EC2 Perfil de instancia de IAM

Un perfil de instancia es un contenedor para un rol de IAM que puedes usar para pasar la información del rol a una EC2 instancia cuando se inicia la instancia.

MALZ

Hay dos perfiles de instancia predeterminados de AMS customer-mc-ec2-instance-profile ycustomer-mc-ec2-instance-profile-s3. Estos perfiles de instancia proporcionan los permisos que se describen en la siguiente tabla.

Descripciones de políticas
Perfil	Políticas
`customer-mc-ec2-instance-profile`	`AmazonSSMManagedInstanceCore`: Permite que las instancias Ec2 utilicen el agente SSM.
	`AMSInstanceProfileLoggingPolicy`: Permite que las instancias de Ec2 envíen registros a S3 y. CloudWatch
	`AMSInstanceProfileManagementPolicy`: Permite que las instancias de Ec2 realicen acciones de arranque, como unirse a Active Directory.
	`AMSInstanceProfileMonitoringPolicy`: Permite a las instancias de Ec2 informar de los hallazgos a los servicios de monitoreo de AMS.
	`AMSInstanceProfilePatchPolicy`: Permite que las instancias de Ec2 reciban parches.
`customer-mc-ec2-instance-profile-s3`	`AMSInstanceProfileBYOEPSPolicy`: Permite que las instancias de Ec2 utilicen AMS y traigan su propio EPS.
	`AMSInstanceProfileLoggingPolicy`: Permite que las instancias de Ec2 envíen registros a S3 y. CloudWatch
	`AMSInstanceProfileManagementPolicy`: Permite que las instancias de Ec2 realicen acciones de arranque, como unirse a Active Directory.
	`AMSInstanceProfileMonitoringPolicy`: Permite a las instancias de Ec2 informar de los hallazgos a los servicios de monitoreo de AMS.
	`AMSInstanceProfilePatchPolicy`: Permite que las instancias de Ec2 reciban parches.
	`AMSInstanceProfileS3WritePolicy`: Permite que las instancias de Ec2 lleguen read/write a los buckets S3 del cliente.

SALZ

Hay un perfil de instancia predeterminado de AMS que concede permisos desde la política de instancias de IAM. customer-mc-ec2-instance-profile customer_ec2_instance_profile_policy Este perfil de instancia proporciona los permisos que se describen en la siguiente tabla. El perfil concede permisos a las aplicaciones que se ejecutan en la instancia, no a los usuarios que inician sesión en la instancia.

Las políticas suelen incluir varias sentencias, cada una de las cuales concede permisos a un conjunto diferente de recursos o los concede con una condición específica.

CW = CloudWatch. ARN = Nombre del recurso de Amazon. * = comodín (cualquiera).

EC2 permisos de perfil de instancia de IAM predeterminados
CW = CloudWatch. ARN = Nombre del recurso de Amazon. * = comodín (cualquiera).
Declaración de la política	Efecto	Actions	Descripción y recurso (ARN)
Amazon Elastic Compute Cloud (Amazon EC2)
EC2 Acciones de mensajes	Permitir	AcknowledgeMessage, DeleteMessage, FailMessage, GetEndpoint, GetMessages, SendReply	Permite acciones de mensajería de EC2 Systems Manager en su cuenta.
Ec2 Describa	Permitir	* (Todos)	Permite que la consola muestre los detalles de configuración EC2 de una cuenta.
Soy Get Role ID	Permitir	GetRole	Permite EC2 obtener su ID de IAM de `aws:iam:::role/customer-` y. `aws:iam:::role/customer_`
Instancia para cargar eventos de registro	Permitir	Crear grupo de registros	Permite crear registros en: `aws:logs:::log-group:i-*`
Instancia para cargar eventos de registro	Permitir	Crear flujo de registro	Permite que los registros se transmitan a: `aws:logs:::log-group:i-*`
CW para MMS	Permitir	DescribeAlarms, PutMetricAlarm, PutMetricData	Permite CloudWatch recuperar las alarmas de su cuenta. Permite a CW crear o actualizar una alarma y asociarla a la métrica especificada. Permite a CW publicar puntos de datos métricos en su cuenta.
Etiquetas Ec2	Permitir	CreateTags, DescribeTags,	Permite añadir, sobrescribir y describir etiquetas en las instancias especificadas de su cuenta.
Denegar explícitamente los registros de CW	Denegar	DescribeLogStreams, FilterLogEvents, GetLogEvents	No permite enumerar, filtrar ni obtener las secuencias de registro de: `aws:logs:::log-group:/mc/*`
Amazon EC2 Simple Systems Manager (SSM)
Acciones de SSM	Permitir	DescribeAssociation, GetDocument, ListAssociations, UpdateAssociationStatus, UpdateInstanceInformation	Permite una variedad de funciones de SSM en su cuenta.
Acceso a SSM en S3	Permitir	GetObject, PutObject, AbortMultipartUpload, ListMultipartUploadPorts, ListBucketMultipartUploads	Permite al SSM del sistema EC2 obtener y actualizar objetos y abortar la carga de objetos de varias partes y enumerar los puertos y depósitos disponibles para cargas de varias partes. `aws:s3:::mc--internal-/aws/ssm*`
Amazon EC2 Simple Storage Service (S3)
Obtenga el objeto en S3	Permitir	Get Enumeración	Permite a EC2 las aplicaciones recuperar y enumerar los objetos de los depósitos de S3 de su cuenta.
Acceso al registro cifrado por el cliente (S3)	Permitir	PutObject	Permite a EC2 las aplicaciones actualizar los objetos en `aws:s3:::mc--logs-/encrypted/app/*`
Parche Data Put Object S3	Permitir	PutObject	Permite a EC2 las aplicaciones cargar los datos de los parches a sus depósitos de S3 en `aws:s3:::awsms-a-patch-data-`
Carga de registros propios a S3	Permitir	PutObject	Permite a EC2 las aplicaciones cargar registros personalizados en: `aws:s3:::mc-a-logs-/aws/instances//${aws:userid}/`
Denegar explícitamente los registros de MC Namespace S3	Denegar	GetObject* Pone*	No permite que EC2 las aplicaciones obtengan o coloquen objetos desde o hacia: `aws:s3:::mc--logs-/encrypted/mc`, `aws:s3:::mc--logs-/mc/`, `aws:s3:::mc-a-logs--audit/*`
Denegar explícitamente la eliminación de S3	Denegar	* (todos)	No permite que EC2 las aplicaciones realicen ninguna acción sobre los objetos de: `aws:s3:::mc-a-logs-/`, `aws:s3:::mc-a-internal-/`,
Denegar explícitamente el bucket CFN de S3	Denegar	Delete*	No permite que EC2 las aplicaciones eliminen ningún objeto de: `aws:s3:::cf-templates-*`
Denegar explícitamente List Bucket S3	Denegar	ListBucket	No le permite incluir ningún objeto cifrado, de registro de auditoría o reservado (mc) de: `aws:s3:::mc--logs-`
AWS Secrets Manager en Amazon EC2
Acceso secreto a Trend Cloud One	Permitir	GetSecretValue	Permite EC2 a Amazon acceder a los secretos de la migración de Trend Cloud One: `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-id`, `arn:aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-activation-token`, `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-id`, `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-guid`
AWS Key Management Service en Amazon EC2
Clave de descifrado de Trend Cloud One	Permitir	Decrypt	Permita EC2 que Amazon descifre la AWS KMS clave con el alias/-migration ams/eps/cloudone `arn:aws:kms:::alias/ams/eps/cloudone-migration`

Si no estás familiarizado con las políticas de Amazon IAM, consulta Descripción general de las políticas de IAM para obtener información importante.

nota

Las políticas suelen incluir varias declaraciones, en las que cada declaración concede permisos a un conjunto diferente de recursos o concede permisos bajo una condición específica.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Valores predeterminados de resolución de DNS (MALZ)

Alertas del monitoreo de referencia en AMS