AWS 的 受管政策 AWS Systems Manager - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 的 受管政策 AWS Systems Manager

AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有 服務時, AWS 最有可能更新受 AWS 管政策。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS 受管政策:AmazonSSMServiceRolePolicy

此政策可讓您存取由 Systems Manager 操作管理 AWS Systems Manager 或用於 Systems Manager 操作的許多 AWS 資源。

您無法AmazonSSMServiceRolePolicy連接至您的 AWS Identity and Access Management (IAM) 實體。此政策會連接至服務連結角色, AWS Systems Manager 允許 代表您執行動作。如需詳細資訊,請參閱使用角色來收集庫存和查看 OpsData

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體啟動並逐步執行 Run Command 和 Automation;擷取 Run Command 和 Automation 操作的相關資訊;擷取 Parameter Store 參數 Change Calendar 行事曆的相關資訊;更新和擷取 OpsCenter 資源的 Systems Manager 服務設定的相關資訊;以及讀取已套用至資源的標籤相關資訊。

  • cloudformation:允許主體擷取堆疊集操作和堆疊集執行個體的相關資訊,以及刪除資源 arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:* 上的堆疊集。允許主體刪除與下列資源相關聯的堆疊執行個體:

    arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
    arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
    arn:aws:cloudformation:*:*:type/resource/*
  • cloudwatch:允許主體擷取 Amazon CloudWatch 警示的相關資訊。

  • compute-optimizer – 允許主體擷取帳戶對 AWS Compute Optimizer 服務的註冊 (選擇加入) 狀態,以及擷取符合特定陳述要求之 Amazon EC2 執行個體的建議。

  • config – 允許主體擷取其中的資訊修復組態和組態記錄器 AWS Config,並判斷指定的 AWS Config 規則 AWS 和資源是否合規。

  • events:允許主體擷取 EventBridge 規則的相關資訊;只為 Systems Manager 服務 (ssm.amazonaws.com) 建立 EventBridge 規則和目標;以及刪除資源 arn:aws:events:*:*:rule/SSMExplorerManagedRule 的規則和目標。

  • ec2:允許主體擷取 Amazon EC2 執行個體的相關資訊。

  • iam:允許主體傳遞 Systems Manager 服務 (ssm.amazonaws.com) 的角色許可。

  • lambda:允許主體調用 Lambda 函數,這些函數是專為供 Systems Manager 使用而設定。

  • resource-explorer-2:允許主體擷取 EC2 執行個體的相關資料,以便判斷每個執行個體目前是否由 Systems Manager 管理。

    允許對 arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM* 資源執行 resource-explorer-2:CreateManagedView 動作。

  • resource-groups – 允許主體從屬於資源群組 AWS Resource Groups 的資源擷取清單資源群組及其成員。

  • securityhub – 允許主體擷取目前帳戶中 AWS Security Hub 中樞資源的相關資訊。

  • states – 允許主體啟動和擷取 AWS Step Functions 專門為 Systems Manager 使用而設定的資訊。

  • support:允許主體擷取 AWS Trusted Advisor中檢查和案例的相關資訊。

  • tag:允許主體擷取帳戶指定 AWS 區域 中所有已標記或先前標記之資源的相關資訊。

若要檢視此政策的詳細資訊 (包括 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》中的 AmazonSSMServiceRolePolicy 一節。

AWS 受管政策:AmazonSSMReadOnlyAccess

您可將 AmazonSSMReadOnlyAccess 政策連接到 IAM 身分。此政策授予 AWS Systems Manager API 操作的唯讀存取權Describe*,包括 Get*、 和 List*

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》中的 AmazonSSMReadOnlyAccess 一節。

AWS 受管政策:AWSSystemsManagerOpsDataSyncServiceRolePolicy

您不得將 AWSSystemsManagerOpsDataSyncServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱使用角色為 OpsItems 建立 OpsData 和 Explorer:

AWSSystemsManagerOpsDataSyncServiceRolePolicy 允許AWSServiceRoleForSystemsManagerOpsDataSync服務連結角色從 AWS Security Hub 調查結果建立和更新 OpsItems和 OpsData。

此政策允許 Systems Manager 對所有相關資源 ("Resource": "*") 完成下列動作,除非另有說明:

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

[1] 透過以下條件,僅允許對 Systems Manager 服務進行 ssm:GetOpsItemssm:UpdateOpsItem 動作的許可。

"Condition": { "StringEquals": { "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true" } }

[2] 僅允許對以下資源進行 ssm:AddTagsToResource 動作的許可。

arn:aws:ssm:*:*:opsitem/*

[3] 僅允許對以下資源進行 ssm:UpdateServiceSettingssm:GetServiceSetting 動作的許可。

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] 透過以下條件,僅拒絕對 Systems Manager 服務進行 securityhub:BatchUpdateFindings 的許可。

{ "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Confidence": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Criticality": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.Text": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.UpdatedBy": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/RelatedFindings": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Types": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.key": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.value": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/VerificationState": false } }

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》中的 AWSSystemsManagerOpsDataSyncServiceRolePolicy 一節。

AWS 管理的政策:AmazonSSMManagedEC2InstanceDefaultPolicy

只應將 AmazonSSMManagedEC2InstanceDefaultPolicy 連接到您希望有權使用 Systems Manager 功能的 Amazon EC2 執行個體 IAM 角色。不應將此角色連接到其他 IAM 實體 (例如 IAM 使用者和 IAM 群組),或連接到其他用途的 IAM 角色。如需詳細資訊,請參閱使用預設主機管理組態來自動管理 EC2 執行個體

此政策會授予許可,這些許可允許 Amazon EC2 執行個體上的 SSM Agent 與雲端中的 Systems Manager 服務通訊,以便執行各種任務。此政策還會為提供授權權杖的兩項服務授予許可,確保都是在正確的執行個體執行操作。

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體擷取文件;使用 Run Command 執行命令;使用 Session Manager 建立工作階段;收集執行個體的庫存資訊;以及使用 Patch Manager 掃描修補程式和修補程式合規情況。

  • ssmmessages:允許主體存取由 Amazon Message Gateway Service 為每個執行個體建立的個人化授權權杖。Systems Manager 根據 API 操作中提供的執行個體 Amazon Resource Name (ARN) 驗證個人化授權權杖。為確保 SSM Agent 是在正確的執行個體執行 API 操作,此存取權是必要的。

  • ec2messages:允許主體存取由 Amazon Message Delivery Service 為每個執行個體建立的個人化授權權杖。Systems Manager 根據 API 操作中提供的執行個體 Amazon Resource Name (ARN) 驗證個人化授權權杖。為確保 SSM Agent 是在正確的執行個體執行 API 操作,此存取權是必要的。

如需 ssmmessagesec2messages 端點的相關資訊 (包括兩者之間的差異),請參閱代理程式相關的 API 操作 (ssmmessages 和 ec2messages 端點)

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》中的 AmazonSSMManagedEC2InstanceDefaultPolicy 一節。

AWS 受管政策:SSMQuickSetupRolePolicy

您無法將 SSMQuickSetupRolePolicy 連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱使用角色來維護 Quick Setup 佈建的資源運作狀態和一致性

此政策會授予唯讀許可,這些許可允許 Systems Manager 檢查組態運作狀態、確認參數和佈建資源的使用情形是否一致,以及在偵測到漂移時修復資源。此政策還授予建立服務連結角色的管理許可。

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體在 Systems Manager 中 (包括在委派管理員帳戶中) 讀取資訊資源資料同步和 SSM 文件。這是必要條件,因此 Quick Setup 可以判斷已設定資源的預期狀態。

  • organizations:允許主體讀取屬於組織 (如 AWS Organizations中所設定) 的成員帳戶的相關資訊。這是必要條件,因此 Quick Setup 可以識別組織中要執行資源運作狀態檢查的所有帳戶。

  • cloudformation – 允許主體從中讀取資訊 AWS CloudFormation。這是必要的,因此 Quick Setup可以收集用於管理資源狀態和 CloudFormation AWS CloudFormation 堆疊集操作之堆疊的資料。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 SSMQuickSetupRolePolicy

AWS 受管政策:AWSQuickSetupDeploymentRolePolicy

受管政策 AWSQuickSetupDeploymentRolePolicy 支援多種 Quick Setup 組態類型。這些組態類型會建立 IAM 角色和自動化,透過建議的最佳實務來設定常用的 Amazon Web Services 服務和功能。

您可以將 AWSQuickSetupDeploymentRolePolicy 連接到 IAM 實體。

此政策會授予管理許可,在建立與下列 Quick Setup 組態相關聯的資源時需要這些許可:

許可詳細資訊

此政策包含以下許可。

  • iam:允許主體管理和刪除自動化組態任務所需的 IAM 角色,以及管理自動化角色政策。

  • cloudformation:允許主體建立和管理堆疊集。

  • config:允許主體建立、管理和刪除一致性套件。

  • events:允許主體建立、更新和刪除排程動作的事件規則。

  • resource-groups:允許主體擷取資源查詢,這些查詢與被 Quick Setup 組態視為目標的資源群組相關聯。

  • ssm:允許主體建立會套用 Quick Setup 組態的 Automation 執行手冊和關聯。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupDeploymentRolePolicy

AWS 受管政策:AWSQuickSetupPatchPolicyDeploymentRolePolicy

受管政策 AWSQuickSetupPatchPolicyDeploymentRolePolicy 支援使用 Quick Setup 設定組織中執行個體的修補 Quick Setup 類型。此組態類型有助於將修補單一帳戶或組織中應用程式和節點的程序自動化。

您可以將 AWSQuickSetupPatchPolicyDeploymentRolePolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

此政策會授予管理許可,這些許可允許 Quick Setup 建立與修補程式政策組態相關聯的資源。

許可詳細資訊

此政策包含以下許可。

  • iam:允許主體管理和刪除自動化組態任務所需的 IAM 角色,以及管理自動化角色政策。

  • cloudformation – 允許主體讀取 AWS CloudFormation 堆疊資訊;以及控制Quick Setup使用 AWS CloudFormation 堆疊集建立的 AWS CloudFormation 堆疊。

  • ssm:允許主體建立、更新、讀取和刪除組態任務所需的 Automation 執行手冊,以及建立、更新和刪除 State Manager 關聯。

  • resource-groups:允許主體擷取資源查詢,這些查詢與被 Quick Setup 組態視為目標的資源群組相關聯。

  • s3:允許主體列出 Amazon S3 儲存貯體,以及管理可用來存放修補程式政策存取日誌的儲存貯體。

  • lambda – 允許主體管理 AWS Lambda 修復函數,以將組態維持在正確的狀態。

  • logs:允許主體描述和管理 Lambda 組態資源的日誌群組。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupPatchPolicyDeploymentRolePolicy

AWS 受管政策:AWSQuickSetupPatchPolicyBaselineAccess

受管政策 AWSQuickSetupPatchPolicyBaselineAccess 支援使用 Quick Setup 設定組織中執行個體的修補 Quick Setup 類型。此組態類型有助於將修補單一帳戶或組織中應用程式和節點的程序自動化。

您可以將 AWSQuickSetupPatchPolicyBaselineAccess 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

此政策提供唯讀許可,以使用 存取目前 AWS 帳戶 或組織中管理員所設定的修補程式基準Quick Setup。修補基準存放在 Amazon S3 儲存貯體中,可用於修補單一帳戶或整個組織中的執行個體。

許可詳細資訊

此政策包含以下許可。

  • s3:允許主體讀取存放在 Amazon S3 儲存貯體中的修補基準覆寫。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupPatchPolicyBaselineAccess

AWS 受管政策: AWSSystemsManagerEnableExplorerExecutionPolicy

受管政策AWSSystemsManagerEnableExplorerExecutionPolicy支援啟用 Explorer,這是 中的工具 AWS Systems Manager。

您可以將 AWSSystemsManagerEnableExplorerExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

此政策會授予啟用 Explorer 的管理許可。其中包括更新相關 Systems Manager 服務設定的許可,以及為 Systems Manager 建立服務連結角色的許可。

許可詳細資訊

此政策包含以下許可。

  • config:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。

  • iam:允許主體協助啟用 Explorer。

  • ssm:允許主體啟動會啟用 Explorer 的自動化工作流程。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSSystemsManagerEnableExplorerExecutionPolicy

AWS 受管政策: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

受管政策 AWSSystemsManagerEnableConfigRecordingExecutionPolicy 支援使用 Quick Setup 建立 AWS Config組態記錄器 Quick Setup 組態類型。此組態類型Quick Setup可讓 追蹤和記錄您選擇的 AWS 資源類型的變更 AWS Config。其也可讓 Quick Setup 設定所記錄資料的交付和通知選項。

您可以將 AWSSystemsManagerEnableConfigRecordingExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

此政策會授予允許 Quick Setup 啟用和設定 AWS Config 組態記錄的管理許可。

許可詳細資訊

此政策包含以下許可。

  • s3:允許主體建立和設定 Amazon S3 儲存貯體來交付組態記錄。

  • sns:允許主體列出和建立 Amazon SNS 主題。

  • config:允許主體設定和啟動組態記錄器,以及協助啟用 Explorer。

  • iam – 允許主體建立、取得和傳遞 的服務連結角色 AWS Config;以及建立 Systems Manager 的服務連結角色;以及協助啟用 Explorer。

  • ssm:允許主體啟動會啟用 Explorer 的自動化工作流程。

  • compute-optimizer – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。

  • support:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSSystemsManagerEnableConfigRecordingExecutionPolicy

AWS 受管政策:AWSQuickSetupDevOpsGuruPermissionsBoundary

注意

此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 IAM 實體許可界限

受管政策 AWSQuickSetupDevOpsGuruPermissionsBoundary 支援使用 Quick Setup 設定 DevOps Guru類型。此組態類型會啟用採用了機器學習技術的 Amazon DevOps Guru。DevOps Guru 服務可協助改善應用程式的運作效能和可用性。

在使用 Quick Setup 建立 AWSQuickSetupDevOpsGuruPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。

此政策會授予管理許可,這些許可允許 Quick Setup 啟用和設定 Amazon DevOps Guru。

許可詳細資訊

此政策包含以下許可。

  • iam:允許主體為 DevOps Guru 和 Systems Manager 建立服務連結角色,以及列出有助啟用 Explorer 的角色。

  • cloudformation:允許主體列出和描述 AWS CloudFormation 堆疊。

  • sns:允許主體列出和建立 Amazon SNS 主題。

  • devops-guru:允許主體設定 DevOps Guru,以及新增通知管道。

  • config:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。

  • ssm:允許主體啟動會啟用 Explorer 的自動化工作流程,以及讀取和更新 Explorer 服務設定。

  • compute-optimizer – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。

  • support:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupDevOpsGuruPermissionsBoundary

AWS 受管政策:AWSQuickSetupDistributorPermissionsBoundary

注意

此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 IAM 實體許可界限

受管政策 AWSQuickSetupDistributorPermissionsBoundary 支援使用 Quick Setup 部署 Distributor 套件 Quick Setup 組態類型。組態類型有助於使用 Distributor,即 中的工具,將 代理程式等軟體套件分發到您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體 AWS Systems Manager。

在使用 Quick Setup 建立 AWSQuickSetupDistributorPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。

此政策會授予管理許可,這些許可允許 Quick Setup 使用 Distributor,將代理程式等軟體套件發布至 Amazon EC2 執行個體。

許可詳細資訊

此政策包含以下許可。

  • iam:允許主體取得與傳遞 Distributor 自動化角色;建立、讀取、更新和刪除預設執行個體角色;將預設執行個體角色傳遞至 Amazon EC2 和 Systems Manager;將執行個體管理政策連接至執行個體角色;為 Systems Manager 建立服務連結角色;將預設執行個體角色新增至執行個體設定檔;讀取 IAM 角色和執行個體設定檔的相關資訊;以及建立預設執行個體設定檔。

  • ec2:允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯,以及協助啟用 Explorer。

  • ssm:允許主體啟動會設定執行個體和安裝套件的自動化工作流程;協助啟動會啟用 Explorer 的自動化工作流程;以及讀取和更新 Explorer 服務設定。

  • config:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。

  • compute-optimizer – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。

  • support:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupDistributorPermissionsBoundary

AWS 受管政策:AWSQuickSetupSSMHostMgmtPermissionsBoundary

注意

此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 IAM 實體許可界限

受管政策 AWSQuickSetupSSMHostMgmtPermissionsBoundary 支援使用 Quick Setup 設定 Amazon EC2 主機管理 Quick Setup 組態類型。此組態類型會設定 IAM 角色,並啟用常用的 Systems Manager 工具來安全地管理您的 Amazon EC2 執行個體。

在使用 Quick Setup 建立 AWSQuickSetupSSMHostMgmtPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。

此政策授予管理許可,Quick Setup允許 啟用和設定安全管理 EC2 執行個體所需的 Systems Manager 工具。

許可詳細資訊

此政策包含以下許可。

  • iam:允許主體取得此服務角色,以及將其傳遞至 Automation。允許主體建立、讀取、更新和刪除預設執行個體角色;將預設執行個體角色傳遞至 Amazon EC2 和 Systems Manager;將執行個體管理政策連接至執行個體角色;為 Systems Manager 建立服務連結角色;將預設執行個體角色新增至執行個體設定檔;讀取 IAM 角色和執行個體設定檔的相關資訊;以及建立預設執行個體設定檔。

  • ec2:允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯和取消關聯。

  • ssm – 允許主體啟動自動化工作流程,以啟用 Explorer;讀取和更新Explorer服務設定;設定執行個體;並在執行個體上啟用 Systems Manager 工具。

  • compute-optimizer – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。

  • support:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSSMHostMgmtPermissionsBoundary

AWS 受管政策:AWSQuickSetupPatchPolicyPermissionsBoundary

注意

此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 IAM 實體許可界限

受管政策 AWSQuickSetupPatchPolicyPermissionsBoundary 支援使用 Quick Setup 設定組織中執行個體的修補 Quick Setup 類型。此組態類型有助於將修補單一帳戶或組織中應用程式和節點的程序自動化。

在使用 Quick Setup 建立 AWSQuickSetupPatchPolicyPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。

此政策授予管理許可,Quick Setup允許 在 中啟用和設定修補程式政策Patch Manager,這是 中的工具 AWS Systems Manager。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許主體取得Patch Manager自動化角色; 將 Automation 角色傳遞至Patch Manager修補操作; 建立預設執行個體角色 AmazonSSMRoleForInstancesQuickSetup; 將預設執行個體角色傳遞給 Amazon EC2 和 Systems Manager; 將選取的 AWS 受管政策連接至執行個體角色; 為 Systems Manager 建立服務連結角色; 將預設執行個體角色新增至執行個體描述檔; 讀取執行個體描述檔和角色的相關資訊; 建立預設執行個體描述檔; 和 標記具有讀取修補程式基準覆寫許可的角色。

  • ssm:允許主體更新由 Systems Manager 管理的執行個體角色;管理由 Patch Manager 修補程式政策在 Quick Setup 中建立的關聯;標記被修補程式政策組態視為目標的執行個體;讀取執行個體和修補狀態的相關資訊;啟動會設定、啟用和修復執行個體修補的自動化工作流程;啟動會啟用 Explorer 的自動化工作流程;協助啟用 Explorer;以及讀取和更新 Explorer 服務設定。

  • ec2:允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯和取消關聯;標記被修補程式政策組態視為目標的執行個體;標記被修補程式政策組態視為目標的執行個體;以及協助啟用 Explorer。

  • s3:允許主體建立和設定 S3 儲存貯體,以存放修補基準覆寫。

  • lambda – 允許主體叫用設定修補的 AWS Lambda 函數,並在刪除Quick Setup修補政策組態後執行清除操作。

  • logs – 允許主體設定Patch ManagerQuick Setup AWS Lambda 函數的記錄。

  • config:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。

  • compute-optimizer – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。

  • support:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupPatchPolicyPermissionsBoundary

AWS 受管政策:AWSQuickSetupSchedulerPermissionsBoundary

注意

此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 IAM 實體許可界限

受管政策 AWSQuickSetupSchedulerPermissionsBoundary 支援使用Quick Setup依照排程自動停止和啟動 EC2 執行個體 Quick Setup 組態類型。此組態類型可讓您在指定的時間停止和啟動 EC2 執行個體及其他資源。

在使用 Quick Setup 建立 AWSQuickSetupSchedulerPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。

此政策會授予管理許可,這些許可允許 Quick Setup 啟用和設定在 EC2 執行個體及其他資源上的排程操作。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許主體擷取和傳遞執行個體管理自動化動作的角色; 管理 傳遞、 並連接預設執行個體角色以進行 EC2 執行個體管理; 建立預設執行個體設定檔; 將預設執行個體角色新增至執行個體描述檔; 為 建立服務連結角色Systems Manager; 讀取 IAM 角色和執行個體描述檔的相關資訊; 將預設執行個體描述檔與 EC2 執行個體建立關聯; 和 啟動自動化工作流程,以設定執行個體並啟用其Systems Manager工具。

  • ssm:允許主體啟動會啟用 Explorer 的自動化工作流程,以及讀取和更新 Explorer 服務設定。

  • ec2:允許主體尋找目標執行個體,以及依排程啟動和停止這些執行個體。

  • config:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。

  • compute-optimizer – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。

  • support – 允許主體Explorer透過提供帳戶的 AWS Trusted Advisor 檢查唯讀存取權來協助啟用 。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSchedulerPermissionsBoundary

AWS 受管政策:AWSQuickSetupCFGCPacksPermissionsBoundary

注意

此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 IAM 實體許可界限

受管政策 AWSQuickSetupCFGCPacksPermissionsBoundary 支援使用 部署 AWS Config 一致性套件 Quick Setup Quick Setup 組態類型。此組態類型會部署 AWS Config 一致性套件。一致性套件是 AWS Config 規則和修補動作的集合,可部署為單一實體。

在使用 Quick Setup 建立 AWSQuickSetupCFGCPacksPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。

此政策會授予管理許可,這些許可允許 Quick Setup 部署 AWS Config 一致性套件。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許主體建立、取得和傳遞 的服務連結角色 AWS Config。

  • sns:允許主體列出 Amazon SNS 中的平台應用程式。

  • config – 允許主體部署 AWS Config 一致性套件;取得一致性套件的狀態;以及取得組態記錄器的相關資訊。

  • ssm:允許主體取得 SSM 文件和 Automation 工作流程的相關資訊;取得資源標籤的相關資訊;以及取得更新服務設定的相關資訊。

  • compute-optimizer:允許主體取得帳戶的選擇加入狀態。

  • support:允許主體取得 AWS Trusted Advisor 檢查的相關資訊。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupCFGCPacksPermissionsBoundary

AWS 受管政策:AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy

透過在節點受管的帳戶和區域中啟動自動化工作流程,政策 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy 為診斷與 Systems Manager 服務互動的節點的問題提供許可。

您可以將 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行診斷動作的服務角色。

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體執行 Automation 執行手冊,這些手冊可診斷節點問題,也可存取工作流程的執行狀態。

  • kms:允許主體使用加密 S3 儲存貯體中物件所用的客戶指定 AWS Key Management Service 金鑰,以便解密和存取儲存貯體中的物件內容。

  • sts:允許主體擔任診斷執行角色,以便在同一帳戶中執行 Automation 執行手冊。

  • iam:允許主體將診斷管理角色 (例如,自我) 傳遞至 Systems Manager,以便執行 Automation 執行手冊。

  • s3:允許主體存取物件以及將物件寫入 S3 儲存貯體。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy

AWS 受管政策:AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy

受管政策 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy 提供在目標 AWS 帳戶 和區域中執行 Automation 執行手冊的管理許可,以便診斷與 Systems Manager 服務互動的受管節點的問題。

您可以將 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體執行診斷特定的 Automation 執行手冊,以及存取自動化工作流程狀態和執行中繼資料。

  • ec2:允許主體描述 Amazon EC2 和 Amazon VPC 資源及其組態,以便診斷 Systems Manager 服務的問題。

  • kms:允許主體使用加密 S3 儲存貯體中物件所用的客戶指定 AWS Key Management Service 金鑰,以便解密和存取儲存貯體中的物件內容。

  • iam:允許主體將診斷執行角色 (例如,自我) 傳遞至 Systems Manager,以便執行 Automation 文件。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy

AWS 受管政策:AWS-SSM-RemediationAutomation-AdministrationRolePolicy

透過在受管節點的帳戶和區域中啟動自動化工作流程,受管政策 AWS-SSM-RemediationAutomation-AdministrationRolePolicy 為修復與 Systems Manager 服務互動的受管節點中的問題提供許可。

您可以將此政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行修復動作的服務角色。

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體執行特定的 Automation 執行手冊,以及存取自動化工作流程狀態和執行狀態。

  • kms:允許主體使用加密 S3 儲存貯體中物件所用的客戶指定 AWS Key Management Service 金鑰,以便解密和存取儲存貯體中的物件內容。

  • sts:允許主體擔任修復執行角色,以便在同一帳戶中執行 SSM Automation 文件。

  • iam:允許主體將修復管理員角色 (例如,自我) 傳遞至 Systems Manager,以便執行 Automation 文件。

  • s3:允許主體存取物件以及將物件寫入 S3 儲存貯體。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-RemediationAutomation-AdministrationRolePolicy

AWS 受管政策:AWS-SSM-RemediationAutomation-ExecutionRolePolicy

受管政策 AWS-SSM-RemediationAutomation-ExecutionRolePolicy 提供在特定目標帳戶和區域中執行 Automation 執行手冊的許可,以便修復與 Systems Manager 服務互動的受管節點的問題。

您可以將此政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行修復動作的服務角色。

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體執行特定的 Automation 執行手冊,以及存取執行中繼資料和狀態。

  • ec2:允許主體建立、存取和修改 Amazon EC2 資源與 Amazon VPC 資源及其組態,以便修復 Systems Manager 服務和相關資源 (例如,安全群組) 的問題;以及將標籤連接到資源。

  • kms:允許主體使用加密 S3 儲存貯體中物件所用的客戶指定 AWS Key Management Service 金鑰,以便解密和存取儲存貯體中的物件內容。

  • iam:允許主體將修復執行角色 (例如,自我) 傳遞至 SSM 服務,以便執行 Automation 文件。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-RemediationAutomation-ExecutionRolePolicy

AWS 受管政策:AWSQuickSetupSSMManageResourcesExecutionPolicy

此政策會授予許可,這些許可允許 Quick Setup 執行 AWSQuickSetupType-SSM-SetupResources Automation 執行手冊。此執行手冊會為 Quick Setup 關聯建立 IAM 角色,而關聯是由 AWSQuickSetupType-SSM 部署所建立。此政策還會授予許可,以便在 Quick Setup 刪除操作期間清理關聯的 Amazon S3 儲存貯體。

您可以將此政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

許可詳細資訊

此政策包含以下許可。

  • iam:允許主體列出和管理 IAM 角色,以便與 Quick Setup Systems Manager Explorer 操作搭配使用;檢視、連接和分離 IAM 政策,以便與Quick Setup和 Systems Manager Explorer 搭配使用。這些許可是必要的,因此Quick Setup可以建立其某些組態操作所需的角色。

  • s3:允許主體從主體帳戶的 Amazon S3 儲存貯體中擷取物件的相關資訊,以及從中刪除專門用於 Quick Setup 組態操作的物件。這是必要許可,如此就能夠移除完成組態後不再需要的 S3 物件。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSSMManageResourcesExecutionPolicy

AWS 受管政策:AWSQuickSetupSSMLifecycleManagementExecutionPolicy

AWSQuickSetupSSMLifecycleManagementExecutionPolicy 政策會授予管理許可,Quick Setup允許 在 中的Quick Setup部署期間,在生命週期事件上執行 AWS CloudFormation 自訂資源Systems Manager。

您可以將此政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體取得自動化執行的相關資訊,以及啟動自動化執行來設定特定的 Quick Setup 操作。

  • iam:允許主體從 IAM 傳遞角色來設定特定的 Quick Setup 資源。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSSMLifecycleManagementExecutionPolicy

AWS 受管政策:AWSQuickSetupSSMDeploymentRolePolicy

受管政策 AWSQuickSetupSSMDeploymentRolePolicy 會授予管理許可,這些許可允許 Quick Setup 建立在 Systems Manager 加入程序期間使用的資源。

雖然可以手動將此政策連接至 IAM 實體,但不建議這麼做。因為 Quick Setup 建立的實體,會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

此政策與 SSMQuickSetupRolePolicy 政策無關,後者會用於為 AWSServiceRoleForSSMQuickSetup 服務連結角色提供許可。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體管理使用 AWS CloudFormation 範本和一組特定 SSM 文件建立之特定資源的關聯;使用 管理角色和角色政策,以透過 AWS CloudFormation 範本診斷和修復受管節點;以及連接和刪除Quick Setup生命週期事件的政策

  • iam:允許主體傳遞 Systems Manager 服務和 Lambda 服務的角色許可,以及傳遞診斷操作的角色許可。

  • lambda – 允許主體使用 AWS CloudFormation 範本管理主體帳戶中Quick Setup生命週期的函數。

  • cloudformation – 允許主體從中讀取資訊 AWS CloudFormation。這是必要的,因此 Quick Setup可以收集用於管理資源狀態和 CloudFormation AWS CloudFormation 堆疊集操作之堆疊的資料。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSSMDeploymentRolePolicy

AWS 受管政策:AWSQuickSetupSSMDeploymentS3BucketRolePolicy

AWSQuickSetupSSMDeploymentS3BucketRolePolicy 政策授予的許可,可列出帳戶中的所有 S3 儲存貯體,也可管理和擷取透過 AWS CloudFormation 範本管理的主體帳戶中特定儲存貯體的相關資訊。

您可以將 AWSQuickSetupSSMDeploymentS3BucketRolePolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

許可詳細資訊

此政策包含以下許可。

  • s3 :允許主體列出帳戶中的所有 S3 儲存貯體;以及管理及擷取透過 AWS CloudFormation 範本管理之主體帳戶中特定儲存貯體的相關資訊。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSSMDeploymentS3BucketRolePolicy

AWS 受管政策:AWSQuickSetupEnableDHMCExecutionPolicy

此政策會授予管理許可,這些許可允許主體執行 AWSQuickSetupType-EnableDHMC Automation 執行手冊,而這又會啟用預設主機管理組態。預設主機管理組態設定允許 Systems Manager 自動將 Amazon EC2 執行個體作為受管執行個體來管理。受管執行個體是指一種設定為搭配 Systems Manager 使用的 EC2 執行個體。此政策也會授予許可,可用來建立 Systems Manager 服務設定中指定作為 SSM Agent 預設角色的 IAM 角色。

您可以將 AWSQuickSetupEnableDHMCExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體更新和取得 Systems Manager 服務設定的相關資訊。

  • iam:允許主體建立和擷取與 Quick Setup 操作的 IAM 角色相關的資訊。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupEnableDHMCExecutionPolicy

AWS 受管政策:AWSQuickSetupEnableAREXExecutionPolicy

此政策會授予管理許可,這些許可允許 Systems Manager 執行 AWSQuickSetupType-EnableAREX Automation 執行手冊,而這又讓 AWS 資源總管 能夠與 Systems Manager 搭配使用。Resource Explorer 可讓您檢視帳戶中的資源,其搜尋體驗與網際網路搜尋引擎類似。此政策也會授予 Resource Explorer 索引和檢視的管理許可。

您可以將 AWSQuickSetupEnableAREXExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許主體在 AWS Identity and Access Management (IAM) 服務中建立服務連結角色。

  • resource-explorer-2:允許主體擷取與 Resource Explorer 檢視和索引相關的資訊;建立 Resource Explorer 檢視和索引;變更 Quick Setup 中所顯示索引的索引類型。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupEnableAREXExecutionPolicy

AWS 受管政策:AWSQuickSetupManagedInstanceProfileExecutionPolicy

THhis 政策會授予管理許可,Systems Manager允許 為Quick Setup工具建立預設 IAM 執行個體描述檔,並將其連接至尚未連接執行個體描述檔的 Amazon EC2 執行個體。此政策也會授予 Systems Manager 將許可連接到現有執行個體設定檔的能力。這是為了確保 Systems Manager 與 EC2 執行個體上的 SSM Agent 通訊所需的許可已就緒。

您可以將 AWSQuickSetupManagedInstanceProfileExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體啟動與 Quick Setup 程序相關聯的自動化工作流程。

  • ec2:允許主體將 IAM 執行個體設定檔連接至由 Quick Setup 管理的 EC2 執行個體。

  • iam:允許主體從 IAM 建立、更新和擷取在 Quick Setup 程序中使用的角色相關資訊;建立 IAM 執行個體設定檔;將 AmazonSSMManagedInstanceCore 受管政策連接至 IAM 執行個體設定檔。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupManagedInstanceProfileExecutionPolicy

AWS 受管政策:AWSQuickSetupFullAccess

此政策會授予管理許可,允許完整存取 AWS Management Console 和 AWS SDKs 中的 AWS Systems ManagerQuick Setup API 動作和資料,以及對Quick Setup操作所需的其他 AWS 服務 資源的有限存取。

您可將 AWSQuickSetupFullAccess 政策連接到 IAM 身分。

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體啟用 Explorer;在 State Manager 中執行資源資料同步操作;以及使用 SSM Command 文件和 Automation 執行手冊執行操作。

    Explorer、、State Manager文件和自動化都是 Systems Manager 中的工具。

  • cloudformation – 允許主體執行跨 AWS 區域 和 佈建資源所需的 AWS CloudFormation 操作 AWS 帳戶。

  • ec2:允許主體為指定的組態選取必要的參數,以及在 AWS Management Console中提供驗證。

  • iam:允許主體為 Quick Setup 操作建立所需的服務角色和服務連結角色。

  • organizations – 允許主體讀取 AWS Organizations 組織中帳戶的狀態;擷取組織的結構;啟用信任存取;以及從管理帳戶註冊委派管理員帳戶。

  • resource-groups:允許主體為指定的組態選取必要的參數,以及在 AWS Management Console中提供驗證。

  • s3:允許主體為指定的組態選取必要的參數,以及在 AWS Management Console中提供驗證。

  • ssm-quicksetup:允許主體在 Quick Setup 中執行唯讀動作。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupFullAccess

AWS 受管政策:AWSQuickSetupReadOnlyAccess

此政策授予唯讀許可,允許主體檢視 AWS Systems Manager Quick Setup資料和報告,包括來自Quick Setup操作所需的其他 AWS 服務 資源的資訊。

您可將 AWSQuickSetupReadOnlyAccess 政策連接到 IAM 身分。

許可詳細資訊

此政策包含以下許可。

  • ssm:允許主體讀取 SSM Command 文件和 Automation 執行手冊,以及擷取 State Manager 關聯執行的狀態。

  • cloudformation – 允許主體啟動擷取 AWS CloudFormation 部署狀態所需的操作。

  • organizations – 允許主體讀取 AWS Organizations 組織中帳戶的狀態。

  • ssm-quicksetup:允許主體在 Quick Setup 中執行唯讀動作。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupReadOnlyAccess

AWS 受管政策:AWS-SSM-Automation-DiagnosisBucketPolicy

受管政策透過允許存取用於診斷和修復問題的 S3 儲存貯體,AWS-SSM-Automation-DiagnosisBucketPolicy提供診斷與 AWS Systems Manager 服務互動之節點問題的許可。

您可將 AWS-SSM-Automation-DiagnosisBucketPolicy 政策連接到 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,此角色允許 Systems Manager 代表您執行診斷動作。

許可詳細資訊

此政策包含以下許可。

  • s3:允許主體存取物件以及將物件寫入 Amazon S3 儲存貯體。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-Automation-DiagnosisBucketPolicy

AWS 受管政策:AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy

受管政策 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy 透過提供組織特定的許可,為操作帳戶診斷節點問題提供許可。

您可將 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy 連接到 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,此角色允許 Systems Manager 代表您執行診斷動作。

許可詳細資訊

此政策包含以下許可。

  • organizations:允許主體列出組織的根目錄,以及取得成員帳戶來判斷目標帳戶。

  • sts:允許主體擔任修復執行角色,以便在同一組織中跨帳戶和區域執行 SSM Automation 文件。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy

AWS 受管政策:AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy

受管政策 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy 透過提供組織特定的許可,為操作帳戶診斷節點問題提供許可。

您可將 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy 政策連接到 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,此角色允許 Systems Manager 代表您執行診斷動作。

許可詳細資訊

此政策包含以下許可。

  • organizations:允許主體列出組織的根目錄,以及取得成員帳戶來判斷目標帳戶。

  • sts:允許主體擔任診斷執行角色,以便在同一組織中跨帳戶和區域執行 SSM Automation 文件。

若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy

Systems Manager 受 AWS 管政策的更新

在下表中,檢視自此服務於 2021 年 3 月 12 日開始追蹤這些變更Systems Manager以來, AWS 受管政策更新的詳細資訊。如需 Systems Manager 服務其他受管政策的相關資訊,請參閱本主題後文的 Systems Manager 的其他受管政策小節。如需有關此頁面變更的自動提醒,請訂閱 Systems Manager 文件歷史記錄 頁面的 RSS 摘要。

變更 描述 日期

AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy – 新政策

Systems Manager 新增了政策,此政策會透過提供組織特定的許可,為操作帳戶提供診斷節點問題的許可。

2024 年 11 月 21 日

AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy – 新政策

Systems Manager 新增了政策,此政策會透過提供組織特定的許可,為操作帳戶提供診斷節點問題的許可。

2024 年 11 月 21 日

AWS-SSM-Automation-DiagnosisBucketPolicy – 新政策

Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會診斷目標帳戶和區域中受管節點的問題。

2024 年 11 月 21 日

AmazonSSMServiceRolePolicy – 更新現有政策

Systems Manager 新增了許可, AWS 資源總管 允許 收集 Amazon EC2 執行個體的詳細資訊,並在新Systems Manager儀表板的小工具中顯示結果。

2024 年 11 月 21 日
SSMQuickSetupRolePolicy – 更新現有政策 Systems Manager 更新了受管政策 SSMQuickSetupRolePolicy。此更新可讓相關聯的服務連結角色 AWSServiceRoleForSSMQuickSetup 管理資源資料同步。 2024 年 11 月 21 日
AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy – 新政策 Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會診斷目標帳戶和區域中受管節點的問題。 2024 年 11 月 21 日
AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy – 新政策 Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會診斷目標帳戶和區域中受管節點的問題。 2024 年 11 月 21 日
AWS-SSM-RemediationAutomation-AdministrationRolePolicy – 新政策 Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會修復目標帳戶和區域中受管節點的問題。 2024 年 11 月 21 日
AWS-SSM-RemediationAutomation-ExecutionRolePolicy – 新政策 Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會修復目標帳戶和區域中受管節點的問題。 2024 年 11 月 21 日
AWSQuickSetupSSMManageResourcesExecutionPolicy – 新政策 Systems Manager 新增了政策,可支援在 Quick Setup 中執行為 Quick Setup 關聯建立 IAM 角色的操作,而關聯則由 AWSQuickSetupType-SSM 部署所建立。 2024 年 11 月 21 日
AWSQuickSetupSSMLifecycleManagementExecutionPolicy – 新政策 Systems Manager 新增了新的政策,以支援在Quick Setup部署期間Quick Setup於生命週期事件上執行 AWS CloudFormation 自訂資源。 2024 年 11 月 21 日
AWSQuickSetupSSMDeploymentRolePolicy – 新政策 Systems Manager 新增了政策,可支援授予管理許可,這些許可允許 Quick Setup 建立 Systems Manager 加入程序期間使用的資源。 2024 年 11 月 21 日
AWSQuickSetupSSMDeploymentS3BucketRolePolicy – 新政策 Systems Manager 新增了新的政策,以支援管理和擷取透過 AWS CloudFormation 範本管理之主體帳戶中特定儲存貯體的相關資訊 2024 年 11 月 21 日
AWSQuickSetupEnableDHMCExecutionPolicy – 新政策 Systems Manager 將導入新的政策,允許 Quick Setup 建立本身使用現有 AmazonSSMManagedEC2InstanceDefaultPolicy 的 IAM 角色。此政策包含 SSM Agent 與 Systems Manager 服務通訊所需的所有許可。新政策也允許對 Systems Manager 服務設定進行修改。 2024 年 11 月 21 日
AWSQuickSetupEnableAREXExecutionPolicy – 新政策 Systems Manager 新增了新的政策,Quick Setup允許 建立服務連結角色 AWS 資源總管,以存取 Resource Explorer 檢視和彙總器索引。 2024 年 11 月 21 日
AWSQuickSetupManagedInstanceProfileExecutionPolicy – 新政策

Systems Manager 新增了政策,允許 Quick Setup 建立預設 Quick Setup 執行個體設定檔,以及將其連接至任何缺少相關聯執行個體設定檔的 Amazon EC2 執行個體。這個新政策也允許 Quick Setup 將許可連接到現有的設定檔,確保已授予所有必要的 Systems Manager 許可。

2024 年 11 月 21 日
AWSQuickSetupFullAccess – 新政策 Systems Manager 新增了新的政策,以允許實體完整存取 和 SDKs 中的 AWS Systems ManagerQuick Setup API 動作 AWS Management Console 和 AWS 資料,以及對Quick Setup操作所需的其他 AWS 服務 資源的有限存取。 2024 年 11 月 21 日
AWSQuickSetupReadOnlyAccess – 新政策 Systems Manager 新增了新的政策,以授予唯讀許可,允許主體檢視 AWS Systems Manager Quick Setup資料和報告,包括來自Quick Setup操作所需的其他 AWS 服務 資源的資訊。 2024 年 11 月 21 日

SSMQuickSetupRolePolicy – 更新現有政策

Systems Manager 新增了允許 Quick Setup檢查其已建立之其他 AWS CloudFormation 堆疊集的運作狀態的新許可。

2024 年 8 月 13 日
AmazonSSMManagedEC2InstanceDefaultPolicy – 更新現有政策 Systems Manager 已將陳述式 ID (Sid) 新增至 AmazonSSMManagedEC2InstanceDefaultPolicy 的 JSON 政策。這些 Sid 提供每個政策陳述式目的之內嵌描述。 2024 年 7 月 18 日
SSMQuickSetupRolePolicy – 新政策 Systems Manager 新增了政策,允許 Quick Setup 檢查已部署資源的運作狀態,以及修偏離了移原始組態的執行個體。 2024 年 7 月 3 日
AWSQuickSetupDeploymentRolePolicy – 新政策 Systems Manager 新增了政策,可支援建立 IAM 角色和自動化的多種 Quick Setup 組態類型,進而使用建議的最佳實務來設定常用的 Amazon Web Services 服務和功能。 2024 年 7 月 3 日

AWSQuickSetupPatchPolicyDeploymentRolePolicy

:新政策

Systems Manager 新增了政策,允許 Quick Setup 建立與 Patch Manager 修補程式政策 Quick Setup 組態相關聯的資源。

2024 年 7 月 3 日

AWSQuickSetupPatchPolicyBaselineAccess:新政策

Systems Manager 新增了政策,允許 Quick Setup 使用唯讀許可存取 Patch Manager 中的修補基準。

2024 年 7 月 3 日
AWSSystemsManagerEnableExplorerExecutionPolicy:新政策 Systems Manager 新增了政策,允許 Explorer 授予會啟用 Quick Setup 的管理許可。 2024 年 7 月 3 日
AWSSystemsManagerEnableConfigRecordingExecutionPolicy:新政策 Systems Manager 新增了新的政策,Quick Setup以允許 啟用和設定 AWS Config 組態記錄。 2024 年 7 月 3 日

AWSQuickSetupDevOpsGuruPermissionsBoundary:新政策

Systems Manager 新增了政策,允許 Quick Setup 啟用和設定 Amazon DevOps Guru。

2024 年 7 月 3 日

AWSQuickSetupDistributorPermissionsBoundary:新政策

Systems Manager 新增了新的政策,Quick Setup允許 啟用和設定 Distributor,這是其中的工具 AWS Systems Manager。

2024 年 7 月 3 日

AWSQuickSetupSSMHostMgmtPermissionsBoundary:新政策

Systems Manager 新增了新的政策,Quick Setup允許 啟用和設定 Systems Manager 工具,以安全地管理 Amazon EC2 執行個體。

2024 年 7 月 3 日

AWSQuickSetupPatchPolicyPermissionsBoundary:新政策

Systems Manager 新增了新的政策,Quick Setup允許 在 中啟用和設定修補程式政策Patch Manager,這是 中的工具 AWS Systems Manager。

2024 年 7 月 3 日

AWSQuickSetupSchedulerPermissionsBoundary:新政策

Systems Manager 新增了政策,允許 Quick Setup 在 Amazon EC2 執行個體和其他資源上啟用和設定排程操作。

2024 年 7 月 3 日

AWSQuickSetupCFGCPacksPermissionsBoundary:新政策

Systems Manager 新增了政策,允許 Quick Setup 部署 AWS Config 一致性套件。

2024 年 7 月 3 日

AWSSystemsManagerOpsDataSyncServiceRolePolicy – 更新現有政策

OpsCenter 更新了政策,以改善 Explorer 用於管理 OpsData 相關操作的服務連結角色內的服務程式碼安全性。 2023 年 7 月 3 日

AmazonSSMManagedEC2InstanceDefaultPolicy – 新政策

Systems Manager 新增新政策,以允許 Amazon EC2 執行個體上的 Systems Manager 功能,無需使用 IAM 執行個體設定檔。

2022 年 8 月 18 日

AmazonSSMServiceRolePolicy:更新現有政策

Systems Manager 新增了新的許可,以允許 Explorer 在從 Explorer 或 OpsCenter 開啟 Security Hub 時建立受管規則。新增新的許可來檢查該組態,並在允許 OpsData 前,檢查 compute-optimizer 是否滿足必要要求。

2021 年 4 月 27 日

AWSSystemsManagerOpsDataSyncServiceRolePolicy – 新政策

Systems Manager 新增了新政策,以建立並更新 OpsItems 和來自 Explorer 和 OpsCenter Security Hub 問題清單的 OpsData。

2021 年 4 月 27 日

AmazonSSMServiceRolePolicy – 更新現有政策

Systems Manager 新增了新的許可,以允許檢視彙總 OpsData 和 Explorer 中多個帳戶和 AWS 區域 的 OpsItems 詳細資訊。

2021 年 3 月 24 日

Systems Manager 已開始追蹤變更

Systems Manager 已開始追蹤其 AWS 受管政策的變更。

2021 年 3 月 12 日

Systems Manager 的其他受管政策

除了本主題前文所述的受管政策,Systems Manager 也支援下列政策。