AWS verwaltete Richtlinien für AWS Systems Manager - AWS Systems Manager
Amazon SSMService RolePolicySSMAutomationRolle bei AmazonAmazon SSMRead OnlyAccessAWSSystemsManagerOpsDataSyncServiceRolePolicyAmazon SSMManaged EC2 InstanceDefaultPolicySSMQuickSetupRolePolicyAWSQuickSetupDeploymentRolePolicyAWSQuickSetupPatchPolicyDeploymentRolePolicyAWSQuickSetupPatchPolicyBaselineAccessAWSSystemsManagerEnableExplorerExecutionPolicyAWSSystemsManagerEnableConfigRecordingExecutionPolicyAWSQuickSetupDevOpsGuruPermissionsBoundaryAWSQuickSetupDistributorPermissionsBoundaryAWSQuickEinrichtung SSMHost MgmtPermissionsBoundaryAWSQuickSetupPatchPolicyPermissionsBoundaryAWSQuickSetupSchedulerPermissionsBoundaryAWSQuickEinrichtung CFGCPacks PermissionsBoundaryAWSQuickSetupStartStopInstancesExecutionPolicyAWSQuickSetupStartSSMAssociationsExecutionPolicyAWS-SSM- - DiagnosisAutomation AdministrationRolePolicyAWS-SSM- - DiagnosisAutomation ExecutionRolePolicyAWS-SSM- - RemediationAutomation AdministrationRolePolicyAWS-SSM- - RemediationAutomation ExecutionRolePolicyAWSQuickEinrichtung SSMManage ResourcesExecutionPolicyAWSQuickEinrichtung SSMLifecycle ManagementExecutionPolicyAWSQuickEinrichtung SSMDeployment RolePolicyAWSQuickSSMDeploymentS3 einrichten BucketRolePolicyAWSQuickSetupEnableDHMCExecutionRichtlinieAWSQuickSetupEnableAREXExecutionRichtlinieAWSQuickSetupManagedInstanceProfileExecutionPolicyAWSQuickSetupManageJITNAResourcesExecutionPolicyAWSQuickEinrichtung JITNADeployment RolePolicyAWSSystemsManagerJustInTimeAccessServicePolicyAWSSystemsManagerJustInTimeAccessTokenPolicyAWSSystemsManagerJustInTimeAccessTokenSessionPolicyAWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicyAWSSystemsManagerNotificationsServicePolicyAWS-SSM-Automatisierung- DiagnosisBucketPolicyAWS-SSM- - RemediationAutomation OperationalAccountAdministrationRolePolicyAWS-SSM- - DiagnosisAutomation OperationalAccountAdministrationRolePolicyRichtlinienaktualisierungenZusätzliche verwaltete Richtlinien für Systems Manager

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für AWS Systems Manager

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

Themen

AWS verwaltete Richtlinie: Amazon SSMService RolePolicy

Diese Richtlinie ermöglicht den Zugriff auf eine Reihe von AWS Ressourcen, die von Systems Manager Manager-Vorgängen verwaltet AWS Systems Manager oder in diesen verwendet werden.

Sie können keine Verbindungen AmazonSSMServiceRolePolicy zu Ihren AWS Identity and Access Management (IAM-) Entitäten herstellen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es AWS Systems Manager ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Verwenden von Rollen zum Sammeln und Anzeigen von Inventar OpsData.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen, Ausführungen sowohl für Run Command als auch für Automation zu starten und auszuführen sowie Informationen über Run Command und Automation-Vorgänge abzurufen, Informationen über Parameter Store-Parameter-Change Calendar-Kalender abzurufen, Informationen zu Systems-Manager-Serviceteinstellungen für OpsCenter-Ressourcen zu aktualisieren und abzurufen und Informationen über Tags zu lesen, die auf Ressourcen angewendet wurden.

  • cloudformation – Ermöglicht Prinzipalen das Abrufen von Informationen über Stackset-Operationen und Stackset-Instances sowie das Löschen von Stacksets in der arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*-Ressource. Ermöglicht Prinzipalen das Löschen von Stack-Instances, die den folgenden Ressourcen zugeordnet sind:

    arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

  • cloudwatch— Ermöglicht Prinzipalen das Abrufen von Informationen zu CloudWatch Amazon-Alarmen.

  • compute-optimizer— Ermöglicht Principals, den Anmeldestatus (Opt-In) eines Kontos für den AWS Compute Optimizer Service abzurufen und Empfehlungen für EC2 Amazon-Instances abzurufen, die bestimmte festgelegte Anforderungen erfüllen.

  • config— Ermöglicht Prinzipalen das Abrufen von Informationen zur Behebung von Konfigurationen und Konfigurationsrekordern sowie die Feststellung AWS Config, ob die angegebenen AWS Config Regeln und Ressourcen den Anforderungen entsprechen. AWS

  • events— Ermöglicht Prinzipalen das Abrufen von Informationen über EventBridge Regeln, das Erstellen von EventBridge Regeln und Zielen ausschließlich für den Systems Manager Manager-Dienst (ssm.amazonaws.com) und das Löschen von Regeln und Zielen für die Ressourcearn:aws:events:*:*:rule/SSMExplorerManagedRule.

  • ec2— Ermöglicht Principals das Abrufen von Informationen über EC2 Amazon-Instances.

  • iam – Ermöglicht Prinzipalen die Weitergabe von Rollenberechtigungen für den Systems-Manager-Service (ssm.amazonaws.com).

  • lambda – Ermöglicht Prinzipalen das Aufrufen von Lambda-Funktionen, die speziell für die Verwendung durch Systems Manager konfiguriert wurden.

  • resource-explorer-2— Ermöglicht Prinzipalen das Abrufen von Daten über EC2 Instanzen, um festzustellen, ob jede Instanz derzeit von Systems Manager verwaltet wird oder nicht.

    Die Aktion resource-explorer-2:CreateManagedView ist für die arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*-Ressource zulässig.

  • resource-groups— Ermöglicht Prinzipalen das Abrufen von Listenressourcengruppen und ihren Mitgliedern AWS Resource Groups aus Ressourcen, die zu einer Ressourcengruppe gehören.

  • securityhub— Ermöglicht Prinzipalen das Abrufen von Informationen über AWS Security Hub Hub-Ressourcen im aktuellen Konto.

  • states— Ermöglicht Prinzipalen das Starten und Abrufen von Informationen AWS Step Functions , die speziell für die Verwendung durch Systems Manager konfiguriert wurden.

  • support – Ermöglicht Prinzipalen das Abrufen von Informationen über Prüfungen und Fälle in AWS Trusted Advisor.

  • tag – Ermöglicht Prinzipalen das Abrufen von Informationen über alle markierten oder zuvor markierten Ressourcen, die sich in einer angegebenen AWS-Region für ein Konto befinden.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter Amazon SSMService RolePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon SSMAutomation Role

Sie können die AmazonSSMAutomationRole-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt dem AWS Systems Manager Automation-Service Berechtigungen zur Ausführung von Aktivitäten, die in Automation-Runbooks definiert sind.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • lambda – Ermöglicht Prinzipalen das Aufrufen von Lambda-Funktionen, deren Namen mit „Automation“ beginnen. Das ist erforderlich, damit Automation-Runbooks Lambda-Funktionen als Teil ihres Workflows ausführen können.

  • ec2— Ermöglicht Principals, verschiedene EC2 Amazon-Operationen auszuführen, darunter das Erstellen, Kopieren und Abmelden von Images, das Verwalten von Snapshots, das Starten, Ausführen, Stoppen und Beenden von Instances, das Verwalten des Instance-Status sowie das Erstellen, Löschen und Beschreiben von Tags. Diese Berechtigungen ermöglichen es Automation-Runbooks, EC2 Amazon-Ressourcen während der Ausführung zu verwalten.

  • cloudformation— Ermöglicht Prinzipalen das Erstellen, Beschreiben, Aktualisieren und Löschen CloudFormation von Stacks. Auf diese Weise können Automation-Runbooks die Infrastruktur als Code verwalten. CloudFormation

  • ssm – Ermöglicht Prinzipalen die Verwendung aller Systems-Manager-Aktionen. Dieser umfassende Zugriff ist erforderlich, damit Automation-Runbooks mit allen Systems-Manager-Funktionen interagieren können.

  • sns – Ermöglicht Prinzipalen, Nachrichten zu Amazon-SNS-Themen zu veröffentlichen, deren Namen mit „Automation“ beginnen. Dadurch können Automation-Runbooks während der Ausführung Benachrichtigungen senden.

  • ssmmessages – Ermöglicht Prinzipalen das Öffnen von Datenkanälen für Systems-Manager-Sitzungen. Auf diese Weise können Automation-Runbooks Kommunikationskanäle für sitzungsbasierte Vorgänge einrichten.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter Amazon SSMAutomation Role im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: Amazon SSMRead OnlyAccess

Sie können die AmazonSSMReadOnlyAccess-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt schreibgeschützten Zugriff auf AWS Systems Manager API-OperationenDescribe*, einschließlichGet*, und. List*

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter Amazon SSMRead OnlyAccess im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AWSSystems ManagerOpsDataSyncServiceRolePolicy

Sie können AWSSystemsManagerOpsDataSyncServiceRolePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die Systems Manager die Durchführung von Aktionen in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter Verwenden von Rollen zum Erstellen von OpsData und OpsItems für Explorer.

AWSSystemsManagerOpsDataSyncServiceRolePolicyermöglicht der AWSServiceRoleForSystemsManagerOpsDataSync serviceverknüpften Rolle das Erstellen und Aktualisieren von Ergebnissen OpsItems sowie das Verwenden OpsData von AWS Security Hub Ergebnissen.

Die Richtlinie erlaubt es Systems Manager, die folgenden Aktionen für alle damit verbundenen Ressourcen ("Resource": "*") auszuführen, außer wenn dies angegeben ist:

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

[1] Die Aktionen ssm:GetOpsItem und ssm:UpdateOpsItem sind nur mit der folgenden Bedingung für den Systems Manager-Service zulässig.

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] Die Aktion ssm:AddTagsToResource ist nur für die folgende Ressource zulässig.

arn:aws:ssm:*:*:opsitem/*

[3] Die Aktionen ssm:UpdateServiceSetting und ssm:GetServiceSetting sind nur für die folgenden Ressourcen zulässig.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] Die securityhub:BatchUpdateFindings werden die Berechtigungen durch die folgende Bedingung nur für den Systems Manager-Dienst verweigert.

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSSystemsManagerOpsDataSyncServiceRolePolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: Amazon SSMManaged EC2 InstanceDefaultPolicy

Sie sollten nur IAM-Rollen für EC2 Amazon-Instances anhängenAmazonSSMManagedEC2InstanceDefaultPolicy, für die Sie die Berechtigung zur Nutzung von Systems Manager Funktionen benötigen. Sie sollten diese Rolle nicht anderen IAM-Entitäten wie IAM-Benutzern und IAM-Gruppen oder IAM-Rollen zuordnen, die anderen Zwecken dienen. Weitere Informationen finden Sie unter Automatisches Verwalten von EC2 Instanzen mit der Standard-Host-Management-Konfiguration.

Diese Richtlinie gewährt Ihrer EC2 Amazon-Instance Berechtigungen, mit dem Systems Manager Manager-Service in der Cloud zu kommunizieren, um eine Vielzahl von Aufgaben auszuführen. SSM Agent Sie gewährt auch Berechtigungen für die beiden Services, die Autorisierungstoken bereitstellen, um sicherzustellen, dass Operationen auf der richtigen Instance ausgeführt werden.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen das Abrufen von Dokumenten, das Ausführen von Befehlen mit Run Command, das Einrichten von Sitzungen mit Session Manager, das Erfassen einer Bestandsaufnahme der Instance und das Scannen nach Patches und Patch-Compliance mit Patch Manager.

  • ssmmessages – Ermöglicht Prinzipalen, für jede Instance auf ein personalisiertes Autorisierungstoken zuzugreifen, das vom Amazon Message Gateway Service erstellt wurde. Systems Manager validiert das personalisierte Autorisierungs-Token anhand des Amazon-Ressourcennamens (ARN) der Instance, der in des API-Vorgangs angegeben wurde. Dieser Zugriff ist erforderlich, um sicherzustellen, dass SSM Agent die API-Vorgänge auf der richtigen Instance ausführt.

  • ec2messages – Ermöglicht Prinzipalen, für jede Instance auf ein personalisiertes Autorisierungstoken zuzugreifen, das vom Amazon Message Delivery Service erstellt wurde. Systems Manager validiert das personalisierte Autorisierungs-Token anhand des Amazon-Ressourcennamens (ARN) der Instance, der in des API-Vorgangs angegeben wurde. Dieser Zugriff ist erforderlich, um sicherzustellen, dass SSM Agent die API-Vorgänge auf der richtigen Instance ausführt.

Weiterführende Informationen zu den ssmmessages- und ec2messages-Endpunkten einschließlich der Unterschiede zwischen den beiden, finden Sie unter API-Vorgänge (ssmmessages- und ec2messages-Endpunkte) im Zusammenhang mit Agenten.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter Amazon SSMManaged EC2 InstanceDefaultPolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: SSMQuick SetupRolePolicy

Sie können keine Verbindungen SSMQuick SetupRolePolicy zu Ihren IAM-Entitäten herstellen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die Systems Manager die Durchführung von Aktionen in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter Verwenden von Rollen zur Erhaltung des Zustands und der Konsistenz der von Quick Setup bereitgestellten Ressourcen.

Diese Richtlinie gewährt schreibgeschützte Berechtigungen, die es Systems Manager ermöglichen, den Zustand der Konfiguration zu überprüfen, die konsistente Verwendung von Parametern und bereitgestellten Ressourcen sicherzustellen und Ressourcen zu korrigieren, wenn Abweichungen festgestellt werden. Sie gewährt auch administrative Berechtigungen zum Erstellen einer serviceverknüpften Rolle.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen das Lesen von Informationen zu Resource Data Syncs und SSM-Dokumenten im Systems Manager, einschließlich in delegierten Administratorkonten. Dies ist erforderlich, sodass Quick Setup den Status bestimmen kann, in dem sich die konfigurierten Ressourcen befinden sollen.

  • organizations – Ermöglicht Prinzipalen das Lesen von Informationen über die Mitgliedskonten, die zu einer Organisation gehören, wie sie unter konfiguriert ist. AWS Organizations Dies ist erforderlich, sodass Quick Setup alle Konten in einer Organisation identifizieren kann, in der Ressourcenzustandsprüfungen durchgeführt werden sollen.

  • cloudformation— Ermöglicht Prinzipalen das Lesen von Informationen von. CloudFormation Dies ist erforderlich, um Daten über die CloudFormation Stacks zu sammeln, die zur Verwaltung des Ressourcenstatus und der CloudFormation Stackset-Operationen verwendet werden. Quick Setup

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter SSMQuickSetupRolePolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick SetupDeploymentRolePolicy

Die verwaltete Richtlinie AWSQuickSetupDeploymentRolePolicy unterstützt mehrere Quick Setup-Konfigurationstypen. Diese Konfigurationstypen erstellen IAM-Rollen und -Automatisierungen, die wiederum häufig verwendete Amazon-Web-Services-Services und -Funktionen mit empfohlenen bewährten Methoden konfigurieren.

Sie können AWSQuickSetupDeploymentRolePolicy an Ihre IAM-Entitäten anhängen.

Diese Richtlinie gewährt Administratorberechtigungen, die zum Erstellen von Ressourcen für die folgenden Quick Setup-Konfigurationen erforderlich sind:

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm— Ermöglicht es Prinzipalen, SSM-Dokumente zu lesen, zu erstellen, zu aktualisieren und zu löschen, deren Namen mit „AWSQuickSetup-“ oder „AWSOperationsPack-“ beginnen, wenn sie über aufgerufen werden CloudFormation; bestimmte AWS eigene Dokumente wie "AWSQuickSetupType-ManageInstanceProfile„zu lesen; Verknüpfungen für Dokumente und AWS eigene Quick Setup Dokumente zu erstellen, zu aktualisieren und zu löschen, wenn sie über aufgerufen werden CloudFormation; und ältere Ressourcen zu bereinigen, die mit gekennzeichnet sind. QuickSetupID Dies ermöglicht Quick Setup die Bereitstellung und Verwaltung von Automatisierungsworkflows und -zuordnungen.

  • cloudformation— Ermöglicht Prinzipalen, Informationen über CloudFormation Stacks und Stack-Sets zu lesen und CloudFormation Stacks zu erstellen, zu aktualisieren und zu löschen und Sets für Ressourcen zu ändern, deren Namen mit "StackSet-AWS- -“ beginnen. QuickSetup Dies ermöglicht Quick Setup die Verwaltung von Infrastrukturbereitstellungen über Konten und Regionen hinweg.

  • config— Ermöglicht Principals, Informationen über AWS Config Conformance Packs und deren Status zu lesen und Conformance Packs zu erstellen und zu löschen, deren Namen mit „AWS- QuickSetup -“ beginnen, wenn sie über aufgerufen werden. CloudFormation Dies ermöglicht Quick Setup die Implementierung von Konfigurationen zur Compliance-Überwachung.

  • events— Ermöglicht Prinzipalen die Verwaltung von EventBridge Regeln und Zielen für Ressourcen, deren Namen "-“ enthalten. QuickSetup Dies ermöglicht Quick Setup die Erstellung von geplanten Automatisierungsworkflows.

  • iam— Ermöglicht es Prinzipalen, serviceverknüpfte Rollen für AWS Config und Systems Manager zu erstellen, zu verwalten und zu löschen, deren Namen mit „AWS-“ oder "AWSOperationsPack QuickSetup -“ beginnen, wenn sie über aufgerufen werden CloudFormation; diese Rollen an Systems Manager und EventBridge Services weiterzugeben; diesen Rollen spezifische AWS verwaltete Richtlinien zuzuordnen; und Berechtigungsgrenzen mithilfe bestimmter Quick Setup verwalteter Richtlinien festzulegen. Auf diese Weise kann Quick Setup die für den Betrieb erforderlichen Servicerollen erstellen.

  • resource-groups – Ermöglicht Prinzipalen das Abrufen von Ressourcengruppenabfragen. Dies ermöglicht Quick Setup die gezielte Nutzung bestimmter Ressourcensätze für das Konfigurationsmanagement.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupDeploymentRolePolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick SetupPatchPolicyDeploymentRolePolicy

Die verwaltete Richtlinie AWSQuickSetupPatchPolicyDeploymentRolePolicy unterstützt den Typ Das Patchen für Instances in einer Organisation mithilfe einer Patch-Richtlinie für Quick Setup konfigurieren Quick Setup. Dieser Konfigurationstyp hilft dabei, das Patchen von Anwendungen und Knoten in einem einzigen Konto oder in Ihrem gesamten Organisation zu automatisieren.

Sie können AWSQuickSetupPatchPolicyDeploymentRolePolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Diese Richtlinie erteilt Administratorberechtigungen, die es Quick Setup ermöglichen, Ressourcen zu erstellen, die mit einer Patch-Richtlinienkonfiguration verknüpft sind.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam – Ermöglicht Prinzipalen das Verwalten und Löschen von IAM-Rollen, die für Automation-Konfigurationsaufgaben erforderlich sind, sowie das Verwalten von Automation-Rollenrichtlinien.

  • cloudformation— Ermöglicht Prinzipalen das Lesen von CloudFormation Stack-Informationen und das Steuern von CloudFormation Stacks, die Quick Setup mithilfe von CloudFormation Stack-Sets erstellt wurden.

  • ssm – Ermöglicht Prinzipalen das Erstellen, Aktualisieren, Lesen und Löschen von Automation-Runbooks, die für Konfigurationsaufgaben erforderlich sind, sowie das Erstellen, Aktualisieren und Löschen von State Manager-Verknüpfungen.

  • resource-groups – Ermöglicht Prinzipalen das Abrufen von Ressourcenabfragen, die mit Ressourcengruppen verknüpft sind, auf die Quick Setup-Konfigurationen abzielen.

  • s3 – Ermöglicht Prinzipalen, Amazon-S3-Buckets aufzulisten und die Buckets zum Speichern von Zugriffsprotokollen für Patch-Richtlinien zu verwalten.

  • lambda— Ermöglicht es den Prinzipalen, AWS Lambda Korrekturfunktionen zu verwalten, die dafür sorgen, dass die Konfigurationen im richtigen Zustand bleiben.

  • logs – Ermöglicht Prinzipalen, Protokollgruppen für Lambda-Konfigurationsressourcen zu beschreiben und zu verwalten.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupPatchPolicyDeploymentRolePolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick SetupPatchPolicyBaselineAccess

Die verwaltete Richtlinie AWSQuickSetupPatchPolicyBaselineAccess unterstützt den Typ Das Patchen für Instances in einer Organisation mithilfe einer Patch-Richtlinie für Quick Setup konfigurieren Quick Setup. Dieser Konfigurationstyp hilft dabei, das Patchen von Anwendungen und Knoten in einem einzigen Konto oder in Ihrem gesamten Organisation zu automatisieren.

Sie können AWSQuickSetupPatchPolicyBaselineAccess zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Diese Richtlinie gewährt nur Leseberechtigungen für den Zugriff auf Patch-Baselines, die von einem Administrator in der aktuellen AWS-Konto Version oder in der Organisation konfiguriert wurden, die sie verwendet. Quick Setup Die Patch-Baselines werden in einem Amazon-S3-Bucket gespeichert und können für das Patchen von Instances in einem einzelnen Konto oder in einer gesamten Organisation verwendet werden.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgende Berechtigung.

  • s3 – Ermöglicht Prinzipalen das Lesen von Patch-Baseline Overrides, die in Amazon-S3-Buckets gespeichert sind.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupPatchPolicyBaselineAccess im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSystemsManagerEnableExplorerExecutionPolicy

Die verwaltete Richtlinie AWSSystemsManagerEnableExplorerExecutionPolicy unterstützt die AktivierungExplorer, ein Tool in AWS Systems Manager.

Sie können AWSSystemsManagerEnableExplorerExecutionPolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Diese Richtlinie gewährt administrative Berechtigungen für die Aktivierung von Explorer. Dazu gehören Berechtigungen zum Aktualisieren der zugehörigen Systems Manager-Serviceeinstellungen und zum Erstellen einer servicebezogenen Rolle für Systems Manager.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • config – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.

  • iam – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen.

  • ssm – Ermöglicht Prinzipalen, einen Automation-Workflow zu starten, der Explorer aktiviert.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSSystemsManagerEnableExplorerExecutionPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

Die verwaltete Richtlinie AWSSystemsManagerEnableConfigRecordingExecutionPolicy unterstützt den Konfigurationstypen Erstellen Sie einen AWS Config-Konfigurationsrekorder mit Quick Setup Quick Setup. Dieser Konfigurationstyp ermöglicht Quick Setup das Nachverfolgen und Aufzeichnen von Änderungen an den AWS Ressourcentypen, für die Sie sich entscheiden AWS Config. Darüber hinaus kann Quick Setup die Übermittlungs- und Benachrichtigungsoptionen für die aufgezeichneten Daten konfigurieren.

Sie können AWSSystemsManagerEnableConfigRecordingExecutionPolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Diese Richtlinie gewährt Administratorberechtigungen, mit denen Sie Quick Setup die AWS Config Konfigurationsaufzeichnung aktivieren und konfigurieren können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • s3 – Ermöglicht Prinzipalen das Erstellen und Konfigurieren von Amazon-S3-Buckets für die Bereitstellung von Konfigurationsaufzeichnungen.

  • sns – Ermöglicht Prinzipalen das Auflisten und Erstellen von Amazon-SNS-Themen.

  • config – Ermöglicht Prinzipalen, den Konfigurationsrekorder zu konfigurieren und zu starten und bei der Aktivierung von Explorer zu helfen.

  • iam— Ermöglicht es Prinzipalen, eine dienstbezogene Rolle für Systems Manager zu erstellen, abzurufen und zu übergeben AWS Config, eine dienstbezogene Rolle für Systems Manager zu erstellen und bei der Aktivierung zu helfen. Explorer

  • ssm – Ermöglicht Prinzipalen, einen Automation-Workflow zu starten, der Explorer aktiviert.

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

  • support – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff gewähren, um festzustellen, ob eine Ressource mit AWS Compute Optimizer registriert ist.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSSystemsManagerEnableConfigRecordingExecutionPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick SetupDevOpsGuruPermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.

Die verwaltete Richtlinie AWSQuickSetupDevOpsGuruPermissionsBoundary unterstützt den Typ DevOps-Guru einrichten mit Quick Setup. Der Konfigurationstyp aktiviert den auf maschinellem Lernen basierenden Amazon Guru. DevOps Der DevOps Guru-Service kann dazu beitragen, die Betriebsleistung und Verfügbarkeit einer Anwendung zu verbessern.

Wenn Sie eine AWSQuickSetupDevOpsGuruPermissionsBoundary-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.

Diese Richtlinie gewährt Administratorberechtigungen, die es ermöglichen, Amazon DevOps Guru Quick Setup zu aktivieren und zu konfigurieren.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Principals, dienstbezogene Rollen für DevOps Guru und Systems Manager zu erstellen und Rollen aufzulisten, die bei der Aktivierung helfen. Explorer

  • cloudformation – Ermöglicht Prinzipalen das Auflisten und Beschreiben von CloudFormation -Stacks.

  • sns – Ermöglicht Prinzipalen das Auflisten und Erstellen von Amazon-SNS-Themen.

  • devops-guru— Ermöglicht Prinzipalen, DevOps Guru zu konfigurieren und einen Benachrichtigungskanal hinzuzufügen.

  • config – – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.

  • ssm – Ermöglicht Prinzipalen, einen Automation-Workflow zu starten, der Explorer, aktiviert, sowie Explorer-Serviceeinstellungen zu lesen und zu aktualisieren.

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

  • support – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff gewähren, um festzustellen, ob eine Ressource mit AWS Compute Optimizer registriert ist.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupDevOpsGuruPermissionsBoundary im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick SetupDistributorPermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.

Die verwaltete Richtlinie AWSQuickSetupDistributorPermissionsBoundary unterstützt den Konfigurationstypen Bereitstellen von Distributor-Paketen mit Quick Setup Quick Setup. Der Konfigurationstyp ermöglicht die Verteilung von Softwarepaketen, z. B. Agenten, an Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Instances mithilfe von Distributor, einem Tool in AWS Systems Manager.

Wenn Sie eine AWSQuickSetupDistributorPermissionsBoundary-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.

Diese Richtlinie gewährt Administratorberechtigungen, die die Verteilung von Softwarepaketen, z. B. Agenten, an Ihre EC2 Amazon-Instances mithilfe von Distributor ermöglichenQuick Setup.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Principals das Abrufen und Weitergeben der Vertriebsautomatisierungsrolle; das Erstellen, Lesen, Aktualisieren und Löschen der Standard-Instance-Rolle; das Übergeben der Standard-Instance-Rolle an Amazon EC2 und Systems Manager; das Anhängen von Instance-Management-Richtlinien an Instance-Rollen; das Erstellen einer serviceverknüpften Rolle für Systems Manager; das Hinzufügen der Standard-Instance-Rolle zu Instance-Profilen; das Lesen von Informationen über IAM-Rollen und Instance-Profile; und das Erstellen des Standard-Instance-Profils.

  • ec2— Ermöglicht Principals, das Standard-Instanzprofil EC2 Instanzen zuzuordnen und bei der Aktivierung zu helfenExplorer.

  • ssm – Ermöglicht Prinzipalen, Automatisierungs-Workflows zu starten, die Instances konfigurieren und Pakete installieren, sowie den Automatisierungs-Workflow zu starten, der Explorer aktiviert, und Explorer-Serviceeinstellungen zu lesen und zu aktualisieren.

  • config – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

  • support – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff gewähren, um festzustellen, ob eine Ressource mit AWS Compute Optimizer registriert ist.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupDistributorPermissionsBoundary im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: Einrichtung AWSQuick SSMHost MgmtPermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.

Die verwaltete Richtlinie AWSQuickSetupSSMHostMgmtPermissionsBoundary unterstützt den Konfigurationstypen Amazon-EC2-Host-Verwaltung mit Quick Setup einrichten Quick Setup. Dieser Konfigurationstyp konfiguriert IAM-Rollen und ermöglicht häufig verwendete Systems Manager Manager-Tools zur sicheren Verwaltung Ihrer EC2 Amazon-Instances.

Wenn Sie eine AWSQuickSetupSSMHostMgmtPermissionsBoundary-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.

Diese Richtlinie gewährt Administratorberechtigungen, mit denen Quick Setup die Systems Manager Manager-Tools aktiviert und konfiguriert werden können, die für die sichere Verwaltung von EC2 Instanzen erforderlich sind.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam – Ermöglicht Prinzipalen das Abrufen und Übergeben der Servicerolle an Automation. Ermöglicht Principals, die Standard-Instance-Rolle zu erstellen, zu lesen, zu aktualisieren und zu löschen, die Standard-Instance-Rolle an Amazon EC2 und Systems Manager zu übergeben, Instance-Management-Richtlinien an Instance-Rollen anzuhängen, eine serviceverknüpfte Rolle für Systems Manager zu erstellen, die Standard-Instance-Rolle zu Instance-Profilen hinzuzufügen, Informationen über IAM-Rollen und Instance-Profile zu lesen und das Standard-Instance-Profil zu erstellen.

  • ec2— Ermöglicht Principals, das Standard-Instance-Profil Instances zuzuordnen und zu trennen. EC2

  • ssm – Ermöglicht Prinzipalen, Automation-Workflows zu starten, die Explorer aktivieren, Explorer-Serviceeinstellungen zu lesen und zu aktualisieren, Instances zu konfigurieren und Systems-Manager-Tools in Instances zu aktivieren.

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

  • support – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff gewähren, um festzustellen, ob eine Ressource mit AWS Compute Optimizer registriert ist.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetup SSMHost MgmtPermissionsBoundary im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick SetupPatchPolicyPermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.

Die verwaltete Richtlinie AWSQuickSetupPatchPolicyPermissionsBoundary unterstützt den Typ Das Patchen für Instances in einer Organisation mithilfe einer Patch-Richtlinie für Quick Setup konfigurieren Quick Setup. Dieser Konfigurationstyp hilft dabei, das Patchen von Anwendungen und Knoten in einem einzigen Konto oder in Ihrem gesamten Organisation zu automatisieren.

Wenn Sie eine AWSQuickSetupPatchPolicyPermissionsBoundary-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.

Diese Richtlinie erteilt Administratorberechtigungen, die es Quick Setup ermöglichen, Patch-Richtlinien in Patch Manager zu aktivieren und zu konfigurieren, einem Tool in AWS Systems Manager.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Principals, die Patch Manager Automatisierungsrolle zu erhalten, Automatisierungsrollen an Patch Manager Patching-Operationen weiterzugeben, die Standard-Instance-Rolle zu erstellenAmazonSSMRoleForInstancesQuickSetup, die Standard-Instance-Rolle an Amazon EC2 und Systems Manager zu übergeben, ausgewählte AWS verwaltete Richtlinien an die Instance-Rolle anzuhängen, eine serviceverknüpfte Rolle für Systems Manager zu erstellen, die Standard-Instance-Rolle zu Instance-Profilen hinzuzufügen, Informationen über Instance-Profile und Rollen zu lesen, ein Standard-Instance-Profil zu erstellen und Rollen zu taggen, die über Berechtigungen verfügen liest Patch-Baseline-Overrides.

  • ssm – Ermöglicht Prinzipalen, die Instance-Rolle zu aktualisieren (diese wird von Systems Manager verwaltet), Zuordnungen zu verwalten, die durch die in Quick Setup erstellten Patch Manager-Patch-Richtlinien erstellt wurden, Instances zu markieren, auf die eine Patch-Richtlinienkonfiguration abzielt, Informationen über Instances und den Patching-Status zu lesen, Automation-Workflows zu starten, die Instance-Patching konfigurieren, aktivieren und korrigieren, Automatisierungsworkflows zu starten, die Explorer aktivieren, bei der Aktivierung von Explorer zu helfen sowie Explorer-Serviceeinstellungen zu lesen und zu aktualisieren.

  • ec2— Ermöglicht es Principals, das Standard-Instanzprofil Instanzen zuzuordnen und zu trennen, EC2 Instances zu taggen, auf die eine Patch-Policy-Konfiguration abzielt, Instances zu taggen, auf die sich eine Patch-Policy-Konfiguration bezieht, und bei der Aktivierung zu helfen. Explorer

  • s3 – Ermöglicht Prinzipalen die Erstellung und Konfiguration von S3-Buckets zum Speichern von Patch-Baseline-Overrides.

  • lambda— Ermöglicht Prinzipalen das Aufrufen von AWS Lambda Funktionen zur Konfiguration von Patches und das Ausführen von Bereinigungsvorgängen, nachdem eine Quick Setup Patch-Policy-Konfiguration gelöscht wurde.

  • logs— Ermöglicht es den Prinzipalen, die Protokollierung für Funktionen zu konfigurieren. Patch Manager Quick Setup AWS Lambda

  • config – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist. AWS Compute Optimizer

  • support – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff gewähren, um festzustellen, ob eine Ressource mit AWS Compute Optimizer registriert ist.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupPatchPolicyPermissionsBoundary im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick SetupSchedulerPermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.

Die verwaltete Richtlinie AWSQuickSetupSchedulerPermissionsBoundary unterstützt den Konfigurationstypen Automatisches Stoppen und Starten von EC2-Instances nach einem Zeitplan mit Quick Setup Quick Setup. Mit diesem Konfigurationstyp können Sie Ihre EC2 Instances und andere Ressourcen zu den von Ihnen angegebenen Zeiten beenden und starten.

Wenn Sie eine AWSQuickSetupSchedulerPermissionsBoundary-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.

Diese Richtlinie gewährt Administratorberechtigungen, die es Quick Setup ermöglichen, geplante Operationen auf EC2 Instanzen und anderen Ressourcen zu aktivieren und zu konfigurieren.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Principals das Abrufen und Übergeben von Rollen für Automatisierungsaktionen der Instanzverwaltung, das Verwalten, Weitergeben und Anhängen von Standard-Instanzrollen für das EC2 Instanzmanagement, das Erstellen von Standard-Instanzprofilen, das Hinzufügen von Standard-Instanzrollen zu Instanzprofilen, das Erstellen einer serviceverknüpften Rolle fürSystems Manager, das Lesen von Informationen über IAM-Rollen und Instanzprofile, das Zuordnen eines Standard-Instanzprofils zu EC2 Instances und das Starten von Automatisierungs-Workflows zur Konfiguration von Instanzen und zum Aktivieren von Systems Manager Tools für diese.

  • ssm – Ermöglicht Prinzipalen, Automation-Workflows zu starten, die Explorer aktivieren, sowie Explorer-Serviceeinstellungen zu lesen und zu aktualisieren.

  • ec2 – Ermöglicht Prinzipalen, gezielte Instances zu lokalisieren und sie nach einem Zeitplan zu starten und zu beenden.

  • config – Ermöglicht Prinzipalen, bei der Aktivierung von Explorer zu helfen, indem sie schreibgeschützten Zugriff auf die Details des Konfigurationsrekorders gewähren.

  • compute-optimizer— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff gewähren, um festzustellen, ob eine Ressource registriert ist AWS Compute Optimizer.

  • support— Ermöglicht es den Prinzipalen, bei der Aktivierung zu helfen, Explorer indem sie nur Lesezugriff auf Schecks für ein Konto gewähren. AWS Trusted Advisor

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupSchedulerPermissionsBoundary im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: Einrichtung AWSQuick CFGCPacks PermissionsBoundary

Anmerkung

Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten Richtlinien für Quick Setup-Berechtigungsgrenzen nicht eigenständig verwenden und anhängen. Quick Setup Richtlinien für Berechtigungsgrenzen sollten nur von Quick Setup verwalteten Rollen zugewiesen werden. Weitere Informationen über Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.

Die verwaltete Richtlinie AWSQuickSetupCFGCPacksPermissionsBoundary unterstützt den Konfigurationstypen Stellen Sie das AWS Config Conformance Pack bereit mit Quick Setup Quick Setup. Dieser Konfigurationstyp stellt AWS Config Conformance Packs bereit. Conformance Packs sind Sammlungen von AWS Config Regeln und Behebungsmaßnahmen, die als eine Einheit bereitgestellt werden können.

Wenn Sie eine AWSQuickSetupCFGCPacksPermissionsBoundary-Konfiguration mit Quick Setup erstellen, wendet das System diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Bereitstellung der Konfiguration erstellt werden. Die Berechtigungsgrenze beschränkt den Geltungsbereich der Rollen, die Quick Setup erstellt werden.

Diese Richtlinie erteilt Administratorberechtigungen, die es Quick Setup ermöglichen, Konformitätspakete AWS Config bereitzustellen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Prinzipalen das Erstellen, Abrufen und Weitergeben einer dienstbezogenen Rolle für. AWS Config

  • sns – Ermöglicht Prinzipalen das Auflisten von Plattformanwendungen in Amazon SNS.

  • config— Ermöglicht Principals die Bereitstellung von AWS Config Conformance Packs, das Abrufen des Status von Conformance Packs und das Abrufen von Informationen zu Konfigurationsrekordern.

  • ssm – Ermöglicht Prinzipalen das Abrufen von Informationen über SSM-Dokumente und Automation-Workflows, das Abrufen von Informationen über Ressourcen-Tags und das Abrufen von Informationen über Serviceeinstellungen und deren Aktualisierung.

  • compute-optimizer – Ermöglicht Prinzipalen das Abrufen des Opt-in-Status eines Accounts.

  • support – Ermöglicht Prinzipalen das Abrufen von Informationen über AWS Trusted Advisor -Prüfungen.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetup CFGCPacks PermissionsBoundary im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick SetupStartStopInstancesExecutionPolicy

Sie können AWSQuickSetupStartStopInstancesExecutionPolicy an Ihre IAM-Entitäten anhängen. Diese Richtlinie bietet Berechtigungen für Quick Setup die Verwaltung des Starts und Stoppens von EC2 Amazon-Instances mithilfe der Systems Manager Manager-Automatisierung.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ec2— Ermöglicht Principals, EC2 Amazon-Instances, ihren Status, ihre Regionen und Tags zu beschreiben. Ermöglicht auch das Starten und Stoppen bestimmter EC2 Amazon-Instances.

  • ssm— Ermöglicht es Prinzipalen, den Kalenderstatus aus Quick Setup Änderungskalendern abzurufen, Verknüpfungen zu starten und Automatisierungsdokumente für die Instanzplanung auszuführen.

  • iam— Ermöglicht Principals, Quick Setup IAM-Rollen zur automatisierten Ausführung an Systems Manager zu übergeben, mit Bedingungen, die den Service auf ssm.amazonaws.com und bestimmte Ressourcen beschränken. ARNs

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupStartStopInstancesExecutionPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick SetupStart SSMAssociations ExecutionPolicy

Diese Richtlinie gewährt Quick Setup Berechtigungen, mit denen das AWSQuickSetupType-Scheduler-ChangeCalendarState-Automation-Runbook ausgeführt werden kann. Dieses Runbook wird zur Verwaltung von Änderungskalenderstatus für geplante Operationen in Quick Setup Konfigurationen verwendet.

Sie können AWSQuickSetupStartSSMAssociationsExecutionPolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen, Automatisierungsausführungen speziell für das AWSQuickSetupType-Scheduler-ChangeCalendarState-Dokument zu starten. Dies ist erforderlichQuick Setup, um den Status des Änderungskalenders für geplante Operationen zu verwalten.

  • iam— Ermöglicht Prinzipalen, Rollen, deren Namen mit „AWS- QuickSetup -“ beginnen, an den Systems Manager Manager-Service zu übergeben. Diese Berechtigung ist auf die Verwendung mit bestimmten SSM-Dokumenten beschränkt, die sich auf die Verwaltung von Änderungskalendern beziehen. Dies ist erforderlich für Quick Setup, um die entsprechende Ausführungsrolle an den Automatisierungsprozess zu übergeben.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupStartSSMAssociationsExecutionPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy

Die Richtlinie AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy bietet Berechtigungen für die Diagnose von Problemen mit Knoten, die mit Systems-Manager-Services interagieren, indem Automation-Workflows in Konten und Regionen gestartet werden, in denen Knoten verwaltet werden.

Sie können AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Systems Manager Diagnosen in Ihrem Namen ausführen kann.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen das Ausführen von Automation-Runbooks, die Knotenprobleme diagnostizieren, auf den Ausführungsstatus eines Workflows zugreifen und Details zur Automation-Ausführung abrufen. Die Richtlinie gewährt Berechtigungen zur Beschreibung von Automatisierungsausführungen, zur Beschreibung von Ausführungen von Automatisierungsschritten, zum Abrufen von Details zur Automatisierungsausführung und zum Starten von Automatisierungsausführungen für Dokumente im Zusammenhang mit der Diagnose.

  • kms – Ermöglicht Prinzipalen die Verwendung von kundenspezifischen AWS Key Management Service -Schlüsseln für die Entschlüsselung und Datenschlüsselgenerierung beim Zugriff auf verschlüsselte Objekte in Amazon-S3-Buckets, die für Diagnosevorgänge verwendet werden. Diese Berechtigungen sind auf Schlüssel beschränkt, die mit SystemsManagerManaged gekennzeichnet sind und mit dem Amazon-S3-Service verwendet werden, mit spezifischen Anforderungen an den Verschlüsselungskontext.

  • sts – Ermöglicht Prinzipalen, Rollen zur Ausführung von Diagnosen zu übernehmen, um Automation-Runbooks im selben Konto auszuführen. Diese Berechtigung ist auf Rollen mit dem AWS-SSM-DiagnosisExecutionRole-Benennungsmuster beschränkt und beinhaltet eine Bedingung, die sicherstellt, dass das Ressourcenkonto mit dem Prinzipalkonto übereinstimmt.

  • iam – Ermöglicht Prinzipalen, die Verwaltungsrolle der Diagnose an Systems Manager zur Ausführung von Automation-Runbooks zu übergeben. Diese Berechtigung ist auf Rollen mit dem AWS-SSM-DiagnosisAdminRole-Benennungsmuster beschränkt und kann nur an den Systems-Manager-Service weitergegeben werden.

  • s3 – Ermöglicht Prinzipalen, auf Objekte in Amazon-S3-Buckets, die für Diagnosevorgänge verwendet werden, zuzugreifen, diese zu lesen, zu schreiben und zu löschen. Diese Berechtigungen sind auf Buckets mit dem do-not-delete-ssm-diagnosis--Benennungsmuster beschränkt und beinhalten Bedingungen, um sicherzustellen, dass Vorgänge innerhalb desselben Kontos ausgeführt werden.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWS-SSM- DiagnosisAutomation — AdministrationRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy

Die verwaltete Richtlinie AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy gewährt Administratorberechtigungen für die Ausführung von Automations-Runbooks in einer Zielregion AWS-Konto und Region, um Probleme mit verwalteten Knoten zu diagnostizieren, die mit Systems-Manager-Services interagieren.

Sie können AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ec2— Ermöglicht es Principals, Amazon EC2 - und Amazon VPC-Ressourcen und deren Konfigurationen zu beschreiben, um Probleme mit Systems Manager Diensten zu diagnostizieren. Dazu gehören Berechtigungen zur Beschreibung VPCs von VPC-Attributen, VPC-Endpunkten, Subnetzen, Sicherheitsgruppen, Instanzen und Internet-Gateways.

  • ssm – Ermöglicht Prinzipalen, diagnosespezifische Automation-Runbooks auszuführen und auf den Status und die Ausführungsmetadaten des Automation-Workflows zuzugreifen. Dazu gehören Berechtigungen zur Beschreibung von Automatisierungsschrittausführungen, zur Beschreibung von Instanzinformationen, zur Beschreibung von Automatisierungsausführungen, zum Abrufen von Details zur Automatisierungsausführung und zum Starten von Automatisierungsausführungen für bestimmte nicht verwaltete Diagnosedokumente. AWS EC2

  • kms – Ermöglicht Prinzipalen die Verwendung von kundenspezifischen AWS Key Management Service -Schlüsseln für die Entschlüsselung und Datenschlüsselgenerierung beim Zugriff auf verschlüsselte Objekte in Amazon-S3-Buckets, die für Diagnosevorgänge verwendet werden. Diese Berechtigungen sind auf Schlüssel beschränkt, die mit SystemsManagerManaged gekennzeichnet sind und mit dem Amazon-S3-Service verwendet werden, mit spezifischen Anforderungen an den Verschlüsselungskontext für Diagnosebuckets.

  • iam – Ermöglicht Prinzipalen, die Ausführungsrolle für die Diagnose an Systems Manager zur Ausführung von Automation-Dokumenten zu übergeben. Diese Berechtigung ist auf Rollen mit dem AWS-SSM-DiagnosisExecutionRole-Benennungsmuster beschränkt und kann nur an den Systems-Manager-Service weitergegeben werden.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWS-SSM- DiagnosisAutomation — ExecutionRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWS-SSM-RemediationAutomation-AdministrationRolePolicy

Die Richtlinie AWS-SSM-RemediationAutomation-AdministrationRolePolicy bietet Berechtigungen zur Behebung von Problemen mit Systems-Manager-Services durch Ausführung von Aktivitäten, die in Automatisierungsdokumenten definiert sind und hauptsächlich für die Ausführung der Automatisierungsdokumente verwendet werden. Diese Richtlinie ermöglicht das Starten von Automatisierungsworkflows in Konten und Regionen, in denen Knoten verwaltet werden, um Konnektivitäts- und Konfigurationsprobleme zu beheben.

Sie können AWS-SSM-RemediationAutomation-AdministrationRolePolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Systems Manager Abhilfemaßnahmen in Ihrem Namen ausführen kann.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen das Ausführen von Automation-Runbooks, die Knotenprobleme beheben, auf den Ausführungsstatus eines Workflows zugreifen und Details zur Automation-Ausführung abrufen. Die Richtlinie gewährt Berechtigungen zur Beschreibung von Automatisierungsausführungen, zur Beschreibung von Ausführungen von Automatisierungsschritten, zum Abrufen von Details zur Automatisierungsausführung und zum Starten von Automatisierungsausführungen für Dokumente im Zusammenhang mit der Behebung.

  • kms – Ermöglicht Prinzipalen die Verwendung von kundenspezifischen AWS Key Management Service -Schlüsseln für die Entschlüsselung und Datenschlüsselgenerierung beim Zugriff auf verschlüsselte Objekte in Amazon-S3-Buckets, die für Behebungsvorgänge verwendet werden. Diese Berechtigungen sind auf Schlüssel beschränkt, die mit SystemsManagerManaged gekennzeichnet sind und mit dem Amazon-S3-Service verwendet werden, mit spezifischen Anforderungen an den Verschlüsselungskontext.

  • sts – Ermöglicht Prinzipalen, Rollen zur Ausführung von Behebungen zu übernehmen, um Automation-Runbooks im selben Konto auszuführen. Diese Berechtigung ist auf Rollen mit dem AWS-SSM-RemediationExecutionRole-Benennungsmuster beschränkt und beinhaltet eine Bedingung, die sicherstellt, dass das Ressourcenkonto mit dem Prinzipalkonto übereinstimmt.

  • iam – Ermöglicht Prinzipalen, die Verwaltungsrolle der Behebung an Systems Manager zur Ausführung von Automation-Runbooks zu übergeben. Diese Berechtigung ist auf Rollen mit dem AWS-SSM-RemediationAdminRole-Benennungsmuster beschränkt und kann nur an den Systems-Manager-Service weitergegeben werden.

  • s3 – Ermöglicht Prinzipalen, auf Objekte in Amazon-S3-Buckets, die für Behebungsvorgänge verwendet werden, zuzugreifen, diese zu lesen, zu schreiben und zu löschen. Diese Berechtigungen sind auf Buckets mit dem do-not-delete-ssm-diagnosis--Benennungsmuster beschränkt und beinhalten Bedingungen, um sicherzustellen, dass Vorgänge innerhalb desselben Kontos ausgeführt werden.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWS-SSM- RemediationAutomation — AdministrationRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWS-SSM-RemediationAutomation-ExecutionRolePolicy

Die verwaltete Richtlinie AWS-SSM-RemediationAutomation-ExecutionRolePolicy bietet die Berechtigungen zum Ausführen von Automation-Runbooks in einem bestimmten Zielkonto und einer bestimmten Region, um Netzwerk- und Konnektivitätsprobleme mit verwalteten Knoten zu beheben, die mit Systems-Manager-Services interagieren. Diese Richtlinie ermöglicht Abhilfemaßnahmen, die in Automation-Dokumenten definiert sind und hauptsächlich für die Ausführung der Automation-Dokumente zur Behebung von Konnektivitäts- und Konfigurationsproblemen verwendet werden.

Sie können die -Richtlinie auch Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie einer Servicerolle hinzu, mit der Systems Manager in Ihrem Namen Abhilfemaßnahmen ausführen kann.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen das Abrufen von Informationen über Automation-Ausführungen und deren Schrittausführungen sowie das Starten bestimmter Runbooks für die Automatisierung von Problembehebungen, einschließlich AWS-OrchestrateUnmanagedEC2Actions- und AWS-RemediateSSMAgent-Dokumenten. Die Richtlinie gewährt Berechtigungen zur Beschreibung von Automatisierungsausführungen, zur Beschreibung von Ausführungen von Automatisierungsschritten, zum Abrufen von Details zur Automatisierungsausführung und zum Starten von Automatisierungsausführungen für Dokumente im Zusammenhang mit der Behebung.

  • ec2 – Ermöglicht Prinzipalen, Amazon-VPC-Netzwerkressourcen zu beschreiben und zu modifizieren, um Verbindungsprobleme zu beheben. Dies umfasst:

    • Beschreiben von Amazon-VPC-Attributen, Subnetzen, Amazon-VPC-Endpunkten und Sicherheitsgruppen.

    • Erstellen von Amazon-VPC-Endpunkten für Systems-Manager-Services (ssm, ssmmessages und ec2messages) mit den erforderlichen Tags.

    • Ändern der Amazon-VPC-Attribute, um DNS-Unterstützung und Hostnamen zu aktivieren.

    • Erstellen und Verwalten von Sicherheitsgruppen mit spezifischen Tags für den Zugriff auf Amazon-VPC-Endgeräte.

    • Autorisierung und Widerruf von Sicherheitsgruppenregeln für den HTTPS-Zugriff mit entsprechenden Tags.

    • Erstellen von Tags auf Amazon-VPC-Endpunkten, Sicherheitsgruppen und Sicherheitsgruppenregeln während der Ressourcenerstellung.

  • kms – Ermöglicht Prinzipalen die Verwendung von kundenspezifischen AWS Key Management Service -Schlüsseln für die Entschlüsselung und Datenschlüsselgenerierung beim Zugriff auf verschlüsselte Objekte in Amazon-S3-Buckets, die für Behebungsvorgänge verwendet werden. Diese Berechtigungen sind auf Schlüssel beschränkt, die mit SystemsManagerManaged gekennzeichnet sind und mit dem Amazon-S3-Service verwendet werden, mit spezifischen Anforderungen an den Verschlüsselungskontext.

  • iam – Ermöglicht Prinzipalen, die Ausführungsrolle für die Problembehebung an Systems Manager zu übergeben, um Automation-Runbooks auszuführen. Diese Berechtigung ist auf Rollen mit dem AWS-SSM-RemediationExecutionRole-Benennungsmuster beschränkt und kann nur an den Systems-Manager-Service weitergegeben werden.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWS-SSM- RemediationAutomation — ExecutionRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: Einrichtung AWSQuick SSMManage ResourcesExecutionPolicy

Diese Richtlinie gewährt Quick Setup Berechtigungen, mit denen das AWSQuickSetupType-SSM-SetupResources-Automation-Runbook ausgeführt werden kann. Dieses Runbook erstellt IAM-Rollen für Quick Setup-Zuordnungen, die wiederum durch eine AWSQuickSetupType-SSM-Bereitstellung erstellt werden. Es gewährt auch Berechtigungen zum Bereinigen eines zugehörigen Amazon-S3-Buckets während eines Quick Setup-Löschvorgangs.

Sie können die Richtlinie zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam – Ermöglicht Prinzipalen das Auflisten und Verwalten von IAM-Rollen zur Verwendung mit Quick Setup-Systems-Manager-Explorer-Vorgängen sowie das Anzeigen, Anhängen und Trennen von IAM-Richtlinien für die Verwendung mit Quick Setup und Systems Manager Explorer. Diese Berechtigungen sind erforderlich, damit Quick Setup Rollen erstellen kann, die für einige seiner Konfigurationsvorgänge erforderlich sind.

  • s3 – Ermöglicht Prinzipalen das Abrufen von Informationen über Objekte in Amazon-S3-Buckets und das Löschen von Objekten aus Amazon-S3-Buckets im Prinzipalkonto, die speziell für Quick Setup-Konfigurationsvorgänge verwendet werden. Dies ist erforderlich, damit S3-Objekte, die nach der Konfiguration nicht mehr benötigt werden, entfernt werden können.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetup SSMManage ResourcesExecutionPolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick Einrichtung SSMLifecycle ManagementExecutionPolicy

Die AWSQuickSetupSSMLifecycleManagementExecutionPolicy Richtlinie gewährt Administratorberechtigungen, die es Quick Setup ermöglichen, eine CloudFormation benutzerdefinierte Ressource bei Lebenszyklusereignissen während der Quick Setup Bereitstellung in auszuführenSystems Manager.

Sie können diese Richtlinie zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Systems Manager Korrekturmaßnahmen in Ihrem Namen ausführen kann.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen, Informationen über Automatisierungsausführungen abzurufen und Automatisierungsausführungen für die Einrichtung bestimmter Quick Setup-Operationen zu starten.

  • iam – Ermöglicht Prinzipalen, Rollen von IAM für die Einrichtung bestimmter Quick Setup-Ressourcen zu übergeben.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetup SSMLifecycle ManagementExecutionPolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick Einrichtung SSMDeployment RolePolicy

Die verwaltete Richtlinie AWSQuickSetupSSMDeploymentRolePolicy gewährt Administratorberechtigungen, mit denen Quick Setup-Ressourcen erstellt werden können, die während des Systems-Manager-Onboarding-Prozesses verwendet werden.

Obwohl Sie diese Richtlinie manuell an Ihre IAM-Entitäten anhängen können, wird dies nicht empfohlen. Quick Setup erstellt Entitäten, die diese Richtlinie an eine Servicerolle anhängen, die es Systems Manager ermöglicht, Aktionen in Ihrem Namen auszuführen.

Diese Richtlinie hat nichts mit der SSMQuickSetupRolePolicy-Richtlinie zu tun, die verwendet wird, um Berechtigungen für die servicebezogene Rolle AWSServiceRoleForSSMQuickSetup bereitzustellen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm— Ermöglicht es Prinzipalen, Zuordnungen für bestimmte Ressourcen zu verwalten, die mithilfe von AWS CloudFormation Vorlagen und einem bestimmten Satz von SSM-Dokumenten erstellt wurden, Rollen und Rollenrichtlinien zu verwalten, die zur Diagnose und Behebung verwalteter Knoten mithilfe von CloudFormation Vorlagen verwendet werden, und Richtlinien für Lebenszyklusereignisse anzuhängen und zu löschen Quick Setup

  • iam – Ermöglicht Prinzipalen die Kennzeichnung von Tags und Weitergabe von Rollenberechtigungen für den Systems-Manager-Service und den Lambda-Service sowie die Weitergabe von Rollenberechtigungen für Diagnosevorgänge.

  • lambda— Ermöglicht es Prinzipalen, Funktionen für den Quick Setup Lebenszyklus im Hauptkonto mithilfe von Vorlagen zu kennzeichnen und zu verwalten. CloudFormation

  • cloudformation— Ermöglicht es Prinzipalen, Informationen von zu lesen. CloudFormation Dies ist erforderlich, um Daten über die CloudFormation Stacks zu sammeln, die zur Verwaltung des Ressourcenstatus und der CloudFormation Stackset-Operationen verwendet werden. Quick Setup

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetup SSMDeployment RolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: SSMDeployment S3 AWSQuick einrichten BucketRolePolicy

Die AWSQuickSetupSSMDeploymentS3BucketRolePolicy-Richtlinie gewährt Berechtigungen zum Auflisten aller S3-Buckets in einem Konto sowie zum Verwalten und Abrufen von Informationen zu bestimmten Buckets im Hauptkonto, die über CloudFormation -Vorlagen verwaltet werden.

Sie können AWSQuickSetupSSMDeploymentS3BucketRolePolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • s3— Ermöglicht Principals, alle S3-Buckets in einem Konto aufzulisten und Informationen zu bestimmten Buckets im Hauptkonto zu verwalten und abzurufen, die über Vorlagen verwaltet werden. CloudFormation

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetup SSMDeployment S3 BucketRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS Von verwaltete Richtlinie: AWSQuickSetupEnableDHMCExecutionPolicy

Diese Richtlinie gewährt Administratorberechtigungen, die es Prinzipalen ermöglichen, das AWSQuickSetupType-EnableDHMC-Automation-Runbook auszuführen, wodurch die Standard-Hostverwaltungskonfiguration aktiviert wird. Die Einstellung Standard-Host-Management-Konfiguration ermöglicht es Systems Manager, EC2 Amazon-Instances automatisch als verwaltete Instances zu verwalten. Eine verwaltete Instanz ist eine EC2 Instanz, die für die Verwendung mit Systems Manager konfiguriert ist. Diese Richtlinie gewährt auch Berechtigungen zum Erstellen von IAM-Rollen, die in den Systems-Manager-Serviceeinstellungen als Standardrollen für SSM Agent angegeben sind.

Sie können AWSQuickSetupEnableDHMCExecutionPolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen das Aktualisieren und Abrufen von Informationen zu den Systems-Manager-Serviceeinstellungen.

  • iam – Ermöglicht Prinzipalen das Erstellen und Abrufen von Informationen zu IAM-Rollen für Quick Setup-Operationen.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupEnableDHMCExecutionPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS Von verwaltete Richtlinie: AWSQuickSetupEnableAREXExecutionPolicy

Diese Richtlinie gewährt Administratorberechtigungen, die es Systems Manager ermöglichen, das AWSQuickSetupType-EnableAREX-Automation-Runbook auszuführen, das die Verwendung von AWS Resource Explorer mit Systems Manager ermöglicht. Resource Explorer ermöglicht das Anzeigen von Ressourcen in Ihrem Konto mit einer Suchfunktion, die einer Internet-Suchmaschine ähnelt. Die Richtlinie gewährt auch Berechtigungen für die Verwaltung von Resource Explorer-Indizes und -Ansichten.

Sie können AWSQuickSetupEnableAREXExecutionPolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • iam— Ermöglicht Prinzipalen das Erstellen einer dienstbezogenen Rolle im AWS Identity and Access Management (IAM-) Dienst.

  • resource-explorer-2 – Ermöglicht Prinzipalen das Abrufen von Informationen über Resource-Explorer-Ansichten und -Indizes, das Erstellen von Resource-Explorer-Ansichten und -Indizes sowie das Ändern des Indextyps für Indizes, die in Quick Setup angezeigt werden.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupEnableAREXExecutionPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick SetupManagedInstanceProfileExecutionPolicy

Diese Richtlinie gewährt Administratorberechtigungen, die es Systems Manager ermöglichen, ein Standard-IAM-Instance-Profil für das Quick Setup Tool zu erstellen und es an EC2 Amazon-Instances anzuhängen, denen noch kein Instance-Profil angehängt ist. Die Richtlinie gewährt auch Systems Manager die Möglichkeit, Berechtigungen an bestehende Instance-Profile anzuhängen. Auf diese Weise wird sichergestellt, dass die für Systems Manager die Kommunikation mit SSM Agent EC2 Instances erforderlichen Berechtigungen vorhanden sind.

Sie können AWSQuickSetupManagedInstanceProfileExecutionPolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen das Starten von Automatisierungsworkflows, die mit Quick Setup-Prozessen verknüpft sind.

  • ec2— Ermöglicht Principals, IAM-Instanzprofile an EC2 Instanzen anzuhängen, die von verwaltet werden. Quick Setup

  • iam – Ermöglicht Prinzipalen das Erstellen, Aktualisieren und Abrufen von Informationen über Rollen aus IAM, die in Quick Setup-Prozessen verwendet werden; das Erstellen von IAM-Instance-Profilen; das Anhängen der AmazonSSMManagedInstanceCore-verwalteten Richtlinie an IAM-Instance-Profile.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupManagedInstanceProfileExecutionPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSQuick SetupManage JITNAResources ExecutionPolicy

Die verwaltete Richtlinie AWSQuickSetupManageJITNAResourcesExecutionPolicy ermöglicht esQuick Setup, einem Tool in Systems Manager, den just-in-time Knotenzugriff einzurichten.

Sie können AWSQuickSetupManageJITNAResourcesExecutionPolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Diese Richtlinie gewährt Administratorberechtigungen, mit denen Ressourcen Systems Manager für den just-in-time Knotenzugriff erstellt werden können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm— Ermöglicht Prinzipalen, die Diensteinstellung abzurufen und zu aktualisieren, die den Identitätsanbieter für den just-in-time Knotenzugriff angibt.

  • iam— Ermöglicht es Prinzipalen, Rollen zu erstellen, zu kennzeichnen und abzurufen, Rollenrichtlinien für verwaltete Richtlinien für den just-in-time Knotenzugriff anzuhängen und dienstbezogene Rollen für den just-in-time Knotenzugriff und Benachrichtigungen zu erstellen.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetupManageJITNAResourcesExecutionPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: Einrichtung AWSQuick JITNADeployment RolePolicy

Die verwaltete Richtlinie AWSQuickSetupJITNADeploymentRolePolicy ermöglicht Quick Setup die Bereitstellung des Konfigurationstyps, der für die Einrichtung des just-in-time Knotenzugriffs erforderlich ist.

Sie können AWSQuickSetupJITNADeploymentRolePolicy zu Ihren IAM-Entitäten anfügen. Systems Manager fügt diese Richtlinie auch einer Servicerolle zu, mit der Sie Systems Manager in Ihrem Namen ausführen können.

Diese Richtlinie gewährt Administratorberechtigungen, mit denen Ressourcen Systems Manager für den just-in-time Knotenzugriff erstellt werden können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • cloudformation— Ermöglicht Prinzipalen das Erstellen, Aktualisieren, Löschen und Lesen von CloudFormation Stacks.

  • ssm— Ermöglicht Prinzipalen das Erstellen, Löschen, Aktualisieren und Lesen von State Manager Verknüpfungen, die von aufgerufen werden. CloudFormation

  • iam— Ermöglicht Prinzipalen das Erstellen, Löschen, Lesen und Markieren von IAM-Rollen, die von aufgerufen werden. CloudFormation

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSQuickSetup JITNADeployment RolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeAccessServicePolicy

Die verwaltete Richtlinie AWSSystemsManagerJustInTimeAccessServicePolicy ermöglicht den Zugriff auf AWS Ressourcen, die vom AWS Systems Manager just-in-time Access-Framework verwaltet oder genutzt werden. Dieses Richtlinienupdate fügt Tagging-Berechtigungen für die automatische Ausführung hinzu, sodass Kunden die Bedienerberechtigungen auf bestimmte Tags einschränken können.

Sie können AWSSystemsManagerJustInTimeAccessServicePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die Systems Manager die Durchführung von Aktionen in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter Verwenden von Rollen zum Aktivieren des just-in-time Knotenzugriffs.

Diese Richtlinie gewährt Administratorberechtigungen, die den Zugriff auf Ressourcen ermöglichen, die mit dem just-in-time Knotenzugriff verknüpft sind.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen das Erstellen und VerwaltenOpsItems, Hinzufügen von Tags zu OpsItems und das Automatisieren von Ausführungen, das Abrufen und Aktualisieren von OpsItems, Abrufen und Beschreiben von Dokumenten, Beschreiben von OpsItems und Sitzungen, das Auflisten von Dokumenten und Tags für verwaltete Instances.

  • ssm-guiconnect – Ermöglicht Prinzipalen das Auflisten von Verbindungen.

  • identitystore— Ermöglicht es Prinzipalen, Benutzer und Gruppen abzurufen IDs, Benutzer zu beschreiben und Gruppenmitgliedschaften aufzulisten.

  • sso-directory – Ermöglicht Prinzipalen, Benutzer zu beschreiben und festzustellen, ob ein Benutzer ein Mitglied einer Gruppe ist.

  • sso – Ermöglicht Prinzipalen, registrierte Regionen zu beschreiben und Instances und Verzeichniszuordnungen aufzulisten.

  • cloudwatch – Ermöglicht Prinzipalen, Metrikdaten für den AWS/SSM/JustInTimeAccess-Namespace einzugeben.

  • ec2 – Ermöglicht Prinzipalen die Beschreibung von Tags.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSSystemsManagerJustInTimeAccessServicePolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeAccessTokenPolicy

Die verwaltete Richtlinie AWSSystemsManagerJustInTimeAccessTokenPolicy gewährt Benutzern die Erlaubnis, sichere Verbindungen zu EC2 Amazon-Instances und verwalteten Instances über Session Manager RDP-Verbindungen von Systems Manager GUI Connect als Teil von Workflows für den just-in-time Knotenzugriff herzustellen.

Sie können AWSSystemsManagerJustInTimeAccessTokenPolicy an Ihre IAM-Entitäten anhängen.

Diese Richtlinie gewährt Mitwirkenden Berechtigungen, die es Benutzern ermöglichen, sichere Sitzungen zu starten und zu verwalten, RDP-Verbindungen herzustellen und die für den Knotenzugriff erforderlichen kryptografischen Operationen durchzuführen. just-in-time

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm— Ermöglicht Principals, Session Manager Sitzungen auf EC2 Amazon-Instances und verwalteten Instances mithilfe des SSM-Dokuments zu starten. SessionManagerRunShell Ermöglicht auch das Beenden und Wiederaufnehmen von Sitzungen, das Abrufen von Befehlsaufrufdetails und das Senden von Befehlen an Instanzen für die SSO-Benutzereinrichtung, wenn sie über Systems Manager GUI Connect aufgerufen werden. Ermöglicht außerdem das Starten von Portweiterleitungssitzungen für RDP-Verbindungen, wenn sie über Systems Manager GUI Connect aufgerufen werden.

  • ssmmessages— Ermöglicht Prinzipalen das Öffnen von Datenkanälen für eine sichere Kommunikation während Session Manager Sitzungen.

  • ssm-guiconnect— Ermöglicht Prinzipalen, Systems Manager GUI Connect RDP-Verbindungen zu Instanzen zu starten, Details zu diesen abzurufen und abzubrechen.

  • kms— Ermöglicht Prinzipalen das Generieren von Datenschlüsseln für die Session Manager Verschlüsselung und das Erstellen von Zuweisungen für RDP-Verbindungen. Diese Berechtigungen sind auf AWS KMS Schlüssel beschränkt, die mit gekennzeichnet sind. SystemsManagerJustInTimeNodeAccessManaged=true Die Erstellung von Zuschüssen ist außerdem darauf beschränkt, dass sie nur über den Systems Manager GUI Connect-Dienst verwendet werden kann.

  • sso— Ermöglicht Prinzipalen, Verzeichniszuordnungen aufzulisten, wenn sie über Systems Manager GUI Connect aufgerufen werden. Dies ist für die RDP-SSO-Benutzereinrichtung erforderlich.

  • identitystore— Ermöglicht Prinzipalen, Benutzer im Identitätsspeicher zu beschreiben, wenn sie über Systems Manager GUI Connect aufgerufen werden. Dies ist für die Einrichtung von RDP-SSO-Benutzern erforderlich.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSSystemsManagerJustInTimeAccessTokenPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeAccessTokenSessionPolicy

Die verwaltete Richtlinie AWSSystemsManagerJustInTimeAccessTokenSessionPolicy ermöglicht die Anwendung von Berechtigungen Systems Manager mit eingeschränktem Geltungsbereich auf ein just-in-time Knotenzugriffstoken.

Sie können AWSSystemsManagerJustInTimeAccessTokenSessionPolicy an Ihre IAM-Entitäten anhängen.

Diese Richtlinie gewährt Administratorberechtigungen, die es ermöglichen, Berechtigungen für just-in-time Knotenzugriffstoken nach unten Systems Manager zu beschränken.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht es den Prinzipalen, Session Manager-Sitzungen mit dem SSM-SessionManagerRunShell-Dokument zu starten. Auch beim ersten Aufruf über ssm-guiconnect können Sitzungen mithilfe des AWS-StartPortForwardingSession-Dokuments gestartet, Befehlsaufrufe aufgelistet und Befehle mithilfe des AWSSSO-CreateSSOUser-Dokuments gesendet werden.

  • ssm-guiconnect – Ermöglicht Prinzipalen das Abbrechen, Abrufen und Starten von Verbindungen zu allen Ressourcen.

  • kms— Ermöglicht es Prinzipalen, Berechtigungen zu erstellen und Datenschlüssel für Schlüssel zu generieren, die mit markiert sindSystemsManagerJustInTimeNodeAccessManaged, wenn sie ssm-guiconnect über einen AWS Dienst aufgerufen werden.

  • sso – Ermöglicht Prinzipalen, Verzeichniszuordnungen aufzulisten, wenn sie über ssm-guiconnect aufgerufen werden.

  • identitystore – Ermöglicht es den Prinzipalen, einen Benutzer zu beschreiben, wenn er über ssm-guiconnect aufgerufen wird.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSSystemsManagerJustInTimeAccessTokenSessionPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeNodeAccessRolePropagationPolicy

Die verwaltete Richtlinie AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy ermöglicht Systems Manager die gemeinsame Nutzung von Zugriffsverweigerungsrichtlinien aus dem delegierten Administratorkonto für Mitgliedskonten und die Replikation der Richtlinien in mehreren AWS-Regionen.

Sie können AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy an Ihre IAM-Entitäten anhängen.

Diese Richtlinie bietet die Administratorberechtigungen, die für das Teilen und die Erstellung von Zugriffsverweigerungsrichtlinien durch Systems Manager erforderlich sind. Dadurch wird sichergestellt, dass Richtlinien zur Zugriffsverweigerung auf alle Konten in einer AWS Organizations Organisation und in Regionen angewendet werden, die für den just-in-time Knotenzugriff konfiguriert sind.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • ssm – Ermöglicht Prinzipalen die Verwaltung von SSM-Dokumenten und Ressourcenrichtlinien.

  • ssm-quicksetup – Ermöglicht Prinzipalen das Lesen von Quick Setup-Konfigurationsmanagern.

  • organizations – Ermöglicht Prinzipalen, Details über eine AWS Organizations -Organisation und delegierte Administratoren aufzulisten.

  • ram – Ermöglicht Prinzipalen das Erstellen, Markieren und Beschreiben von Ressourcenfreigaben.

  • iam – Ermöglicht Prinzipalen, eine Servicerolle zu beschreiben.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSystems ManagerNotificationsServicePolicy

Die verwaltete Richtlinie AWSSystemsManagerNotificationsServicePolicy ermöglicht Systems Manager das Senden von E-Mail-Benachrichtigungen für just-in-time Knotenzugriffsanfragen an Genehmiger von Zugriffsanfragen.

Sie können AWSSystemsManagerJustInTimeAccessServicePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die Systems Manager die Durchführung von Aktionen in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter Verwenden von Rollen zum Senden von Benachrichtigungen über just-in-time Knotenzugriffsanfragen.

Diese Richtlinie gewährt Administratorberechtigungen, die es ermöglichenSystems Manager, E-Mail-Benachrichtigungen für just-in-time Knotenzugriffsanfragen an Genehmiger von Zugriffsanfragen zu senden.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • identitystore – Ermöglicht Prinzipalen, Benutzer und Gruppenmitgliedschaften aufzulisten und zu beschreiben.

  • sso – Ermöglicht Prinzipalen, Instances und Verzeichnisse aufzulisten und registrierte Regionen zu beschreiben.

  • sso-directory – Ermöglicht Prinzipalen, Benutzer zu beschreiben und Mitglieder einer Gruppe aufzulisten.

  • iam – Ermöglicht Prinzipalen das Abrufen von Informationen über Rollen.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWSSystemsManagerNotificationsServicePolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWS-SSM-Automation-DiagnosisBucketPolicy

Die verwaltete Richtlinie AWS-SSM-Automation-DiagnosisBucketPolicy bietet Berechtigungen für die Diagnose von Problemen mit Knoten, die mit AWS Systems Manager Diensten interagieren, indem sie den Zugriff auf S3-Buckets ermöglicht, die zur Diagnose und Behebung von Problemen verwendet werden.

Sie können die AWS-SSM-Automation-DiagnosisBucketPolicy-Richtlinie an Ihre IAM-Identitäten anfügen. Systems Manager fügt diese Richtlinie auch einer IAM-Rolle zu, mit der Systems Manager in Ihrem Namen Diagnoseaktionen ausführen kann.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • s3 – Ermöglicht Prinzipalen, auf Objekte zuzugreifen und diese in einen Amazon-S3-Bucket zu schreiben.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWS-SSM-Automation- DiagnosisBucketPolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy

Die verwaltete Richtlinie AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy stellt Berechtigungen für ein Betriebskonto bereit, um Probleme mit Knoten zu diagnostizieren, indem sie organisationsspezifische Berechtigungen bereitstellt.

Sie können die AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy an Ihre IAM-Identitäten anfügen. Systems Manager fügt diese Richtlinie auch einer IAM-Rolle zu, mit der Systems Manager in Ihrem Namen Diagnoseaktionen ausführen kann.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • organizations – Ermöglicht Prinzipalen, ein Stammverzeichnis der Organisation aufzulisten und über Mitgliedskonten die Zielkonten zu bestimmen.

  • sts – Ermöglicht Prinzipalen, Rollen zur Ausführung von Problembehebungen zu übernehmen, um SSM-Automation-Dokumente konto- und regionsübergreifend innerhalb derselben Organisation auszuführen.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWS-SSM- RemediationAutomation — OperationalAccountAdministrationRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy

Die verwaltete Richtlinie AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy stellt Berechtigungen für ein Betriebskonto bereit, um Probleme mit Knoten zu diagnostizieren, indem sie organisationsspezifische Berechtigungen bereitstellt.

Sie können die AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy-Richtlinie an Ihre IAM-Identitäten anfügen. Systems Manager fügt diese Richtlinie auch einer IAM-Rolle zu, mit der Systems Manager in Ihrem Namen Diagnoseaktionen ausführen kann.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • organizations – Ermöglicht Prinzipalen, ein Stammverzeichnis der Organisation aufzulisten und über Mitgliedskonten die Zielkonten zu bestimmen.

  • sts – Ermöglicht Prinzipalen, Rollen bei der Ausführung von Diagnosen zu übernehmen, um SSM-Automation-Dokumente konto- und regionsübergreifend innerhalb derselben Organisation auszuführen.

Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWS-SSM- DiagnosisAutomation — OperationalAccountAdministrationRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

Systems ManagerAktualisierungen der verwalteten Richtlinien AWS

In der folgenden Tabelle finden Sie Details zu Aktualisierungen AWS verwalteter Richtlinien Systems Manager seit Beginn der Erfassung dieser Änderungen durch diesen Dienst am 12. März 2021. Informationen zu anderen verwalteten Richtlinien für den Systems-Manager-Service finden Sie unter Zusätzliche verwaltete Richtlinien für Systems Manager weiter unten in diesem Thema. Um automatische Warnungen über Änderungen an dieser Seite erhalten, abonnieren Sie den RSS-Feed auf der Systems Manager Dokumentverlauf-Seite.

Änderungen Beschreibung Datum

AWSSystemsManagerJustInTimeAccessTokenPolicy – Aktualisierung auf eine bestehende Richtlinie

Systems Managerhat die verwaltete Richtlinie aktualisiertAWSSystemsManagerJustInTimeAccessTokenPolicy. Die Anweisung (SID) TerminateAndResumeSession wurde in umbenannt TerminateAndResumeSessionAndOpenDataChannel und umfasst nun die ssmmessages:OpenDataChannel Aktion, die Sitzungsverwaltung und Datenkanalberechtigungen in einer einzigen Anweisung kombiniert.

 25. September 2025

Aktualisierte verwaltete Richtlinien:

Systems Managerdrei verwaltete Richtlinien wurden aktualisiert, um Unterstützung für das Starten von Automatisierungsausführungen auf zusätzlichen Systems Manager Manager-Ressourcen hinzuzufügen, einschließlich bestimmter Automations-Runbooks und SSM-Befehlsdokumente.

 12. September 2025

AWSQuickSetupStartStopInstancesExecutionPolicy— Die verwaltete Richtlinie wurde aktualisiert

Systems ManagerDie verwaltete Richtlinie wurde aktualisiert, um die Berechtigungen für die Quick Setup Scheduler-Konfiguration zu verfeinern. Die Richtlinie bietet jetzt spezifischere Berechtigungen für das Starten und Stoppen von EC2 Amazon-Instances, den Zugriff auf Änderungskalender und die Ausführung von Automatisierungsdokumenten mit verbesserten Sicherheitsbedingungen.

 12. September 2025

AWSQuickSetupStartSSMAssociationsExecutionPolicy— Die verwaltete Richtlinie wurde aktualisiert

Systems Managerhat die verwaltete Richtlinie aktualisiert, um das Automatisierungsdokument von AWSQuickSetupType-StartSSMAssociations zu zu ändernAWSQuickSetupType-Scheduler-ChangeCalendarState. Mit diesem Update wird der Zweck der Richtlinie geändert: Statt SSM-Verknüpfungen zu starten, wird nun der Status des Änderungskalenders für geplante Operationen verwaltet.

 12. September 2025

SSMAutomationAmazon-Rolle — Aktualisierung einer bestehenden Richtlinie

Systems Manager hat neue Berechtigungen hinzugefügt, damit Automation-Runbooks Kommunikationskanäle für sitzungsbasierte Vorgänge einrichten können.

Die ssmmessages:OpenDataChannel-Berechtigung für die Ressource arn:*:ssm:*:*:session/* wurde hinzugefügt.

 11. September 2025

AWSSystemsManagerJustInTimeAccessServicePolicy— Die verwaltete Richtlinie wurde aktualisiert

Systems Manager hat die verwaltete Richtlinie aktualisiert, um Tagging-Berechtigungen für die Automatisierungsausführung hinzuzufügen. Der Service muss Automatisierungsausführungen mit einem SystemsManagerJustInTimeNodeAccessManaged=true-Tag kennzeichnen, damit Kunden die Bedienerberechtigungen auf bestimmte Tags beschränken können.

 25. August 2025

AWSQuickSetupStartSSMAssociationsExecutionPolicy – Neue Richtlinie

Systems Manager hat eine neue Richtlinie hinzugefügt, um Quick Setup die Ausführung des AWSQuickSetupType-StartSSMAssociations-Automation-Runbooks zu erlauben. Dieses Runbook wird verwendet, um State Manager-Zuordnungen zu starten, die durch Quick Setup-Konfigurationen erstellt werden.

 12. August 2025

AWSQuickSetupStartStopInstancesExecutionPolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglichtQuick Setup, EC2 Amazon-Instances nach einem Zeitplan zu starten und zu beenden. Diese Richtlinie bietet die erforderlichen Berechtigungen für den Quick Setup-Scheduler-Konfigurationstyp, um den Instance-Status auf der Grundlage definierter Zeitpläne zu verwalten.

 12. August 2025

AWSQuickSetupDeploymentRolePolicy— Aktualisierung der Dokumentation

Systems Manager hat die AWSQuickSetupDeploymentRolePolicy-verwaltete Richtlinie aktualisiert, um Berechtigungen für zusätzliche Ressourcen zu gewähren. Darüber hinaus wurde die Dokumentation für AWSQuickSetupDeploymentRolePolicy aktualisiert und enthält detailliertere Beschreibungen der Berechtigungen, die im Rahmen dieser Richtlinie für Quick Setup-Konfigurationsverwaltungsvorgänge gewährt werden.

 12. August 2025

AWS-SSM- RemediationAutomation - ExecutionRolePolicy — Aktualisierung einer bestehenden Richtlinie

Systems ManagerDie verwaltete Richtlinie wurde aktualisiert, um die Sicherheitslage der StartAutomationExecution SSM:API zu verbessern, indem Berechtigungen sowohl für die Ressourcentypen „Dokument“ als auch für „Automationsausführung“ erforderlich sind. Die aktualisierte Richtlinie bietet umfassendere und detailliertere Berechtigungen für die automatische Ausführung von Problembehebungsmaßnahmen, einschließlich verbesserter Beschreibungen für Netzwerkabhilfefunktionen, spezifischerer Berechtigungen zur Erstellung von Amazon VPC-Endpunkten, detailliertere Berechtigungen zur Verwaltung von Sicherheitsgruppen und verbesserte Kontrollen zur Ressourcenmarkierung für Behebungsvorgänge.

 16. Juli 2025

AWS-SSM- RemediationAutomation - AdministrationRolePolicy — Aktualisierung einer bestehenden Richtlinie

Systems Manager hat die verwaltete Richtlinie aktualisiert, um Verbesserungen der API-Autorisierung für automatische Behebungsvorgänge zu unterstützen. Die aktualisierte Richtlinie erweitert die Berechtigungen für die Ausführung von Aktivitäten, die in Automatisierungsdokumenten definiert sind, und bietet verbesserte Sicherheitskontrollen und Ressourcenzugriffsmuster für Korrektur-Workflows.

 16. Juli 2025

AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy — Aktualisierung einer bestehenden Richtlinie

Systems Manager hat die verwaltete Richtlinie aktualisiert, um detailliertere und genauere Berechtigungen für die automatische Ausführung von Diagnosen bereitzustellen. Die aktualisierte Richtlinie umfasst erweiterte Beschreibungen für den Zugriff auf Amazon EC2 - und Amazon VPC-Ressourcen, spezifischere SSM-Automatisierungsberechtigungen AWS KMS sowie verbesserte IAM-Berechtigungsbeschreibungen mit entsprechenden Ressourceneinschränkungen.

 16. Juli 2025

AWS-SSM- DiagnosisAutomation - AdministrationRolePolicy — Aktualisierung einer bestehenden Richtlinie

Systems Manager hat die verwaltete Richtlinie aktualisiert, um spezifischere Berechtigungen und Sicherheitsbedingungen für Vorgänge zur Automatisierung von Diagnosen bereitzustellen. Die aktualisierte Richtlinie bietet erweiterte Sicherheitskontrollen für die AWS KMS Schlüsselnutzung, den Zugriff auf Amazon S3 S3-Buckets und Rollenannahmen mit strengeren ressourcenbasierten Bedingungen und Einschränkungen auf Kontoebene.

 16. Juli 2025

AWSQuickSetupDeploymentRolePolicy— Aktualisierung einer Richtlinie

Systems Managerhat der verwalteten Richtlinie Berechtigungen AWSQuickSetupDeploymentRolePolicy für den Zugriff auf das Amazon-eigene Runbook AWSQuickSetupType-ManageInstanceProfilehinzugefügt. Diese Berechtigung ermöglicht es Quick Setup, Verknüpfungen mithilfe der verwalteten Richtlinie anstelle von Inline-Richtlinien zu erstellen.

 14. Juli 2025

Amazon SSMAutomation Role — Aktualisierung der Dokumentation

Systems Manager hat eine umfassende Dokumentation für die bestehende AmazonSSMAutomationRole-Richtlinie hinzugefügt, die dem Systems-Manager-Automation-Service Berechtigungen zum Ausführen der innerhalb von Automation-Runbooks definierten Aktivitäten hinzufügt.

 15. Juli 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy— Aktualisierung einer Richtlinie

Systems ManagerEs wurden Berechtigungen hinzugefügt, um Systems Manager das Markieren einer Ressource zu ermöglichen, die AWS Resource Access Manager für den just-in-time Knotenzugriff gemeinsam genutzt wird.

 30. April 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy— Aktualisierung einer Richtlinie

Systems ManagerEs wurden Berechtigungen hinzugefügt, um das Markieren von IAM-Rollen Systems Manager zu ermöglichen, die für den just-in-time Knotenzugriff erstellt wurden.

 30. April 2025

AWSSystemsManagerJustInTimeAccessTokenSessionPolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglicht, Berechtigungen Systems Manager mit eingeschränktem Geltungsbereich auf ein just-in-time Knotenzugriffstoken anzuwenden.

 30. April 2025

AWSSystemsManagerNotificationsServicePolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglichtSystems Manager, E-Mail-Benachrichtigungen für just-in-time Knotenzugriffsanfragen an Genehmiger zu senden.

 30. April 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy – Neue Richtlinie

Systems Manager hat eine neue Richtlinie hinzugefügt, um Systems Manager zu erlauben, Genehmigungsrichtlinien für verschiedene Regionen zu replizieren.

 30. April 2025

AWSSystemsManagerJustInTimeAccessTokenPolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglicht, Zugriffstoken Systems Manager zu generieren, die für den just-in-time Knotenzugriff verwendet werden.

 30. April 2025

AWSSystemsManagerJustInTimeAccessServicePolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, um Berechtigungen für AWS Ressourcen bereitzustellen, die von der just-in-time Knotenzugriffsfunktion von Systems Manager verwaltet oder verwendet werden.

 30. April 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügtQuick Setup, die es einem Tool in Systems Manager ermöglicht, die für den just-in-time Knotenzugriff erforderlichen IAM-Rollen zu erstellen.

 30. April 2025

AWSQuickEinrichtung JITNADeployment RolePolicy — Neue Richtlinie

Systems ManagerEs wurde eine neue Richtlinie hinzugefügt, die Berechtigungen bereitstellt, mit denen Quick Setup der Konfigurationstyp bereitgestellt werden kann, der für die Einrichtung des just-in-time Knotenzugriffs erforderlich ist.

 30. April 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy— Aktualisierung einer Richtlinie

Systems ManagerEs wurden Berechtigungen hinzugefügt, um Systems Manager das Markieren einer Ressource zu ermöglichen, die AWS Resource Access Manager für den just-in-time Knotenzugriff gemeinsam genutzt wird.

 30. April 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy— Aktualisierung einer Richtlinie

Systems ManagerEs wurden Berechtigungen hinzugefügt, um das Markieren von IAM-Rollen Systems Manager zu ermöglichen, die für den just-in-time Knotenzugriff erstellt wurden.

 30. April 2025

AWSSystemsManagerJustInTimeAccessTokenSessionPolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglicht, Berechtigungen Systems Manager mit eingeschränktem Geltungsbereich auf ein just-in-time Knotenzugriffstoken anzuwenden.

 30. April 2025

AWSSystemsManagerNotificationsServicePolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglichtSystems Manager, E-Mail-Benachrichtigungen für just-in-time Knotenzugriffsanfragen an Genehmiger zu senden.

 30. April 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy – Neue Richtlinie

Systems Manager hat eine neue Richtlinie hinzugefügt, um Systems Manager zu erlauben, Genehmigungsrichtlinien für verschiedene Regionen zu replizieren.

 30. April 2025

AWSSystemsManagerJustInTimeAccessTokenPolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglicht, Zugriffstoken Systems Manager zu generieren, die für den just-in-time Knotenzugriff verwendet werden.

 30. April 2025

AWSSystemsManagerJustInTimeAccessServicePolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, um Berechtigungen für AWS Ressourcen bereitzustellen, die von der just-in-time Knotenzugriffsfunktion von Systems Manager verwaltet oder verwendet werden.

 30. April 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügtQuick Setup, die es einem Tool in Systems Manager ermöglicht, die für den just-in-time Knotenzugriff erforderlichen IAM-Rollen zu erstellen.

 30. April 2025

AWSQuickEinrichtung JITNADeployment RolePolicy — Neue Richtlinie

Systems ManagerEs wurde eine neue Richtlinie hinzugefügt, die Berechtigungen bereitstellt, mit denen Quick Setup der Konfigurationstyp bereitgestellt werden kann, der für die Einrichtung des just-in-time Knotenzugriffs erforderlich ist.

 30. April 2025

AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy – Neue Richtlinie

Systems Manager hat eine neue Richtlinie hinzugefügt, die einem Betriebskonto Berechtigungen zur Diagnose von Problemen mit Knoten gewährt, indem organisationsspezifische Berechtigungen bereitgestellt werden.

 21. November 2024

AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy – Neue Richtlinie

Systems Manager hat eine neue Richtlinie hinzugefügt, die einem Betriebskonto Berechtigungen zur Diagnose von Problemen mit Knoten gewährt, indem organisationsspezifische Berechtigungen bereitgestellt werden.

 21. November 2024

AWS-SSM-Automation-DiagnosisBucketPolicy – Neue Richtlinie

Systems Manager hat eine neue Richtlinie hinzugefügt, um das Starten von Automation-Workflows zu unterstützen, die Probleme mit verwalteten Knoten in bestimmten Konten und Regionen diagnostizieren.

 21. November 2024

AmazonSSMServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

Systems Managerneue Berechtigungen hinzugefügt, um Details AWS Resource Explorer zu EC2 Amazon-Instances zu sammeln und die Ergebnisse in Widgets im neuen Systems Manager Dashboard anzuzeigen.

 21. November 2024
SSMQuickSetupRolePolicy – Aktualisierung auf eine bestehende Richtlinie Systems Manager hat die verwaltete Richtlinie SSMQuickSetupRolePolicy aktualisiert. Diese Aktualisierung ermöglicht es der zugehörigen, mit dem Service verknüpften Rolle AWSServiceRoleForSSMQuickSetup, Ressourcendatensynchronisationen zu verwalten. 21. November 2024
AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy  – Neue Richtlinie Systems Manager hat eine neue Richtlinie hinzugefügt, um das Starten von Automation-Workflows zu unterstützen, die Probleme mit verwalteten Knoten in einem Zielkonto und einer Zielregion diagnostizieren. 21. November 2024
AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy – Neue Richtlinie Systems Manager hat eine neue Richtlinie hinzugefügt, um das Starten von Automation-Workflows zu unterstützen, die Probleme mit verwalteten Knoten in einem Zielkonto und einer Zielregion diagnostizieren. 21. November 2024
AWS-SSM-RemediationAutomation-AdministrationRolePolicy – Neue Richtlinie Systems Manager hat eine neue Richtlinie hinzugefügt, um das Starten von Automation-Workflows zu unterstützen, die Probleme mit verwalteten Knoten in bestimmten Konten und Regionen diagnostizieren. 21. November 2024
AWS-SSM-RemediationAutomation-ExecutionRolePolicy – Neue Richtlinie Systems Manager hat eine neue Richtlinie hinzugefügt, um das Starten von Automation-Workflows zu unterstützen, die Probleme mit verwalteten Knoten in bestimmten Konten und Regionen diagnostizieren. 21. November 2024

AWSQuickEinrichtung SSMDeployment RolePolicy — Aktualisierung einer Richtlinie

Systems ManagerEs wurden Berechtigungen hinzugefügt, um das Systems Manager Taggen von IAM-Rollen und Lambda zu ermöglichen, die für die vereinheitlichte Konsole erstellt wurden.

 7. Mai 2025
AWSQuickSetupSSMManageResourcesExecutionPolicy – Neue Richtlinie Systems Manager hat eine neue Richtlinie hinzugefügt, um die Ausführung eines Vorgangs in Quick Setup zu unterstützen, bei dem IAM-Rollen für Quick Setup-Zuordnungen erstellt werden, die wiederum durch eine AWSQuickSetupType-SSM-Bereitstellung erstellt werden. 21. November 2024
AWSQuickSetupSSMLifecycleManagementExecutionPolicy – Neue Richtlinie Systems Manager hat eine neue Richtlinie hinzugefügt, um die Quick Setup Ausführung einer CloudFormation benutzerdefinierten Ressource bei Lebenszyklusereignissen während einer Quick Setup Bereitstellung zu unterstützen. 21. November 2024
AWSQuickSetupSSMDeploymentRolePolicy – Neue Richtlinie Systems Manager hat eine neue Richtlinie hinzugefügt, um die Gewährung von Administratorberechtigungen Quick Setup zu unterstützen, mit denen Ressourcen erstellt werden können, die während des Systems-Manager-Onboarding-Prozesses verwendet werden. 21. November 2024
AWSQuickSetupSSMDeploymentS3BucketRolePolicy – Neue Richtlinie Systems Manager hat eine neue Richtlinie hinzugefügt, um die Verwaltung und das Abrufen von Informationen zu bestimmten Buckets im Hauptkonto zu unterstützen, die über Vorlagen verwaltet werden. CloudFormation 21. November 2024
AWSQuickSetupEnableDHMCExecutionPolicy – Neue Richtlinie Systems Manager führt eine neue Richtlinie ein, die es Quick Setup ermöglicht, eine IAM-Rolle zu erstellen, die selbst die vorhandenen AmazonSSMManagedEC2InstanceDefaultPolicy verwendet. Diese Richtlinie enthält alle Berechtigungen, die für die Kommunikation von SSM Agent mit dem Systems-Manager-Service erforderlich sind. Die neue Richtlinie ermöglicht auch Änderungen an den Systems-Manager-Serviceeinstellungen. 21. November 2024
AWSQuickSetupEnableAREXExecutionPolicy – Neue Richtlinie Systems Manager hat eine neue Richtlinie hinzugefügt, mit der eine dienstverknüpfte Rolle für AWS Resource Explorer den Zugriff auf Resource Explorer-Ansichten und Aggregatorindizes erstellt werden kann. Quick Setup 21. November 2024
AWSQuickSetupManagedInstanceProfileExecutionPolicy – Neue Richtlinie

Systems Manager hat eine neue Richtlinie hinzugefügt, die es ermöglichtQuick Setup, ein Quick Setup Standard-Instance-Profil zu erstellen und es an alle EC2 Amazon-Instances anzuhängen, denen ein zugeordnetes Instance-Profil fehlt. Diese neue Richtlinie ermöglicht Quick Setup auch das Anhängen von Berechtigungen an bestehende Profile, um sicherzustellen, dass alle erforderlichen Systems-Manager-Berechtigungen erteilt wurden.

 21. November 2024

SSMQuickSetupRolePolicy – Aktualisierung auf eine bestehende Richtlinie

Systems Managerneue Berechtigungen hinzugefügt, um den Zustand zusätzlicher AWS CloudFormation Stack-Sets, die es erstellt hat, überprüfen zu könnenQuick Setup.

 13. August 2024
AmazonSSMManagedEC2InstanceDefaultPolicy – Aktualisierung auf eine bestehende Richtlinie Systems Managerhat der JSON-Richtlinie für AmazonSSMManagedEC2InstanceDefaultPolicy eine Anweisung IDs (Sids) hinzugefügt. Diese SIDs enthalten Inline-Beschreibungen des Zwecks der einzelnen Richtlinienerklärungen. 18. Juli 2024
SSMQuickSetupRolePolicy – Neue Richtlinie Systems Manager hat eine neue Richtlinie hinzugefügt, die es Quick Setup ermöglicht, den Zustand der bereitgestellten Ressourcen zu überprüfen und Instances zu korrigieren, die von der ursprünglichen Konfiguration abweichen. 3. Juli 2024
AWSQuickSetupDeploymentRolePolicy – Neue Richtlinie Systems Manager hat eine neue Richtlinie zur Unterstützung mehrerer Quick-Setup-Konfigurationstypen hinzugefügt, die IAM-Rollen und Automatisierungen erstellen, die wiederum häufig verwendete Amazon-Web-Services-Services und -Funktionen mit empfohlenen bewährten Methoden konfigurieren. 3. Juli 2024

AWSQuickSetupPatchPolicyDeploymentRolePolicy

 – Neue Richtlinie

Systems Manager hat eine neue Richtlinie hinzugefügt, mit der Quick Setup Ressourcen erstellen kann, die mit Patch Manager-Patch-Richtlinienkonfigurationen Quick Setup verknüpft sind.

3. Juli 2024

AWSQuickSetupPatchPolicyBaselineAccess – Neue Richtlinie

Systems Manager hat eine neue Richtlinie hinzugefügt, die Quick Setup den Zugriff auf Patch-Baselines in Patch Manager mit schreibgeschützte Berechtigungen ermöglicht.

3. Juli 2024
AWSSystemsManagerEnableExplorerExecutionPolicy – Neue Richtlinie Systems Manager hat eine neue Richtlinie hinzugefügt, mit der Quick Setup Administratorrechte für die Aktivierung von Explorer erteilen kann. 3. Juli 2024
AWSSystemsManagerEnableConfigRecordingExecutionPolicy – Neue Richtlinie Systems Managerhat eine neue Richtlinie hinzugefügt, um die AWS Config Konfigurationsaufzeichnung Quick Setup zu aktivieren und zu konfigurieren. 3. Juli 2024

AWSQuickSetupDevOpsGuruPermissionsBoundary – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglichtQuick Setup, Amazon DevOps Guru zu aktivieren und zu konfigurieren.

 3. Juli 2024

AWSQuickSetupDistributorPermissionsBoundary – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, Quick Setup um die Aktivierung und Konfiguration des Tools Distributor in zu ermöglichen AWS Systems Manager.

3. Juli 2024

AWSQuickEinrichtung SSMHost MgmtPermissionsBoundary — Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, die es ermöglichtQuick Setup, Systems Manager Manager-Tools für die sichere Verwaltung von EC2 Amazon-Instances zu aktivieren und zu konfigurieren.

 3. Juli 2024

AWSQuickSetupPatchPolicyPermissionsBoundary – Neue Richtlinie

Systems Manager hat eine neue Richtlinie hinzugefügt, mit der Quick Setup Patch-Richtlinien in Patch Manager aktiviert und konfiguriert, einem Tool in AWS Systems Manager.

3. Juli 2024

AWSQuickSetupSchedulerPermissionsBoundary – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, die es Quick Setup ermöglicht, geplante Operationen auf EC2 Amazon-Instances und anderen Ressourcen zu aktivieren und zu konfigurieren.

3. Juli 2024

AWSQuickEinrichtung CFGCPacks PermissionsBoundary — Neue Richtlinie

Systems Manager hat eine neue Richtlinie hinzugefügt, mit der Quick Setup die Bereitstellung von Conformance Packs AWS Config ermöglicht.

3. Juli 2024

AWSSystemsManagerOpsDataSyncServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

 OpsCenterDie Richtlinie wurde aktualisiert, um die Sicherheit des Servicecodes innerhalb der OpsData dienstbezogenen Rolle für die Verwaltung verwandter Vorgänge Explorer zu verbessern. 03. Juli 2023

AmazonSSMManagedEC2InstanceDefaultPolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie hinzugefügt, um Systems Manager Funktionen auf EC2 Amazon-Instances ohne die Verwendung eines IAM-Instance-Profils zu ermöglichen.

 18. August 2022

Amazon SSMService RolePolicy — Aktualisierung einer bestehenden Richtlinie

Systems Manager hat neue Berechtigungen hinzugefügt, damit Explorer eine verwaltete Regel erstellen kann, wenn Sie Security Hub von Explorer oder OpsCenter aktivieren. Neue Berechtigungen wurden hinzugefügt, um zu überprüfen, ob die Konfiguration und der Compute-Optimizer die erforderlichen Anforderungen erfüllen, bevor sie zugelassen werden. OpsData

 27. April 2021

AWSSystemsManagerOpsDataSyncServiceRolePolicy – Neue Richtlinie

Systems Managerhat eine neue Richtlinie zum Erstellen und Aktualisieren OpsData von OpsItems und aus Security Hub Hub-Erkenntnissen in Explorer und hinzugefügtOpsCenter.

 27. April 2021

AmazonSSMServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

Systems Managerneue Berechtigungen hinzugefügt, um die Anzeige von Aggregaten OpsData und OpsItems Details aus mehreren Konten und AWS-Regionen in zu ermöglichenExplorer.

 24. März 2021

Systems Manager hat die Änderungsverfolgung gestartet

Systems Managerhat begonnen, Änderungen an den AWS verwalteten Richtlinien zu verfolgen.

 12. März 2021

Zusätzliche verwaltete Richtlinien für Systems Manager

Zusätzlich zu den verwalteten Richtlinien, die weiter oben in diesem Thema beschrieben wurden, werden die folgenden Richtlinien auch von Systems Manager unterstützt.