Políticas administradas de AWS para AWS Systems Manager

Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Política administrada de AWS: AmazonSSMServiceRolePolicy

Esta política proporciona acceso a una serie de recursos de AWS que son administrados por AWS Systems Manager o utilizados en las operaciones de Systems Manager.

No puede adjuntar AmazonSSMServiceRolePolicy a sus entidades de AWS Identity and Access Management (IAM). Esta política está adjunta a un rol vinculado a servicios que permite a AWS Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Uso de roles para recopilar datos de inventario y ver OpsData.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales iniciar y escalonar las ejecuciones de Run Command y Automatización; recuperar información sobre las operaciones de Run Command y Automatización; recuperar información sobre los parámetros del Parameter Store y calendarios de Change Calendar; actualizar y recuperar información sobre la configuración del servicio de Systems Manager para recursos de OpsCenter; y leer información sobre las etiquetas que se aplicaron a los recursos.

• cloudformation: permite a las entidades principales recuperar información sobre las operaciones y las instancias de los conjuntos de pilas, así como eliminarlos del recurso arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*. Permite a las entidades principales eliminar las instancias de pila asociadas a los siguientes recursos:

  arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
  arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
  arn:aws:cloudformation:*:*:type/resource/*

• cloudwatch: permite a las entidades principales obtener información sobre alarmas de Amazon CloudWatch.

• compute-optimizer: permite a las entidades principales recuperar el estado de inscripción (suscripción) de una cuenta en el servicio de AWS Compute Optimizer y recuperar recomendaciones para las instancias de Amazon EC2 que cumplan con un conjunto específico de requisitos establecidos.

• config: permite a las entidades principales recuperar información, corregir las configuraciones y los registradores de configuración de AWS Config y determinar si las reglas de AWS Config y los recursos de AWS especificados cumplen con los requisitos.

• events. permite a las entidades principales recuperar información sobre las reglas de EventBridge; crear reglas y destino de EventBridge exclusivamente para el servicio de Systems Manager (ssm.amazonaws.com); y eliminar reglas y destinos del recurso arn:aws:events:*:*:rule/SSMExplorerManagedRule.

• ec2: permite a las entidades principales recuperar información sobre las instancias de Amazon EC2.

• iam: permite a las entidades principales transferir permisos de roles para el servicio de Systems Manager (ssm.amazonaws.com).

• lambda: permite a las entidades principales invocar funciones de Lambda configuradas específicamente para su uso por parte de Systems Manager.

• resource-explorer-2: permite a las entidades principales recuperar datos sobre las instancias de EC2 para determinar si Systems Manager administra actualmente cada instancia.

  La acción resource-explorer-2:CreateManagedView está permitida para el recurso arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*.

• resource-groups: permite a las entidades principales recuperar una lista de grupos de recursos y sus miembros de AWS Resource Groups desde los recursos que pertenecen a un grupo de recursos.

• securityhub: permite a las entidades principales recuperar información sobre los recursos del centro de AWS Security Hub en la cuenta actual.

• states: permite a las entidades principales iniciar y recuperar información de AWS Step Functions configurada específicamente para que la use Systems Manager.

• support: permite a las entidades principales recuperar información sobre comprobaciones y casos en AWS Trusted Advisor.

• tag: permite a las entidades principales recuperar información sobre todos los recursos etiquetados, o que estuvieron etiquetados previamente, que se encuentran en una Región de AWS específica de una cuenta.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AmazonSSMAutomationRole

Puede adjuntar la política AmazonSSMAutomationRole a las identidades de IAM. Esta política proporciona permisos para que el servicio Automatización de AWS Systems Manager ejecute las actividades definidas en los manuales de procedimientos de Automatización.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• lambda: permite a las entidades principales invocar funciones de Lambda con nombres que comiencen por “Automatización”. Esto es necesario para que los manuales de procedimientos de Automatización ejecuten funciones de Lambda como parte de su flujo de trabajo.

• ec2: permite a las entidades principales realizar diversas operaciones de Amazon EC2, como crear, copiar y anular el registro de imágenes; administrar instantáneas; iniciar, ejecutar, detener y terminar instancias; administrar el estado de las instancias; y crear, eliminar y describir etiquetas. Estos permisos permiten que los manuales de procedimientos de Automatización administren los recursos de Amazon EC2 durante la ejecución.

• cloudformation: permite que las entidades principales creen, describan, actualicen y eliminen pilas de AWS CloudFormation. Esto permite que los manuales de procedimientos de Automatización administren la infraestructura como código a través de CloudFormation.

• ssm: permite a las entidades principales acceder a todas las acciones de Systems Manager. Este acceso integral es necesario para que los manuales de procedimientos de Automatización interactúen con todas las funciones de Systems Manager.

• sns: permite a las entidades principales publicar mensajes en los temas de Amazon SNS con nombres que comiencen por “Automatización”. Esto permite que los manuales de procedimientos de Automatización envíen notificaciones durante la ejecución.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMAutomationRole en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AmazonSSMReadOnlyAccess

Puede adjuntar la política AmazonSSMReadOnlyAccess a las identidades de IAM. Esta política otorga acceso de solo lectura a las operaciones de la API de AWS Systems Manager, incluidas Describe*, Get* y List*.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMReadOnlyAccess en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy

No puede adjuntar AWSSystemsManagerOpsDataSyncServiceRolePolicy a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Uso de roles para crear OpsData y OpsItems para Explorer.

AWSSystemsManagerOpsDataSyncServiceRolePolicy permite al rol vinculado a un servicio AWSServiceRoleForSystemsManagerOpsDataSync crear y actualizar OpsItems y OpsData desde resultados de AWS Security Hub.

La política permite que Systems Manager complete las siguientes acciones en todos los recursos relacionados ("Resource": "*"), excepto cuando se indica lo contrario:

• ssm:GetOpsItem [1]

• ssm:UpdateOpsItem [1]

• ssm:CreateOpsItem

• ssm:AddTagsToResource [2]

• ssm:UpdateServiceSetting [3]

• ssm:GetServiceSetting [3]

• securityhub:GetFindings

• securityhub:GetFindings

• securityhub:BatchUpdateFindings [4]

[1] Las acciones ssm:GetOpsItem y ssm:UpdateOpsItem solo tienen permisos por la siguiente condición para el servicio de Systems Manager.

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] La acción ssm:AddTagsToResource solo tiene permisos para los siguientes recursos.

arn:aws:ssm:*:*:opsitem/*

[3] Las acciones ssm:UpdateServiceSetting y ssm:GetServiceSetting solo tienen permisos para los siguientes recursos.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] Las acciones securityhub:BatchUpdateFindings son permisos denegados por la siguiente condición para el servicio de Systems Manager.

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerOpsDataSyncServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AmazonSSMManagedEC2InstanceDefaultPolicy

Solo debe adjuntar AmazonSSMManagedEC2InstanceDefaultPolicy a roles de IAM para las instancias de Amazon EC2 para las que desee tener permiso para usar la funcionalidad de Systems Manager. No debe asignar esta función a otras entidades de IAM, como los usuarios y los grupos de IAM, ni a roles de IAM que sirvan para otros fines. Para obtener más información, consulte Administración automática de instancias EC2 con la configuración de administración de hosts predeterminada.

Esta política otorga permisos que permiten a SSM Agent en su instancia de Amazon EC2 comunicarse con el servicio Systems Manager en la nube para realizar diversas tareas. También otorga permisos para los dos servicios que proporcionan tokens de autorización para garantizar que las operaciones se realicen en la instancia correcta.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite que las entidades principales recuperen documentos, ejecuten comandos con Run Command, establezcan sesiones con Session Manager, recopilen un inventario de la instancia, y analicen las revisiones y el cumplimiento de las mismas mediante Patch Manager.

• ssmmessages: permite a las entidades principale acceder, para cada instancia, a un token de autorización personalizado creado por Amazon Message Gateway Service. Systems Manager valida el token de autorización personalizado cotejándolo con el Nombre de recurso de Amazon (ARN) de la instancia, proporcionado en la operación de la API. Este acceso es necesario para garantizar que SSM Agent realice las operaciones de la API en la instancia correcta.

• ec2messages: permite a las entidades principale acceder, para cada instancia, a un token de autorización personalizado creado por Amazon Message Delivery Service. Systems Manager valida el token de autorización personalizado cotejándolo con el Nombre de recurso de Amazon (ARN) de la instancia, proporcionado en la operación de la API. Este acceso es necesario para garantizar que SSM Agent realice las operaciones de la API en la instancia correcta.

Para obtener información relacionada con los puntos de conexión de ssmmessages y de ec2messages, incluidas las diferencias entre ambos, consulte Operaciones de la API relacionadas con el agente (puntos de conexión de ssmmessages y ec2messages).

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AmazonSSMManagedEC2InstanceDefaultPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: SSMQuickSetupRolePolicy

No se puede adjuntar SSMQuickSetupRolePolicy a las entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Uso de roles para mantener el estado y la consistencia de los recursos aprovisionados de Quick Setup.

Esta política otorga permisos de solo lectura que permiten a Systems Manager comprobar el estado de la configuración, garantizar el uso coherente de los parámetros y los recursos aprovisionados, además de corregir los recursos cuando se detecta una desviación. También concede permisos administrativos para crear un rol vinculado al servicio.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales leer sincronizaciones de datos de recursos de información y documentos de SSM en Systems Manager y en las cuentas de administrador delegado. Esto es necesario para que la Quick Setup pueda determinar el estado en el que deben estar configurados los recursos.

• organizations: permite a las entidades principales leer información sobre las cuentas de los miembros que pertenecen a una organización, tal como se configuró en AWS Organizations. Esto es necesario para que Quick Setup pueda identificar todas las cuentas de una organización en las que se van a realizar comprobaciones de estado de los recursos.

• cloudformation: permite a las entidades principales leer la información de AWS CloudFormation. Esto es necesario para que Quick Setup pueda recopilar datos sobre las pilas de AWS CloudFormation que se utilizan para administrar el estado de los recursos y las operaciones de los conjuntos de pilas de CloudFormation.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte SSMQuickSetupRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupDeploymentRolePolicy

La política administrada de AWSQuickSetupDeploymentRolePolicy admite varios tipos de configuración de Quick Setup. Estos tipos de configuración crean roles y automatizaciones de IAM que configuran servicios y características de Amazon Web Services utilizados con frecuencia, mediante las prácticas recomendadas.

Puede adjuntar AWSQuickSetupDeploymentRolePolicy a sus entidades de IAM.

Esta política concede los permisos administrativos necesarios para crear recursos asociados a las siguientes configuraciones de Quick Setup:

• Instalar la administración de host de Amazon EC2 mediante Quick Setup

• Cree un registrador de configuración de AWS Config mediante Quick Setup

• Implemente el paquete de conformidad de AWS Config mediante Quick Setup

• Configurar DevOps Guru con Quick Setup

• Implemente paquetes de Distributor mediante Quick Setup

• Detenga e inicie las instancias EC2 automáticamente según una programación mediante Quick Setup

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales leer, crear, actualizar y eliminar documentos de SSM con nombres que comiencen por “AWSQuickSetup-” o “AWSOperationsPack-” cuando se los llama a través de AWS CloudFormation; leer documentos específicos propiedad de AWS, como “AWSQuickSetupType-ManageInstanceProfile”; crear, actualizar y eliminar asociaciones de documentos Quick Setup y documentos propiedad de AWS cuando se los llama a través de AWS CloudFormation; y limpiar los recursos heredados etiquetados con QuickSetupID. Esto permite a Quick Setup implementar y administrar flujos de trabajo y asociaciones de automatización.

• cloudformation: permite a las entidades principales leer información acerca de pilas y conjuntos de pilas de AWS CloudFormation; y crear, actualizar y eliminar pilas de AWS CloudFormation y conjuntos de cambios para recursos cuyos nombres comiencen por “StackSet-AWS-QuickSetup-”. Esto permite a Quick Setup administrar las implementaciones de infraestructura en todas las cuentas y regiones.

• config: permite a las entidades principales leer información acerca de los paquetes de conformidad de AWS Config y su estado; y crear y eliminar paquetes de conformidad con nombres que comiencen por “AWS-QuickSetup-” cuando se los llama a través de AWS CloudFormation. Esto permite a Quick Setup implementar configuraciones de supervisión de conformidad.

• events: permite a las entidades principales administrar las reglas y los objetivos de EventBridge para los recursos con nombres que contengan “QuickSetup-”. Esto permite a Quick Setup crear flujos de trabajo de automatización programados.

• iam: permite a las entidades principales crear roles vinculados a servicios para AWS Config y Systems Manager; crear, administrar y eliminar roles de IAM con nombres que comiencen por “AWS-QuickSetup-” o “AWSOperationsPack-” cuando se los llame a través de AWS CloudFormation; transferir estos roles a los servicios de Systems Manager y EventBridge; adjuntar políticas específicas administradas por AWS a estos roles; y establecer límites de permisos mediante políticas específicas administradas por Quick Setup. Esto permite a Quick Setup crear los roles de servicio necesarios para sus operaciones.

• resource-groups: permite a las entidades principales recuperar consultas de grupos de recursos. Esto permite a Quick Setup dirigir conjuntos específicos de recursos para la administración de la configuración.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupDeploymentRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupPatchPolicyDeploymentRolePolicy

La política administrada de AWSQuickSetupPatchPolicyDeploymentRolePolicy admite el tipo de Cómo configurar las revisiones para las instancias de una organización mediante una política de parches Quick Setup Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.

Puede adjuntar AWSQuickSetupPatchPolicyDeploymentRolePolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Esta política concede permisos administrativos que permiten que Quick Setup cree recursos asociados a la configuración de la política de revisiones.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite a las entidades principales gestionar y eliminar los roles de IAM necesarios para las tareas de configuración de automatización y gestionar las políticas de roles de automatización.

• cloudformation: permite a las entidades principales leer la información de las pilas de AWS CloudFormation y controlar las pilas de AWS CloudFormation que se crearon por Quick Setupmediante conjuntos de pilas de AWS CloudFormation.

• ssm: permite a las entidades principales crear, actualizar, leer y eliminar los manuales de procedimientos de automatización necesarios para las tareas de configuración, así como crear, actualizar y eliminar asociaciones de State Manager.

• resource-groups: permite a las entidades principales recuperar las consultas de recursos asociadas a grupos de recursos a los que se dirigen las configuraciones de Quick Setup.

• s3: permite a las entidades principales enumerar los buckets de Amazon S3 y gestionarlos para almacenar los registros de acceso a las políticas de revisiones.

• lambda: permite a las entidades principales gestionar las funciones de corrección de AWS Lambda que mantienen las configuraciones en el estado correcto.

• logs: permite a las entidades principales describir y administrar grupos de registros para recursos de configuración de Lambda.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupPatchPolicyDeploymentRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política adminsitrada de AWS: AWSQuickSetupPatchPolicyBaselineAccess

La política administrada de AWSQuickSetupPatchPolicyBaselineAccess admite el tipo de Cómo configurar las revisiones para las instancias de una organización mediante una política de parches Quick Setup Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.

Puede adjuntar AWSQuickSetupPatchPolicyBaselineAccess a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Esta política proporciona permisos de solo lectura para acceder a las líneas de base de revisiones configuradas por un administrador de la Cuenta de AWS actual o de la organización que utiliza Quick Setup. Las líneas de base de revisiones se almacenan en un bucket de Amazon S3 y se pueden utilizar para aplicar revisiones a instancias en una sola cuenta o en toda la organización.

Detalles de los permisos

Esta política incluye el siguiente permiso.

• s3: permite a las entidades principales leer las anulaciones de la línea de base de revisiones almacenadas en buckets de Amazon S3.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupPatchPolicyBaselineAccessy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSSystemsManagerEnableExplorerExecutionPolicy

La política administrada de AWSSystemsManagerEnableExplorerExecutionPolicy admite la habilitación de Explorer, una herramienta de AWS Systems Manager.

Puede adjuntar AWSSystemsManagerEnableExplorerExecutionPolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Esta política concede permisos administrativos para la habilitación de Explorer. Esto incluye permisos para actualizar la configuración de servicios de Systems Manager relacionados y para crear un rol vinculado al servicio para Systems Manager.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• config: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.

• iam: permite que las entidades principales ayuden a habilitar Explorer

• ssm: permite que las entidades principales inicien un flujo de trabajo de automatización que habilita Explorer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerEnableExplorerExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

La política administrada de AWSSystemsManagerEnableConfigRecordingExecutionPolicy admite los tipos de configuración de Cree un registrador de configuración de AWS Config mediante Quick Setup Quick Setup. Este tipo de configuración habilita a Quick Setup a realizar un seguimiento y registrar los cambios en los tipos de recursos de AWS que elija para AWS Config. También habilita a Quick Setup para que configure las opciones de entrega y notificación de los datos registrados.

Puede adjuntar AWSSystemsManagerEnableConfigRecordingExecutionPolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar el registro de la configuración de AWS Config.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• s3: permite que las entidades principales creen y configuren buckets de Amazon S3 para la entrega de grabaciones de configuración.

• sns: permite que las entidades principales enumeren y creen temas de Amazon SNS.

• config: permite que las entidades principales configuren e inicien el registrador de configuración y ayudar a habilitar Explorer.

• iam: permite que las entidades principales creen, obtengan y pasen un rol vinculado al servicio para AWS Config; y además crear un rol vinculado al servicio para Systems Manager; y ayudar a habilitar Explorer.

• ssm: permite que las entidades principales inicien un flujo de trabajo de automatización que habilita Explorer.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerEnableConfigRecordingExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupDevOpsGuruPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada AWSQuickSetupDevOpsGuruPermissionsBoundary admite el tipo Configurar DevOps Guru con Quick Setup. El tipo de configuración habilita Amazon DevOps Guru, con tecnología de machine learning. El servicio DevOps Guru puede ayudar a mejorar el rendimiento operativo y la disponibilidad de la aplicación.

Al crear una configuración de AWSQuickSetupDevOpsGuruPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar Amazon DevOps Guru.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales creen funciones vinculadas a servicios para DevOps Guru y Systems Manager, y enumerar los roles que ayudan a habilitar Explorer.

• cloudformation: permite que las entidades principales enumeren y describar las pilas de AWS CloudFormation.

• sns: permite que las entidades principales enumeren y creen temas de Amazon SNS.

• devops-guru: permite a las entidades principales configuren DevOps Guru y agreguen un canal de notificaciones.

• config: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.

• ssm: permite que las entidades principales inicien un flujo de trabajo de automatización que habilite Explorer; y lean y actualicen la configuración del servicio Explorer.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupDevOpsGuruPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupDistributorPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada de AWSQuickSetupDistributorPermissionsBoundary admite los tipos de configuración de Implemente paquetes de Distributor mediante Quick Setup Quick Setup. El tipo de configuración permite la distribución de paquetes de software, como agentes, a sus instancias de Amazon Elastic Compute Cloud (Amazon EC2) mediante Distribuidor, una herramienta de AWS Systems Manager.

Al crear una configuración de AWSQuickSetupDistributorPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten que Quick Setup habilite la distribución de paquetes de software, como agentes, a sus instancias de Amazon EC2 mediante Distributor.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales obtengan y pasen el rolde automatización de Distributor; que creen, lean, actualicen y elimien el rol de instancia predeterminada; transfieran el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas de administración de instancias a los roles de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los roles de IAM y los perfiles de instancia; y creen el perfil de instancia predeterminada.

• ec2: permite que las entidades principales asocien el perfil de instancia predeterminada a las instancias EC2 y ayuden a habilitarExplorer.

• ssm: permite que las entidades principales incien los flujos de trabajo de automatización que configuran las instancias e instalan paquetes; y ayudan a iniciar el flujo de trabajo de automatización que habilita Explorer; y leen y actualizan la configuración de servicio de Explorer.

• config: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupDistributorPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupSSMHostMgmtPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada de AWSQuickSetupSSMHostMgmtPermissionsBoundary admite los tipos de configuración de Instalar la administración de host de Amazon EC2 mediante Quick Setup Quick Setup. Este tipo de configuración ajusta los roles de IAM y habilita las herramientas de Systems Manager más utilizadas para administrar de forma segura las instancias de Amazon EC2.

Al crear una configuración de AWSQuickSetupSSMHostMgmtPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten que Quick Setup habilite y configure las herramientas de Systems Manager necesarias para administrar de forma segura las instancias de EC2.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales obtengan y transfieran el rol de servicio para la automatización. Permite que las entidades principales creen, lean, actualicen y elimien el rol de instancia predeterminada; transfieran el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas de administración de instancias a los roles de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los roles de IAM y los perfiles de instancia; y creen el perfil de instancia predeterminada.

• ec2: permite que las entidades principales asocien y cancelen la asociación del perfil de instancia predeterminada a las instancias EC2.

• ssm: permite que las entidades principales inicien flujos de trabajo de Automatización que habilitan Explorer; lean y actualicen la configuración de servicio de Explorer; configuren instancias y habiliten las herramientas de Systems Manager en las instancias.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSSMHostMgmtPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupPatchPolicyPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada de AWSQuickSetupPatchPolicyPermissionsBoundary admite el tipo de Cómo configurar las revisiones para las instancias de una organización mediante una política de parches Quick Setup Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.

Al crear una configuración de AWSQuickSetupPatchPolicyPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten que Quick Setup habilite y configure políticas de revisiones en Patch Manager, una herramienta de AWS Systems Manager.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales obtengan el rol de automatización de Patch Manager; pasen las funciones de automatización a las operaciones de aplicación de revisiones de Patch Manager; creen el rol de instancia predeterminada, AmazonSSMRoleForInstancesQuickSetup; pasen el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas gestionadas de AWS seleccionadas al rol de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los perfiles y roles de las instancias; creen un perfil de instancia predeterminado; y etiqueten funciones que tienen permisos de lectura de anulaciones de línea de base de revisiones.

• ssm: permite que las entidades principales actualicen el rol de instancia que gestiona Systems Manager; gestionen las asociaciones creadas por las políticas de revisiones de Patch Manager creadas enQuick Setup; etiqueten las instancias a las que se dirige una configuración de política de revisiones; lean información sobre las instancias y el estado de las revisiones; inicien los flujos de trabajo de automatización que configuran, habilitan y corrigen las revisiones de instancias; inicien los flujos de trabajo de automatización que habilitan Explorer; ayuden a habilitar Explorer; y lean y actualicen la configuración del servicio de Explorer.

• ec2: permite que las entidades principales asocien y desasocien el perfil de instancia predeterminado con las instancias de EC2; etiqueten las instancias a las que se dirige una configuración de política de revisiones; etiqueten las instancias a las que se dirige una configuración de política de revisiones; y ayuden a habilitar Explorer.

• s3: permite que las entidades principales creen y configuren buckets de S3 para almacenar las anulaciones de línea de base de revisiones.

• lambda: permite que las entidades principales invoquen funciones AWS Lambda que configuran la aplicación de revisiones y realizan operaciones de limpieza una vez eliminada la configuración de una política de revisiones de Quick Setup.

• logs: permite que las entidades principales configuren el registro para las funciones AWS Lambda de Quick Setup Patch Manager.

• config: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupPatchPolicyPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupSchedulerPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada de AWSQuickSetupSchedulerPermissionsBoundary admite los tipos de configuración de Detenga e inicie las instancias EC2 automáticamente según una programación mediante Quick Setup Quick Setup. Este tipo de configuración le permite detener e iniciar las instancias de EC2 y otros recursos en los momentos que especifique.

Al crear una configuración de AWSQuickSetupSchedulerPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar operaciones programadas en instancias EC2 y otros recursos.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales recuperen y transfieran roles para las acciones de automatización de la administración de instancias; administren, pasen y adjunten roles de instancia predeterminadas para la administración de instancias de EC2; creen perfiles de instancia predeterminados; agreguen roles de instancia predeterminados a los perfiles de instancia; creen un rol vinculado a un servicio para Systems Manager; lean información sobre los roles de IAM y los perfiles de instancia; asocien un perfil de instancia predeterminado a las instancias de EC2; e inicien flujos de trabajo de Automatización para configurar las instancias y habilitar las herramientas de Systems Manager.

• ssm: permite que las entidades principales inicien los flujos de trabajo de automatización que habilitan Explorer; y lean y actualicen la configuración de servicio de Explorer.

• ec2: permite que las entidades principales localicen las instancias de destino e iniciarlas y detenerlas según una programación.

• config: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.

• compute-optimizer: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.

• support: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura a las verificaciónes de AWS Trusted Advisor de una cuenta.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSchedulerPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupCFGCPacksPermissionsBoundary

nota

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

La política administrada de AWSQuickSetupCFGCPacksPermissionsBoundary admite el tipo de configuración Implemente el paquete de conformidad de AWS Config mediante Quick Setup Quick Setup. Este tipo de configuración implementa paquetes de conformidad AWS Config. Los paquetes de conformidad son conjunto de reglas de AWS Config y acciones correctivas que se puedan implementar como una sola entidad.

Al crear una configuración de AWSQuickSetupCFGCPacksPermissionsBoundary mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.

Esta política concede permisos administrativos que permiten a Quick Setup implementar paquetes de conformidad de AWS Config.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales creen, obtengan y pasen un rol vinculado a un servicio para AWS Config.

• sns: permite que las entidades principales enumeren las aplicaciones de la plataforma en Amazon SNS.

• config: permite que las entidades principales implementen paquetes de conformidad de AWS Config, obtengan el estado de los paquetes de conformidad y obtengan información sobre los registradores de configuración.

• ssm: permite que las entidades principales obtengan información sobre los documentos SSM y los flujos de trabajo de automatización; obtengan información sobre las etiquetas de los recursos; y obtengan información sobre la configuración del servicio y la actualicen.

• compute-optimizer: permite que las entidades principales obtengan el estado de suscripción de una cuenta.

• support: permite que las entidades principales obtengan información sobre las verificaciones de AWS Trusted Advisor.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupCFGCPacksPermissionsBoundary en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupStartStopInstancesExecutionPolicy

Puede adjuntar AWSQuickSetupStartStopInstancesExecutionPolicy a sus entidades de IAM. Esta política proporciona permisos para Quick Setup a fin administrar el inicio y la detención de instancias de Amazon EC2 mediante la automatización de Systems Manager.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ec2: permite a las entidades principales ver información detallada sobre las instancias de Amazon EC2, su estado, regiones y etiquetas. También permite iniciar y detener instancias de Amazon EC2.

• tag: permite a las entidades principales recuperar información de las etiquetas de las instancias de Amazon EC2 para identificar las instancias que la automatización debe administrar.

• ssm: permite a las entidades principales comprobar los estados de los calendarios para los calendarios de cambios de Quick Setup y ejecutar la automatización y las asociaciones de Systems Manager para la administración de instancias.

• iam: permite a las entidades principales transferir los roles de IAM de Quick Setup a Systems Manager para la ejecución de la automatización, con las condiciones específicas que restringen el servicio y los recursos que pueden utilizar estos roles.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupStartStopInstancesExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupStartSSMAssociationsExecutionPolicy

Esta política otorga permisos que permiten a Quick Setup ejecutar el manual de procedimientos de Automatización AWSQuickSetupType-StartSSMAssociations. Este manual de procedimientos se utiliza para iniciar las asociaciones de State Manager que se crean mediante las configuraciones de Quick Setup.

Puede adjuntar AWSQuickSetupStartSSMAssociationsExecutionPolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales iniciar las ejecuciones automatizadas específicamente para el documento de AWSQuickSetupType-StartSSMAssociations. Esto es necesario para que Quick Setup ejecute asociaciones que configuran instancias administradas.

• iam: permite a las entidades principales transferir roles con nombres que comiencen por “AWS-QuickSetup-” al servicio de Systems Manager. El uso de este permiso está restringido a documentos de SSM específicos relacionados con la creación de asociaciones. Esto es necesario para que Quick Setup transfiera el rol de ejecución adecuado al proceso de automatización.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupStartSSMAssociationsExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy

La política AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy otorga permisos para diganosticar problemas con los nodos que interactúan con los servicios de Systems Manager al iniciar los flujos de trabajo de Automatización en las cuentas y regiones donde se administren los nodos.

Puede adjuntar AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones de diagnóstico en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales ejecutar manuales de procedimientos de Automatización que diagnostican los problemas de los nodos, acceden al estado de ejecución de un flujo de trabajo y recuperan información sobre la ejecución de automatización. La política otorga permisos para describir las ejecuciones de automatización, describir las ejecuciones de los pasos de automatización, obtener detalles sobre la ejecución de la automatización e iniciar las ejecuciones de automatización para los documentos relacionados con el diagnóstico.

• kms: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente para el descifrado y la generación de claves de datos, al acceder a objetos cifrados en los buckets de Amazon S3 que se utilizan para las operaciones de diagnóstico. Estos permisos están restringidos a las claves etiquetadas con SystemsManagerManaged y utilizadas a través del servicio Amazon S3 con requisitos de contexto de cifrado específicos.

• sts: permite a las entidades principales asumir roles de ejecución de diagnósticos para ejecutar los manuales de procedimientos de Automatización en la misma cuenta. Este permiso está restringido a los roles con el patrón de nomenclatura AWS-SSM-DiagnosisExecutionRole e incluye una condición para garantizar que la cuenta de recursos coincida con la cuenta de la entidad principal.

• iam: permite a las entidades principales transferir el rol de administración de diagnósticos a Systems Manager para ejecutar los manuales de procedimientos de Automatización. Este permiso está restringido a las funciones con el patrón de nomenclatura AWS-SSM-DiagnosisAdminRole y solo se puede transferir al servicio Systems Manager.

• s3: permite a las entidades principales acceder, leer, escribir y eliminar objetos en los buckets de Amazon S3 que se utilizan para las operaciones de diagnóstico. Estos permisos están restringidos a los buckets con el mismo patrón de nomenclatura do-not-delete-ssm-diagnosis- e incluyen condiciones para garantizar que las operaciones se realicen dentro de la misma cuenta.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy

La política administrada AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy otorga permisos administrativos para ejecutar manuales de procedimientos de Automatización en una región y Cuenta de AWS específicas para diagnosticar problemas con los nodos administrados que interactúen con los servicios de Systems Manager.

Puede adjuntar AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ec2: permite a las entidades principales describir los recursos de Amazon EC2 y Amazon VPC, así como sus configuraciones, para diagnosticar problemas con los servicios de Systems Manager. Esto incluye permisos para describir las VPC, los atributos de la VPC, los puntos de conexión de VPC, las subredes, los grupos de seguridad, las instancias y las puertas de enlace de Internet.

• ssm: permite a las entidades principales ejecutar manuales de procedimientos de Automatización específicos de diagnóstico y acceder al estado del flujo de trabajo de automatización y a los metadatos de ejecución. Esto incluye permisos para describir las ejecuciones de los pasos de automatización, describir la información de las instancias, describir las ejecuciones de automatización, obtener detalles de la ejecución de la automatización e iniciar las ejecuciones de automatización para documentos de diagnóstico de EC2 específicos no administrados por AWS.

• kms: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente para el descifrado y la generación de claves de datos, al acceder a objetos cifrados en los buckets de Amazon S3 que se utilizan para las operaciones de diagnóstico. Estos permisos están restringidos a las claves etiquetadas con SystemsManagerManaged y utilizadas a través del servicio Amazon S3 con requisitos de contexto de cifrado específicos para buckets de diagnóstico.

• iam: permite a las entidades principales transferir el rol de ejecución de diagnósticos a Systems Manager para ejecutar documentos de Automatización. Este permiso está restringido a los roles con el patrón de nomenclatura AWS-SSM-DiagnosisExecutionRole y solo se puede transferir al servicio Systems Manager.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWS-SSM-RemediationAutomation-AdministrationRolePolicy

La política AWS-SSM-RemediationAutomation-AdministrationRolePolicy proporciona permisos para solucionar problemas con los servicios de Systems Manager mediante la ejecución de las actividades definidas en los documentos de Automatización, que se utilizan principalmente para ejecutar los documentos de Automatización. Esta política permite iniciar flujos de trabajo de Automatización en cuentas y regiones donde se administran los nodos para abordar los problemas de conectividad y configuración.

Puede adjuntar AWS-SSM-RemediationAutomation-AdministrationRolePolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones de remediación en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales ejecutar manuales de procedimientos de Automatización específicos que solucionan los problemas de los nodos, acceden al estado de ejecución de un flujo de trabajo y recuperan la información de ejecución de la automatización. La política otorga permisos para describir las ejecuciones de automatización, describir las ejecuciones de los pasos de automatización, obtener detalles sobre las ejecuciones de la automatización e iniciar las ejecuciones de automatización para los documentos relacionados con la corrección.

• kms: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente para el descifrado y la generación de claves de datos, al acceder a objetos cifrados en los buckets de Amazon S3 que se utilizan para las operaciones de remediación. Estos permisos están restringidos a las claves etiquetadas con SystemsManagerManaged y utilizadas a través del servicio Amazon S3 con requisitos de contexto de cifrado específicos.

• sts: permite a las entidades principales asumir roles de ejecución de remediación para ejecutar los manuales de procedimientos de Automatización en la misma cuenta. Este permiso está restringido a los roles con el patrón de nomenclatura AWS-SSM-RemediationExecutionRole e incluye una condición para garantizar que la cuenta de recursos coincida con la cuenta de la entidad principal.

• iam: permite a las entidades principales transferir el rol de administración de remediación a Systems Manager para ejecutar los manuales de procedimientos de Automatización. Este permiso está restringido a los roles con el patrón de nomenclatura AWS-SSM-RemediationAdminRole y solo se puede transferir al servicio Systems Manager.

• s3: permite a las entidades principales acceder, leer, escribir y eliminar objetos en los buckets de Amazon S3 que se utilizan para las operaciones de remediación. Estos permisos están restringidos a los buckets con el mismo patrón de nomenclatura do-not-delete-ssm-diagnosis- e incluyen condiciones para garantizar que las operaciones se realicen dentro de la misma cuenta.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-RemediationAutomation-AdministrationRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWS-SSM-RemediationAutomation-ExecutionRolePolicy

La política administrada AWS-SSM-RemediationAutomation-ExecutionRolePolicy otorga permisos administrativos para ejecutar manuales de procedimientos de Automatización en una región y cuenta de destino específicas para resolver problemas de redes y conectividad con los nodos administrados que interactúen con los servicios de Systems Manager. Esta política permite las actividades de corrección definidas en los documentos de Automatización, que se utilizan principalmente para ejecutar los documentos de Automatización a fin de abordar problemas de conectividad y configuración.

También puede asociar la política a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones de remediación en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales recuperar información sobre las ejecuciones de Automatización y sus ejecuciones escalonadas, e iniciar manuales de procedimientos de Automatización de remediación específicos, incluidos los documentos AWS-OrchestrateUnmanagedEC2Actions y AWS-RemediateSSMAgent. La política otorga permisos para describir las ejecuciones de automatización, describir las ejecuciones de los pasos de automatización, obtener detalles sobre las ejecuciones de la automatización e iniciar las ejecuciones de automatización para los documentos relacionados con la corrección.

• ec2: permite a las entidades principales describir y modificar los recursos de red de Amazon VPC para solucionar problemas de conectividad. Esto incluye:

  • Descripción de los atributos de Amazon VPC, subredes, puntos de conexión de Amazon VPC y grupos de seguridad.

  • Creación de puntos de conexión de Amazon VPC para los servicios de Systems Manager (ssm, ssmmessages, y ec2messages) con las etiquetas necesarias.

  • Modificación de los atributos de Amazon VPC para activar la compatibilidad con DNS y los nombres de host.

  • Creación y administración de los grupos de seguridad con etiquetas específicas para el acceso a los puntos de conexión de Amazon VPC.

  • Autorización y revocación de las reglas de los grupos de seguridad para el acceso a HTTPS con las etiquetas adecuadas.

  • Creación de etiquetas en los puntos de conexión de Amazon VPC, los grupos de seguridad y las reglas de los grupos de seguridad durante la creación de los recursos.

• kms: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente para el descifrado y la generación de claves de datos, al acceder a objetos cifrados en los buckets de Amazon S3 que se utilizan para las operaciones de remediación. Estos permisos están restringidos a las claves etiquetadas con SystemsManagerManaged y utilizadas a través del servicio Amazon S3 con requisitos de contexto de cifrado específicos.

• iam: permite a las entidades principales transferir el rol de ejecución de remediación Systems Manager para ejecutar manuales de procedimientos de Automatización. Este permiso está restringido a los roles con el patrón de nomenclatura AWS-SSM-RemediationExecutionRole y solo se puede transferir al servicio Systems Manager.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-RemediationAutomation-ExecutionRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupSSMManageResourcesExecutionPolicy

Esta política otorga permisos que permiten a Quick Setup ejecutar el manual de procedimientos de Automatización AWSQuickSetupType-SSM-SetupResources. Este manual de procedimientos crea roles de IAM para las asociaciones de Quick Setup, que a su vez se crean mediante una implementación de AWSQuickSetupType-SSM. También concede permisos para limpiar un bucket de Amazon S3 asociado durante una operación de eliminación de Quick Setup.

Puede adjuntar la política a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite a las entidades principales enumerar y administrar los roles de IAM para utilizarlos con las operaciones del Explorador de Systems Manager de Quick Setup y ver, adjuntar y separar las políticas de IAM para utilizarlas con Quick Setup y el Explorador de Systems Manager. Estos permisos son necesarios para que Quick Setup pueda crear los roles necesarios para algunas de sus operaciones de configuración.

• s3: permite a las entidades principales recuperar información sobre los objetos de los buckets de Amazon S3 de la cuenta de la entidad principal que se utilizan específicamente en las operaciones de configuración de Quick Setup. También les permite eliminarlos. Esto es necesario para poder eliminar los objetos de S3 que ya no se necesitan después de la configuración.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSSMManageResourcesExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupSSMLifecycleManagementExecutionPolicy

La política AWSQuickSetupSSMLifecycleManagementExecutionPolicy otorga permisos administrativos que permite a Quick Setup ejecutar un recurso personalizado de AWS CloudFormation en los eventos del ciclo de vida durante la implementación de Quick Setup en Systems Manager.

Puede adjuntar esta política a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales obtener información sobre las ejecuciones de automatización e iniciarlas para configurar determinadas operaciones de Quick Setup.

• iam: permite a las entidades principales transferir roles de IAM para configurar determinados recursos de Quick Setup.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSSMLifecycleManagementExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupSSMDeploymentRolePolicy

La política administrada AWSQuickSetupSSMDeploymentRolePolicy concede permisos administrativos para que Quick Setup pueda crear recursos que se utilizan durante el proceso de incorporación de Systems Manager.

Aunque puede adjuntar esta política a sus entidades de IAM manualmente, no se recomienda. Quick Setup crea entidades que adjuntan esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Esta política no está relacionada con la política SSMQuickSetupRolePolicy, que se utiliza para conceder permisos para el rol AWSServiceRoleForSSMQuickSetup vinculado al servicio.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales administrar las asociaciones de determinados recursos que se crean mediante plantillas de AWS CloudFormation y un conjunto específico de documentos de SSM; administrar los roles y sus políticas para el diagnóstico y la corrección de los nodos administrados mediante plantillas de AWS CloudFormation; y adjuntar y eliminar políticas de los eventos del ciclo de vida de Quick Setup.

• iam: permite a las entidades principales etiquetar roles y transferir permisos de roles para los servicios de Systems Manager y Lambda. Además, permite transferir permisos de roles para operaciones de diagnóstico.

• lambda: permite a las entidades principales etiquetar y administrar las funciones durante todo el ciclo de vida de Quick Setup de la cuenta principal mediante plantillas de AWS CloudFormation.

• cloudformation: permite a las entidades principales leer la información de AWS CloudFormation. Esto es necesario para que Quick Setup pueda recopilar datos sobre las pilas de AWS CloudFormation que se utilizan para administrar el estado de los recursos y las operaciones de los conjuntos de pilas de CloudFormation.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSSMDeploymentRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupSSMDeploymentS3BucketRolePolicy

La política AWSQuickSetupSSMDeploymentS3BucketRolePolicy otorga permisos para enumerar todos los buckets de S3 de una cuenta, así como para administrar y recuperar información sobre buckets específicos de la cuenta de la entidad principal que se administran mediante plantillas de AWS CloudFormation.

Puede adjuntar AWSQuickSetupSSMDeploymentS3BucketRolePolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• s3: permite a las entidades principales enumerar todos los buckets de S3 de una cuenta, así como administrar y recuperar información sobre buckets específicos de la cuenta de la entidad principal que se administran con plantillas de AWS CloudFormation.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupSSMDeploymentS3BucketRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupEnableDHMCExecutionPolicy

Esta política otorga permisos administrativos que permiten a las entidades principales ejecutar el manual de procedimientos de Automatización AWSQuickSetupType-EnableDHMC, que habilita la configuración de administración de hosts predeterminada. La configuración de administración de hosts predeterminada permite que Systems Manager administre las instancias de Amazon EC2 de forma automática como instancias administradas. Una instancia administrada es una instancia EC2 configurada para usarla con Systems Manager. Esta política también concede permisos para crear roles de IAM que se especifican en la configuración del servicio de Systems Manager como roles predeterminados de SSM Agent.

Puede adjuntar AWSQuickSetupEnableDHMCExecutionPolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales actualizar y obtener información sobre la configuración del servicio de Systems Manager.

• iam: permite a las entidades principales crear y recuperar información sobre los roles de IAM para las operaciones de Quick Setup.

Para ver más detalles sobre la política, incluyendo la última versión del documento de política JSON, consulte AWSQuickSetupEnableDHMCExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupEnableAREXExecutionPolicy

Esta política concede permisos administrativos que permiten a Systems Manager ejecutar el manual de procedimientos de Automatización AWSQuickSetupType-EnableAREX, que permite a Explorador de recursos de AWS el uso con Systems Manager. Resource Explorer permite ver los recursos de su cuenta con una experiencia de búsqueda similar a la de un motor de búsqueda de Internet. La política también otorga permisos para administrar los índices y vistas de Resource Explorer.

Puede adjuntar AWSQuickSetupEnableAREXExecutionPolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam: permite que las entidades principales creen un rol vinculado al servicio en el servicio de AWS Identity and Access Management (IAM).

• resource-explorer-2: permite a las entidades principales recuperar información sobre vistas e índices de Resource Explorer; crear vistas e índices de Resource Explorer; y cambiar el tipo de índice de los índices que se muestran en Quick Setup.

Para ver más detalles sobre la política, incluyendo la última versión del documento de política JSON, consulte AWSQuickSetupEnableAREXExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupManagedInstanceProfileExecutionPolicy

Esta política concede permisos administrativos que permiten a Systems Manager crear un perfil de instancia de IAM predeterminado para la herramienta Quick Setup y adjuntarlo a las instancias de Amazon EC2 que aún no tienen un perfil de instancia adjuntado. La política también permite a Systems Manager adjuntar permisos a los perfiles de instancia existentes. Esto se hace para garantizar que están vigentes los permisos necesarios para que Systems Manager se comunique con SSM Agent en instancias de EC2.

Puede adjuntar AWSQuickSetupManagedInstanceProfileExecutionPolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales iniciar los flujos de trabajo de automatización asociados a los procesos de Quick Setup.

• ec2: permite a las entidades principales adjuntar perfiles de instancia de IAM a las instancias de EC2 administradas por Quick Setup.

• iam: permite a las entidades principales crear, actualizar y recuperar información sobre los roles de IAM que se utilizan en los procesos de Quick Setup, crear perfiles de instancias de IAM y adjuntar la política administrada AmazonSSMManagedInstanceCore a los perfiles de instancia de IAM.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupManagedInstanceProfileExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWSQuickSetupReadOnlyAccess

Esta política concede permisos de solo lectura que permiten a las entidades principales ver datos e informes de Quick Setup de AWS Systems Manager, incluida la información de otros recursos de Servicio de AWS necesarios para las operaciones de Quick Setup.

Puede adjuntar la política AWSQuickSetupReadOnlyAccess a las identidades de IAM.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales leer los documentos de comandos de SSM y los manuales de procedimientos de Automatización, así como recuperar el estado de las ejecuciones de las asociaciones de State Manager.

• cloudformation: permite a las entidades principales iniciar las operaciones necesarias para recuperar el estado de las implementaciones de AWS CloudFormation.

• organizations: permite a las entidades principales leer el estado de las cuentas de una organización de AWS Organizations.

• ssm-quicksetup: permite a las entidades principales realizar acciones de solo lectura en Quick Setup.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupReadOnlyAccess en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AWSQuickSetupManageJITNAResourcesExecutionPolicy

La política administrada AWSQuickSetupManageJITNAResourcesExecutionPolicy permite que Quick Setup, una herramienta de Systems Manager, configure el acceso a los nodos justo a tiempo.

Puede adjuntar AWSQuickSetupManageJITNAResourcesExecutionPolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Con esta política, se conceden los permisos administrativos que avalan que Systems Manager cree recursos asociados al acceso a los nodos justo a tiempo.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite que las entidades principales obtengan y actualicen la configuración del servicio que especifica el proveedor de identidades para el acceso a los nodos justo a tiempo.

• iam: permite que las entidades principales creen, etiqueten y obtengan roles, adjunten políticas de roles para las políticas administradas de acceso a los nodos justo a tiempo y creen roles vinculados al servicio para el acceso a los nodos justo a tiempo y las notificaciones.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupManageJITNAResourcesExecutionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AWSQuickSetupJITNADeploymentRolePolicy

La política administrada AWSQuickSetupJITNADeploymentRolePolicy permite que Quick Setup implemente el tipo de configuración necesario del acceso a los nodos justo a tiempo.

Puede adjuntar AWSQuickSetupJITNADeploymentRolePolicy a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.

Con esta política, se conceden los permisos administrativos que avalan que Systems Manager cree recursos asociados al acceso a los nodos justo a tiempo.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• cloudformation: permite que las entidades principales creen, actualicen, eliminen y lean pilas de AWS CloudFormation.

• ssm: permite que las entidades principales creen, eliminen, actualicen y lean asociaciones de State Manager invocadas por AWS CloudFormation.

• iam: permite que las entidades principales creen, eliminen, lean y etiqueten los roles de IAM invocados por AWS CloudFormation.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSQuickSetupJITNADeploymentRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AWSSystemsManagerJustInTimeAccessServicePolicy

La política administrada de AWSSystemsManagerJustInTimeAccessServicePolicy proporciona acceso a los recursos de AWS administrados o utilizados por el marco de acceso justo a tiempo de AWS Systems Manager. Esta actualización de la política añade permisos de etiquetado de ejecuciones de automatización para que los clientes puedan limitar los permisos de los operadores a determinadas etiquetas.

No puede adjuntar AWSSystemsManagerJustInTimeAccessServicePolicy a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Cómo utilizar roles para permitir el acceso a los nodos justo a tiempo.

Con esta política, se conceden los permisos administrativos que avalan el acceso a recursos asociados al acceso a los nodos justo a tiempo.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite a las entidades principales crear y administrar OpsItems, añadir etiquetas a OpsItems y ejecuciones de automatización, obtener y actualizar OpsItems, recuperar y describir documentos, describir OpsItems y sesiones, y enumerar documentos y etiquetas para las instancias administradas.

• ssm-guiconnect: permite que las entidades principales enumeren las conexiones.

• identitystore: permite a las entidades principales obtener los ID de usuarios y grupos, describir usuarios y enumerar la pertenencia a grupos.

• sso-directory: permite que las entidades principales describan usuarios y determinen si un usuario es miembro de un grupo.

• sso: permite que las entidades principales describan las regiones registradas y enumeren las instancias y las asociaciones de directorios.

• cloudwatch: permite que las entidades principales introduzcan datos métricos para el espacio de nombres AWS/SSM/JustInTimeAccess.

• ec2: permite que las entidades principales describan las etiquetas.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerJustInTimeAccessServicePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AWSSystemsManagerJustInTimeAccessTokenPolicy

La política administrada AWSSystemsManagerJustInTimeAccessTokenPolicy permite que Systems Manager genere los tokens de acceso utilizados en el acceso a los nodos justo a tiempo.

Puede adjuntar AWSSystemsManagerJustInTimeAccessTokenPolicy a sus entidades de IAM.

Con esta política, se conceden los permisos administrativos que permiten que Systems Manager inicie sesiones y genere los tokens de acceso para el acceso a los nodos justo a tiempo.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite que las entidades principales envíen comandos, enumeren invocaciones de comandos e inicien, reanuden y finalicen sesiones de Session Manager.

• ssm-guiconnect: permite que las entidades principales inicien, describan y finalicen las conexiones con el protocolo para escritorios remotos (RDP) de Systems Manager GUI Connect.

• kms: permite que las entidades principales creen concesiones y generen datos de claves.

• sso: permite que las entidades principales enumeren las asociaciones de directorios.

• identitystore: permite que las entidades principales describan un usuario.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerJustInTimeAccessTokenPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AWSSystemsManagerJustInTimeAccessTokenSessionPolicy

La política administrada AWSSystemsManagerJustInTimeAccessTokenSessionPolicy permite que Systems Manager aplique permisos restringidos a un token de acceso a los nodos justo a tiempo.

Puede adjuntar AWSSystemsManagerJustInTimeAccessTokenSessionPolicy a sus entidades de IAM.

Con esta política, se conceden los permisos administrativos que avalan que Systems Manager restrinja los permisos para los tokens de acceso a los nodos justo a tiempo.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite que las entidades principales inicien sesiones de Session Manager utilizando el documento SSM-SessionManagerRunShell. Además, cuando se llaman primero a través de ssm-guiconnect, les permite iniciar sesiones utilizando el documento AWS-StartPortForwardingSession, listar invocaciones de comandos y enviar comandos con el documento AWSSSO-CreateSSOUser.

• ssm-guiconnect: permite que las entidades principales cancelen, obtengan e inicien conexiones en todos los recursos.

• kms: permite que las entidades principales creen concesiones y generen claves de datos para claves etiquetadas con SystemsManagerJustInTimeNodeAccessManaged cuando se llaman a través de ssm-guiconnect mediante un servicio de AWS.

• sso: permite que las entidades principales enumeren las asociaciones de directorios cuando se llaman a través de ssm-guiconnect.

• identitystore: permite que las entidades principales describan un usuario cuando se llaman a través de ssm-guiconnect.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerJustInTimeAccessTokenSessionPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy

La política administrada AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy permite que Systems Manager comparta las políticas de denegación de acceso desde la cuenta de administrador delegado con las cuentas de miembros y replique las políticas en varias Regiones de AWS.

Puede adjuntar AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy a sus entidades de IAM.

Con esta política, se conceden los permisos administrativos necesarios para que Systems Manager comparta y cree políticas de denegación de acceso. Esto garantiza que las políticas de denegación de acceso se apliquen a todas las cuentas de una organización de AWS Organizations y a las regiones configuradas para el acceso a los nodos justo a tiempo.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• ssm: permite que las entidades principales administren los documentos y las políticas de recursos de SSM.

• ssm-quicksetup: permite que las entidades principales lean los administradores de configuración de Quick Setup.

• organizations: permite que las entidades principales enumeren detalles sobre una organización de AWS Organizations y los administradores delegados.

• ram: permite que las entidades principales creen, etiqueten y describan recursos compartidos.

• iam: permite que las entidades principales describan un rol de servicio.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AWSSystemsManagerNotificationsServicePolicy

La política administrada AWSSystemsManagerNotificationsServicePolicy permite que Systems Manager envíe notificaciones por correo electrónico para las solicitudes de acceso a los nodos justo a tiempo a los aprobadores de las solicitudes de acceso.

No puede adjuntar AWSSystemsManagerJustInTimeAccessServicePolicy a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte Cómo utilizar roles para enviar notificaciones de solicitudes de acceso a los nodos justo a tiempo.

Con esta política, se conceden los permisos administrativos que permiten que Systems Manager envíe notificaciones por correo electrónico para las solicitudes de acceso a los nodos justo a tiempo a los aprobadores de las solicitudes de acceso.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• identitystore: permite que las entidades principales enumeren y describan usuarios y la pertenencia a grupos.

• sso: permite que las entidades principales enumeren instancias y directorios, y describan regiones registradas.

• sso-directory: permite que las entidades principales describan usuarios y enumeren los miembros de un grupo.

• iam: permite que las entidades principales obtengan información acerca de los roles.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWSSystemsManagerNotificationsServicePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWS-SSM-Automation-DiagnosisBucketPolicy

La política administrada AWS-SSM-Automation-DiagnosisBucketPolicy concede permisos para diagnosticar problemas en los nodos que interactúan con los servicios de AWS Systems Manager al permitir el acceso a los buckets de S3 que se utilizan para diagnosticar y solucionar problemas.

Puede adjuntar la política AWS-SSM-Automation-DiagnosisBucketPolicy a las identidades de IAM. Systems Manager también adjunta esta política a un rol de IAM que permite a Systems Manager realizar acciones de diagnóstico en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• s3: permite a las entidades principales acceder y escribir objetos en un bucket de Amazon S3.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-Automation-DiagnosisBucketPolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy

La política administrada AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización.

Puede adjuntar AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy a las identidades de IAM. Systems Manager también adjunta esta política a un rol de IAM que permite a Systems Manager realizar acciones de diagnóstico en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• organizations: permite a las entidades principales enumerar una raíz de la organización y obtener las cuentas de los miembros para determinar las de destino.

• sts: permite a las entidades principales asumir roles de ejecución de correcciones para ejecutar los documentos de Automatización de SSM en todas las cuentas y regiones de la misma organización.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy en la Guía de referencia de políticas administradas de AWS.

Política administrada de AWS: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy

La política administrada AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización.

Puede adjuntar la política AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy a las identidades de IAM. Systems Manager también adjunta esta política a un rol de IAM que permite a Systems Manager realizar acciones de diagnóstico en su nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• organizations: permite a las entidades principales enumerar una raíz de la organización y obtener las cuentas de los miembros para determinar las de destino.

• sts: permite a las entidades principales asumir roles de ejecución de diagnósticos para ejecutar los documentos de Automatización de SSM en todas las cuentas y regiones de la misma organización.

Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy en la Guía de referencia de políticas administradas de AWS.

Actualizaciones de Systems Manager para las políticas administradas de AWS

La siguiente tabla muestra los detalles de las actualizaciones de las políticas administradas de AWS para Systems Manager debido a que este servicio comenzó a realizar el seguimiento de estos cambios el 12 de marzo de 2021. Para obtener información sobre otras políticas administradas para el servicio Systems Manager, consulte Políticas administradas adicionales para Systems Manager más adelante en este tema. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Systems Manager Historial de documentos.

Cambio	Descripción	Fecha
AWSSystemsManagerJustInTimeAccessServicePolicy: política administrada actualizada	Systems Manager actualizó la política administrada para añadir permisos de etiquetado de ejecuciones de automatización. El servicio debe etiquetar las ejecuciones de automatización con una etiqueta SystemsManagerJustInTimeNodeAccessManaged=true para que los clientes puedan limitar los permisos de los operadores a determinadas etiquetas.	25 de agosto de 2025
AWSQuickSetupStartSSMAssociationsExecutionPolicy: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup ejecutar el manual de procedimientos de AWSQuickSetupType-StartSSMAssociations Automation. Este manual de procedimientos se utiliza para iniciar las asociaciones de State Manager que se crean mediante las configuraciones de Quick Setup.	12 de agosto de 2025
AWSQuickSetupStartStopInstancesExecutionPolicy: nueva política	Systems Manager agregó una nueva política para permitir a Quick Setup iniciar y detener instancias de Amazon EC2 de forma programada. Esta política proporciona los permisos necesarios para que el tipo de configuración del programador Quick Setup administre el estado de las instancias en función de los cronogramas definidos.	12 de agosto de 2025
AWSQuickSetupDeploymentRolePolicy: actualización de la documentación	Systems Manager ha actualizado la política administrada de AWSQuickSetupDeploymentRolePolicy para conceder permisos para recursos adicionales. Además, se ha actualizado la documentación de AWSQuickSetupDeploymentRolePolicy con descripciones más detalladas de los permisos que concede esta política para las operaciones de administración de la configuración de Quick Setup.	12 de agosto de 2025
AWS-SSM-RemediationAutomation-ExecutionRolePolicy: actualización de una política existente	Systems Manager actualizó la política administrada para mejorar la seguridad de la API ssm:StartAutomationExecution al exigir permisos tanto para los tipos de recursos de “document” como “automation-execution”. La política actualizada proporciona permisos más completos y detallados para la ejecución de la automatización de la remediación, incluidas descripciones mejoradas de las capacidades de remediación de redes, permisos de creación de puntos de conexión de Amazon VPC más específicos, permisos detallados de administración de grupos de seguridad y controles mejorados de etiquetado de recursos para las operaciones de remediación.	16 de julio de 2025
AWS-SSM-RemediationAutomation-AdministrationPolicy: actualización a una política existente	Systems Manager actualizó la política administrada para respaldar las mejoras en la autorización de la API orientadas a las operaciones de automatización de la remediación. La política actualizada mejora los permisos para ejecutar las actividades definidas en los documentos de automatización, con controles de seguridad y patrones de acceso a los recursos mejorados para los flujos de trabajo de remediación.	16 de julio de 2025
AWS-SSM-DiagnosisAutomation-ExecutionPolicy: actualización a una política existente	Systems Manager actualizó la política administrada para proporcionar permisos más detallados y precisos para la ejecución de la automatización del diagnóstico. La política actualizada incluye descripciones mejoradas para el acceso a los recursos de Amazon EC2 y Amazon VPC, permisos de automatización de SSM más específicos y descripciones de permisos de IAM y AWS KMS mejoradas con las restricciones de recursos adecuadas.	16 de julio de 2025
AWS-SSM-DiagnosisAutomation-AdministrationPolicy: actualización a una política existente	Systems Manager actualizó la política administrada para proporcionar permisos y condiciones de seguridad más específicos para las operaciones de automatización del diagnóstico. La política actualizada proporciona controles de seguridad mejorados para el uso de claves de AWS KMS, el acceso a los buckets de Amazon S3 y las suposiciones de roles, con condiciones más estrictas basadas en los recursos y restricciones a nivel de cuenta.	16 de julio de 2025
AWSQuickSetupDeploymentRolePolicy: actualización de una política	Systems Manager agregó permisos a la política administrada AWSQuickSetupDeploymentRolePolicy para acceder al manual de procedimientos AWSQuickSetupType-ManageInstanceProfile, propiedad de Amazon. Este permiso posibilita que Quick Setup cree asociaciones mediante el uso de la política administrada en lugar de políticas insertadas.	14 de julio de 2025
AmazonSSMAutomationRole: actualización de la documentación	Systems Manager agregó documentación exhaustiva para la política AmazonSSMAutomationRole existente, que proporciona permisos para que el servicio Automatización de Systems Manager ejecute las actividades definidas en los manuales de procedimientos de Automatización.	15 de julio de 2025
AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy: actualización de una política	Systems Manager agregó permisos para avalar que Systems Manager etiquete un recurso compartido por AWS Resource Access Manager para acceder a los nodos justo a tiempo.	30 de abril de 2025
AWSQuickSetupManageJITNAResourcesExecutionPolicy: actualización de una política	Systems Manager agregó permisos para avalar que Systems Manager etiquete roles de IAM creados para el acceso a los nodos justo a tiempo.	30 de abril de 2025
AWSSystemsManagerJustInTimeAccessTokenSessionPolicy: política nueva	Systems Manager agregó una política nueva que permite que Systems Manager aplique permisos restringidos a un token del acceso a los nodos justo a tiempo.	30 de abril de 2025
AWSSystemsManagerNotificationsServicePolicy: política nueva	Systems Manager agregó una política nueva que permite que Systems Manager envíe notificaciones por correo electrónico para las solicitudes de acceso a los nodos justo a tiempo a los aprobadores de las solicitudes de acceso.	30 de abril de 2025
AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy: política nueva	Systems Manager agregó una política nueva que permite que Systems Manager replique las políticas de aprobación en diferentes regiones.	30 de abril de 2025
AWSSystemsManagerJustInTimeAccessTokenPolicy: política nueva	Systems Manager agregó una política nueva que permite que Systems Manager genere los tokens de acceso utilizados para el acceso a los nodos justo a tiempo.	30 de abril de 2025
AWSSystemsManagerJustInTimeAccessServicePolicy: política nueva	Systems Manager agregó una política nueva para proporcionar permisos a los recursos de AWS que se administran o utilizan mediante la característica de acceso a los nodos justo a tiempo de Systems Manager.	30 de abril de 2025
AWSQuickSetupManageJITNAResourcesExecutionPolicy: política nueva	Systems Manager agregó una política nueva que permite que Quick Setup, una herramienta de Systems Manager, cree los roles de IAM necesarios para el acceso a los nodos justo a tiempo.	30 de abril de 2025
AWSQuickSetupJITNADeploymentRolePolicy: política nueva	Systems Manager agregó una política nueva que concede los permisos que avalan que Quick Setup implemente el tipo de configuración necesario del acceso a los nodos justo a tiempo.	30 de abril de 2025
AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy: actualización de una política	Systems Manager agregó permisos para avalar que Systems Manager etiquete un recurso compartido por AWS Resource Access Manager para acceder a los nodos justo a tiempo.	30 de abril de 2025
AWSQuickSetupManageJITNAResourcesExecutionPolicy: actualización de una política	Systems Manager agregó permisos para avalar que Systems Manager etiquete roles de IAM creados para el acceso a los nodos justo a tiempo.	30 de abril de 2025
AWSSystemsManagerJustInTimeAccessTokenSessionPolicy: política nueva	Systems Manager agregó una política nueva que permite que Systems Manager aplique permisos restringidos a un token del acceso a los nodos justo a tiempo.	30 de abril de 2025
AWSSystemsManagerNotificationsServicePolicy: política nueva	Systems Manager agregó una política nueva que permite que Systems Manager envíe notificaciones por correo electrónico para las solicitudes de acceso a los nodos justo a tiempo a los aprobadores de las solicitudes de acceso.	30 de abril de 2025
AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy: política nueva	Systems Manager agregó una política nueva que permite que Systems Manager replique las políticas de aprobación en diferentes regiones.	30 de abril de 2025
AWSSystemsManagerJustInTimeAccessTokenPolicy: política nueva	Systems Manager agregó una política nueva que permite que Systems Manager genere los tokens de acceso utilizados para el acceso a los nodos justo a tiempo.	30 de abril de 2025
AWSSystemsManagerJustInTimeAccessServicePolicy: política nueva	Systems Manager agregó una política nueva para proporcionar permisos a los recursos de AWS que se administran o utilizan mediante la característica de acceso a los nodos justo a tiempo de Systems Manager.	30 de abril de 2025
AWSQuickSetupManageJITNAResourcesExecutionPolicy: política nueva	Systems Manager agregó una política nueva que permite que Quick Setup, una herramienta de Systems Manager, cree los roles de IAM necesarios para el acceso a los nodos justo a tiempo.	30 de abril de 2025
AWSQuickSetupJITNADeploymentRolePolicy: política nueva	Systems Manager agregó una política nueva que concede los permisos que avalan que Quick Setup implemente el tipo de configuración necesario del acceso a los nodos justo a tiempo.	30 de abril de 2025
AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy: política nueva	Systems Manager agregó una nueva política administrada que concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización.	21 de noviembre de 2024
AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy: política nueva	Systems Manager agregó una nueva política administrada que concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización.	21 de noviembre de 2024
AWS-SSM-Automation-DiagnosisBucketPolicy: política nueva	Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que diagnostican problemas con los nodos administrados en cuentas y regiones específicas.	21 de noviembre de 2024
AmazonSSMServiceRolePolicy: actualización de una política actual	Systems Manager agregó nuevos permisos que permiten a Explorador de recursos de AWS recopilar detalles sobre las instancias de Amazon EC2 y mostrar los resultados en los widgets del nuevo panel de Systems Manager.	21 de noviembre de 2024
SSMQuickSetupRolePolicy: actualización de una política actual	Systems Manager actualizó la política administrada SSMQuickSetupRolePolicy. Esta actualización permite que el rol AWSServiceRoleForSSMQuickSetup, asociado y vinculado al servicio, administre las sincronizaciones de los datos de los recursos.	21 de noviembre de 2024
AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy : política nueva	Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que diagnostican problemas con los nodos administrados en una cuenta y regiones específicas.	21 de noviembre de 2024
AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy: política nueva	Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que diagnostican problemas con los nodos administrados en una región y cuenta de destino.	21 de noviembre de 2024
AWS-SSM-RemediationAutomation-AdministrationRolePolicy: política nueva	Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que resuelven problemas con los nodos administrados en cuentas y regiones específicas.	21 de noviembre de 2024
AWS-SSM-RemediationAutomation-ExecutionRolePolicy: política nueva	Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que resuelven problemas con los nodos administrados en una cuenta y región específicas.	21 de noviembre de 2024
AWSQuickSetupSSMDeploymentRolePolicy: actualización de una política	Systems Manager agregó permisos para avalar que Systems Manager etiquete los roles de IAM y Lambda creados para la consola unificada.	7 de mayo de 2025
AWSQuickSetupSSMManageResourcesExecutionPolicy: política nueva	Systems Manager agregó una nueva política para respaldar la ejecución de una operación de Quick Setup que crea roles de IAM para las asociaciones de Quick Setup, que a su vez se crean mediante una implementación de AWSQuickSetupType-SSM.	21 de noviembre de 2024
AWSQuickSetupSSMLifecycleManagementExecutionPolicy: política nueva	Systems Manager agregó una nueva política para permitir que Quick Setup ejecute un recurso de AWS CloudFormation personalizado en los eventos del ciclo de vida durante una implementación de Quick Setup.	21 de noviembre de 2024
AWSQuickSetupSSMDeploymentRolePolicy: política nueva	Systems Manager agregó una nueva política para admitir la concesión de permisos administrativos que permiten a Quick Setup crear recursos que se utilizan durante el proceso de incorporación de Systems Manager.	21 de noviembre de 2024
AWSQuickSetupSSMDeploymentS3BucketRolePolicy: política nueva	Systems Manager agregó una nueva política para admitir la administración y la recuperación de información sobre buckets específicos de la cuenta de la entidad principal que se administran con plantillas de AWS CloudFormation.	21 de noviembre de 2024
AWSQuickSetupEnableDHMCExecutionPolicy: política nueva	Systems Manager presenta una nueva política que permite a Quick Setup crear un rol de IAM que, a su vez, utilice la política AmazonSSMManagedEC2InstanceDefaultPolicy existente. Esta política contiene todos los permisos necesarios para que SSM Agent se comunique con el servicio de Systems Manager. La nueva política también permite modificar la configuración del servicio de Systems Manager.	21 de noviembre de 2024
AWSQuickSetupEnableAREXExecutionPolicy: política nueva	Systems Manager agregó una nueva política que permite que Quick Setup cree un rol vinculado al servicio de Explorador de recursos de AWS para acceder a las vistas y los índices de agregadores de Resource Explorer.	21 de noviembre de 2024
AWSQuickSetupManagedInstanceProfileExecutionPolicy: política nueva	Systems Manager agregó una nueva política que permite a Quick Setup crear un perfil de instancia de Quick Setup predeterminado y adjuntarlo a cualquier instancia de Amazon EC2 que no tenga uno asociado. Esta nueva política también permite que Quick Setup adjunte permisos a los perfiles existentes para garantizar que se concedan todos los permisos necesarios de Systems Manager.	21 de noviembre de 2024
AWSQuickSetupReadOnlyAccess: política nueva	Systems Manager agregó una nueva política que concede permisos de solo lectura que permiten a las entidades principales ver datos e informes de Quick Setup de AWS Systems Manager, incluida la información de otros recursos de Servicio de AWS necesarios para las operaciones de Quick Setup.	21 de noviembre de 2024
SSMQuickSetupRolePolicy: actualización de una política actual	Systems Manager agregó nuevos permisos para permitir a Quick Setup comprobar el estado de los conjuntos de pilas adicionales de AWS CloudFormation que ha creado.	13 de agosto de 2024
AmazonSSMManagedEC2InstanceDefaultPolicy: actualización de una política actual	Systems Manager ha añadido identificadores de declaración (SID) a la política de JSON para AmazonSSMManagedEC2InstanceDefaultPolicy. Estos SID proporcionan descripciones en línea del propósito de cada declaración de política.	18 de julio de 2024
SSMQuickSetupRolePolicy: política nueva	Systems Manager agregó una nueva política que permite a Quick Setup comprobar el estado de los recursos desplegados y corregir las instancias que se han desviado de la configuración original.	3 de julio de 2024
AWSQuickSetupDeploymentRolePolicy: política nueva	Systems Manager agregó una nueva política para admitir varios tipos de configuración de Configuración Rápida que crean roles y automatizaciones de IAM, que a su vez configuran servicios y características de Amazon Web Services de uso frecuente, mediante las prácticas recomendadas.	3 de julio de 2024
AWSQuickSetupPatchPolicyDeploymentRolePolicy : política nueva	Systems Manager agregó una nueva política que permite a Quick Setup crear recursos asociados a las configuraciones de Patch Manager de las políticas de revisiones de Quick Setup.	3 de julio de 2024
AWSQuickSetupPatchPolicyBaselineAccess: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup acceder a las líneas de base de revisiones en Patch Manager con permisos de solo lectura.	3 de julio de 2024
AWSSystemsManagerEnableExplorerExecutionPolicy: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup conceder permisos administrativos para habiltiar Explorer.	3 de julio de 2024
AWSSystemsManagerEnableConfigRecordingExecutionPolicy: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar el registro de la configuración de AWS Config.	3 de julio de 2024
AWSQuickSetupDevOpsGuruPermissionsBoundary: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar Amazon DevOps Guru.	3 de julio de 2024
AWSQuickSetupDistributorPermissionsBoundary: nueva política	Systems Manager agregó una nueva política para permitir que Quick Setup habilite y configure Distribuidor, una herramienta de AWS Systems Manager.	3 de julio de 2024
AWSQuickSetupSSMHostMgmtPermissionsBoundary: nueva política	Systems Manager agregó una nueva política que permite que Quick Setup habilite y configure las herramientas de Systems Manager para administrar de forma segura las instancias de Amazon EC2.	3 de julio de 2024
AWSQuickSetupPatchPolicyPermissionsBoundary: nueva política	Systems Manager agregó una nueva política que permite que Quick Setup habilite y configure las políticas de revisiones en Patch Manager, una herramienta de AWS Systems Manager.	3 de julio de 2024
AWSQuickSetupSchedulerPermissionsBoundary: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar las operaciones programadas en las instancias de Amazon EC2 y otros recursos.	3 de julio de 2024
AWSQuickSetupCFGCPacksPermissionsBoundary: nueva política	Systems Manager agregó una nueva política que permite a Quick Setup implementar paquetes de conformidad con AWS Config.	3 de julio de 2024
AWSSystemsManagerOpsDataSyncServiceRolePolicy: actualización de una política actual	OpsCenter actualizó la política para mejorar la seguridad del código de servicio dentro del rol vinculado al servicio para que Explorer administre las operaciones relacionadas con OPSData.	3 de julio de 2023
AmazonSSMManagedEC2InstanceDefaultPolicy: política nueva	Systems Manager agregó una política nueva para permitir la funcionalidad de Systems Manager en las instancias de Amazon EC2 sin necesidad de usar un perfil de instancia de IAM.	18 de agosto de 2022
AmazonSSMServiceRolePolicy: actualización a una política existente.	Systems Manager agregó nuevos permisos para permitir a Explorer crear una regla administrada cuando active Security Hub desde Explorer o OpsCenter. Se agregaron nuevos permisos para verificar que la configuración y el optimizador de computación cumplen con los requisitos necesarios antes de permitir OpsData.	27 de abril de 2021
AWSSystemsManagerOpsDataSyncServiceRolePolicy: política nueva	Systems Manager agregó una política nueva para crear y actualizar OpsItems y OpsData desde resultados de Security Hub en Explorer y OpsCenter.	27 de abril de 2021
AmazonSSMServiceRolePolicy: actualización de una política actual	Systems Manager agregó nuevos permisos para permitir la visualización de detalles agregados de OpsData y OpsItems de varias cuentas y Regiones de AWS en Explorer.	24 de marzo de 2021
Systems Manager comenzó el seguimiento de los cambios.	Systems Manager comenzó el seguimiento de los cambios de las políticas administradas de AWS.	12 de marzo de 2021

Políticas administradas adicionales para Systems Manager

Además de las políticas administradas antes mencionadas en este tema, Systems Manager también admite las siguientes políticas.

• AmazonSSMAutomationApproverAccess: política administrada por AWS que permite el acceso para ver ejecuciones de automatización y enviar decisiones de aprobación de automatización en espera de aprobación.

• AmazonSSMDirectoryServiceAccess: política administrada por AWS que permite a SSM Agent acceder a AWS Directory Service en nombre del usuario para realizar solicitudes de unión al dominio por parte del nodo administrado.

• AmazonSSMFullAccess: política administrada por AWS que concede acceso total a la API y los documentos de Systems Manager.

• AmazonSSMMaintenanceWindowRole: política administrada por AWS que proporciona periodos de mantenimiento con permisos para la API de Systems Manager.

• AmazonSSMManagedInstanceCore: política administrada de AWS que permite que un nodo utilice la funcionalidad básica del servicio Systems Manager.

• AmazonSSMPatchAssociation: política administrada por AWS que proporciona acceso a las instancias secundarias para realizar la asociación de revisiones.

• AmazonSSMReadOnlyAccess: política administrada por AWS que concede acceso a operaciones de la API de solo lectura de Systems Manager, como Get* y List*.

• AWSSSMOpsInsightsServiceRolePolicy: política administrada por AWS que proporciona permisos para crear y actualizar información operativa de OpsItems en Systems Manager. Se utiliza para proporcionar permisos a través del rol vinculado al servicio AWSServiceRoleForAmazonSSM_OpsInsights.

• AWSSystemsManagerAccountDiscoveryServicePolicy: política administrada por AWS que concede a Systems Manager permiso para descubrir la información de la Cuenta de AWS.

• AmazonEC2RoleforSSM— Esta política ya no se admite y no debe utilizarse. En su lugar, utilice la política AmazonSSMManagedInstanceCore para permitir la funcionalidad principal del servicio de Systems Manager en las instancias EC2. Para obtener información, consulte Configuración de permisos de instancia requeridos para Systems Manager.