Políticas administradas de AWS para AWS Systems Manager

Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Considere que es posible que las políticas administradas por AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Política administrada de AWS: AmazonSSMServiceRolePolicy

No puede adjuntar AmazonSSMServiceRolePolicy a sus entidades de AWS Identity and Access Management (IAM). Esta política está adjunta a un rol vinculado a servicios que permite a AWS Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Uso de roles para recopilar datos de inventario y ver OpsData.

AmazonSSMServiceRolePolicy permite que Systems Manager complete las siguientes acciones en todos los recursos relacionados ("Resource": "*"), excepto cuando se indica lo contrario:

• ssm:CancelCommand

• ssm:GetCommandInvocation

• ssm:ListCommandInvocations

• ssm:ListCommands

• ssm:SendCommand

• ssm:GetAutomationExecution

• ssm:GetParameters

• ssm:StartAutomationExecution

• ssm:StopAutomationExecution

• ssm:ListTagsForResource

• ssm:GetCalendarState

• ssm:UpdateServiceSetting [1]

• ssm:GetServiceSetting [1]

• ec2:DescribeInstanceAttribute

• ec2:DescribeInstanceStatus

• ec2:DescribeInstances

• lambda:InvokeFunction [2]

• states:DescribeExecution [3]

• states:StartExecution [3]

• resource-groups:ListGroups

• resource-groups:ListGroupResources

• resource-groups:GetGroupQuery

• tag:GetResources

• config:SelectResourceConfig

• config:DescribeComplianceByConfigRule

• config:DescribeComplianceByResource

• config:DescribeRemediationConfigurations

• config:DescribeConfigurationRecorders

• cloudwatch:DescribeAlarms

• compute-optimizer:GetEC2InstanceRecommendations

• compute-optimizer:GetEnrollmentStatus

• support:DescribeTrustedAdvisorChecks

• support:DescribeTrustedAdvisorCheckSummaries

• support:DescribeTrustedAdvisorCheckResult

• support:DescribeCases

• iam:PassRole [4]

• cloudformation:DescribeStacks

• cloudformation:ListStackResources

• cloudformation:ListStackInstances [5]

• cloudformation:DescribeStackSetOperation [5]

• cloudformation:DeleteStackSet [5]

• cloudformation:DeleteStackInstances [6]

• events:PutRule [7]

• events:PutTargets [7]

• events:RemoveTargets [8]

• events:DeleteRule [8]

• events:DescribeRule

• securityhub:DescribeHub

[1] Las acciones ssm:UpdateServiceSetting y ssm:GetServiceSetting solo tienen permisos para los siguientes recursos.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[2] La acción lambda:InvokeFunction solo tiene permisos para los siguientes recursos.

arn:aws:lambda:*:*:function:SSM*
arn:aws:lambda:*:*:function:*:SSM*

[3] Las acciones states: solo tienen permisos para los siguientes recursos.

arn:aws:states:*:*:stateMachine:SSM*
arn:aws:states:*:*:execution:SSM*

[4] La acción iam:PassRole solo tiene permisos por la siguiente condición para el servicio de Systems Manager.

"Condition": {
   "StringEquals": {
      "iam:PassedToService": [
         "ssm.amazonaws.com"
      ]
   }
}

[5] Las acciones cloudformation:ListStackInstances, cloudformation:DescribeStackSetOperation y cloudformation:DeleteStackSet solo tienen permisos para el siguiente recurso.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*

[6] La acción cloudformation:DeleteStackInstances solo tiene permisos para los siguientes recursos.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

[7] Las acciones events:PutRule y events:PutTargets solo tienen permisos por la siguiente condición para el servicio de Systems Manager.

"Condition": {
    "StringEquals": {
        "events:ManagedBy": "ssm.amazonaws.com"
    }
}

[8] Las acciones events:RemoveTargets y events:DeleteRule solo tienen permisos para el siguiente recurso.

arn:aws:events:*:*:rule/SSMExplorerManagedRule

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AmazonSSMReadOnlyAccess

Puede adjuntar la política AmazonSSMReadOnlyAccess a las identidades de IAM. Esta política otorga acceso de solo lectura a las operaciones de la API de AWS Systems Manager, incluidas Describe*, Get* y List*.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMReadOnlyAccess en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy

No puede adjuntar AWSSystemsManagerOpsDataSyncServiceRolePolicy a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Uso de roles para crear OpsData y OpsItems para Explorer.

AWSSystemsManagerOpsDataSyncServiceRolePolicy permite al rol vinculado a un servicio AWSServiceRoleForSystemsManagerOpsDataSync crear y actualizar OpsItems y OpsData desde resultados de AWS Security Hub.

La política permite que Systems Manager complete las siguientes acciones en todos los recursos relacionados ("Resource": "*"), excepto cuando se indica lo contrario:

• ssm:GetOpsItem [1]

• ssm:UpdateOpsItem [1]

• ssm:CreateOpsItem

• ssm:AddTagsToResource [2]

• ssm:UpdateServiceSetting [3]

• ssm:GetServiceSetting [3]

• securityhub:GetFindings

• securityhub:GetFindings

• securityhub:BatchUpdateFindings [4]

[1] Las acciones ssm:GetOpsItem y ssm:UpdateOpsItem solo tienen permisos por la siguiente condición para el servicio de Systems Manager.

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] La acción ssm:AddTagsToResource solo tiene permisos para los siguientes recursos.

arn:aws:ssm:*:*:opsitem/*

[3] Las acciones ssm:UpdateServiceSetting y ssm:GetServiceSetting solo tienen permisos para los siguientes recursos.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] Las acciones securityhub:BatchUpdateFindings son permisos denegados por la siguiente condición para el servicio de Systems Manager.

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerOpsDataSyncServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AmazonSSMManagedEC2InstanceDefaultPolicy

Solo debe adjuntar AmazonSSMManagedEC2InstanceDefaultPolicy a roles de IAM para las instancias de Amazon EC2 para las que desee tener permiso para usar la funcionalidad de Systems Manager. No debe asignar esta función a otras entidades de IAM, como los usuarios y los grupos de IAM, ni a roles de IAM que sirvan para otros fines. Para obtener más información, consulte Utilización de la configuración predeterminada de la administración de hosts.

Esta política concede permisos que autorizan que el SSM Agent en la instancia de Amazon EC2 recupere documentos, ejecute comandos con Run Command, establezca sesiones con Session Manager, recopile un inventario de la instancia, y analice las revisiones y el cumplimiento de las mismas mediante Patch Manager.

Systems Manager utiliza tokens de autorización personalizados para cada instancia a fin de garantizar que el SSM Agent realice las operaciones de la API en la instancia correcta. Systems Manager valida los tokens de autorización personalizados cotejándolos con el Nombre de recurso de Amazon (ARN) de la instancia, proporcionado en la operación de la API.

La política de permisos del rol AmazonSSMManagedEC2InstanceDefaultPolicy permite que Systems Manager ejecute las siguientes acciones en todos los recursos relacionados:

• ssm:DescribeAssociation

• ssm:GetDeployablePatchSnapshotForInstance

• ssm:GetDocument

• ssm:DescribeDocument

• ssm:GetManifest

• ssm:ListAssociations

• ssm:ListInstanceAssociations

• ssm:PutInventory

• ssm:PutComplianceItems

• ssm:PutConfigurePackageResult

• ssm:UpdateAssociationStatus

• ssm:UpdateInstanceAssociationStatus

• ssm:UpdateInstanceInformation

• ssmmessages:CreateControlChannel

• ssmmessages:CreateDataChannel

• ssmmessages:OpenControlChannel

• ssmmessages:OpenDataChannel

• ec2messages:AcknowledgeMessage

• ec2messages:DeleteMessage

• ec2messages:FailMessage

• ec2messages:GetEndpoint

• ec2messages:GetMessages

• ec2messages:SendReply

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMManagedEC2InstanceDefaultPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: SSMQuickSetupRolePolicy

No se puede adjuntar SSMQuickSetupRolePolicy a las entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Uso de roles para mantener el estado y la consistencia de los recursos aprovisionados de Quick Setup.

Esta política otorga permisos de solo lectura que permiten a Systems Manager comprobar el estado de la configuración, garantizar el uso coherente de los parámetros y los recursos aprovisionados, además de corregir los recursos cuando se detecta una desviación.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales leer sincronizaciones de datos de recursos de información y documentos de SSM en Systems Manager. Esto es necesario para que la Quick Setup pueda determinar el estado en el que deben estar configurados los recursos.

• organizations: permite a las entidades principales leer información sobre las cuentas de los miembros que pertenecen a una organización, tal como se configuró en AWS Organizations. Esto es necesario para que Quick Setup pueda identificar todas las cuentas de una organización en las que se van a realizar comprobaciones de estado de los recursos.

• cloudformation: permite a las entidades principales leer la información de AWS CloudFormation. Esto es necesario para que Quick Setup pueda recopilar datos sobre las pilas de AWS CloudFormation que se utilizan para administrar el estado de los recursos y las operaciones de los conjuntos de pilas de CloudFormation.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "SSMResourceDataSyncPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:ListResourceDataSync"
			],
			"Resource": "*"
		},
		{
			"Sid": "SSMResourceDataSyncGetOpsSummaryPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:GetOpsSummary"
			],
			"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
		},
		{
			"Sid": "SSMAssociationsReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:ListAssociations",
				"ssm:DescribeAssociationExecutions"
			],
			"Resource": "*"
		},
		{
			"Sid": "QuickSetupSSMDocumentsReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:DescribeDocument",
				"ssm:GetDocument"
			],
			"Resource": [
				"arn:aws:ssm:*:*:document/AWSQuickSetupType-*",
				"arn:aws:ssm:*:*:document/*-AWSQuickSetupType-*"
			]
		},
		{
			"Sid": "OrganizationReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"organizations:ListRoots",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAccountsForParent",
				"organizations:ListOrganizationalUnitsForParent"
			],
			"Resource": "*"
		},
		{
			"Sid": "QuickSetupStackSetReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStackSet",
				"cloudformation:DescribeStackSetOperation",
				"cloudformation:ListStackInstances",
				"cloudformation:ListStackSetOperations",
				"cloudformation:ListStackSetOperationResults"
			],
			"Resource": [
				"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
				"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*"
			]
		},
		{
			"Sid": "QuickSetupStackSetDeletePermissions",
			"Effect": "Allow",
			"Action": [
				"cloudformation:DeleteStackInstances",
				"cloudformation:DeleteStackSet"
			],
			"Resource": [
				"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
				"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte SSMQuickSetupRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupDeploymentRolePolicy

La política administrada de AWSQuickSetupDeploymentRolePolicy admite varios tipos de configuración de Quick Setup. Estos tipos de configuración crean roles y automatizaciones de IAM que configuran servicios y características de Amazon Web Services utilizados con frecuencia, mediante las prácticas recomendadas.

Puede adjuntar AWSQuickSetupDeploymentRolePolicy a sus entidades de IAM.

Esta política concede los permisos administrativos necesarios para crear recursos asociados a las siguientes configuraciones de Quick Setup:

• Instalar la administración de host de Amazon EC2

• Cree un registrador de configuración de AWS Config mediante Quick Setup

• Implemente el paquete de conformidad de AWS Config mediante Quick Setup

• Configurar DevOps Guru con Quick Setup

• Implemente paquetes de Distributor mediante Quick Setup

• Detenga e inicie las instancias EC2 automáticamente según una programación

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite a las entidades principales gestionar y eliminar los roles de IAM necesarios para las tareas de configuración de automatización y gestionar las políticas de roles de automatización.

• cloudformation: permite a las entidades principales crear y administrar conjuntos de pilas.

• config: permite a las entidades principales crear, administrar y eliminar paquetes de conformidad.

• events: permite a las entidades principales crear, actualizar y eliminar reglas de eventos para acciones programadas.

• resource-groups: permite a las entidades principales recuperar las consultas de recursos asociadas a grupos de recursos a los que se dirigen las configuraciones de Quick Setup.

• ssm: permite a las entidades principales crear manuales de procedimientos de automatización y asociaciones que apliquen las configuraciones de Quick Setup.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupDeploymentRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupPatchPolicyDeploymentRolePolicy

La política administrada de AWSQuickSetupPatchPolicyDeploymentRolePolicy admite el tipo de Configurar las revisiones para las instancias de una organización Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.

Puede adjuntar AWSQuickSetupPatchPolicyDeploymentRolePolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Esta política concede permisos administrativos que permiten que Quick Setup cree recursos asociados a la configuración de la política de revisiones.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite a las entidades principales gestionar y eliminar los roles de IAM necesarios para las tareas de configuración de automatización y gestionar las políticas de roles de automatización.

• cloudformation: permite a las entidades principales leer la información de las pilas de AWS CloudFormation y controlar las pilas de AWS CloudFormation que se crearon por Quick Setupmediante conjuntos de pilas de AWS CloudFormation.

• ssm: permite a las entidades principales crear, actualizar, leer y eliminar los manuales de procedimientos de automatización necesarios para las tareas de configuración, así como crear, actualizar y eliminar asociaciones de State Manager.

• resource-groups: permite a las entidades principales recuperar las consultas de recursos asociadas a grupos de recursos a los que se dirigen las configuraciones de Quick Setup.

• s3: permite a las entidades principales enumerar los buckets de Amazon S3 y gestionarlos para almacenar los registros de acceso a las políticas de revisiones.

• lambda: permite a las entidades principales gestionar las funciones de corrección de AWS Lambda que mantienen las configuraciones en el estado correcto.

• logs: permite a las entidades principales describir y administrar grupos de registros para recursos de configuración de Lambda.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupPatchPolicyDeploymentRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política adminsitrada de AWS: AWSQuickSetupPatchPolicyBaselineAccess

La política administrada de AWSQuickSetupPatchPolicyBaselineAccess admite el tipo de Configurar las revisiones para las instancias de una organización Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.

Puede adjuntar AWSQuickSetupPatchPolicyBaselineAccess a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Esta política proporciona permisos de solo lectura para acceder a las líneas de base de revisiones configuradas por un administrador de la Cuenta de AWS actual o de la organización que utiliza Quick Setup. Las líneas de base de revisiones se almacenan en un bucket de Amazon S3 y se pueden utilizar para aplicar revisiones a instancias en una sola cuenta o en toda la organización.

Detalles de los permisos

Esta política incluye el siguiente permiso.

• s3: permite a las entidades principales leer las anulaciones de la línea de base de revisiones almacenadas en buckets de Amazon S3.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupPatchPolicyBaselineAccessy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSSystemsManagerEnableExplorerExecutionPolicy

La política gestionada de AWSSystemsManagerEnableExplorerExecutionPolicy admite la habilitación de Explorer, una capacidad de AWS Systems Manager.

Puede adjuntar AWSSystemsManagerEnableExplorerExecutionPolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Esta política concede permisos administrativos para la habilitación de Explorer. Esto incluye permisos para actualizar la configuración de servicios de Systems Manager relacionados y para crear un rol vinculado al servicio para Systems Manager.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• config: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.

• iam: permite que las entidades principales ayuden a habilitar Explorer

• ssm: permite que las entidades principales inicien un flujo de trabajo de automatización que habilita Explorer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerEnableExplorerExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

La política administrada de AWSSystemsManagerEnableConfigRecordingExecutionPolicy admite los tipos de configuración de Cree un registrador de configuración de AWS Config mediante Quick Setup Quick Setup. Este tipo de configuración habilita a Quick Setup a realizar un seguimiento y registrar los cambios en los tipos de recursos de AWS que elija para AWS Config. También habilita a Quick Setup para que configure las opciones de entrega y notificación de los datos registrados.

Puede adjuntar AWSSystemsManagerEnableConfigRecordingExecutionPolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar el registro de la configuración de AWS Config.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• s3: permite que las entidades principales creen y configuren buckets de Amazon S3 para la entrega de grabaciones de configuración.

• sns: permite que las entidades principales enumeren y creen temas de Amazon SNS.

• config: permite que las entidades principales configuren e inicien el registrador de configuración y ayudar a habilitar Explorer.

• iam: permite que las entidades principales creen, obtengan y pasen un rol vinculado al servicio para AWS Config; y además crear un rol vinculado al servicio para Systems Manager; y ayudar a habilitar Explorer.

• ssm: permite que las entidades principales inicien un flujo de trabajo de automatización que habilita Explorer.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerEnableConfigRecordingExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupDevOpsGuruPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada AWSQuickSetupDevOpsGuruPermissionsBoundary admite el tipo Configurar DevOps Guru con Quick Setup. El tipo de configuración habilita Amazon DevOps Guru, con tecnología de machine learning. El servicio DevOps Guru puede ayudar a mejorar el rendimiento operativo y la disponibilidad de la aplicación.

Al crear una configuración de AWSQuickSetupDevOpsGuruPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar Amazon DevOps Guru.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales creen funciones vinculadas a servicios para DevOps Guru y Systems Manager, y enumerar los roles que ayudan a habilitar Explorer.

• cloudformation: permite que las entidades principales enumeren y describar las pilas de AWS CloudFormation.

• sns: permite que las entidades principales enumeren y creen temas de Amazon SNS.

• devops-guru: permite a las entidades principales configuren DevOps Guru y agreguen un canal de notificaciones.

• config: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.

• ssm: permite que las entidades principales inicien un flujo de trabajo de automatización que habilite Explorer; y lean y actualicen la configuración del servicio Explorer.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupDevOpsGuruPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupDistributorPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada de AWSQuickSetupDistributorPermissionsBoundary admite los tipos de configuración de Implemente paquetes de Distributor mediante Quick Setup Quick Setup. El tipo de configuración permite la distribución de paquetes de software, como agentes, a sus instancias de Amazon Elastic Compute Cloud (Amazon EC2) mediante Distributor, una capacidad de AWS Systems Manager.

Al crear una configuración de AWSQuickSetupDistributorPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten que Quick Setup habilite la distribución de paquetes de software, como agentes, a sus instancias de Amazon EC2 mediante Distributor.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales obtengan y pasen el rolde automatización de Distributor; que creen, lean, actualicen y elimien el rol de instancia predeterminada; transfieran el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas de administración de instancias a los roles de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los roles de IAM y los perfiles de instancia; y creen el perfil de instancia predeterminada.

• ec2: permite que las entidades principales asocien el perfil de instancia predeterminada a las instancias EC2 y ayuden a habilitarExplorer.

• ssm: permite que las entidades principales incien los flujos de trabajo de automatización que configuran las instancias e instalan paquetes; y ayudan a iniciar el flujo de trabajo de automatización que habilita Explorer; y leen y actualizan la configuración de servicio de Explorer.

• config: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupDistributorPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupSSMHostMgmtPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada de AWSQuickSetupSSMHostMgmtPermissionsBoundary admite los tipos de configuración de Instalar la administración de host de Amazon EC2 Quick Setup. Este tipo de configuración configura los roles de IAM y habilita las funciones de Systems Manager más utilizadas para gestionar de forma segura las instancias de Amazon EC2.

Al crear una configuración de AWSQuickSetupSSMHostMgmtPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten que Quick Setup habilite y configure las capacidades de Systems Manager necesarias para administrar de forma segura las instancias de EC2.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales obtengan y transfieran el rol de servicio para la automatización. Permite que las entidades principales creen, lean, actualicen y elimien el rol de instancia predeterminada; transfieran el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas de administración de instancias a los roles de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los roles de IAM y los perfiles de instancia; y creen el perfil de instancia predeterminada.

• ec2: permite que las entidades principales asocien y cancelen la asociación del perfil de instancia predeterminada a las instancias EC2.

• ssm: permite que las entidades principales inicien flujos de trabajo de automatización que habilitan Explorer; lean y actualicen la configuración de servicio de Explorer; configuren instancias; y habiliten las capacidades de Systems Manager en las instancias.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSSMHostMgmtPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupPatchPolicyPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada de AWSQuickSetupPatchPolicyPermissionsBoundary admite el tipo de Configurar las revisiones para las instancias de una organización Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.

Al crear una configuración de AWSQuickSetupPatchPolicyPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten que Quick Setup habilite y configure políticas de revisiones en Patch Manager, una capacidad deAWS Systems Manager.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales obtengan el rol de automatización de Patch Manager; pasen las funciones de automatización a las operaciones de aplicación de revisiones de Patch Manager; creen el rol de instancia predeterminada, AmazonSSMRoleForInstancesQuickSetup; pasen el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas gestionadas de AWS seleccionadas al rol de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los perfiles y roles de las instancias; creen un perfil de instancia predeterminado; y etiqueten funciones que tienen permisos de lectura de anulaciones de línea de base de revisiones.

• ssm: permite que las entidades principales actualicen el rol de instancia que gestiona Systems Manager; gestionen las asociaciones creadas por las políticas de revisiones de Patch Manager creadas enQuick Setup; etiqueten las instancias a las que se dirige una configuración de política de revisiones; lean información sobre las instancias y el estado de las revisiones; inicien los flujos de trabajo de automatización que configuran, habilitan y corrigen las revisiones de instancias; inicien los flujos de trabajo de automatización que habilitan Explorer; ayuden a habilitar Explorer; y lean y actualicen la configuración del servicio de Explorer.

• ec2: permite que las entidades principales asocien y desasocien el perfil de instancia predeterminado con las instancias de EC2; etiqueten las instancias a las que se dirige una configuración de política de revisiones; etiqueten las instancias a las que se dirige una configuración de política de revisiones; y ayuden a habilitar Explorer.

• s3: permite que las entidades principales creen y configuren buckets de S3 para almacenar las anulaciones de línea de base de revisiones.

• lambda: permite que las entidades principales invoquen funciones AWS Lambda que configuran la aplicación de revisiones y realizan operaciones de limpieza una vez eliminada la configuración de una política de revisiones de Quick Setup.

• logs: permite que las entidades principales configuren el registro para las funciones AWS Lambda de Quick Setup Patch Manager.

• config: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupPatchPolicyPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupSchedulerPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada de AWSQuickSetupSchedulerPermissionsBoundary admite los tipos de configuración de Quick Setup. Este tipo de configuración le permite detener e iniciar las instancias de EC2 y otros recursos en los momentos que especifique.

Al crear una configuración de AWSQuickSetupSchedulerPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar operaciones programadas en instancias EC2 y otros recursos.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales recuperen y transfieran roles para las acciones de automatización de la administración de instancias; administren, pasen y adjunten roles de instancia predeterminadas para la administración de instancias de EC2; creen perfiles de instancia predeterminados; agreguen roles de instancia predeterminados a los perfiles de instancia; creen un rol vinculado a un servicio para Systems Manager; lean información sobre los roles de IAM y los perfiles de instancia; asocien un perfil de instancia predeterminado a las instancias de EC2; e inicien flujos de trabajo de automatización para configurar las instancias y habilitar las capacidades de Systems Manager.

• ssm: permite que las entidades principales inicien los flujos de trabajo de automatización que habilitan Explorer; y lean y actualicen la configuración de servicio de Explorer.

• ec2: permite que las entidades principales localicen las instancias de destino e iniciarlas y detenerlas según una programación.

• config: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura a las verificaciónes de AWS Trusted Advisor de una cuenta.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSchedulerPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupCFGCPacksPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada de AWSQuickSetupCFGCPacksPermissionsBoundary admite el tipo de configuración Quick Setup. Este tipo de configuración implementa paquetes de conformidad AWS Config. Los paquetes de conformidad son conjunto de reglas de AWS Config y acciones correctivas que se puedan implementar como una sola entidad.

Al crear una configuración de AWSQuickSetupCFGCPacksPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten a Quick Setup implementar paquetes de conformidad de AWS Config.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales creen, obtengan y pasen un rol vinculado a un servicio para AWS Config.

• sns: permite que las entidades principales enumeren las aplicaciones de la plataforma en Amazon SNS.

• config: permite que las entidades principales implementen paquetes de conformidad de AWS Config, obtengan el estado de los paquetes de conformidad y obtengan información sobre los registradores de configuración.

• ssm: permite que las entidades principales obtengan información sobre los documentos SSM y los flujos de trabajo de automatización; obtengan información sobre las etiquetas de los recursos; y obtengan información sobre la configuración del servicio y la actualicen.

• compute-optimizer: permite que las entidades principales obtengan el estado de suscripción de una cuenta.

• support: permite que las entidades principales obtengan información sobre las verificaciones de AWS Trusted Advisor.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupCFGCPacksPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Actualizaciones de Systems Manager para las políticas administradas de AWS

La siguiente tabla muestra los detalles de las actualizaciones de las políticas administradas de AWS para Systems Manager debido a que este servicio comenzó a realizar el seguimiento de estos cambios el 12 de marzo de 2021. Para obtener información sobre otras políticas administradas para el servicio Systems Manager, consulte Políticas administradas adicionales para Systems Manager más adelante en este tema. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Systems Manager Historial del documento.

Cambio	Descripción	Fecha
SSMQuickSetupRolePolicy: política nueva	Systems Manager agregó una nueva política que permite a Quick Setup comprobar el estado de los recursos desplegados y corregir las instancias que se han desviado de la configuración original.	3 de julio de 2024
AWSQuickSetupDeploymentRolePolicy: política nueva	Systems Manager agregó una nueva política para admitir varios tipos de configuración de Configuración Rápida que crean roles y automatizaciones de IAM, que a su vez configuran servicios y características de Amazon Web Services de uso frecuente, mediante las prácticas recomendadas.	3 de julio de 2024
AWSQuickSetupPatchPolicyDeploymentRolePolicy : política nueva	Systems Manager agregó una nueva política que permite a Quick Setup crear recursos asociados a las configuraciones de Patch Manager de las políticas de revisiones de Quick Setup.	3 de julio de 2024
AWSQuickSetupPatchPolicyBaselineAccess: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup acceder a las líneas de base de revisiones en Patch Manager con permisos de solo lectura.	3 de julio de 2024
AWSSystemsManagerEnableExplorerExecutionPolicy: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup conceder permisos administrativos para habiltiar Explorer.	3 de julio de 2024
AWSSystemsManagerEnableConfigRecordingExecutionPolicy: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar el registro de la configuración de AWS Config.	3 de julio de 2024
AWSQuickSetupDevOpsGuruPermissionsBoundary: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar Amazon DevOps Guru.	3 de julio de 2024
AWSQuickSetupDistributorPermissionsBoundary: nueva política	Systems Manager agregó una nueva política para permitir a Quick Setup habilitar y configurar Distributor, una capacidad de AWS Systems Manager.	3 de julio de 2024
AWSQuickSetupSSMHostMgmtPermissionsBoundary: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar las capacidades de Systems Manager para administrar de forma segura las instancias de Amazon EC2.	3 de julio de 2024
AWSQuickSetupPatchPolicyPermissionsBoundary: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar las políticas de revisiones en Patch Manager, una capacidad de AWS Systems Manager.	3 de julio de 2024
AWSQuickSetupSchedulerPermissionsBoundary: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar las operaciones programadas en las instancias de Amazon EC2 y otros recursos.	3 de julio de 2024
AWSQuickSetupCFGCPacksPermissionsBoundary: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup implementar paquetes de conformidad con AWS Config.	3 de julio de 2024
AWSSystemsManagerOpsDataSyncServiceRolePolicy: actualización de una política actual	OpsCenter actualizó la política para mejorar la seguridad del código de servicio dentro del rol vinculado al servicio para que Explorer administre las operaciones relacionadas con OPSData.	3 de julio de 2023
AmazonSSMManagedEC2InstanceDefaultPolicy: política nueva	Systems Manager agregó una política nueva para permitir la funcionalidad de Systems Manager en las instancias de Amazon EC2 sin necesidad de usar un perfil de instancia de IAM.	18 de agosto de 2022
AmazonSSMServiceRolePolicy: actualización a una política existente.	Systems Manager agregó nuevos permisos para permitir a Explorer crear una regla administrada cuando active Security Hub desde Explorer o OpsCenter. Se agregaron nuevos permisos para verificar que la configuración y el optimizador de computación cumplen con los requisitos necesarios antes de permitir OpsData.	27 de abril de 2021
AWSSystemsManagerOpsDataSyncServiceRolePolicy: política nueva	Systems Manager agregó una política nueva para crear y actualizar OpsItems y OpsData desde resultados de Security Hub en Explorer y OpsCenter.	27 de abril de 2021
AmazonSSMServiceRolePolicy: actualización de una política actual	Systems Manager agregó nuevos permisos para permitir la visualización de detalles agregados de OpsData y OpsItems de varias cuentas y Regiones de AWS en Explorer.	24 de marzo de 2021
Systems Manager comenzó el seguimiento de los cambios.	Systems Manager comenzó el seguimiento de los cambios de las políticas administradas de AWS.	12 de marzo de 2021

Políticas administradas adicionales para Systems Manager

Además de las políticas administradas antes mencionadas en este tema, Systems Manager también admite las siguientes políticas.

• AmazonSSMAutomationApproverAccess: política administrada por AWS que permite el acceso para ver ejecuciones de automatización y enviar decisiones de aprobación de automatización en espera de aprobación.

• AmazonSSMAutomationRole: política administrada por AWS que proporciona permisos para que el servicio Automatización de Systems Manager ejecute las actividades definidas en los manuales de procedimientos de Automatización. Asigne esta política a los administradores y a los usuarios de confianza avanzados.

• AmazonSSMDirectoryServiceAccess: política administrada por AWS que permite a SSM Agent acceder a AWS Directory Service en nombre del usuario para realizar solicitudes de unión al dominio por parte del nodo administrado.

• AmazonSSMFullAccess: política administrada por AWS que concede acceso total a la API y los documentos de Systems Manager.

• AmazonSSMMaintenanceWindowRole: política administrada por AWS que proporciona periodos de mantenimiento con permisos para la API de Systems Manager.

• AmazonSSMManagedInstanceCore: política administrada de AWS que permite que un nodo utilice la funcionalidad básica del servicio Systems Manager.

• AmazonSSMPatchAssociation: política administrada por AWS que proporciona acceso a las instancias secundarias para realizar la asociación de revisiones.

• AmazonSSMReadOnlyAccess: política administrada por AWS que concede acceso a operaciones de la API de solo lectura de Systems Manager, como Get* y List*.

• AWSSSMOpsInsightsServiceRolePolicy: política administrada por AWS que proporciona permisos para crear y actualizar información operativa de OpsItems en Systems Manager. Se utiliza para proporcionar permisos a través del rol vinculado al servicio AWSServiceRoleForAmazonSSM_OpsInsights.

• AWSSystemsManagerAccountDiscoveryServicePolicy: política administrada por AWS que concede a Systems Manager permiso para descubrir la información de la Cuenta de AWS.

• AWSSystemsManagerChangeManagementServicePolicy: política administrada por AWS que proporciona acceso a recursos de AWS administrados o utilizados por el marco de administración de cambios de Systems Manager y utilizados por el rol vinculado al servicio AWSServiceRoleForSystemsManagerChangeManagement.

• AmazonEC2RoleforSSM— Esta política ya no se admite y no debe utilizarse. En su lugar, utilice la política AmazonSSMManagedInstanceCore para permitir la funcionalidad principal del servicio de Systems Manager en las instancias EC2. Para obtener información, consulte Configuración de permisos de instancia requeridos para Systems Manager.