Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# EC2 IAM-Instanzprofil
<a name="defaults-instance-profile"></a>

Ein Instanzprofil ist ein Container für eine IAM-Rolle, den Sie verwenden können, um Rolleninformationen an eine EC2 Instance zu übergeben, wenn die Instance gestartet wird.

------
#### [ MALZ ]

Es gibt zwei AMS-Standard-Instanzprofile, `customer-mc-ec2-instance-profile` und`customer-mc-ec2-instance-profile-s3`. Diese Instanzprofile bieten die in der folgenden Tabelle beschriebenen Berechtigungen.


**Beschreibungen der Richtlinien**  
<a name="default-iam-profile-malz-table"></a>

- **`customer-mc-ec2-instance-profile`**
  - `AmazonSSMManagedInstanceCore`: Ermöglicht Ec2-Instances die Verwendung des SSM-Agenten.
  - `AMSInstanceProfileLoggingPolicy`: Ermöglicht Ec2-Instances, Protokolle an S3 zu übertragen und. CloudWatch
  - `AMSInstanceProfileManagementPolicy`: Ermöglicht Ec2-Instances das Ausführen von Startaktionen, z. B. den Beitritt zu Active Directory.
  - `AMSInstanceProfileMonitoringPolicy`: Ermöglicht Ec2-Instances, Ergebnisse an die AMS-Überwachungsdienste zu melden.
  - `AMSInstanceProfilePatchPolicy`: Ermöglicht Ec2-Instances den Empfang von Patches.

- **`customer-mc-ec2-instance-profile-s3`**
  - `AMSInstanceProfileBYOEPSPolicy`: Ermöglicht Ec2-Instances die Verwendung von [AMS Bring Your Own](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html) EPS.
  - `AMSInstanceProfileLoggingPolicy`: Ermöglicht Ec2-Instances, Logs an S3 zu übertragen und. CloudWatch
  - `AMSInstanceProfileManagementPolicy`: Ermöglicht Ec2-Instances das Ausführen von Startaktionen, z. B. den Beitritt zu Active Directory.
  - `AMSInstanceProfileMonitoringPolicy`: Ermöglicht Ec2-Instances, Ergebnisse an die AMS-Überwachungsdienste zu melden.
  - `AMSInstanceProfilePatchPolicy`: Ermöglicht Ec2-Instances den Empfang von Patches.
  - `AMSInstanceProfileS3WritePolicy`: Ermöglicht den Zugriff von Ec2-Instances read/write auf Kunden-S3-Buckets.



------
#### [ SALZ ]

Es gibt ein AMS-Standard-Instanzprofil`customer-mc-ec2-instance-profile`, das Berechtigungen gemäß der IAM-Instanzrichtlinie gewährt. `customer_ec2_instance_profile_policy` Dieses Instanzprofil stellt die in der folgenden Tabelle beschriebenen Berechtigungen bereit. Das Profil gewährt den Anwendungen, die auf der Instanz ausgeführt werden, Berechtigungen, nicht den Benutzern, die sich bei der Instanz anmelden.

Richtlinien enthalten häufig mehrere Anweisungen, wobei jede Anweisung Berechtigungen für eine andere Gruppe von Ressourcen oder unter einer bestimmten Bedingung erteilt.

CW = CloudWatch. ARN = Amazon-Ressourcenname. \* = Platzhalter (beliebig).


**EC2 Standardberechtigungen für das Profil einer IAM-Instanz**  

<table>
<thead>
  <tr><th colspan="4">CW =. CloudWatch ARN = Amazon-Ressourcenname. \* = Platzhalter (beliebig).</th></tr>
  <tr><th>Richtlinienanweisung</th><th>Auswirkung</th><th>Aktionen</th><th>Beschreibung und Ressource (ARN)</th></tr>
</thead>
<tbody>
  <tr><td colspan="4">**Amazon Elastic Compute Cloud (Amazon EC2)**</td></tr>
  <tr><td>EC2 Nachrichtenaktionen</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>AcknowledgeMessage,<br />DeleteMessage,<br />FailMessage,<br />GetEndpoint,<br />GetMessages,<br />SendReply</td><td>Ermöglicht EC2 Systems Manager Manager-Messaging-Aktionen in Ihrem Konto.</td></tr>
  <tr><td>Ec2 Beschreiben</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>\* (Alle)</td><td>Ermöglicht der Konsole, die Konfigurationsdetails eines EC2 in Ihrem Konto anzuzeigen.</td></tr>
  <tr><td>Ich bin Get Role ID</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>GetRole</td><td>Ermöglicht EC2 das Abrufen Ihrer IAM-ID von `aws:iam::*:role/customer-*` und. `aws:iam::*:role/customer_*`</td></tr>
  <tr><td rowspan="2">Instanz zum Hochladen von Protokollereignissen</td><td rowspan="2">Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>Protokollgruppe erstellen</td><td>Ermöglicht das Erstellen von Protokollen in: `aws:logs:*:*:log-group:i-*`</td></tr>
  <tr><td>Log-Stream erstellen</td><td>Ermöglicht das Streamen von Protokollen nach: `aws:logs:*:*:log-group:i-*`</td></tr>
  <tr><td>CW Für MMS</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>DescribeAlarms,<br />PutMetricAlarm,<br />PutMetricData</td><td>Ermöglicht das CloudWatch Abrufen von Alarmen in Ihrem Konto.<br />Ermöglicht CW, einen Alarm zu erstellen oder zu aktualisieren und ihn der angegebenen Metrik zuzuordnen.<br />Ermöglicht CW, metrische Datenpunkte in Ihrem Konto zu veröffentlichen.</td></tr>
  <tr><td>Ec2-Tags</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>CreateTags,<br />DescribeTags,</td><td>Ermöglicht das Hinzufügen, Überschreiben und Beschreiben von Tags für die angegebenen Instanzen in Ihrem Konto.</td></tr>
  <tr><td>CW-Protokolle explizit ablehnen</td><td>Deny</td><td>DescribeLogStreams,<br />FilterLogEvents,<br />GetLogEvents</td><td>Verbietet das Auflisten, Filtern oder Abrufen der Protokollstreams für: `aws:logs:*:*:log-group:/mc/*`</td></tr>
  <tr><td colspan="4">**Amazon EC2 Simple Systems Manager (SSM)**</td></tr>
  <tr><td>SSM-Aktionen</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>DescribeAssociation,<br />GetDocument,<br />ListAssociations,<br />UpdateAssociationStatus,<br />UpdateInstanceInformation</td><td>Ermöglicht eine Vielzahl von SSM-Funktionen in Ihrem Konto.</td></tr>
  <tr><td>SSM-Zugriff in S3</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>GetObject,<br />PutObject,<br />AbortMultipartUpload,<br />ListMultipartUploadPorts,<br />ListBucketMultipartUploads</td><td>Ermöglicht dem SSM auf dem, Objekte abzurufen und EC2 zu aktualisieren und den Upload eines mehrteiligen Objekts zu beenden und die Ports und Buckets aufzulisten, die für mehrteilige Uploads verfügbar sind. `aws:s3:::mc-*-internal-*/aws/ssm*`</td></tr>
  <tr><td colspan="4">**Amazon EC2 Simple Storage Service (S3)**</td></tr>
  <tr><td>Objekt in S3 abrufen</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>Get<br />Auflisten</td><td>Ermöglicht EC2 Anwendungen, Objekte in S3-Buckets in Ihrem Konto abzurufen und aufzulisten.</td></tr>
  <tr><td>Verschlüsselter S3-Zugriff auf das Kundenprotokoll</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>PutObject</td><td>Ermöglicht EC2 Anwendungen das Aktualisieren von Objekten in `aws:s3:::mc-*-logs-*/encrypted/app/*`</td></tr>
  <tr><td>Patch-Daten-Put-Objekt S3</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>PutObject</td><td>Ermöglicht EC2 Anwendungen das Hochladen von Patching-Daten in Ihre S3-Buckets unter `aws:s3:::awsms-a*-patch-data-*`</td></tr>
  <tr><td>Eigene Logs auf S3 hochladen</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>PutObject</td><td>Ermöglicht EC2 Anwendungen das Hochladen benutzerdefinierter Protokolle auf: `aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*`</td></tr>
  <tr><td>MC-Namespace-S3-Protokolle explizit verweigern</td><td>Deny</td><td>GetObject\*<br />Eingeben\*</td><td>Verbietet EC2 Anwendungen das Abrufen oder Platzieren von Objekten von oder nach:<br />`aws:s3:::mc-*-logs-*/encrypted/mc*`,<br />`aws:s3:::mc-*-logs-*/mc/*`,<br />`aws:s3:::mc-a*-logs-*-audit/*`</td></tr>
  <tr><td>S3-Löschen ausdrücklich verweigern</td><td>Deny</td><td>\* (alle)</td><td>Verbietet EC2 Anwendungen, Aktionen an Objekten durchzuführen in:<br />`aws:s3:::mc-a*-logs-*/*`,<br />`aws:s3:::mc-a*-internal-*/*`,</td></tr>
  <tr><td>S3-CFN-Bucket explizit ablehnen</td><td>Deny</td><td>Delete\*</td><td>Verbietet EC2 Anwendungen das Löschen von Objekten aus: `aws:s3:::cf-templates-*`</td></tr>
  <tr><td>List-Bucket S3 explizit ablehnen</td><td>Deny</td><td>ListBucket</td><td>Verbietet das Auflisten verschlüsselter Objekte, Audit-Log-Objekte oder reservierter Objekte (MC) von: `aws:s3:::mc-*-logs-*`</td></tr>
  <tr><td colspan="4">**AWS Secrets Manager bei Amazon EC2**</td></tr>
  <tr><td>Zugang zu Trend Cloud One Secrets</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>GetSecretValue</td><td>Ermöglicht Amazon EC2 den Zugriff auf geheime Daten für die Trend Cloud One-Migration:<br />`aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`,<br />`arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*`,<br />`aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`,<br />`aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*`</td></tr>
  <tr><td colspan="4">**AWS Key Management Service bei Amazon EC2**</td></tr>
  <tr><td>Trend Cloud One Entschlüsselungsschlüssel</td><td>Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf</td><td>Decrypt</td><td>Erlauben EC2 Sie Amazon, den AWS KMS Schlüssel mit dem Aliasnamen/ams/eps/cloudone-migration zu entschlüsseln<br />`arn:aws:kms:*:*:alias/ams/eps/cloudone-migration`</td></tr>
</tbody>
</table>


------

Wenn Sie mit den Amazon IAM-Richtlinien nicht vertraut sind, finden Sie wichtige Informationen unter [Überblick über die IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).

**Anmerkung**  
Richtlinien enthalten oft mehrere Aussagen, wobei jede Erklärung Berechtigungen für eine andere Gruppe von Ressourcen oder unter einer bestimmten Bedingung erteilt.