Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
EC2 IAM-Instanzprofil
Ein Instanzprofil ist ein Container für eine IAM-Rolle, den Sie verwenden können, um Rolleninformationen an eine EC2 Instance zu übergeben, wenn die Instance gestartet wird.
- MALZ
-
Es gibt zwei AMS-Standard-Instanzprofile,
customer-mc-ec2-instance-profileundcustomer-mc-ec2-instance-profile-s3. Diese Instanzprofile bieten die in der folgenden Tabelle beschriebenen Berechtigungen.Beschreibungen der Richtlinien Profil Richtlinien customer-mc-ec2-instance-profileAmazonSSMManagedInstanceCore: Ermöglicht Ec2-Instances die Verwendung des SSM-Agenten.AMSInstanceProfileLoggingPolicy: Ermöglicht Ec2-Instances, Protokolle an S3 zu übertragen und. CloudWatchAMSInstanceProfileManagementPolicy: Ermöglicht Ec2-Instances das Ausführen von Startaktionen, z. B. den Beitritt zu Active Directory.AMSInstanceProfileMonitoringPolicy: Ermöglicht Ec2-Instances, Ergebnisse an die AMS-Überwachungsdienste zu melden.AMSInstanceProfilePatchPolicy: Ermöglicht Ec2-Instances den Empfang von Patches.customer-mc-ec2-instance-profile-s3AMSInstanceProfileBYOEPSPolicy: Ermöglicht Ec2-Instances die Verwendung von AMS Bring Your Own EPS.AMSInstanceProfileLoggingPolicy: Ermöglicht Ec2-Instances, Logs an S3 zu übertragen und. CloudWatchAMSInstanceProfileManagementPolicy: Ermöglicht Ec2-Instances das Ausführen von Startaktionen, z. B. den Beitritt zu Active Directory.AMSInstanceProfileMonitoringPolicy: Ermöglicht Ec2-Instances, Ergebnisse an die AMS-Überwachungsdienste zu melden.AMSInstanceProfilePatchPolicy: Ermöglicht Ec2-Instances den Empfang von Patches.AMSInstanceProfileS3WritePolicy: Ermöglicht den Zugriff von Ec2-Instances read/write auf Kunden-S3-Buckets. - SALZ
-
Es gibt ein AMS-Standard-Instanzprofil
customer-mc-ec2-instance-profile, das Berechtigungen gemäß der IAM-Instanzrichtlinie gewährt.customer_ec2_instance_profile_policyDieses Instanzprofil stellt die in der folgenden Tabelle beschriebenen Berechtigungen bereit. Das Profil gewährt den Anwendungen, die auf der Instanz ausgeführt werden, Berechtigungen, nicht den Benutzern, die sich bei der Instanz anmelden.Richtlinien enthalten häufig mehrere Anweisungen, wobei jede Anweisung Berechtigungen für eine andere Gruppe von Ressourcen oder unter einer bestimmten Bedingung erteilt.
CW = CloudWatch. ARN = Amazon-Ressourcenname. * = Platzhalter (beliebig).
EC2 Standardberechtigungen für das Profil einer IAM-Instanz CW =. CloudWatch ARN = Amazon-Ressourcenname. * = Platzhalter (beliebig).
Richtlinienanweisung Auswirkung Aktionen Beschreibung und Ressource (ARN) Amazon Elastic Compute Cloud (Amazon EC2)
EC2 Nachrichtenaktionen
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
AcknowledgeMessage,
DeleteMessage,
FailMessage,
GetEndpoint,
GetMessages,
SendReply
Ermöglicht EC2 Systems Manager Manager-Messaging-Aktionen in Ihrem Konto.
Ec2 Beschreiben
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
* (Alle)
Ermöglicht der Konsole, die Konfigurationsdetails eines EC2 in Ihrem Konto anzuzeigen.
Ich bin Get Role ID
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
GetRole
Ermöglicht EC2 das Abrufen Ihrer IAM-ID von
aws:iam::*:role/customer-*und.aws:iam::*:role/customer_*Instanz zum Hochladen von Protokollereignissen
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
Protokollgruppe erstellen
Ermöglicht das Erstellen von Protokollen in:
aws:logs:*:*:log-group:i-*Log-Stream erstellen
Ermöglicht das Streamen von Protokollen nach:
aws:logs:*:*:log-group:i-*CW Für MMS
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
DescribeAlarms,
PutMetricAlarm,
PutMetricData
Ermöglicht das CloudWatch Abrufen von Alarmen in Ihrem Konto.
Ermöglicht CW, einen Alarm zu erstellen oder zu aktualisieren und ihn der angegebenen Metrik zuzuordnen.
Ermöglicht CW, metrische Datenpunkte in Ihrem Konto zu veröffentlichen.
Ec2-Tags
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
CreateTags,
DescribeTags,
Ermöglicht das Hinzufügen, Überschreiben und Beschreiben von Tags für die angegebenen Instanzen in Ihrem Konto.
CW-Protokolle explizit ablehnen
Deny
DescribeLogStreams,
FilterLogEvents,
GetLogEvents
Verbietet das Auflisten, Filtern oder Abrufen der Protokollstreams für:
aws:logs:*:*:log-group:/mc/*Amazon EC2 Simple Systems Manager (SSM)
SSM-Aktionen
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
DescribeAssociation,
GetDocument,
ListAssociations,
UpdateAssociationStatus,
UpdateInstanceInformation
Ermöglicht eine Vielzahl von SSM-Funktionen in Ihrem Konto.
SSM-Zugriff in S3
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
GetObject,
PutObject,
AbortMultipartUpload,
ListMultipartUploadPorts,
ListBucketMultipartUploads
Ermöglicht dem SSM auf dem, Objekte abzurufen und EC2 zu aktualisieren und den Upload eines mehrteiligen Objekts zu beenden und die Ports und Buckets aufzulisten, die für mehrteilige Uploads verfügbar sind.
aws:s3:::mc-*-internal-*/aws/ssm*Amazon EC2 Simple Storage Service (S3)
Objekt in S3 abrufen
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
Get
Auflisten
Ermöglicht EC2 Anwendungen, Objekte in S3-Buckets in Ihrem Konto abzurufen und aufzulisten.
Verschlüsselter S3-Zugriff auf das Kundenprotokoll
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
PutObject
Ermöglicht EC2 Anwendungen das Aktualisieren von Objekten in
aws:s3:::mc-*-logs-*/encrypted/app/*Patch-Daten-Put-Objekt S3
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
PutObject
Ermöglicht EC2 Anwendungen das Hochladen von Patching-Daten in Ihre S3-Buckets unter
aws:s3:::awsms-a*-patch-data-*Eigene Logs auf S3 hochladen
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
PutObject
Ermöglicht EC2 Anwendungen das Hochladen benutzerdefinierter Protokolle auf:
aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*MC-Namespace-S3-Protokolle explizit verweigern
Deny
GetObject*
Eingeben*
Verbietet EC2 Anwendungen das Abrufen oder Platzieren von Objekten von oder nach:
aws:s3:::mc-*-logs-*/encrypted/mc*,aws:s3:::mc-*-logs-*/mc/*,aws:s3:::mc-a*-logs-*-audit/*S3-Löschen ausdrücklich verweigern
Deny
* (alle)
Verbietet EC2 Anwendungen, Aktionen an Objekten durchzuführen in:
aws:s3:::mc-a*-logs-*/*,aws:s3:::mc-a*-internal-*/*,S3-CFN-Bucket explizit ablehnen
Deny
Delete*
Verbietet EC2 Anwendungen das Löschen von Objekten aus:
aws:s3:::cf-templates-*List-Bucket S3 explizit ablehnen
Deny
ListBucket
Verbietet das Auflisten verschlüsselter Objekte, Audit-Log-Objekte oder reservierter Objekte (MC) von:
aws:s3:::mc-*-logs-*AWS Secrets Manager bei Amazon EC2
Zugang zu Trend Cloud One Secrets
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
GetSecretValue
Ermöglicht Amazon EC2 den Zugriff auf geheime Daten für die Trend Cloud One-Migration:
aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*,aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*AWS Key Management Service bei Amazon EC2
Trend Cloud One Entschlüsselungsschlüssel
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
Decrypt
Erlauben EC2 Sie Amazon, den AWS KMS Schlüssel mit dem Aliasnamen/ams/eps/cloudone-migration zu entschlüsseln
arn:aws:kms:*:*:alias/ams/eps/cloudone-migration
Wenn Sie mit den Amazon IAM-Richtlinien nicht vertraut sind, finden Sie wichtige Informationen unter Überblick über die IAM-Richtlinien.
Anmerkung
Richtlinien enthalten oft mehrere Aussagen, wobei jede Erklärung Berechtigungen für eine andere Gruppe von Ressourcen oder unter einer bestimmten Bedingung erteilt.
