Konfigurieren von Berechtigungen für die Compliance - AWS Systems Manager

Konfigurieren von Berechtigungen für die Compliance

Aus Sicherheitsgründen empfehlen wir, dass Sie die Berechtigungen der von Ihren verwalteten Knoten verwendeten AWS Identity and Access Management (IAM)-Rolle wie folgt aktualisieren, um die Fähigkeit des Knotens einzuschränken, die API-Aktion PutComplianceItems zu verwenden. Diese API-Aktion registriert einen Konformitätstyp und andere Details zur Konformität auf einer bestimmten Ressource, z. B. einer Amazon-EC2-Instance oder einem verwalteten Knoten.

Wenn es sich bei Ihrem Knoten um eine Amazon-EC2-Instance handelt, müssen Sie das von der Instance verwendete IAM-Instance-Profil mit den folgenden Berechtigungen aktualisieren. Weitere Informationen zu Instance-Profilen für EC2-Instances, die von Systems Manager verwaltet werden, finden Sie unter Konfigurieren von erforderlichen Instance-Berechtigungen für Systems Manager. Für andere Typen von verwalteten Knoten sollten Sie die vom Knoten verwendete IAM-Rolle mit den folgenden Berechtigungen aktualisieren. Weitere Informationen finden Sie unter Aktualisieren von Berechtigungen für eine Rolle im IAM-Benutzerhandbuch.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutComplianceItems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:SourceInstanceARN": "${ec2:SourceInstanceARN}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutComplianceItems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ssm:SourceInstanceARN": "${ssm:SourceInstanceARN}"
                }
            }
        }
    ]
}