AWS の AWS Systems Manager マネージドポリシー - AWS Systems Manager
AmazonSSMServiceRolePolicyAmazonSSMReadOnlyAccessAWSSystemsManagerOpsDataSyncServiceRolePolicyAmazonSSMManagedEC2InstanceDefaultPolicySSMQuickSetupRolePolicyAWSQuickSetupDeploymentRolePolicyAWSQuickSetupPatchPolicyDeploymentRolePolicyAWSQuickSetupPatchPolicyBaselineAccessAWSSystemsManagerEnableExplorerExecutionPolicyAWSSystemsManagerEnableConfigRecordingExecutionPolicyAWSQuickSetupDevOpsGuruPermissionsBoundaryAWSQuickSetupDistributorPermissionsBoundaryAWSQuickSetupSSMHostMgmtPermissionsBoundaryAWSQuickSetupPatchPolicyPermissionsBoundaryAWSQuickSetupSchedulerPermissionsBoundaryAWSQuickSetupCFGCPacksPermissionsBoundaryポリシーの更新Systems Manager 用の追加のマネージドポリシー

AWS の AWS Systems Manager マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供できるように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。AWSのすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS service を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

AWS 管理ポリシー: AmazonSSMServiceRolePolicy

AWS Identity and Access Management (IAM) エンティティに AmazonSSMServiceRolePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって AWS Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「ロールを使用してインベントリの収集と OpsData の表示を行う」を参照してください。

AmazonSSMServiceRolePolicy では、Systems Manager がすべての関連リソース ("Resource": "*") に対して、以下のアクションを実行できます。ただし、後述しているような例外があります。

  • ssm:CancelCommand

  • ssm:GetCommandInvocation

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:SendCommand

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:StartAutomationExecution

  • ssm:StopAutomationExecution

  • ssm:ListTagsForResource

  • ssm:GetCalendarState

  • ssm:UpdateServiceSetting [1]

  • ssm:GetServiceSetting [1]

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInstances

  • lambda:InvokeFunction [2]

  • states:DescribeExecution [3]

  • states:StartExecution [3]

  • resource-groups:ListGroups

  • resource-groups:ListGroupResources

  • resource-groups:GetGroupQuery

  • tag:GetResources

  • config:SelectResourceConfig

  • config:DescribeComplianceByConfigRule

  • config:DescribeComplianceByResource

  • config:DescribeRemediationConfigurations

  • config:DescribeConfigurationRecorders

  • cloudwatch:DescribeAlarms

  • compute-optimizer:GetEC2InstanceRecommendations

  • compute-optimizer:GetEnrollmentStatus

  • support:DescribeTrustedAdvisorChecks

  • support:DescribeTrustedAdvisorCheckSummaries

  • support:DescribeTrustedAdvisorCheckResult

  • support:DescribeCases

  • iam:PassRole [4]

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:ListStackInstances [5]

  • cloudformation:DescribeStackSetOperation [5]

  • cloudformation:DeleteStackSet [5]

  • cloudformation:DeleteStackInstances [6]

  • events:PutRule [7]

  • events:PutTargets [7]

  • events:RemoveTargets [8]

  • events:DeleteRule [8]

  • events:DescribeRule

  • securityhub:DescribeHub

[1] ssm:UpdateServiceSetting および ssm:GetServiceSetting アクションは以下のリソースにのみ許可されます。

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[2] lambda:InvokeFunction アクションは以下のリソースにのみ許可されます。

arn:aws:lambda:*:*:function:SSM*
arn:aws:lambda:*:*:function:*:SSM*

[3] states: アクションは以下のリソースにのみ許可されます。

arn:aws:states:*:*:stateMachine:SSM*
arn:aws:states:*:*:execution:SSM*

[4] iam:PassRole アクションは以下の条件でのみ Systems Manager のサービスに許可されます。

"Condition": {
   "StringEquals": {
      "iam:PassedToService": [
         "ssm.amazonaws.com"
      ]
   }
}

[5] cloudformation:ListStackInstancescloudformation:DescribeStackSetOperationcloudformation:DeleteStackSet アクションは以下のリソースにのみ許可されます。

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*

[6] cloudformation:DeleteStackInstances アクションは以下のリソースにのみ許可されます。

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

[7] events:PutRule および events:PutTargets アクションは以下の条件でのみ Systems Manager のサービスに許可されます。

"Condition": {
    "StringEquals": {
        "events:ManagedBy": "ssm.amazonaws.com"
    }
}

[8] events:RemoveTargetsevents:DeleteRule アクションは以下のリソースにのみ許可されます。

arn:aws:events:*:*:rule/SSMExplorerManagedRule

JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「AWS マネージドポリシーリファレンスガイド」の「AmazonSSMServiceRolePolicy」を参照してください。

AWS マネージドポリシー: AmazonSSMReadOnlyAccess

AmazonSSMReadOnlyAccess ポリシーは IAM ID にアタッチできます。このポリシーは、Describe*Get*List* など、AWS Systems Manager API オペレーションへの読み取り専用アクセスを許可します。

JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「AWS マネージドポリシーリファレンスガイド」の「AmazonSSMReadOnlyAccess」を参照してください。

AWS マネージドポリシー: AWSSystemsManagerOpsDataSyncServiceRolePolicy

IAM エンティティに AWSSystemsManagerOpsDataSyncServiceRolePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「ロールを使用して、Explorer の OpsData および OpsItems を作成」を参照してください。

AWSSystemsManagerOpsDataSyncServiceRolePolicy では、AWSServiceRoleForSystemsManagerOpsDataSync サービスリンクロールは AWS Security Hub の結果から OpsItems と OpsData を作成して更新できます。

ポリシーでは、Systems Manager がすべての関連リソース ("Resource": "*") に対して、以下のアクションを実行できます。ただし、後述しているような例外があります。

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

[1] ssm:GetOpsItem および ssm:UpdateOpsItem のアクションは以下の条件でのみ Systems Manager のサービスに許可されます。

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] ssm:AddTagsToResource アクションは以下のリソースにのみ許可されます。

arn:aws:ssm:*:*:opsitem/*

[3] ssm:UpdateServiceSetting および ssm:GetServiceSetting アクションは以下のリソースにのみ許可されます。

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] securityhub:BatchUpdateFindings は以下の条件でのみ、Systems Manager のサービスへのアクセス許可が拒否されます。

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSystemsManagerOpsDataSyncServiceRolePolicy」を参照してください。

AWS マネージドポリシー: AmazonSSMManagedEC2InstanceDefaultPolicy

Systems Manager 機能を使用するアクセス許可が必要な Amazon EC2 インスタンスの IAM ロールにのみ AmazonSSMManagedEC2InstanceDefaultPolicy をアタッチする必要があります。このロールは、IAM ユーザーや IAM グループなど、他の IAM エンティティや、他の目的を果たす IAM ロールにはアタッチしないでください。詳細については、「デフォルトのホスト管理設定の使用」を参照してください。

このポリシーは、Amazon EC2 インスタンスで SSM Agent がドキュメントを取得すること、Run Command を使用してコマンドを実行すること、Session Manager を使用してセッションを確立すること、インスタンスのインベントリを収集すること、Patch Manager を使用してパッチとパッチコンプライアンスをスキャンすることを許可する権限を付与します。

Systems Manager は、インスタンスごとにパーソナライズされた認証トークンを使用して、SSM Agent が正しいインスタンスで API オペレーションを実行することを確認します。Systems Manager は、API オペレーションで提供されるインスタンスの Amazon リソースネーム (ARN) と照合して、パーソナライズされた認証トークンを検証します。

AmazonSSMManagedEC2InstanceDefaultPolicy ロールのアクセス許可ポリシーでは、Systems Manager はすべての関連リソースで以下のアクションを実行することができます。

  • ssm:DescribeAssociation

  • ssm:GetDeployablePatchSnapshotForInstance

  • ssm:GetDocument

  • ssm:DescribeDocument

  • ssm:GetManifest

  • ssm:ListAssociations

  • ssm:ListInstanceAssociations

  • ssm:PutInventory

  • ssm:PutComplianceItems

  • ssm:PutConfigurePackageResult

  • ssm:UpdateAssociationStatus

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「AWS マネージドポリシーリファレンスガイド」の「AmazonSSMManagedEC2InstanceDefaultPolicy」を参照してください。

AWS マネージドポリシー: SSMQuickSetupRolePolicy

SSMQuickSetupRolePolicy を IAM エンティティにアタッチすることはできません。このポリシーは、ユーザーに代わって Systems Manager がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「ロールを使用して Quick Setup によってプロビジョニングされたリソースの正常性と一貫性を維持する」を参照してください。

このポリシーは、Systems Manager が設定の正常性をチェックし、パラメータとプロビジョニングされたリソースが確実に一貫して使用されるようにするとともに、ドリフトが検出された場合にリソースを修復することを許可する読み取り専用許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ssm – プリンシパルが Systems Manager でリソースデータ同期と SSM ドキュメントの情報を読み取るのを許可します。これは、設定されたリソースについて意図されている状態を Quick Setup が判別するために必要です。

  • organizations – プリンシパルが、AWS Organizations で設定されている組織に属するメンバーアカウントに関する情報を読み取るのを許可します。これは、Quick Setup がリソースのヘルスチェックを実行する組織内のすべてのアカウントを識別するために必要です。

  • cloudformation – プリンシパルが AWS CloudFormation から情報を読み取るのを許可します。これは、Quick Setup がリソースの状態と CloudFormation スタックセットオペレーションを管理するために使用される AWS CloudFormation スタックに関するデータを収集するために必要です。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "SSMResourceDataSyncPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:ListResourceDataSync"
			],
			"Resource": "*"
		},
		{
			"Sid": "SSMResourceDataSyncGetOpsSummaryPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:GetOpsSummary"
			],
			"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
		},
		{
			"Sid": "SSMAssociationsReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:ListAssociations",
				"ssm:DescribeAssociationExecutions"
			],
			"Resource": "*"
		},
		{
			"Sid": "QuickSetupSSMDocumentsReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:DescribeDocument",
				"ssm:GetDocument"
			],
			"Resource": [
				"arn:aws:ssm:*:*:document/AWSQuickSetupType-*",
				"arn:aws:ssm:*:*:document/*-AWSQuickSetupType-*"
			]
		},
		{
			"Sid": "OrganizationReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"organizations:ListRoots",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAccountsForParent",
				"organizations:ListOrganizationalUnitsForParent"
			],
			"Resource": "*"
		},
		{
			"Sid": "QuickSetupStackSetReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStackSet",
				"cloudformation:DescribeStackSetOperation",
				"cloudformation:ListStackInstances",
				"cloudformation:ListStackSetOperations",
				"cloudformation:ListStackSetOperationResults"
			],
			"Resource": [
				"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
				"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*"
			]
		},
		{
			"Sid": "QuickSetupStackSetDeletePermissions",
			"Effect": "Allow",
			"Action": [
				"cloudformation:DeleteStackInstances",
				"cloudformation:DeleteStackSet"
			],
			"Resource": [
				"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
				"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

JSON ポリシードキュメントの最新バージョンなど、ポリシーについてさらに詳しく確認するには、「AWS マネージドポリシーリファレンスガイド」の「SSMQuickSetupRolePolicy」を参照してください。

AWS マネージドポリシー: AWSQuickSetupDeploymentRolePolicy

マネージドポリシー AWSQuickSetupDeploymentRolePolicy は複数の Quick Setup 設定タイプをサポートします。これらの設定タイプは、推奨されるベストプラクティスを使用して、頻繁に使用される Amazon Web Services のサービスと機能を設定する IAM ロールとオートメーションを作成します。

IAM エンティティに AWSQuickSetupDeploymentRolePolicy をアタッチできます。

このポリシーは、次の Quick Setup 設定に関連付けられたリソースを作成するために必要な管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • iam – プリンシパルがオートメーション設定タスクに必要な IAM ロールを管理および削除し、オートメーションロールポリシーを管理するのを許可します。

  • cloudformation — プリンシパルがスタックセットを作成および管理することを許可します。

  • config – プリンシパルが適合パックを作成、管理、削除するのを許可します。

  • events – プリンシパルがスケジュールされたアクションのイベントルールを作成、更新、削除するのを許可します。

  • resource-groups – プリンシパルが、Quick Setup 設定の対象となるリソースグループに関連付けられているリソースクエリを取得するのを許可します。

  • ssm – プリンシパルが Quick Setup 設定を適用するオートメーションランブックと関連付けを作成するのを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupDeploymentRolePolicy」を参照してください。

AWS マネージドポリシー: AWSQuickSetupPatchPolicyDeploymentRolePolicy

マネージドポリシー AWSQuickSetupPatchPolicyDeploymentRolePolicy組織内のインスタンスのためにパッチ適用を設定する Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。

AWSQuickSetupPatchPolicyDeploymentRolePolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

このポリシーは、Quick Setup がパッチポリシー設定に関連付けられたリソースを作成することを許可する管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • iam – プリンシパルがオートメーション設定タスクに必要な IAM ロールを管理および削除し、オートメーションロールポリシーを管理するのを許可します。

  • cloudformation – プリンシパルが AWS CloudFormation スタック情報を読み取り、AWS CloudFormation スタックセットを使用して Quick Setup によって作成された AWS CloudFormation スタックを制御するのを許可します。

  • ssm – プリンシパルが設定タスクに必要なオートメーションランブックを作成、更新、読み取り、削除し、State Manager 関連付けを作成、更新、削除するのを許可します。

  • resource-groups – プリンシパルが、Quick Setup 設定の対象となるリソースグループに関連付けられているリソースクエリを取得するのを許可します。

  • s3 – プリンシパルが Amazon S3 バケットを一覧表示し、パッチポリシーアクセスログを保存するためのバケットを管理するのを許可します。

  • lambda – プリンシパルが設定を正しい状態に維持する AWS Lambda 修復機能を管理するのを許可します。

  • logs – プリンシパルが Lambda 設定リソースのロググループを記述および管理するのを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupPatchPolicyDeploymentRolePolicy」を参照してください。

AWS マネージドポリシー: AWSQuickSetupPatchPolicyBaselineAccess

マネージドポリシー AWSQuickSetupPatchPolicyBaselineAccess組織内のインスタンスのためにパッチ適用を設定する Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。

AWSQuickSetupPatchPolicyBaselineAccess を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

このポリシーは、現在の AWS アカウント または組織内の管理者が Quick Setup を使用して設定したパッチベースラインにアクセスするための読み取り専用許可を付与します。パッチベースラインは Amazon S3 バケットに保存され、単一のアカウントまたは組織全体のインスタンスへのパッチ適用に使用できます。

許可の詳細

このポリシーには、次の許可が含まれています。

  • s3 – プリンシパルが Amazon S3 バケットに保存されているパッチベースラインオーバーライドを読み取るのを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupPatchPolicyBaselineAccess」を参照してください。

AWS マネージドポリシー: AWSSystemsManagerEnableExplorerExecutionPolicy

マネージドポリシー AWSSystemsManagerEnableExplorerExecutionPolicy は AWS Systems Manager の機能である Explorer の有効化をサポートします。

AWSSystemsManagerEnableExplorerExecutionPolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

このポリシーは、Explorer を有効にするための管理許可を付与します。これには、関連する Systems Manager サービス設定を更新し、Systems Manager のためにサービスにリンクされたロールを作成する許可が含まれます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • config – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

  • iam – プリンシパルが Explorer の有効化をサポートするのを許可します。

  • ssm – プリンシパルが Explorer を有効にするオートメーションワークフローを開始するのを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSystemsManagerEnableExplorerExecutionPolicy」を参照してください。

AWS マネージドポリシー: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

マネージドポリシー AWSSystemsManagerEnableConfigRecordingExecutionPolicyQuick Setup を使用して AWS Config 設定レコーダーを作成する Quick Setup 設定タイプをサポートします。この設定タイプを使用すると、AWS Config のために選択した AWS リソースタイプに対する変更を追跡および記録するよう Quick Setup を有効にできます。また、記録されたデータの配信および通知オプションを設定するよう Quick Setup を有効にすることもできます。

AWSSystemsManagerEnableConfigRecordingExecutionPolicy を IAM エンティティにアタッチできます。Systems Manager はまた、Systems Manager がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。

このポリシーは、Quick Setup が AWS Config 設定記録を有効にして設定することを許可する管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • s3 – プリンシパルが設定記録の配信用に Amazon S3 バケットを作成および設定するのを許可します。

  • sns – プリンシパルが Amazon SNS トピックを一覧表示および作成するのを許可します。

  • config – プリンシパルが設定レコーダーを設定して起動し、Explorer の有効化をサポートするのを許可します。

  • iam – プリンシパルが AWS Config のためにサービスにリンクされたロールを作成、取得、渡して、Systems Manager のためにサービスにリンクされたロールを作成し、Explorer の有効化をサポートするのを許可します。

  • ssm – プリンシパルが Explorer を有効にするオートメーションワークフローを開始するのを許可します。

  • compute-optimizer – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

  • support – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSystemsManagerEnableConfigRecordingExecutionPolicy」を参照してください。

AWS マネージドポリシー: AWSQuickSetupDevOpsGuruPermissionsBoundary

注記

このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、IAM ユーザーガイドIAM エンティティのアクセス許可の境界を参照してください。

マネージドポリシー AWSQuickSetupDevOpsGuruPermissionsBoundaryQuick Setup で DevOps Guru を設定する タイプをサポートします。この設定タイプにより、機械学習を活用した Amazon DevOps Guru が有効になります。DevOps Guru サービスは、アプリケーションの運用パフォーマンスと可用性の向上に役立ちます。

Quick Setup を使用して AWSQuickSetupDevOpsGuruPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、Quick Setup が Amazon DevOps Guru を有効にして設定するのを許可する管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • iam – プリンシパルが DevOps Guru および Systems Manager のためにサービスにリンクされたロールを作成し、Explorer を有効にするのに役立つロールを一覧表示するのを許可します。

  • cloudformation — プリンシパルが AWS CloudFormation スタックを一覧表示および記述することを許可します。

  • sns – プリンシパルが Amazon SNS トピックを一覧表示および作成するのを許可します。

  • devops-guru – プリンシパルが DevOps Guru を設定し、通知チャネルを追加するのを許可します。

  • config – – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

  • ssm – プリンシパルが Explorer を有効にするオートメーションワークフローを開始すること、および Explorer サービス設定を読み取ったり、更新したりすることを許可します。

  • compute-optimizer – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

  • support – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupDevOpsGuruPermissionsBoundary」を参照してください。

AWS マネージドポリシー: AWSQuickSetupDistributorPermissionsBoundary

注記

このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、IAM ユーザーガイドIAM エンティティのアクセス許可の境界を参照してください。

マネージドポリシー AWSQuickSetupDistributorPermissionsBoundaryQuick Setup を使用して Distributor パッケージをデプロイする Quick Setup 設定タイプをサポートします。この設定タイプは、AWS Systems Manager の機能であるディストリビューターを使用して、エージェントなどのソフトウェアパッケージの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへの配布の有効化をサポートします。

Quick Setup を使用して AWSQuickSetupDistributorPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、ディストリビューターを使用した、エージェントなどのソフトウェアパッケージの Amazon EC2 インスタンスへの配布を Quick Setup が有効にすることを許可する管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • iam – プリンシパルがディストリビューターオートメーションロールを取得して渡すこと、デフォルトのインスタンスロールを作成、読み取り、更新、削除すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、インスタンスマネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、およびデフォルトのインスタンスプロファイルを作成することを許可します。

  • ec2 – プリンシパルがデフォルトのインスタンスプロファイルを EC2 インスタンスに関連付け、Explorer の有効化をサポートするのを許可します。

  • ssm – プリンシパルがインスタンスを設定してパッケージをインストールするオートメーションワークフローを開始すること、Explorer を有効にするオートメーションワークフローの開始をサポートすること、Explorer サービス設定を読み取ったり、更新したりすることを許可します。

  • config – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

  • compute-optimizer – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

  • support – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupDistributorPermissionsBoundary」を参照してください。

AWS マネージドポリシー: AWSQuickSetupSSMHostMgmtPermissionsBoundary

注記

このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、IAM ユーザーガイドIAM エンティティのアクセス許可の境界を参照してください。

マネージドポリシー AWSQuickSetupSSMHostMgmtPermissionsBoundaryAmazon EC2 ホスト管理を設定する Quick Setup 設定タイプをサポートします。この設定タイプは、IAM ロールを設定し、一般的に使用される Systems Manager の機能を有効にして、Amazon EC2 インスタンスを安全に管理します。

Quick Setup を使用して AWSQuickSetupSSMHostMgmtPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、Quick Setup が EC2 インスタンスを安全に管理するために必要な Systems Manager の機能を有効にして設定することを許可する管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • iam – プリンシパルがサービスロールを取得してオートメーションに渡すのを許可します。プリンシパルがデフォルトのインスタンスロールを作成、読み取り、更新、削除すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、インスタンスマネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、およびデフォルトのインスタンスプロファイルを作成することを許可します。

  • ec2 – プリンシパルがデフォルトのインスタンスプロファイルを EC2 インスタンスに関連付けたり、関連付けを解除したりするのを許可します

  • ssm – プリンシパルが Explorer を有効にするオートメーションワークフローを開始すること、Explorer サービス設定を読み取ったり、更新したりすること、インスタンスを設定すること、インスタンスで Systems Manager の機能を有効にすることを許可します。

  • compute-optimizer – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

  • support – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupSSMHostMgmtPermissionsBoundary」を参照してください。

AWS マネージドポリシー: AWSQuickSetupPatchPolicyPermissionsBoundary

注記

このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、IAM ユーザーガイドIAM エンティティのアクセス許可の境界を参照してください。

マネージドポリシー AWSQuickSetupPatchPolicyPermissionsBoundary組織内のインスタンスのためにパッチ適用を設定する Quick Setup タイプをサポートします。この設定タイプは、単一のアカウント内または組織全体でアプリケーションとノードのパッチ適用を自動化するのに役立ちます。

Quick Setup を使用して AWSQuickSetupPatchPolicyPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、Quick Setup が AWS Systems Manager の機能である Patch Manager でパッチポリシーを有効にして設定することを許可する管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • iam – プリンシパルが Patch Manager オートメーションロールを取得すること、オートメーションロールを Patch Manager パッチ適用オペレーションに渡すこと、デフォルトのインスタンスロール AmazonSSMRoleForInstancesQuickSetup を作成すること、デフォルトのインスタンスロールを Amazon EC2 および Systems Manager に渡すこと、選択した AWS マネージドポリシーをインスタンスロールにアタッチすること、Systems Manager のためにサービスにリンクされたロールを作成すること、デフォルトのインスタンスロールをインスタンスプロファイルに追加すること、インスタンスプロファイルとロールに関する情報を読み取ること、デフォルトのインスタンスプロファイルを作成すること、パッチベースラインオーバーライドを読み取るための許可を持つロールにタグ付けすることを許可します。

  • ssm – プリンシパルが Systems Manager によって管理されるインスタンスロールを更新すること、Quick Setup で作成された Patch Manager パッチポリシーによって作成された関連付けを管理すること、パッチポリシー設定の対象となるインスタンスにタグ付けすること、インスタンスとパッチ適用ステータスに関する情報を読み取ること、インスタンスパッチを設定、有効化、修復するオートメーションワークフローを開始すること、Explorer を有効にするオートメーションワークフローを開始すること、Explorer の有効化をサポートすること、Explorer サービス設定を読み取ったり、更新したりすることを許可します。

  • ec2 – プリンシパルが、デフォルトのインスタンスプロファイルの EC2 インスタンスへの関連付けおよび関連付け解除、パッチポリシー設定の対象となるインスタンスへのタグ付け、Explorer の有効化のサポートを実行するのを許可します。

  • s3 – プリンシパルがパッチベースラインオーバーライドを保存するために S3 バケットを作成および設定するのを許可します。

  • lambda – プリンシパルがパッチ適用を設定する AWS Lambda 関数を呼び出し、Quick Setup パッチポリシー設定が削除された後にクリーンアップオペレーションを実行するのを許可します。

  • logs – プリンシパルが Patch Manager Quick Setup AWS Lambda 関数についてのログ記録を設定するのを許可します。

  • config – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

  • compute-optimizer – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

  • support – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupPatchPolicyPermissionsBoundary」を参照してください。

AWS マネージドポリシー: AWSQuickSetupSchedulerPermissionsBoundary

注記

このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、IAM ユーザーガイドIAM エンティティのアクセス許可の境界を参照してください。

マネージドポリシー AWSQuickSetupSchedulerPermissionsBoundary Quick Setup 設定タイプをサポートします。この設定タイプを使用すると、指定した時刻に EC2 インスタンスや他のリソースを停止および起動できます。

Quick Setup を使用して AWSQuickSetupSchedulerPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、Quick Setup が EC2 インスタンスや他のリソースでスケジュールされたオペレーションを有効にして設定することを許可する管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • iam – プリンシパルがインスタンス管理オートメーションアクション用のロールを取得して渡すこと、EC2 インスタンス管理用のデフォルトのインスタンスロールを管理およびアタッチしたり、渡したりすること、デフォルトのインスタンスプロファイルを作成すること、インスタンスプロファイルにデフォルトのインスタンスロールを追加すること、Systems Manager のためにサービスにリンクされたロールを作成すること、IAM ロールとインスタンスプロファイルに関する情報を読み取ること、デフォルトのインスタンスプロファイルを EC2 インスタンスに関連付けること、ならびにオートメーションワークフローを開始してインスタンスを設定し、それらで Systems Manager 機能を有効にすることを許可します。

  • ssm – プリンシパルが Explorer を有効にするオートメーションワークフローを開始し、Explorer サービス設定を読み取ったり、更新したりするのを許可します。

  • ec2 – プリンシパルがターゲットインスタンスを見つけて、スケジュールに従ってそれらのインスタンスを起動および停止するのを許可します。

  • config – 設定レコーダーの詳細への読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

  • compute-optimizer – リソースが AWS Compute Optimizer に登録されているかどうかを判断するための読み取り専用アクセスを提供することで、プリンシパルが Explorer の有効化をサポートするのを許可します。

  • support – プリンシパルがアカウントの AWS Trusted Advisor チェックへの読み取り専用アクセスを提供することで、Explorer の有効化をサポートするのを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupSchedulerPermissionsBoundary」を参照してください。

AWS マネージドポリシー: AWSQuickSetupCFGCPacksPermissionsBoundary

注記

このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Quick Setup アクセス許可の境界ポリシーを独自に使用したり、アタッチしたりしないでください。Quick Setup アクセス許可の境界ポリシーは、Quick Setup マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、IAM ユーザーガイドIAM エンティティのアクセス許可の境界を参照してください。

マネージドポリシー AWSQuickSetupCFGCPacksPermissionsBoundary Quick Setup 設定タイプをサポートします。この設定タイプは、AWS Config 適合パックをデプロイします。適合パックは、単一のエンティティとしてデプロイできる AWS Config ルールと修復アクションをまとめたものです。

Quick Setup を使用して AWSQuickSetupCFGCPacksPermissionsBoundary 設定を作成すると、システムはこのアクセス許可の境界を、設定のデプロイ時に作成される IAM ロールに適用します。アクセス許可の境界により、Quick Setup が作成するロールの範囲が制限されます。

このポリシーは、Quick Setup が AWS Config 適合パックをデプロイすることを許可する管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • iam – プリンシパルが AWS Config のためにサービスにリンクされたロールを作成、取得、渡すのを許可します。

  • sns – プリンシパルが Amazon SNS でプラットフォームアプリケーションを一覧表示するのを許可します。

  • config – プリンシパルが AWS Config 適合パックをデプロイすること、適合パックのステータスを取得すること、設定レコーダーに関する情報を取得することを許可します。

  • ssm – プリンシパルが SSM ドキュメントとオートメーションワークフローに関する情報を取得すること、リソースタグに関する情報を取得すること、サービス設定に関する情報を取得し、サービス設定を更新することを許可します。

  • compute-optimizer – プリンシパルがアカウントのオプトインステータスを取得するのを許可します。

  • support – プリンシパルが AWS Trusted Advisor チェックに関する情報を取得するのを許可します。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSQuickSetupCFGCPacksPermissionsBoundary」を参照してください。

AWS マネージドポリシーの Systems Manager 更新

以下の表には、このサービスによりこれらの変更の追跡が開始された 2021 年 3 月 12 日以降に行われた Systems Manager 用 AWS マネージドポリシーに対する更新の詳しい説明が記載されています。Systems Manager サービスの他のマネージドポリシーについては、このトピックの後半の「Systems Manager 用の追加のマネージドポリシー」を参照してください。このページの変更に関する自動通知については、[Systems Manager ドキュメント履歴] ページの RSS フィードを購読してください。

変更 説明 日付
SSMQuickSetupRolePolicy - 新しいポリシー Systems Manager は、デプロイされたリソースの正常性をチェックし、元の設定からドリフトしたインスタンスを修復することを Quick Setup に許可する新しいポリシーを追加しました。 2024 年 7 月 3 日
AWSQuickSetupDeploymentRolePolicy - 新しいポリシー Systems Manager は、IAM ロールとオートメーションを作成する (これは、推奨されるベストプラクティスを使用して頻繁に使用される Amazon Web Services サービスと機能を設定します) 複数の Quick Setup 設定タイプをサポートする新しいポリシーを追加しました。 2024 年 7 月 3 日

AWSQuickSetupPatchPolicyDeploymentRolePolicy

– 新しいポリシー

Systems Manager は、Patch Manager パッチポリシー Quick Setup 設定に関連付けられたリソースを作成することを Quick Setup に許可する新しいポリシーを追加しました。

 2024 年 7 月 3 日

AWSQuickSetupPatchPolicyBaselineAccess – 新しいポリシー

Systems Manager は、読み取り専用許可で Patch Manager のパッチベースラインにアクセスすることを Quick Setup に許可する新しいポリシーを追加しました。

 2024 年 7 月 3 日
AWSSystemsManagerEnableExplorerExecutionPolicy – 新しいポリシー Systems Manager は、Explorer を有効にするための管理許可を付与することを Quick Setup に許可する新しいポリシーを追加しました。 2024 年 7 月 3 日
AWSSystemsManagerEnableConfigRecordingExecutionPolicy – 新しいポリシー Systems Manager は、AWS Config 設定記録を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。 2024 年 7 月 3 日

AWSQuickSetupDevOpsGuruPermissionsBoundary – 新しいポリシー

Systems Manager は、Amazon DevOps Guru を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。

 2024 年 7 月 3 日

AWSQuickSetupDistributorPermissionsBoundary – 新しいポリシー

Systems Manager は、AWS Systems Manager の機能である Distributor を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。

 2024 年 7 月 3 日

AWSQuickSetupSSMHostMgmtPermissionsBoundary – 新しいポリシー

Systems Manager は、Amazon EC2 インスタンスを安全に管理するための Systems Manager の機能を有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。

 2024 年 7 月 3 日

AWSQuickSetupPatchPolicyPermissionsBoundary – 新しいポリシー

Systems Manager は、AWS Systems Manager の機能である Patch Manager でパッチポリシーを有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。

 2024 年 7 月 3 日

AWSQuickSetupSchedulerPermissionsBoundary – 新しいポリシー

Systems Manager は、Amazon EC2 インスタンスや他のリソースでスケジュールされたオペレーションを有効にして設定することを Quick Setup に許可する新しいポリシーを追加しました。

 2024 年 7 月 3 日

AWSQuickSetupCFGCPacksPermissionsBoundary – 新しいポリシー

Systems Manager は、AWS Config 適合パックをデプロイすることを Quick Setup に許可する新しいポリシーを追加しました。

 2024 年 7 月 3 日

AWSSystemsManagerOpsDataSyncServiceRolePolicy – 既存ポリシーへの更新

 OpsCenter は、OpsData 関連のオペレーションを管理するための Explorer のサービスにリンクされたロール内のサービスコードのセキュリティを強化することを目的として、ポリシーを更新しました。 2023 年 7 月 3 日

AmazonSSMManagedEC2InstanceDefaultPolicy - 新しいポリシー

Systems Manager は、IAM インスタンスプロファイルを使用せずに、Amazon EC2 インスタンスで Systems Manager 機能を許可する新しいポリシーを追加しました。

 2022 年 8 月 18 日

AmazonSSMServiceRolePolicy – 既存のポリシーを更新します

Systems Manager では、Explorer または OpsCenter からSecurity Hub を有効にしたときに、Explorer が管理ルールを作成できるようにする新しいアクセス許可が追加されました。OpsData を許可する前に、その設定と Compute Optimizer コンピュートオプティマイザが、必要な要件を満たしていることを確認するための新しいアクセス許可が追加されました。

 2021 年 4 月 27 日

AWSSystemsManagerOpsDataSyncServiceRolePolicy - 新しいポリシー

Systems Manager は、Explorer と OpsCenter のSecurity Hub 結果から OpsItems と OpsData を作成および更新する新しいポリシーを追加しました。

 2021 年 4 月 27 日

AmazonSSMServiceRolePolicy – 既存ポリシーへの更新

Systems Manager では、Explorer の複数のアカウントと AWS リージョン からの集計 OpsData と OpsItems の詳細を表示できるようにする新しいアクセス許可が追加されました。

 2021 年 3 月 24 日

Systems Manager は変更の追跡を開始しました

Systems Manager が AWS マネージドポリシーの変更の追跡を開始しました。

 2021 年 3 月 12 日

Systems Manager 用の追加のマネージドポリシー

Systems Manager では、このトピックで前述したマネージドポリシーに加えて、次のポリシーもサポートされています。

  • AmazonSSMAutomationApproverAccess – オートメーションの実行を表示するアクセスと、承認待ちのオートメーションへの承認決定を送信するアクセスを許可する AWS マネージドポリシー。

  • AmazonSSMAutomationRole – Systems Manager オートメーションサービスにオートメーションランブックで定義されているアクティビティを実行するためのアクセス許可を付与する AWS マネージドポリシー。このポリシーは、管理者および信頼されたパワーユーザーに割り当てます。

  • AmazonSSMDirectoryServiceAccess – マネージドノードによるドメインの参加リクエストに対して、SSM Agent による AWS Directory Service へのアクセスをユーザーに代わって許可する AWS マネージドポリシー。

  • AmazonSSMFullAccess – Systems Manager API およびドキュメントに対するフルアクセス権を付与する AWS マネージドポリシー。

  • AmazonSSMMaintenanceWindowRole – Systems Manager API へのアクセス許可をメンテナンスウィンドウに付与する AWS マネージドポリシー。

  • AmazonSSMManagedInstanceCore – ノードに Systems Manager サービスコア機能の使用を許可する AWS マネージドポリシー。

  • AmazonSSMPatchAssociation – パッチ関連付け操作用の子インスタンスへのアクセス権を付与する AWS マネージドポリシー。

  • AmazonSSMReadOnlyAccess – Systems Manager の読み取り専用 API オペレーション (Get*List* など) へのアクセス権を付与する AWS マネージドポリシー。

  • AWSSSMOpsInsightsServiceRolePolicy – Systems Manager での運用上のインサイト OpsItems を作成および更新するアクセス許可を付与する AWS マネージドポリシー。サービスにリンクされたロール AWSServiceRoleForAmazonSSM_OpsInsights を通じてアクセス許可を付与するために使用されます。

  • AWSSystemsManagerAccountDiscoveryServicePolicy – Systems Manager に AWS アカウント 情報を検出するアクセス許可を付与する AWS マネージドポリシー。

  • AWSSystemsManagerChangeManagementServicePolicy – Systems Manager 変更管理フレームワークによって管理または使用され、サービスにリンクされたロール AWSServiceRoleForSystemsManagerChangeManagement によって使用される AWS リソースへのアクセス権を付与する AWS マネージドポリシー。

  • AmazonEC2RoleforSSM – このポリシーはサポートされなくなったため、使用しないでください。代わりに、AmazonSSMManagedInstanceCore ポリシーを使用して、EC2 インスタンスで Systems Manager サービスコア機能を有効にします。詳細については、「Systems Manager に必要なインスタンスのアクセス許可を設定する」を参照してください。