AWS politiques gérées pour AWS Systems Manager - AWS Systems Manager
Amazon SMS ServiceRolePolicyAmazon SMS ReadOnlyAccessAWSSystemsManagerOpsDataSyncServiceRolePolicyAmazon SSM a géré EC2 InstanceDefaultPolicySSM QuickSetupRolePolicyAWSQuickSetupDeploymentRolePolicyAWSQuickSetupPatchPolicyDeploymentRolePolicyAWSQuickSetupPatchPolicyBaselineAccessAWSSystemsManagerEnableExplorerExecutionPolicyAWSSystemsManagerEnableConfigRecordingExecutionPolicyAWSQuickSetupDevOpsGuruPermissionsBoundaryAWSQuickSetupDistributorPermissionsBoundaryAWSQuickSetupSSMHostMgmtPermissionsBoundaryAWSQuickSetupPatchPolicyPermissionsBoundaryAWSQuickSetupSchedulerPermissionsBoundaryAWSQuickSetupCFGCPacksPermissionsBoundaryMises à jour des politiquesPolitiques gérées supplémentaires pour Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS Systems Manager

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez la section Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

AWS politique gérée : AmazonSSM ServiceRolePolicy

Vous ne pouvez pas vous associer AmazonSSMServiceRolePolicy à vos entités AWS Identity and Access Management (IAM). Cette politique est associée à un rôle lié à un service qui permet d' AWS Systems Manager effectuer des actions en votre nom. Pour plus d’informations, consultez Utilisation des rôles pour collecter l'inventaire et consulter OpsData.

Sauf mention contraire, AmazonSSMServiceRolePolicy permet à Systems Manager d'effectuer les actions suivantes sur toutes les ressources connexes ("Resource": "*") :

  • ssm:CancelCommand

  • ssm:GetCommandInvocation

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:SendCommand

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:StartAutomationExecution

  • ssm:StopAutomationExecution

  • ssm:ListTagsForResource

  • ssm:GetCalendarState

  • ssm:UpdateServiceSetting [1]

  • ssm:GetServiceSetting [1]

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInstances

  • lambda:InvokeFunction [2]

  • states:DescribeExecution [3]

  • states:StartExecution [3]

  • resource-groups:ListGroups

  • resource-groups:ListGroupResources

  • resource-groups:GetGroupQuery

  • tag:GetResources

  • config:SelectResourceConfig

  • config:DescribeComplianceByConfigRule

  • config:DescribeComplianceByResource

  • config:DescribeRemediationConfigurations

  • config:DescribeConfigurationRecorders

  • cloudwatch:DescribeAlarms

  • compute-optimizer:GetEC2InstanceRecommendations

  • compute-optimizer:GetEnrollmentStatus

  • support:DescribeTrustedAdvisorChecks

  • support:DescribeTrustedAdvisorCheckSummaries

  • support:DescribeTrustedAdvisorCheckResult

  • support:DescribeCases

  • iam:PassRole [4]

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:ListStackInstances [5]

  • cloudformation:DescribeStackSetOperation [5]

  • cloudformation:DeleteStackSet [5]

  • cloudformation:DeleteStackInstances [6]

  • events:PutRule [7]

  • events:PutTargets [7]

  • events:RemoveTargets [8]

  • events:DeleteRule [8]

  • events:DescribeRule

  • securityhub:DescribeHub

[1] Les actions ssm:UpdateServiceSetting et ssm:GetServiceSetting ne sont autorisées que pour les ressources suivantes.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[2] L'action lambda:InvokeFunction n'est autorisée que pour les ressources suivantes.

arn:aws:lambda:*:*:function:SSM*
arn:aws:lambda:*:*:function:*:SSM*

[3] Les actions states: ne sont autorisées que sur les ressources suivantes.

arn:aws:states:*:*:stateMachine:SSM*
arn:aws:states:*:*:execution:SSM*

[4] L'action iam:PassRole n'est autorisée par la condition suivante que pour le service Systems Manager.

"Condition": {
   "StringEquals": {
      "iam:PassedToService": [
         "ssm.amazonaws.com"
      ]
   }
}

[5] Les actions cloudformation:ListStackInstances, cloudformation:DescribeStackSetOperation et cloudformation:DeleteStackSet sont autorisées sur la ressource suivante uniquement.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*

[6] L'action cloudformation:DeleteStackInstances n'est autorisée que pour les ressources suivantes.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

[7] Les actions events:PutRule et events:PutTargets ne sont autorisées par la condition suivante que pour le service Systems Manager.

"Condition": {
    "StringEquals": {
        "events:ManagedBy": "ssm.amazonaws.com"
    }
}

[8] Les actions events:RemoveTargets et events:DeleteRule ne sont autorisées que sur la ressource suivante.

arn:aws:events:*:*:rule/SSMExplorerManagedRule

Pour en savoir plus sur la politique, y compris la dernière version du document de politique JSON, consultez AmazonSSM ServiceRolePolicy dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AmazonSSM ReadOnlyAccess

Vous pouvez associer la politique AmazonSSMReadOnlyAccess à vos identités IAM. Cette politique accorde un accès en lecture seule aux opérations d' AWS Systems Manager APIDescribe*, notammentGet*, et. List*

Pour en savoir plus sur la politique, y compris la dernière version du document de politique JSON, consultez AmazonSSM ReadOnlyAccess dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSSystemsManagerOpsDataSyncServiceRolePolicy

Vous ne pouvez pas joindre de AWSSystemsManagerOpsDataSyncServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié au service qui permet à Systems Manager d'effectuer des actions en votre nom. Pour plus d’informations, consultez Utiliser des rôles pour créer OpsData et OpsItems pour Explorer.

AWSSystemsManagerOpsDataSyncServiceRolePolicypermet au rôle AWSServiceRoleForSystemsManagerOpsDataSync lié au service de créer et de mettre à jour OpsItems et à OpsData partir AWS Security Hub des résultats.

Sauf mention contraire, la politique permet à Systems Manager d'effectuer les actions suivantes sur toutes les ressources connexes ("Resource": "*") :

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

[1] Les actions ssm:GetOpsItem et ssm:UpdateOpsItem ne sont autorisées par la condition suivante que pour le service Systems Manager.

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] L'action ssm:AddTagsToResource n'est autorisée que pour la ressource suivante.

arn:aws:ssm:*:*:opsitem/*

[3] Les actions ssm:UpdateServiceSetting et ssm:GetServiceSetting ne sont autorisées que pour les ressources suivantes.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] Les autorisations sont refusées aux securityhub:BatchUpdateFindings par la condition suivante, pour le service Systems Manager uniquement.

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSSystemsManagerOpsDataSyncServiceRolePolicyle Guide de référence des politiques AWS gérées.

AWS politique gérée : AmazonSSMManageDec2 InstanceDefaultPolicy

Vous ne devez associer AmazonSSMManagedEC2InstanceDefaultPolicy aux rôles IAM que les instances Amazon EC2 pour lesquelles vous souhaitez être autorisé à Systems Manager utiliser les fonctionnalités. Vous ne devez pas associer ce rôle à d'autres entités IAM, telles que les utilisateurs IAM et les groupes IAM, ni à des rôles IAM ayant d'autres objectifs. Pour plus d’informations, consultez Utilisation du paramètre de configuration de gestion d'hôte par défaut.

Cette politique octroie des autorisations permettant au SSM Agent de votre instance Amazon EC2 de récupérer des documents, exécutez des commandes à l'aide de Run Command, établir des sessions à l'aide de Session Manager, collecter un inventaire de l'instance et rechercher les correctifs et leur conformité à l'aide de Patch Manager.

Systems Manager utilise un jeton d'autorisation personnalisé pour chaque instance afin de garantir l'exécution des opérations d'API par SSM Agent sur la bonne instance. Systems Manager valide le jeton d'autorisation personnalisé par rapport à l'Amazon Resource Name (ARN) de l'instance, fourni lors de l'opération d'API.

La AmazonSSMManagedEC2InstanceDefaultPolicy stratégie d'autorisations d'un rôle Systems Manager permet d'effectuer les actions suivantes sur toutes les ressources associées:

  • ssm:DescribeAssociation

  • ssm:GetDeployablePatchSnapshotForInstance

  • ssm:GetDocument

  • ssm:DescribeDocument

  • ssm:GetManifest

  • ssm:ListAssociations

  • ssm:ListInstanceAssociations

  • ssm:PutInventory

  • ssm:PutComplianceItems

  • ssm:PutConfigurePackageResult

  • ssm:UpdateAssociationStatus

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AmazonSSMManageDec2 InstanceDefaultPolicy dans le Guide de référence des politiques gérées.AWS

AWS politique gérée : SSM QuickSetupRolePolicy

Vous ne pouvez pas associer SSM QuickSetupRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié au service qui permet à Systems Manager d’effectuer des actions en votre nom. Pour plus d’informations, consultez Utiliser les rôles pour maintenir la santé et Quick Setup la cohérence des ressources allouées.

Cette politique accorde des autorisations en lecture seule qui permettent à Systems Manager de vérifier l'état de la configuration, de garantir une utilisation cohérente des paramètres et des ressources allouées, et de corriger les ressources lorsqu'une dérive est détectée.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm— Permet aux directeurs de lire les informations, les synchronisations de données de ressources et les documents SSM dans Systems Manager. Cela est nécessaire pour Quick Setup déterminer l'état dans lequel les ressources configurées sont censées se trouver.

  • organizations— Permet aux principaux de lire les informations relatives aux comptes des membres appartenant à une organisation, tels que configurés dans AWS Organizations. Cela est nécessaire pour Quick Setup identifier tous les comptes d'une organisation où des contrôles de santé des ressources doivent être effectués.

  • cloudformation— Permet aux directeurs d'école de lire des AWS CloudFormation informations. Cela est nécessaire pour Quick Setup recueillir des données sur les AWS CloudFormation piles utilisées pour gérer l'état des ressources et les opérations des CloudFormation stacksets. 

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "SSMResourceDataSyncPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:ListResourceDataSync"
			],
			"Resource": "*"
		},
		{
			"Sid": "SSMResourceDataSyncGetOpsSummaryPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:GetOpsSummary"
			],
			"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
		},
		{
			"Sid": "SSMAssociationsReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:ListAssociations",
				"ssm:DescribeAssociationExecutions"
			],
			"Resource": "*"
		},
		{
			"Sid": "QuickSetupSSMDocumentsReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:DescribeDocument",
				"ssm:GetDocument"
			],
			"Resource": [
				"arn:aws:ssm:*:*:document/AWSQuickSetupType-*",
				"arn:aws:ssm:*:*:document/*-AWSQuickSetupType-*"
			]
		},
		{
			"Sid": "OrganizationReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"organizations:ListRoots",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAccountsForParent",
				"organizations:ListOrganizationalUnitsForParent"
			],
			"Resource": "*"
		},
		{
			"Sid": "QuickSetupStackSetReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStackSet",
				"cloudformation:DescribeStackSetOperation",
				"cloudformation:ListStackInstances",
				"cloudformation:ListStackSetOperations",
				"cloudformation:ListStackSetOperationResults"
			],
			"Resource": [
				"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
				"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*"
			]
		},
		{
			"Sid": "QuickSetupStackSetDeletePermissions",
			"Effect": "Allow",
			"Action": [
				"cloudformation:DeleteStackInstances",
				"cloudformation:DeleteStackSet"
			],
			"Resource": [
				"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
				"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez SSM QuickSetupRolePolicy dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuickSetupDeploymentRolePolicy

La politique gérée AWSQuickSetupDeploymentRolePolicy prend en charge plusieurs types de Quick Setup configuration. Ces types de configuration créent des rôles et des automatisations IAM qui configurent les services et fonctionnalités Amazon Web Services fréquemment utilisés conformément aux meilleures pratiques recommandées.

Vous pouvez attacher AWSQuickSetupDeploymentRolePolicy à vos entités IAM.

Cette politique accorde les autorisations administratives nécessaires pour créer des ressources associées aux Quick Setup configurations suivantes :

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux de gérer et de supprimer les rôles IAM requis pour les tâches de configuration d'automatisation ; et de gérer les politiques relatives aux rôles d'automatisation.

  • cloudformation— Permet aux directeurs de créer et de gérer des ensembles de piles.

  • config— Permet aux principaux de créer, de gérer et de supprimer des packs de conformité.

  • events— Permet aux principaux de créer, de mettre à jour et de supprimer des règles d'événements pour les actions planifiées.

  • resource-groups— Permet aux principaux de récupérer les requêtes de ressources associées aux groupes de ressources ciblés par les Quick Setup configurations.

  • ssm— Permet aux principaux de créer des runbooks d'automatisation et des associations qui appliquent Quick Setup des configurations.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSQuickSetupDeploymentRolePolicyle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuickSetupPatchPolicyDeploymentRolePolicy

La politique gérée AWSQuickSetupPatchPolicyDeploymentRolePolicy prend en charge le Configuration de l'application de correctifs pour les instances d'une organisation Quick Setup type. Ce type de configuration permet d'automatiser l'application de correctifs aux applications et aux nœuds dans un seul compte ou au sein de votre organisation.

Vous pouvez les associer AWSQuickSetupPatchPolicyDeploymentRolePolicy à vos entités IAM. Systems Managerassocie également cette politique à un rôle de service qui permet Systems Manager d'effectuer des actions en votre nom.

Cette politique accorde des autorisations administratives qui permettent Quick Setup de créer des ressources associées à une configuration de politique de correctifs.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux de gérer et de supprimer les rôles IAM requis pour les tâches de configuration d'automatisation ; et de gérer les politiques relatives aux rôles d'automatisation.

  • cloudformation— Permet aux principaux de lire les informations relatives aux AWS CloudFormation piles et de contrôler les AWS CloudFormation piles créées à Quick Setup l'aide d'ensembles de AWS CloudFormation piles.

  • ssm— Permet aux principaux de créer, de mettre à jour, de lire et de supprimer les runbooks d'automatisation requis pour les tâches de configuration, ainsi que de créer, mettre à jour et supprimer State Manager des associations.

  • resource-groups— Permet aux principaux de récupérer les requêtes de ressources associées aux groupes de ressources ciblés par les Quick Setup configurations.

  • s3— Permet aux principaux de répertorier les compartiments Amazon S3 et de gérer les compartiments pour stocker les journaux d'accès aux politiques de correctifs.

  • lambda— Permet aux principaux de gérer les fonctions de AWS Lambda correction qui maintiennent les configurations dans le bon état.

  • logs— Permet aux responsables de décrire et de gérer les groupes de journaux pour les ressources de configuration Lambda.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSQuickSetupPatchPolicyDeploymentRolePolicyle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuickSetupPatchPolicyBaselineAccess

La politique gérée AWSQuickSetupPatchPolicyBaselineAccess prend en charge le Configuration de l'application de correctifs pour les instances d'une organisation Quick Setup type. Ce type de configuration permet d'automatiser l'application de correctifs aux applications et aux nœuds dans un seul compte ou au sein de votre organisation.

Vous pouvez les associer AWSQuickSetupPatchPolicyBaselineAccess à vos entités IAM. Systems Managerassocie également cette politique à un rôle de service qui permet Systems Manager d'effectuer des actions en votre nom.

Cette politique fournit des autorisations en lecture seule pour accéder aux lignes de base de correctifs configurées par un administrateur de l'entreprise actuelle Compte AWS ou de l'organisation qui l'utilise. Quick Setup Les lignes de base des correctifs sont stockées dans un compartiment Amazon S3 et peuvent être utilisées pour appliquer des correctifs à des instances dans un seul compte ou dans l'ensemble d'une organisation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • s3— Permet aux principaux de lire les remplacements de la ligne de base des correctifs stockés dans des compartiments Amazon S3.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSQuickSetupPatchPolicyBaselineAccessle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSSystemsManagerEnableExplorerExecutionPolicy

La politique gérée AWSSystemsManagerEnableExplorerExecutionPolicy prend en charge l'activationExplorer, une capacité de AWS Systems Manager.

Vous pouvez les associer AWSSystemsManagerEnableExplorerExecutionPolicy à vos entités IAM. Systems Managerassocie également cette politique à un rôle de service qui permet Systems Manager d'effectuer des actions en votre nom.

Cette politique accorde des autorisations administratives pour l'activationExplorer. Cela inclut les autorisations permettant de mettre à jour les paramètres de Systems Manager service associés et de créer un rôle lié à un service pour. Systems Manager

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • config— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule aux détails de l'enregistreur de configuration.

  • iam— Permet aux principaux de contribuer à l'activationExplorer.

  • ssm— Permet aux directeurs de démarrer un flux de travail d'automatisation qui activeExplorer.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSSystemsManagerEnableExplorerExecutionPolicyle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSSystemsManagerEnableConfigRecordingExecutionPolicy

La politique gérée AWSSystemsManagerEnableConfigRecordingExecutionPolicy prend en charge le type de Créez un enregistreur AWS Config de configuration à l'aide de Quick Setup Quick Setup configuration. Ce type de configuration permet Quick Setup de suivre et d'enregistrer les modifications apportées aux types de AWS ressources que vous choisissez AWS Config. Il permet également Quick Setup de configurer les options de livraison et de notification pour les données enregistrées.

Vous pouvez les associer AWSSystemsManagerEnableConfigRecordingExecutionPolicy à vos entités IAM. Systems Managerassocie également cette politique à un rôle de service qui permet Systems Manager d'effectuer des actions en votre nom.

Cette politique accorde des autorisations administratives qui permettent d'Quick Setupactiver et de configurer l'enregistrement AWS Config de configuration.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • s3— Permet aux principaux de créer et de configurer des compartiments Amazon S3 pour la livraison des enregistrements de configuration.

  • sns— Permet aux principaux de répertorier et de créer des rubriques Amazon SNS.

  • config— Permet aux principaux de configurer et de démarrer l'enregistreur de configuration ; et d'aider à l'activerExplorer.

  • iam— Permet aux principaux de créer, d'obtenir et de transmettre un rôle lié à un service pour AWS Config ; de créer un rôle lié à un service pour Systems Manager ; et de contribuer à l'activer. Explorer

  • ssm— Permet aux directeurs de démarrer un flux de travail d'automatisation qui activeExplorer.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSSystemsManagerEnableConfigRecordingExecutionPolicyle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuickSetupDevOpsGuruPermissionsBoundary

Note

Cette politique est une limite d'autorisations. Une limite d'autorisations définit le nombre maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limites d'Quick Setupautorisations. Quick Setuples politiques de limites d'autorisations ne doivent être associées qu'aux rôles Quick Setup gérés. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupDevOpsGuruPermissionsBoundary prend en charge le Configurez DevOps Guru avec Quick Setup type. Le type de configuration active Amazon DevOps Guru, basé sur l'apprentissage automatique. Le service DevOps Guru peut contribuer à améliorer les performances opérationnelles et la disponibilité d'une application.

Lorsque vous créez une AWSQuickSetupDevOpsGuruPermissionsBoundary configuration à l'aide deQuick Setup, le système applique cette limite d'autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations limite l'étendue des rôles Quick Setup créés.

Cette politique accorde des autorisations administratives qui permettent Quick Setup d'activer et de configurer Amazon DevOps Guru.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux directeurs de créer des rôles liés aux services pour DevOps Guru et Systems Manager, et de répertorier les rôles qui les aident à les activer. Explorer

  • cloudformation— Permet aux principaux de répertorier et de décrire les AWS CloudFormation piles.

  • sns— Permet aux principaux de répertorier et de créer des rubriques Amazon SNS.

  • devops-guru— Permet aux principaux de configurer DevOps Guru et d'ajouter un canal de notification.

  • config— — Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule aux détails de l'enregistreur de configuration.

  • ssm— Permet aux principaux de démarrer un flux de travail d'automatisation qui permet, ainsi Explorer que de lire et de mettre à jour les paramètres Explorer du service.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSQuickSetupDevOpsGuruPermissionsBoundaryle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuickSetupDistributorPermissionsBoundary

Note

Cette politique est une limite d'autorisations. Une limite d'autorisations définit le nombre maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limites d'Quick Setupautorisations. Quick Setuples politiques de limites d'autorisations ne doivent être associées qu'aux rôles Quick Setup gérés. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupDistributorPermissionsBoundary prend en charge le type de Déployez Distributor des packages en utilisant Quick Setup Quick Setup configuration. Le type de configuration permet de distribuer des packages logiciels, tels que des agents, sur vos instances Amazon Elastic Compute Cloud (Amazon EC2), à l'aide de Distributor, une fonctionnalité de. AWS Systems Manager

Lorsque vous créez une AWSQuickSetupDistributorPermissionsBoundary configuration à l'aide deQuick Setup, le système applique cette limite d'autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations limite l'étendue des rôles Quick Setup créés.

Cette politique accorde des autorisations administratives qui permettent Quick Setup de distribuer des packages logiciels, tels que des agents, à vos instances Amazon EC2 à l'aide de Distributor.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux d'obtenir et de transmettre le rôle d'automatisation du distributeur ; de créer, lire, mettre à jour et supprimer le rôle d'instance par défaut ; de transmettre le rôle d'instance par défaut à Amazon EC2 et Systems Manager ; d'associer des politiques de gestion d'instance aux rôles d'instance ; de créer un rôle lié à un service pour Systems Manager ; d'ajouter le rôle d'instance par défaut aux profils d'instance ; de lire des informations sur les rôles IAM et les profils d'instance ; et de créer l'instance par défaut profil.

  • ec2— Permet aux principaux d'associer le profil d'instance par défaut aux instances EC2 ; et de contribuer à l'activer. Explorer

  • ssm— Permet aux principaux de démarrer des flux de travail d'automatisation qui configurent les instances et installent des packages, d'aider à démarrer le flux de travail d'automatisation qui les activeExplorer, et de lire et de mettre à jour les paramètres des Explorer services.

  • config— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule aux détails de l'enregistreur de configuration.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSQuickSetupDistributorPermissionsBoundaryle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuickSetupSSMHostMgmtPermissionsBoundary

Note

Cette politique est une limite d'autorisations. Une limite d'autorisations définit le nombre maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limites d'Quick Setupautorisations. Quick Setuples politiques de limites d'autorisations ne doivent être associées qu'aux rôles Quick Setup gérés. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupSSMHostMgmtPermissionsBoundary prend en charge le type de Configuration de la gestion des hôtes Amazon EC2 Quick Setup configuration. Ce type de configuration configure les rôles IAM et active les fonctionnalités courantes de Systems Manager pour gérer en toute sécurité vos instances Amazon EC2.

Lorsque vous créez une AWSQuickSetupSSMHostMgmtPermissionsBoundary configuration à l'aide deQuick Setup, le système applique cette limite d'autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations limite l'étendue des rôles Quick Setup créés.

Cette politique accorde des autorisations administratives qui permettent d'Quick Setupactiver et de configurer les fonctionnalités de Systems Manager nécessaires à la gestion sécurisée des instances EC2.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux d'obtenir et de transmettre le rôle de service à Automation. Permet aux principaux de créer, lire, mettre à jour et supprimer le rôle d'instance par défaut ; de transmettre le rôle d'instance par défaut à Amazon EC2 et à Systems Manager ; d'associer des politiques de gestion d'instance aux rôles d'instance ; de créer un rôle lié au service pour Systems Manager ; d'ajouter le rôle d'instance par défaut aux profils d'instance ; de lire des informations sur les rôles IAM et les profils d'instance ; et de créer le profil d'instance par défaut.

  • ec2— Permet aux principaux d'associer et de dissocier le profil d'instance par défaut aux instances EC2.

  • ssm— Permet aux principaux de démarrer des flux de travail d'automatisation qui permettent Explorer de lire et de mettre à jour les paramètres des Explorer services, de configurer des instances et d'activer les fonctionnalités de Systems Manager sur les instances.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSQuickSetupSSMHostMgmtPermissionsBoundaryle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuickSetupPatchPolicyPermissionsBoundary

Note

Cette politique est une limite d'autorisations. Une limite d'autorisations définit le nombre maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limites d'Quick Setupautorisations. Quick Setuples politiques de limites d'autorisations ne doivent être associées qu'aux rôles Quick Setup gérés. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupPatchPolicyPermissionsBoundary prend en charge le Configuration de l'application de correctifs pour les instances d'une organisation Quick Setup type. Ce type de configuration permet d'automatiser l'application de correctifs aux applications et aux nœuds dans un seul compte ou au sein de votre organisation.

Lorsque vous créez une AWSQuickSetupPatchPolicyPermissionsBoundary configuration à l'aide deQuick Setup, le système applique cette limite d'autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations limite l'étendue des rôles Quick Setup créés.

Cette politique accorde des autorisations administratives qui permettent Quick Setup d'activer et de configurer des politiques de correctifs dans Patch Manager une fonctionnalité de AWS Systems Manager.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux d'obtenir le rôle d'Patch Managerautomatisation ; de transmettre des rôles d'automatisation aux opérations de correction ; de créer le rôle d'instance par défaut AmazonSSMRoleForInstancesQuickSetup ; de transmettre le rôle d'instance par défaut à Amazon EC2 et Systems Manager ; d'associer des politiques gérées AWS sélectionnées au rôle d'instance ; de créer un rôle lié à un service pour Systems Manager ; d'ajouter le rôle d'instance par défaut aux profils d'instance ; de lire des informations sur les profils et les rôles d'instance ; de créer un profil d'instance par défaut ; et pour étiqueter les rôles autorisés à lire Patch Manager remplacements de la ligne de base des correctifs.

  • ssm— Permet aux principaux de mettre à jour le rôle d'instance géré par Systems Manager ; de gérer les associations créées par les politiques de Patch Manager correctif créées dans Quick Setup ; de baliser les instances ciblées par une configuration de politique de correctif ; de lire des informations sur les instances et l'état des correctifs ; de démarrer des flux de travail d'automatisation qui configurent, activent et corrigent les correctifs d'instance ; de démarrer des flux de travail automatisés qui activent ; d'aider à activer Explorer ; et de lire et mettre Explorer à jour les paramètres de service. Explorer

  • ec2— Permet aux principaux d'associer et de dissocier le profil d'instance par défaut aux instances EC2, de baliser les instances ciblées par une configuration de politique de correctifs, de baliser les instances ciblées par une configuration de politique de correctifs et de contribuer à l'activation. Explorer

  • s3— Permet aux principaux de créer et de configurer des compartiments S3 pour stocker les remplacements de la ligne de base des correctifs.

  • lambda— Permet aux principaux d'invoquer des AWS Lambda fonctions qui configurent l'application de correctifs et d'effectuer des opérations de nettoyage après la suppression d'une configuration de politique de Quick Setup correctifs.

  • logs— Permet aux principaux de configurer la journalisation des Patch Manager Quick Setup AWS Lambda fonctions.

  • config— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule aux détails de l'enregistreur de configuration.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSQuickSetupPatchPolicyPermissionsBoundaryle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuickSetupSchedulerPermissionsBoundary

Note

Cette politique est une limite d'autorisations. Une limite d'autorisations définit le nombre maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limites d'Quick Setupautorisations. Quick Setuples politiques de limites d'autorisations ne doivent être associées qu'aux rôles Quick Setup gérés. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupSchedulerPermissionsBoundary prend en charge le type de Quick Setup configuration. Ce type de configuration vous permet d'arrêter et de démarrer vos instances EC2 et d'autres ressources aux heures que vous spécifiez.

Lorsque vous créez une AWSQuickSetupSchedulerPermissionsBoundary configuration à l'aide deQuick Setup, le système applique cette limite d'autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations limite l'étendue des rôles Quick Setup créés.

Cette politique accorde des autorisations administratives qui permettent d'Quick Setupactiver et de configurer des opérations planifiées sur des instances EC2 et d'autres ressources.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux de récupérer et de transmettre des rôles pour les actions d'automatisation de la gestion des instances ; de gérer, transmettre et associer des rôles d'instance par défaut pour la gestion des instances EC2 ; de créer des rôles d'instance par défaut aux profils d'instance ; de créer un rôle lié à un service pour Systems Manager ; de lire des informations sur les rôles IAM et les profils d'instance ; d'associer un profil d'instance par défaut aux instances EC2 ; et de démarrer des flux de travail d'automatisation pour configurer les instances et activer leurs fonctionnalités. Systems Manager

  • ssm— Permet aux principaux de démarrer des flux de travail d'automatisation qui les activentExplorer, ainsi que de lire et de mettre à jour les paramètres Explorer du service.

  • ec2 — Permet aux principaux de localiser les instances ciblées, de les démarrer et de les arrêter selon un calendrier.

  • config— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule aux détails de l'enregistreur de configuration.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule aux AWS Trusted Advisor chèques d'un compte.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSQuickSetupSchedulerPermissionsBoundaryle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuickSetupCFGCPacksPermissionsBoundary

Note

Cette politique est une limite d'autorisations. Une limite d'autorisations définit le nombre maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limites d'Quick Setupautorisations. Quick Setuples politiques de limites d'autorisations ne doivent être associées qu'aux rôles Quick Setup gérés. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupCFGCPacksPermissionsBoundary prend en charge le type de Quick Setup configuration. Ce type de configuration déploie des packs de AWS Config conformité. Les packs de conformité sont des ensembles de AWS Config règles et d'actions correctives qui peuvent être déployés en tant qu'entité unique.

Lorsque vous créez une AWSQuickSetupCFGCPacksPermissionsBoundary configuration à l'aide deQuick Setup, le système applique cette limite d'autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations limite l'étendue des rôles Quick Setup créés.

Cette politique accorde des autorisations administratives qui permettent Quick Setup de déployer des packs de AWS Config conformité.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux de créer, d'obtenir et de transmettre un rôle lié à un service pour. AWS Config

  • sns— Permet aux principaux de répertorier les applications de plate-forme dans Amazon SNS.

  • config— Permet aux responsables de déployer des packs de AWS Config conformité, de connaître l'état des packs de conformité et d'obtenir des informations sur les enregistreurs de configuration.

  • ssm— Permet aux principaux d'obtenir des informations sur les documents SSM et les flux de travail d'automatisation, d'obtenir des informations sur les balises de ressources, ainsi que d'obtenir des informations sur les paramètres de service et de les mettre à jour.

  • compute-optimizer— Permet aux principaux d'obtenir le statut d'opt-in d'un compte.

  • support— Permet aux directeurs d'obtenir des informations sur les AWS Trusted Advisor chèques.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWSQuickSetupCFGCPacksPermissionsBoundaryle Guide de référence des politiques AWS gérées.

Systems Managermises à jour des politiques AWS gérées

Dans le tableau suivant, consultez les détails des mises à jour des politiques AWS gérées Systems Manager depuis que ce service a commencé à suivre ces modifications le 12 mars 2021. Pour plus d'informations sur les autres politiques gérées pour le service Systems Manager, voir Politiques gérées supplémentaires pour Systems Manager plus loin dans cette rubrique. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page Systems Manager Historique du document.

Modification Description Date
SSMQuickSetupRolePolicy : nouvelle politique Systems Managera ajouté une nouvelle politique permettant de Quick Setup vérifier l'état des ressources déployées et de corriger les instances qui se sont éloignées de la configuration d'origine. 3 juillet 2024
AWSQuickSetupDeploymentRolePolicy : nouvelle politique Systems Managera ajouté une nouvelle politique pour prendre en charge plusieurs types de configuration rapide qui créent des rôles et des automatisations IAM, qui à leur tour configurent les services et fonctionnalités Amazon Web Services fréquemment utilisés conformément aux meilleures pratiques recommandées. 3 juillet 2024

AWSQuickSetupPatchPolicyDeploymentRolePolicy

— Nouvelle politique

Systems Managera ajouté une nouvelle politique pour permettre Quick Setup de créer des ressources associées aux Quick Setup configurations de politiques de Patch Manager correctifs.

3 juillet 2024

AWSQuickSetupPatchPolicyBaselineAccess : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant d'accéder Quick Setup aux lignes de base des correctifs Patch Manager avec des autorisations en lecture seule.

3 juillet 2024
AWSSystemsManagerEnableExplorerExecutionPolicy : nouvelle politique Systems Managera ajouté une nouvelle politique permettant d'Quick Setupaccorder des autorisations administratives pour l'activationExplorer. 3 juillet 2024
AWSSystemsManagerEnableConfigRecordingExecutionPolicy : nouvelle politique Systems Managera ajouté une nouvelle politique pour permettre d'Quick Setupactiver et de configurer l'enregistrement AWS Config de configuration. 3 juillet 2024

AWSQuickSetupDevOpsGuruPermissionsBoundary : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant d'Quick Setupactiver et de configurer Amazon DevOps Guru.

 3 juillet 2024

AWSQuickSetupDistributorPermissionsBoundary : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant Quick Setup d'activer et de configurer le distributeur, une fonctionnalité de AWS Systems Manager.

3 juillet 2024

AWSQuickSetupSSMHostMgmtPermissionsBoundary : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant d'Quick Setupactiver et de configurer les fonctionnalités de Systems Manager pour gérer en toute sécurité les instances Amazon EC2.

 3 juillet 2024

AWSQuickSetupPatchPolicyPermissionsBoundary : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant d'Quick Setupactiver et de configurer des politiques de correctifs dansPatch Manager, une fonctionnalité de AWS Systems Manager.

3 juillet 2024

AWSQuickSetupSchedulerPermissionsBoundary : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant d'Quick Setupactiver et de configurer les opérations planifiées sur les instances Amazon EC2 et d'autres ressources.

3 juillet 2024

AWSQuickSetupCFGCPacksPermissionsBoundary : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant de Quick Setup déployer des packs de AWS Config conformité.

3 juillet 2024

AWSSystemsManagerOpsDataSyncServiceRolePolicy – Mise à jour d’une politique existante

 OpsCentera mis à jour la politique afin d'améliorer la sécurité du code de service dans le cadre du rôle lié au service Explorer afin de gérer les opérations OpsData connexes. 3 juillet 2023

AmazonSSMManagedEC2InstanceDefaultPolicy : nouvelle politique

Systems Manager a ajouté une nouvelle politique pour autoriser la fonctionnalité Systems Manager sur les instances Amazon EC2 sans utiliser de profil d'instance IAM.

 18 août 2022

AmazonSSM ServiceRolePolicy — Mise à jour d'une politique existante

Systems Manager a ajouté de nouvelles autorisations pour autoriser Explorer à créer une règle gérée lorsque vous activez Security Hub depuis Explorer ou OpsCenter. De nouvelles autorisations ont été ajoutées pour vérifier que la configuration et l'optimiseur de calcul répondent aux exigences nécessaires avant d'autoriser. OpsData

 27 avril 2021

AWSSystemsManagerOpsDataSyncServiceRolePolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique pour créer et mettre à jour OpsItems et à OpsData partir des conclusions du Security Hub dans Explorer etOpsCenter.

 27 avril 2021

AmazonSSMServiceRolePolicy – Mise à jour d’une politique existante

Systems Managera ajouté de nouvelles autorisations pour permettre l'affichage des agrégats OpsData et des OpsItems détails provenant de plusieurs comptes et Régions AWS dansExplorer.

 24 mars 2021

Systems Manager a démarré le suivi des modifications

Systems Managera commencé à suivre les modifications apportées AWS à ses politiques gérées.

 12 mars 2021

Politiques gérées supplémentaires pour Systems Manager

Outre les politiques gérées décrites précédemment dans cette rubrique, les politiques suivantes sont également prises en charge par Systems Manager.

  • AmazonSSMAutomationApproverAccess: politique AWS gérée qui permet d'accéder à la visualisation des exécutions automatisées et d'envoyer les décisions d'approbation à l'automatisation en attente d'approbation.

  • AmazonSSMAutomationRole— politique AWS gérée qui autorise le service Systems Manager Automation à exécuter les activités définies dans les runbooks Automation. Attribuez cette politique aux administrateurs et aux utilisateurs avancés de confiance.

  • AmazonSSMDirectoryServiceAccess— politique AWS gérée qui permet d'SSM Agentaccéder au AWS Directory Service nom de l'utilisateur aux demandes d'adhésion au domaine par le nœud géré.

  • AmazonSSMFullAccess— politique AWS gérée qui accorde un accès complet à l'Systems ManagerAPI et aux documents.

  • AmazonSSMMaintenanceWindowRole— politique AWS gérée qui fournit aux fenêtres de maintenance des autorisations d'accès à l'API Systems Manager.

  • AmazonSSMManagedInstanceCore : politique gérée par AWS permettant à un nœud d’utiliser une fonctionnalité principale de service de Systems Manager.

  • AmazonSSMPatchAssociation: politique AWS gérée qui permet d'accéder aux instances enfants pour les opérations d'association de correctifs.

  • AmazonSSMReadOnlyAccess— politique AWS gérée qui accorde l'accès aux opérations d'API en Systems Manager lecture seule, telles que Get* et. List*

  • AWSSSMOpsInsightsServiceRolePolicy: politique AWS gérée qui fournit des autorisations pour créer et mettre à jour des informations opérationnelles OpsItemsdansSystems Manager. Utilisé pour fournir des autorisations via le rôle lié au service. AWSServiceRoleForAmazonSSM_OpsInsights

  • AWSSystemsManagerAccountDiscoveryServicePolicy— politique AWS gérée qui autorise Systems Manager à découvrir Compte AWS des informations.

  • AWSSystemsManagerChangeManagementServicePolicy: politique AWS gérée qui donne accès aux AWS ressources gérées ou utilisées par le cadre de gestion des Systems Manager modifications et utilisées par le rôle lié au service. AWSServiceRoleForSystemsManagerChangeManagement

  • AmazonEC2RoleforSSM— Cette politique n'est plus prise en charge et ne doit pas être utilisée. À la place, utilisez la AmazonSSMManagedInstanceCore politique pour autoriser les fonctionnalités de base du Systems Manager service sur les instances EC2. Pour plus d'informations, consultez Configurer les autorisations d'instance requises pour Systems Manager.