AWS politiche gestite per AWS Systems Manager

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne AWS servizio viene lanciata una nuova o quando diventano disponibili nuove API operazioni per i servizi esistenti.

Per ulteriori informazioni, consulta le politiche AWS gestite nella Guida IAM per l'utente.

AWS politica gestita: A mazonSSMService RolePolicy

Non puoi collegarti AmazonSSMServiceRolePolicy alle tue AWS Identity and Access Management (IAM) entità. Questa policy è associata a un ruolo collegato al servizio che consente di AWS Systems Manager eseguire azioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli per raccogliere l'inventario e visualizzare OpsData.

AmazonSSMServiceRolePolicy consente a Systems Manager di eseguire le seguenti operazioni su tutte le risorse correlate ("Resource": "*"), tranne dove indicato:

• ssm:CancelCommand

• ssm:GetCommandInvocation

• ssm:ListCommandInvocations

• ssm:ListCommands

• ssm:SendCommand

• ssm:GetAutomationExecution

• ssm:GetParameters

• ssm:StartAutomationExecution

• ssm:StopAutomationExecution

• ssm:ListTagsForResource

• ssm:GetCalendarState

• ssm:UpdateServiceSetting [1]

• ssm:GetServiceSetting [1]

• ec2:DescribeInstanceAttribute

• ec2:DescribeInstanceStatus

• ec2:DescribeInstances

• lambda:InvokeFunction[2]

• states:DescribeExecution[3]

• states:StartExecution[3]

• resource-groups:ListGroups

• resource-groups:ListGroupResources

• resource-groups:GetGroupQuery

• tag:GetResources

• config:SelectResourceConfig

• config:DescribeComplianceByConfigRule

• config:DescribeComplianceByResource

• config:DescribeRemediationConfigurations

• config:DescribeConfigurationRecorders

• cloudwatch:DescribeAlarms

• compute-optimizer:GetEC2InstanceRecommendations

• compute-optimizer:GetEnrollmentStatus

• support:DescribeTrustedAdvisorChecks

• support:DescribeTrustedAdvisorCheckSummaries

• support:DescribeTrustedAdvisorCheckResult

• support:DescribeCases

• iam:PassRole[4]

• cloudformation:DescribeStacks

• cloudformation:ListStackResources

• cloudformation:ListStackInstances[5]

• cloudformation:DescribeStackSetOperation[5]

• cloudformation:DeleteStackSet[5]

• cloudformation:DeleteStackInstances[6]

• events:PutRule[7]

• events:PutTargets[7]

• events:RemoveTargets ‭[8]

• events:DeleteRule [8]

• events:DescribeRule

• securityhub:DescribeHub

[1] L'operazione ssm:UpdateServiceSetting e ssm:GetServiceSetting consente autorizzazioni solo per le seguenti risorse.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[2] L'operazione lambda:InvokeFunction consente autorizzazioni solo per le seguenti risorse.

arn:aws:lambda:*:*:function:SSM*
arn:aws:lambda:*:*:function:*:SSM*

[3] Le operazioni states: consentono autorizzazioni solo per le seguenti risorse.

arn:aws:states:*:*:stateMachine:SSM*
arn:aws:states:*:*:execution:SSM*

[4] L'operazione iam:PassRole consente autorizzazioni dalla seguente condizione solo per il Systems Manager servizio.

"Condition": {
   "StringEquals": {
      "iam:PassedToService": [
         "ssm.amazonaws.com"
      ]
   }
}

[5] Il kitcloudformation:ListStackInstances,cloudformation:DescribeStackSetOperation, ecloudformation:DeleteStackSetsono consentite autorizzazioni solo per la seguente risorsa.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*

[6] L'operazione cloudformation:DeleteStackInstances consente autorizzazioni solo per le seguenti risorse.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

[7] L'operazione events:PutRule e events:PutTargets consente autorizzazioni dalla seguente condizione solo per il Systems Manager servizio:

"Condition": {
    "StringEquals": {
        "events:ManagedBy": "ssm.amazonaws.com"
    }
}

[8] Le operazioni events:RemoveTargets e events:DeleteRule consentono autorizzazioni solo per le seguenti risorse:

arn:aws:events:*:*:rule/SSMExplorerManagedRule

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento JSON sulla policy, consulta A mazonSSMService RolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: A mazonSSMRead OnlyAccess

Puoi allegare la AmazonSSMReadOnlyAccess politica alle tue IAM identità. Questa politica garantisce l'accesso in sola lettura a AWS Systems Manager API operazioni tra cui, Describe* e. Get* List*

Per visualizzare ulteriori dettagli sulla politica, inclusa la versione più recente del documento JSON sulla politica, vedere A mazonSSMRead OnlyAccess nella AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSystemsManagerOpsDataSyncServiceRolePolicy

Non puoi collegarti AWSSystemsManagerOpsDataSyncServiceRolePolicy alle tue IAM entità. Questa policy è associata a un ruolo collegato ai servizi che consente a Systems Manager di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Usare i ruoli per creare OpsData e OpsItems per Explorer.

AWSSystemsManagerOpsDataSyncServiceRolePolicyconsente al ruolo AWSServiceRoleForSystemsManagerOpsDataSync collegato al servizio di creare OpsItems e aggiornare i risultati OpsData . AWS Security Hub

La policy consente a Systems Manager di eseguire le seguenti operazioni su tutte le risorse correlate ("Resource": "*"), tranne dove indicato:

• ssm:GetOpsItem [1]

• ssm:UpdateOpsItem [1]

• ssm:CreateOpsItem

• ssm:AddTagsToResource[2]

• ssm:UpdateServiceSetting[3]

• ssm:GetServiceSetting[3]

• securityhub:GetFindings

• securityhub:GetFindings

• securityhub:BatchUpdateFindings[4]

[1] Le operazioni ssm:GetOpsItem e ssm:UpdateOpsItem consentono autorizzazioni solo dalla seguente condizione per il servizio Systems Manager.

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] L'operazione ssm:AddTagsToResource consente autorizzazioni solo per la seguente risorsa.

arn:aws:ssm:*:*:opsitem/*

[3] Le operazioni ssm:UpdateServiceSetting e ssm:GetServiceSetting consentono autorizzazioni solo per le seguenti risorse.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] Il kitsecurityhub:BatchUpdateFindingsLe autorizzazioni vengono negate dalla seguente condizione perSystems Managersolo servizio.

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento JSON sulla policy, consulta AWSSystemsManagerOpsDataSyncServiceRolePolicyla AWS Managed Policy Reference Guide.

AWS politica gestita: A mazonSSMManaged EC2InstanceDefaultPolicy

Devi assegnare IAM ruoli solo AmazonSSMManagedEC2InstanceDefaultPolicy alle EC2 istanze Amazon per le quali desideri avere l'autorizzazione all'uso della Systems Manager funzionalità. Non dovresti assegnare questo ruolo ad altre IAM entità, come IAM utenti e IAM gruppi, o a IAM ruoli che servono ad altri scopi. Per ulteriori informazioni, consulta Utilizzo dell'impostazione di configurazione predefinita della gestione host.

Questa politica concede autorizzazioni che consentono SSM Agent alla tua EC2 istanza Amazon di comunicare con il servizio Systems Manager nel cloud per eseguire una serie di attività. Concede inoltre le autorizzazioni per i due servizi che forniscono token di autorizzazione per garantire che le operazioni vengano eseguite sull'istanza corretta.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• ssm— Consente ai responsabili di recuperare documenti, eseguire comandi utilizzando, stabilire sessioni utilizzando Run CommandSession Manager, raccogliere un inventario dell'istanza e ricercare le patch e la conformità delle patch utilizzando. Patch Manager

• ssmmessages— Consente ai mandanti di accedere, per ogni istanza, a un token di autorizzazione personalizzato creato da Amazon Message Gateway Service. Systems Manager convalida il token di autorizzazione personalizzato rispetto all'Amazon Resource Name (ARN) dell'istanza fornita API durante l'operazione. Questo accesso è necessario per garantire che SSM Agent le API operazioni vengano eseguite sull'istanza corretta.

• ec2messages— Consente ai mandanti di accedere, per ogni istanza, a un token di autorizzazione personalizzato creato da Amazon Message Delivery Service. Systems Manager convalida il token di autorizzazione personalizzato rispetto all'Amazon Resource Name (ARN) dell'istanza fornita API durante l'operazione. Questo accesso è necessario per garantire che SSM Agent le API operazioni vengano eseguite sull'istanza corretta.

Per informazioni correlate sugli ec2messages endpoint ssmmessages e, incluse le differenze tra i due, vedereOperazioni (ed endpoint) ssmmessages API relative agli agenti ec2messages.

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla JSON policy, consulta A mazonSSMManaged EC2InstanceDefaultPolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: SSMQuickSetupRolePolicy

Non puoi collegarti SSMQuickSetupRolePolicy alle tue IAM entità. Questa policy è associata a un ruolo collegato ai servizi che consente a Systems Manager di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli per mantenere l'integrità e la Quick Setup coerenza delle risorse assegnate.

Questa politica concede autorizzazioni di sola lettura che consentono a Systems Manager di verificare lo stato della configurazione, garantire l'uso coerente dei parametri e delle risorse assegnate e correggere le risorse quando viene rilevata una deriva.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• ssm— Consente ai responsabili di leggere informazioni, sincronizzazioni e SSM documenti dei dati delle risorse in Systems Manager. Ciò è necessario per determinare Quick Setup lo stato in cui devono trovarsi le risorse configurate.

• organizations— Consente ai responsabili di leggere le informazioni sugli account dei membri che appartengono a un'organizzazione, come configurato in AWS Organizations. Ciò è necessario per Quick Setup poter identificare tutti gli account di un'organizzazione in cui devono essere eseguiti i controlli sullo stato delle risorse.

• cloudformation— Consente ai presidi di leggere informazioni da AWS CloudFormation. Ciò è necessario per Quick Setup raccogliere dati sugli AWS CloudFormation stack utilizzati per gestire lo stato delle risorse e le operazioni dello CloudFormation stackset.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "SSMResourceDataSyncPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:ListResourceDataSync"
			],
			"Resource": "*"
		},
		{
			"Sid": "SSMResourceDataSyncGetOpsSummaryPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:GetOpsSummary"
			],
			"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
		},
		{
			"Sid": "SSMAssociationsReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:ListAssociations",
				"ssm:DescribeAssociationExecutions"
			],
			"Resource": "*"
		},
		{
			"Sid": "QuickSetupSSMDocumentsReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:DescribeDocument",
				"ssm:GetDocument"
			],
			"Resource": [
				"arn:aws:ssm:*:*:document/AWSQuickSetupType-*",
				"arn:aws:ssm:*:*:document/*-AWSQuickSetupType-*"
			]
		},
		{
			"Sid": "OrganizationReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"organizations:ListRoots",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAccountsForParent",
				"organizations:ListOrganizationalUnitsForParent"
			],
			"Resource": "*"
		},
		{
			"Sid": "QuickSetupStackSetReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStackSet",
				"cloudformation:DescribeStackSetOperation",
				"cloudformation:ListStackInstances",
				"cloudformation:ListStackSetOperations",
				"cloudformation:ListStackSetOperationResults"
			],
			"Resource": [
				"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
				"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*"
			]
		},
		{
			"Sid": "QuickSetupStackSetDeletePermissions",
			"Effect": "Allow",
			"Action": [
				"cloudformation:DeleteStackInstances",
				"cloudformation:DeleteStackSet"
			],
			"Resource": [
				"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
				"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy, consulta la AWS Managed JSON Policy SSMQuickSetupRolePolicyReference Guide.

AWS politica gestita: AWSQuickSetupDeploymentRolePolicy

La policy gestita AWSQuickSetupDeploymentRolePolicy supporta diversi tipi di Quick Setup configurazione. Questi tipi di configurazione creano IAM ruoli e automazioni che configurano i servizi e le funzionalità di Amazon Web Services usati di frequente secondo le best practice consigliate.

Puoi collegarti AWSQuickSetupDeploymentRolePolicy alle tue IAM entità.

Questa politica concede le autorizzazioni amministrative necessarie per creare risorse associate alle seguenti Quick Setup configurazioni:

• Configurare la gestione degli EC2 host Amazon

• Crea un registratore AWS Config di configurazione usando Quick Setup

• Implementa il AWS Config pacchetto di conformità utilizzando Quick Setup

• Configura DevOps Guru con Quick Setup

• Distribuisci Distributor pacchetti utilizzando Quick Setup

• Arresta e avvia EC2 le istanze automaticamente in base a una pianificazione

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• iam— Consente ai responsabili di gestire ed eliminare i IAM ruoli necessari per le attività di configurazione dell'automazione e di gestire le politiche relative ai ruoli di automazione.

• cloudformation— Consente ai principali di creare e gestire set di stack.

• config— Consente ai responsabili di creare, gestire ed eliminare pacchetti di conformità.

• events— Consente ai responsabili di creare, aggiornare ed eliminare le regole degli eventi per le azioni pianificate.

• resource-groups— Consente ai responsabili di recuperare le richieste relative alle risorse associate ai gruppi di risorse oggetto delle configurazioni. Quick Setup

• ssm— Consente ai responsabili di creare runbook e associazioni di automazione che applicano le configurazioni. Quick Setup

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy, consulta la AWS Managed JSON Policy AWSQuickSetupDeploymentRolePolicyReference Guide.

AWS politica gestita: AWSQuickSetupPatchPolicyDeploymentRolePolicy

La politica gestita AWSQuickSetupPatchPolicyDeploymentRolePolicy supporta il Configurare l'applicazione di patch per le istanze di un'organizzazione Quick Setup tipo. Questo tipo di configurazione consente di automatizzare l'applicazione di patch ad applicazioni e nodi in un singolo account o in tutta l'organizzazione.

Puoi collegarti AWSQuickSetupPatchPolicyDeploymentRolePolicy alle tue IAM entità. Systems Managerassocia inoltre questa politica a un ruolo di servizio che consente di Systems Manager eseguire azioni per conto dell'utente.

Questa politica concede autorizzazioni amministrative che consentono di creare risorse associate Quick Setup a una configurazione di policy di patch.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• iam— Consente ai responsabili di gestire ed eliminare i IAM ruoli necessari per le attività di configurazione dell'automazione e di gestire le politiche dei ruoli di automazione.

• cloudformation— Consente ai principali di leggere le informazioni sugli AWS CloudFormation stack e di controllare gli AWS CloudFormation stack creati utilizzando Quick Setup i set di stack. AWS CloudFormation

• ssm— Consente ai principali di creare, aggiornare, leggere ed eliminare i runbook di automazione necessari per le attività di configurazione e di creare, aggiornare ed eliminare le associazioni. State Manager

• resource-groups— Consente ai responsabili di recuperare le richieste di risorse associate ai gruppi di risorse oggetto delle configurazioni. Quick Setup

• s3— Consente ai responsabili di elencare i bucket Amazon S3 e di gestire i bucket per l'archiviazione dei log di accesso alle policy di patch.

• lambda— Consente ai responsabili di gestire le funzioni di AWS Lambda riparazione che mantengono le configurazioni nello stato corretto.

• logs— Consente ai responsabili di descrivere e gestire i gruppi di log per le risorse di configurazione Lambda.

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento JSON sulla policy, consulta AWSQuickSetupPatchPolicyDeploymentRolePolicyla AWS Managed Policy Reference Guide.

AWS politica gestita: AWSQuickSetupPatchPolicyBaselineAccess

La politica gestita AWSQuickSetupPatchPolicyBaselineAccess supporta il Configurare l'applicazione di patch per le istanze di un'organizzazione Quick Setup tipo. Questo tipo di configurazione consente di automatizzare l'applicazione di patch ad applicazioni e nodi in un singolo account o in tutta l'organizzazione.

Puoi collegarti AWSQuickSetupPatchPolicyBaselineAccess alle tue IAM entità. Systems Managerassocia inoltre questa politica a un ruolo di servizio che consente di Systems Manager eseguire azioni per conto dell'utente.

Questa policy fornisce autorizzazioni di sola lettura per accedere alle baseline delle patch che sono state configurate da un amministratore dell'azienda o dall'organizzazione utilizzando. Account AWS Quick Setup Le linee di base delle patch sono archiviate in un bucket Amazon S3 e possono essere utilizzate per applicare patch a istanze in un singolo account o in un'intera organizzazione.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni.

• s3— Consente ai responsabili di leggere le modifiche di base delle patch archiviate nei bucket Amazon S3.

Per ulteriori dettagli sulla policy, inclusa la versione più recente del documento relativo alla policy, consulta la Managed JSON Policy Reference Guide AWSQuickSetupPatchPolicyBaselineAccess.AWS

AWS politica gestita: AWSSystemsManagerEnableExplorerExecutionPolicy

La policy gestita AWSSystemsManagerEnableExplorerExecutionPolicy supporta l'abilitazioneExplorer, una funzionalità di AWS Systems Manager.

Puoi collegarti AWSSystemsManagerEnableExplorerExecutionPolicy alle tue IAM entità. Systems Managerassocia inoltre questa politica a un ruolo di servizio che consente di Systems Manager eseguire azioni per conto dell'utente.

Questa politica concede le autorizzazioni amministrative per l'abilitazione. Explorer Ciò include le autorizzazioni per aggiornare le impostazioni dei Systems Manager servizi correlati e per creare un ruolo collegato al servizio per. Systems Manager

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• config— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.

• iam— Consente ai presidi di aiutare ad abilitare. Explorer

• ssm— Consente ai dirigenti di avviare un flusso di lavoro di automazione che consenta. Explorer

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento JSON sulla policy, consulta AWSSystemsManagerEnableExplorerExecutionPolicyla AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

La politica gestita AWSSystemsManagerEnableConfigRecordingExecutionPolicy supporta il tipo di Crea un registratore AWS Config di configurazione usando Quick Setup Quick Setup configurazione. Questo tipo di configurazione consente Quick Setup di tenere traccia e registrare le modifiche ai tipi di AWS risorse scelti AWS Config. Consente inoltre di Quick Setup configurare le opzioni di consegna e notifica per i dati registrati.

Puoi collegarti AWSSystemsManagerEnableConfigRecordingExecutionPolicy alle tue IAM entità. Systems Managerassocia inoltre questa politica a un ruolo di servizio che consente di Systems Manager eseguire azioni per conto dell'utente.

Questa politica concede autorizzazioni amministrative che consentono di abilitare e configurare Quick Setup AWS Config la registrazione della configurazione.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• s3— Consente ai mandanti di creare e configurare bucket Amazon S3 per la consegna delle registrazioni di configurazione.

• sns— Consente ai responsabili di elencare e creare SNS argomenti Amazon.

• config— Consente ai responsabili di configurare e avviare il registratore di configurazione e di aiutare ad abilitarlo. Explorer

• iam— Consente ai responsabili di creare, ottenere e assegnare un ruolo collegato ai servizi per AWS Config; di creare un ruolo collegato ai servizi per Systems Manager; e di contribuire ad abilitarlo. Explorer

• ssm— Consente ai responsabili di avviare un flusso di lavoro di automazione che consenta. Explorer

• compute-optimizer— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

• support— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy, consulta la AWS Managed JSON Policy AWSSystemsManagerEnableConfigRecordingExecutionPolicyReference Guide.

AWS politica gestita: AWSQuickSetupDevOpsGuruPermissionsBoundary

Nota

Questa politica è un limite di autorizzazioni. Un limite di autorizzazioni imposta le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità. IAM Non è necessario utilizzare e allegare autonomamente le policy relative ai limiti delle Quick Setup autorizzazioni. Quick Setuple politiche relative ai limiti delle autorizzazioni devono essere allegate solo ai ruoli gestiti. Quick Setup Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le IAM entità nella Guida per l'utente. IAM

La politica gestita AWSQuickSetupDevOpsGuruPermissionsBoundary supporta il tipo. Configura DevOps Guru con Quick Setup Il tipo di configurazione abilita Amazon DevOps Guru basato sull'apprendimento automatico. Il servizio DevOps Guru può aiutare a migliorare le prestazioni operative e la disponibilità di un'applicazione.

Quando si crea una AWSQuickSetupDevOpsGuruPermissionsBoundary configurazione utilizzandoQuick Setup, il sistema applica questo limite di autorizzazioni ai IAM ruoli creati quando la configurazione viene distribuita. Il limite delle autorizzazioni limita l'ambito dei ruoli che crea. Quick Setup

Questa politica concede autorizzazioni amministrative che consentono di abilitare e Quick Setup configurare Amazon DevOps Guru.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• iam— Consente ai responsabili di creare ruoli collegati ai servizi per DevOps Guru e Systems Manager e di elencare i ruoli che aiutano ad abilitare. Explorer

• cloudformation— Consente ai presidi di elencare e descrivere gli stack. AWS CloudFormation

• sns— Consente ai responsabili di elencare e creare SNS argomenti Amazon.

• devops-guru— Consente ai dirigenti di configurare DevOps Guru e di aggiungere un canale di notifica.

• config— — Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.

• ssm— Consente ai responsabili di avviare un flusso di lavoro di automazione che consentaExplorer; e di leggere e aggiornare le impostazioni del servizio. Explorer

• compute-optimizer— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

• support— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy, consulta la AWS Managed JSON Policy AWSQuickSetupDevOpsGuruPermissionsBoundaryReference Guide.

AWS politica gestita: AWSQuickSetupDistributorPermissionsBoundary

Nota

Questa politica è un limite di autorizzazioni. Un limite di autorizzazioni imposta le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità. IAM Non è necessario utilizzare e allegare autonomamente le policy relative ai limiti delle Quick Setup autorizzazioni. Quick Setuple politiche relative ai limiti delle autorizzazioni devono essere allegate solo ai ruoli gestiti. Quick Setup Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le IAM entità nella Guida per l'utente. IAM

La policy gestita AWSQuickSetupDistributorPermissionsBoundary supporta il tipo di Distribuisci Distributor pacchetti utilizzando Quick Setup Quick Setup configurazione. Il tipo di configurazione consente di abilitare la distribuzione di pacchetti software, come agenti, alle istanze Amazon Elastic Compute Cloud (AmazonEC2), utilizzando Distributor, una funzionalità di. AWS Systems Manager

Quando crei una AWSQuickSetupDistributorPermissionsBoundary configurazione utilizzandoQuick Setup, il sistema applica questo limite di autorizzazioni ai IAM ruoli creati quando la configurazione viene distribuita. Il limite delle autorizzazioni limita l'ambito dei ruoli che crea. Quick Setup

Questa politica concede autorizzazioni amministrative che consentono di Quick Setup abilitare la distribuzione di pacchetti software, come agenti, alle EC2 istanze Amazon utilizzando Distributor.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• iam— Consente ai responsabili di ottenere e passare il ruolo di automazione Distributor; di creare, leggere, aggiornare ed eliminare il ruolo di istanza predefinito; di passare il ruolo di istanza predefinito ad Amazon EC2 e Systems Manager; di associare politiche di gestione delle istanze ai ruoli di istanza; di creare un ruolo collegato ai servizi per Systems Manager; di aggiungere il ruolo di istanza predefinito ai profili di istanza; di leggere informazioni su IAM ruoli e profili di istanza; e di creare il profilo di istanza predefinito.

• ec2— Consente ai principali di associare il profilo di istanza predefinito alle EC2 istanze e di contribuire all'abilitazioneExplorer.

• ssm— Consente ai responsabili di avviare i flussi di lavoro di automazione, vale a dire quelli che configurano le istanze e installano i pacchetti, e di aiutare ad avviare il flusso di lavoro di automazione che lo abilitaExplorer; e di leggere e aggiornare le impostazioni del servizio. Explorer

• config— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.

• compute-optimizer— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

• support— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy, consulta la AWS Managed JSON Policy AWSQuickSetupDistributorPermissionsBoundaryReference Guide.

AWS politica gestita: AWSQuickSetupSSMHostMgmtPermissionsBoundary

Nota

Questa politica è un limite di autorizzazioni. Un limite di autorizzazioni imposta le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità. IAM Non è necessario utilizzare e allegare autonomamente le policy relative ai limiti delle Quick Setup autorizzazioni. Quick Setuple politiche relative ai limiti delle autorizzazioni devono essere allegate solo ai ruoli gestiti. Quick Setup Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le IAM entità nella Guida per l'utente. IAM

La policy gestita AWSQuickSetupSSMHostMgmtPermissionsBoundary supporta il tipo di Configurare la gestione degli EC2 host Amazon Quick Setup configurazione. Questo tipo di configurazione configura i IAM ruoli e abilita le funzionalità di Systems Manager di uso comune per gestire in modo sicuro le istanze AmazonEC2.

Quando crei una AWSQuickSetupSSMHostMgmtPermissionsBoundary configurazione utilizzandoQuick Setup, il sistema applica questo limite di autorizzazioni ai IAM ruoli creati al momento della distribuzione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli che crea. Quick Setup

Questa politica concede autorizzazioni amministrative che consentono Quick Setup di abilitare e configurare le funzionalità di Systems Manager necessarie per la gestione sicura delle istanze. EC2

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• iam— Consente ai responsabili di acquisire e trasferire il ruolo di servizio all'automazione. Consente ai responsabili di creare, leggere, aggiornare ed eliminare il ruolo di istanza predefinito; di passare il ruolo di istanza predefinito ad Amazon EC2 e Systems Manager; di associare le politiche di gestione delle istanze ai ruoli delle istanze; di creare un ruolo collegato ai servizi per Systems Manager; di aggiungere il ruolo di istanza predefinito ai profili di istanza; di leggere informazioni su IAM ruoli e profili di istanza; e di creare il profilo di istanza predefinito.

• ec2— Consente ai principali di associare e dissociare il profilo di istanza predefinito dalle istanze. EC2

• ssm— Consente ai responsabili di avviare flussi di lavoro di automazione che consentono Explorer di leggere e aggiornare le impostazioni del Explorer servizio, configurare le istanze e abilitare le funzionalità di Systems Manager sulle istanze.

• compute-optimizer— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

• support— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy, consulta la AWS Managed JSON Policy AWSQuickSetupSSMHostMgmtPermissionsBoundaryReference Guide.

AWS politica gestita: AWSQuickSetupPatchPolicyPermissionsBoundary

Nota

Questa politica è un limite di autorizzazioni. Un limite di autorizzazioni imposta le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità. IAM Non è necessario utilizzare e allegare autonomamente le policy relative ai limiti delle Quick Setup autorizzazioni. Quick Setuple politiche relative ai limiti delle autorizzazioni devono essere allegate solo ai ruoli gestiti. Quick Setup Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le IAM entità nella Guida per l'utente. IAM

La politica gestita AWSQuickSetupPatchPolicyPermissionsBoundary supporta il tipo. Configurare l'applicazione di patch per le istanze di un'organizzazione Quick Setup Questo tipo di configurazione consente di automatizzare l'applicazione di patch ad applicazioni e nodi in un singolo account o in tutta l'organizzazione.

Quando si crea una AWSQuickSetupPatchPolicyPermissionsBoundary configurazione utilizzandoQuick Setup, il sistema applica questo limite di autorizzazioni ai IAM ruoli creati al momento della distribuzione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli che crea. Quick Setup

Questa politica concede autorizzazioni amministrative che consentono di Quick Setup abilitare e configurare le politiche di patch inPatch Manager, una capacità di. AWS Systems Manager

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• iam— Consente ai responsabili di ottenere il ruolo di Patch Manager automazione; di passare i ruoli di automazione alle operazioni di Patch Manager patching; di creare il ruolo di istanza predefinitoAmazonSSMRoleForInstancesQuickSetup; di passare il ruolo di istanza predefinito ad Amazon EC2 e Systems Manager; di allegare politiche AWS gestite selezionate al ruolo dell'istanza; di creare un ruolo collegato ai servizi per Systems Manager; di aggiungere il ruolo di istanza predefinito ai profili di istanza; di leggere informazioni sui profili e i ruoli delle istanze; di creare un profilo di istanza predefinito; e di etichettare i ruoli che dispongono delle autorizzazioni per leggi le sostituzioni della linea di base delle patch.

• ssm— Consente ai responsabili di aggiornare il ruolo dell'istanza gestito da Systems Manager; di gestire le associazioni create da policy di Patch Manager patch create inQuick Setup; di etichettare le istanze destinate a una configurazione di policy di patch; di leggere informazioni sulle istanze e sullo stato delle patch; di avviare flussi di lavoro di automazione che configurano, abilitano e correggono l'applicazione di patch alle istanze; di avviare flussi di lavoro di automazione che abilitano; di aiutare ad abilitareExplorer; e di leggere e aggiornare le impostazioni del servizioExplorer. Explorer

• ec2— Consente ai principali di associare e dissociare il profilo di istanza predefinito dalle EC2 istanze, di etichettare le istanze destinate a una configurazione di policy di patch, di etichettare le istanze prese di mira da una configurazione di policy di patch e di aiutare ad abilitareExplorer.

• s3— Consente ai responsabili di creare e configurare bucket S3 per archiviare le sostituzioni di base delle patch.

• lambda— Consente ai responsabili di richiamare AWS Lambda funzioni che configurano l'applicazione delle patch e di eseguire operazioni di pulizia dopo l'eliminazione di una configurazione delle policy di patch. Quick Setup

• logs— Consente ai responsabili di configurare la registrazione delle funzioni. Patch Manager Quick Setup AWS Lambda

• config— Consente ai responsabili di contribuire all'attivazione Explorer fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.

• compute-optimizer— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

• support— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy, consulta la AWS Managed JSON Policy AWSQuickSetupPatchPolicyPermissionsBoundaryReference Guide.

AWS politica gestita: AWSQuickSetupSchedulerPermissionsBoundary

Nota

Questa politica è un limite di autorizzazioni. Un limite di autorizzazioni imposta le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità. IAM Non è necessario utilizzare e allegare autonomamente le policy relative ai limiti delle Quick Setup autorizzazioni. Quick Setuple politiche relative ai limiti delle autorizzazioni devono essere allegate solo ai ruoli gestiti. Quick Setup Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le IAM entità nella Guida per l'utente. IAM

La policy gestita AWSQuickSetupSchedulerPermissionsBoundary supporta il tipo di Arresta e avvia EC2 le istanze automaticamente in base a una pianificazione Quick Setup configurazione. Questo tipo di configurazione consente di arrestare e avviare le EC2 istanze e le altre risorse nei momenti specificati.

Quando crei una AWSQuickSetupSchedulerPermissionsBoundary configurazione utilizzandoQuick Setup, il sistema applica questo limite di autorizzazioni ai IAM ruoli creati quando viene distribuita la configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli che crea. Quick Setup

Questa politica concede autorizzazioni amministrative che consentono di Quick Setup abilitare e configurare operazioni pianificate su EC2 istanze e altre risorse.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• iam— Consente ai responsabili di recuperare e trasferire ruoli per le azioni di automazione della gestione delle istanze; di gestire, passare e associare ruoli di istanza predefiniti per la gestione delle EC2 istanze; di creare profili di istanza predefiniti; di aggiungere ruoli di istanza predefiniti ai profili di istanza; di creare un ruolo collegato al servizio perSystems Manager; di leggere informazioni su IAM ruoli e profili di istanza; di associare un profilo di EC2 istanza predefinito alle istanze e di avviare flussi di lavoro di automazione per configurare istanze e abilitare Systems Manager funzionalità su di esse.

• ssm— Consente ai responsabili di avviare flussi di lavoro di automazione che lo abilitano Explorer e di leggere e aggiornare le impostazioni del Explorer servizio.

• ec2 — Consente ai responsabili di individuare istanze mirate e di avviarle e interromperle secondo una pianificazione.

• config— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.

• compute-optimizer— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

• support— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura agli assegni relativi a un account. AWS Trusted Advisor

Per visualizzare maggiori dettagli sulla politica, inclusa la versione più recente del documento sulla politica, consulta la AWS Managed JSON Policy AWSQuickSetupSchedulerPermissionsBoundaryReference Guide.

AWS politica gestita: AWSQuickSetupCFGCPacksPermissionsBoundary

Nota

Questa politica è un limite di autorizzazioni. Un limite di autorizzazioni imposta le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità. IAM Non è necessario utilizzare e allegare autonomamente le policy relative ai limiti delle Quick Setup autorizzazioni. Quick Setuple politiche relative ai limiti delle autorizzazioni devono essere allegate solo ai ruoli gestiti. Quick Setup Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le IAM entità nella Guida per l'utente. IAM

La policy gestita AWSQuickSetupCFGCPacksPermissionsBoundary supporta il tipo di Implementa il AWS Config pacchetto di conformità utilizzando Quick Setup Quick Setup configurazione. Questo tipo di configurazione implementa pacchetti di AWS Config conformità. I pacchetti di conformità sono raccolte di AWS Config regole e azioni correttive che possono essere implementate come un'unica entità.

Quando si crea una AWSQuickSetupCFGCPacksPermissionsBoundary configurazione utilizzandoQuick Setup, il sistema applica questo limite di autorizzazioni ai IAM ruoli creati al momento della distribuzione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli che crea. Quick Setup

Questa politica concede autorizzazioni amministrative che consentono di distribuire pacchetti Quick Setup di conformità. AWS Config

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

• iam— Consente ai dirigenti di creare, ottenere e assegnare un ruolo collegato ai servizi per. AWS Config

• sns— Consente ai responsabili di elencare le applicazioni della piattaforma in AmazonSNS.

• config— Consente ai responsabili di distribuire pacchetti di AWS Config conformità, di conoscere lo stato dei pacchetti di conformità e di ottenere informazioni sui registratori di configurazione.

• ssm— Consente ai responsabili di ottenere informazioni sui SSM documenti e sui flussi di lavoro di automazione, di ottenere informazioni sui tag delle risorse e di ottenere informazioni e aggiornare le impostazioni del servizio.

• compute-optimizer— Consente ai dirigenti di ottenere lo stato di attivazione di un account.

• support— Consente ai dirigenti di ottenere informazioni sui controlli. AWS Trusted Advisor

Per visualizzare maggiori dettagli sulla politica, inclusa la versione più recente del documento relativo alla JSON policy, consulta AWSQuickSetupCFGCPacksPermissionsBoundaryla AWS Managed Policy Reference Guide.

Systems Manageraggiornamenti alle politiche AWS gestite

Nella tabella seguente, visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite Systems Manager da quando questo servizio ha iniziato a tenere traccia di queste modifiche il 12 marzo 2021. Per informazioni su altre politiche gestite per il servizio Systems Manager, vedere Politiche gestite aggiuntive per Systems Manager più avanti in questo argomento. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed presente nella Systems Manager Cronologia dei documenti pagina.

Modifica	Descrizione	Data
AmazonSSMManagedEC2InstanceDefaultPolicy: aggiornamento a una policy esistente	Systems Managerha aggiunto una dichiarazione IDs (Sids) alla JSON politica di. AmazonSSMManagedEC2InstanceDefaultPolicy Questi Sid forniscono descrizioni in linea dello scopo di ciascuna dichiarazione politica.	18 luglio 2024
SSMQuickSetupRolePolicy: nuova policy	Systems Managerha aggiunto una nuova policy per consentire di Quick Setup verificare lo stato delle risorse distribuite e correggere le istanze che si sono discostate dalla configurazione originale.	3 luglio 2024
AWSQuickSetupDeploymentRolePolicy: nuova policy	Systems Managerha aggiunto una nuova policy per supportare più tipi di configurazione Quick Setup che creano IAM ruoli e automazioni, che a loro volta configurano i servizi e le funzionalità di Amazon Web Services usati di frequente con le best practice consigliate.	3 luglio 2024
AWSQuickSetupPatchPolicyDeploymentRolePolicy — Nuova politica	Systems Managerha aggiunto una nuova policy per consentire la creazione Quick Setup di risorse associate alle Quick Setup configurazioni delle policy di Patch Manager patch.	3 luglio 2024
AWSQuickSetupPatchPolicyBaselineAccess: nuova policy	Systems Managerha aggiunto una nuova policy per consentire l'accesso Quick Setup alle linee di base delle patch Patch Manager con autorizzazioni di sola lettura.	3 luglio 2024
AWSSystemsManagerEnableExplorerExecutionPolicy: nuova policy	Systems Managerha aggiunto una nuova politica per consentire di Quick Setup concedere le autorizzazioni amministrative per l'abilitazione. Explorer	3 luglio 2024
AWSSystemsManagerEnableConfigRecordingExecutionPolicy: nuova policy	Systems Managerha aggiunto una nuova politica per consentire di Quick Setup abilitare e configurare la registrazione AWS Config della configurazione.	3 luglio 2024
AWSQuickSetupDevOpsGuruPermissionsBoundary: nuova policy	Systems Managerha aggiunto una nuova policy per consentire di Quick Setup abilitare e configurare Amazon DevOps Guru.	3 luglio 2024
AWSQuickSetupDistributorPermissionsBoundary: nuova policy	Systems Managerha aggiunto una nuova politica per consentire di Quick Setup abilitare e configurare Distributor, una funzionalità di. AWS Systems Manager	3 luglio 2024
AWSQuickSetupSSMHostMgmtPermissionsBoundary: nuova policy	Systems Managerha aggiunto una nuova policy per consentire di Quick Setup abilitare e configurare le funzionalità di Systems Manager per la gestione sicura delle EC2 istanze Amazon.	3 luglio 2024
AWSQuickSetupPatchPolicyPermissionsBoundary: nuova policy	Systems Managerha aggiunto una nuova politica per consentire di Quick Setup abilitare e configurare le politiche di patch inPatch Manager, una funzionalità di AWS Systems Manager.	3 luglio 2024
AWSQuickSetupSchedulerPermissionsBoundary: nuova policy	Systems Managerha aggiunto una nuova policy per consentire di Quick Setup abilitare e configurare le operazioni pianificate su EC2 istanze Amazon e altre risorse.	3 luglio 2024
AWSQuickSetupCFGCPacksPermissionsBoundary: nuova policy	Systems Managerha aggiunto una nuova politica per consentire l'implementazione Quick Setup di pacchetti di AWS Config conformità.	3 luglio 2024
AWSSystemsManagerOpsDataSyncServiceRolePolicy: aggiornamento a una policy esistente	OpsCenterha aggiornato la politica per migliorare la sicurezza del codice di servizio nell'ambito del ruolo collegato al servizio Explorer per la gestione OpsData delle operazioni correlate.	3 luglio 2023
AmazonSSMManagedEC2InstanceDefaultPolicy: nuova policy	Systems Managerha aggiunto una nuova policy per consentire Systems Manager la funzionalità sulle EC2 istanze Amazon senza l'uso di un profilo di IAM istanza.	18 agosto 2022
A mazonSSMService RolePolicy — Aggiornamento a una politica esistente	Systems Manageraggiunte nuove autorizzazioni per consentireExplorerper creare una regola gestita quando si attiva Security Hub daExploreroOpsCenter. Sono state aggiunte nuove autorizzazioni per verificare che la configurazione e l'ottimizzatore di calcolo soddisfino i requisiti necessari prima di consentire. OpsData	27 aprile 2021
AWSSystemsManagerOpsDataSyncServiceRolePolicy: nuova policy	Systems Managerha aggiunto una nuova policy per creare e aggiornare OpsItems e basarsi sui risultati OpsData di Security Hub in Explorer eOpsCenter.	27 aprile 2021
AmazonSSMServiceRolePolicy: aggiornamento a una policy esistente	Systems Managerha aggiunto nuove autorizzazioni per consentire la visualizzazione aggregata OpsData e dei OpsItems dettagli da più account e Regioni AWS in uscita. Explorer	24 marzo 2021
Systems ManagerRilevamento delle modifiche	Systems Managerha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.	12 marzo 2021

Politiche gestite aggiuntive per Systems Manager

Oltre alle politiche gestite descritte in precedenza in questo argomento, Systems Manager supporta anche le seguenti politiche.

• AmazonSSMAutomationApproverAccess— policy AWS gestita che consente l'accesso per visualizzare le esecuzioni di automazione e inviare le decisioni di approvazione all'automazione in attesa di approvazione.

• AmazonSSMAutomationRole— politica AWS gestita che fornisce le autorizzazioni per il servizio di Systems Manager automazione per eseguire le attività definite nei runbook di automazione. Assegna questa policy agli amministratori e agli utenti più affidabili.

• AmazonSSMDirectoryServiceAccess— politica AWS gestita che consente l'accesso SSM Agent per AWS Directory Service conto dell'utente alle richieste di aggiunta al dominio da parte del nodo gestito.

• AmazonSSMFullAccess— politica AWS gestita che garantisce l'accesso completo ai documenti Systems Manager API e ai documenti.

• AmazonSSMMaintenanceWindowRole— policy AWS gestita che fornisce alle finestre di manutenzione le autorizzazioni per il Systems ManagerAPI.

• AmazonSSMManagedInstanceCore: policy gestita da AWS che consente a un nodo di utilizzare la funzionalità principale del servizio di Systems Manager.

• AmazonSSMPatchAssociation— policy AWS gestita che fornisce l'accesso alle istanze secondarie per le operazioni di associazione delle patch.

• AmazonSSMReadOnlyAccess— policy AWS gestita che garantisce l'accesso a API operazioni di Systems Manager sola lettura, come e. Get* List*

• AWSSSMOpsInsightsServiceRolePolicy— politica AWS gestita che fornisce le autorizzazioni per la creazione e l'aggiornamento di informazioni operative in. OpsItemsSystems Manager Utilizzato per fornire autorizzazioni tramite il ruolo collegato al servizio. AWSServiceRoleForAmazonSSM_OpsInsights

• AWSSystemsManagerAccountDiscoveryServicePolicy— policy AWS gestita che concede a Systems Manager l'autorizzazione a scoprire Account AWS informazioni.

• AWSSystemsManagerChangeManagementServicePolicy— politica AWS gestita che fornisce l'accesso alle AWS risorse gestite o utilizzate dal framework di gestione delle Systems Manager modifiche e utilizzate dal ruolo collegato al servizio. AWSServiceRoleForSystemsManagerChangeManagement

• AmazonEC2RoleforSSM— Questa politica non è più supportata e non dovrebbe essere utilizzata. Al suo posto, utilizzate la AmazonSSMManagedInstanceCore policy per consentire la funzionalità di base del Systems Manager servizio sulle EC2 istanze. Per informazioni, vedere Configurare le autorizzazioni di istanza richieste per Systems Manager.