适用于 AWS Systems Manager 的 AWS 托管式策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略。
AWS 托管式策略:AmazonSSMServiceRolePolicy
此策略提供对由 AWS Systems Manager 管理或在 Systems Manager 操作中使用的许多 AWS 资源的访问权限。
您不能将 AmazonSSMServiceRolePolicy 附加到自己的 AWS Identity and Access Management(IAM)实体。此附加到服务相关角色的策略允许 AWS Systems Manager 代表您执行操作。有关更多信息,请参阅 使用角色来收集清单并查看 OpsData。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体启动和分步执行 Run Command 和自动化;检索有关 Run Command 和自动化操作的信息;检索有关 Parameter Store 参数 Change Calendar 日历的信息;更新和检索有关 OpsCenter 资源的 Systems Manager 服务设置的信息;读取有关已应用于资源的标签的信息。 -
cloudformation– 允许主体检索有关堆栈集操作和堆栈集实例的信息,并删除资源arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*上的堆栈集。允许主体删除与以下资源关联的堆栈实例:arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:type/resource/*
-
cloudwatch– 允许主体检索有关 Amazon CloudWatch 警报的信息。 -
compute-optimizer– 允许主体检索账户向 AWS Compute Optimizer 服务的注册(选择加入)状态,并检索满足特定一组规定要求的 Amazon EC2 实例的建议。 -
config– 允许主体检索 AWS Config 中的信息修复配置和配置记录器,并确定指定的 AWS Config 规则和 AWS 资源是否合规。 -
events– 允许主体检索有关 EventBridge 规则的信息;专门为 Systems Manager 服务 (ssm.amazonaws.com) 创建 EventBridge 规则和目标;以及删除资源arn:aws:events:*:*:rule/SSMExplorerManagedRule的规则和目标。 -
ec2– 允许主体检索有关 Amazon EC2 实例的信息。 -
iam– 允许主体传递 Systems Manager 服务 (ssm.amazonaws.com) 的角色权限。 -
lambda– 允许主体调用专门配置为供 Systems Manager 使用的 Lambda 函数。 -
resource-explorer-2– 允许主体检索有关 EC2 实例的数据,以确定每个实例当前是否由 Systems Manager 管理。允许对
arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*资源执行操作resource-explorer-2:CreateManagedView。 -
resource-groups– 允许主体从属于某资源组的资源的 AWS Resource Groups中检索列表资源组及其成员。 -
securityhub– 允许主体检索有关当前账户中的 AWS Security Hub 中心资源的信息。 -
states– 允许主体启动和检索专门配置为供 Systems Manager 使用的 AWS Step Functions 的信息。 -
support– 允许主体检索有关 AWS Trusted Advisor 中的检查和案例的信息。 -
tag– 允许主体检索有关位于账户的指定 AWS 区域的所有已标记或之前已标记的资源的信息。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AmazonSSMServiceRolePolicy。
AWS 托管式策略:AmazonSSMFullAccessV2
您可以将 AmazonSSMFullAccessV2 策略附加到 IAM 身份。此策略授予对 AWS Systems Manager 操作的完全访问权限。已为较新功能添加了权限,包括允许 Systems Manager 运行自动化文档以进行诊断和修复的权限。
权限详细信息
-
ssm- 允许主体访问所有 AWS Systems Manager API。 -
ssm-quicksetup- 允许主体管理其 AWS Systems Manager 快速设置功能 配置。 -
cloudformation- 允许主体读取其 Quick Setup 堆栈。 -
iam:CreateServiceLinkedRole、iam:DeleteServiceLinkedRole、iam:GetServiceLinkedRoleDeletionStatus- 允许主体管理 Systems Manager 的服务相关角色。 -
iam:GetRole- 允许主体在使用 Systems Manager 操作时检索Quick Setup角色的特定角色信息。 -
ec2:DescribeRegions- 允许 Systems Manager 确定您工作的 AWS 区域。 -
organizations- 允许主体在您的企业以组织身份加入到 Systems Manager 时读取组织结构。 -
iam:PassRole- 允许主体在开始运行自动化来诊断和修复非托管节点时将要代入的角色传递给 Systems Manager。 -
s3- 允许主体列出并获取在 Systems Manager 加入过程中创建的 Amazon S3 存储桶中的对象。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AmazonSSMV2FullAccess。
AWS 托管式策略:AmazonSSMReadOnlyAccess
您可以将 AmazonSSMReadOnlyAccess 策略附加到 IAM 身份。此策略授予对 AWS Systems Manager API 操作的只读访问权限,包括 Describe*、Get* 和 List*。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AmazonSSMReadOnlyAccess。
AWS 托管式策略:AWSSystemsManagerOpsDataSyncServiceRolePolicy
您不能将 AWSSystemsManagerOpsDataSyncServiceRolePolicy 附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 使用角色为 Explorer 创建 OpsData 和 OpsItems。
AWSSystemsManagerOpsDataSyncServiceRolePolicy 允许 AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色创建和更新来自 AWS Security Hub 调查结果的 OpsItems 及 OpsData。
除非另有说明,否则策略允许 Systems Manager 对所有相关资源("Resource": "*")完成以下操作:
-
ssm:GetOpsItem[1] -
ssm:UpdateOpsItem[1] -
ssm:CreateOpsItem -
ssm:AddTagsToResource[2] -
ssm:UpdateServiceSetting[3] -
ssm:GetServiceSetting[3] -
securityhub:GetFindings -
securityhub:GetFindings -
securityhub:BatchUpdateFindings[4]
[1] 根据 Systems Manager 服务的以下条件,仅允许执行 ssm:GetOpsItem 和 ssm:UpdateOpsItem 操作的权限。
"Condition": { "StringEquals": { "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true" } }
[2] 仅允许对以下资源执行 ssm:AddTagsToResource 操作的权限。
arn:aws:ssm:*:*:opsitem/*
[3] 仅允许对以下资源执行 ssm:UpdateServiceSetting 和 ssm:GetServiceSetting 操作的权限。
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
[4] 根据 Systems Manager 服务的以下条件,仅拒绝执行 securityhub:BatchUpdateFindings 的权限。
{ "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Confidence": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Criticality": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.Text": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.UpdatedBy": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/RelatedFindings": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Types": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.key": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.value": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/VerificationState": false } }
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSSystemsManagerOpsDataSyncServiceRolePolicy。
AWS 托管式策略:AmazonSSMManagedEC2InstanceDefaultPolicy
对于想要获得 Systems Manager 功能使用权限的 Amazon EC2 实例,您只应将 AmazonSSMManagedEC2InstanceDefaultPolicy 附加到 IAM 角色。您不应将该角色附加到其他 IAM 实体(例如 IAM 用户和 IAM 组)或用于其他目的的 IAM 角色。有关更多信息,请参阅 使用默认主机管理配置自动管理 EC2 实例。
此策略授予的权限允许您 Amazon EC2 实例上的 SSM Agent 与云中的 Systems Manager 服务进行通信以执行各种任务。它还为提供授权令牌的两个服务授予权限,以确保在正确的实例上执行操作。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体检索文档、使用 Run Command 执行命令、使用 Session Manager 建立会话、收集实例清单以及使用 Patch Manager 扫描补丁和补丁合规性的权限。 -
ssmmessages– 允许主体针对每个实例访问由 Amazon Message Gateway Service 创建的个性化授权令牌。Systems Manager 根据 API 操作中提供的实例 Amazon 资源名称(ARN)验证个性化授权令牌。此访问权限是确保 SSM Agent 在正确的实例上执行 API 操作的必要条件。 -
ec2messages– 允许主体针对每个实例访问由 Amazon Message Delivery Service 创建的个性化授权令牌。Systems Manager 根据 API 操作中提供的实例 Amazon 资源名称(ARN)验证个性化授权令牌。此访问权限是确保 SSM Agent 在正确的实例上执行 API 操作的必要条件。
有关 ssmmessages 和 ec2messages 端点的相关信息,包括两者之间的区别,请参阅 与代理相关的 API 操作(ssmmessages 和 ec2messages 端点)。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AmazonSSMManagedEC2InstanceDefaultPolicy。
AWS 托管式策略:SSMQuickSetupRolePolicy
您无法将 SSMQuickSetupRolePolicy 附加至您的 IAM 实体。此策略附加至服务相关角色,允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 使用角色来维护已配置 Quick Setup 的资源运行状况和一致性。
此策略授予只读权限,允许 Systems Manager 检查配置运行状况,确保参数和已配置资源的一致使用,并在检测到偏差时修复资源。它还授予创建服务相关角色的管理权限。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体读取 Systems Manager 中的资源数据同步和 SSM 文档信息,包括在委派管理员账户中。这是必需的,这样 Quick Setup 才能确定已配置资源的预期状态。 -
organizations– 允许主体读取属于组织的成员账户的信息,如 AWS Organizations 中所配置。这是必需的,这样 Quick Setup 才能识别组织中要执行资源运行状况检查的所有账户。 -
cloudformation– 允许主体从 AWS CloudFormation 中读取信息。这是必需的,这样 Quick Setup 才能收集有关用于管理资源状态和 CloudFormation 堆栈集操作的 AWS CloudFormation 堆栈的数据。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 SSMQuickSetupRolePolicy。
AWS 托管式策略:AWSQuickSetupDeploymentRolePolicy
托管式策略 AWSQuickSetupDeploymentRolePolicy 支持多种 Quick Setup 配置类型。这些配置类型创建 IAM 角色和自动化,以配置常用 Amazon Web Services 服务和功能,并提供建议的最佳实践。
您可以将 AWSQuickSetupDeploymentRolePolicy 附加到 IAM 实体。
此策略授予创建与以下 Quick Setup 配置关联的资源所需的管理权限:
权限详细信息
该策略包含以下权限。
-
iam– 允许主体管理和删除自动化配置任务所需的 IAM 角色;以及管理自动化角色策略。 -
cloudformation– 允许主体创建和管理堆栈集。 -
config– 允许主体创建、托管和删除一致性包。 -
events– 允许主体创建、更新和删除计划操作的事件规则。 -
resource-groups– 允许主体检索与 Quick Setup 配置所针对的资源组关联的资源查询。 -
ssm– 允许主体创建应用 Quick Setup 配置的自动化运行手册和关联。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupDeploymentRolePolicy。
AWS 托管式策略:AWSQuickSetupPatchPolicyDeploymentRolePolicy
托管式策略 AWSQuickSetupPatchPolicyDeploymentRolePolicy 支持 使用 Quick Setup 为组织中的实例配置补丁 Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
您可以将 AWSQuickSetupPatchPolicyDeploymentRolePolicy 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许 Quick Setup 创建与补丁策略配置关联的资源。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体管理和删除自动化配置任务所需的 IAM 角色;以及管理自动化角色策略。 -
cloudformation– 允许主体读取 AWS CloudFormation 堆栈信息;并控制由 Quick Setup 使用 AWS CloudFormation 堆栈集创建的 AWS CloudFormation 堆栈。 -
ssm– 允许主体创建、更新、读取和删除配置任务所需的自动化运行手册;以及创建、更新和删除 State Manager 关联。
-
resource-groups– 允许主体检索与 Quick Setup 配置所针对的资源组关联的资源查询。
-
s3– 允许主体列出 Amazon S3 存储桶;以及管理用于存储补丁策略访问日志的存储桶。 -
lambda– 允许主体管理 AWS Lambda 修复功能,将配置保持在正确的状态。 -
logs– 允许主体为 Lambda 配置资源描述和管理日志组。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupPatchPolicyDeploymentRolePolicy。
AWS 托管式策略:AWSQuickSetupPatchPolicyBaselineAccess
托管式策略 AWSQuickSetupPatchPolicyBaselineAccess 支持 使用 Quick Setup 为组织中的实例配置补丁 Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
您可以将 AWSQuickSetupPatchPolicyBaselineAccess 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略提供只读权限,允许访问由当前 AWS 账户 或组织中的管理员使用 Quick Setup 配置的补丁基准。补丁基准存储在 Amazon S3 存储桶中,可用于修补单个账户或整个组织中的实例。
权限详细信息
此策略包含以下权限。
-
s3– 允许主体读取 Amazon S3 存储桶中存储的补丁基准覆盖。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupPatchPolicyBaselineAccess。
AWS 托管式策略:AWSSystemsManagerEnableExplorerExecutionPolicy
托管式策略 AWSSystemsManagerEnableExplorerExecutionPolicy 支持启用 Explorer,其为 AWS Systems Manager 的一项功能。
您可以将 AWSSystemsManagerEnableExplorerExecutionPolicy 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,以便启用 Explorer。这包括更新相关 Systems Manager 服务设置和为 Systems Manager 创建服务相关角色的权限。
权限详细信息
该策略包含以下权限。
-
config– 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。 -
iam– 允许主体帮助启用 Explorer。 -
ssm– 允许主体启动启用 Explorer 的自动化工作流。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管是策略参考指南》中的 AWSSystemsManagerEnableExplorerExecutionPolicy。
AWS 托管式策略:AWSSystemsManagerEnableConfigRecordingExecutionPolicy
托管式策略 AWSSystemsManagerEnableConfigRecordingExecutionPolicy 支持 使用 Quick Setup 创建 AWS Config 配置记录器 Quick Setup 配置类型。使用此配置类型,Quick Setup 可以跟踪和记录对为 AWS Config 选择的 AWS 资源类型的更改。它还可让 Quick Setup 为记录的数据配置传送和通知选项。
您可以将 AWSSystemsManagerEnableConfigRecordingExecutionPolicy 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许Quick Setup 启用和配置 AWS Config 配置记录。
权限详细信息
该策略包含以下权限。
-
s3– 允许主体创建和配置 Amazon S3 存储桶以交付配置记录。 -
sns- 允许主体列出并创建 Amazon SNS 主题。 -
config– 允许主体配置和启动配置记录器;并帮助启用 Explorer。 -
iam– 允许主体为 AWS Config 创建、获取和传递服务相关角色;为 Systems Manager 创建服务相关角色;以及帮助启用 Explorer。 -
ssm– 允许主体启动启用 Explorer 的自动化工作流。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSSystemsManagerEnableConfigRecordingExecutionPolicy。
AWS 托管式策略:AWSQuickSetupDevOpsGuruPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupDevOpsGuruPermissionsBoundary 支持 使用 Quick Setup 设置 DevOps Guru 类型。配置类型支持由机器学习助力的 Amazon DevOps Guru。DevOps Guru 服务可以帮助提高应用程序的运行性能和可用性。
当您使用 Quick Setup 创建 AWSQuickSetupDevOpsGuruPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 启用和配置 Amazon DevOps Guru。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体为 DevOps Guru 和 Systems Manager 创建服务相关角色;以及列出帮助启用 Explorer 的角色。 -
cloudformation– 允许主体列出并描述 AWS CloudFormation 堆栈。 -
sns– 允许主体列出并创建 Amazon SNS 主题。 -
devops-guru– 允许主体配置 DevOps Guru;以及添加通知渠道。 -
config– 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。 -
ssm– 允许主体启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupDevOpsGuruPermissionsBoundary。
AWS 托管式策略:AWSQuickSetupDistributorPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupDistributorPermissionsBoundary 支持 使用 Quick Setup 部署 Distributor 软件包 Quick Setup 配置类型。此配置类型有助于使用 Distributor(AWS Systems Manager 的一种功能)将软件包(例如代理)分发至您的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。
当您使用 Quick Setup 创建 AWSQuickSetupDistributorPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
该策略授予管理权限,允许 Quick Setup 使用 Distributor 将软件包(例如代理)分发至您的 Amazon EC2 实例。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体获取和传递 Distributor 自动化角色;创建、读取、更新和删除默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;将实例管理策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关 IAM 角色和实例配置文件的信息;以及创建默认实例配置文件。 -
ec2– 允许主体将默认实例配置文件与 EC2 实例关联起来;以及帮助启用 Explorer。 -
ssm– 允许主体启动配置实例和安装软件包的自动化工作流;帮助启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。 -
config– 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupDistributorPermissionsBoundary。
AWS 托管式策略:AWSQuickSetupSSMHostMgmtPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupSSMHostMgmtPermissionsBoundary 支持 使用 Quick Setup 设置 Amazon EC2 主机管理 Quick Setup 配置类型。此配置类型用于配置 IAM 角色并启用常用的 Systems Manager 功能来安全地管理您的 Amazon EC2 实例。
当您使用 Quick Setup 创建 AWSQuickSetupSSMHostMgmtPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 启用和配置安全管理 EC2 实例所需的 Systems Manager 功能。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体获取服务角色并将其传递给自动化。允许主体创建、读取、更新和删除默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;将实例管理策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关 IAM 角色和实例配置文件的信息;以及创建默认实例配置文件。 -
ec2– 允许主体将默认实例配置文件与 EC2 实例关联和取消关联。 -
ssm– 允许主体启动启用 Explorer 的自动化工作流;读取和更新 Explorer 服务设置;配置实例;以及在实例上启用 Systems Manager 功能。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupSSMHostMgmtPermissionsBoundary。
AWS 托管式策略:AWSQuickSetupPatchPolicyPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupPatchPolicyPermissionsBoundary 支持 使用 Quick Setup 为组织中的实例配置补丁 Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
当您使用 Quick Setup 创建 AWSQuickSetupPatchPolicyPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 在 Patch Manager(AWS Systems Manager 的一项功能)中启用和配置补丁策略。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体获得 Patch Manager 自动化角色;将自动化角色传递给 Patch Manager 修补操作;创建默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;AmazonSSMRoleForInstancesQuickSetup;将选定的 AWS 托管式策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关实例配置文件和角色的信息;创建默认实例配置文件;以及标记有权读取补丁基准覆盖的角色。 -
ssm– 允许主体更新由 Systems Manager 管理的实例角色;管理由 Quick Setup 中创建的 Patch Manager 补丁策略创建的关联;标记补丁策略配置所针对的实例;读取有关实例和修补状态的信息;启动配置、启用和修复实例补丁的自动化工作流;启动启用 Explorer 的自动化工作流;帮助启用 Explorer;以及读取和更新 Explorer 服务设置。 -
ec2– 允许主体将默认实例配置文件与 EC2 实例关联和取消关联;标记补丁策略配置所针对的实例;标记补丁策略配置所针对的实例;以及帮助启用 Explorer。 -
s3– 允许主体创建和配置 S3 存储桶以存储补丁基准覆盖。 -
lambda– 允许主体调用配置补丁的 AWS Lambda 函数,并在删除 Quick Setup 补丁策略配置后执行清理操作。 -
logs– 允许主体为 Patch Manager Quick Setup AWS Lambda 函数配置日志记录。 -
config– 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupPatchPolicyPermissionsBoundary。
AWS 托管式策略:AWSQuickSetupSchedulerPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupSchedulerPermissionsBoundary 支持 按计划使用 Quick Setup 自动停止和启动 EC2 实例 Quick Setup 配置类型。此配置类型允许您在指定的时间停止和启动 EC2 实例和其他资源。
当您使用 Quick Setup 创建 AWSQuickSetupSchedulerPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 在 EC2 实例和其他资源上启用和配置计划操作。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体检索和传递实例管理自动化操作的角色;管理、传递和附加用于 EC2 实例管理的默认实例角色;创建默认实例配置文件;向实例配置文件添加默认实例角色;为 Systems Manager 创建服务相关角色;读取有关 IAM 角色和实例配置文件的信息;将默认实例配置文件与 EC2 实例关联;以及启动自动化工作流以配置实例并在实例上启用 Systems Manager 功能。 -
ssm– 允许主体启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。 -
ec2 – 允许主体找到目标实例并按计划启动和停止它们。
-
config– 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。 -
compute-optimizer– 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。 -
support— 允许主体通过提供对账户 AWS Trusted Advisor 检查的只读访问权限来帮助启用 Explorer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupSchedulerPermissionsBoundary。
AWS 托管式策略:AWSQuickSetupCFGCPacksPermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
托管式策略 AWSQuickSetupCFGCPacksPermissionsBoundary 支持 使用 Quick Setup 部署 AWS Config 一致性包 Quick Setup 配置类型。此配置类型部署 AWS Config 一致性包。一致性包是一系列 AWS Config 规则和补救措施,这些规则和补救措施可以作为单个实体进行部署。
当您使用 Quick Setup 创建 AWSQuickSetupCFGCPacksPermissionsBoundary 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 部署 AWS Config 一致性包。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体为 AWS Config 创建、获取和传递服务相关角色。 -
sns– 允许主体在 Amazon SNS 中列出平台应用程序。 -
config– 允许主体部署 AWS Config 一致性包;获取一致性包的状态;以及获取有关配置记录器的信息。 -
ssm– 允许主体获取有关 SSM 文档和自动化工作流的信息;获取有关资源标签的信息;以及获取相关信息和更新服务设置。 -
compute-optimizer– 允许主体获取账户的选择加入状态。 -
support– 允许主体获取有关 AWS Trusted Advisor 检查的信息。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupCFGCPacksPermissionsBoundary。
AWS 托管式策略:AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
策略 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy 通过在管理节点的账户和区域中启动自动化工作流,提供诊断与 Systems Manager 服务交互的节点中问题的权限。
您可以将 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy 附加到您的 IAM 实体。Systems Manager 还会将此策略附加到一个服务角色,以允许 Systems Manager 代表您执行诊断操作。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体运行自动化运行手册来诊断节点问题并访问工作流的执行状态。 -
kms– 允许主体使用客户指定的用于加密 S3 存储桶中的对象的 AWS Key Management Service 密钥来解密和访问存储桶中对象的内容。 -
sts– 允许主体代入诊断执行角色,以在同一帐户中运行自动化运行手册。 -
iam– 允许主体将诊断管理角色(例如,自我)传递给 Systems Manager 以运行自动化运行手册。 -
s3– 允许主体访问并将对象写入 S3 存储桶。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy。
AWS 托管式策略:AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
托管式策略 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy 提供在目标 AWS 账户和区域中运行自动化运行手册的管理权限,以诊断与 Systems Manager 服务交互的托管节点的问题。
您可以将 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体运行特定于诊断的自动化运行手册并访问自动化工作流状态和执行元数据。 -
ec2– 允许主体描述 Amazon EC2 和 Amazon VPC 资源及其配置,以诊断 Systems Manager 服务的问题。 -
kms– 允许主体使用客户指定的用于加密 S3 存储桶中的对象的 AWS Key Management Service 密钥来解密和访问存储桶中对象的内容。 -
iam– 允许主体将诊断执行角色(例如,自我)传递给 Systems Manager 以运行自动化文档。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy。
AWS 托管式策略:AWS-SSM-RemediationAutomation-AdministrationRolePolicy
托管式策略 AWS-SSM-RemediationAutomation-AdministrationRolePolicy 通过在管理节点的账户和区域中启动自动化工作流,提供修复与 Systems Manager 服务交互的托管节点中问题的权限。
您可以将此策略附加到您的 IAM 实体。Systems Manager 还会将此策略附加到一个服务角色,以允许 Systems Manager 代表您执行修复操作。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体运行特定自动化运行手册并访问自动化工作流状态和执行状态。 -
kms– 允许主体使用客户指定的用于加密 S3 存储桶中的对象的 AWS Key Management Service 密钥来解密和访问存储桶中对象的内容。 -
sts– 允许主体代入修复执行角色,以在同一帐户中运行 SSM 自动化文档。 -
iam– 允许主体将修复管理员角色(例如,自我)传递给 Systems Manager 以运行自动化文档。 -
s3– 允许主体访问并将对象写入 S3 存储桶。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWS-SSM-RemediationAutomation-AdministrationRolePolicy。
AWS 托管式策略:AWS-SSM-RemediationAutomation-ExecutionRolePolicy
托管式策略 AWS-SSM-RemediationAutomation-ExecutionRolePolicy 提供在特定目标账户和区域中运行自动化运行手册的权限,以修复与 Systems Manager 服务交互的托管节点的问题。
您可以将该策略附加到您的 IAM 实体。Systems Manager 还会将此策略附加到一个服务角色,以允许 Systems Manager 代表您执行修复操作。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体运行特定自动化运行手册并访问执行元数据和状态。 -
ec2– 允许主体创建、访问和修改 Amazon EC2 资源和 Amazon VPC 资源及其配置,以修复 Systems Manager 服务和关联的资源(例如安全组)的问题;并将标签附加到资源。 -
kms– 允许主体使用客户指定的用于加密 S3 存储桶中的对象的 AWS Key Management Service 密钥来解密和访问存储桶中对象的内容。 -
iam– 允许主体将修复执行角色(例如,自我)传递给 SSM 服务以运行自动化文档。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWS-SSM-RemediationAutomation-ExecutionRolePolicy。
AWS 托管式策略:AWSQuickSetupSSMManageResourcesExecutionPolicy
此策略授予允许Quick Setup运行 AWSQuickSetupType-SSM-SetupResources 自动化运行手册的权限。此运行手册会为Quick Setup关联创建 IAM 角色,而这些角色又由 AWSQuickSetupType-SSM 部署创建。它还授予在Quick Setup删除操作期间清理关联的 Amazon S3 存储桶的权限。
您可以将该策略附加到您的 IAM 实体。Systems Manager 还会将此策略附加到一个服务角色,以允许 Systems Manager 代表您执行操作。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体列出和管理用于Quick Setup Systems Manager Explorer 操作的 IAM 角色;查看、附加和分离用于Quick Setup和 Systems Manager Explorer 的 IAM 策略。需要这些权限,Quick Setup才能创建其某些配置操作所需的角色。 -
s3– 允许主体在主体帐户中检索有关 Amazon S3 存储桶中对象的信息,并从中删除专门用于Quick Setup配置操作的对象。这是必需的,以便可以移除配置后不再需要的 S3 对象。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupSSMManageResourcesExecutionPolicy。
AWS 托管式策略:AWSQuickSetupSSMLifecycleManagementExecutionPolicy
AWSQuickSetupSSMLifecycleManagementExecutionPolicy 策略授予管理权限,允许Quick Setup在 Systems Manager 中的Quick Setup部署期间对生命周期事件运行 AWS CloudFormation 自定义资源。
您可以将此策略附加到您的 IAM 实体。Systems Manager 还会将此策略附加到一个服务角色,以允许 Systems Manager 代表您执行操作。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体获取有关自动化执行的信息并启动自动化执行以设置某些Quick Setup操作。 -
iam– 允许主体从 IAM 传递角色来设置某些Quick Setup资源。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupSSMLifecycleManagementExecutionPolicy。
AWS 托管式策略:AWSQuickSetupSSMDeploymentRolePolicy
托管式策略 AWSQuickSetupSSMDeploymentRolePolicy 授予管理权限,允许Quick Setup创建在 Systems Manager 加入过程中使用的资源。
虽然您可以手动将此策略附加到您的 IAM 实体,但不建议这样做。Quick Setup会创建实体来将此策略附加到一个服务角色,从而允许 Systems Manager 代表您执行操作。
此策略与 SSMQuickSetupRolePolicy 策略无关,后者用于为 AWSServiceRoleForSSMQuickSetup 服务相关角色提供权限。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体管理使用 AWS CloudFormation 模板和一组特定的 SSM 文档创建的某些资源的关联;管理用于通过 AWS CloudFormation 模板诊断和修复托管节点的角色和角色策略;以及附加和删除Quick Setup生命周期事件的策略 -
iam– 允许主体传递 Systems Manager 服务和 Lambda 服务的角色权限;并传递诊断操作的角色权限。 -
lambda– 允许主体使用 AWS CloudFormation 模板管理主体账户中的Quick Setup生命周期的功能。 -
cloudformation– 允许主体从 AWS CloudFormation 中读取信息。这是必需的,这样 Quick Setup 才能收集有关用于管理资源状态和 CloudFormation 堆栈集操作的 AWS CloudFormation 堆栈的数据。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupSSMDeploymentRolePolicy。
AWS 托管式策略:AWSQuickSetupSSMDeploymentS3BucketRolePolicy
AWSQuickSetupSSMDeploymentS3BucketRolePolicy 策略授予以下权限:列出账户中的所有 S3 存储桶;以及管理和检索有关通过 AWS CloudFormation 模板管理的主体账户中特定存储桶的信息。
您可以将 AWSQuickSetupSSMDeploymentS3BucketRolePolicy 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
权限详细信息
该策略包含以下权限。
-
s3– 允许主体列出账户中的所有 S3 存储桶;以及管理和检索有关通过 AWS CloudFormation 模板管理的主体账户中特定存储桶的信息。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupSSMDeploymentS3BucketRolePolicy。
AWS 托管式策略:AWSQuickSetupEnableDHMCExecutionPolicy
此策略授予管理权限,允许主体运行 AWSQuickSetupType-EnableDHMC 自动化运行手册,从而启用默认主机管理配置。默认主机管理配置设置允许 Systems Manager 自动将 Amazon EC2 实例作为托管实例进行管理。托管实例是一个配置为与 Systems Manager 一起使用的 EC2 实例。此策略还授予创建 IAM 角色的权限,这些角色在 Systems Manager 服务设置中指定为 SSM Agent 的默认角色。
您可以将 AWSQuickSetupEnableDHMCExecutionPolicy 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体更新并获取有关 Systems Manager 服务设置的信息。 -
iam– 允许主体创建和检索有关Quick Setup操作的 IAM 角色的信息。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupEnableDHMCExecutionPolicy。
AWS 托管式策略:AWSQuickSetupEnableAREXExecutionPolicy
此策略授予管理权限来允许 Systems Manager 运行 AWSQuickSetupType-EnableAREX 自动化运行手册,从而使 AWS 资源探索器能够与 Systems Manager 一起使用。资源探索器让您能够通过类似于 Internet 搜索引擎的搜索体验来查看您账户中的资源。该策略还会授予管理资源探索器索引和视图的权限。
您可以将 AWSQuickSetupEnableAREXExecutionPolicy 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
权限详细信息
该策略包含以下权限。
-
iam– 允许主体在 AWS Identity and Access Management (IAM) 服务中创建服务相关角色。 -
resource-explorer-2– 允许主体检索有关资源探索器视图和索引的信息;创建资源探索器视图和索引;更改Quick Setup中显示的索引的索引类型。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupEnableAREXExecutionPolicy。
AWS 托管式策略:AWSQuickSetupManagedInstanceProfileExecutionPolicy
此策略授予管理权限来允许 Systems Manager 为Quick Setup功能创建默认 IAM 实例配置文件,并将其附加到尚未附加实例配置文件的 Amazon EC2 实例。该策略还授予 Systems Manager 将权限附加到现有实例配置文件的能力。这样做是为了确保 Systems Manager 与 EC2 实例上的 SSM Agent 通信所需的权限就绪。
您可以将 AWSQuickSetupManagedInstanceProfileExecutionPolicy 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体启动与Quick Setup过程关联的自动化工作流。 -
ec2– 允许主体将 IAM 实例配置文件附加到由Quick Setup管理的 EC2 实例。 -
iam– 允许主体从 IAM 创建、更新和检索有关在Quick Setup过程中使用的角色的信息;创建 IAM 实例配置文件;将AmazonSSMManagedInstanceCore托管式策略附加到 IAM 实例配置文件。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupManagedInstanceProfileExecutionPolicy。
AWS 托管式策略:AWSQuickSetupFullAccess
此策略授予管理权限来允许完全访问 AWS Management Console和 AWS SDK 中的 AWS Systems Manager Quick Setup API 操作和数据,以及有限访问Quick Setup操作所需的其他 AWS 服务资源。
您可以将 AWSQuickSetupFullAccess 策略附加到 IAM 身份。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体启用 Explorer;在State Manager中执行资源数据同步操作;以及使用 SSM 命令文档和自动化运行手册执行操作。Explorer、State Manager、文档和自动化都是 Systems Manager 的功能。
-
cloudformation– 允许主体执行跨 AWS 区域和 AWS 账户预置资源所需的 AWS CloudFormation 操作。 -
ec2– 允许主体选择给定配置的必要参数,并在 AWS Management Console中提供验证。 -
iam– 允许主体创建Quick Setup操作所需的服务角色和服务相关角色。 -
organizations– 允许主体读取 AWS Organizations 组织中的账户状态;检索组织的结构;启用可信访问;以及从管理账户注册委派管理员账户。 -
resource-groups– 允许主体选择给定配置的必要参数,并在 AWS Management Console中提供验证。 -
s3– 允许主体选择给定配置的必要参数,并在 AWS Management Console中提供验证。 -
ssm-quicksetup– 允许主体在Quick Setup中执行只读操作。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupFullAccess。
AWS 托管式策略:AWSQuickSetupReadOnlyAccess
此策略授予只读权限,允许主体查看 AWS Systems Manager Quick Setup数据和报告,包括Quick Setup操作所需的其他 AWS 服务资源的信息。
您可以将 AWSQuickSetupReadOnlyAccess 策略附加到 IAM 身份。
权限详细信息
该策略包含以下权限。
-
ssm– 允许主体读取 SSM 命令文档和自动化运行手册;以及检索State Manager关联执行的状态。 -
cloudformation– 允许主体启动检索 AWS CloudFormation 部署状态所需的操作。 -
organizations– 允许主体读取 AWS Organizations 组织中的账户状态。 -
ssm-quicksetup– 允许主体在Quick Setup中执行只读操作。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWSQuickSetupReadOnlyAccess。
AWS 托管式策略:AWS-SSM-Automation-DiagnosisBucketPolicy
托管式策略 AWS-SSM-Automation-DiagnosisBucketPolicy 通过允许访问用于诊断和修复问题的 S3 存储桶,提供诊断与 AWS Systems Manager 服务交互的节点的问题的权限。
您可以将 AWS-SSM-Automation-DiagnosisBucketPolicy 策略附加到 IAM 身份。Systems Manager 还会将此策略附加到 IAM 角色,以允许 Systems Manager 代表您执行诊断操作。
权限详细信息
该策略包含以下权限。
-
s3– 允许主体访问并将对象写入 Amazon S3 存储桶。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWS-SSM-Automation-DiagnosisBucketPolicy。
AWS 托管式策略:AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
托管式策略 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy 通过提供组织特定的权限,为操作账户提供诊断节点问题的权限。
您可以将 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy 附加到您的 IAM 身份。Systems Manager 还会将此策略附加到 IAM 角色,以允许 Systems Manager 代表您执行诊断操作。
权限详细信息
该策略包含以下权限。
-
organizations– 允许主体列出组织的根,并获取成员账户以确定目标账户。 -
sts– 允许主体代入修复执行角色,以在同一组织内跨账户和区域运行 SSM 自动化文档。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy。
AWS 托管式策略:AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
托管式策略 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy 通过提供组织特定的权限来为操作账户提供诊断节点问题的权限。
您可以将 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy 策略附加到 IAM 身份。Systems Manager 还会将此策略附加到 IAM 角色,以允许 Systems Manager 代表您执行诊断操作。
权限详细信息
该策略包含以下权限。
-
organizations– 允许主体列出组织的根,并获取成员账户以确定目标账户。 -
sts– 允许主体代入诊断执行角色,以在同一组织内跨账户和区域运行 SSM 自动化文档。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS 托管式策略参考指南》中的 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy。
Systems Manager 更新了 AWS 托管式策略
在下表中,查看自该服务于 2021 年 3 月 12 日开始跟踪这些更改以来,有关 Systems Manager 的 AWS 托管策略更新的详细信息。有关 Systems Manager 服务的其他托管策略的信息,请参阅本主题后面的 Systems Manager 的其他托管策略。要获得有关此页面更改的自动提示,请订阅 Systems Manager 文档历史记录 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy - 新策略 |
Systems Manager 添加了一项新策略,通过提供组织特定的权限来为操作账户提供诊断节点问题的权限。 |
2024 年 11 月 21 日 |
|
AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy:新策略 |
Systems Manager 添加了一项新策略,通过提供组织特定的权限来为操作账户提供诊断节点问题的权限。 |
2024 年 11 月 21 日 |
|
Systems Manager 添加了一项新策略来支持启动自动化工作流,从而诊断目标账户和区域中的托管节点的问题。 |
2024 年 11 月 21 日 | |
|
AmazonSSMServiceRolePolicy – 更新到现有策略 |
Systems Manager 添加了新的权限,允许 AWS 资源探索器收集有关 Amazon EC2 实例的详细信息并在新 Systems Manager 控制面板的小组件中显示结果。 |
2024 年 11 月 21 日 |
| Systems Manager 添加了一个新的完全访问策略,其中包括在较新的 Systems Manager 功能中执行操作的权限。 | 2024 年 11 月 21 日 | |
| SSMQuickSetupRolePolicy – 更新到现有策略 | Systems Manager 已更新托管式策略 SSMQuickSetupRolePolicy。此更新允许关联的服务相关角色 AWSServiceRoleForSSMQuickSetup 管理资源数据同步。 |
2024 年 11 月 21 日 |
| AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy :新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而诊断目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy:新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而诊断目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| AWS-SSM-RemediationAutomation-AdministrationRolePolicy:新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而修复目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| AWS-SSM-RemediationAutomation-ExecutionRolePolicy:新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而修复目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| AWSQuickSetupSSMManageResourcesExecutionPolicy:新策略 | Systems Manager 添加了一项新策略来支持在Quick Setup中运行操作,该操作会为Quick Setup关联创建 IAM 角色,而这些角色又由 AWSQuickSetupType-SSM 部署创建。 |
2024 年 11 月 21 日 |
| AWSQuickSetupSSMLifecycleManagementExecutionPolicy:新策略 | ystems Manager 添加了一项新策略来支持Quick Setup在Quick Setup部署期间对生命周期事件运行 AWS CloudFormation 自定义资源。 | 2024 年 11 月 21 日 |
| AWSQuickSetupSSMDeploymentRolePolicy:新策略 | Systems Manager 添加了一项新策略来支持授予管理权限,允许Quick Setup创建为 Systems Manager 加入过程中使用的资源。 | 2024 年 11 月 21 日 |
| AWSQuickSetupSSMDeploymentS3BucketRolePolicy:新策略 | Systems Manager 添加了一项新策略来支持管理和检索有关通过 AWS CloudFormation 模板管理的主体账户中特定存储桶的信息 | 2024 年 11 月 21 日 |
| AWSQuickSetupEnableDHMCExecutionPolicy:新策略 | Systems Manager 正在推出一项新策略来允许Quick Setup创建一个 IAM 角色,该角色本身使用现有的 AmazonSSMManagedEC2InstanceDefaultPolicy。此策略包含 SSM Agent 与 Systems Manager 服务通信所需的所有权限。该新策略还允许修改 Systems Manager 服务设置。 | 2024 年 11 月 21 日 |
| AWSQuickSetupEnableAREXExecutionPolicy:新策略 | Systems Manager 添加了一项新策略来允许Quick Setup为 AWS 资源探索器创建服务相关角色,用于访问资源探索器视图和聚合器索引。 | 2024 年 11 月 21 日 |
| AWSQuickSetupManagedInstanceProfileExecutionPolicy:新策略 |
Systems Manager 添加了一项新策略来允许Quick Setup创建默认Quick Setup实例配置文件,并将其附加到任何缺少关联实例配置文件的 Amazon EC2 实例。此新策略还允许Quick Setup将权限附加到现有配置文件,以确保已授予所有必需的 Systems Manager 权限。 |
2024 年 11 月 21 日 |
| AWSQuickSetupFullAccess:新策略 | Systems Manager 添加了一项新策略,允许实体完全访问 AWS Systems Manager Quick Setup和 AWS SDK 中的 AWS Management Console API 操作和数据,以及有限访问Quick Setup操作所需的其他 AWS 服务资源。 | 2024 年 11 月 21 日 |
| AWSQuickSetupReadOnlyAccess:新策略 | Systems Manager 添加了一项新策略以授予只读权限,允许主体查看 AWS Systems Manager Quick Setup数据和报告,包括Quick Setup操作所需的其他 AWS 服务资源的信息。 | 2024 年 11 月 21 日 |
|
SSMQuickSetupRolePolicy – 更新到现有策略 |
Systems Manager 增加了新的权限,以允许 Quick Setup 检查其创建的其他 AWS CloudFormation 堆栈集的运行状况。 |
2024 年 8 月 13 日 |
| AmazonSSMManagedEC2InstanceDefaultPolicy – 更新到现有策略 | Systems Manager 已针对 AmazonSSMManagedEC2InstanceDefaultPolicy 向 JSON 策略添加语句 ID(Sid)。这些 Sid 针对每条策略语句的目的提供内联描述。 |
2024 年 7 月 18 日 |
| SSMQuickSetupRolePolicy:新策略 | Systems Manager 添加了新策略,允许 Quick Setup 检查已部署的资源的运行状况并修复偏离原始配置的实例。 | 2024 年 7 月 3 日 |
| AWSQuickSetupDeploymentRolePolicy:新策略 | Systems Manager 添加了新策略以支持多种快速设置配置类型,这些配置类型可创建 IAM 角色和自动化,进而使用推荐的最佳实践配置常用的 Amazon Web Services 服务和功能。 | 2024 年 7 月 3 日 |
|
AWSQuickSetupPatchPolicyDeploymentRolePolicy – 新策略 |
Systems Manager 添加了新策略,允许 Quick Setup 创建与 Patch Manager 补丁策略 Quick Setup 配置关联的资源。 |
2024 年 7 月 3 日 |
|
Systems Manager 添加了新策略,允许 Quick Setup 以只读权限访问 Patch Manager 中的补丁基准。 |
2024 年 7 月 3 日 | |
| AWSSystemsManagerEnableExplorerExecutionPolicy – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 授予启用 Explorer 的管理权限。 | 2024 年 7 月 3 日 |
| AWSSystemsManagerEnableConfigRecordingExecutionPolicy – 新策略 | Systems Manager 添加了允许 Quick Setup 启用和配置 AWS Config 配置记录的新策略。 | 2024 年 7 月 3 日 |
|
Systems Manager 添加了新策略,允许 Quick Setup 启用和配置 Amazon DevOps Guru。 |
2024 年 7 月 3 日 | |
|
Systems Manager 添加了允许 Quick Setup 启用和配置 Distributor(AWS Systems Manager 的一项功能)的新策略。 |
2024 年 7 月 3 日 | |
|
Systems Manager 添加了新策略,允许 Quick Setup 启用和配置 Systems Manager 功能,从而安全地管理 Amazon EC2 实例。 |
2024 年 7 月 3 日 | |
|
Systems Manager 添加了允许 Quick Setup 在 Patch Manager(AWS Systems Manager 的一项功能)中启用和配置补丁策略。 |
2024 年 7 月 3 日 | |
|
Systems Manager 添加了新策略,允许 Quick Setup 在 Amazon EC2 实例和其他资源上启用和配置计划操作。 |
2024 年 7 月 3 日 | |
|
Systems Manager 添加了允许 Quick Setup 部署 AWS Config 一致性包的新策略。 |
2024 年 7 月 3 日 | |
| OpsCenter 更新了策略,以提高 Explorer 管理 OpsData 相关操作的服务相关角色内服务代码的安全性。 | 2023 年 7 月 3 日 | |
|
Systems Manager 添加了新策略,允许 Amazon EC2 实例上的 Systems Manager 功能,而不使用 IAM 实例配置文件。 |
2022 年 8 月 18 日 | |
|
AmazonSSMServiceRolePolicy – 更新到现有策略 |
Systems Manager 添加了新的权限,允许 Explorer 在您从 Explorer 或 OpsCenter 启用 Security Hub 时创建托管规则。添加了新的权限,以便在允许 OpsData 之前检查 config 和 compute-optimizer 是否满足必需的要求。 |
2021 年 4 月 27 日 |
|
Systems Manager 添加了新策略,用于从 Explorer 和 OpsCenter 中的 Security Hub 调查结果创建并更新 OpsItems 及 OpsData。 |
2021 年 4 月 27 日 | |
|
|
Systems Manager 添加了新的权限,允许在 Explorer 中查看多个账户和 AWS 区域 的聚合 OpsData 及 OpsItems 详细信息。 |
2021 年 3 月 24 日 |
|
Systems Manager 已开启跟踪更改 |
Systems Manager 为其 AWS 托管式策略开启了跟踪更改。 |
2021 年 3 月 12 日 |
Systems Manager 的其他托管策略
除了本主题前面介绍的托管策略外,Systems Manager 还支持以下策略。
-
AmazonSSMAutomationApproverAccess– 允许访问以查看自动化执行并将批准决策发送到等待批准的自动化的 AWS 托管策略。 -
AmazonSSMAutomationRole– 为 Systems Manager 自动化服务提供权限,以运行在自动化运行手册中定义的活动的 AWS 托管策略。将此策略分配给管理员和可信高级用户。 -
AmazonSSMDirectoryServiceAccess– 允许 SSM Agent 代表用户访问 AWS Directory Service 以处理托管式节点加入域的请求的 AWS 托管策略。 -
AmazonSSMFullAccess– 授予 Systems Manager API 和文档完全访问权限的 AWS 托管策略。 -
AmazonSSMMaintenanceWindowRole– 为维护时段提供 Systems Manager API 权限的 AWS 托管策略。 -
AmazonSSMManagedInstanceCore– 允许节点使用 Systems Manager 服务核心功能的 AWS 托管式策略。 -
AmazonSSMPatchAssociation– 为补丁关联操作提供对子实例的访问权限的 AWS 托管式策略。 -
AmazonSSMReadOnlyAccess– 授予 Systems Manager 只读 API 操作(例如Get*和List*)访问权限的 AWS 托管策略。 -
AWSSSMOpsInsightsServiceRolePolicy– 为在 Systems Manager 中创建和更新运维洞察 OpsItems 提供权限的 AWS 托管策略。其借助服务相关角色 AWSServiceRoleForAmazonSSM_OpsInsights 提供权限。 -
AWSSystemsManagerAccountDiscoveryServicePolicy– 授予 Systems Manager 发现 AWS 账户 信息的权限的 AWS 托管策略。 -
AWSSystemsManagerChangeManagementServicePolicy– 提供对由 Systems Manager 更改管理框架管理或使用的以及由服务相关角色AWSServiceRoleForSystemsManagerChangeManagement使用的 AWS 资源的访问权限的 AWS 托管策略。 -
AmazonEC2RoleforSSM– 此策略不再受支持,不应使用。在相应的位置,使用AmazonSSMManagedInstanceCore策略在 EC2 实例上允许 Systems Manager 服务的核心功能。有关信息,请参阅配置 Systems Manager 所需的实例权限。
