Políticas gerenciadas pela AWS para o AWS Systems Manager - AWS Systems Manager
AmazonSSMServiceRolePolicyAmazonSSMReadOnlyAccessAWSSystemsManagerOpsDataSyncServiceRolePolicyAmazonSSMManagedEC2InstanceDefaultPolicySSMQuickSetupRolePolicyAWSQuickSetupDeploymentRolePolicyAWSQuickSetupPatchPolicyDeploymentRolePolicyAWSQuickSetupPatchPolicyBaselineAccessAWSSystemsManagerEnableExplorerExecutionPolicyAWSSystemsManagerEnableConfigRecordingExecutionPolicyAWSQuickSetupDevOpsGuruPermissionsBoundaryAWSQuickSetupDistributorPermissionsBoundaryAWSQuickSetupSSMHostMgmtPermissionsBoundaryAWSQuickSetupPatchPolicyPermissionsBoundaryAWSQuickSetupSchedulerPermissionsBoundaryAWSQuickSetupCFGCPacksPermissionsBoundaryAtualizações da políticaPolíticas gerenciadas adicionais para o Systems Manager

Políticas gerenciadas pela AWS para o AWS Systems Manager

Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas em políticas gerenciadas AWS. Se AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Política gerenciada da AWS: AmazonSSMServiceRolePolicy

Não é possível anexar AmazonSSMServiceRolePolicy às entidades do AWS Identity and Access Management (IAM). Essa política é anexada a uma função vinculada ao serviço que permite que o AWS Systems Manager realize ações em seu nome. Para ter mais informações, consulte Usar perfis para coletar inventário e visualizar OpsData.

AmazonSSMServiceRolePolicy permite que o Systems Manager conclua as seguintes ações em todos os recursos relacionados ("Resource": "*"), exceto quando indicado:

  • ssm:CancelCommand

  • ssm:GetCommandInvocation

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:SendCommand

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:StartAutomationExecution

  • ssm:StopAutomationExecution

  • ssm:ListTagsForResource

  • ssm:GetCalendarState

  • ssm:UpdateServiceSetting [1]

  • ssm:GetServiceSetting [1]

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInstances

  • lambda:InvokeFunction [2]

  • states:DescribeExecution [3]

  • states:StartExecution [3]

  • resource-groups:ListGroups

  • resource-groups:ListGroupResources

  • resource-groups:GetGroupQuery

  • tag:GetResources

  • config:SelectResourceConfig

  • config:DescribeComplianceByConfigRule

  • config:DescribeComplianceByResource

  • config:DescribeRemediationConfigurations

  • config:DescribeConfigurationRecorders

  • cloudwatch:DescribeAlarms

  • compute-optimizer:GetEC2InstanceRecommendations

  • compute-optimizer:GetEnrollmentStatus

  • support:DescribeTrustedAdvisorChecks

  • support:DescribeTrustedAdvisorCheckSummaries

  • support:DescribeTrustedAdvisorCheckResult

  • support:DescribeCases

  • iam:PassRole [4]

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:ListStackInstances [5]

  • cloudformation:DescribeStackSetOperation [5]

  • cloudformation:DeleteStackSet [5]

  • cloudformation:DeleteStackInstances [6]

  • events:PutRule [7]

  • events:PutTargets [7]

  • events:RemoveTargets [8]

  • events:DeleteRule [8]

  • events:DescribeRule

  • securityhub:DescribeHub

[1] As ações ssm:UpdateServiceSetting e ssm:GetServiceSetting têm permissões apenas para os seguintes recursos:

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[2] A ação lambda:InvokeFunction tem permissões apenas para os seguintes recursos:

arn:aws:lambda:*:*:function:SSM*
arn:aws:lambda:*:*:function:*:SSM*

[3] A ação states: tem permissões apenas nos seguintes recursos:

arn:aws:states:*:*:stateMachine:SSM*
arn:aws:states:*:*:execution:SSM*

[4] A ação iam:PassRole tem permissões somente pela seguinte condição apenas para o serviço Systems Manager:

"Condition": {
   "StringEquals": {
      "iam:PassedToService": [
         "ssm.amazonaws.com"
      ]
   }
}

[5] As ações cloudformation:ListStackInstances, cloudformation:DescribeStackSetOperation e cloudformation:DeleteStackSet têm permissões apenas nos seguintes recursos:

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*

[6] A ação cloudformation:DeleteStackInstances tem permissões apenas para os seguintes recursos:

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

[7] A ação events:PutRule e events:PutTargets têm permissões pela seguinte condição apenas para o serviço do Systems Manager:

"Condition": {
    "StringEquals": {
        "events:ManagedBy": "ssm.amazonaws.com"
    }
}

[8] As ações events:RemoveTargets e events:DeleteRule têm permissões apenas nos seguintes recursos:

arn:aws:events:*:*:rule/SSMExplorerManagedRule

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AmazonSSMServiceRolePolicy no AWS Managed Policy Reference Guide.

Política gerenciada pela AWS: AmazonSSMReadOnlyAccess

É possível anexar a política AmazonSSMReadOnlyAccess a suas identidades do IAM. Essa política concede acesso somente para leitura às operações de API do AWS Systems Manager, como Describe*, Get* e List*.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AmazonSSMReadOnlyAccess no AWS Managed Policy Reference Guide.

Política gerenciada pela AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy

Não é possível anexar AWSSystemsManagerOpsDataSyncServiceRolePolicy às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Systems Manager realize ações em seu nome. Para ter mais informações, consulte Usar perfis para criar OpsData e OpsItems para o Explorer.

O AWSSystemsManagerOpsDataSyncServiceRolePolicy permite que a função vinculada ao AWSServiceRoleForSystemsManagerOpsDataSync crie e atualize o OpsItems e OpsData nas descobertas do AWS Security Hub.

A política permite que o Systems Manager conclua as seguintes ações em todos os recursos relacionados ("Resource": "*"), exceto quando indicado:

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

[1] As ações ssm:GetOpsItem e ssm:UpdateOpsItem têm permissões pela seguinte condição apenas para o serviço do Systems Manager:

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] A ação ssm:AddTagsToResource tem permissões apenas para o seguinte recurso:

arn:aws:ssm:*:*:opsitem/*

[3] As ações ssm:UpdateServiceSetting e ssm:GetServiceSetting têm permissões apenas nos seguintes recursos:

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] A ação securityhub:BatchUpdateFindings tem permissões pela seguinte condição apenas para o serviço do Systems Manager:

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSSystemsManagerOpsDataSyncServiceRolePolicy no AWS Managed Policy Reference Guide.

Política gerenciada pela AWS: AmazonSSMManagedEC2InstanceDefaultPolicy

Somente associe AmazonSSMManagedEC2InstanceDefaultPolicy a perfis do IAM para instâncias do Amazon EC2 que você deseja que tenham permissão para usar a funcionalidade Systems Manager. Você não deve vincular esse perfil a outras entidades do IAM, como usuários e grupos do IAM, ou a perfis do IAM que servem outros propósitos. Para ter mais informações, consulte Gerenciar instâncias do EC2 automaticamente com a Configuração de gerenciamento de hosts padrão.

Esta política concede permissões que permitem que o SSM Agent em sua instância do Amazon EC2 se comunique com o serviço Systems Manager na nuvem para realizar uma variedade de tarefas. Ela também concede permissões para os dois serviços que fornecem tokens de autorização para garantir que as operações sejam executadas na instância correta.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm — Permite que entidades principais recuperem documentos, executem comandos usando Run Command, estabeleçam sessões usando o Session Manager, coletem um inventário da instância e verificar se há patches e conformidade de patches usando o Patch Manager.

  • ssmmessages — Permite que entidades principais acessem, para cada instância, um token de autorização personalizado criado pelo Amazon Message Gateway Service. O Systems Manager valida o token personalizado de autorização em relação ao nome do recurso da Amazon (ARN)da instância que foi fornecido na operação de API. Esse acesso é necessário para garantir que o SSM Agent execute as operações de API na instância correta.

  • ec2messages — Permite que entidades principais acessem, para cada instância, um token de autorização personalizado criado pelo Amazon Message Delivery Service. O Systems Manager valida o token personalizado de autorização em relação ao nome do recurso da Amazon (ARN)da instância que foi fornecido na operação de API. Esse acesso é necessário para garantir que o SSM Agent execute as operações de API na instância correta.

Para obter informações relacionadas sobre os endpoints ssmmessages e ec2messages, incluindo as diferenças entre os dois, consulte Operações de API relacionadas a agentes (endpoints ssmmessages e ec2messages).

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AmazonSSMManagedEC2InstanceDefaultPolicy no AWS Managed Policy Reference Guide.

Política gerenciada da AWS: SSMQuickSetupRolePolicy

Não é possível anexar SSMQuickSetupRolePolicy às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Systems Manager realize ações em seu nome. Para ter mais informações, consulte Usar funções para manter a integridade e a uniformidade dos recursos provisionados da Quick Setup.

Essa política concede permissões somente de leitura que permitem que o Systems Manager verifique a integridade da configuração, garanta o uso consistente dos parâmetros e dos recursos provisionados e corrija os recursos quando um desvio é detectado.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • ssm: permite que as entidades principais leiam informações de sincronizações de dados de recursos e documentos do SSM no Systems Manager. Isso é necessário para que a Quick Setup possa determinar o estado em que os recursos configurados devem estar.

  • organizations: permite que as entidades principais leiam informações sobre as contas-membros que pertencem a uma organização, conforme configurado em AWS Organizations. Isso é necessário para que a Quick Setup possa identificar todas as contas em uma organização em que as verificações de integridade dos recursos devem ser realizadas.

  • cloudformation: permite que as entidades principais leiam as informações de AWS CloudFormation. Isso é necessário para que a Quick Setup possa coletar dados sobre as pilhas do AWS CloudFormation usadas para gerenciar o estado dos recursos e as operações do conjunto de pilhas do CloudFormation.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte SSMQuickSetupRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupDeploymentRolePolicy

A política gerenciada AWSQuickSetupDeploymentRolePolicy oferece suporte a vários tipos de configuração Quick Setup. Esses tipos de configuração criam perfis e automações do IAM que configuram os serviços e os atributos da Amazon Web Services frequentemente usados com práticas recomendadas.

Você pode anexar AWSQuickSetupDeploymentRolePolicy às entidades do IAM.

Essa política concede as permissões administrativas necessárias para criar recursos associados às seguintes configurações da Quick Setup:

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais gerenciem e excluam os perfis do IAM necessários para tarefas de configuração de automação e gerenciem as políticas de perfis de automação.

  • cloudformation: permite que as entidades principais criem e gerenciem conjuntos de pilhas.

  • config: permite que as entidades principais criem, gerenciem e excluam pacotes de conformidade.

  • events: permite que as entidades principais criem, atualizem e excluam regras de eventos para ações agendadas.

  • resource-groups: permite que as entidade principais recuperem consultas de recursos associadas a grupos de recursos segmentados pelas configurações da Quick Setup.

  • ssm: permite que as entidades principais criem runbooks e associações de automação que apliquem configurações da Quick Setup.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupDeploymentRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada da AWS: AWSQuickSetupPatchPolicyDeploymentRolePolicy

A política gerenciada AWSQuickSetupPatchPolicyDeploymentRolePolicy oferece suporte ao tipo Configurar patches para instâncias em uma organização usando a Quick Setup da Quick Setup. Esse tipo de configuração ajuda a automatizar a aplicação de patches em aplicações e nós em uma única conta ou em toda a organização.

Você pode anexar AWSQuickSetupPatchPolicyDeploymentRolePolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Essa política concede permissões administrativas que permitem que o Quick Setup crie recursos associados a uma configuração de política de patch.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais gerenciem e excluam os perfis do IAM necessários para tarefas de configuração de automação e gerenciem as políticas de perfis de automação.

  • cloudformation: permite que as entidades principais leiam as informações da pilha do AWS CloudFormation e controlem as pilhas do AWS CloudFormation que foram criadas pela Quick Setup usando os conjuntos de pilhas do AWS CloudFormation.

  • ssm: permite que as entidades principais criem, atualizem, leiam e excluam os runbooks de automação necessários para tarefas de configuração e para criar, atualizar e excluir associações do State Manager.

  • resource-groups: permite que as entidade principais recuperem consultas de recursos associadas a grupos de recursos segmentados pelas configurações da Quick Setup.

  • s3: permite que as entidades principais listem os buckets do Amazon S3 e gerenciem os buckets para armazenar os logs de acesso à política de patches.

  • lambda: permite que as entidades principais gerenciem as funções de remediação do AWS Lambda que mantêm as configurações no estado correto.

  • logs: permite que as entidades principais descrevam e gerenciem grupos de log para recursos de configuração do Lambda.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupPatchPolicyDeploymentRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupPatchPolicyBaselineAccess

A política gerenciada AWSQuickSetupPatchPolicyBaselineAccess oferece suporte ao tipo Configurar patches para instâncias em uma organização usando a Quick Setup da Quick Setup. Esse tipo de configuração ajuda a automatizar a aplicação de patches em aplicações e nós em uma única conta ou em toda a organização.

Você pode anexar AWSQuickSetupPatchPolicyBaselineAccess às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Esta política fornece permissões somente de leitura para acessar listas de referência de patches que foram configuradas por um administrador na Conta da AWS atual ou na organização usando a Quick Setup. As listas de referência de patches são armazenadas em um bucket do Amazon S3 e podem ser usadas para aplicar patches em instâncias em uma única conta ou em toda a organização.

Detalhes da permissão

Esta política inclui a seguinte permissão.

  • s3: permite que as entidades principais leiam substituições da lista de referência de patches armazenadas nos buckets do Amazon S3.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupPatchPolicyBaselineAccess no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSSystemsManagerEnableExplorerExecutionPolicy

A política gerenciada AWSSystemsManagerEnableExplorerExecutionPolicy oferece suporte à habilitação do Explorer, uma capacidade do AWS Systems Manager.

Você pode anexar AWSSystemsManagerEnableExplorerExecutionPolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Esta política concede permissões administrativas para habilitar o Explorer. Isso inclui permissões para atualizar as configurações de serviços relacionados do Systems Manager e criar uma função vinculada a serviços para o Systems Manager.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • config: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.

  • iam: permite que as entidades principais ajudem a habilitar o Explorer.

  • ssm: permite que as entidades principais iniciem um fluxo de trabalho de automação que habilite o Explorer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSSystemsManagerEnableExplorerExecutionPolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

A política gerenciada AWSSystemsManagerEnableConfigRecordingExecutionPolicy oferece suporte ao tipo de configuração Criar um gravador de configuração do AWS Config usando o Quick Setup do Quick Setup. Esse tipo de configuração habilita s Quick Setup para rastrear e registrar alterações nos tipos de recursos da AWS que você escolher para o AWS Config. Ele também permite que a Quick Setup configure as opções de entrega e notificações para os dados gravados.

Você pode anexar AWSSystemsManagerEnableConfigRecordingExecutionPolicy às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

Esta política concede permissões administrativas que permitem que a Quick Setup habilite e configure o registro de configuração do AWS Config.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • s3: permite que as entidades principais criem e configurem buckets do Amazon S3 para entrega de gravações de configuração.

  • sns: permite que as entidades principais listem e criem tópicos do Amazon SNS.

  • config: permite que as entidades principais configurem e iniciem o gravador de configuração; e ajudem a habilitar o Explorer.

  • iam: permite que as entidades principais criem, obtenham e transmitam uma função vinculada a serviços para o AWS Config e criem uma função vinculada a serviços para o Systems Manager; e ajudem a habilitar o Explorer.

  • ssm: permite que as entidades principais iniciem um fluxo de trabalho de automação que habilite o Explorer.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSSystemsManagerEnableConfigRecordingExecutionPolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupDevOpsGuruPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do Usuário do IAM.

A política gerenciada AWSQuickSetupDevOpsGuruPermissionsBoundary oferece suporte ao tipo Configurar o DevOps Guru usando a Quick Setup. O tipo de configuração habilita o Amazon DevOps Guru baseado em machine learning. O serviço DevOps Guru pode ajudar a melhorar o desempenho operacional e a disponibilidade de uma aplicação.

Quando você cria uma configuração AWSQuickSetupDevOpsGuruPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas que permitem que a Quick Setup habilite e configure o Amazon DevOps Guru.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais criem funções vinculadas a serviços para o DevOps Guru e o Systems Manager; e listem funções que ajudam a habilitar o Explorer.

  • cloudformation: permite que as entidades principais listem e descrevam as pilhas do AWS CloudFormation.

  • sns: permite que as entidades principais listem e criem tópicos do Amazon SNS.

  • devops-guru: permite que as entidades principais configurem o DevOps Guru e adicionem um canal de notificação.

  • config: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.

  • ssm: permite que as entidades principais iniciem um fluxo de trabalho de automação que habilita o Explorer; e leiam e atualizem as configurações de serviço do Explorer.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupDevOpsGuruPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupDistributorPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do Usuário do IAM.

A política gerenciada AWSQuickSetupDistributorPermissionsBoundary oferece suporte ao tipo de configuração Implantar pacotes do Distributor usando o Quick Setup do Quick Setup. O tipo de configuração ajuda a permitir a distribuição de pacotes de software, como agentes, para instâncias do Amazon Elastic Compute Cloud (Amazon EC2), usando o Distributor, um recurso do AWS Systems Manager.

Quando você cria uma configuração AWSQuickSetupDistributorPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas para que a Quick Setup possa distribuir pacotes de software, como agentes, para suas instâncias do Amazon EC2 usando o Distributor.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais obtenham e transmitam a função de automação do Distributor; criem, leiam, atualizem e excluam a função de instância padrão; passem a função de instância padrão para o Amazon EC2 e Systems Manager; anexem políticas de gerenciamento de instâncias às funções de instância; criem uma função vinculada a serviços para o Systems Manager; adicionem a função de instância padrão aos perfis de instância; leiam informações sobre perfis do IAM e perfis de instância; e criem o perfil de instância padrão.

  • ec2: permite que as entidades principais associem o perfil de instância padrão às instâncias do EC2 e ajudem a habilitar o Explorer.

  • ssm: permite que as entidades principais iniciem fluxos de trabalho de automação que configurem instâncias e instalem pacotes; e ajudem a iniciar o fluxo de trabalho de automação que habilita o Explorer; e leiam e atualizem as configurações de serviço do Explorer.

  • config: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupDistributorPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupSSMHostMgmtPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do Usuário do IAM.

A política gerenciada AWSQuickSetupSSMHostMgmtPermissionsBoundary oferece suporte ao tipo de configuração Configurar o gerenciamento de host do Amazon EC2 usando a Quick Setup do Quick Setup. Esse tipo de configuração configura os perfis do IAM e habilita recursos comumente usados do Systems Manager para gerenciar com segurança suas instâncias do Amazon EC2.

Quando você cria uma configuração AWSQuickSetupSSMHostMgmtPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas para que a Quick Setup possa configurar os recursos do Systems Manager necessários para gerenciar com segurança as instâncias do EC2.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais obtenham e passem o perfil de serviço para a automação. Permite que as entidades principais criem, leiam, atualizem e excluam a função de instância padrão; passem a função de instância padrão para o Amazon EC2 e Systems Manager; anexem políticas de gerenciamento de instâncias às funções de instância; criem uma função vinculada a serviços para o Systems Manager; adicionem a função de instância padrão aos perfis de instância; leiam informações sobre perfis do IAM e perfis de instância; e criem o perfil de instância padrão.

  • ec2: permite que as entidades principais associem e desassociem o perfil de instância padrão das instâncias do EC2.

  • ssm: permite que as entidades principais iniciem fluxos de trabalho de automação que habilitam o Explorer; leiam e atualizem as configurações de serviço do Explorer; configurem instâncias; e habilitem os recursos do Systems Manager nas instâncias.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupSSMHostMgmtPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupPatchPolicyPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do Usuário do IAM.

A política gerenciada AWSQuickSetupPatchPolicyPermissionsBoundary oferece suporte ao tipo Configurar patches para instâncias em uma organização usando a Quick Setup da Quick Setup. Esse tipo de configuração ajuda a automatizar a aplicação de patches em aplicações e nós em uma única conta ou em toda a organização.

Quando você cria uma configuração AWSQuickSetupPatchPolicyPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas para que a Quick Setup possa habilitar e configurar políticas de patch no Patch Manager, um recurso do AWS Systems Manager.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais obtenham a função de automação do Patch Manager; passem funções de automação para operações de correção do Patch Manager; criem o perfil de instância padrãoAmazonSSMRoleForInstancesQuickSetup; passem a função de instância padrão para o Amazon EC2 e o Systems Manager; anexem políticas gerenciadas da AWS selecionadas à função de instância; criem uma função vinculada a serviços para o Systems Manager; adicionem a função de instância padrão aos perfis e funções de instância; criem um perfil de instância padrão; e marquem funções que tenham permissões de leitura substituições da lista de referência de patches.

  • ssm: permite que as entidades principais atualizem a função da instância que é gerenciada pelo Systems Manager; gerenciem associações criadas pelas políticas de patch do Patch Manager criadas no Quick Setup; marquem instâncias segmentadas por uma configuração de política de patch; leiam informações sobre instâncias e status de patches; iniciem fluxos de trabalho de automação que configuram, habilitam e corrijam a correção de instâncias; iniciem fluxos de trabalho de automação que habilitam o Explorer; ajudem a habilitar o Explorer; e leiam e atualizem as configurações do serviço do Explorer.

  • ec2: permite que as entidades principais associem e desassociem o perfil de instância padrão das instâncias do EC2; marquem instâncias segmentadas por uma configuração de política de patch; marquem instâncias segmentadas por uma configuração de política de patch; e ajudem a habilitar o Explorer.

  • s3: permite que as entidades principais criem e configurem buckets do S3 para armazenar substituições da lista de referência de patches.

  • lambda: permite que as entidades principais invoquem funções do AWS Lambda que configuram a aplicação de patches e realizem operações de limpeza após a exclusão de uma configuração de política de patch da Quick Setup.

  • logs: permite que as entidades principais configurem o registro em log para funções Patch Manager Quick Setup AWS Lambda.

  • config: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupPatchPolicyPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupSchedulerPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do Usuário do IAM.

A política gerenciada AWSQuickSetupSchedulerPermissionsBoundary oferece suporte ao tipo de configuração Parar e iniciar instâncias do EC2 automaticamente de acordo com uma programação usando a Quick Setup do Quick Setup. Este tipo de configuração permite que você interrompa e inicie suas instâncias do EC2 e outros recursos nos horários que você especificar.

Quando você cria uma configuração AWSQuickSetupSchedulerPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas que permitem que a Quick Setup habilite e configurar operações agendadas nas instâncias do EC2 e em outros recursos.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais recuperem e passem funções para ações de automação de gerenciamento de instâncias; gerenciem, passem e anexem funções de instância padrão para o gerenciamento de instâncias do EC2; criem perfis de instância padrão; adicionem funções de instância padrão para perfis de instância; criem uma função vinculada a serviços para o Systems Manager; leiam informações sobre perfis do IAM e perfis de instância; associem um perfil de instância padrão às instâncias do EC2; e iniciem fluxos de trabalho de automação para configurar instâncias e habilitar recursos do Systems Manager nelas.

  • ssm: permite que as entidades principais iniciem fluxos de trabalho de automação que habilitam o Explorer; e leiam e atualizem as configurações de serviço do Explorer.

  • ec2 : permite que as entidades principais localizem instâncias segmentadas e as iniciem e interrompam de acordo com um cronograma.

  • config: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.

  • compute-optimizer: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

  • support: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente de leitura às verificações do AWS Trusted Advisor de uma conta.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupSchedulerPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSQuickSetupCFGCPacksPermissionsBoundary

nota

Esta política é um limite de permissões. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do Usuário do IAM.

A política gerenciada AWSQuickSetupCFGCPacksPermissionsBoundary oferece suporte ao tipo de configuração Implantar um pacote de conformidade do AWS Config usando o Quick Setup do Quick Setup. Este tipo de configuração implanta pacotes de conformidade do AWS Config. Os pacotes de conformidade são uma coleção de regras e ações de remediação do AWS Config que possam ser implantadas como uma única entidade.

Quando você cria uma configuração AWSQuickSetupCFGCPacksPermissionsBoundary usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas que permitem ao Quick Setup implantar pacotes de conformidade do AWS Config.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais criem, obtenham e passem uma função vinculada a serviço para o AWS Config.

  • sns: permite que as entidades principais listem aplicações da plataforma no Amazon SNS.

  • config: permite que as entidades principais implantem pacotes de conformidade do AWS Config; obtenham o status dos pacotes de conformidade; e obtenham informações sobre gravadores de configuração.

  • ssm: permite que as entidades principais obtenham informações sobre documentos SSM e fluxos de trabalho de automação; obtenham informações sobre tags de recursos; e obtenham informações e atualizem as configurações do serviço.

  • compute-optimizer: permite que as entidades principais obtenham o status de aceitação de uma conta.

  • support: permite que as entidades principais obtenham informações sobre verificações do AWS Trusted Advisor.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSQuickSetupCFGCPacksPermissionsBoundary no Guia de referência de políticas gerenciadas da AWS.

Atualizações do Systems Manager para políticas gerenciadas pela AWS

Na tabela a seguir, veja detalhes sobre atualizações em políticas gerenciadas pela AWS para o Systems Manager desde que esse serviço começou a rastrear essas alterações em 12 de março de 2021. Para obter informações sobre outras políticas gerenciadas para o serviço Systems Manager, consulte Políticas gerenciadas adicionais para o Systems Manager mais adiante neste tópico. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico do documento do Systems Manager.

Alteração Descrição Data

SSMQuickSetupRolePolicy: atualizar para uma política existente

O Systems Manager adicionou novas permissões para permitir que Quick Setup verifique a integridade de conjuntos de pilhas adicionais do AWS CloudFormation que ele criou.

 13 de agosto de 2024
AmazonSSMManagedEC2InstanceDefaultPolicy: atualizar para uma política existente Systems Manager adicionou IDs de declaração (Sids) à política JSON para AmazonSSMManagedEC2InstanceDefaultPolicy. Esses Sids fornecem descrições em linha do propósito de cada declaração de política. 18 de julho de 2024
SSMQuickSetupRolePolicy – Nova política O Systems Manager adicionou uma nova política para que o Quick Setup possa verificar a integridade dos recursos implantados e corrigir instâncias que se afastaram da configuração original. 3 de julho de 2024
AWSQuickSetupDeploymentRolePolicy – Nova política O Systems Manager adicionou uma nova política para oferecer suporte a vários tipos de configuração da Configuração Rápida que criam perfis e automações do IAM, que, por sua vez, configuram serviços e recursos da Amazon Web Services usados com frequência com as melhores práticas recomendadas. 3 de julho de 2024

AWSQuickSetupPatchPolicyDeploymentRolePolicy

: nova política

O Systems Manager adicionou uma nova política para que a Quick Setup possa criar recursos associados às configurações da Patch Manager da política de patch do Quick Setup.

3 de julho de 2024

AWSQuickSetupPatchPolicyBaselineAccess: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup acesse as listas de referência de patches no Patch Manager com permissões somente de leitura.

3 de julho de 2024
AWSSystemsManagerEnableExplorerExecutionPolicy: nova política O Systems Manager adicionou uma nova política para permitir que a Quick Setup conceda permissões administrativas para habilitar o Explorer. 3 de julho de 2024
AWSSystemsManagerEnableConfigRecordingExecutionPolicy: nova política O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure a gravação de configuração do AWS Config. 3 de julho de 2024

AWSQuickSetupDevOpsGuruPermissionsBoundary: nova política

O Systems Manageradicionou uma nova política para permitir que a Quick Setup habilite e configure o Amazon DevOps Guru.

 3 de julho de 2024

AWSQuickSetupDistributorPermissionsBoundary: nova política

O Systems Manageradicionou uma nova política para permitir que a Quick Setup habilite e configure o Distributor, um recurso do AWS Systems Manager.

3 de julho de 2024

AWSQuickSetupSSMHostMgmtPermissionsBoundary: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure os recursos do Systems Manager para gerenciar com segurança as instâncias do Amazon EC2.

 3 de julho de 2024

AWSQuickSetupPatchPolicyPermissionsBoundary: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure políticas de patch no Patch Manager, uma capacidade do AWS Systems Manager.

3 de julho de 2024

AWSQuickSetupSchedulerPermissionsBoundary: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure operações programadas em instâncias do Amazon EC2 e outros recursos.

3 de julho de 2024

AWSQuickSetupCFGCPacksPermissionsBoundary: nova política

O Systems Manager adicionou uma nova política para permitir que a Quick Setup implemente pacotes de conformidade do AWS Config.

3 de julho de 2024

AWSSystemsManagerOpsDataSyncServiceRolePolicy: atualizar para uma política existente

 O OpsCenter atualizou a política para melhorar a segurança do código de serviço dentro do perfil vinculado a serviço para o Explorer gerenciar operações relacionadas a OpsData. 3 de julho de 2023

AmazonSSMManagedEC2InstanceDefaultPolicy – Nova política

O Systems Manager adicionou uma nova política para permitir a funcionalidade do Systems Manager em instâncias do Amazon EC2 sem o uso de um perfil de instância do IAM.

 18 de agosto de 2022

AmazonSSMServiceRolePolicy: atualização para uma política existente

O Systems Manager adicionou novas permissões para permitir que o Explorer crie uma regra gerenciada quando você ativar o Security Hub no Explorer ou no OpsCenter. Novas permissões foram adicionadas para verificar se a configuração e o Compute Optimizer atendem aos requisitos necessários antes de permitir o OpsData.

 27 de abril de 2021

AWSSystemsManagerOpsDataSyncServiceRolePolicy – Nova política

O Systems Manager adicionou uma nova política para criar e atualizar o OpsItems e as descobertas do OpsData do Security Hub no Explorer e no OpsCenter.

 27 de abril de 2021

AmazonSSMServiceRolePolicy: atualizar para uma política existente

O Systems Manager adicionou novas permissões para permitir a visualização agregada de detalhes do OpsData e OpsItems em várias contas e em Regiões da AWS e no Explorer.

 24 de março de 2021

O Systems Manager iniciou o rastreamento das alterações

O Systems Manager começou a monitorar as alterações para as políticas gerenciadas da AWS.

 12 de março de 2021

Políticas gerenciadas adicionais para o Systems Manager

Além das políticas gerenciadas descritas anteriormente neste tópico, o Systems Manager também oferece suporte às políticas gerenciadas a seguir.

  • AmazonSSMAutomationApproverAccess: política gerenciada pela AWS que permite visualizar execuções de automação e enviar decisões de aprovação para automação que está aguardando aprovação.

  • AmazonSSMAutomationRole: política gerenciada pela AWS que fornece permissões para o serviço Automation do Systems Manager executar atividades definidas nos runbooks de automação. Atribui essa política a administradores e usuários avançados confiáveis.

  • AmazonSSMDirectoryServiceAccess: política gerenciada pela AWS que permite ao SSM Agent acessar o AWS Directory Service em nome do usuário para solicitações de ingresso no domínio pelo nó gerenciado.

  • AmazonSSMFullAccess: política gerenciada pela AWS que concede acesso total à API e a documentos do Systems Manager.

  • AmazonSSMMaintenanceWindowRole: política gerenciada pela AWS que fornece janelas de manutenção com permissões para a API do Systems Manager.

  • AmazonSSMManagedInstanceCore – Política gerenciada do AWS que permite que uma instância use a funcionalidade básica do serviço do Systems Manager.

  • AmazonSSMPatchAssociation: política gerenciada pela AWS que fornece acesso a instâncias filhas para operações de associação de patches.

  • AmazonSSMReadOnlyAccess: política gerenciada pela AWS que concede acesso a operações de API somente leitura do Systems Manager, como Get* e List*.

  • AWSSSMOpsInsightsServiceRolePolicy: política gerenciada pela AWS que fornece permissões para criar e atualizar OPSitems de insights operacionais no Systems Manager. Usada para fornecer permissões por meio do perfil vinculado ao serviço AWSServiceRoleForAmazonSSM_OpsInsights.

  • AWSSystemsManagerAccountDiscoveryServicePolicy: política gerenciada pela AWS que concede ao Systems Manager permissões para descobrir informações da Conta da AWS.

  • AWSSystemsManagerChangeManagementServicePolicy: política gerenciada pela AWS fornece acesso aos recursos da AWS gerenciados ou usados pelo framework de gerenciamento de alterações do Systems Manager e usados pelo perfil vinculado ao serviço AWSServiceRoleForSystemsManagerChangeManagement.

  • AmazonEC2RoleforSSM: política obsoleta, não deve mais ser usada. Em seu lugar, use a política AmazonSSMManagedInstanceCore para permitir a funcionalidade principal do serviço Systems Manager em instâncias do EC2. Para obter informações, consulte Configurar permissões de instância obrigatórias para o Systems Manager.