AWS 的 受管政策 AWS Systems Manager - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 的 受管政策 AWS Systems Manager

AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有 服務時, AWS 最有可能更新受 AWS 管政策。

如需詳細資訊,請參閱 IAM 使用者指南中的 AWS 受管政策

AWS 受管政策:AmazonSSMServiceRolePolicyWord

此政策可讓您存取由 Systems Manager 操作管理 AWS Systems Manager 或用於 Systems Manager 操作的許多 AWS 資源。

您無法AmazonSSMServiceRolePolicy連接至 AWS Identity and Access Management (IAM) 實體。此政策會連接至服務連結角色, AWS Systems Manager 允許 代表您執行動作。如需詳細資訊,請參閱使用角色收集庫存和檢視 OpsData

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體啟動和執行兩者的步驟 Run Command 和自動化;以及擷取有關 的資訊 Run Command 和自動化操作;擷取有關 的資訊 Parameter Store parameters Change Calendar 行事曆;更新和擷取有關 的 Systems Manager 服務設定的資訊 OpsCenter資源;以及讀取已套用至資源之標籤的相關資訊。

  • cloudformation – 允許主體擷取堆疊集操作和堆疊集執行個體的相關資訊,以及刪除資源 上的堆疊集arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*。允許主體刪除與下列資源相關聯的堆疊執行個體:

    arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
    arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
    arn:aws:cloudformation:*:*:type/resource/*
  • cloudwatch – 允許主體擷取 Amazon CloudWatch 警示的相關資訊。

  • compute-optimizer – 允許主體擷取 帳戶的註冊 (選擇加入) 狀態至 AWS Compute Optimizer 服務,以及擷取符合特定陳述要求之 Amazon EC2 執行個體的建議。

  • config – 允許委託人擷取其中的資訊修復組態和組態記錄器 AWS Config,並判斷指定的 AWS Config 規則 AWS 和資源是否合規。

  • events – 允許主體擷取有關 EventBridge規則的資訊;建立專門用於 Systems Manager 服務 () 的 EventBridge 規則和目標ssm.amazonaws.com;以及刪除資源 的規則和目標arn:aws:events:*:*:rule/SSMExplorerManagedRule

  • ec2 – 允許主體擷取 Amazon EC2 執行個體的相關資訊。

  • iam – 允許主體傳遞 Systems Manager 服務 () 的角色許可ssm.amazonaws.com

  • lambda – 允許主體叫用專門為 Systems Manager 使用而設定的 Lambda 函數。

  • resource-explorer-2 – 允許主體擷取有關 EC2 執行個體的資料,以判斷每個執行個體目前是否由 Systems Manager 管理。

    arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM* 資源resource-explorer-2:CreateManagedView允許 動作。

  • resource-groups – 允許主體從屬於資源群組 AWS Resource Groups 的資源中擷取清單資源群組及其成員。

  • securityhub – 允許主體擷取目前帳戶中 AWS Security Hub 中樞資源的相關資訊。

  • states – 允許主體啟動和擷取專門 AWS Step Functions 為 Systems Manager 使用而設定的資訊。

  • support – 允許主體擷取 中檢查和案例的相關資訊 AWS Trusted Advisor。

  • tag – 允許委託人擷取位於 AWS 區域 帳戶指定 中所有已標記或先前標記之資源的相關資訊。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AmazonSSMServiceRolePolicyWord。

AWS 受管政策:AmazonSSMFullAccessV2

您可以將AmazonSSMFullAccessV2政策連接至 IAM 身分。此政策會授予 AWS Systems Manager 操作的完整存取權。已為較新的功能新增許可,包括允許 Systems Manager 執行 Automation 文件以進行診斷和修復的許可。

許可詳細資訊

  • ssm - 允許主體存取 all AWS Systems Manager APIs。

  • ssm-quicksetup - 允許主體管理其 AWS Systems Manager 快速設定 組態。

  • cloudformation - 允許主體讀取其 Quick Setup 堆疊。

  • iam:CreateServiceLinkedRoleiam:DeleteServiceLinkedRole iam:GetServiceLinkedRoleDeletionStatus - 允許主體管理 Systems Manager 的服務連結角色。

  • iam:GetRole - 允許主體擷取 的特定角色資訊 Quick Setup 角色。

  • ec2:DescribeRegions - 允許 Systems Manager AWS 區域 決定您正在使用的 。

  • organizations - 允許主體在企業加入 Systems Manager 作為組織時讀取組織結構。

  • iam:PassRole - 允許主體在開始執行自動化以診斷和修復未受管節點時,將要擔任的角色傳遞給 Systems Manager。

  • s3 - 允許主體列出並取得在 Systems Manager 加入程序中建立的 Amazon S3 儲存貯體中的物件。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AmazonSSMV2FullAccess

AWS 受管政策:AmazonSSMReadOnlyAccessWord

您可以將AmazonSSMReadOnlyAccess政策連接至 IAM 身分。此政策會授予 AWS Systems Manager API 操作的唯讀存取權Describe*,包括 Get*、 和 List*

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AmazonSSMReadOnlyAccessWord。

AWS 受管政策: AWSSystemsManagerOpsDataSyncServiceRolePolicy

您無法AWSSystemsManagerOpsDataSyncServiceRolePolicy連接至 IAM 實體。此政策會連接至服務連結角色,允許 Systems Manager 代表您執行動作。如需詳細資訊,請參閱使用角色建立 OpsData 和 OpsItems for Explorer

AWSSystemsManagerOpsDataSyncServiceRolePolicy 允許AWSServiceRoleForSystemsManagerOpsDataSync服務連結角色建立和更新 OpsItems 和 OpsData AWS Security Hub Word。

政策允許 Systems Manager 在所有相關資源 ("Resource": "*") 上完成下列動作,除非另有指示:

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

【1】 的下列條件允許 ssm:GetOpsItemssm:UpdateOpsItem動作 Systems Manager 僅限 服務。

"Condition": { "StringEquals": { "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true" } }

[2] 僅允許對以下資源進行 ssm:AddTagsToResource 動作的許可。

arn:aws:ssm:*:*:opsitem/*

[3] 僅允許對以下資源進行 ssm:UpdateServiceSettingssm:GetServiceSetting 動作的許可。

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

【4】 的下列條件securityhub:BatchUpdateFindings拒絕 的許可 Systems Manager 僅限 服務。

{ "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Confidence": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Criticality": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.Text": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.UpdatedBy": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/RelatedFindings": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Types": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.key": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.value": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/VerificationState": false } }

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSSystemsManagerOpsDataSyncServiceRolePolicy

AWS 受管政策:AmazonSSMManagedEC2InstanceDefaultPolicyWord

您只應AmazonSSMManagedEC2InstanceDefaultPolicy連接至您想要擁有使用許可的 Amazon Word 執行個體的 EC2 IAM角色 Systems Manager 功能。您不應將此角色連接到其他 IAM 實體,例如 IAM 使用者和 IAM 群組,或連接到用於其他目的的 IAM 角色。如需詳細資訊,請參閱使用預設主機管理組態自動管理 EC2 執行個體

此政策會授予許可,以允許 SSM Agent 在 Amazon EC2 執行個體上,與雲端中的 Systems Manager 服務通訊,以執行各種任務。它也會授予提供授權權杖的兩項服務許可,以確保在正確的執行個體上執行操作。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體擷取文件、使用 執行命令 Run Command,使用 建立工作階段 Session Manager、收集執行個體的庫存,並使用 掃描修補程式和修補程式合規 Patch Manager.

  • ssmmessages – 允許主體存取每個執行個體由 Amazon Message Gateway Service 建立的個人化授權權杖。Systems Manager 會根據 ARN 操作中提供的執行個體的 Amazon Resource Name (API) 來驗證個人化授權權杖。此存取權是必要的,以確保 SSM Agent 在正確的執行個體上執行 API 操作。

  • ec2messages – 允許主體存取每個執行個體由 Amazon Message Delivery Service 建立的個人化授權權杖。Systems Manager 會根據 ARN 操作中提供的執行個體的 Amazon Resource Name (API) 來驗證個人化授權權杖。此存取權是必要的,以確保 SSM Agent 在正確的執行個體上執行 API 操作。

如需 ssmmessagesec2messages端點的相關資訊,包括兩者之間的差異,請參閱 客服人員相關的 API 操作 (ssmmessages 和 ec2messages 端點)

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AmazonSSMManagedEC2InstanceDefaultPolicyWord。

AWS 受管政策:SSMQuickSetupRolePolicy

您無法將 SSMQuickSetupRolePolicy 連接至 IAM 實體。此政策會連接至服務連結角色,允許 Systems Manager 代表您執行動作。如需詳細資訊,請參閱使用角色來維護 Quick Setup-佈建的資源運作狀態和一致性

此政策授予唯讀許可,允許 Systems Manager 檢查組態運作狀態、確保參數和佈建資源的一致使用,以及在偵測到偏離時修復資源。它還授予建立服務連結角色的管理許可。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體在 Systems Manager 中讀取資訊 Resource Data Syncs 和 SSM Documents,包括委派的管理員帳戶中。這是必要的,因此 Quick Setup 可以判斷已設定資源的預期狀態。

  • organizations – 允許委託人讀取屬於組織的成員帳戶資訊,如 中所設定 AWS Organizations。這是必要的,因此 Quick Setup 可以識別組織中要執行資源運作狀態檢查的所有帳戶。

  • cloudformation – 允許主體從中讀取資訊 AWS CloudFormation。這是必要的,因此 Quick Setup 可以收集用於管理資源狀態和 CloudFormation AWS CloudFormation 堆疊集操作的堆疊資料。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 SSMQuickSetupRolePolicy

AWS 受管政策: AWSQuickSetupDeploymentRolePolicy

受管政策AWSQuickSetupDeploymentRolePolicy支援多個 Quick Setup 組態類型。這些組態類型會建立 IAM 角色和自動化,以使用建議的最佳實務來設定常用的 Amazon Web Services 服務和功能。

您可以AWSQuickSetupDeploymentRolePolicy連接至 IAM 實體。

此政策會授予建立與下列項目相關聯的資源所需的管理許可 Quick Setup 組態:

許可詳細資訊

此政策包含以下許可。

  • iam – 允許委託人管理和刪除自動化組態任務所需的 IAM 角色;以及管理自動化角色政策。

  • cloudformation – 允許主體建立和管理堆疊集。

  • config – 允許主體建立、管理和刪除一致性套件。

  • events – 允許主體建立、更新和刪除排程動作的事件規則。

  • resource-groups – 允許主體擷取與 目標為 的資源群組相關聯的資源查詢 Quick Setup 組態。

  • ssm – 允許主體建立適用的 Automation Runbook 和關聯 Quick Setup 組態。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupDeploymentRolePolicy

AWS 受管政策: AWSQuickSetupPatchPolicyDeploymentRolePolicy

受管政策AWSQuickSetupPatchPolicyDeploymentRolePolicy支援 使用 設定組織中執行個體的修補 Quick Setup Quick Setup 。此組態類型有助於自動修補單一帳戶或整個組織中的應用程式和節點。

您可以AWSQuickSetupPatchPolicyDeploymentRolePolicy連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行動作。

此政策會授予允許 的管理許可 Quick Setup 建立與修補政策組態相關聯的資源。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許委託人管理和刪除自動化組態任務所需的 IAM 角色;以及管理自動化角色政策。

  • cloudformation – 允許主體讀取 AWS CloudFormation 堆疊資訊;並控制由 建立的 AWS CloudFormation 堆疊 Quick Setup 使用 AWS CloudFormation 堆疊集。

  • ssm – 允許主體建立、更新、讀取和刪除組態任務所需的 Automation Runbook;以及建立、更新和刪除 State Manager 關聯。

  • resource-groups – 允許主體擷取與 目標為 的資源群組相關聯的資源查詢 Quick Setup 組態。

  • s3 – 允許主體列出 Amazon S3 儲存貯體;以及管理儲存貯體以儲存修補程式政策存取日誌。

  • lambda – 允許主體管理將組態維持在正確狀態的 AWS Lambda 修復函數。

  • logs – 允許主體描述和管理 Lambda 組態資源的日誌群組。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupPatchPolicyDeploymentRolePolicy

AWS 受管政策: AWSQuickSetupPatchPolicyBaselineAccess

受管政策AWSQuickSetupPatchPolicyBaselineAccess支援 使用 設定組織中執行個體的修補 Quick Setup Quick Setup 。此組態類型有助於自動修補單一帳戶或整個組織中的應用程式和節點。

您可以AWSQuickSetupPatchPolicyBaselineAccess連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行動作。

此政策提供唯讀許可,以存取目前 AWS 帳戶 或組織中管理員使用 設定的修補程式基準 Quick Setup。 修補程式基準會存放在 Amazon S3 儲存貯體中,可用於修補單一帳戶或整個組織中的執行個體。

許可詳細資訊

此政策包含下列許可。

  • s3 – 允許主體讀取儲存在 Amazon S3 儲存貯體中的修補程式基準覆寫。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupPatchPolicyBaselineAccess

AWS 受管政策: AWSSystemsManagerEnableExplorerExecutionPolicy

受管政策AWSSystemsManagerEnableExplorerExecutionPolicy支援啟用 Explorer, 的功能 AWS Systems Manager。

您可以AWSSystemsManagerEnableExplorerExecutionPolicy連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行動作。

此政策會授予啟用 的管理許可 Explorer。 這包括更新相關 的許可 Systems Manager 服務設定,以及為 建立服務連結角色 Systems Manager.

許可詳細資訊

此政策包含以下許可。

  • config – 允許主體協助啟用 Explorer 透過提供組態記錄器詳細資訊的唯讀存取權。

  • iam – 允許主體協助啟用 Explorer.

  • ssm – 允許主體啟動啟用 的自動化工作流程 Explorer.

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSSystemsManagerEnableExplorerExecutionPolicy

AWS 受管政策: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

受管政策AWSSystemsManagerEnableConfigRecordingExecutionPolicy支援 使用 建立 AWS Config組態記錄器 Quick Setup Quick Setup 組態類型。此組態類型會啟用 Quick Setup 追蹤和記錄您選擇的資源 AWS 類型的變更 AWS Config。它也啟用了 Quick Setup 為記錄的資料設定交付和通知選項。

您可以AWSSystemsManagerEnableConfigRecordingExecutionPolicy連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行動作。

此政策會授予允許 的管理許可 Quick Setup 以啟用和設定 AWS Config 組態記錄。

許可詳細資訊

此政策包含以下許可。

  • s3 – 允許主體建立和設定 Amazon S3 儲存貯體,以交付組態記錄。

  • sns – 允許主體列出和建立 Amazon SNS 主題。

  • config – 允許主體設定和啟動組態記錄器;並協助啟用 Explorer.

  • iam – 允許主體建立、取得和傳遞 的服務連結角色 AWS Config;以及為 Systems Manager 建立服務連結角色;以及協助啟用 Explorer.

  • ssm – 允許主體啟動啟用 的自動化工作流程 Explorer.

  • compute-optimizer – 允許主體協助啟用 Explorer 透過提供唯讀存取權來判斷資源是否已註冊 AWS Compute Optimizer。

  • support – 允許主體協助啟用 Explorer 透過提供唯讀存取權來判斷資源是否已向 註冊 AWS Compute Optimizer。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSSystemsManagerEnableConfigRecordingExecutionPolicy

AWS 受管政策: AWSQuickSetupDevOpsGuruPermissionsBoundary

注意

此政策是許可界限。許可界限會設定身分型政策可授予 IAM 實體的最大許可。您不應該使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策應僅連接至 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 Word 實體的許可界限IAM

受管政策AWSQuickSetupDevOpsGuruPermissionsBoundary支援 使用 設定 DevOpsGuru Quick Setup類型。組態類型會啟用機器學習支援的 Amazon DevOpsGuru。 DevOpsGuru 服務可協助改善應用程式的操作效能和可用性。

當您使用 建立AWSQuickSetupDevOpsGuruPermissionsBoundary組態時 Quick Setup,系統會將此許可界限套用至部署組態時建立的 IAM 角色。許可界限會限制 Quick Setup 會建立 。

此政策會授予允許 的管理許可 Quick Setup 以啟用和設定 Amazon DevOpsGuru。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許主體為 DevOpsGuru 和 Systems Manager 建立服務連結角色;並列出有助於啟用 Explorer.

  • cloudformation – 允許主體列出和描述 AWS CloudFormation 堆疊。

  • sns – 允許主體列出和建立 Amazon SNS 主題。

  • devops-guru – 允許主體設定 DevOpsGuru;以及新增通知頻道。

  • config – – 允許主體協助啟用 Explorer 透過提供組態記錄器詳細資訊的唯讀存取權。

  • ssm – 允許主體啟動啟用 的自動化工作流程 Explorer;以及 讀取和更新 Explorer 服務設定。

  • compute-optimizer – 允許主體協助啟用 Explorer 透過提供唯讀存取權來判斷資源是否已註冊 AWS Compute Optimizer。

  • support – 允許主體協助啟用 Explorer 透過提供唯讀存取權來判斷資源是否已向 註冊 AWS Compute Optimizer。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupDevOpsGuruPermissionsBoundary

AWS 受管政策: AWSQuickSetupDistributorPermissionsBoundary

注意

此政策是許可界限。許可界限會設定身分型政策可授予 IAM 實體的最大許可。您不應該使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策應僅連接至 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 Word 實體的許可界限IAM

受管政策AWSQuickSetupDistributorPermissionsBoundary支援 部署 Distributor 套件使用 Quick Setup Quick Setup 組態類型。組態類型有助於使用 Distributor,將 代理程式等軟體套件分發到您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體 AWS Systems Manager。

當您使用 建立AWSQuickSetupDistributorPermissionsBoundary組態時 Quick Setup,系統會將此許可界限套用至部署組態時建立的 IAM 角色。許可界限會限制 Quick Setup 會建立 。

此政策會授予允許 的管理許可 Quick Setup 使用 Distributor 將軟體套件,例如客服人員,分發至您的 Amazon EC2 執行個體。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許委託人取得並傳遞經銷商自動化角色;建立、讀取、更新和刪除預設執行個體角色;將預設執行個體角色傳遞給 Amazon EC2 和 Systems Manager;將執行個體管理政策連接至執行個體角色;為 Systems Manager 建立服務連結角色;將預設執行個體角色新增至執行個體設定檔;讀取有關 IAM 角色和執行個體設定檔的資訊;以及建立預設執行個體設定檔。

  • ec2 – 允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯;並協助啟用 Explorer.

  • ssm – 允許主體啟動可設定執行個體和安裝套件的自動化工作流程;並協助啟動啟用 的自動化工作流程 Explorer;以及 讀取和更新 Explorer 服務設定。

  • config – 允許主體協助啟用 Explorer 透過提供組態記錄器詳細資訊的唯讀存取權。

  • compute-optimizer – 允許主體協助啟用 Explorer 透過提供唯讀存取權來判斷資源是否已註冊 AWS Compute Optimizer。

  • support – 允許主體協助啟用 Explorer 透過提供唯讀存取權來判斷資源是否已向 註冊 AWS Compute Optimizer。

若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupDistributorPermissionsBoundary

AWS 受管政策: AWSQuickSetupSSMHostMgmtPermissionsBoundary

注意

此政策是許可界限。許可界限會設定身分型政策可授予 IAM 實體的最大許可。您不應該使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策應僅連接至 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 Word 實體的許可界限IAM

受管政策AWSQuickSetupSSMHostMgmtPermissionsBoundary支援 使用 設定 Amazon EC2 主機管理 Quick Setup Quick Setup 組態類型。此組態類型會設定 IAM 角色,並啟用常用 Systems Manager 功能,以安全地管理您的 Amazon EC2 執行個體。

當您使用 建立AWSQuickSetupSSMHostMgmtPermissionsBoundary組態時 Quick Setup,系統會將此許可界限套用至部署組態時建立的 IAM 角色。許可界限會限制 Quick Setup 會建立 。

此政策會授予允許 的管理許可 Quick Setup 啟用和設定安全管理 EC2 執行個體所需的 Systems Manager 功能。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許主體取得服務角色並將其傳遞給 Automation。允許主體建立、讀取、更新和刪除預設執行個體角色;將預設執行個體角色傳遞給 Amazon EC2 和 Systems Manager;將執行個體管理政策連接至執行個體角色;為 Systems Manager 建立服務連結角色;將預設執行個體角色新增至執行個體設定檔;讀取 IAM 角色和執行個體設定檔的相關資訊;以及建立預設執行個體設定檔。

  • ec2 – 允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯和取消關聯。

  • ssm – 允許主體啟動啟用 的自動化工作流程 Explorer;讀取和更新 Explorer 服務設定;設定執行個體;並在執行個體上啟用 Systems Manager 功能。

  • compute-optimizer – 允許主體協助啟用 Explorer 透過提供唯讀存取權來判斷資源是否已註冊 AWS Compute Optimizer。

  • support – 允許主體協助啟用 Explorer 透過提供唯讀存取權來判斷資源是否已向 註冊 AWS Compute Optimizer。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupSSMHostMgmtPermissionsBoundary

AWS 受管政策: AWSQuickSetupPatchPolicyPermissionsBoundary

注意

此政策是許可界限。許可界限會設定身分型政策可授予 IAM 實體的最大許可。您不應該使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策應僅連接至 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 Word 實體的許可界限IAM

受管政策AWSQuickSetupPatchPolicyPermissionsBoundary支援 使用 設定組織中執行個體的修補 Quick Setup Quick Setup 。此組態類型有助於自動修補單一帳戶或整個組織中的應用程式和節點。

當您使用 建立AWSQuickSetupPatchPolicyPermissionsBoundary組態時 Quick Setup,系統會將此許可界限套用至部署組態時建立的 IAM 角色。許可界限會限制 Quick Setup 會建立 。

此政策會授予允許 的管理許可 Quick Setup 在 中啟用和設定修補程式政策 Patch Manager, 的功能 AWS Systems Manager。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許主體取得 Patch Manager 自動化角色;將自動化角色傳遞至 Patch Manager 修補操作;建立預設執行個體角色, AmazonSSMRoleForInstancesQuickSetup;將預設執行個體角色傳遞至 Amazon EC2 和 Systems Manager;將選取的 AWS 受管政策連接至執行個體角色;為 Systems Manager 建立服務連結角色;將預設執行個體角色新增至執行個體設定檔;讀取執行個體設定檔和角色的相關資訊;建立預設執行個體設定檔;以及標記具有讀取修補基準覆寫許可的角色。

  • ssm – 允許主體更新由 Systems Manager 管理的執行個體角色;管理 建立的關聯 Patch Manager 在 中建立的修補程式政策 Quick Setup;標記修補程式政策組態的目標執行個體;讀取執行個體和修補狀態的相關資訊;啟動設定、啟用和修復執行個體修補的自動化工作流程;啟動啟用 的自動化工作流程 Explorer;協助啟用 Explorer;以及 讀取和更新 Explorer 服務設定。

  • ec2 – 允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯和取消關聯;標記修補程式政策組態的目標執行個體;標記修補程式政策組態的目標執行個體;以及協助啟用 Explorer.

  • s3 – 允許主體建立和設定 S3 儲存貯體以存放修補程式基準覆寫。

  • lambda – 允許主體叫用設定修補的 AWS Lambda 函數,並在 之後執行清除操作 Quick Setup 修補程式政策組態已刪除。

  • logs – 允許主體設定 的記錄 Patch Manager Quick Setup AWS Lambda 函數。

  • config – 允許主體協助啟用 Explorer 透過提供組態記錄器詳細資訊的唯讀存取權。

  • compute-optimizer – 允許主體協助啟用 Explorer 透過提供唯讀存取權來判斷資源是否已註冊 AWS Compute Optimizer。

  • support – 允許主體協助啟用 Explorer 透過提供唯讀存取權來判斷資源是否已向 註冊 AWS Compute Optimizer。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupPatchPolicyPermissionsBoundary

AWS 受管政策: AWSQuickSetupSchedulerPermissionsBoundary

注意

此政策是許可界限。許可界限會設定身分型政策可授予 IAM 實體的最大許可。您不應該使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策應僅連接至 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 Word 實體的許可界限IAM

受管政策AWSQuickSetupSchedulerPermissionsBoundary支援 使用 按照排程自動停止和啟動 EC2 執行個體 Quick Setup Quick Setup 組態類型。此組態類型可讓您在指定的時間停止和啟動 EC2 執行個體和其他資源。

當您使用 建立AWSQuickSetupSchedulerPermissionsBoundary組態時 Quick Setup,系統會將此許可界限套用至部署組態時建立的 IAM 角色。許可界限會限制 Quick Setup 會建立 。

此政策會授予允許 的管理許可 Quick Setup 在 EC2 執行個體和其他資源上啟用和設定排程操作。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許主體擷取和傳遞執行個體管理自動化動作的角色;管理、傳遞和連接 EC2 執行個體管理的預設執行個體角色;建立預設執行個體描述檔;將預設執行個體角色新增至執行個體描述檔;為 建立服務連結角色 Systems Manager;讀取有關 IAM 角色和執行個體設定檔的資訊;將預設執行個體設定檔與 EC2 執行個體建立關聯;以及啟動自動化工作流程以設定執行個體並啟用 Systems Manager 功能。

  • ssm – 允許主體啟動啟用 的自動化工作流程 Explorer;以及 讀取和更新 Explorer 服務設定。

  • ec2 – 允許主體尋找目標執行個體,並按排程啟動和停止執行個體。

  • config – 允許主體協助啟用 Explorer 透過提供組態記錄器詳細資訊的唯讀存取權。

  • compute-optimizer – 允許主體協助啟用 Explorer 透過提供唯讀存取權來判斷資源是否已註冊 AWS Compute Optimizer。

  • support – 允許主體協助啟用 Explorer 透過提供帳戶的 AWS Trusted Advisor 檢查唯讀存取權。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupSchedulerPermissionsBoundary

AWS 受管政策: AWSQuickSetupCFGCPacksPermissionsBoundary

注意

此政策是許可界限。許可界限會設定身分型政策可授予 IAM 實體的最大許可。您不應該使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策應僅連接至 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱 IAM 使用者指南中的 Word 實體的許可界限IAM

受管政策AWSQuickSetupCFGCPacksPermissionsBoundary支援 使用 部署 AWS Config 一致性套件 Quick Setup Quick Setup 組態類型。此組態類型會部署 AWS Config 一致性套件。一致性套件是 AWS Config 規則和修復動作的集合,可部署為單一實體。

當您使用 建立AWSQuickSetupCFGCPacksPermissionsBoundary組態時 Quick Setup,系統會將此許可界限套用至部署組態時建立的 IAM 角色。許可界限會限制 Quick Setup 會建立 。

此政策會授予允許 的管理許可 Quick Setup 部署 AWS Config 一致性套件。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許主體建立、取得和傳遞 的服務連結角色 AWS Config。

  • sns – 允許主體在 Amazon SNS 中列出平台應用程式。

  • config – 允許主體部署 AWS Config 一致性套件;取得一致性套件的狀態;以及取得組態記錄器的相關資訊。

  • ssm – 允許主體取得 SSM 文件和自動化工作流程的相關資訊;取得資源標籤的相關資訊;以及取得服務設定的相關資訊和更新服務設定。

  • compute-optimizer – 允許主體取得帳戶的選擇加入狀態。

  • support – 允許主體取得 AWS Trusted Advisor 檢查的相關資訊。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupCFGCPacksPermissionsBoundary

AWS 受管政策: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy

此政策AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy提供許可,透過在管理節點的帳戶和區域中啟動自動化工作流程,來診斷與 Systems Manager 服務互動的節點問題。

您可以AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行診斷動作。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體執行診斷節點問題的 Automation Runbook,並存取工作流程的執行狀態。

  • kms – 允許主體使用客戶指定的 AWS Key Management Service 金鑰,用來加密 S3 儲存貯體中的物件,以解密和存取儲存貯體中的物件內容。

  • sts – 允許委託人擔任診斷執行角色,以在同一帳戶中執行 Automation Runbook。

  • iam – 允許主體將診斷管理角色 (例如,自我) 傳遞給 Systems Manager 以執行 Automation Runbook。

  • s3 – 允許主體存取和寫入物件至 S3 儲存貯體。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWS-SSMDiagnosisAutomation-AdministrationRolePolicy

AWS 受管政策: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy

受管政策AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy提供在目標 AWS 帳戶 和 區域中執行 Automation Runbook 的管理許可,以診斷與 Systems Manager 服務互動之受管節點的問題。

您可以AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行動作。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體執行診斷特定的 Automation Runbook,並存取自動化工作流程狀態和執行中繼資料。

  • ec2 – 允許主體描述 Amazon EC2 和 Amazon VPC 資源及其組態,以診斷 Systems Manager 服務。

  • kms – 允許主體使用客戶指定的 AWS Key Management Service 金鑰,用來加密 S3 儲存貯體中的物件,以解密和存取儲存貯體中的物件內容。

  • iam – 允許主體將診斷執行角色 (例如,自我) 傳遞至 Systems Manager 以執行自動化文件。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 受管政策參考指南中的 AWS-SSMDiagnosisAutomation-ExecutionRolePolicyAWS

AWS 受管政策: AWS-SSM-RemediationAutomation-AdministrationRolePolicy

受管政策AWS-SSM-RemediationAutomation-AdministrationRolePolicy提供許可,透過在節點受管的帳戶和區域中啟動自動化工作流程,修復與 Systems Manager 服務互動的受管節點中的問題。

您可以將此政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行修復動作。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體執行特定的 Automation Runbook,並存取自動化工作流程狀態和執行狀態。

  • kms – 允許主體使用客戶指定的 AWS Key Management Service 金鑰,用來加密 S3 儲存貯體中的物件,以解密和存取儲存貯體中的物件內容。

  • sts – 允許委託人擔任修復執行角色,在同一個帳戶中執行 SSM Automation 文件。

  • iam – 允許主體將修復管理員角色 (例如,自我) 傳遞給 Systems Manager 以執行自動化文件。

  • s3 – 允許委託人存取和寫入物件至 S3 儲存貯體。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 受管政策參考指南中的 AWS-SSMRemediationAutomation-AdministrationRolePolicyAWS

AWS 受管政策: AWS-SSM-RemediationAutomation-ExecutionRolePolicy

受管政策AWS-SSM-RemediationAutomation-ExecutionRolePolicy提供在特定目標帳戶和區域中執行 Automation Runbook 的許可,以修復與 Systems Managerservices 互動之受管節點的問題。

您可以將政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行修復動作。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體執行特定的 Automation Runbook,並存取執行中繼資料和狀態。

  • ec2 – 允許主體建立、存取和修改 Amazon EC2 資源和 Amazon VPC 資源及其組態,以修復 的問題 Systems Manager 服務和相關資源,例如安全群組;以及將標籤連接至資源。

  • kms – 允許主體使用客戶指定的 AWS Key Management Service 金鑰,用來加密 S3 儲存貯體中的物件,以解密和存取儲存貯體中的物件內容。

  • iam – 允許主體將修復執行角色 (例如,自我) 傳遞至 SSM 服務以執行自動化文件。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWS-SSMRemediationAutomation-ExecutionRolePolicy

AWS 受管政策: AWSQuickSetupSSMManageResourcesExecutionPolicy

此政策會授予許可,以允許 Quick Setup 來執行 AWSQuickSetupType-SSM-SetupResources Automation Runbook。此 Runbook 會為 建立 IAM 角色 Quick Setup 關聯,而這些關聯又由AWSQuickSetupType-SSM部署建立。它還授予許可,以在 中清除關聯的 Amazon S3 儲存貯體 Quick Setup 刪除操作。

您可以將政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行動作。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許主體列出和管理 IAM 角色,以搭配 使用 Quick Setup Systems Manager Explorer 操作;檢視、連接和分離 IAM 政策,以搭配 使用 Quick Setup 和 Systems Manager Explorer 這些許可是必要的,因此 Quick Setup 可以建立其某些組態操作所需的角色。

  • s3 – 允許委託人擷取 中物件的相關資訊,並從委託人帳戶中專門用於 的 Amazon S3 儲存貯體中刪除物件 Quick Setup 組態操作。這是必要的,以便移除組態後不再需要的 S3 物件。

若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupSSMManageResourcesExecutionPolicy

AWS 受管政策: AWSQuickSetupSSMLifecycleManagementExecutionPolicy

AWSQuickSetupSSMLifecycleManagementExecutionPolicy 政策會授予允許 的管理許可 Quick Setup 在 生命週期事件上執行 AWS CloudFormation 自訂資源 Quick Setup 部署於 Systems Manager.

您可以將此政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行動作。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體取得自動化執行的相關資訊,並啟動自動化執行以設定特定 Quick Setup 操作。

  • iam – 允許主體從 IAM 傳遞角色,以設定特定 Quick Setup 的費用。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupSSMLifecycleManagementExecutionPolicy

AWS 受管政策: AWSQuickSetupSSMDeploymentRolePolicy

受管政策會AWSQuickSetupSSMDeploymentRolePolicy授予允許 的管理許可 Quick Setup 建立在 Systems Manager 加入程序中使用的資源。

雖然您可以手動將此政策連接至 IAM 實體,但不建議這麼做。Quick Setup 會建立將此政策連接至允許 的服務角色的實體 Systems Manager 代表您執行動作。

此政策與政策無關,該SSMQuickSetupRolePolicy政策用於為AWSServiceRoleForSSMQuickSetup服務連結角色提供許可。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體管理使用 AWS CloudFormation 範本和特定 SSM 文件集建立的特定資源的關聯;使用 管理角色和角色政策,以透過 AWS CloudFormation 範本診斷和修復受管節點;以及連接和刪除 的政策 Quick Setup 生命週期事件

  • iam – 允許主體傳遞 Systems Manager 服務和 Lambda 服務的角色許可;以及傳遞診斷操作的角色許可。

  • lambda – 允許主體管理 的函數 Quick Setup 主體帳戶中使用 AWS CloudFormation 範本的生命週期。

  • cloudformation – 允許主體從中讀取資訊 AWS CloudFormation。這是必要的,因此 Quick Setup 可以收集用於管理資源狀態和 CloudFormation AWS CloudFormation 堆疊集操作的堆疊資料。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupSSMDeploymentRolePolicy

AWS 受管政策: AWSQuickSetupSSMDeploymentS3BucketRolePolicy

AWSQuickSetupSSMDeploymentS3BucketRolePolicy政策授予許可,以列出帳戶中所有 S3 儲存貯體;以及管理及擷取透過 AWS CloudFormation 範本管理之主體帳戶中特定儲存貯體的相關資訊。

您可以AWSQuickSetupSSMDeploymentS3BucketRolePolicy連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行動作。

許可詳細資訊

此政策包含以下許可。

  • s3 – 允許主體列出帳戶中的所有 S3 儲存貯體;以及管理並擷取透過 AWS CloudFormation 範本管理之主體帳戶中特定儲存貯體的相關資訊。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupSSMDeploymentS3BucketRolePolicy

AWS 受管政策: AWSQuickSetupEnableDHMCExecutionPolicy

此政策會授予管理許可,允許主體執行 AWSQuickSetupType-EnableDHMC Automation Runbook,這會啟用預設主機管理組態。預設主機管理組態設定可讓 Systems Manager 自動管理 Amazon EC2 執行個體作為受管執行個體。受管執行個體是設定為與 Systems Manager 搭配使用的 EC2 執行個體。此政策也授予許可,以建立 Systems Manager 服務設定中指定的 IAM 角色作為 的預設角色 SSM Agent.

您可以AWSQuickSetupEnableDHMCExecutionPolicy連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行動作。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體更新並取得 Systems Manager 服務設定的相關資訊。

  • iam – 允許主體建立和擷取有關 的 IAM 角色的資訊 Quick Setup 操作。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupEnableDHMCExecutionPolicy

AWS 受管政策: AWSQuickSetupEnableAREXExecutionPolicy

此政策會授予允許 Systems Manager 執行 AWSQuickSetupType-EnableAREX Automation Runbook AWS 資源總管 的管理許可,以便與 Systems Manager 搭配使用。Resource Explorer 可讓您檢視帳戶中的資源,其搜尋體驗與網際網路搜尋引擎類似。此政策也會授予管理 Resource Explorer 索引和檢視的許可。

您可以AWSQuickSetupEnableAREXExecutionPolicy連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行動作。

許可詳細資訊

此政策包含以下許可。

  • iam – 允許主體在 AWS Identity and Access Management (IAM) 服務中建立服務連結角色。

  • resource-explorer-2 – 允許主體擷取關於 Resource Explorer 檢視和索引的資訊;建立 Resource Explorer 檢視和索引;變更 中顯示的索引索引的索引類型 Quick Setup.

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupEnableAREXExecutionPolicy

AWS 受管政策: AWSQuickSetupManagedInstanceProfileExecutionPolicy

THhis 政策會授予允許 的管理許可 Systems Manager 為 建立預設的 IAM 執行個體設定檔 Quick Setup 功能,並將其連接至尚未連接執行個體設定檔的 Amazon EC2 執行個體。政策也會授予 Systems Manager 將許可附加至現有執行個體設定檔的功能。這是為了確保 所需的許可 Systems Manager 與 通訊。SSM Agent 在 EC2 執行個體上已就位。

您可以AWSQuickSetupManagedInstanceProfileExecutionPolicy連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 的服務角色 Systems Manager 代表您執行動作。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體啟動與 相關聯的自動化工作流程 Quick Setup 程序。

  • ec2 – 允許主體將 IAM 執行個體設定檔連接至由 管理的 EC2 執行個體 Quick Setup.

  • iam – 允許主體從 IAM 建立、更新和擷取在 中使用的角色資訊 Quick Setup 程序;建立 IAM 執行個體設定檔;將AmazonSSMManagedInstanceCore受管政策連接至 IAM 執行個體設定檔。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupManagedInstanceProfileExecutionPolicy

AWS 受管政策: AWSQuickSetupFullAccess

此政策會授予允許完整存取 的管理許可 AWS Systems Manager Quick Setup AWS Management Console and AWS SDKs 中的 API 動作和資料,以及對 所需的其他 AWS 服務 資源的有限存取 Quick Setup 操作。

您可以將AWSQuickSetupFullAccess政策連接至 IAM 身分。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體啟用 Explorer;在 中執行資源資料同步操作 State Manager;以及 使用 SSM Command 文件和 Automation Runbook 執行操作。

    Explorer, State Manager、文件和自動化都是 Systems Manager 的功能。

  • cloudformation – 允許主體執行在 AWS 區域 和 之間佈建資源所需的 AWS CloudFormation 操作 AWS 帳戶。

  • ec2 – 允許主體為指定的組態選取必要的參數,並在 中提供驗證 AWS Management Console。

  • iam – 允許委託人為 建立所需的服務角色和服務連結角色 Quick Setup 操作。

  • organizations – 允許主體讀取 AWS Organizations 組織中帳戶的狀態;擷取組織的結構;啟用受信任存取;以及從管理帳戶註冊委派的管理員帳戶。

  • resource-groups – 允許主體為指定的組態選取必要的參數,並在 中提供驗證 AWS Management Console。

  • s3 – 允許主體為指定的組態選取必要的參數,並在 中提供驗證 AWS Management Console。

  • ssm-quicksetup – 允許主體在 中執行唯讀動作 Quick Setup.

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupFullAccess

AWS 受管政策: AWSQuickSetupReadOnlyAccess

此政策授予唯讀許可,允許主體檢視 AWS Systems Manager Quick Setup 資料和報告,包括來自 所需的其他 AWS 服務 資源的資訊 Quick Setup 操作。

您可以將AWSQuickSetupReadOnlyAccess政策連接至 IAM 身分。

許可詳細資訊

此政策包含以下許可。

  • ssm – 允許主體讀取 SSM Command 文件和自動化 Runbook;以及擷取 的狀態 State Manager 關聯執行。

  • cloudformation – 允許主體啟動擷取 AWS CloudFormation 部署狀態所需的操作。

  • organizations – 允許主體讀取 AWS Organizations 組織中帳戶的狀態。

  • ssm-quicksetup – 允許主體在 中執行唯讀動作 Quick Setup.

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWSQuickSetupReadOnlyAccess

AWS 受管政策: AWS-SSM-Automation-DiagnosisBucketPolicy

受管政策透過允許存取用於診斷和修復問題的 S3 儲存貯體 AWS Systems Manager ,AWS-SSM-Automation-DiagnosisBucketPolicy提供診斷與服務互動之節點問題的權限。

您可以將AWS-SSM-Automation-DiagnosisBucketPolicy政策連接至 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,允許 Systems Manager 代表您執行診斷動作。

許可詳細資訊

此政策包含以下許可。

  • s3 – 允許主體存取和寫入物件至 Amazon S3 儲存貯體。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWS-SSM-Automation-DiagnosisBucketPolicy

AWS 受管政策: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy

受管政策AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy提供操作帳戶的許可,透過提供組織特定的許可來診斷節點的問題。

您可以AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy連接至 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,允許 Systems Manager 代表您執行診斷動作。

許可詳細資訊

此政策包含以下許可。

  • organizations – 允許主體列出組織的根目錄,並取得成員帳戶來確定目標帳戶。

  • sts – 允許主體擔任修復執行角色,以在相同組織中跨帳戶和區域執行 SSM Automation 文件。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWS-SSMRemediationAutomation-OperationalAccountAdministrationRolePolicy

AWS 受管政策: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy

受管政策AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy提供操作帳戶的許可,透過提供組織特定的許可來診斷節點的問題。

您可以將AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy政策連接至 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,允許 Systems Manager 代表您執行診斷動作。

許可詳細資訊

此政策包含以下許可。

  • organizations – 允許主體列出組織的根目錄,並取得成員帳戶來確定目標帳戶。

  • sts – 允許主體擔任診斷執行角色,在相同組織中跨帳戶和區域執行 SSM Automation 文件。

若要檢視政策的更多詳細資訊,包括最新版本的 JSON 政策文件,請參閱 AWS 受管政策參考指南中的 AWS-SSMDiagnosisAutomation-OperationalAccountAdministrationRolePolicy

Systems Manager 受 AWS 管政策的更新

在下表中,檢視 AWS 受管政策更新的詳細資訊 Systems Manager 自此服務於 2021 年 3 月 12 日開始追蹤這些變更以來。如需有關 Systems Manager 服務的其他受管政策的資訊,請參閱本主題Systems Manager 的其他受管政策稍後的 。如需此頁面變更的自動提醒,請訂閱 上的 RSS 摘要 Systems Manager 文件歷史記錄 頁面。

變更 描述 日期

AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy – 新政策

Systems Manager 新增了新的政策,提供操作帳戶許可,以透過提供組織特定的許可來診斷節點的問題。

2024 年 11 月 21 日

AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy – 新政策

Systems Manager 新增了新的政策,提供操作帳戶許可,以透過提供組織特定的許可來診斷節點的問題。

2024 年 11 月 21 日

AWS-SSM-Automation-DiagnosisBucketPolicy – 新政策

Systems Manager 新增了一項政策,以支援啟動自動化工作流程,以診斷目標帳戶和區域中受管節點的問題。

2024 年 11 月 21 日

AmazonSSMServiceRolePolicy – 更新現有政策

Systems Manager 新增了許可, AWS 資源總管 允許 收集 Amazon EC2 執行個體的詳細資訊,並在新的 小工具中顯示結果 Systems Manager 儀表板。

2024 年 11 月 21 日

AmazonSSMFullAccessV2 – 新政策

Systems Manager 新增了新的完整存取政策,其中包含在較新的 Systems Manager 功能中執行操作的許可。 2024 年 11 月 21 日
SSMQuickSetupRolePolicy – 更新現有政策 Systems Manager 已更新 受管政策 SSMQuickSetupRolePolicy。此更新允許相關聯的服務連結角色AWSServiceRoleForSSMQuickSetup管理資源資料同步。 2024 年 11 月 21 日
AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy – 新政策 Systems Manager 新增了新的政策,以支援啟動 Automation 工作流程,以診斷目標帳戶和區域中受管節點的問題。 2024 年 11 月 21 日
AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy – 新政策 Systems Manager 新增了新的政策,以支援啟動 Automation 工作流程,以診斷目標帳戶和區域中受管節點的問題。 2024 年 11 月 21 日
AWS-SSM-RemediationAutomation-AdministrationRolePolicy – 新政策 Systems Manager 新增了一項政策,以支援啟動 Automation 工作流程,以修復目標帳戶和區域中受管節點中的問題。 2024 年 11 月 21 日
AWS-SSM-RemediationAutomation-ExecutionRolePolicy – 新政策 Systems Manager 新增了新的政策,以支援啟動 Automation 工作流程,以修復目標帳戶和區域中受管節點中的問題。 2024 年 11 月 21 日
AWSQuickSetupSSMManageResourcesExecutionPolicy – 新政策 Systems Manager 新增了一項政策,以支援在 中執行 操作 Quick Setup 為 建立 IAM 角色 Quick Setup 關聯,而這些關聯又由AWSQuickSetupType-SSM部署建立。 2024 年 11 月 21 日
AWSQuickSetupSSMLifecycleManagementExecutionPolicy – 新政策 Systems Manager 新增了支援 的政策 Quick Setup 在 生命週期事件上執行 AWS CloudFormation 自訂資源 Quick Setup 部署。 2024 年 11 月 21 日
AWSQuickSetupSSMDeploymentRolePolicy – 新政策 Systems Manager 新增了新的政策,以支援授予允許 的管理許可 Quick Setup 建立在 Systems Manager 加入程序期間使用的資源。 2024 年 11 月 21 日
AWSQuickSetupSSMDeploymentS3BucketRolePolicy – 新政策 Systems Manager 新增了新的政策,以支援管理和擷取透過 AWS CloudFormation 範本管理之主體帳戶中特定儲存貯體的相關資訊 2024 年 11 月 21 日
AWSQuickSetupEnableDHMCExecutionPolicy – 新政策 Systems Manager 正在引入新的政策,以允許 Quick Setup 建立本身使用現有 的 IAM 角色AmazonSSMManagedEC2InstanceDefaultPolicy。此政策包含 所需的所有許可 SSM Agent 與 Systems Manager 服務通訊。新政策也允許修改 Systems Manager 服務設定。 2024 年 11 月 21 日
AWSQuickSetupEnableAREXExecutionPolicy – 新政策 Systems Manager 新增了允許 的新政策 Quick Setup 為 建立服務連結角色 AWS 資源總管,以存取 Resource Explorer 檢視和彙總器索引。 2024 年 11 月 21 日
AWSQuickSetupManagedInstanceProfileExecutionPolicy – 新政策

Systems Manager 新增了允許 的新政策 Quick Setup 以建立預設 Quick Setup 執行個體設定檔,並將其連接至任何缺少相關聯執行個體設定檔的 Amazon EC2 執行個體。此新政策也允許 Quick Setup 將許可附加至現有設定檔,以確保已授予所有必要的 Systems Manager 許可。

2024 年 11 月 21 日
AWSQuickSetupFullAccess – 新政策 Systems Manager 新增了新的政策,以允許實體完整存取 AWS Systems Manager Quick Setup AWS Management Console 和 AWS Word 中的 APISDKs 動作和資料,以及對 所需的其他 AWS 服務 資源的有限存取 Quick Setup 操作。 2024 年 11 月 21 日
AWSQuickSetupReadOnlyAccess – 新政策 Systems Manager 新增了新的政策,以授予唯讀許可,允許主體檢視 AWS Systems Manager Quick Setup 資料和報告,包括來自 所需的其他 AWS 服務 資源的資訊 Quick Setup 操作。 2024 年 11 月 21 日

SSMQuickSetupRolePolicy – 更新現有政策

Systems Manager 新增了允許 的新許可 Quick Setup 檢查其已建立之其他 AWS CloudFormation 堆疊集的運作狀態。

2024 年 8 月 13 日
AmazonSSMManagedEC2InstanceDefaultPolicy – 更新現有政策 Systems Manager 已將陳述式 IDs (Sids) 新增至 的 JSON 政策AmazonSSMManagedEC2InstanceDefaultPolicy。這些 Sid 提供每個政策陳述式目的的內嵌描述。 2024 年 7 月 18 日
SSMQuickSetupRolePolicy – 新政策 Systems Manager 新增了新的政策以允許 Quick Setup 檢查已部署資源的運作狀態,並修復偏離原始組態的執行個體。 2024 年 7 月 3 日
AWSQuickSetupDeploymentRolePolicy – 新政策 Systems Manager 已新增新政策以支援建立 IAM 角色和自動化的多種 Quick Setup 組態類型,這些組態類型反過來會使用建議的最佳實務來設定常用的 Amazon Web Services 服務和功能。 2024 年 7 月 3 日

AWSQuickSetupPatchPolicyDeploymentRolePolicy

– 新政策

Systems Manager 新增了新的政策以允許 Quick Setup 建立與 相關聯的資源 Patch Manager 修補程式政策 Quick Setup 組態。

2024 年 7 月 3 日

AWSQuickSetupPatchPolicyBaselineAccess – 新政策

Systems Manager 新增了新的政策以允許 Quick Setup 在 中存取修補程式基準 Patch Manager 具有唯讀許可。

2024 年 7 月 3 日
AWSSystemsManagerEnableExplorerExecutionPolicy – 新政策 Systems Manager 新增了新的政策以允許 Quick Setup 授予啟用 的管理許可 Explorer. 2024 年 7 月 3 日
AWSSystemsManagerEnableConfigRecordingExecutionPolicy – 新政策 Systems Manager 新增了新的政策以允許 Quick Setup 以啟用和設定 AWS Config 組態記錄。 2024 年 7 月 3 日

AWSQuickSetupDevOpsGuruPermissionsBoundary – 新政策

Systems Manager 新增了新的政策以允許 Quick Setup 以啟用和設定 Amazon DevOpsGuru。

2024 年 7 月 3 日

AWSQuickSetupDistributorPermissionsBoundary – 新政策

Systems Manager 新增了新的政策以允許 Quick Setup 以啟用和設定 Distributor,這是 的功能 AWS Systems Manager。

2024 年 7 月 3 日

AWSQuickSetupSSMHostMgmtPermissionsBoundary – 新政策

Systems Manager 新增了新的政策以允許 Quick Setup 啟用和設定 Systems Manager 功能,以安全地管理 Amazon EC2 執行個體。

2024 年 7 月 3 日

AWSQuickSetupPatchPolicyPermissionsBoundary – 新政策

Systems Manager 新增了新的政策以允許 Quick Setup 在 中啟用和設定修補程式政策 Patch Manager, 的功能 AWS Systems Manager。

2024 年 7 月 3 日

AWSQuickSetupSchedulerPermissionsBoundary – 新政策

Systems Manager 新增了新的政策以允許 Quick Setup 在 Amazon EC2 執行個體和其他資源上啟用和設定排程操作。

2024 年 7 月 3 日

AWSQuickSetupCFGCPacksPermissionsBoundary – 新政策

Systems Manager 新增了新的政策以允許 Quick Setup 部署 AWS Config 一致性套件。

2024 年 7 月 3 日

AWSSystemsManagerOpsDataSyncServiceRolePolicy – 更新現有政策

OpsCenter 已更新政策,以改善 的服務連結角色內服務碼的安全性 Explorer 來管理 OpsData 相關操作。 2023 年 7 月 3 日

AmazonSSMManagedEC2InstanceDefaultPolicy – 新政策

Systems Manager 新增了新的政策以允許 Systems Manager Amazon EC2 執行個體上的 功能,而未使用 IAM 執行個體設定檔。

2022 年 8 月 18 日

AmazonSSMService RolePolicy 更新現有政策

Systems Manager 新增了允許 的新許可 Explorer 當您從 開啟 Security Hub 時建立受管規則 Explorer 或 OpsCenter。 已新增新許可,以檢查組態和運算最佳化工具是否符合必要要求,然後再允許 OpsData。

2021 年 4 月 27 日

AWSSystemsManagerOpsDataSyncServiceRolePolicy – 新政策

Systems Manager 新增了要建立和更新的新政策 OpsItems 和來自 Security Hub 調查結果的 OpsData Explorer 以及 OpsCenter.

2021 年 4 月 27 日

AmazonSSMServiceRolePolicy – 更新現有政策

Systems Manager 新增了允許檢視彙總 OpsData 和 的許可 OpsItems 來自多個帳戶和 AWS 區域 中的詳細資訊 Explorer.

2021 年 3 月 24 日

Systems Manager 已開始追蹤變更

Systems Manager 已開始追蹤其 AWS 受管政策的變更。

2021 年 3 月 12 日

Systems Manager 的其他受管政策

除了本主題前面所述的受管政策之外,Systems Manager 也支援下列政策。