSQuickSetupSSMHostMgmtPermissionsBoundary組態時Quick Setup,系統會將此權限界限套用至部署組態時建立的IAM角色。權限界限會限制Quick Setup建立的角色範圍。
此原則授與管理權限,允許啟Quick Setup用和設定安全管理EC2執行個體所需的系統管理員功能。
許可詳細資訊
此政策包含以下許可。
-
iam— 允許主參與者取得服務角色,並將服務角色傳遞至「自動化」。允許主體建立、讀取、更新和刪除預設執行個體角色;將預設執行個體角色傳遞給 Amazon EC2 和 Systems Manager;將執行個體管理政策附加至執行個體角色;建立 Systems Manager 的服務連結角色;將預設執行個體角色新增至執行個體設定檔;閱讀有關IAM角色和執行個體設定檔的資訊;以及建立預設執行個體設定檔。 -
ec2— 允許主參與者將預設例證設定檔與EC2實例相關聯,以及取消關聯。 -
ssm— 允許主參與者啟動啟用的自動化工作流程Explorer;讀取和更新Explorer服務設定;設定執行個體;以及啟用執行個體上的 Systems Manager 功能。 -
compute-optimizer— 允許主參與 AWS Compute Optimizer者透Explorer過提供唯讀存取權來決定是否使用註冊資源來協助啟用。 -
support— 允許主參與 AWS Compute Optimizer者透Explorer過提供唯讀存取權來決定是否使用註冊資源來協助啟用。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSQuickSetupSSMHostMgmtPermissionsBoundary中的。
AWS 受管理的策略: AWSQuickSetupPatchPolicyPermissionsBoundary
注意
此原則是權限界限。權限界限會設定以身分識別為基礎的原則可授與實體的最大權限。IAM您不應該自行使用和附加Quick Setup權限界限原則。 Quick Setup權限界限原則應該只附加至Quick Setup受管理的角色。如需有關權限界限的詳細資訊,請參閱《IAM使用指南》中的IAM實體的權限界限。
受管理的策略AWSQuickSetupPatchPolicyPermissionsBoundary支援此使用 設定組織中執行個體的修補 Quick SetupQuick Setup類型。此組態類型有助於自動修補單一帳戶或整個組織中的應用程式和節點。
當您使用建立AWSQuickSetupPatchPolicyPermissionsBoundary組態時Quick Setup,系統會將此權限界限套用至部署組態時建立的IAM角色。權限界限會限制Quick Setup建立的角色範圍。
此原則會授與允許在Patch Manager中啟Quick Setup用和設定修補程式原則的管理權限 AWS Systems Manager。
許可詳細資訊
此政策包含以下許可。
-
iam— 允許主體取得自動化角色;將Patch Manager自動化角色傳遞給Patch Manager修補作業;建立預設執行個體角色;將預設執行個體角色傳遞給 Amazon EC2 和 Systems ManagerAmazonSSMRoleForInstancesQuickSetup;將選取的 AWS 受管政策附加至執行個體角色;建立 Systems Manager 的服務連結角色;將預設執行個體角色新增至執行個體設定檔和角色;建立有關執行個體設定檔和角色的資訊;建立 Systems Manager 的預設執行個體角色;以及標記該執行個體設定檔的預設執行個體角色;讀取修補程式基準覆寫。 -
ssm— 允許主參與者更新由 Systems Manager 管理的執行個體角色;管理在中建立的修補程Patch Manager式原則建立的關聯Quick Setup;標記修補程式原則組態鎖定的執行個體;讀取執行處理與修補狀態的相關資訊;啟動設定、啟用及修補執行個體修補的 Automation 工作流程;啟動啟用Explorer的自動化工作流程Explorer;以及讀取及更新Explorer服務設定。 -
ec2— 允許主參與者將預設執行個體設定檔與EC2執行個體產生關聯,並取消關聯性;標記修補程式原則組態鎖定的執行個體;標記修補程式原則組態鎖定的執行個體;以及協助啟用。Explorer -
s3— 允許主體建立和設定 S3 儲存貯體以存放修補程式基準覆寫。 -
lambda— 允許主參與者呼叫設定修補的 AWS Lambda 功能,並在刪除修Quick Setup補程式原則組態後執行清除作業。 -
logs— 允許主參與者配置Patch ManagerQuick Setup AWS Lambda 函數的記錄。 -
config— 允許主參與者Explorer透過提供組態錄製程式詳細資訊的唯讀存取權來協助啟用。 -
compute-optimizer— 允許主參與 AWS Compute Optimizer者透Explorer過提供唯讀存取權來決定是否使用註冊資源來協助啟用。 -
support— 允許主參與 AWS Compute Optimizer者透Explorer過提供唯讀存取權來決定是否使用註冊資源來協助啟用。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSQuickSetupPatchPolicyPermissionsBoundary中的。
AWS 受管理的策略: AWSQuickSetupSchedulerPermissionsBoundary
注意
此原則是權限界限。權限界限會設定以身分識別為基礎的原則可授與實體的最大權限。IAM您不應該自行使用和附加Quick Setup權限界限原則。 Quick Setup權限界限原則應該只附加至Quick Setup受管理的角色。如需有關權限界限的詳細資訊,請參閱《IAM使用指南》中的IAM實體的權限界限。
受管理的原則AWSQuickSetupSchedulerPermissionsBoundary支援使用 在排程上自動停止和啟動EC2執行個體 Quick SetupQuick Setup組態類型。此組態類型可讓您在指定的時間停止及啟動EC2執行個體和其他資源。
當您使用建立AWSQuickSetupSchedulerPermissionsBoundary組態時Quick Setup,系統會將此權限界限套用至部署組態時建立的IAM角色。權限界限會限制Quick Setup建立的角色範圍。
此原則會授與管理權限,這些權限Quick Setup允許在EC2執行個體和其他資源上啟用和設定排程作業。
許可詳細資訊
此政策包含以下許可。
-
iam— 允許主參與者擷取並傳遞執行個體管理自動化動作的角色;管理、傳遞和附加執行個體管理的預設執行個體角色;建立執行個體設定檔的預設執行個體角色;建立服務連結角色;讀取角色和執行個體設定檔的相關IAM資訊Systems Manager;將預設執行個體設定檔與EC2執行個體建立關聯;以及啟動 Automation 工作流程以設定執行個體和執行個體的Systems Manager功能。EC2 -
ssm— 允許主參與者啟動啟用的自動化工作流程Explorer;以及讀取和更新Explorer服務設定。 -
ec2 — 允許主體找到目標執行個體,並按排程啟動和停止它們。
-
config— 允許主參與者Explorer透過提供組態錄製程式詳細資訊的唯讀存取權來協助啟用。 -
compute-optimizer— 允許主參與 AWS Compute Optimizer者透Explorer過提供唯讀存取權來決定是否使用註冊資源來協助啟用。 -
support— 允許主參與者透Explorer過提供帳戶 AWS Trusted Advisor 檢查的唯讀存取權來協助啟用。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSQuickSetupSchedulerPermissionsBoundary中的。
AWS 受管理的策略: AWSQuickSetupCFGCPacksPermissionsBoundary
注意
此原則是權限界限。權限界限會設定以身分識別為基礎的原則可授與實體的最大權限。IAM您不應該自行使用和附加Quick Setup權限界限原則。 Quick Setup權限界限原則應該只附加至Quick Setup受管理的角色。如需有關權限界限的詳細資訊,請參閱《IAM使用指南》中的IAM實體的權限界限。
受管理的原則AWSQuickSetupCFGCPacksPermissionsBoundary支援使用 部署 AWS Config 一致性套件 Quick SetupQuick Setup組態類型。此組態類型會部署一 AWS Config 致性套件。一致性套件是 AWS Config 規則和修正動作的集合,可部署為單一實體。
當您使用建立AWSQuickSetupCFGCPacksPermissionsBoundary組態時Quick Setup,系統會將此權限界限套用至部署組態時建立的IAM角色。權限界限會限制Quick Setup建立的角色範圍。
此原則會授與允許Quick Setup部署一 AWS Config 致性套件的管理權限。
許可詳細資訊
此政策包含以下許可。
-
iam— 允許主參與者建立、取得及傳遞的服務連結角色。 AWS Config -
sns— 允許校長列出 Amazon SNS 中的平台應用程式。 -
config— 允許主參與者部署一 AWS Config 致性套件;取得一致性套件的狀態;以及取得有關組態記錄程式的資訊。 -
ssm— 允許主參與者取得有關SSM文件和自動化工作流程的資訊;取得有關資源標籤的資訊;以及取得有關及更新服務設定的資訊。 -
compute-optimizer— 允許主參與者取得帳戶的選擇加入狀態。 -
support— 允許主參與者取得有關 AWS Trusted Advisor 檢查的資訊。
若要檢視有關策略的詳細資訊 (包括最新版本的JSON原則文件),請參閱《AWS 受管理策略參考指南》AWSQuickSetupCFGCPacksPermissionsBoundary中的。
Systems ManagerAWS 受管理策略的更新
在下表中,檢視此服務自 2021 年 3 月 12 日開始追蹤這些變更以Systems Manager來 AWS 受管理政策的更新詳細資料。如需「系統管理員」服務之其他受管理原則的相關資訊,請參閱本主題系統管理員的其他受管 Systems Manager 原則稍後的部分。如需有關此頁面變更的自動警示,請訂閱Systems Manager文件歷史記錄頁面上的RSS摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
SSMQuickSetupRolePolicy – 更新現有政策 |
Systems Manager添加了新的權限,Quick Setup以允許檢查它已創建的其他 AWS CloudFormation 堆棧集的健康狀況。 |
2024年8月13日 |
| AmazonSSMManagedEC2InstanceDefaultPolicy – 更新現有政策 | Systems Manager已將陳述式 IDs (SID) 新增至的JSON政策。AmazonSSMManagedEC2InstanceDefaultPolicy這些 SID 提供每個政策聲明用途的內嵌描述。 |
2024年7月18日 |
| SSMQuickSetupRolePolicy – 新政策 | Systems Manager已新增政策,允許檢Quick Setup查已部署資源的健康狀態,並修復已從原始組態中脫離的執行個體。 | 2024年7月3日 |
| AWSQuickSetupDeploymentRolePolicy – 新政策 | Systems Manager新增政策以支援建立IAM角色和自動化的多種快速設定組態類型,進而使用建議的最佳實務來設定常用的 Amazon Web Services 服務和功能。 | 2024年7月3日 |
|
AWSQuickSetupPatchPolicyDeploymentRolePolicy — 新政策 |
Systems Manager新增政策以允許Quick Setup建立與Patch Manager修補程式原則Quick Setup組態相關聯的資源。 |
2024年7月3日 |
|
Systems Manager已新增新原則,以允許Quick Setup以唯讀權限存取修補程式基準。Patch Manager |
2024年7月3日 | |
| AWSSystemsManagerEnableExplorerExecutionPolicy – 新政策 | Systems Manager已新增新原則,允許授與系統管理權限Quick Setup以進行啟用Explorer。 | 2024年7月3日 |
| AWSSystemsManagerEnableConfigRecordingExecutionPolicy – 新政策 | Systems Manager添加了一個新的策略,Quick Setup以允許啟用和配 AWS Config 置配置記錄。 | 2024年7月3日 |
|
Systems Manager添加了一個新的政策,Quick Setup以允許啟用和配置 Amazon DevOps 大師。 |
2024年7月3日 | |
|
Systems Manager添加了一個新的策略,Quick Setup以允許啟用和配置分銷商,一種功能 AWS Systems Manager。 |
2024年7月3日 | |
|
Systems Manager添加了新政策,允許啟Quick Setup用和配置 Systems Manager 功能以安全管理 Amazon EC2 實例。 |
2024年7月3日 | |
|
Systems Manager已新增新原則Patch Manager,以Quick Setup允許在中啟用和設定修補程式原則 AWS Systems Manager。 |
2024年7月3日 | |
|
Systems Manager添加了新政策,Quick Setup允許在 Amazon EC2 實例和其他資源上啟用和配置計劃操作。 |
2024年7月3日 | |
|
Systems Manager新增了允許Quick Setup部署一 AWS Config 致性套件的新政策。 |
2024年7月3日 | |
| OpsCenter已更新政策,以改善服務連結角色中服務程式碼的安全性,Explorer以便管理 OpsData相關作業。 | 2023 年 7 月 3 日 | |
|
Systems Manager新增政策以允許 Amazon EC2 執行個體上的Systems Manager功能,而無需使用執行個IAM體設定檔。 |
2022 年 8 月 18 日 | |
|
A mazonSSMService RolePolicy-更新到現有策略 |
Systems Manager 新增了新的許可,以允許 Explorer 在從 Explorer 或 OpsCenter 開啟 Security Hub 時建立受管規則。在允許之前,添加了新權限以檢查配置和計算優化器是否符合必要的要求。 OpsData |
2021 年 4 月 27 日 |
|
Systems Manager已新增新原則,以便在和中建立OpsItems和更新資訊安全 OpsData 中心發現項目,以Explorer及OpsCenter。 |
2021 年 4 月 27 日 | |
|
|
Systems Manager添加了新的權限,以允許查看來自多個帳戶的彙總 OpsData 和OpsItems AWS 區域 詳細信息Explorer。 |
2021 年 3 月 24 日 |
|
Systems Manager 已開始追蹤變更 |
Systems Manager開始追蹤其 AWS 受管理策略的變更。 |
2021 年 3 月 12 日 |
系統管理員的其他受管 Systems Manager 原則
除了本主題稍早描述的受管理原則之外,Systems Manager 也支援下列原則。
-
AmazonSSMAutomationApproverAccess— AWS 受管理的原則,允許存取檢視自動化執行,並將核准決策傳送至等待核准的自動化。 -
AmazonSSMAutomationRole— AWS 受管理的原則,可為自動Systems Manager化服務提供執行自動化工作流程手冊中定義之活動的權限。將此政策指派給管理員和信任的高權限使用者。 -
AmazonSSMDirectoryServiceAccess— AWS 受管理的策略,SSM Agent允許代表使用者存取 AWS Directory Service 受管理節點加入網域的請求。 -
AmazonSSMFullAccess— AWS 受管理的政策,授予對Systems ManagerAPI和文件的完整存取權限。 -
AmazonSSMMaintenanceWindowRole— AWS 管理策略,為維護窗口提供 Systems Manager 的權限API。 -
AmazonSSMManagedInstanceCore: AWS 受管政策,讓節點可以使用 Systems Manager 服務的核心功能。 -
AmazonSSMPatchAssociation— AWS 受管理的原則,可讓您存取修補程式關聯作業的子項執行個體。 -
AmazonSSMReadOnlyAccess— 授與Systems Manager唯讀API作業存取權的 AWS 受管理原則,例如Get*和List*。 -
AWSSSMOpsInsightsServiceRolePolicy— AWS 受管理的原則,可提供在中建立和更新操作洞察力OpsItems的權限Systems Manager。用於透過服務連結角色AWSServiceRoleForAmazonSSM_OpsInsights提供權限。 -
AWSSystemsManagerAccountDiscoveryServicePolicy— AWS 受管理的原則,授予 Systems Manager 發現資 AWS 帳戶 訊的權限。 -
AWSSystemsManagerChangeManagementServicePolicy— AWS 受管理的原則,可讓您存取Systems Manager變更管理架構所管理或使用的 AWS 資源,以及服務連結角色AWSServiceRoleForSystemsManagerChangeManagement所使用的資源。 -
AmazonEC2RoleforSSM— 此原則已不再受支援,因此不應使用。取而代之的是,使用AmazonSSMManagedInstanceCore政策允許EC2執行個體上的Systems Manager服務核心功能。如需資訊,請參閱設定 Systems Manager 所需的執行個體權限。
