Políticas administradas de AWS para AWS Systems Manager - AWS Systems Manager
AmazonSSMServiceRolePolicyAmazonSSMReadOnlyAccessAWSSystemsManagerOpsDataSyncServiceRolePolicyAmazonSSMManagedEC2InstanceDefaultPolicyActualizaciones de políticasPolíticas administradas adicionales para Systems Manager

Políticas administradas de AWS para AWS Systems Manager

Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Considere que es posible que las políticas administradas por AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.

Política administrada de AWS: AmazonSSMServiceRolePolicy

No puede adjuntar AmazonSSMServiceRolePolicy a sus entidades de AWS Identity and Access Management (IAM). Esta política está adjunta a un rol vinculado a servicios que permite a AWS Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Uso de roles para recopilar datos de inventario y ver OpsData.

AmazonSSMServiceRolePolicy permite que Systems Manager complete las siguientes acciones en todos los recursos relacionados ("Resource": "*"), excepto cuando se indica lo contrario:

  • ssm:CancelCommand

  • ssm:GetCommandInvocation

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:SendCommand

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:StartAutomationExecution

  • ssm:StopAutomationExecution

  • ssm:ListTagsForResource

  • ssm:GetCalendarState

  • ssm:UpdateServiceSetting [1]

  • ssm:GetServiceSetting [1]

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInstances

  • lambda:InvokeFunction [2]

  • states:DescribeExecution [3]

  • states:StartExecution [3]

  • resource-groups:ListGroups

  • resource-groups:ListGroupResources

  • resource-groups:GetGroupQuery

  • tag:GetResources

  • config:SelectResourceConfig

  • config:DescribeComplianceByConfigRule

  • config:DescribeComplianceByResource

  • config:DescribeRemediationConfigurations

  • config:DescribeConfigurationRecorders

  • cloudwatch:DescribeAlarms

  • compute-optimizer:GetEC2InstanceRecommendations

  • compute-optimizer:GetEnrollmentStatus

  • support:DescribeTrustedAdvisorChecks

  • support:DescribeTrustedAdvisorCheckSummaries

  • support:DescribeTrustedAdvisorCheckResult

  • support:DescribeCases

  • iam:PassRole [4]

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:ListStackInstances [5]

  • cloudformation:DescribeStackSetOperation [5]

  • cloudformation:DeleteStackSet [5]

  • cloudformation:DeleteStackInstances [6]

  • events:PutRule [7]

  • events:PutTargets [7]

  • events:RemoveTargets [8]

  • events:DeleteRule [8]

  • events:DescribeRule

  • securityhub:DescribeHub

[1] Las acciones ssm:UpdateServiceSetting y ssm:GetServiceSetting solo tienen permisos para los siguientes recursos.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[2] La acción lambda:InvokeFunction solo tiene permisos para los siguientes recursos.

arn:aws:lambda:*:*:function:SSM*
arn:aws:lambda:*:*:function:*:SSM*

[3] Las acciones states: solo tienen permisos para los siguientes recursos.

arn:aws:states:*:*:stateMachine:SSM*
arn:aws:states:*:*:execution:SSM*

[4] La acción iam:PassRole solo tiene permisos por la siguiente condición para el servicio de Systems Manager.

"Condition": {
   "StringEquals": {
      "iam:PassedToService": [
         "ssm.amazonaws.com"
      ]
   }
}

[5] Las acciones cloudformation:ListStackInstances, cloudformation:DescribeStackSetOperation y cloudformation:DeleteStackSet solo tienen permisos para el siguiente recurso.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*

[6] La acción cloudformation:DeleteStackInstances solo tiene permisos para los siguientes recursos.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

[7] Las acciones events:PutRule y events:PutTargets solo tienen permisos por la siguiente condición para el servicio de Systems Manager.

"Condition": {
    "StringEquals": {
        "events:ManagedBy": "ssm.amazonaws.com"
    }
}

[8] Las acciones events:RemoveTargets y events:DeleteRule solo tienen permisos para el siguiente recurso.

arn:aws:events:*:*:rule/SSMExplorerManagedRule

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AmazonSSMReadOnlyAccess

Puede adjuntar la política AmazonSSMReadOnlyAccess a las identidades de IAM. Esta política otorga acceso de solo lectura a las operaciones de la API de AWS Systems Manager, incluidas Describe*, Get* y List*.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMReadOnlyAccess en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy

No puede adjuntar AWSSystemsManagerOpsDataSyncServiceRolePolicy a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Uso de roles para crear OpsData y OpsItems para Explorer.

AWSSystemsManagerOpsDataSyncServiceRolePolicy permite al rol vinculado a un servicio AWSServiceRoleForSystemsManagerOpsDataSync crear y actualizar OpsItems y OpsData desde resultados de AWS Security Hub.

La política permite que Systems Manager complete las siguientes acciones en todos los recursos relacionados ("Resource": "*"), excepto cuando se indica lo contrario:

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

[1] Las acciones ssm:GetOpsItem y ssm:UpdateOpsItem solo tienen permisos por la siguiente condición para el servicio de Systems Manager.

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] La acción ssm:AddTagsToResource solo tiene permisos para los siguientes recursos.

arn:aws:ssm:*:*:opsitem/*

[3] Las acciones ssm:UpdateServiceSetting y ssm:GetServiceSetting solo tienen permisos para los siguientes recursos.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] Las acciones securityhub:BatchUpdateFindings son permisos denegados por la siguiente condición para el servicio de Systems Manager.

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerOpsDataSyncServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AmazonSSMManagedEC2InstanceDefaultPolicy

Solo debe adjuntar AmazonSSMManagedEC2InstanceDefaultPolicy a roles de IAM para las instancias de Amazon EC2 para las que desee tener permiso para usar la funcionalidad de Systems Manager. No debe asignar esta función a otras entidades de IAM, como los usuarios y los grupos de IAM, ni a roles de IAM que sirvan para otros fines. Para obtener más información, consulte Utilización de la configuración predeterminada de la administración de hosts.

Esta política concede permisos que autorizan que el SSM Agent en la instancia de Amazon EC2 recupere documentos, ejecute comandos con Run Command, establezca sesiones con Session Manager, recopile un inventario de la instancia, y analice las revisiones y el cumplimiento de las mismas mediante Patch Manager.

Systems Manager utiliza tokens de autorización personalizados para cada instancia a fin de garantizar que el SSM Agent realice las operaciones de la API en la instancia correcta. Systems Manager valida los tokens de autorización personalizados cotejándolos con el Nombre de recurso de Amazon (ARN) de la instancia, proporcionado en la operación de la API.

La política de permisos del rol AmazonSSMManagedEC2InstanceDefaultPolicy permite que Systems Manager ejecute las siguientes acciones en todos los recursos relacionados:

  • ssm:DescribeAssociation

  • ssm:GetDeployablePatchSnapshotForInstance

  • ssm:GetDocument

  • ssm:DescribeDocument

  • ssm:GetManifest

  • ssm:ListAssociations

  • ssm:ListInstanceAssociations

  • ssm:PutInventory

  • ssm:PutComplianceItems

  • ssm:PutConfigurePackageResult

  • ssm:UpdateAssociationStatus

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMManagedEC2InstanceDefaultPolicy en la Guía de referencia de políticas administradas de AWS.

Actualizaciones de Systems Manager para las políticas administradas de AWS

La siguiente tabla muestra los detalles de las actualizaciones de las políticas administradas de AWS para Systems Manager debido a que este servicio comenzó a realizar el seguimiento de estos cambios el 12 de marzo de 2021. Para obtener información sobre otras políticas administradas para el servicio Systems Manager, consulte Políticas administradas adicionales para Systems Manager más adelante en este tema. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Systems Manager Historial del documento.

Cambio Descripción Fecha

AWSSystemsManagerOpsDataSyncServiceRolePolicy: actualización de una política existente.

 OpsCenter actualizó la política para mejorar la seguridad del código de servicio dentro del rol vinculado al servicio para que Explorer administre las operaciones relacionadas con OPSData. 28 de junio de 2023

AmazonSSMManagedEC2InstanceDefaultPolicy: Política nueva.

Systems Manager agregó una política nueva para permitir la funcionalidad de Systems Manager en las instancias de Amazon EC2 sin necesidad de usar un perfil de instancia de IAM.

 18 de agosto de 2022

AmazonSSMServiceRolePolicy: actualización a una política existente.

Systems Manager agregó nuevos permisos para permitir a Explorer crear una regla administrada cuando active Security Hub desde Explorer o OpsCenter. Se agregaron nuevos permisos para verificar que la configuración y el optimizador de computación cumplen con los requisitos necesarios antes de permitir OpsData.

 27 de abril de 2021

AWSSystemsManagerOpsDataSyncServiceRolePolicy: Política nueva.

Systems Manager agregó una política nueva para crear y actualizar OpsItems y OpsData desde resultados de Security Hub en Explorer y OpsCenter.

 27 de abril de 2021

AmazonSSMServiceRolePolicy: actualización de una política existente.

Systems Manager agregó nuevos permisos para permitir la visualización de detalles agregados de OpsData y OpsItems de varias cuentas y Regiones de AWS en Explorer.

 24 de marzo de 2021

Systems Manager comenzó el seguimiento de los cambios.

Systems Manager comenzó el seguimiento de los cambios de las políticas administradas de AWS.

 12 de marzo de 2021

Políticas administradas adicionales para Systems Manager

Además de las políticas administradas antes mencionadas en este tema, Systems Manager también admite las siguientes políticas.

  • AmazonSSMAutomationApproverAccess: política administrada por AWS que permite el acceso para ver ejecuciones de automatización y enviar decisiones de aprobación de automatización en espera de aprobación.

  • AmazonSSMAutomationRole: política administrada por AWS que proporciona permisos para que el servicio Automatización de Systems Manager ejecute las actividades definidas en los manuales de procedimientos de Automatización. Asigne esta política a los administradores y a los usuarios de confianza avanzados.

  • AmazonSSMDirectoryServiceAccess: política administrada por AWS que permite a SSM Agent acceder a AWS Directory Service en nombre del usuario para realizar solicitudes de unión al dominio por parte del nodo administrado.

  • AmazonSSMFullAccess: política administrada por AWS que concede acceso total a la API y los documentos de Systems Manager.

  • AmazonSSMMaintenanceWindowRole: política administrada por AWS que proporciona periodos de mantenimiento con permisos para la API de Systems Manager.

  • AmazonSSMManagedInstanceCore: política administrada de AWS que permite que un nodo utilice la funcionalidad básica del servicio Systems Manager.

  • AmazonSSMPatchAssociation: política administrada por AWS que proporciona acceso a las instancias secundarias para realizar la asociación de revisiones.

  • AmazonSSMReadOnlyAccess: política administrada por AWS que concede acceso a operaciones de la API de solo lectura de Systems Manager, como Get* y List*.

  • AWSSSMOpsInsightsServiceRolePolicy: política administrada por AWS que proporciona permisos para crear y actualizar información operativa de OpsItems en Systems Manager. Se utiliza para proporcionar permisos a través del rol vinculado al servicio AWSServiceRoleForAmazonSSM_OpsInsights.

  • AWSSystemsManagerAccountDiscoveryServicePolicy: política administrada por AWS que concede a Systems Manager permiso para descubrir la información de la Cuenta de AWS.

  • AWSSystemsManagerChangeManagementServicePolicy: política administrada por AWS que proporciona acceso a recursos de AWS administrados o utilizados por el marco de administración de cambios de Systems Manager y utilizados por el rol vinculado al servicio AWSServiceRoleForSystemsManagerChangeManagement.

  • AmazonEC2RoleforSSM— Esta política ya no se admite y no debe utilizarse. En su lugar, utilice la política AmazonSSMManagedInstanceCore para permitir la funcionalidad principal del servicio de Systems Manager en las instancias EC2. Para obtener información, consulte Configurar permisos de instancia para Systems Manager.