AWS-SSM-RemediationAutomation-AdministrationRolePolicy
Descripción: otorga permisos para resolver problemas con los servicios SSM al ejecutar actividades definidas en los documentos de automatización, que se utilizan principalmente para ejecutarlos en una configuración entre cuentas y regiones mediante la activación de automatizaciones secundarias de cuentas de miembros.
AWS-SSM-RemediationAutomation-AdministrationRolePolicy es una política administrada de AWS.
Uso de la política
Puede asociar AWS-SSM-RemediationAutomation-AdministrationRolePolicy a los usuarios, grupos y roles.
Información de la política
-
Tipo: política administrada por AWS
-
Hora de creación: 16 de noviembre de 2024 a las 00:14 UTC
-
Hora de edición: 16 de julio de 2025 a las 17:52 UTC
-
ARN:
arn:aws:iam::aws:policy/AWS-SSM-RemediationAutomation-AdministrationRolePolicy
Versión de la política
Versión de la política: v2 (predeterminada)
La versión predeterminada de la política define qué permisos tendrá. Cuando un usuario o un rol con la política solicita acceso a un recurso de AWS, AWS comprueba la versión predeterminada de la política para decidir si permite o no la solicitud.
Documento de política JSON
{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "AllowReadOnlyAccessSSMResource", "Effect" : "Allow", "Action" : [ "ssm:DescribeAutomationExecutions", "ssm:DescribeAutomationStepExecutions", "ssm:GetAutomationExecution" ], "Resource" : "*" }, { "Sid" : "AllowExecuteSSMAutomation", "Effect" : "Allow", "Action" : [ "ssm:StartAutomationExecution" ], "Resource" : [ "arn:aws:ssm:*:*:document/AWS-OrchestrateUnmanagedEC2Actions", "arn:aws:ssm:*:*:document/AWS-RemediateSSMAgent*", "arn:aws:ssm:*:*:automation-execution/*", "arn:aws:ssm:*:*:automation-definition/AWS-OrchestrateUnmanagedEC2Actions:*", "arn:aws:ssm:*:*:automation-definition/AWS-RemediateSSMAgent*:*" ] }, { "Sid" : "AllowKMSOperations", "Effect" : "Allow", "Action" : [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource" : "arn:aws:kms:*:*:key/*", "Condition" : { "StringEquals" : { "aws:ResourceTag/SystemsManagerManaged" : "true" }, "ArnLike" : { "kms:EncryptionContext:aws:s3:arn" : "arn:aws:s3:::do-not-delete-ssm-diagnosis-*" }, "StringLike" : { "kms:ViaService" : "s3.*.amazonaws.com" }, "Bool" : { "aws:ViaAWSService" : "true" } } }, { "Sid" : "AllowAssumeRemediationExecutionRoleWithinAccount", "Effect" : "Allow", "Action" : "sts:AssumeRole", "Resource" : "arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole*", "Condition" : { "StringEquals" : { "aws:ResourceAccount" : "${aws:PrincipalAccount}" } } }, { "Sid" : "AllowPassRoleOnSelfToSsm", "Effect" : "Allow", "Action" : "iam:PassRole", "Resource" : "arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole*", "Condition" : { "StringEquals" : { "iam:PassedToService" : "ssm.amazonaws.com" } } }, { "Sid" : "AllowReadWriteToSsmDiagnosisBucketInSameAccount", "Effect" : "Allow", "Action" : [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource" : "arn:aws:s3:::do-not-delete-ssm-diagnosis-*/actions/*", "Condition" : { "StringEquals" : { "aws:ResourceAccount" : "${aws:PrincipalAccount}" } } }, { "Sid" : "AllowListBucketOnSsmDiagnosisBucketInSameAccount", "Effect" : "Allow", "Action" : [ "s3:ListBucket" ], "Resource" : "arn:aws:s3:::do-not-delete-ssm-diagnosis-*", "Condition" : { "StringEquals" : { "aws:ResourceAccount" : "${aws:PrincipalAccount}" } } } ] }
Más información
