AWS Systems Manager의 AWS 관리형 정책 - AWS Systems Manager
AmazonSSMServiceRolePolicyAmazonSSMReadOnlyAccessAWSSystemsManagerOpsDataSyncServiceRolePolicyAmazonSSMManagedEC2InstanceDefaultPolicySSMQuickSetupRolePolicyAWSQuickSetupDeploymentRolePolicyAWSQuickSetupPatchPolicyDeploymentRolePolicyAWSQuickSetupPatchPolicyBaselineAccessAWSSystemsManagerEnableExplorerExecutionPolicyAWSSystemsManagerEnableConfigRecordingExecutionPolicyAWSQuickSetupDevOpsGuruPermissionsBoundaryAWSQuickSetupDistributorPermissionsBoundaryAWSQuickSetupSSMHostMgmtPermissionsBoundaryAWSQuickSetupPatchPolicyPermissionsBoundaryAWSQuickSetupSchedulerPermissionsBoundaryAWSQuickSetupCFGCPacksPermissionsBoundary정책 업데이트Systems Manager에 대한 추가 관리형 정책

AWS Systems Manager의 AWS 관리형 정책

AWS 관리형 정책은 AWS에서 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 엔터티(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새로운 AWS 서비스를 시작하거나 새로운 API 작업을 기존 서비스에 이용하는 경우 AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하십시오.

AWS 관리형 정책: AmazonSSMServiceRolePolicy

AmazonSSMServiceRolePolicy를 AWS Identity and Access Management(IAM) 엔터티에 연결할 수 없습니다. 이 정책은 AWS Systems Manager에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 역할을 사용하여 인벤토리 수집 및 OpsData 보기 단원을 참조하십시오.

AmazonSSMServiceRolePolicy에서는 지정된 경우를 제외하고 Systems Manager에서 모든 관련 리소스("Resource": "*")에 대한 다음과 같은 작업을 완료하도록 허용합니다.

  • ssm:CancelCommand

  • ssm:GetCommandInvocation

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:SendCommand

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:StartAutomationExecution

  • ssm:StopAutomationExecution

  • ssm:ListTagsForResource

  • ssm:GetCalendarState

  • ssm:UpdateServiceSetting [1]

  • ssm:GetServiceSetting [1]

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInstances

  • lambda:InvokeFunction [2]

  • states:DescribeExecution [3]

  • states:StartExecution [3]

  • resource-groups:ListGroups

  • resource-groups:ListGroupResources

  • resource-groups:GetGroupQuery

  • tag:GetResources

  • config:SelectResourceConfig

  • config:DescribeComplianceByConfigRule

  • config:DescribeComplianceByResource

  • config:DescribeRemediationConfigurations

  • config:DescribeConfigurationRecorders

  • cloudwatch:DescribeAlarms

  • compute-optimizer:GetEC2InstanceRecommendations

  • compute-optimizer:GetEnrollmentStatus

  • support:DescribeTrustedAdvisorChecks

  • support:DescribeTrustedAdvisorCheckSummaries

  • support:DescribeTrustedAdvisorCheckResult

  • support:DescribeCases

  • iam:PassRole [4]

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:ListStackInstances [5]

  • cloudformation:DescribeStackSetOperation [5]

  • cloudformation:DeleteStackSet [5]

  • cloudformation:DeleteStackInstances [6]

  • events:PutRule [7]

  • events:PutTargets [7]

  • events:RemoveTargets [8]

  • events:DeleteRule [8]

  • events:DescribeRule

  • securityhub:DescribeHub

[1] ssm:UpdateServiceSettingssm:GetServiceSetting 작업은 다음 리소스에 대해서만 허용되는 권한입니다.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[2] lambda:InvokeFunction 작업은 다음 리소스에 대해서만 허용되는 권한입니다.

arn:aws:lambda:*:*:function:SSM*
arn:aws:lambda:*:*:function:*:SSM*

[3] states: 작업은 다음 리소스에서만 허용되는 권한입니다.

arn:aws:states:*:*:stateMachine:SSM*
arn:aws:states:*:*:execution:SSM*

[4] iam:PassRole 작업은 Systems Manager 서비스에 대해서만 다음 조건에 의해 허용됩니다.

"Condition": {
   "StringEquals": {
      "iam:PassedToService": [
         "ssm.amazonaws.com"
      ]
   }
}

[5] cloudformation:ListStackInstances, cloudformation:DescribeStackSetOperationcloudformation:DeleteStackSet 작업은 다음 리소스에서만 허용되는 권한입니다.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*

[6] cloudformation:DeleteStackInstances 작업은 다음 리소스에서만 허용되는 권한입니다.

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

[7] events:PutRuleevents:PutTargets 작업은 Systems Manager 서비스에 대해서만 다음 조건에 의해 허용됩니다.

"Condition": {
    "StringEquals": {
        "events:ManagedBy": "ssm.amazonaws.com"
    }
}

[8] events:RemoveTargetsevents:DeleteRule 작업은 다음 리소스에서만 허용되는 권한입니다.

arn:aws:events:*:*:rule/SSMExplorerManagedRule

최신 버전의 JSON 정책 문서를 비롯하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AmazonSSMServiceRolePolicy를 참조하세요.

AWS 관리형 정책: AmazonSSMReadOnlyAccess

AmazonSSMReadOnlyAccess 정책을 IAM 보안 인증에 연결할 수 있습니다. 이 정책에서는 Describe*, Get*List*를 포함하여 AWS Systems Manager API 작업에 대한 읽기 전용 액세스 권한을 부여합니다.

최신 버전의 JSON 정책 문서를 비롯하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AmazonSSMReadOnlyAccess를 참조하세요.

AWS 관리형 정책: AWSSystemsManagerOpsDataSyncServiceRolePolicy

AWSSystemsManagerOpsDataSyncServiceRolePolicy를 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Systems Manager에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 역할을 사용하여 Explorer용 OpsData 및 OpsItems 생성 단원을 참조하십시오.

AWSSystemsManagerOpsDataSyncServiceRolePolicy - AWSServiceRoleForSystemsManagerOpsDataSync 서비스 연결 역할이 AWS Security Hub 결과에서 OpsItems 및 OpsData를 생성 및 업데이트하도록 허용합니다.

정책에서는 지정된 경우를 제외하고 Systems Manager에서 모든 관련 리소스("Resource": "*")에 대한 다음과 같은 작업을 완료하도록 허용합니다.

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

[1] ssm:GetOpsItemssm:UpdateOpsItem 작업은 Systems Manager 서비스에 대해서만 다음 조건에 의해 허용됩니다.

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] ssm:AddTagsToResource 작업은 다음 리소스에 대해서만 허용되는 권한입니다.

arn:aws:ssm:*:*:opsitem/*

[3] ssm:UpdateServiceSettingssm:GetServiceSetting 작업은 다음 리소스에 대해서만 허용되는 권한입니다.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] securityhub:BatchUpdateFindings는 Systems Manager 서비스에 대해서만 다음 조건에 의해 거부되는 권한입니다.

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSSystemsManagerOpsDataSyncServiceRolePolicy를 참조하세요.

AWS 관리형 정책: AmazonSSMManagedEC2InstanceDefaultPolicy

Systems Manager 기능 사용 권한을 원하는 Amazon EC2 인스턴스의 IAM 역할에만 AmazonSSMManagedEC2InstanceDefaultPolicy을 연결해야 합니다. 이 역할을 IAM 사용자 및 IAM 그룹과 같은 다른 IAM 엔티티나 용도가 다른 IAM 역할에 연결해서는 안 됩니다. 자세한 내용은 기본 호스트 관리 구성 설정 관리 단원을 참조하십시오.

이 정책은 Amazon EC2 인스턴스의 SSM Agent가 Documents를 검색하고, Run Command를 사용하여 명령을 실행하고, Session Manager를 사용하여 세션을 설정하고, 인스턴스 인벤토리를 수집하고, Patch Manager를 사용하여 패치 및 패치 규정 준수를 검색할 수 있는 권한을 부여합니다.

Systems Manager에서는 각 인스턴스에 대해 개인화된 권한 부여 토큰을 사용하여 SSM Agent가 올바른 인스턴스에서 API 작업을 수행하도록 합니다. Systems Manager에서는 API 작업에 제공된 인스턴스의 Amazon 리소스 이름(ARN)에 대해 개인화된 권한 부여 토큰을 검증합니다.

AmazonSSMManagedEC2InstanceDefaultPolicy 역할 권한 정책은 Systems Manager가 모든 관련 리소스에서 다음 작업을 수행하도록 허용합니다.

  • ssm:DescribeAssociation

  • ssm:GetDeployablePatchSnapshotForInstance

  • ssm:GetDocument

  • ssm:DescribeDocument

  • ssm:GetManifest

  • ssm:ListAssociations

  • ssm:ListInstanceAssociations

  • ssm:PutInventory

  • ssm:PutComplianceItems

  • ssm:PutConfigurePackageResult

  • ssm:UpdateAssociationStatus

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

최신 버전의 JSON 정책 문서를 비롯하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AmazonSSMManagedEC2InstanceDefaultPolicy를 참조하세요.

AWS 관리형 정책: SSMQuickSetupRolePolicy

IAM 엔터티에 SSMQuickSetupRolePolicy를 연결할 수 없습니다. 이 정책은 Systems Manager이(가) 사용자를 대신하여 작업을 수행할 수 있도록 서비스 링크 역할에 연결됩니다. 자세한 내용은 역할을 사용하여 Quick Setup 프로비저닝된 리소스 상태 및 일관성 유지 단원을 참조하십시오.

이 정책은 Systems Manager가 구성 상태를 확인하고, 파라미터 및 프로비저닝된 리소스의 일관된 사용을 보장하고, 드리프트가 감지되면 리소스를 수정할 수 있는 읽기 전용 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ssm - 보안 주체가 Systems Manager에서 리소스 데이터 동기화 및 SSM 문서에 대한 정보를 읽도록 허용합니다. 이것은 Quick Setup이 구성된 리소스의 의도된 상태를 결정하는 데 필요합니다.

  • organizations – AWS Organizations에 구성된 대로 보안 주체가 조직에 속하는 멤버 계정에 대한 정보를 읽도록 허용합니다. 이것은 Quick Setup에서 리소스 상태 확인을 수행할 조직의 모든 계정을 식별할 수 있도록 하기 위해 필요합니다.

  • cloudformation – 보안 주체가 AWS CloudFormation에서 정보를 읽도록 허용합니다. 이것은 Quick Setup에서 리소스 상태 및 CloudFormation 스택셋 작업 관리에 사용되는 AWS CloudFormation 스택에 대한 데이터를 수집할 수 있도록 하기 위해 필요합니다.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "SSMResourceDataSyncPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:ListResourceDataSync"
			],
			"Resource": "*"
		},
		{
			"Sid": "SSMResourceDataSyncGetOpsSummaryPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:GetOpsSummary"
			],
			"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
		},
		{
			"Sid": "SSMAssociationsReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:ListAssociations",
				"ssm:DescribeAssociationExecutions"
			],
			"Resource": "*"
		},
		{
			"Sid": "QuickSetupSSMDocumentsReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"ssm:DescribeDocument",
				"ssm:GetDocument"
			],
			"Resource": [
				"arn:aws:ssm:*:*:document/AWSQuickSetupType-*",
				"arn:aws:ssm:*:*:document/*-AWSQuickSetupType-*"
			]
		},
		{
			"Sid": "OrganizationReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"organizations:ListRoots",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAccountsForParent",
				"organizations:ListOrganizationalUnitsForParent"
			],
			"Resource": "*"
		},
		{
			"Sid": "QuickSetupStackSetReadOnlyPermissions",
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStackSet",
				"cloudformation:DescribeStackSetOperation",
				"cloudformation:ListStackInstances",
				"cloudformation:ListStackSetOperations",
				"cloudformation:ListStackSetOperationResults"
			],
			"Resource": [
				"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
				"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*"
			]
		},
		{
			"Sid": "QuickSetupStackSetDeletePermissions",
			"Effect": "Allow",
			"Action": [
				"cloudformation:DeleteStackInstances",
				"cloudformation:DeleteStackSet"
			],
			"Resource": [
				"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
				"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

최신 버전의 JSON 정책 문서를 비롯하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서SSMQuickSetupRolePolicy를 참조하세요.

AWS 관리형 정책: AWSQuickSetupDeploymentRolePolicy

관리형 정책 AWSQuickSetupDeploymentRolePolicy는 여러 가지의 Quick Setup 구성 유형을 지원합니다. 이러한 구성 유형은 자주 사용하는 Amazon Web Services 서비스 및 기능을 권장 모범 사례에 따라 구성하는 IAM 역할 및 자동화를 생성합니다.

AWSQuickSetupDeploymentRolePolicy를 IAM 엔터티에 연결할 수 있습니다.

이 정책은 다음과 같은 Quick Setup 구성과 관련된 리소스를 생성하는 데 필요한 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • iam – 보안 주체가 자동화 구성 작업에 필요한 IAM 역할을 관리 및 삭제하고 자동화 역할 정책을 관리하도록 허용합니다.

  • cloudformation – 보안 주체가 스택 세트를 생성 및 관리하도록 허용합니다.

  • config – 보안 주체가 적합성 팩을 생성, 관리 및 삭제하도록 허용합니다.

  • events – 보안 주체가 예약된 작업에 대한 이벤트 규칙을 생성, 업데이트 및 삭제하도록 허용합니다.

  • resource-groups – 보안 주체가 Quick Setup 구성의 대상이 되는 리소스 그룹과 관련된 리소스 쿼리를 검색하도록 허용합니다.

  • ssm – 보안 주체가 Quick Setup 구성을 적용하는 자동화 런북 및 연결을 생성하도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSQuickSetupDeploymentRolePolicy를 참조하세요.

AWS 관리형 정책: AWSQuickSetupPatchPolicyDeploymentRolePolicy

관리형 정책 AWSQuickSetupPatchPolicyDeploymentRolePolicy조직 내 인스턴스에 대한 패치 적용 구성 Quick Setup 유형을 지원합니다. 이 구성 유형은 단일 계정 또는 조직 전체에서 애플리케이션과 노드의 패치 적용을 자동화합니다.

AWSQuickSetupPatchPolicyDeploymentRolePolicy를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

이 정책은 Quick Setup에서 패치 정책 구성과 관련된 리소스를 생성하도록 허용하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • iam – 보안 주체가 자동화 구성 작업에 필요한 IAM 역할을 관리 및 삭제하고 자동화 역할 정책을 관리하도록 허용합니다.

  • cloudformation – 보안 주체가 AWS CloudFormation 스택 정보를 읽고 Quick Setup에서 AWS CloudFormation 스택 세트를 사용하여 생성한 AWS CloudFormation 스택을 제어하도록 허용합니다.

  • ssm – 보안 주체가 구성 작업에 필요한 자동화 런북을 생성, 업데이트, 읽기 및 삭제하고 State Manager 연결을 생성, 업데이트 및 삭제하도록 허용합니다.

  • resource-groups – 보안 주체가 Quick Setup 구성의 대상이 되는 리소스 그룹과 관련된 리소스 쿼리를 검색하도록 허용합니다.

  • s3 – 보안 주체가 Amazon S3 버킷을 나열하고 패치 정책 액세스 로그를 저장하기 위한 버킷을 관리하도록 허용합니다.

  • lambda – 보안 주체가 구성을 올바른 상태로 유지하는 AWS Lambda 수정 기능을 관리하도록 허용합니다.

  • logs – 보안 주체가 Lambda 구성 리소스의 로그 그룹을 설명하고 관리하도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSQuickSetupPatchPolicyDeploymentRolePolicy를 참조하세요.

AWS 관리형 정책: AWSQuickSetupPatchPolicyBaselineAccess

관리형 정책 AWSQuickSetupPatchPolicyBaselineAccess조직 내 인스턴스에 대한 패치 적용 구성 Quick Setup 유형을 지원합니다. 이 구성 유형은 단일 계정 또는 조직 전체에서 애플리케이션과 노드의 패치 적용을 자동화합니다.

AWSQuickSetupPatchPolicyBaselineAccess를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

이 정책은 Quick Setup을 사용하여 현재 AWS 계정 또는 조직의 관리자가 구성한 패치 기준에 액세스할 수 있는 읽기 전용 권한을 제공합니다. 패치 기준은 Amazon S3 버킷에 저장되며 단일 계정 또는 전체 조직의 인스턴스에 패치를 적용하는 데 사용할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • s3 – 보안 주체가 Amazon S3 버킷에 저장된 패치 기준 재정의를 읽도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSQuickSetupPatchPolicyBaselineAccess를 참조하세요.

AWS 관리형 정책: AWSSystemsManagerEnableExplorerExecutionPolicy

관리형 정책 AWSSystemsManagerEnableExplorerExecutionPolicy는 AWS Systems Manager의 기능인 Explorer의 활성화를 지원합니다.

AWSSystemsManagerEnableExplorerExecutionPolicy를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

이 정책은 Explorer를 활성화하기 위한 관리 권한을 부여합니다. 여기에는 관련 Systems Manager 서비스 설정을 업데이트하고 Systems Manager에 대한 서비스 연결 역할을 생성할 수 있는 권한이 포함됩니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • config – 보안 주체가 구성 레코더 세부 정보에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 지원하도록 허용합니다.

  • iam – 보안 주체가 Explorer 활성화를 지원하도록 허용합니다.

  • ssm – 보안 주체가 Explorer를 활성화하는 자동화 워크플로를 시작하도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSSystemsManagerEnableExplorerExecutionPolicy를 참조하세요.

AWS 관리형 정책: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

관리형 정책 AWSSystemsManagerEnableConfigRecordingExecutionPolicyQuick Setup을 사용하여 AWS Config 구성 레코더 생성 Quick Setup 구성 유형을 지원합니다. 이 구성 유형을 사용하면 Quick Setup이 AWS Config에 대해 선택한 AWS 리소스 유형의 변경 사항을 추적하고 기록할 수 있습니다. 또한 Quick Setup이 기록된 데이터에 대한 전송 및 알림 옵션을 구성할 수 있습니다.

AWSSystemsManagerEnableConfigRecordingExecutionPolicy를 IAM 엔터티와 연계할 수 있습니다. Systems Manager는 또한 이 정책을 서비스 역할에 연결하여 Systems Manager가 사용자를 대신하여 작업을 수행하도록 허용합니다.

이 정책은 Quick Setup이 AWS Config 구성 기록을 활성화하고 구성하도록 허용하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • s3 – 보안 주체가 구성 기록의 전달을 위한 Amazon S3 버킷을 생성 및 구성하도록 허용합니다.

  • sns - 보안 주체가 Amazon SNS 주제를 나열하고 생성하도록 허용합니다.

  • config – 보안 주체가 구성 레코더를 구성 및 시작하고 Explorer의 활성화를 돕도록 허용합니다.

  • iam – 보안 주체가 AWS Config에 대한 서비스 연결 역할을 만들고, 가져오고, 전달하고, Systems Manager에 대한 서비스 연결 역할을 생성하고, Explorer의 활성화를 돕도록 허용합니다.

  • ssm – 보안 주체가 Explorer를 활성화하는 자동화 워크플로를 시작하도록 허용합니다.

  • compute-optimizer – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

  • support – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSSystemsManagerEnableConfigRecordingExecutionPolicy를 참조하세요.

AWS 관리형 정책: AWSQuickSetupDevOpsGuruPermissionsBoundary

참고

이 정책은 권한 경계입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 내용은 IAM 사용 설명서IAM 엔터티에 대한 권한 경계를 참조하십시오.

관리형 정책 AWSQuickSetupDevOpsGuruPermissionsBoundaryQuick Setup으로 DevOps Guru 설정 유형을 지원합니다. 이 구성 유형을 사용하면 기계 학습 기반 Amazon DevOps Guru를 사용할 수 있습니다. DevOps Guru 서비스는 애플리케이션의 운영 성능과 가용성을 향상하는 데 도움이 될 수 있습니다.

Quick Setup을 사용하여 AWSQuickSetupDevOpsGuruPermissionsBoundary 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 Amazon DevOps Guru를 활성화하고 구성하도록 허용하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • iam – 보안 주체가 DevOps Guru 및 Systems Manager에 대한 서비스 연결 역할을 생성하고 Explorer 활성화에 도움이 되는 역할을 나열하도록 허용합니다.

  • cloudformation – 보안 주체가 AWS CloudFormation 스택을 나열하고 설명하도록 허용합니다.

  • sns - 보안 주체가 Amazon SNS 주제를 나열하고 생성하도록 허용합니다.

  • devops-guru – 보안 주체가 DevOps Guru를 구성하고 알림 채널을 추가하도록 허용합니다.

  • config – 보안 주체가 구성 레코더 세부 정보에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

  • ssm – 보안 주체가 Explorer를 활성화하는 자동화 워크플로를 시작하고 Explorer 서비스 설정을 읽고 업데이트하도록 허용합니다.

  • compute-optimizer – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

  • support – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSQuickSetupDevOpsGuruPermissionsBoundary를 참조하세요.

AWS 관리형 정책: AWSQuickSetupDistributorPermissionsBoundary

참고

이 정책은 권한 경계입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 내용은 IAM 사용 설명서IAM 엔터티에 대한 권한 경계를 참조하십시오.

관리형 정책 AWSQuickSetupDistributorPermissionsBoundaryQuick Setup을 사용하여 Distributor 패키지 배포 Quick Setup 구성 유형을 지원합니다. 이 구성 유형을 사용하면 AWS Systems Manager의 기능인 배포자를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스로의 소프트웨어 패키지(예: 에이전트) 배포를 활성화하는 데 도움이 됩니다.

Quick Setup을 사용하여 AWSQuickSetupDistributorPermissionsBoundary 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 배포자를 사용하여 Amazon EC2로의 소프트웨어 패키지(예: 에이전트트) 배포를 활성화하도록 허용하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • iam – 보안 주체가 배포자 자동화 역할을 가져와 전달하고, 기본 인스턴스 역할을 생성, 읽기, 업데이트 및 삭제하고, 기본 인스턴스 역할을 Amazon EC2 및 Systems Manager에 전달하고, 인스턴스 역할에 인스턴스 관리 정책을 연결하고, Systems Manager를 위한 서비스 연결 역할을 생성하고, 인스턴스 프로파일에 기본 인스턴스 역할을 추가하고, IAM 역할 및 인스턴스 프로파일에 대한 정보를 읽고, 기본 인스턴스 프로파일을 생성하도록 허용합니다.

  • ec2 – 보안 주체가 기본 인스턴스 프로파일을 EC2 인스턴스와 연결하고 Explorer의 활성화를 돕도록 허용합니다.

  • ssm – 보안 주체가 인스턴스를 구성하고 패키지를 설치하는 자동화 워크플로를 시작하고, Explorer를 활성화하는 자동화 워크플로를 시작하고, Explorer 서비스 설정을 읽고 업데이트하도록 허용합니다.

  • config – 보안 주체가 구성 레코더 세부 정보에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

  • compute-optimizer – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

  • support – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSQuickSetupDistributorPermissionsBoundary를 참조하세요.

AWS 관리형 정책: AWSQuickSetupSSMHostMgmtPermissionsBoundary

참고

이 정책은 권한 경계입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 내용은 IAM 사용 설명서IAM 엔터티에 대한 권한 경계를 참조하십시오.

관리형 정책 AWSQuickSetupSSMHostMgmtPermissionsBoundaryAmazon EC2 호스트 관리 설정 Quick Setup 구성 유형을 지원합니다. 이 구성 유형은 IAM 역할을 구성하고, Amazon EC2 인스턴스를 안전하게 관리할 수 있도록 일반적으로 사용되는 Systems Manager 기능을 활성화합니다.

Quick Setup을 사용하여 AWSQuickSetupSSMHostMgmtPermissionsBoundary 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 EC2 인스턴스를 안전하게 관리하는 데 필요한 Systems Manager 기능을 활성화하고 구성하도록 허용하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • iam – 보안 주체가 서비스 역할을 가져와 자동화에 전달하도록 허용합니다. 보안 주체가 기본 인스턴스 역할을 생성, 읽기, 업데이트 및 삭제하고, 기본 인스턴스 역할을 Amazon EC2 및 Systems Manager에 전달하고, 인스턴스 역할에 인스턴스 관리 정책을 연결하고, Systems Manager를 위한 서비스 연결 역할을 생성하고, 인스턴스 프로파일에 기본 인스턴스 역할을 추가하고, IAM 역할 및 인스턴스 프로파일에 대한 정보를 읽고, 기본 인스턴스 프로파일을 생성하도록 허용합니다.

  • ec2 – 보안 주체가 기본 인스턴스 프로파일을 EC2 인스턴스와 연결 및 연결 해제하도록 허용합니다.

  • ssm – 보안 주체가 Explorer를 활성화하는 자동화 워크플로를 시작하고, Explorer 서비스 설정을 읽고 업데이트하고, 인스턴스를 구성하고, 인스턴스에서 Systems Manager 기능을 활성화하도록 허용합니다.

  • compute-optimizer – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

  • support – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSQuickSetupSSMHostMgmtPermissionsBoundary를 참조하세요.

AWS 관리형 정책: AWSQuickSetupPatchPolicyPermissionsBoundary

참고

이 정책은 권한 경계입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 내용은 IAM 사용 설명서IAM 엔터티에 대한 권한 경계를 참조하십시오.

관리형 정책 AWSQuickSetupPatchPolicyPermissionsBoundary조직 내 인스턴스에 대한 패치 적용 구성 Quick Setup 유형을 지원합니다. 이 구성 유형은 단일 계정 또는 조직 전체에서 애플리케이션과 노드의 패치 적용을 자동화합니다.

Quick Setup을 사용하여 AWSQuickSetupPatchPolicyPermissionsBoundary 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 AWS Systems Manager 기능인 Patch Manager의 패치 정책을 활성화하고 구성하도록 허용하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • iam – 보안 주체가 Patch Manager 자동화 역할을 가져오고, Patch Manager 패치 적용 작업에 자동화 역할을 전달하고, 기본 인스턴스 역할 AmazonSSMRoleForInstancesQuickSetup을 생성하고, Amazon EC2 및 Systems Manager에 기본 인스턴스 역할을 전달하고, 선택한 AWS 관리형 정책을 인스턴스 역할에 연결하고, Systems Manager용 서비스 연결 역할을 생성하고, 인스턴스 프로파일에 기본 인스턴스 역할을 추가하고, 인스턴스 프로파일 및 역할에 대한 정보을 읽고, 기본 인스턴스 프로파일을 생성하고, 패치 기준 재정의에 대한 읽기 권한이 있는 역할에 태그를 지정하도록 허용합니다.

  • ssm – 보안 주체가 Systems Manager에서 관리하는 인스턴스 역할을 업데이트하고, Quick Setup에서 만든 Patch Manager 패치 정책으로 생성된 연결을 관리하고, 패치 정책 구성의 대상이 되는 인스턴스에 태그를 지정하고, 인스턴스 및 패치 적용 상태에 대한 정보를 읽고, 인스턴스 패치 적용을 구성, 활성화 및 수정하는 자동화 워크플로를 시작하고, Explorer를 활성화하는 자동화 워크플로를 시작하고, Explorer의 활성화를 돕고, Explorer 서비스 설정을 읽고 업데이트하도록 허용합니다.

  • ec2 – 보안 주체가 기본 인스턴스 프로파일을 EC2 인스턴스와 연결 및 연결 해제하고, 패치 정책 구성의 대상 인스턴스에 태그를 지정하고, Explorer의 활성화를 돕도록 허용합니다.

  • s3 – 보안 주체가 패치 기준 재정의를 저장할 S3 버킷을 생성 및 구성하도록 허용합니다.

  • lambda – 보안 주체가 패치 적용을 구성하는 AWS Lambda 기능을 호출하고 Quick Setup 패치 정책 구성이 삭제된 후 정리 작업을 수행하도록 허용합니다.

  • logs – 보안 주체가 Patch Manager Quick Setup AWS Lambda 기능에 대한 로깅을 구성하도록 허용합니다.

  • config – 보안 주체가 구성 레코더 세부 정보에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

  • compute-optimizer – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

  • support – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSQuickSetupPatchPolicyPermissionsBoundary를 참조하세요.

AWS 관리형 정책: AWSQuickSetupSchedulerPermissionsBoundary

참고

이 정책은 권한 경계입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 내용은 IAM 사용 설명서IAM 엔터티에 대한 권한 경계를 참조하십시오.

관리형 정책 AWSQuickSetupSchedulerPermissionsBoundary Quick Setup 구성 유형을 지원합니다. 이 구성 유형을 사용하면 지정한 시간에 EC2 인스턴스와 기타 리소스를 중지 및 시작할 수 있습니다.

Quick Setup을 사용하여 AWSQuickSetupSchedulerPermissionsBoundary 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 EC2 인스턴스와 기타 리소스에서 예약된 작업을 활성화하고 구성하도록 허용하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • iam – 보안 주체가 인스턴스 관리 자동화 작업을 위한 역할을 검색 및 전달하고, EC2 인스턴스 관리를 위한 기본 인스턴스 역할을 관리, 전달 및 연결하고, 기본 인스턴스 프로파일을 생성하고, 인스턴스 프로파일에 기본 인스턴스 역할을 추가하고, Systems Manager의 서비스 연결 역할을 생성하고, IAM 역할 및 인스턴스 프로파일에 대한 정보를 읽고, EC2 인스턴스에 기본 인스턴스 프로파일을 연결하고, 인스턴스를 구성하고 해당 인스턴스에 Systems Manager 기능을 활성화하는 자동화 워크플로를 시작하도록 허용합니다.

  • ssm – 보안 주체가 Explorer를 활성화하는 자동화 워크플로를 시작하고, Explorer 서비스 설정을 읽고 업데이트하도록 허용합니다.

  • ec2 – 보안 주체가 대상 인스턴스를 찾고 일정에 따라 해당 인스턴스를 시작 및 중지하도록 허용합니다.

  • config – 보안 주체가 구성 레코더 세부 정보에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

  • compute-optimizer – 보안 주체가 리소스의 AWS Compute Optimizer 등록 여부를 확인할 수 있는 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

  • support – 보안 주체가 계정의 AWS Trusted Advisor 확인에 대한 읽기 전용 액세스를 제공하여 Explorer 활성화를 돕도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSQuickSetupSchedulerPermissionsBoundary를 참조하세요.

AWS 관리형 정책: AWSQuickSetupCFGCPacksPermissionsBoundary

참고

이 정책은 권한 경계입니다. 권한 경계는 자격 증명 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. Quick Setup 권한 경계 정책을 직접 사용하고 연결해서는 안 됩니다. Quick Setup 권한 경계 정책은 Quick Setup 관리형 역할에만 연결해야 합니다. 권한 경계에 대한 자세한 내용은 IAM 사용 설명서IAM 엔터티에 대한 권한 경계를 참조하십시오.

관리형 정책 AWSQuickSetupCFGCPacksPermissionsBoundary Quick Setup 구성 유형을 지원합니다. 이 구성 유형은 AWS Config 적합성 팩을 배포합니다. 적합성 팩은 단일 엔티티로 배포하고 모니터링할 수 있는 AWS Config 규칙 및 문제 해결 작업의 모음입니다.

Quick Setup을 사용하여 AWSQuickSetupCFGCPacksPermissionsBoundary 구성을 생성하면 시스템은 이 권한 경계를 구성을 배포할 때 생성되는 IAM 역할에 적용합니다. 권한 경계는 Quick Setup에서 생성하는 역할의 범위를 제한합니다.

이 정책은 Quick Setup이 AWS Config 적합성 팩을 배포하도록 허용하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • iam – 보안 주체가 AWS Config를 위한 서비스 연결 역할을 만들고, 가져오고, 전달하도록 허용합니다.

  • sns – 보안 주체가 Amazon SNS의 플랫폼 애플리케이션을 나열하도록 허용합니다.

  • config – 보안 주체가 AWS Config 적합성 팩을 배포하고, 적합성 팩의 상태를 가져오고, 구성 레코더에 대한 정보를 가져오도록 허용합니다.

  • ssm – 보안 주체가 SSM 문서 및 자동화 워크플로에 대한 정보를 가져오고, 리소스 태그에 대한 정보를 가져오고, 서비스 설정에 대한 정보를 가져오고 업데이트하도록 허용합니다.

  • compute-optimizer – 보안 주체가 계정의 옵트인 상태를 가져오도록 허용합니다.

  • support – 보안 주체가 AWS Trusted Advisor 확인에 대한 정보를 가져오도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 추가 세부 정보를 보려면 AWS 관리형 정책 참조 안내서AWSQuickSetupCFGCPacksPermissionsBoundary를 참조하세요.

AWS 관리형 정책으로 Systems Manager 업데이트

다음 테이블에는 2021년 3월 12일 해당 서비스가 변경 사항을 추적하기 시작한 이후 Systems Manager의 AWS 관리형 정책 업데이트에 대한 세부 정보가 나와 있습니다. Systems Manager 서비스의 다른 관리형 정책에 대한 자세한 내용은 이 항목의 Systems Manager에 대한 추가 관리형 정책 뒷부분을 참조하세요. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 Systems Manager 문서 이력 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜
SSMQuickSetupRolePolicy - 새 정책 Systems Manager에 Quick Setup가 배포된 리소스의 상태를 확인하고 원래 구성에서 벗어난 인스턴스를 수정하도록 허용하는 새 정책이 추가되었습니다. 2024년 7월 3일
AWSQuickSetupDeploymentRolePolicy - 새 정책 Systems Manager에 IAM 역할과 자동화를 생성하는 여러 빠른 설정 구성 유형을 지원하는 새 정책이 추가되었습니다. 이러한 역할과 자동화는 자주 사용하는 Amazon Web Services 서비스 및 기능을 권장 모범 사례에 따라 구성합니다. 2024년 7월 3일

AWSQuickSetupPatchPolicyDeploymentRolePolicy

- 새 정책

Systems Manager에 Quick Setup가 Patch Manager 패치 정책 Quick Setup 구성과 관련된 리소스를 생성하도록 허용하는 새 정책이 추가되었습니다.

 2024년 7월 3일

AWSQuickSetupPatchPolicyBaselineAccess – 새 정책

Systems Manager에 Quick Setup가 Patch Manager에서 읽기 전용 권한으로 패치 기준에 액세스하도록 허용하는 새 정책이 추가되었습니다.

 2024년 7월 3일
AWSSystemsManagerEnableExplorerExecutionPolicy – 새 정책 Systems Manager에 Quick Setup가 Explorer 활성화에 대한 관리자 권한을 부여하도록 허용하는 새 정책이 추가되었습니다. 2024년 7월 3일
AWSSystemsManagerEnableConfigRecordingExecutionPolicy – 새 정책 Systems Manager에 Quick Setup가 AWS Config 구성 기록을 활성화하고 구성하도록 허용하는 새 정책이 추가되었습니다. 2024년 7월 3일

AWSQuickSetupDevOpsGuruPermissionsBoundary – 새 정책

Systems Manager에 Quick Setup가 Amazon DevOps Guru를 활성화하고 구성하도록 허용하는 새 정책이 추가되었습니다.

 2024년 7월 3일

AWSQuickSetupDistributorPermissionsBoundary – 새 정책

Systems Manager에 Quick Setup가 AWS Systems Manager의 기능인 배포자를 활성화하고 구성하도록 허용하는 새 정책이 추가되었습니다.

 2024년 7월 3일

AWSQuickSetupSSMHostMgmtPermissionsBoundary – 새 정책

Systems Manager에 Quick Setup가 Amazon EC2 인스턴스를 안전하게 관리하기 위해 Systems Manager 기능을 활성화하고 구성하도록 허용하는 새 정책이 추가되었습니다.

 2024년 7월 3일

AWSQuickSetupPatchPolicyPermissionsBoundary – 새 정책

Systems Manager에 Quick Setup가 AWS Systems Manager의 기능인 Patch Manager의 패치 정책을 활성화하고 구성하도록 허용하는 새 정책이 추가되었습니다.

 2024년 7월 3일

AWSQuickSetupSchedulerPermissionsBoundary – 새 정책

Systems Manager에 Quick Setup가 Amazon EC2 인스턴스 및 기타 리소스에서 예약된 작업을 활성화하고 구성하도록 허용하는 새 정책이 추가되었습니다.

 2024년 7월 3일

AWSQuickSetupCFGCPacksPermissionsBoundary – 새 정책

Systems Manager에 Quick Setup가 AWS Config 적합성 팩을 배포하도록 허용하는 새 정책이 추가되었습니다.

 2024년7월 3일

AWSSystemsManagerOpsDataSyncServiceRolePolicy-기존 정책 업데이트

 OpsCenter에서는 정책을 업데이트하여 OpsData 관련 작업을 관리하는 Explorer에 대한 서비스 연결 역할 내 서비스 코드의 보안을 개선했습니다. 2023년 7월 3일

AmazonSSMManagedEC2InstanceDefaultPolicy - 새 정책

Systems Manager가 IAM 인스턴스 프로파일을 사용하지 않고 Amazon EC2 인스턴스에서 Systems Manager 기능을 허용하는 새로운 정책을 추가했습니다.

 2022년 8월 18일

AmazonSSMServiceRolePolicy – 기존 정책에 대한 업데이트

Systems Manager에 Explorer가 Explorer 또는 OpsCenter에서 Security Hub를 설정할 때 관리형 규칙을 생성하도록 허용하는 새로운 권한이 추가되었습니다. 구성 및 Compute Optimizer가 OpsData를 허용하기 전에 필요한 요구 사항을 충족하는지 확인하기 위해 새로운 권한이 추가되었습니다.

 2021년 4월 27일

AWSSystemsManagerOpsDataSyncServiceRolePolicy - 새 정책

Systems Manager에 Explorer 및 OpsCenter의 Security Hub 조사 결과에서 OpsItems 및 OpsData를 생성하고 업데이트하는 새로운 정책이 추가되었습니다.

 2021년 4월 27일

AmazonSSMServiceRolePolicy-기존 정책 업데이트

Systems Manager에 Explorer의 여러 계정 및 AWS 리전에서 집계 OpsData 및 OpsItems 세부 정보를 보도록 허용하는 새로운 권한이 추가되었습니다.

 2021년 3월 24일

Systems Manager에서 변경 사항 추적 시작

Systems Manager가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다.

 2021년 3월 12일

Systems Manager에 대한 추가 관리형 정책

이 주제의 앞부분에서 설명한 관리형 정책 외에도 Systems Manager에서는 다음과 같은 정책도 지원합니다.

  • AmazonSSMAutomationApproverAccess - 자동화 실행을 보고, 승인 대기 중인 자동화로 승인 결정을 전송하는 액세스 권한을 허용하는 AWS 관리형 정책.

  • AmazonSSMAutomationRole-Automation 런북에 정의된 작업을 실행할 수 있는 권한을 Systems Manager Automation 서비스에 부여하는 AWS 관리형 정책. 관리자 및 신뢰할 수 있는 고급 사용자에게 이 정책을 할당합니다.

  • AmazonSSMDirectoryServiceAccess-SSM Agent가 관리형 노드의 도메인 조인 요청에 대해 사용자 대신 AWS Directory Service에 액세스하도록 허용하는 AWS 관리형 정책.

  • AmazonSSMFullAccess-Systems Manager API 및 문서에 대한 전체 액세스 권한을 부여하는 AWS 관리형 정책.

  • AmazonSSMMaintenanceWindowRole-유지 관리 기간에 Systems Manager API에 대한 권한을 제공하는 AWS 관리형 정책.

  • AmazonSSMManagedInstanceCore – 노드가 Systems Manager 서비스 코어 기능을 사용하도록 허용하는 AWS 관리형 정책.

  • AmazonSSMPatchAssociation-패치 연결 작업을 위해 하위 인스턴스에 대한 액세스를 제공하는 AWS 관리형 정책.

  • AmazonSSMReadOnlyAccess-Systems Manager 읽기 전용 API 작업(예: Get*, List*)에 대한 액세스 권한을 부여하는 AWS 관리형 정책.

  • AWSSSMOpsInsightsServiceRolePolicy-Systems Manager에서 운영 인사이트 OpsItems를 생성하고 업데이트할 수 있는 권한을 부여하는 AWS 관리형 정책. 서비스 연결 역할 AWSServiceRoleForAmazonSSM_OpsInsights을 통해 권한을 제공하는 데 사용됩니다.

  • AWSSystemsManagerAccountDiscoveryServicePolicy-Systems Manager에 AWS 계정 정보를 검색할 수 있는 권한을 부여하는 AWS 관리형 정책.

  • AWSSystemsManagerChangeManagementServicePolicy-Systems Manager 변경 관리 프레임워크에서 관리 또는 사용하고 서비스 연결 역할 AWSServiceRoleForSystemsManagerChangeManagement에서 사용하는 AWS 리소스에 대한 액세스를 제공하는 AWS 관리형 정책.

  • AmazonEC2RoleforSSM-이 정책은 더 이상 지원되지 않으므로 사용해서는 안 됩니다. 대신 EC2 인스턴스에서 AmazonSSMManagedInstanceCore 정책을 사용하여 Systems Manager 서비스 핵심 기능을 허용합니다. 자세한 내용은 Systems Manager에 필요한 인스턴스 권한 구성을 참조하세요.