EC2 Profil d'instance IAM

Un profil d'instance est un conteneur pour un rôle IAM que vous pouvez utiliser pour transmettre des informations de rôle à une EC2 instance lorsque celle-ci démarre.

MALZ

Il existe deux profils d'instance par défaut AMS, customer-mc-ec2-instance-profile etcustomer-mc-ec2-instance-profile-s3. Ces profils d'instance fournissent les autorisations décrites dans le tableau suivant.

Descriptions des politiques
Profil	Stratégies
`customer-mc-ec2-instance-profile`	`AmazonSSMManagedInstanceCore`: Permet aux instances Ec2 d'utiliser l'agent SSM.
	`AMSInstanceProfileLoggingPolicy`: Permet aux instances Ec2 de transférer les journaux vers S3 et CloudWatch.
	`AMSInstanceProfileManagementPolicy`: Permet aux instances Ec2 d'effectuer des actions de démarrage, comme rejoindre Active Directory.
	`AMSInstanceProfileMonitoringPolicy`: Permet aux instances Ec2 de communiquer les résultats aux services de surveillance AMS.
	`AMSInstanceProfilePatchPolicy`: Permet aux instances Ec2 de recevoir des correctifs.
`customer-mc-ec2-instance-profile-s3`	`AMSInstanceProfileBYOEPSPolicy`: Permet aux instances Ec2 d'utiliser AMS pour apporter votre propre EPS.
	`AMSInstanceProfileLoggingPolicy`: Permet aux instances Ec2 de transférer les journaux vers S3 et CloudWatch.
	`AMSInstanceProfileManagementPolicy`: Permet aux instances Ec2 d'effectuer des actions de démarrage, comme rejoindre Active Directory.
	`AMSInstanceProfileMonitoringPolicy`: Permet aux instances Ec2 de communiquer les résultats aux services de surveillance AMS.
	`AMSInstanceProfilePatchPolicy`: Permet aux instances Ec2 de recevoir des correctifs.
	`AMSInstanceProfileS3WritePolicy`: Permet aux instances Ec2 d'accéder read/write aux compartiments S3 du client.

SALZ

Il existe un profil d'instance par défaut AMScustomer-mc-ec2-instance-profile, qui accorde des autorisations conformément à la politique customer_ec2_instance_profile_policy d'instance IAM. Ce profil d'instance fournit les autorisations décrites dans le tableau suivant. Le profil accorde des autorisations aux applications exécutées sur l'instance, et non aux utilisateurs qui se connectent à l'instance.

Les politiques incluent souvent plusieurs instructions, chaque instruction octroyant des autorisations à un ensemble différent de ressources ou octroyant des autorisations dans des conditions spécifiques.

CW = CloudWatch. ARN = nom de la ressource Amazon. * = caractère générique (n'importe lequel).

EC2 autorisations de profil d'instance IAM par défaut
CW = CloudWatch. ARN = nom de la ressource Amazon. * = caractère générique (n'importe lequel).
Déclaration de stratégie	Effet	Actions	Description et ressource (ARN)
Amazon Elastic Compute Cloud (Amazon EC2)
EC2 Actions relatives aux messages	Autorisation	AcknowledgeMessage, DeleteMessage, FailMessage, GetEndpoint, GetMessages, SendReply	Autorise EC2 les actions de messagerie de Systems Manager sur votre compte.
Ec2 Décrire	Autorisation	* (Tous)	Permet à la console d'afficher les détails de configuration EC2 d'un compte.
Je reçois un identifiant de rôle	Autorisation	GetRole	Permet d' EC2 obtenir votre identifiant IAM à partir de `aws:iam:::role/customer-` et`aws:iam:::role/customer_`.
Instance pour télécharger les événements du journal	Autorisation	Créer un groupe de journaux	Permet de créer des journaux dans : `aws:logs:::log-group:i-*`
Instance pour télécharger les événements du journal	Autorisation	Créer un flux de journal	Permet de diffuser les journaux vers : `aws:logs:::log-group:i-*`
CW pour MMS	Autorisation	DescribeAlarms, PutMetricAlarm, PutMetricData	Permet CloudWatch de récupérer les alarmes de votre compte. Permet à CW de créer ou de mettre à jour une alarme et de l'associer à la métrique spécifiée. Permet à CW de publier des points de données métriques sur votre compte.
Mots-clés Ec2	Autorisation	CreateTags, DescribeTags,	Permet d'ajouter, de remplacer et de décrire des balises sur les instances spécifiées dans votre compte.
Refuser explicitement les journaux CW	Refuser	DescribeLogStreams, FilterLogEvents, GetLogEvents	Interdit de répertorier, de filtrer ou d'obtenir les flux de journaux pour : `aws:logs:::log-group:/mc/*`
Amazon EC2 Simple Systems Manager (SSM)
Actions du SSM	Autorisation	DescribeAssociation, GetDocument, ListAssociations, UpdateAssociationStatus, UpdateInstanceInformation	Permet une variété de fonctions SSM dans votre compte.
Accès SSM dans S3	Autorisation	GetObject, PutObject, AbortMultipartUpload, ListMultipartUploadPorts, ListBucketMultipartUploads	Permet au SSM d'entrer et de mettre EC2 à jour des objets, d'abandonner un téléchargement d'objets en plusieurs parties vers, et de répertorier les ports et les compartiments disponibles pour les téléchargements en plusieurs parties. `aws:s3:::mc--internal-/aws/ssm*`
Amazon EC2 Simple Storage Service (S3)
Obtenir un objet dans S3	Autorisation	Get Liste	Permet aux EC2 applications de récupérer et de répertorier des objets dans des compartiments S3 de votre compte.
Accès chiffré au journal S3 par le client	Autorisation	PutObject	Permet aux EC2 applications de mettre à jour des objets dans `aws:s3:::mc--logs-/encrypted/app/*`
Corrigez Data Put Object S3	Autorisation	PutObject	Permet aux EC2 applications de télécharger des données de correctif dans vos compartiments S3 à l'adresse `aws:s3:::awsms-a-patch-data-`
Téléchargement de vos propres journaux vers S3	Autorisation	PutObject	Permet aux EC2 applications de télécharger des journaux personnalisés vers : `aws:s3:::mc-a-logs-/aws/instances//${aws:userid}/`
Refuser explicitement les journaux S3 de MC Namespace	Refuser	GetObject* Mette*	Interdit aux EC2 applications d'obtenir ou de placer des objets depuis ou vers : `aws:s3:::mc--logs-/encrypted/mc`, `aws:s3:::mc--logs-/mc/`, `aws:s3:::mc-a-logs--audit/*`
Refuser explicitement la suppression de S3	Refuser	* (tous)	Interdit aux EC2 applications d'effectuer des actions sur des objets dans : `aws:s3:::mc-a-logs-/`, `aws:s3:::mc-a-internal-/`,
Refuser explicitement le compartiment CFN S3	Refuser	Supprimer*	Interdit aux EC2 applications de supprimer des objets dans : `aws:s3:::cf-templates-*`
Refuser explicitement le bucket de liste S3	Refuser	ListBucket	Vous interdit de répertorier les objets chiffrés, les objets du journal d'audit ou les objets réservés (mc) provenant de : `aws:s3:::mc--logs-`
AWS Secrets Manager sur Amazon EC2
Accès aux secrets de Trend Cloud One	Autorisation	GetSecretValue	Permet EC2 à Amazon d'accéder aux secrets pour la migration vers Trend Cloud One : `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-id`, `arn:aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-activation-token`, `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-id`, `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-guid`
AWS Key Management Service sur Amazon EC2
Clé de déchiffrement Trend Cloud One	Autorisation	Decrypt	Autoriser Amazon EC2 à déchiffrer la AWS KMS clé avec le nom d'alias/-migration ams/eps/cloudone `arn:aws:kms:::alias/ams/eps/cloudone-migration`

Si vous ne connaissez pas les politiques Amazon IAM, consultez la section Présentation des politiques IAM pour obtenir des informations importantes.

Note

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Paramètres de résolution DNS par défaut (MALZ)

Alertes issues de la surveillance de base dans AMS