AWS verwaltete Richtlinien für AWS Systems Manager - AWS Systems Manager
Ein mazonSSMService RolePolicyEin mazonSSMRead OnlyAccessAWSSystemsManagerOpsDataSyncServiceRolePolicyEin mazonSSMManaged EC2InstanceDefaultPolicySSMQuickSetupRolePolicyAWSQuickSetupDeploymentRolePolicyAWSQuickSetupPatchPolicyDeploymentRolePolicyAWSQuickSetupPatchPolicyBaselineAccessAWSSystemsManagerEnableExplorerExecutionPolicyAWSSystemsManagerEnableConfigRecordingExecutionPolicyAWSQuickSetupDevOpsGuruPermissionsBoundaryAWSQuickSetupDistributorPermissionsBoundaryAWSQuickSetupSSMHostMgmtPermissionsBoundaryAWSQuickSetupPatchPolicyPermissionsBoundaryAWSQuickSetupSchedulerPermissionsBoundaryAWSQuickSetupCFGCPacksPermissionsBoundaryRichtlinienaktualisierungenZusätzliche verwaltete Richtlinien für Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für AWS Systems Manager

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS verwaltete Richtlinie: A mazonSSMService RolePolicy

Sie können nichts AmazonSSMServiceRolePolicy an Ihre AWS Identity and Access Management (IAM) Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es AWS Systems Manager ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Verwenden von Rollen zum Sammeln und Anzeigen von Inventar OpsData.

AmazonSSMServiceRolePolicy ermöglicht es Systems Manager, die folgenden Aktionen auf allen zugehörigen Ressourcen ("Resource": "*") durchzuführen, außer wenn es anders angegeben ist:

  • ssm:CancelCommand

  • ssm:GetCommandInvocation

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:SendCommand

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:StartAutomationExecution

  • ssm:StopAutomationExecution

  • ssm:ListTagsForResource

  • ssm:GetCalendarState

  • ssm:UpdateServiceSetting [1]

  • ssm:GetServiceSetting [1]

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInstances

  • lambda:InvokeFunction [2]

  • states:DescribeExecution [3]

  • states:StartExecution [3]

  • resource-groups:ListGroups

  • resource-groups:ListGroupResources

  • resource-groups:GetGroupQuery

  • tag:GetResources

  • config:SelectResourceConfig

  • config:DescribeComplianceByConfigRule

  • config:DescribeComplianceByResource

  • config:DescribeRemediationConfigurations

  • config:DescribeConfigurationRecorders

  • cloudwatch:DescribeAlarms

  • compute-optimizer:GetEC2InstanceRecommendations

  • compute-optimizer:GetEnrollmentStatus

  • support:DescribeTrustedAdvisorChecks

  • support:DescribeTrustedAdvisorCheckSummaries

  • support:DescribeTrustedAdvisorCheckResult

  • support:DescribeCases

  • iam:PassRole [4]

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:ListStackInstances [5]

  • cloudformation:DescribeStackSetOperation [5]

  • cloudformation:DeleteStackSet [5]

  • cloudformation:DeleteStackInstances [6]

  • events:PutRule [7]

  • events:PutTargets [7]

  • events:RemoveTargets [8]

  • events:DeleteRule [8]

  • events:DescribeRule

  • securityhub:DescribeHub

[1] Die Aktionen ssm:UpdateServiceSetting und ssm:GetServiceSetting sind nur für die folgenden Ressourcen zulässig.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[2] Die Aktion lambda:InvokeFunction ist nur für die folgenden Ressourcen zulässig.

arn:aws:lambda:*:*:function:SSM*
arn:aws:lambda:*:*:function:*:SSM*

[3] Die Aktionen states: sind nur für die folgenden Ressourcen zulässig.

arn:aws:states:*:*:stateMachine:SSM*
arn:aws:states:*:*:execution:SSM*

[4] Die Aktion iam:PassRole ist nur mit der folgenden Bedingung für den Systems Manager-Service zulässig.

"Condition": {
   "StringEquals": {
      "iam:PassedToService": [
         "ssm.amazonaws.com"
      ]
   }
}

[5] Die Aktionen cloudformation:ListStackInstances, cloudformation:DescribeStackSetOperation, und cloudformation:DeleteStackSet sind nur für die folgenden Ressourcen zulässig.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*

[6] Die Aktion cloudformation:DeleteStackInstances ist nur für die folgenden Ressourcen zulässig.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

[7] Die Aktionen events:PutRule und events:PutTargets sind nur mit der folgenden Bedingung für den Systems Manager-Service zulässig.

"Condition": {
    "StringEquals": {
        "events:ManagedBy": "ssm.amazonaws.com"
    }
}

[8] Die Aktionen events:RemoveTargets und events:DeleteRule sind nur für die folgenden Ressourcen zulässig.

arn:aws:events:*:*:rule/SSMExplorerManagedRule

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie unter A mazonSSMService RolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: A mazonSSMRead OnlyAccess

Sie können die AmazonSSMReadOnlyAccess Richtlinie Ihren IAM Identitäten zuordnen. Diese Richtlinie gewährt nur Lesezugriff auf AWS Systems Manager API Operationen wieDescribe*, undGet*. List*

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie unter A mazonSSMRead OnlyAccess im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSystemsManagerOpsDataSyncServiceRolePolicy

Sie können keine Verbindungen AWSSystemsManagerOpsDataSyncServiceRolePolicy zu Ihren IAM Entitäten herstellen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die Systems Manager die Durchführung von Aktionen in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter Verwenden von Rollen zum Erstellen OpsData und OpsItems for Explorer.

AWSSystemsManagerOpsDataSyncServiceRolePolicyermöglicht der AWSServiceRoleForSystemsManagerOpsDataSync serviceverknüpften Rolle das Erstellen und Aktualisieren von Ergebnissen OpsItems sowie das Verwenden OpsData von AWS Security Hub Ergebnissen.

Die Richtlinie erlaubt es Systems Manager, die folgenden Aktionen für alle damit verbundenen Ressourcen ("Resource": "*") auszuführen, außer wenn dies angegeben ist:

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

[1] Die Aktionen ssm:GetOpsItem und ssm:UpdateOpsItem sind nur mit der folgenden Bedingung für den Systems Manager-Service zulässig.

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] Die Aktion ssm:AddTagsToResource ist nur für die folgende Ressource zulässig.

arn:aws:ssm:*:*:opsitem/*

[3] Die Aktionen ssm:UpdateServiceSetting und ssm:GetServiceSetting sind nur für die folgenden Ressourcen zulässig.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] Die securityhub:BatchUpdateFindings werden die Berechtigungen durch die folgende Bedingung nur für den Systems Manager-Dienst verweigert.

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie AWSSystemsManagerOpsDataSyncServiceRolePolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: A mazonSSMManaged EC2InstanceDefaultPolicy

Sie sollten nur IAM Rollen für EC2 Amazon-Instances AmazonSSMManagedEC2InstanceDefaultPolicy zuordnen, für die Sie die Erlaubnis zur Nutzung von Systems Manager Funktionen benötigen. Sie sollten diese Rolle nicht anderen IAM Entitäten wie IAM Benutzern und IAM Gruppen oder IAM Rollen zuordnen, die anderen Zwecken dienen. Weitere Informationen finden Sie unter Automatisches Verwalten von EC2 Instanzen mit der Standard-Host-Management-Konfiguration.

Diese Richtlinie gewährt Ihrer EC2 Amazon-Instance Berechtigungen, mit dem Systems Manager Manager-Service in der Cloud zu kommunizieren, um eine Vielzahl von Aufgaben auszuführen. SSM Agent Sie gewährt auch Berechtigungen für die beiden Dienste, die Autorisierungstoken bereitstellen, um sicherzustellen, dass Operationen auf der richtigen Instance ausgeführt werden.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm— Ermöglicht Principals das Abrufen von Dokumenten, das Ausführen von BefehlenRun Command, das Einrichten von SitzungenSession Manager, das Sammeln eines Inventars der Instanz sowie das Scannen nach Patches und die Einhaltung von Patches mithilfe Patch Manager von Patches.

  • ssmmessages— Ermöglicht Principals, für jede Instanz auf ein personalisiertes Autorisierungstoken zuzugreifen, das vom Amazon Message Gateway Service erstellt wurde. Systems Manager validiert das personalisierte Autorisierungstoken anhand des Amazon-Ressourcennamens (ARN) der Instance, die im API Vorgang bereitgestellt wurde. Dieser Zugriff ist erforderlich, um sicherzustellen, dass die SSM Agent API Operationen auf der richtigen Instance ausgeführt werden.

  • ec2messages— Ermöglicht Principals, für jede Instanz auf ein personalisiertes Autorisierungstoken zuzugreifen, das vom Amazon Message Delivery Service erstellt wurde. Systems Manager validiert das personalisierte Autorisierungstoken anhand des Amazon-Ressourcennamens (ARN) der Instance, die im API Vorgang bereitgestellt wurde. Dieser Zugriff ist erforderlich, um sicherzustellen, dass die SSM Agent API Operationen auf der richtigen Instance ausgeführt werden.

Weitere Informationen zu den ec2messages Endpunkten ssmmessages und, einschließlich der Unterschiede zwischen den beiden, finden Sie unterAPIVorgänge (ssmmessagesund ec2messages Endpunkte) im Zusammenhang mit Agents.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie unter A mazonSSMManaged EC2InstanceDefaultPolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: SSMQuickSetupRolePolicy

Sie können keine Verbindungen SSMQuickSetupRolePolicy zu Ihren IAM Entitäten herstellen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die Systems Manager die Durchführung von Aktionen in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter Rollen zur Verwaltung verwenden Quick Setup-Integrität und Konsistenz der bereitgestellten Ressourcen.

Diese Richtlinie gewährt nur Leseberechtigungen, die es Systems Manager ermöglichen, den Zustand der Konfiguration zu überprüfen, die konsistente Verwendung von Parametern und bereitgestellten Ressourcen sicherzustellen und Ressourcen zu korrigieren, wenn Abweichungen festgestellt werden.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm— Ermöglicht Prinzipalen das Lesen von Informationen, Ressourcen, Datensynchronisationen und SSM Dokumenten im Systems Manager. Dies ist erforderlich, um den Status bestimmen zu Quick Setup können, in dem sich die konfigurierten Ressourcen befinden sollen.

  • organizations— Ermöglicht Prinzipalen das Lesen von Informationen über die Mitgliedskonten, die zu einer Organisation gehören, wie sie unter konfiguriert ist. AWS Organizations Dies ist erforderlich, um alle Konten in einer Organisation identifizieren zu Quick Setup können, in der Ressourcenzustandsprüfungen durchgeführt werden sollen.

  • cloudformation— Ermöglicht es den Hauptbenutzern, Informationen von AWS CloudFormation zu lesen. Dies ist erforderlich, um Daten über die AWS CloudFormation Stacks zu sammeln, die zur Verwaltung des Ressourcenstatus und der CloudFormation Stackset-Operationen verwendet werden. Quick Setup

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie SSMQuickSetupRolePolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuickSetupDeploymentRolePolicy

Die verwaltete Richtlinie AWSQuickSetupDeploymentRolePolicy unterstützt mehrere Quick Setup Konfigurationstypen. Diese Konfigurationstypen erstellen IAM Rollen und Automatisierungen, mit denen häufig verwendete Amazon Web Services und -Funktionen mit empfohlenen Best Practices konfiguriert werden.

Sie können eine Verbindung AWSQuickSetupDeploymentRolePolicy zu Ihren IAM Entitäten herstellen.

Diese Richtlinie gewährt Administratorberechtigungen, die zum Erstellen von Ressourcen für die folgenden Quick Setup Konfigurationen erforderlich sind:

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Prinzipalen das Verwalten und Löschen von IAM Rollen, die für Automatisierungskonfigurationsaufgaben erforderlich sind, sowie das Verwalten von Automatisierungsrollenrichtlinien.

  • cloudformation— Ermöglicht Prinzipalen das Erstellen und Verwalten von Stack-Sets.

  • config— Ermöglicht Prinzipalen das Erstellen, Verwalten und Löschen von Conformance Packs.

  • events— Ermöglicht Prinzipalen das Erstellen, Aktualisieren und Löschen von Ereignisregeln für geplante Aktionen.

  • resource-groups— Ermöglicht Prinzipalen das Abrufen von Ressourcenabfragen, die mit Ressourcengruppen verknüpft sind, auf die Konfigurationen abzielen. Quick Setup

  • ssm— Ermöglicht Prinzipalen das Erstellen von Automations-Runbooks und -Zuordnungen, die Konfigurationen anwenden. Quick Setup

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie AWSQuickSetupDeploymentRolePolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuickSetupPatchPolicyDeploymentRolePolicy

Die verwaltete Richtlinie AWSQuickSetupPatchPolicyDeploymentRolePolicy unterstützt den Konfigurieren Sie das Patchen für Instanzen in einer Organisation mithilfe von Quick Setup Quick Setup Typ. Dieser Konfigurationstyp hilft dabei, das Patchen von Anwendungen und Knoten in einem einzigen Konto oder unternehmensweit zu automatisieren.

Sie können eine Verbindung AWSQuickSetupPatchPolicyDeploymentRolePolicy zu Ihren IAM Entitäten herstellen. Systems Managerordnet diese Richtlinie auch einer Servicerolle zu, die es ermöglichtSystems Manager, Aktionen in Ihrem Namen durchzuführen.

Diese Richtlinie gewährt Administratorberechtigungen, mit denen Ressourcen erstellt Quick Setup werden können, die mit einer Patch-Richtlinienkonfiguration verknüpft sind.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Prinzipalen das Verwalten und Löschen von IAM Rollen, die für Automatisierungskonfigurationsaufgaben erforderlich sind, sowie das Verwalten von Automatisierungsrollenrichtlinien.

  • cloudformation— Ermöglicht Prinzipalen das Lesen von AWS CloudFormation Stack-Informationen und das Steuern von AWS CloudFormation Stacks, die Quick Setup mithilfe AWS CloudFormation von Stack-Sets erstellt wurden.

  • ssm— Ermöglicht Prinzipalen das Erstellen, Aktualisieren, Lesen und Löschen von Automatisierungs-Runbooks, die für Konfigurationsaufgaben erforderlich sind, sowie das Erstellen, Aktualisieren und Löschen von Verknüpfungen. State Manager

  • resource-groups— Ermöglicht Prinzipalen das Abrufen von Ressourcenabfragen, die mit Ressourcengruppen verknüpft sind, auf die sich Konfigurationen beziehen. Quick Setup

  • s3— Ermöglicht Principals, Amazon S3 S3-Buckets aufzulisten und die Buckets zum Speichern von Zugriffsprotokollen für Patch-Richtlinien zu verwalten.

  • lambda— Ermöglicht es den Prinzipalen, AWS Lambda Behebungsfunktionen zu verwalten, die dafür sorgen, dass die Konfigurationen im richtigen Zustand bleiben.

  • logs— Ermöglicht Prinzipalen die Beschreibung und Verwaltung von Protokollgruppen für Lambda-Konfigurationsressourcen.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie AWSQuickSetupPatchPolicyDeploymentRolePolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuickSetupPatchPolicyBaselineAccess

Die verwaltete Richtlinie AWSQuickSetupPatchPolicyBaselineAccess unterstützt den Konfigurieren Sie das Patchen für Instanzen in einer Organisation mithilfe von Quick Setup Quick Setup Typ. Dieser Konfigurationstyp hilft dabei, das Patchen von Anwendungen und Knoten in einem einzigen Konto oder unternehmensweit zu automatisieren.

Sie können eine Verbindung AWSQuickSetupPatchPolicyBaselineAccess zu Ihren IAM Entitäten herstellen. Systems Managerordnet diese Richtlinie auch einer Servicerolle zu, die es ermöglichtSystems Manager, Aktionen in Ihrem Namen durchzuführen.

Diese Richtlinie gewährt nur Leseberechtigungen für den Zugriff auf Patch-Baselines, die von einem Administrator in der aktuellen oder der Organisation, die sie verwendet, konfiguriert wurden. AWS-Konto Quick Setup Die Patch-Baselines werden in einem Amazon S3 S3-Bucket gespeichert und können für das Patchen von Instances in einem einzelnen Konto oder in einer gesamten Organisation verwendet werden.

Details zu Berechtigungen

Diese Richtlinie beinhaltet die folgende Genehmigung.

  • s3— Ermöglicht Prinzipalen das Lesen von Patch-Baseline-Overrides, die in Amazon S3 S3-Buckets gespeichert sind.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des Richtliniendokuments, finden Sie AWSQuickSetupPatchPolicyBaselineAccessim AWS Managed JSON Policy Reference Guide.

AWS verwaltete Richtlinie: AWSSystemsManagerEnableExplorerExecutionPolicy

Die verwaltete Richtlinie AWSSystemsManagerEnableExplorerExecutionPolicy unterstützt die AktivierungExplorer, eine Fähigkeit von AWS Systems Manager.

Sie können eine Verbindung AWSSystemsManagerEnableExplorerExecutionPolicy zu Ihren IAM Entitäten herstellen. Systems Managerordnet diese Richtlinie auch einer Servicerolle zu, die es ermöglichtSystems Manager, Aktionen in Ihrem Namen durchzuführen.

Diese Richtlinie gewährt Administratorberechtigungen für die AktivierungExplorer. Dazu gehören Berechtigungen zum Aktualisieren der zugehörigen Systems Manager Diensteinstellungen und zum Erstellen einer dienstbezogenen Rolle fürSystems Manager.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • config— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff auf die Details des Konfigurationsrekorders gewähren.

  • iam— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen. Explorer

  • ssm— Ermöglicht es Prinzipalen, einen Automatisierungs-Workflow zu starten, der Folgendes ermöglicht. Explorer

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie AWSSystemsManagerEnableExplorerExecutionPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

Die verwaltete Richtlinie AWSSystemsManagerEnableConfigRecordingExecutionPolicy unterstützt den Erstellen Sie einen AWS Config Konfigurationsrekorder mit Quick Setup Quick Setup Konfigurationstyp. Dieser Konfigurationstyp ermöglicht Quick Setup das Nachverfolgen und Aufzeichnen von Änderungen an den AWS Ressourcentypen, für die Sie sich entscheiden AWS Config. Es ermöglicht auch Quick Setup die Konfiguration von Liefer- und Benachrichtigungsoptionen für die aufgezeichneten Daten.

Sie können sie AWSSystemsManagerEnableConfigRecordingExecutionPolicy an Ihre IAM Entitäten anhängen. Systems Managerordnet diese Richtlinie auch einer Servicerolle zu, die es ermöglichtSystems Manager, Aktionen in Ihrem Namen durchzuführen.

Diese Richtlinie gewährt Administratorberechtigungen, mit denen Sie Quick Setup die AWS Config Konfigurationsaufzeichnung aktivieren und konfigurieren können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • s3— Ermöglicht Prinzipalen die Erstellung und Konfiguration von Amazon S3 S3-Buckets für die Bereitstellung von Konfigurationsaufzeichnungen.

  • sns— Ermöglicht Principals, SNS Amazon-Themen aufzulisten und zu erstellen.

  • config— Ermöglicht es den Prinzipalen, den Konfigurationsrekorder zu konfigurieren und zu starten und bei der Aktivierung zu helfen. Explorer

  • iam— Ermöglicht es Prinzipalen, eine dienstbezogene Rolle für Systems Manager zu erstellen, abzurufen und zu übergeben AWS Config, eine dienstbezogene Rolle für Systems Manager zu erstellen und bei der Aktivierung zu helfen. Explorer

  • ssm— Ermöglicht es Prinzipalen, einen Automatisierungs-Workflow zu starten, der Folgendes ermöglicht: Explorer

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

  • support— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie AWSSystemsManagerEnableConfigRecordingExecutionPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuickSetupDevOpsGuruPermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM Entität gewähren kann. Sie sollten Richtlinien für Quick Setup Berechtigungsgrenzen nicht eigenständig verwenden und ihnen zuordnen. Quick SetupRichtlinien für Berechtigungsgrenzen sollten nur Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen zu Berechtigungsgrenzen finden Sie im IAMBenutzerhandbuch unter Berechtigungsgrenzen für IAM Entitäten.

Die verwaltete Richtlinie AWSQuickSetupDevOpsGuruPermissionsBoundary unterstützt den DevOpsGuru einrichten mit Quick Setup Typ. Der Konfigurationstyp aktiviert den auf maschinellem Lernen basierenden Amazon Guru. DevOps Der DevOps Guru-Service kann dazu beitragen, die Betriebsleistung und Verfügbarkeit einer Anwendung zu verbessern.

Wenn Sie eine AWSQuickSetupDevOpsGuruPermissionsBoundary Konfiguration mit erstellenQuick Setup, wendet das System diese Berechtigungsgrenze auf die IAM Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze schränkt den Umfang der Rollen Quick Setup ein, die erstellt werden.

Diese Richtlinie gewährt Administratorberechtigungen, die es ermöglichen, Amazon DevOps Guru Quick Setup zu aktivieren und zu konfigurieren.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Principals, dienstbezogene Rollen für DevOps Guru und Systems Manager zu erstellen und Rollen aufzulisten, die bei der Aktivierung helfen. Explorer

  • cloudformation— Ermöglicht Prinzipalen das Auflisten und Beschreiben von Stacks. AWS CloudFormation

  • sns— Ermöglicht Principals, SNS Amazon-Themen aufzulisten und zu erstellen.

  • devops-guru— Ermöglicht Prinzipalen, DevOps Guru zu konfigurieren und einen Benachrichtigungskanal hinzuzufügen.

  • config— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff auf die Details des Konfigurationsrekorders gewähren.

  • ssm— Ermöglicht es Prinzipalen, einen Automatisierungs-Workflow zu starten, der die Explorer Diensteinstellungen aktiviert, gelesen und aktualisiert. Explorer

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

  • support— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie AWSQuickSetupDevOpsGuruPermissionsBoundaryim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuickSetupDistributorPermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM Entität gewähren kann. Sie sollten Richtlinien für Quick Setup Berechtigungsgrenzen nicht eigenständig verwenden und ihnen zuordnen. Quick SetupRichtlinien für Berechtigungsgrenzen sollten nur Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen zu Berechtigungsgrenzen finden Sie im IAMBenutzerhandbuch unter Berechtigungsgrenzen für IAM Entitäten.

Die verwaltete Richtlinie AWSQuickSetupDistributorPermissionsBoundary unterstützt den Bereitstellen Distributor Pakete mit Quick Setup Quick Setup Konfigurationstyp. Der Konfigurationstyp ermöglicht die Verteilung von Softwarepaketen, z. B. Agenten, an Ihre Amazon Elastic Compute Cloud (AmazonEC2) -Instances mithilfe von Distributor, einer Funktion von AWS Systems Manager.

Wenn Sie eine AWSQuickSetupDistributorPermissionsBoundary Konfiguration mit erstellenQuick Setup, wendet das System diese Berechtigungsgrenze auf die IAM Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze schränkt den Umfang der Rollen Quick Setup ein, die erstellt werden.

Diese Richtlinie gewährt Administratorberechtigungen, die die Verteilung von Softwarepaketen, z. B. Agenten, an Ihre EC2 Amazon-Instances mithilfe von Distributor ermöglichenQuick Setup.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Principals das Abrufen und Weitergeben der Vertriebsautomatisierungsrolle; das Erstellen, Lesen, Aktualisieren und Löschen der Standard-Instance-Rolle; das Übergeben der Standard-Instance-Rolle an Amazon EC2 und Systems Manager; das Anhängen von Instance-Management-Richtlinien an Instance-Rollen; das Erstellen einer serviceverknüpften Rolle für Systems Manager; das Hinzufügen der Standard-Instance-Rolle zu Instance-Profilen; das Lesen von Informationen über IAM Rollen und Instance-Profile; und das Erstellen des Standard-Instance-Profils.

  • ec2— Ermöglicht Principals, das Standard-Instanzprofil EC2 Instanzen zuzuordnen und bei der Aktivierung zu helfenExplorer.

  • ssm— Ermöglicht es Prinzipalen, Automatisierungs-Workflows zu starten, die Instanzen konfigurieren und Pakete installieren, sowie den Automatisierungs-Workflow zu starten, der sie aktiviertExplorer, und Explorer Service-Einstellungen zu lesen und zu aktualisieren.

  • config— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff auf die Details des Konfigurationsrekorders gewähren.

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

  • support— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie AWSQuickSetupDistributorPermissionsBoundaryim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuickSetupSSMHostMgmtPermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM Entität gewähren kann. Sie sollten Richtlinien für Quick Setup Berechtigungsgrenzen nicht eigenständig verwenden und ihnen zuordnen. Quick SetupRichtlinien für Berechtigungsgrenzen sollten nur Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen zu Berechtigungsgrenzen finden Sie im IAMBenutzerhandbuch unter Berechtigungsgrenzen für IAM Entitäten.

Die verwaltete Richtlinie AWSQuickSetupSSMHostMgmtPermissionsBoundary unterstützt den Richten Sie die EC2 Amazon-Hostverwaltung ein mit Quick Setup Quick Setup Konfigurationstyp. Dieser Konfigurationstyp konfiguriert IAM Rollen und ermöglicht häufig verwendete Systems Manager Manager-Funktionen zur sicheren Verwaltung Ihrer EC2 Amazon-Instances.

Wenn Sie eine AWSQuickSetupSSMHostMgmtPermissionsBoundary Konfiguration mit erstellenQuick Setup, wendet das System diese Berechtigungsgrenze auf die IAM Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze schränkt den Umfang der Rollen Quick Setup ein, die erstellt werden.

Diese Richtlinie gewährt Administratorberechtigungen, mit denen Quick Setup die Systems Manager Manager-Funktionen aktiviert und konfiguriert werden können, die für die sichere Verwaltung von EC2 Instanzen erforderlich sind.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Prinzipalen, die Servicerolle abzurufen und an Automation weiterzugeben. Ermöglicht Principals, die Standard-Instance-Rolle zu erstellen, zu lesen, zu aktualisieren und zu löschen, die Standard-Instance-Rolle an Amazon EC2 und Systems Manager zu übergeben, Instance-Management-Richtlinien an Instance-Rollen anzuhängen, eine serviceverknüpfte Rolle für Systems Manager zu erstellen, die Standard-Instance-Rolle zu Instance-Profilen hinzuzufügen, Informationen über IAM Rollen und Instance-Profile zu lesen und das Standard-Instance-Profil zu erstellen.

  • ec2— Ermöglicht Principals, das Standard-Instance-Profil Instances zuzuordnen und zu trennen. EC2

  • ssm— Ermöglicht es Prinzipalen, Automatisierungsworkflows zu starten, die das Lesen und Aktualisieren von Explorer Diensteinstellungen, das Konfigurieren von Instanzen und das Aktivieren von Systems Manager Manager-Funktionen auf Instanzen ermöglichen. Explorer

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

  • support— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie AWSQuickSetupSSMHostMgmtPermissionsBoundaryim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuickSetupPatchPolicyPermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM Entität gewähren kann. Sie sollten Richtlinien für Quick Setup Berechtigungsgrenzen nicht eigenständig verwenden und ihnen zuordnen. Quick SetupRichtlinien für Berechtigungsgrenzen sollten nur Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen zu Berechtigungsgrenzen finden Sie im IAMBenutzerhandbuch unter Berechtigungsgrenzen für IAM Entitäten.

Die verwaltete Richtlinie AWSQuickSetupPatchPolicyPermissionsBoundary unterstützt den Konfigurieren Sie das Patchen für Instanzen in einer Organisation mithilfe von Quick Setup Quick Setup Typ. Dieser Konfigurationstyp hilft dabei, das Patchen von Anwendungen und Knoten in einem einzigen Konto oder unternehmensweit zu automatisieren.

Wenn Sie eine AWSQuickSetupPatchPolicyPermissionsBoundary Konfiguration mit erstellenQuick Setup, wendet das System diese Berechtigungsgrenze auf die IAM Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze schränkt den Umfang der Rollen Quick Setup ein, die erstellt werden.

Diese Richtlinie gewährt Administratorberechtigungen, die es ermöglichen, Patch-Richtlinien Quick Setup zu aktivieren und zu konfigurierenPatch Manager, eine Fähigkeit von AWS Systems Manager.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Principals, die Patch Manager Automatisierungsrolle zu erhalten, Automatisierungsrollen an Patch Manager Patching-Operationen weiterzugeben, die Standard-Instance-Rolle zu erstellenAmazonSSMRoleForInstancesQuickSetup, die Standard-Instance-Rolle an Amazon EC2 und Systems Manager zu übergeben, ausgewählte AWS verwaltete Richtlinien an die Instance-Rolle anzuhängen, eine serviceverknüpfte Rolle für Systems Manager zu erstellen, die Standard-Instance-Rolle zu Instance-Profilen hinzuzufügen, Informationen über Instance-Profile und Rollen zu lesen, ein Standard-Instance-Profil zu erstellen und Rollen zu taggen, die Berechtigungen haben für liest Patch-Baseline-Overrides.

  • ssm— Ermöglicht Principals, die Instanzrolle zu aktualisieren (diese wird von Systems Manager verwaltet); Zuordnungen zu verwalten, die durch in erstellte Patch Manager Patch-Richtlinien erstellt wurdenQuick Setup; Instanzen zu kennzeichnen, auf die eine Patch-Richtlinienkonfiguration abzielt; Informationen über Instanzen und den Patching-Status zu lesen; Automatisierungs-Workflows zu starten, die Instanz-Patching konfigurieren, aktivieren und korrigieren; Automatisierungsworkflows zu starten, die diese Aktivierung Explorer ermöglichenExplorer; und Serviceeinstellungen lesen und aktualisieren. Explorer

  • ec2— Ermöglicht Principals, das Standard-Instance-Profil Instances zuzuordnen und zu trennen, EC2 Instances zu taggen, auf die eine Patch-Policy-Konfiguration abzielt, Instances zu taggen, auf die eine Patch-Policy-Konfiguration abzielt, und bei der Aktivierung zu helfenExplorer.

  • s3— Ermöglicht Prinzipalen die Erstellung und Konfiguration von S3-Buckets zum Speichern von Patch-Baseline-Overrides.

  • lambda— Ermöglicht Prinzipalen das Aufrufen von AWS Lambda Funktionen zur Konfiguration von Patches und das Ausführen von Bereinigungsvorgängen, nachdem eine Patch-Richtlinienkonfiguration gelöscht wurde. Quick Setup

  • logs— Ermöglicht es den Prinzipalen, die Protokollierung für Funktionen zu konfigurieren. Patch Manager Quick Setup AWS Lambda

  • config— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

  • support— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie AWSQuickSetupPatchPolicyPermissionsBoundaryim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuickSetupSchedulerPermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM Entität gewähren kann. Sie sollten Richtlinien für Quick Setup Berechtigungsgrenzen nicht eigenständig verwenden und ihnen zuordnen. Quick SetupRichtlinien für Berechtigungsgrenzen sollten nur Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen zu Berechtigungsgrenzen finden Sie im IAMBenutzerhandbuch unter Berechtigungsgrenzen für IAM Entitäten.

Die verwaltete Richtlinie AWSQuickSetupSchedulerPermissionsBoundary unterstützt den Automatisches Stoppen und Starten von EC2 Instanzen nach einem Zeitplan mit Quick Setup Quick Setup Konfigurationstyp. Mit diesem Konfigurationstyp können Sie Ihre EC2 Instances und andere Ressourcen zu den von Ihnen angegebenen Zeiten beenden und starten.

Wenn Sie eine AWSQuickSetupSchedulerPermissionsBoundary Konfiguration mit erstellenQuick Setup, wendet das System diese Berechtigungsgrenze auf die IAM Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze schränkt den Umfang der Rollen Quick Setup ein, die erstellt werden.

Diese Richtlinie gewährt Administratorberechtigungen, die es Quick Setup ermöglichen, geplante Operationen auf EC2 Instanzen und anderen Ressourcen zu aktivieren und zu konfigurieren.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Principals das Abrufen und Übergeben von Rollen für Automatisierungsaktionen der Instanzverwaltung, das Verwalten, Weiterleiten und Anhängen von Standard-Instanzrollen für das EC2 Instanzmanagement, das Erstellen von Standard-Instanzprofilen, das Hinzufügen von Standard-Instanzrollen zu Instanzprofilen, das Erstellen einer serviceverknüpften Rolle fürSystems Manager, das Lesen von Informationen über IAM Rollen und Instanzprofile, das Zuordnen eines Standard-Instanzprofils zu EC2 Instances und das Starten von Automatisierungsworkflows zur Konfiguration von Instances und zum Aktivieren von Systems Manager Funktionen für diese.

  • ssm— Ermöglicht es Prinzipalen, Automatisierungsworkflows zu starten, die diese aktivierenExplorer, sowie Explorer Serviceeinstellungen zu lesen und zu aktualisieren.

  • ec2 — Ermöglicht Principals, zielgerichtete Instances zu lokalisieren und sie nach einem Zeitplan zu starten und zu beenden.

  • config— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

  • support— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff auf Schecks für ein Konto gewähren. AWS Trusted Advisor

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie AWSQuickSetupSchedulerPermissionsBoundaryim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuickSetupCFGCPacksPermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM Entität gewähren kann. Sie sollten Richtlinien für Quick Setup Berechtigungsgrenzen nicht eigenständig verwenden und ihnen zuordnen. Quick SetupRichtlinien für Berechtigungsgrenzen sollten nur Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen zu Berechtigungsgrenzen finden Sie im IAMBenutzerhandbuch unter Berechtigungsgrenzen für IAM Entitäten.

Die verwaltete Richtlinie AWSQuickSetupCFGCPacksPermissionsBoundary unterstützt den Stellen Sie das AWS Config Conformance Pack bereit mit Quick Setup Quick Setup Konfigurationstyp. Dieser Konfigurationstyp stellt AWS Config Conformance Packs bereit. Conformance Packs sind Sammlungen von AWS Config Regeln und Behebungsmaßnahmen, die als eine Einheit bereitgestellt werden können.

Wenn Sie eine AWSQuickSetupCFGCPacksPermissionsBoundary Konfiguration mit erstellenQuick Setup, wendet das System diese Berechtigungsgrenze auf die IAM Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze schränkt den Umfang der Rollen Quick Setup ein, die erstellt werden.

Diese Richtlinie gewährt Administratorberechtigungen, die die Bereitstellung von AWS Config Conformance Packs ermöglichenQuick Setup.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Prinzipalen das Erstellen, Abrufen und Weitergeben einer dienstbezogenen Rolle für. AWS Config

  • sns— Ermöglicht Prinzipalen, Plattformanwendungen bei Amazon SNS aufzulisten.

  • config— Ermöglicht Principals die Bereitstellung von AWS Config Conformance Packs, das Abrufen des Status von Conformance Packs und das Abrufen von Informationen zu Konfigurationsrekordern.

  • ssm— Ermöglicht Prinzipalen das Abrufen von Informationen über SSM Dokumente und Automatisierungsworkflows, das Abrufen von Informationen über Ressourcen-Tags und das Abrufen von Informationen über Diensteinstellungen und deren Aktualisierung.

  • compute-optimizer— Ermöglicht es Prinzipalen, den Opt-In-Status eines Kontos abzurufen.

  • support— Ermöglicht es Schulleitern, Informationen über Schecks zu erhalten. AWS Trusted Advisor

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON Richtliniendokuments, finden Sie AWSQuickSetupCFGCPacksPermissionsBoundaryim Referenzhandbuch für AWS verwaltete Richtlinien.

Systems ManagerAktualisierungen der AWS verwalteten Richtlinien

In der folgenden Tabelle finden Sie Details zu Aktualisierungen AWS verwalteter Richtlinien Systems Manager seit Beginn der Erfassung dieser Änderungen durch diesen Dienst am 12. März 2021. Informationen zu anderen verwalteten Richtlinien für den Systems Manager Manager-Dienst finden Sie Zusätzliche verwaltete Richtlinien für Systems Manager weiter unten in diesem Thema. Abonnieren Sie den RSS Feed auf der Seite, um automatische Benachrichtigungen über Änderungen an dieser Systems Manager Dokumentverlauf Seite zu erhalten.

Änderung Beschreibung Datum

SSMQuickSetupRolePolicy – Aktualisierung auf eine bestehende Richtlinie

Systems Managerhat neue Berechtigungen hinzugefügt, um den Zustand zusätzlicher AWS CloudFormation Stack-Sets, die es erstellt hat, überprüfen zu könnenQuick Setup.

 13. August 2024
AmazonSSMManagedEC2InstanceDefaultPolicy – Aktualisierung auf eine bestehende Richtlinie Systems Managerhat der JSON Richtlinie für AmazonSSMManagedEC2InstanceDefaultPolicy eine Erklärung IDs (Sids) hinzugefügt. Diese Seiten enthalten eine ausführliche Beschreibung des Zwecks der einzelnen Richtlinienerklärungen. 18. Juli 2024
SSMQuickSetupRolePolicy – Neue Richtlinie. Systems Managerhat eine neue Richtlinie hinzugefügt, die es Quick Setup ermöglicht, den Zustand der bereitgestellten Ressourcen zu überprüfen und Instanzen zu korrigieren, die von der ursprünglichen Konfiguration abweichen. 3. Juli 2024
AWSQuickSetupDeploymentRolePolicy – Neue Richtlinie. Systems Managerhat eine neue Richtlinie zur Unterstützung mehrerer Quick Setup-Konfigurationstypen hinzugefügt, die IAM Rollen und Automatisierungen erstellen, die wiederum häufig verwendete Amazon Web Services und -Funktionen mit empfohlenen Best Practices konfigurieren. 3. Juli 2024

AWSQuickSetupPatchPolicyDeploymentRolePolicy

— Neue Richtlinie

Systems ManagerEs wurde eine neue Richtlinie hinzugefügt, mit der Ressourcen erstellt werden könnenQuick Setup, die mit Patch Manager Quick Setup Patch-Richtlinienkonfigurationen verknüpft sind.

3. Juli 2024

AWSQuickSetupPatchPolicyBaselineAccess – Neue Richtlinie.

Systems Managerhat eine neue Richtlinie hinzugefügt, die den Quick Setup Zugriff auf Patch-Baselines Patch Manager mit Leseberechtigungen ermöglicht.

3. Juli 2024
AWSSystemsManagerEnableExplorerExecutionPolicy – Neue Richtlinie. Systems ManagerEs wurde eine neue Richtlinie hinzugefügt, mit Quick Setup der Administratorberechtigungen für die Aktivierung erteilt Explorer werden können. 3. Juli 2024
AWSSystemsManagerEnableConfigRecordingExecutionPolicy – Neue Richtlinie. Systems ManagerEs wurde eine neue Richtlinie hinzugefügt, mit der Quick Setup die AWS Config Konfigurationsaufzeichnung aktiviert und konfiguriert werden kann. 3. Juli 2024

AWSQuickSetupDevOpsGuruPermissionsBoundary – Neue Richtlinie.

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglichtQuick Setup, Amazon DevOps Guru zu aktivieren und zu konfigurieren.

 3. Juli 2024

AWSQuickSetupDistributorPermissionsBoundary – Neue Richtlinie.

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglicht, Distributor Quick Setup zu aktivieren und zu konfigurieren, eine Funktion von AWS Systems Manager.

3. Juli 2024

AWSQuickSetupSSMHostMgmtPermissionsBoundary – Neue Richtlinie.

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglichtQuick Setup, Systems Manager Manager-Funktionen für die sichere Verwaltung von EC2 Amazon-Instances zu aktivieren und zu konfigurieren.

 3. Juli 2024

AWSQuickSetupPatchPolicyPermissionsBoundary – Neue Richtlinie.

Systems Managerhat eine neue Richtlinie hinzugefügt, mit Quick Setup der Patch-Richtlinien aktiviert und konfiguriert werden könnenPatch Manager, eine Funktion von AWS Systems Manager.

3. Juli 2024

AWSQuickSetupSchedulerPermissionsBoundary – Neue Richtlinie.

Systems Managerhat eine neue Richtlinie hinzugefügt, die es Quick Setup ermöglicht, geplante Operationen auf EC2 Amazon-Instances und anderen Ressourcen zu aktivieren und zu konfigurieren.

3. Juli 2024

AWSQuickSetupCFGCPacksPermissionsBoundary – Neue Richtlinie.

Systems Managerhat eine neue Richtlinie hinzugefügt, um die Bereitstellung von AWS Config Conformance Packs Quick Setup zu ermöglichen.

3. Juli 2024

AWSSystemsManagerOpsDataSyncServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

 OpsCenterdie Richtlinie wurde aktualisiert, um die Sicherheit des Servicecodes innerhalb der OpsData dienstbezogenen Rolle für die Verwaltung verwandter Vorgänge Explorer zu verbessern. 03. Juli 2023

AmazonSSMManagedEC2InstanceDefaultPolicy – Neue Richtlinie.

Systems Managerhat eine neue Richtlinie hinzugefügt, um Systems Manager Funktionen auf EC2 Amazon-Instances ohne die Verwendung eines IAM Instance-Profils zu ermöglichen.

 18. August 2022

A mazonSSMService RolePolicy — Aktualisierung einer bestehenden Richtlinie

Systems Manager hat neue Berechtigungen hinzugefügt, damit Explorer eine verwaltete Regel erstellen kann, wenn Sie Security Hub von Explorer oder OpsCenter aktivieren. Neue Berechtigungen wurden hinzugefügt, um zu überprüfen, ob die Konfiguration und der Compute-Optimizer die erforderlichen Anforderungen erfüllen, bevor sie zugelassen werden. OpsData

 27. April 2021

AWSSystemsManagerOpsDataSyncServiceRolePolicy – Neue Richtlinie.

Systems Managerhat eine neue Richtlinie hinzugefügt, um und OpsData aus Security Hub Hub-Erkenntnissen in OpsItems und zu erstellen Explorer und zu aktualisierenOpsCenter.

 27. April 2021

AmazonSSMServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

Systems Managerneue Berechtigungen hinzugefügt, um die Anzeige von Aggregaten OpsData und OpsItems Details aus mehreren Konten und AWS-Regionen in zu ermöglichenExplorer.

 24. März 2021

Systems Manager hat die Änderungsverfolgung gestartet

Systems Managerhat begonnen, Änderungen an den AWS verwalteten Richtlinien zu verfolgen.

 12. März 2021

Zusätzliche verwaltete Richtlinien für Systems Manager

Zusätzlich zu den weiter oben in diesem Thema beschriebenen verwalteten Richtlinien werden die folgenden Richtlinien auch von Systems Manager unterstützt.

  • AmazonSSMAutomationApproverAccess— AWS verwaltete Richtlinie, die den Zugriff ermöglicht, um Automatisierungsausführungen einzusehen und Genehmigungsentscheidungen an die Automatisierung zu senden, die auf die Genehmigung wartet.

  • AmazonSSMAutomationRole— AWS verwaltete Richtlinie, die dem Systems Manager Automatisierungsdienst Berechtigungen zur Ausführung von Aktivitäten gewährt, die in Automatisierungs-Runbooks definiert sind. Weisen Sie diese Richtlinie Administratoren und vertrauenswürdigen Hauptbenutzern zu.

  • AmazonSSMDirectoryServiceAccess— AWS verwaltete Richtlinie, die SSM Agent den Zugriff im Namen des Benutzers AWS Directory Service auf Anfragen zum Beitritt zur Domäne durch den verwalteten Knoten ermöglicht.

  • AmazonSSMFullAccess— AWS verwaltete Richtlinie, die vollen Zugriff auf die Systems Manager API und Dokumente gewährt.

  • AmazonSSMMaintenanceWindowRole— AWS verwaltete Richtlinie, die Wartungsfenstern Berechtigungen für den Systems Manager gewährtAPI.

  • AmazonSSMManagedInstanceCore – Von AWS verwaltete Richtlinie, die einem Knoten die Nutzung von Systems Manager-Servicekern-Funktionalität erlaubt.

  • AmazonSSMPatchAssociation— AWS verwaltete Richtlinie, die den Zugriff auf untergeordnete Instanzen für Patch-Zuordnungsvorgänge ermöglicht.

  • AmazonSSMReadOnlyAccess— AWS verwaltete Richtlinie, die Zugriff auf Systems Manager schreibgeschützte API Operationen wie und gewährt. Get* List*

  • AWSSSMOpsInsightsServiceRolePolicy— AWS verwaltete Richtlinie, die Berechtigungen für die Erstellung und Aktualisierung betrieblicher Einblicke in gewährt OpsItems. Systems Manager Wird verwendet, um Berechtigungen über die serviceverknüpfte Rolle AWSServiceRoleForAmazonSSM_OpsInsightsbereitzustellen.

  • AWSSystemsManagerAccountDiscoveryServicePolicy— AWS verwaltete Richtlinie, die Systems Manager die Erlaubnis erteilt, AWS-Konto Informationen zu ermitteln.

  • AWSSystemsManagerChangeManagementServicePolicy— AWS verwaltete Richtlinie, die Zugriff auf AWS Ressourcen gewährt, die vom Systems Manager Change-Management-Framework verwaltet oder genutzt und von der dienstbezogenen Rolle AWSServiceRoleForSystemsManagerChangeManagement genutzt werden.

  • AmazonEC2RoleforSSM— Diese Richtlinie wird nicht mehr unterstützt und sollte nicht verwendet werden. Verwenden Sie stattdessen die AmazonSSMManagedInstanceCore Richtlinie, um die Kernfunktionen des Systems Manager Dienstes auf EC2 Instances zuzulassen. Weitere Informationen finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen.