AWS politiques gérées pour AWS Systems Manager - AWS Systems Manager
Amazon SSMService RolePolicySSMAutomationRôle AmazonAmazon SSMRead OnlyAccessAWSSystemsManagerOpsDataSyncServiceRolePolicyAmazon SSMManaged EC2 InstanceDefaultPolicySSMQuickSetupRolePolicyAWSQuickSetupDeploymentRolePolicyAWSQuickSetupPatchPolicyDeploymentRolePolicyAWSQuickSetupPatchPolicyBaselineAccessAWSSystemsManagerEnableExplorerExecutionPolicyAWSSystemsManagerEnableConfigRecordingExecutionPolicyAWSQuickSetupDevOpsGuruPermissionsBoundaryAWSQuickSetupDistributorPermissionsBoundaryAWSQuickConfiguration SSMHost MgmtPermissionsBoundaryAWSQuickSetupPatchPolicyPermissionsBoundaryAWSQuickSetupSchedulerPermissionsBoundaryAWSQuickConfiguration CFGCPacks PermissionsBoundaryAWSQuickSetupStartStopInstancesExecutionPolicyAWSQuickSetupStartSSMAssociationsExecutionPolicyAWS-SSM- - DiagnosisAutomation AdministrationRolePolicyAWS-SSM- - DiagnosisAutomation ExecutionRolePolicyAWS-SSM- - RemediationAutomation AdministrationRolePolicyAWS-SSM- - RemediationAutomation ExecutionRolePolicyAWSQuickConfiguration SSMManage ResourcesExecutionPolicyAWSQuickConfiguration SSMLifecycle ManagementExecutionPolicyAWSQuickConfiguration SSMDeployment RolePolicyAWSQuickConfiguration SSMDeployment S3 BucketRolePolicyAWSQuickSetupEnableDHMCExecutionPolitiqueAWSQuickSetupEnableAREXExecutionPolitiqueAWSQuickSetupManagedInstanceProfileExecutionPolicyAWSQuickSetupManageJITNAResourcesExecutionPolicyAWSQuickConfiguration JITNADeployment RolePolicyAWSSystemsManagerJustInTimeAccessServicePolicyAWSSystemsManagerJustInTimeAccessTokenPolicyAWSSystemsManagerJustInTimeAccessTokenSessionPolicyAWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicyAWSSystemsManagerNotificationsServicePolicyAWS-SSM-Automatisation- DiagnosisBucketPolicyAWS-SSM- - RemediationAutomation OperationalAccountAdministrationRolePolicyAWS-SSM- - DiagnosisAutomation OperationalAccountAdministrationRolePolicyMises à jour des politiquesStratégie supplémentaires gérées pour Systems Manager

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS Systems Manager

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

Rubriques

AWS politique gérée : Amazon SSMService RolePolicy

Cette politique donne accès à un certain nombre de AWS ressources gérées AWS Systems Manager ou utilisées dans le cadre des opérations de Systems Manager.

Vous ne pouvez pas vous associer AmazonSSMServiceRolePolicy à vos entités AWS Identity and Access Management (IAM). Cette politique est associée à un rôle lié à un service qui permet d' AWS Systems Manager effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation des rôles pour collecter l'inventaire et consulter OpsData.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm – Permet aux principaux de démarrer et d’accélérer les exécutions de Run Command et d’automatisation ; de récupérer des informations sur les opérations de Run Command et d’automatisation ; de récupérer des informations sur les paramètres Parameter Store, les calendriers Change Calendar ; de mettre à jour et de récupérer des informations sur les paramètres de services Systems Manager pour les ressources OpsCenter ; et de lire des informations sur les balises qui ont été appliquées aux ressources.

  • cloudformation – Permet aux principaux de récupérer des informations sur les opérations et les instances de stackset, et de supprimer les stacksets sur la ressource arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*. Permet aux principaux de supprimer les instances de pile associées aux ressources suivantes :

    arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

  • cloudwatch— Permet aux directeurs de récupérer des informations sur les CloudWatch alarmes Amazon.

  • compute-optimizer— Permet aux principaux de récupérer le statut d'inscription (opt-in) d'un compte au AWS Compute Optimizer service et de récupérer des recommandations pour les EC2 instances Amazon qui répondent à un ensemble spécifique d'exigences énoncées.

  • config— Permet aux responsables de récupérer les configurations de correction des informations et les enregistreurs de configuration AWS Config, et de déterminer si les AWS Config règles et les AWS ressources spécifiées sont conformes.

  • events— Permet aux principaux de récupérer des informations sur EventBridge les règles, de créer des EventBridge règles et des cibles exclusivement pour le service Systems Manager (ssm.amazonaws.com) et de supprimer des règles et des cibles pour la ressourcearn:aws:events:*:*:rule/SSMExplorerManagedRule.

  • ec2— Permet aux principaux de récupérer des informations sur les EC2 instances Amazon.

  • iam – Permet aux principaux de transmettre les autorisations de rôles pour le service Systems Manager (ssm.amazonaws.com).

  • lambda – Permet aux principaux d’invoquer des fonctions Lambda configurées spécifiquement pour être utilisées par Systems Manager.

  • resource-explorer-2— Permet aux principaux de récupérer des données sur EC2 les instances afin de déterminer si chaque instance est actuellement gérée par Systems Manager.

    L’action resource-explorer-2:CreateManagedView est autorisée pour la ressource arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*.

  • resource-groups— Permet aux principaux de récupérer des groupes de ressources de liste et leurs membres parmi AWS Resource Groups les ressources appartenant à un groupe de ressources.

  • securityhub— Permet aux principaux de récupérer des informations sur les ressources du AWS Security Hub hub dans le compte courant.

  • states— Permet aux principaux de démarrer et de récupérer les informations AWS Step Functions configurées spécifiquement pour être utilisées par Systems Manager.

  • support – Permet aux principaux de récupérer des informations sur les contrôles et les dossiers dans AWS Trusted Advisor.

  • tag – Permet aux principaux de récupérer des informations sur toutes les ressources étiquetées ou précédemment étiquetées qui se trouvent dans une Région AWS spécifié pour un compte.

Pour en savoir plus sur la politique, y compris la dernière version du document de politique JSON, consultez Amazon SSMService RolePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon SSMAutomation Role

Vous pouvez associer la politique AmazonSSMAutomationRole à vos identités IAM. Cette politique autorise le service AWS Systems Manager Automation à exécuter les activités définies dans les runbooks Automation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • lambda : permet aux principaux d’invoquer des fonctions Lambda dont les noms commencent par « Automation ». Cela est nécessaire pour que les dossiers d’exploitation Automation exécutent les fonctions Lambda dans le cadre de leur flux de travail.

  • ec2— Permet aux directeurs d'effectuer diverses EC2 opérations Amazon, notamment la création, la copie et le désenregistrement d'images, la gestion des instantanés, le démarrage, l'exécution, l'arrêt et la résiliation d'instances, la gestion du statut des instances, ainsi que la création, la suppression et la description de balises. Ces autorisations permettent aux runbooks Automation de gérer les EC2 ressources Amazon pendant l'exécution.

  • cloudformation— Permet aux principaux de créer, de décrire, de mettre à jour et de supprimer des CloudFormation piles. Cela permet aux runbooks d'automatisation de gérer l'infrastructure sous forme de code. CloudFormation

  • ssm : permet aux principaux d’utiliser toutes les actions Systems Manager. Cet accès complet est nécessaire pour que les dossiers d’exploitation d’Automation puissent interagir avec tous les outils de Systems Manager.

  • sns : permet aux principaux de publier des messages sur les rubriques Amazon SNS avec des noms commençant par « Automation ». Cela permet aux dossiers d’exploitation Automation d’envoyer des notifications lors de l’exécution.

  • ssmmessages : permet aux principaux d’ouvrir des canaux de données vers les sessions de Systems Manager. Cela permet aux dossiers d’exploitation Automation d’établir des canaux de communication pour les opérations basées sur les sessions.

Pour en savoir plus sur la politique, y compris la dernière version du document de politique JSON, consultez Amazon SSMAutomation Role dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon SSMRead OnlyAccess

Vous pouvez associer la politique AmazonSSMReadOnlyAccess à vos identités IAM. Cette politique accorde un accès en lecture seule aux opérations d' AWS Systems Manager APIDescribe*, notammentGet*, et. List*

Pour en savoir plus sur la politique, y compris la dernière version du document de politique JSON, consultez Amazon SSMRead OnlyAccess dans le AWS Managed Policy Reference Guide.

AWS politique gérée : AWSSystems ManagerOpsDataSyncServiceRolePolicy

Vous ne pouvez pas joindre de AWSSystemsManagerOpsDataSyncServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié au service qui permet à Systems Manager d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles pour créer des OpsData et des OpsItems pour Explorer.

AWSSystemsManagerOpsDataSyncServiceRolePolicypermet au rôle AWSServiceRoleForSystemsManagerOpsDataSync lié au service de créer et de mettre à jour OpsItems et à OpsData partir AWS Security Hub des résultats.

Sauf mention contraire, la politique permet à Systems Manager d'effectuer les actions suivantes sur toutes les ressources connexes ("Resource": "*") :

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

[1] Les actions ssm:GetOpsItem et ssm:UpdateOpsItem ne sont autorisées par la condition suivante que pour le service Systems Manager.

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] L'action ssm:AddTagsToResource n'est autorisée que pour la ressource suivante.

arn:aws:ssm:*:*:opsitem/*

[3] Les actions ssm:UpdateServiceSetting et ssm:GetServiceSetting ne sont autorisées que pour les ressources suivantes.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] Les autorisations sont refusées aux securityhub:BatchUpdateFindings par la condition suivante, pour le service Systems Manager uniquement.

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSSystemsManagerOpsDataSyncServiceRolePolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : Amazon SSMManaged EC2 InstanceDefaultPolicy

Vous ne devez associer AmazonSSMManagedEC2InstanceDefaultPolicy aux rôles IAM que les EC2 instances Amazon pour lesquelles vous souhaitez être autorisé à utiliser les Systems Manager fonctionnalités. Vous ne devez pas associer ce rôle à d’autres entités IAM, telles que les utilisateurs IAM et les groupes IAM, ni à des rôles IAM ayant d’autres objectifs. Pour de plus amples informations, veuillez consulter Gestion automatique EC2 des instances avec la configuration de gestion d'hôte par défaut.

Cette politique accorde des autorisations qui permettent SSM Agent à votre EC2 instance Amazon de communiquer avec le service Systems Manager dans le cloud afin d'effectuer diverses tâches. Il accorde également des autorisations pour les deux services qui fournissent des jetons d’autorisation pour s’assurer que les opérations sont effectuées sur l’instance correcte.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm – Permet aux principaux de récupérer des documents, d’exécuter des commandes à l’aide de Run Command, d’établir des sessions à l’aide de Session Manager, de collecter un inventaire de l’instance et de rechercher des correctifs et la conformité des correctifs à l’aide de Patch Manager.

  • ssmmessages – Permet aux principaux d’accéder, pour chaque instance, à un jeton d’autorisation personnalisé créé par le service Amazon Message Gateway. Systems Manager valide le jeton d’autorisation personnalisé par rapport à l’Amazon Resource Name (ARN) de l’instance qui a été fournie lors de l’opération d’API. Cet accès est nécessaire pour garantir que l’SSM Agent exécute des opérations d’API sur la bonne instance.

  • ec2messages – Permet aux principaux d’accéder, pour chaque instance, à un jeton d’autorisation personnalisé créé par le service Amazon Message Delivery. Systems Manager valide le jeton d’autorisation personnalisé par rapport à l’Amazon Resource Name (ARN) de l’instance qui a été fournie lors de l’opération d’API. Cet accès est nécessaire pour garantir que l’SSM Agent exécute des opérations d’API sur la bonne instance.

Pour des informations connexes sur les points de terminaison ssmmessages et ec2messages, y compris les différences entre les deux, consultez Opérations d’API liées à un agent (points de terminaison ssmmessages et ec2messages).

Pour en savoir plus sur la politique, y compris la dernière version du document de politique JSON, consultez Amazon SSMManaged EC2 InstanceDefaultPolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : SSMQuick SetupRolePolicy

Vous ne pouvez pas vous associer SSMQuick SetupRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié au service qui permet à Systems Manager d’effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles pour maintenir l’état et la cohérence des ressources provisionnées par Quick Setup.

Cette politique accorde des autorisations en lecture seule qui permettent au Systems Manager de vérifier l’état de la configuration, d’assurer une utilisation cohérente des paramètres et des ressources provisionnées et de corriger les ressources lorsqu’une dérive est détectée. Il accorde également des autorisations administratives pour la création d’un rôle lié à un service.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm – Permet aux principaux de lire les informations sur les synchronisations de données de ressources et les documents SSM dans Systems Manager, y compris dans les comptes d’administrateur délégué. Cela est nécessaire afin que Quick Setup détermine l’état dans lequel les ressources configurées sont censées se trouver.

  • organizations – Permet aux principaux de lire les informations relatives aux comptes des membres appartenant à une organisation, tels que configurés dans AWS Organizations. Cela est nécessaire afin que Quick Setup identifie tous les comptes d’une organisation où des surveillances de l’état des ressources doivent être effectués.

  • cloudformation— Permet aux directeurs d'école de lire des informations à partir de CloudFormation. Cela est nécessaire pour Quick Setup recueillir des données sur les CloudFormation piles utilisées pour gérer l'état des ressources et les opérations des CloudFormation stacksets.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez SSMQuickSetupRolePolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick SetupDeploymentRolePolicy

La politique gérée AWSQuickSetupDeploymentRolePolicy prend en charge plusieurs types de configuration Quick Setup. Les types de configuration suivants créent des rôles et des automatisations IAM qui configurent rapidement les services et fonctions Amazon Web Services fréquemment utilisés avec les bonnes pratiques recommandées.

Vous pouvez attacher AWSQuickSetupDeploymentRolePolicy à vos entités IAM.

Cette politique accorde les autorisations administratives nécessaires pour créer des ressources associées aux configurations Quick Setup suivantes :

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm— Permet aux principaux de lire, de créer, de mettre à jour et de supprimer des documents SSM dont les noms commencent par « AWSQuick Setup- » ou « AWSOperations Pack- » lorsqu'ils sont appelés via CloudFormation ; de lire des documents AWS propriétaires spécifiques, y compris AWSQuickSetupType-ManageInstanceProfile « » ; de créer, mettre à jour et supprimer des associations pour des Quick Setup documents et des documents AWS détenus lorsqu'ils sont appelés via CloudFormation ; et de nettoyer les ressources existantes étiquetées avec. QuickSetupID Cela permet à Quick Setup de déployer et de gérer les flux de travail et les associations d’automatisation.

  • cloudformation— Permet aux directeurs de lire des informations sur les CloudFormation piles et les ensembles de piles, ainsi que de créer, de mettre à jour et de supprimer des CloudFormation piles et de modifier des ensembles pour les ressources dont le nom commence par « StackSet -AWS- - ». QuickSetup Cela permet à Quick Setup de gérer les déploiements d’infrastructures à travers les comptes et les régions.

  • config— Permet aux principaux de lire des informations sur les packs de AWS Config conformité et leur statut, et de créer et de supprimer des packs de conformité dont le nom commence par « AWS- QuickSetup - » lorsqu'ils sont appelés via. CloudFormation Cela permet à Quick Setup de déployer des configurations de surveillance de la conformité.

  • events— Permet aux principaux de gérer les EventBridge règles et les cibles pour les ressources dont les noms contiennent « QuickSetup - ». Cela permet à Quick Setup de créer des flux de travail automatisés planifiés.

  • iam— Permet aux principaux de créer des rôles liés aux services pour et Systems AWS Config Manager ; de créer, gérer et supprimer des rôles IAM dont les noms commencent par « AWS- » ou « AWSOperations Pack QuickSetup - » lorsqu'ils sont appelés via CloudFormation ; de transmettre ces rôles à Systems Manager et aux EventBridge services ; d'associer des politiques AWS gérées spécifiques à ces rôles ; et de définir des limites d'autorisations à l'aide de politiques gérées spécifiques. Quick Setup Cela permet à Quick Setup de créer les rôles de service nécessaires à ses opérations.

  • resource-groups : permet aux principaux de récupérer des requêtes de groupes de ressources. Cela permet à Quick Setup de cibler des ensembles de ressources spécifiques pour la gestion de la configuration.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupDeploymentRolePolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick SetupPatchPolicyDeploymentRolePolicy

La politique gérée AWSQuickSetupPatchPolicyDeploymentRolePolicy prend en charge le type Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup Quick Setup. Ce type de configuration permet d’automatiser le patchage des applications et des nœuds dans un seul compte ou dans votre organisation.

Vous pouvez également attacher AWSQuickSetupPatchPolicyDeploymentRolePolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Cette politique accorde des autorisations administratives qui permettent à Quick Setup de créer des ressources associées à une configuration de politique de correctifs.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam – Permet aux principaux de gérer et de supprimer les rôles IAM requis pour les tâches de configuration d’automatisation ; ainsi que de gérer les politique relatives aux rôles d’automatisation.

  • cloudformation— Permet aux principaux de lire les informations relatives aux CloudFormation piles et de contrôler les CloudFormation piles créées à Quick Setup l'aide d'ensembles de CloudFormation piles.

  • ssm – Permet aux principaux de créer, de mettre à jour, de lire et de supprimer les dossiers d’exploitation d’automatisation requis pour les tâches de configuration, ainsi que de créer, mettre à jour et supprimer des associations State Manager.

  • resource-groups – Permet aux principaux de récupérer les requêtes de ressources associées aux groupes de ressources ciblés par les configurations Quick Setup.

  • s3 – Permet aux principaux de répertorier les compartiments Amazon S3 ; ainsi que de gérer les compartiments pour stocker les journaux d’accès aux politiques de correctifs.

  • lambda— Permet aux principaux de gérer les fonctions de AWS Lambda correction qui maintiennent les configurations dans le bon état.

  • logs – Permet aux principaux de décrire et de gérer les groupes de journaux pour les ressources de configuration Lambda.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupPatchPolicyDeploymentRolePolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick SetupPatchPolicyBaselineAccess

La politique gérée AWSQuickSetupPatchPolicyBaselineAccess prend en charge le type Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup Quick Setup. Ce type de configuration permet d’automatiser le patchage des applications et des nœuds dans un seul compte ou dans votre organisation.

Vous pouvez également attacher AWSQuickSetupPatchPolicyBaselineAccess à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Cette politique fournit des autorisations en lecture seule pour accéder aux lignes de base de correctifs configurées par un administrateur de l'entreprise actuelle Compte AWS ou de l'organisation qui l'utilise. Quick Setup Les lignes de base des correctifs sont stockées dans un compartiment Amazon S3 et peuvent être utilisées pour les instances de correctifs dans un seul compte ou dans toute une organisation.

Détails de l’autorisation

Cette politique inclut l’autorisation suivante.

  • s3 – Permet aux principaux de lire les ls remplacements du référentiel de correctifs stockées dans des compartiments Amazon S3.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupPatchPolicyBaselineAccess dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSSystemsManagerEnableExplorerExecutionPolicy

La politique gérée AWSSystemsManagerEnableExplorerExecutionPolicy prend en charge l'activationExplorer, un outil dans AWS Systems Manager.

Vous pouvez également attacher AWSSystemsManagerEnableExplorerExecutionPolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Cette politique accorde des autorisations administratives pour l’ activation de Explorer. Cela inclut les autorisations pour mettre à jour les paramètres de service Systems Manager associés et pour créer un rôle lié au service pour Systems Manager.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • config – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule aux détails de l’enregistreur de configuration.

  • iam – Permet aux principaux de contribuer à activer Explorer.

  • ssm – Permet aux principaux de démarrer un flux de travail d’automatisation qui active Explorer.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSSystemsManagerEnableExplorerExecutionPolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSSystemsManagerEnableConfigRecordingExecutionPolicy

La politique gérée AWSSystemsManagerEnableConfigRecordingExecutionPolicy prend en charge le type de configuration Créer un enregistreur de configuration AWS Config à l’aide de Quick Setup Quick Setup. Ce type de configuration permet Quick Setup de suivre et d'enregistrer les modifications apportées aux types de AWS ressources que vous choisissez AWS Config. Il permet également à Quick Setup de configurer les options de livraison et de notification des données enregistrées.

Vous pouvez également attacher AWSSystemsManagerEnableConfigRecordingExecutionPolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Cette politique accorde des autorisations administratives qui permettent d'Quick Setupactiver et de configurer l'enregistrement AWS Config de configuration.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • s3 – Permet aux principaux de créer et de configurer des compartiments Amazon S3 pour la livraison des enregistrements de configuration.

  • sns – Permet aux principaux d’obtenir une liste de rubriques Amazon SNS.

  • config – Permet aux principaux de configurer et de démarrer l’enregistreur de configuration ; et d’aider à activer Explorer.

  • iam— Permet aux principaux de créer, d'obtenir et de transmettre un rôle lié à un service pour AWS Config ; de créer un rôle lié à un service pour Systems Manager ; et de contribuer à l'activer. Explorer

  • ssm – Permet aux principaux de démarrer un flux de travail d’automatisation qui active Explorer.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite avec AWS Compute Optimizer.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSSystemsManagerEnableConfigRecordingExecutionPolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick SetupDevOpsGuruPermissionsBoundary

Note

Cette politique est une limite des autorisations. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupDevOpsGuruPermissionsBoundary prend en charge le type Configurer DevOps Guru à l’aide de Quick Setup. Le type de configuration active Amazon DevOps Guru, basé sur l'apprentissage automatique. Le service DevOps Guru peut contribuer à améliorer les performances opérationnelles et la disponibilité d'une application.

Lorsque vous créez une configuration AWSQuickSetupDevOpsGuruPermissionsBoundary à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.

Cette politique accorde des autorisations administratives qui permettent Quick Setup d'activer et de configurer Amazon DevOps Guru.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux directeurs de créer des rôles liés aux services pour DevOps Guru et Systems Manager, et de répertorier les rôles qui les aident à les activer. Explorer

  • cloudformation – Permet aux principaux de décrire et de répertorier des piles CloudFormation .

  • sns – Permet aux principaux d’obtenir une liste de rubriques Amazon SNS.

  • devops-guru— Permet aux principaux de configurer DevOps Guru et d'ajouter un canal de notification.

  • config – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule aux détails de l’enregistreur de configuration.

  • ssm – Permet aux principaux de démarrer un flux de travail d’automatisation qui active Explorer ; et de lire et de mettre à jour les paramètres du service Explorer.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite avec AWS Compute Optimizer.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupDevOpsGuruPermissionsBoundary dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick SetupDistributorPermissionsBoundary

Note

Cette politique est une limite des autorisations. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupDistributorPermissionsBoundary prend en charge le type de configuration Déployer les packages Distributor en utilisant Quick Setup Quick Setup. Le type de configuration permet de distribuer des packages logiciels, tels que des agents, à vos instances Amazon Elastic Compute Cloud (Amazon EC2), à l'aide de Distributor, un outil intégré à AWS Systems Manager.

Lorsque vous créez une configuration AWSQuickSetupDistributorPermissionsBoundary à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.

Cette politique accorde des autorisations administratives qui Quick Setup permettent de distribuer des packages logiciels, tels que des agents, à vos EC2 instances Amazon à l'aide de Distributor.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux d'obtenir et de transmettre le rôle d'automatisation du distributeur ; de créer, lire, mettre à jour et supprimer le rôle d'instance par défaut ; de transmettre le rôle d'instance par défaut à Amazon EC2 et à Systems Manager ; d'associer des politiques de gestion d'instance aux rôles d'instance ; de créer un rôle lié au service pour Systems Manager ; d'ajouter le rôle d'instance par défaut aux profils d'instance ; de lire des informations sur les rôles IAM et les profils d'instance ; et de créer le profil d'instance par défaut.

  • ec2— Permet aux principaux d'associer le profil d'instance par défaut aux EC2 instances ; et de contribuer à l'activerExplorer.

  • ssm – Permet aux principaux de démarrer des flux de travail d’automatisation qui configurent les instances et installent des packages, d’aider à démarrer le flux de travail d’automatisation qui active Explorer ; et de lire et de mettre à jour les paramètres des services Explorer.

  • config – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule aux détails de l’enregistreur de configuration.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite avec AWS Compute Optimizer.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupDistributorPermissionsBoundary dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick Configuration SSMHost MgmtPermissionsBoundary

Note

Cette politique est une limite des autorisations. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupSSMHostMgmtPermissionsBoundary prend en charge le type de configuration Configurer la gestion des hôtes Amazon EC2 à l’aide d’Quick Setup Quick Setup. Ce type de configuration configure les rôles IAM et permet aux outils Systems Manager couramment utilisés de gérer en toute sécurité vos instances Amazon EC2 .

Lorsque vous créez une configuration AWSQuickSetupSSMHostMgmtPermissionsBoundary à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.

Cette politique accorde des autorisations administratives qui permettent Quick Setup d'activer et de configurer les outils Systems Manager nécessaires à la gestion sécurisée des EC2 instances.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam – Permet aux principaux d’obtenir et de transmettre le rôle de service d’automatisation. Permet aux principaux de créer, lire, mettre à jour et supprimer le rôle d'instance par défaut ; de transmettre le rôle d'instance par défaut à Amazon EC2 et à Systems Manager ; d'associer des politiques de gestion d'instance aux rôles d'instance ; de créer un rôle lié au service pour Systems Manager ; d'ajouter le rôle d'instance par défaut aux profils d'instance ; de lire des informations sur les rôles IAM et les profils d'instance ; et de créer le profil d'instance par défaut.

  • ec2— Permet aux principaux d'associer et de dissocier le profil d'instance par défaut des EC2 instances.

  • ssm – Permet aux principaux de démarrer des flux de travail Automation qui activent Explorer ; de lire et de mettre à jour les paramètres des services Explorer ; de configurer des instances et d’activer les outils de Systems Manager sur les instances.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite avec AWS Compute Optimizer.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir AWSQuickConfiguration SSMHost MgmtPermissionsBoundary dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuick SetupPatchPolicyPermissionsBoundary

Note

Cette politique est une limite des autorisations. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupPatchPolicyPermissionsBoundary prend en charge le type Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup Quick Setup. Ce type de configuration permet d’automatiser le patchage des applications et des nœuds dans un seul compte ou dans votre organisation.

Lorsque vous créez une configuration AWSQuickSetupPatchPolicyPermissionsBoundary à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.

Cette politique accorde des autorisations administratives qui permettent à Quick Setup d’activer et de configurer des politiques de correctifs dans Patch Manager, un outil d’ AWS Systems Manager.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux d'obtenir le rôle d'Patch Managerautomatisation ; de transmettre des rôles d'automatisation aux opérations de correction ; de créer le rôle d'instance par défaut AmazonSSMRoleForInstancesQuickSetup ; de transmettre le rôle d'instance par défaut à Amazon EC2 et à Systems Manager ; d'associer des politiques AWS gérées au rôle d'instance ; de créer un rôle lié à un service pour Systems Manager ; d'ajouter le rôle d'instance par défaut aux profils d'instance ; de lire des informations sur les profils et les rôles d'instance ; de créer un profil d'instance par défaut ; et de baliser les rôles qui ont l'autorisation de Patch Manager lire les remplacements de la ligne de base des correctifs.

  • ssm – Permet aux principaux de mettre à jour le rôle d’instance géré par Systems Manager ; de gérer les associations créées par les politiques de correctif Patch Manager créées dans Quick Setup ; de baliser les instances ciblées par une configuration de politique de correctif ; de lire des informations sur les instances et le statut des correctifs ; de démarrer des flux de travail d’automatisation qui configurent, activent et corrigent les correctifs d’instance ; de démarrer des flux de travail automatisés qui activent Explorer ; d’aider à activer Explorer ; et de lire et mettre à jour les paramètres de service Explorer.

  • ec2— Permet aux principaux d'associer et de dissocier le profil d'instance par défaut aux EC2 instances, de baliser les instances ciblées par une configuration de politique de correctifs, de baliser les instances ciblées par une configuration de politique de correctifs et de contribuer à l'activation. Explorer

  • s3 – Permet aux principaux de créer et de configurer des buckets S3 pour stocker les remplacements du référentiel de correctifs,

  • lambda— Permet aux principaux d'invoquer des AWS Lambda fonctions qui configurent l'application de correctifs et d'effectuer des opérations de nettoyage après la suppression d'une configuration de politique de Quick Setup correctifs.

  • logs— Permet aux principaux de configurer la journalisation des Patch Manager Quick Setup AWS Lambda fonctions.

  • config – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule aux détails de l’enregistreur de configuration.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite avec AWS Compute Optimizer.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupPatchPolicyPermissionsBoundary dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick SetupSchedulerPermissionsBoundary

Note

Cette politique est une limite des autorisations. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupSchedulerPermissionsBoundary prend en charge le type de configuration Arrêter et démarrer les instances EC2 automatiquement selon un calendrier en utilisant Quick Setup Quick Setup. Ce type de configuration vous permet d'arrêter et de démarrer vos EC2 instances et autres ressources aux heures que vous spécifiez.

Lorsque vous créez une configuration AWSQuickSetupSchedulerPermissionsBoundary à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.

Cette politique accorde des autorisations administratives qui permettent d'Quick Setupactiver et de configurer des opérations planifiées sur des EC2 instances et d'autres ressources.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux de récupérer et de transmettre des rôles pour les actions d'automatisation de la gestion des instances ; de gérer, transmettre et associer des rôles d'instance par défaut pour la gestion des EC2 instances ; de créer des rôles d'instance par défaut aux profils d'instance ; de créer un rôle lié à un service pour Systems Manager ; de lire des informations sur les rôles IAM et les profils d'instance ; d'associer un profil d'instance par défaut aux EC2 instances ; et de démarrer des flux de travail d'automatisation pour configurer les instances et activer Systems Manager les outils sur celles-ci.

  • ssm – Permet aux principaux de démarrer des flux de travail d’automatisation qui activent Explorer ; et de lire et de mettre à jour les paramètres du service Explorer.

  • ec2 — Permet aux principaux de localiser les instances ciblées, de les démarrer et de les arrêter selon un calendrier.

  • config – Permet aux principaux de contribuer à activer Explorer en fournissant un accès en lecture seule aux détails de l’enregistreur de configuration.

  • compute-optimizer— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule pour déterminer si une ressource est inscrite. AWS Compute Optimizer

  • support— Permet aux principaux de contribuer à l'activation Explorer en fournissant un accès en lecture seule aux AWS Trusted Advisor chèques d'un compte.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupSchedulerPermissionsBoundary dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick Configuration CFGCPacks PermissionsBoundary

Note

Cette politique est une limite des autorisations. Une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Vous ne devez pas utiliser et joindre vous-même des politiques de limite des autorisations Quick Setup. Les politiques de limites d’autorisations Quick Setup ne doivent être associées qu’aux rôles gérés Quick Setup. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

La politique gérée AWSQuickSetupCFGCPacksPermissionsBoundary prend en charge le type de configuration Déployer le pack de conformité AWS Config à l’aide de Quick Setup Quick Setup. Ce type de configuration déploie des packs de AWS Config conformité. Les packs de conformité sont des ensembles de AWS Config règles et d'actions correctives qui peuvent être déployés en tant qu'entité unique.

Lorsque vous créez une configuration AWSQuickSetupCFGCPacksPermissionsBoundary à l’aide de Quick Setup, le système applique cette limite des autorisations aux rôles IAM créés lors du déploiement de la configuration. La limite des autorisations permet de limiter l’étendue des rôles créés par Quick Setup.

Cette politique accorde des autorisations d’administrateur qui permettent à Quick Setup de déployer des packs de conformité AWS Config .

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux de créer, d'obtenir et de transmettre un rôle lié à un service pour. AWS Config

  • sns – Permet aux principaux de répertorier les applications de plate-forme sur Amazon SNS.

  • config— Permet aux responsables de déployer des packs de AWS Config conformité, de connaître l'état des packs de conformité et d'obtenir des informations sur les enregistreurs de configuration.

  • ssm – Permet aux principaux d’obtenir des informations sur les documents SSM et les flux de travail d’automatisation, d’obtenir des informations sur les balises de ressources, ainsi que d’obtenir des informations sur les paramètres de service et de les mettre à jour.

  • compute-optimizer – Permet aux principaux d’obtenir le statut d’un compte.

  • support – Permet aux principaux d’obtenir des informations sur les chèques AWS Trusted Advisor .

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir AWSQuickConfiguration CFGCPacks PermissionsBoundary dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuick SetupStartStopInstancesExecutionPolicy

Vous pouvez attacher AWSQuickSetupStartStopInstancesExecutionPolicy à vos entités IAM. Cette politique fournit des autorisations Quick Setup pour gérer le démarrage et l'arrêt des EC2 instances Amazon à l'aide de l'automatisation de Systems Manager.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ec2— Permet aux principaux de décrire les EC2 instances Amazon, leur statut, leurs régions et leurs tags. Permet également de démarrer et d'arrêter des EC2 instances Amazon spécifiques.

  • ssm— Permet aux directeurs d'obtenir l'état du calendrier en Quick Setup modifiant les calendriers, en démarrant des associations et en exécutant des documents d'automatisation, par exemple en planifiant.

  • iam— Permet aux principaux de transmettre des rôles Quick Setup IAM à Systems Manager pour une exécution automatisée, avec des conditions qui limitent le service à ssm.amazonaws.com et à une ressource spécifique. ARNs

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupStartStopInstancesExecutionPolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick SetupStart SSMAssociations ExecutionPolicy

Cette politique accorde des autorisations permettant à Quick Setup d’exécuter le dossier d’exploitation d’automatisation AWSQuickSetupType-Scheduler-ChangeCalendarState. Ce runbook est utilisé pour gérer les états du calendrier des modifications pour les opérations planifiées dans les Quick Setup configurations.

Vous pouvez également attacher AWSQuickSetupStartSSMAssociationsExecutionPolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm : permet aux principaux de démarrer des exécutions automatisées spécifiquement pour le document AWSQuickSetupType-Scheduler-ChangeCalendarState. Cela est nécessaire Quick Setup pour gérer les modifications des états du calendrier pour les opérations planifiées.

  • iam— Permet aux principaux de transmettre des rôles dont le nom commence par « AWS- QuickSetup - » au service Systems Manager. Cette autorisation est réservée à l'utilisation de documents SSM spécifiques liés à la gestion du calendrier des modifications. Cela est nécessaire pour que Quick Setup puisse transmettre le rôle d’exécution approprié au processus d’automatisation.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupStartSSMAssociationsExecutionPolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy

La politique AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy fournit des autorisations pour diagnostiquer les problèmes liés aux nœuds qui interagissent avec les services Systems Manager en démarrant des flux de travail d’automatisation dans les comptes et les régions où les nœuds sont gérés.

Vous pouvez également associer AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy à vos entités IAM. Systems Manager associe également cette politique à un rôle de service qui permet à Systems Manager d’effectuer un diagnostic des actions en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm – Permet aux principaux d’exécuter des dossiers d’exploitation Automation spécifiques qui diagnostiquent les problèmes liés aux nœuds, accèdent au statut d’exécution d’un flux de travail et récupèrent les détails de l’exécution. La politique accorde des autorisations pour décrire les exécutions automatisées, décrire les exécutions des étapes d’automatisation, obtenir les détails de l’exécution de l’automatisation et démarrer les exécutions automatisées pour les documents relatifs au diagnostic.

  • kms : permet aux principaux d’utiliser les clés AWS Key Management Service spécifiées par le client pour le déchiffrement et la génération de clés de données lorsqu’ils accèdent à des objets chiffrés dans des compartiments Amazon S3 utilisés pour les opérations de diagnostic. Ces autorisations sont limitées aux clés balisées avec SystemsManagerManaged et utilisées via le service Amazon S3 avec des exigences de contexte de chiffrement spécifiques.

  • sts – Permet aux principaux d’assumer des rôles d’exécution des diagnostics pour exécuter des dossiers d’exploitation d’automatisation sur le même compte. Cette autorisation est limitée aux rôles dotés du modèle de dénomination AWS-SSM-DiagnosisExecutionRole et inclut une condition garantissant que le compte de ressources correspond au compte principal.

  • iam – Permet aux principaux de transmettre le rôle d’administration des diagnostics à Systems Manager pour exécuter des dossiers d’exploitation Automation. Cette autorisation est limitée aux rôles dotés du modèle de dénomination AWS-SSM-DiagnosisAdminRole et ne peut être transmise qu’au service Systems Manager.

  • s3 : permet aux principaux d’accéder, de lire, d’écrire et de supprimer des objets dans les compartiments Amazon S3 utilisés pour les opérations de diagnostic. Ces autorisations sont limitées aux compartiments dotés du même modèle de dénomination do-not-delete-ssm-diagnosis- et incluent des conditions garantissant que les opérations sont effectuées au sein du même compte.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWS-SSM DiagnosisAutomation - AdministrationRolePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy

La politique gérée AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy fournit des autorisations administratives pour exécuter des dossiers d’exploitation d’automatisation dans un Compte AWS et une région ciblée afin de diagnostiquer les problèmes liés aux nœuds gérés qui interagissent avec les services Systems Manager.

Vous pouvez également attacher AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ec2— Permet aux responsables de décrire les ressources Amazon EC2 et Amazon VPC ainsi que leurs configurations afin de diagnostiquer les problèmes liés Systems Manager aux services. Cela inclut les autorisations de description VPCs, les attributs VPC, les points de terminaison VPC, les sous-réseaux, les groupes de sécurité, les instances et les passerelles Internet.

  • ssm – Permet aux principaux d’exécuter des dossiers d’exploitation d’automation spécifiques au diagnostic et d’accéder au statut du flux de travail d’automatisation et aux métadonnées d’exécution. Cela inclut les autorisations permettant de décrire les exécutions des étapes d'automatisation, de décrire les informations sur les instances, de décrire les exécutions d'automatisation, d'obtenir des détails sur l'exécution de l'automatisation et de démarrer des exécutions d'automatisation pour des documents de EC2 diagnostic AWS non gérés spécifiques.

  • kms : permet aux principaux d’utiliser les clés AWS Key Management Service spécifiées par le client pour le déchiffrement et la génération de clés de données lorsqu’ils accèdent à des objets chiffrés dans des compartiments Amazon S3 utilisés pour les opérations de diagnostic. Ces autorisations sont limitées aux clés balisées avec SystemsManagerManaged et utilisées via le service Amazon S3 avec des exigences de contexte de chiffrement spécifiques pour les compartiments de diagnostic.

  • iam – Permet aux principaux de transmettre le rôle d’exécution des diagnostics à Systems Manager pour exécuter des documents Automation. Cette autorisation est limitée aux rôles dotés du modèle de dénomination AWS-SSM-DiagnosisExecutionRole et ne peut être transmise qu’au service Systems Manager.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWS-SSM DiagnosisAutomation - ExecutionRolePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : AWS-SSM-RemediationAutomation-AdministrationRolePolicy

La politique AWS-SSM-RemediationAutomation-AdministrationRolePolicy fournit des autorisations pour résoudre les problèmes liés aux services Systems Manager en exécutant les activités définies dans les documents Automation ; principalement utilisée pour l’exécution des documents Automation. Cette politique permet de démarrer des flux de travail Automation dans les comptes et régions où les nœuds sont gérés pour résoudre les problèmes de connectivité et de configuration.

Vous pouvez également attacher AWS-SSM-RemediationAutomation-AdministrationRolePolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions correctives en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm – Permet aux principaux d’exécuter des dossiers d’exploitation Automation spécifiques qui corrigent les problèmes liés aux nœuds, accèdent au statut d’exécution d’un flux de travail et récupèrent les détails de l’exécution. La politique accorde des autorisations pour décrire les exécutions automatisées, décrire les exécutions des étapes d’automatisation, obtenir les détails de l’exécution de l’automatisation et démarrer les exécutions automatisées pour les documents relatifs à la correction.

  • kms : permet aux principaux d’utiliser les clés AWS Key Management Service spécifiées par le client pour le déchiffrement et la génération de clés de données lorsqu’ils accèdent à des objets chiffrés dans des compartiments Amazon S3 utilisés pour les opérations de correction. Ces autorisations sont limitées aux clés balisées avec SystemsManagerManaged et utilisées via le service Amazon S3 avec des exigences de contexte de chiffrement spécifiques.

  • sts – Permet aux principaux d’assumer des rôles d’exécution des corrections pour exécuter des dossiers d’exploitation Automation sur le même compte. Cette autorisation est limitée aux rôles dotés du modèle de dénomination AWS-SSM-RemediationExecutionRole et inclut une condition garantissant que le compte de ressources correspond au compte principal.

  • iam – Permet aux principaux de transmettre le rôle d’administration des corrections à Systems Manager pour exécuter des dossiers d’exploitation Automation. Cette autorisation est limitée aux rôles dotés du modèle de dénomination AWS-SSM-RemediationAdminRole et ne peut être transmise qu’au service Systems Manager.

  • s3 : permet aux principaux d’accéder, de lire, d’écrire et de supprimer des objets dans les compartiments Amazon S3 utilisés pour les opérations de correction. Ces autorisations sont limitées aux compartiments dotés du même modèle de dénomination do-not-delete-ssm-diagnosis- et incluent des conditions garantissant que les opérations sont effectuées au sein du même compte.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWS-SSM RemediationAutomation - AdministrationRolePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : AWS-SSM-RemediationAutomation-ExecutionRolePolicy

La politique gérée AWS-SSM-RemediationAutomation-ExecutionRolePolicy fournit les autorisations pour exécuter des dossiers d’exploitation Automation dans un compte cible et une région spécifiques pour corriger les problèmes de réseau et de connectivité avec les nœuds gérés qui interagissent avec les services de Systems Manager. Cette politique autorise les activités de correction définies dans les documents Automation ; principalement utilisée pour exécuter des documents Automation afin de résoudre les problèmes de connectivité et de configuration.

Vous pouvez associer la politique à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions de correction en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm : permet aux principaux de récupérer des informations sur les exécutions Automation et leurs exécutions par étapes, et de démarrer des dossiers d’exploitation Automation spécifiques, y compris des documents AWS-OrchestrateUnmanagedEC2Actions et AWS-RemediateSSMAgent. La politique accorde des autorisations pour décrire les exécutions automatisées, décrire les exécutions des étapes d’automatisation, obtenir les détails de l’exécution de l’automatisation et démarrer les exécutions automatisées pour les documents relatifs à la correction.

  • ec2 : permet aux principaux de décrire et de modifier les ressources réseau Amazon VPC afin de résoudre les problèmes de connectivité. Cela consiste notamment à :

    • Description des attributs, des sous-réseaux, des points de terminaison Amazon VPC et des groupes de sécurité Amazon VPC.

    • Création de points de terminaison Amazon VPC pour les services Systems Manager (ssm, ssmmessages et ec2messages) avec les balises requises.

    • Modification des attributs Amazon VPC pour activer la prise en charge de DNS et les noms d’hôte.

    • Création et gestion de groupes de sécurité dotés de balises spécifiques pour l’accès aux points de terminaison Amazon VPC.

    • Autorisation et révocation de règles de groupe de sécurité pour l’accès HTTPS avec les balises appropriées.

    • Création de balises sur les points de terminaison Amazon VPC, les groupes de sécurité et les règles de groupe de sécurité lors de la création de ressources.

  • kms : permet aux principaux d’utiliser les clés AWS Key Management Service spécifiées par le client pour le déchiffrement et la génération de clés de données lorsqu’ils accèdent à des objets chiffrés dans des compartiments Amazon S3 utilisés pour les opérations de correction. Ces autorisations sont limitées aux clés balisées avec SystemsManagerManaged et utilisées via le service Amazon S3 avec des exigences de contexte de chiffrement spécifiques.

  • iam – Permet aux principaux de transmettre le rôle exécution des corrections à Systems Manager pour exécuter des dossiers d’exploitation Automation. Cette autorisation est limitée aux rôles dotés du modèle de dénomination AWS-SSM-RemediationExecutionRole et ne peut être transmise qu’au service Systems Manager.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWS-SSM RemediationAutomation - ExecutionRolePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : AWSQuick Configuration SSMManage ResourcesExecutionPolicy

Cette politique accorde des autorisations permettant à Quick Setup d’exécuter le dossier d’exploitation d’automatisation AWSQuickSetupType-SSM-SetupResources. Ce dossier d’exploitation crée des rôles IAM pour les associations Quick Setup, qui sont à leur tour créées par un déploiement AWSQuickSetupType-SSM. Il accorde également des autorisations pour nettoyer un compartiment Amazon S3 associé lors d’une opération de suppression Quick Setup.

Vous pouvez également associer la politique à vos entités IAM. Systems Manager associe également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam – Permet aux principaux de répertorier et de gérer les rôles IAM à utiliser avec les opérations de Systems Manager Explorer Quick Setup ; de visualiser, joindre et détacher les politiques IAM à utiliser avec Quick Setup et Systems Manager Explorer. Ces autorisations sont requises afin que Quick Setup crée les rôles nécessaires à certaines de ses opérations de configuration.

  • s3 – Permet aux principaux de récupérer des informations sur les objets et de supprimer les objets des seaux Amazon S3 du compte principal, qui sont utilisés spécifiquement dans les opérations de configuration Quick Setup. Cela est nécessaire pour que les objets S3 qui ne sont plus nécessaires après la configuration puissent être supprimés.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir AWSQuickConfiguration SSMManage ResourcesExecutionPolicy dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuick Configuration SSMLifecycle ManagementExecutionPolicy

La AWSQuickSetupSSMLifecycleManagementExecutionPolicy politique accorde des autorisations administratives qui permettent Quick Setup d'exécuter une ressource CloudFormation personnalisée sur les événements du cycle de vie lors du Quick Setup déploiement dansSystems Manager.

Vous pouvez également associer cette politique à vos entités IAM. Systems Manager associe également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm – Permet aux principaux d’obtenir des informations sur les exécutions automatisées et de démarrer des exécutions automatisées pour configurer certaines opérations Quick Setup.

  • iam – Permet aux principaux de transmettre des rôles depuis IAM pour la configuration de certaines ressources Quick Setup.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir AWSQuickConfiguration SSMLifecycle ManagementExecutionPolicy dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuick Configuration SSMDeployment RolePolicy

La politique gérée AWSQuickSetupSSMDeploymentRolePolicy accorde des autorisations administratives qui permettent à Quick Setup de créer des ressources utilisées lors du processus d’intégration de Systems Manager.

Bien que vous puissiez joindre manuellement cette politique à vos entités IAM, cela n’est pas recommandé. Quick Setup crée des entités qui attachent cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Cette politique n’est pas liée à la politique SSMQuickSetupRolePolicy, qui est utilisée pour fournir des autorisations pour le rôle lié au service AWSServiceRoleForSSMQuickSetup.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm— Permet aux principaux de gérer les associations pour certaines ressources créées à l'aide de AWS CloudFormation modèles et d'un ensemble spécifique de documents SSM ; de gérer les rôles et les politiques de rôles à l'aide de CloudFormation modèles pour diagnostiquer et corriger les nœuds gérés ; et d'associer et de supprimer des politiques pour les événements du cycle de vie Quick Setup

  • iam – Permet aux principaux de baliser des rôles et de transmettre des autorisations de rôle pour le service Gestionnaire de systèmes et le service Lambda; et de transmettre des autorisations de rôle pour les opérations de diagnostic.

  • lambda— Permet aux principaux de baliser et de gérer les fonctions pendant le Quick Setup cycle de vie du compte principal à l'aide de CloudFormation modèles.

  • cloudformation— Permet aux directeurs d'école de lire des informations à partir de CloudFormation. Cela est nécessaire pour Quick Setup recueillir des données sur les CloudFormation piles utilisées pour gérer l'état des ressources et les opérations des CloudFormation stacksets.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir AWSQuickConfiguration SSMDeployment RolePolicy dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSQuick Configuration SSMDeployment S3 BucketRolePolicy

La politique AWSQuickSetupSSMDeploymentS3BucketRolePolicy accorde des autorisations pour répertorier tous les compartiments S3 d’un compte, ainsi que pour gérer et récupérer des informations sur des compartiments spécifiques du compte principal gérés via des modèles CloudFormation .

Vous pouvez également attacher AWSQuickSetupSSMDeploymentS3BucketRolePolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • s3— Permet aux principaux de répertorier tous les compartiments S3 d'un compte, ainsi que de gérer et de récupérer des informations sur des compartiments spécifiques du compte principal gérés via des modèles. CloudFormation

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir AWSQuickConfiguration SSMDeployment S3 BucketRolePolicy dans le Guide de référence des politiques AWS gérées.

AWS Politique gérée par : AWSQuickSetupEnableDHMCExecutionPolicy

Cette politique accorde des autorisations administratives qui permettent aux principaux d’exécuter le dossier d’exploitation d’automatisation AWSQuickSetupType-EnableDHMC, qui active la configuration de gestion des hôtes par défaut. Le paramètre de configuration de gestion d'hôte par défaut permet à Systems Manager de gérer automatiquement les EC2 instances Amazon en tant qu'instances gérées. Une instance gérée est une EC2 instance configurée pour être utilisée avec Systems Manager. Cette politique accorde également des autorisations pour créer des rôles IAM spécifiés dans les paramètres du service Systems Manager en tant que rôles par défaut pour SSM Agent.

Vous pouvez également attacher AWSQuickSetupEnableDHMCExecutionPolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm – Permet aux principaux de mettre à jour et d’obtenir des informations sur les paramètres du service Systems Manager.

  • iam – Permet aux principaux de créer et de récupérer des informations sur les rôles IAM pour les opérations Quick Setup.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupEnableDHMCExecutionPolicy dans le Guide de référence de la politique gérée par AWS .

AWS Politique gérée par : AWSQuickSetupEnableAREXExecutionPolicy

Cette politique accorde des autorisations administratives qui permettent à Systems Manager d’exécuter le dossier d’exploitation d’automatisation AWSQuickSetupType-EnableAREX, qui permet à Explorateur de ressources AWS de l’utiliser avec Systems Manager. Resource Explorer permet de voir les ressources de votre compte avec une expérience de recherche similaire à un moteur de recherche Internet. La politique accorde également des autorisations pour la gestion des index et des vues de Resource Explorer.

Vous pouvez également attacher AWSQuickSetupEnableAREXExecutionPolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iam— Permet aux principaux de créer un rôle lié au service dans le service AWS Identity and Access Management (IAM).

  • resource-explorer-2 – Permet aux principaux de récupérer des informations sur les vues et les index de l’explorateur de ressources; de créer des vues et des index de l’explorateur de ressources; de modifier le type d’index pour les index affichés dans Quick Setup.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupEnableAREXExecutionPolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick SetupManagedInstanceProfileExecutionPolicy

Cette politique accorde des autorisations administratives qui permettent de Systems Manager créer un profil d'instance IAM par défaut pour l'Quick Setupoutil et de l'associer à des EC2 instances Amazon auxquelles aucun profil d'instance n'est déjà attaché. La politique permet également à Systems Manager d’associer des autorisations aux profils d’instance existants. Ceci est fait pour garantir que les autorisations requises pour Systems Manager communiquer avec les EC2 instances SSM Agent sur les instances sont en place.

Vous pouvez également attacher AWSQuickSetupManagedInstanceProfileExecutionPolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm – Permet aux principaux de démarrer des flux de travail automatisés associés aux processus Quick Setup.

  • ec2— Permet aux principaux d'associer des profils d'instance IAM aux EC2 instances gérées par. Quick Setup

  • iam – Permet aux principaux de créer, de mettre à jour et de récupérer des informations sur les rôles d’IAM utilisés dans les processus Quick Setup ; de créer des profils d’instance IAM ; d’associer la politique gérée AmazonSSMManagedInstanceCore aux profils d’instance IAM.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupManagedInstanceProfileExecutionPolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick SetupManage JITNAResources ExecutionPolicy

La politique gérée AWSQuickSetupManageJITNAResourcesExecutionPolicy permetQuick Setup, à l'aide d'un outil de Systems Manager, de configurer l'accès aux just-in-time nœuds.

Vous pouvez également attacher AWSQuickSetupManageJITNAResourcesExecutionPolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Cette politique accorde des autorisations administratives qui permettent Systems Manager de créer des ressources associées à l'accès aux just-in-time nœuds.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm— Permet aux principaux d'obtenir et de mettre à jour le paramètre de service qui spécifie le fournisseur d'identité pour l'accès aux just-in-time nœuds.

  • iam— Permet aux principaux de créer, d'étiqueter et d'obtenir des rôles, d'associer des politiques de rôle pour les politiques gérées d'accès aux just-in-time nœuds et de créer des rôles liés aux services pour l'accès aux just-in-time nœuds et les notifications.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSQuickSetupManageJITNAResourcesExecutionPolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSQuick Configuration JITNADeployment RolePolicy

La politique gérée AWSQuickSetupJITNADeploymentRolePolicy permet Quick Setup de déployer le type de configuration requis pour configurer l'accès aux just-in-time nœuds.

Vous pouvez également attacher AWSQuickSetupJITNADeploymentRolePolicy à vos entités IAM. Systems Manager attache également cette politique à un rôle de service qui permet à Systems Manager d’effectuer des actions en votre nom.

Cette politique accorde des autorisations administratives qui permettent Systems Manager de créer des ressources associées à l'accès aux just-in-time nœuds.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • cloudformation— Permet aux principaux de créer, de mettre à jour, de supprimer et de lire des CloudFormation piles.

  • ssm— Permet aux principaux de créer, de supprimer, de mettre à jour et de lire les State Manager associations appelées par CloudFormation.

  • iam— Permet aux principaux de créer, de supprimer, de lire et de baliser les rôles IAM appelés par. CloudFormation

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, voir AWSQuickConfiguration JITNADeployment RolePolicy dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSSystems ManagerJustInTimeAccessServicePolicy

La politique gérée AWSSystemsManagerJustInTimeAccessServicePolicy permet d'accéder aux AWS ressources gérées ou utilisées par le cadre AWS Systems Manager just-in-time d'accès. Cette mise à jour de la politique ajoute des autorisations de balisage pour l’exécution automatisée afin de permettre aux clients de limiter les autorisations des opérateurs à des balises spécifiques.

Vous ne pouvez pas joindre de AWSSystemsManagerJustInTimeAccessServicePolicy à vos entités IAM. Cette politique est attachée à un rôle lié au service qui permet à Systems Manager d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles pour activer l'accès aux just-in-time nœuds.

Cette politique accorde des autorisations administratives qui permettent d'accéder aux ressources associées à l'accès aux just-in-time nœuds.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm : permet aux principaux de créer et de gérer OpsItems, d’ajouter des balises à OpsItems et d’automatiser les exécutions, d’obtenir et de mettre à jour OpsItems, de récupérer et de décrire des documents, de décrire des OpsItems et des sessions, de répertorier des documents et des balises pour les instances gérées.

  • ssm-guiconnect : permet aux principaux de répertorier les connexions.

  • identitystore— Permet aux principaux d'obtenir un utilisateur et un groupe IDs, de décrire les utilisateurs et de répertorier les membres du groupe.

  • sso-directory : permet aux principaux de décrire les utilisateurs et de déterminer si un utilisateur est membre d’un groupe.

  • sso : permet aux principaux de décrire les régions enregistrées et de répertorier les instances et les associations de répertoires.

  • cloudwatch : permet aux principaux de placer des données de métriques pour l’espace de noms AWS/SSM/JustInTimeAccess.

  • ec2 : permet aux principaux de décrire les balises.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSSystemsManagerJustInTimeAccessServicePolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSSystems ManagerJustInTimeAccessTokenPolicy

La politique gérée AWSSystemsManagerJustInTimeAccessTokenPolicy autorise les utilisateurs à établir des connexions sécurisées aux EC2 instances Amazon et aux instances gérées via des connexions RDP Session Manager et Systems Manager GUI Connect dans le cadre des flux de travail d'accès aux just-in-time nœuds.

Vous pouvez attacher AWSSystemsManagerJustInTimeAccessTokenPolicy à vos entités IAM.

Cette politique accorde aux contributeurs des autorisations qui permettent aux utilisateurs de démarrer et de gérer des sessions sécurisées, d'établir des connexions RDP et d'effectuer les opérations cryptographiques nécessaires pour accéder aux just-in-time nœuds.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm— Permet aux principaux de démarrer des Session Manager sessions sur des EC2 instances Amazon et des instances gérées à l'aide du document SSM-SessionManagerRunShell. Permet également de terminer et de reprendre des sessions, de récupérer les détails de l'appel de commandes et d'envoyer des commandes aux instances pour la configuration utilisateur SSO lors d'un appel via Systems Manager GUI Connect. Permet également de démarrer des sessions de transfert de port pour les connexions RDP lorsqu'elles sont appelées via Systems Manager GUI Connect.

  • ssmmessages— Permet aux directeurs d'ouvrir des canaux de données pour une communication sécurisée pendant les Session Manager sessions.

  • ssm-guiconnect— Permet aux principaux de démarrer, d'obtenir des informations sur et d'annuler les connexions RDP de Systems Manager GUI Connect aux instances.

  • kms— Permet aux principaux de générer des clés de données pour le Session Manager chiffrement et de créer des autorisations pour les connexions RDP. Ces autorisations sont limitées aux AWS KMS clés étiquetées avecSystemsManagerJustInTimeNodeAccessManaged=true. La création de subventions est également limitée et ne peut être utilisée que via le service Systems Manager GUI Connect.

  • sso— Permet aux principaux de répertorier les associations de répertoires lorsqu'ils sont appelés via Systems Manager GUI Connect. Cela est nécessaire pour la configuration de l'utilisateur RDP SSO.

  • identitystore— Permet aux principaux de décrire les utilisateurs dans le magasin d'identités lorsqu'ils sont appelés via Systems Manager GUI Connect. Cela est nécessaire pour la configuration de l'utilisateur RDP SSO.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSSystemsManagerJustInTimeAccessTokenPolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSSystems ManagerJustInTimeAccessTokenSessionPolicy

La politique gérée AWSSystemsManagerJustInTimeAccessTokenSessionPolicy permet d'Systems Managerappliquer des autorisations limitées à un jeton d'accès au just-in-time nœud.

Vous pouvez attacher AWSSystemsManagerJustInTimeAccessTokenSessionPolicy à vos entités IAM.

Cette politique accorde des autorisations administratives qui permettent Systems Manager de limiter les autorisations pour les jetons d'accès aux just-in-time nœuds.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm : permet aux principaux de démarrer des sessions Session Manager en utilisant le document SSM-SessionManagerRunShell. De même lorsque vous l’appelez pour la première fois via ssm-guiconnect, démarrez des sessions avec le document AWS-StartPortForwardingSession, répertoriez les appels de commandes et envoyez des commandes avec le document AWSSSO-CreateSSOUser.

  • ssm-guiconnect : permet aux principaux d’annuler, d’obtenir et de démarrer des connexions sur toutes les ressources.

  • kms— Permet aux directeurs de créer des subventions et de générer des clés de données pour les clés étiquetées SystemsManagerJustInTimeNodeAccessManaged lorsqu'elles sont appelées ssm-guiconnect via un AWS service.

  • sso : permet aux principaux de répertorier les associations de répertoires lorsqu’ils sont appelés via ssm-guiconnect.

  • identitystore : permet aux principaux de décrire un utilisateur lorsqu’il est appelé via ssm-guiconnect.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSSystemsManagerJustInTimeAccessTokenSessionPolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSSystems ManagerJustInTimeNodeAccessRolePropagationPolicy

La politique gérée AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy permet à Systems Manager de partager les politiques de refus d’accès du compte administrateur délégué avec les comptes des membres, et de répliquer les politiques sur plusieurs comptes Régions AWS.

Vous pouvez attacher AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy à vos entités IAM.

Cette politique fournit les autorisations administratives nécessaires pour que Systems Manager puisse partager et créer des politiques de refus d’accès. Cela garantit que les politiques de refus d'accès sont appliquées à tous les comptes d'une AWS Organizations organisation et aux régions configurées pour l'accès aux just-in-time nœuds.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • ssm : permet aux principaux de gérer les documents SSM et les politiques de ressources.

  • ssm-quicksetup : permet aux principaux de lire leurs gestionnaires de configuration Quick Setup.

  • organizations : permet aux principaux de répertorier les informations relatives à une organisation AWS Organizations et aux administrateurs délégués.

  • ram : permet aux principaux de créer, baliser et décrire des partages de ressources.

  • iam : permet aux principaux de décrire un rôle de service.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWSSystems ManagerNotificationsServicePolicy

La politique gérée AWSSystemsManagerNotificationsServicePolicy permet d'Systems Managerenvoyer des notifications par e-mail pour les demandes d'accès aux just-in-time nœuds aux approbateurs de demandes d'accès.

Vous ne pouvez pas joindre de AWSSystemsManagerJustInTimeAccessServicePolicy à vos entités IAM. Cette politique est attachée à un rôle lié au service qui permet à Systems Manager d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles pour envoyer des notifications de demande d'accès aux just-in-time nœuds.

Cette politique accorde des autorisations administratives qui permettent d'Systems Managerenvoyer des notifications par e-mail pour les demandes d'accès aux just-in-time nœuds aux approbateurs de demandes d'accès.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • identitystore : permet aux principaux de décrire et de répertorier les utilisateurs et membres des groupes.

  • sso : permet aux principaux de répertorier les instances et répertoires et de décrire les régions enregistrées.

  • sso-directory : permet aux principaux de décrire les utilisateurs et de répertorier les membres d’un groupe.

  • iam : permet aux principaux d’obtenir des informations sur les rôles.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSSystemsManagerNotificationsServicePolicy dans le Guide de référence de la politique gérée par AWS .

AWS politique gérée : AWS-SSM-Automation-DiagnosisBucketPolicy

La politique gérée AWS-SSM-Automation-DiagnosisBucketPolicy fournit des autorisations pour diagnostiquer les problèmes liés aux nœuds qui interagissent avec les AWS Systems Manager services, en autorisant l'accès aux compartiments S3 utilisés pour le diagnostic et la résolution des problèmes.

Vous pouvez associer la politique AWS-SSM-Automation-DiagnosisBucketPolicy à vos identités IAM. Systems Manager attache également cette politique à un rôle IAM qui permet à Systems Manager d’effectuer des actions de diagnostic en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • s3 – Permet aux principaux d’accéder en lecture et en écriture aux objets d’un compartiment Amazon S3.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWS-SSM-Automation- DiagnosisBucketPolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy

La politique gérée AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy fournit des autorisations permettant à un compte opérationnel de diagnostiquer les problèmes liés aux nœuds en fournissant des autorisations spécifiques à l’organisation.

Vous pouvez associer AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy à vos identités IAM. Systems Manager attache également cette politique à un rôle IAM qui permet à Systems Manager d’effectuer des actions de diagnostic en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • organizations – Permet aux principaux de répertorier une racine de l’organisation et d’obtenir des comptes membres pour déterminer les comptes cibles.

  • sts – Permet aux principaux d’assumer des rôles d’exécution de la réhabilitation pour exécuter des documents d’automatisation du MSU sur des comptes et des régions, au sein de la même organisation.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWS-SSM RemediationAutomation - OperationalAccountAdministrationRolePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy

La politique gérée AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy fournit des autorisations permettant à un compte opérationnel de diagnostiquer les problèmes liés aux nœuds en fournissant des autorisations spécifiques à l’organisation.

Vous pouvez associer la politique AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy à vos identités IAM. Systems Manager attache également cette politique à un rôle IAM qui permet à Systems Manager d’effectuer des actions de diagnostic en votre nom.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • organizations – Permet aux principaux de répertorier une racine de l’organisation et d’obtenir des comptes membres pour déterminer les comptes cibles.

  • sts – Permet aux principaux d’assumer les rôles d’exécution du diagnostic pour exécuter les documents d’automatisation SSM sur les comptes et les régions, au sein de la même organisation.

Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez AWS-SSM DiagnosisAutomation - OperationalAccountAdministrationRolePolicy dans le AWS Managed Policy Reference Guide.

Systems Managermises à jour des politiques AWS gérées

Dans le tableau suivant, consultez les détails des mises à jour des politiques AWS gérées Systems Manager depuis que ce service a commencé à suivre ces modifications le 12 mars 2021. Pour plus d’informations sur les autres politique gérées pour le service Systems Manager, voir Stratégie supplémentaires gérées pour Systems Manager plus loin dans cette rubrique. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page Systems Manager Historique du document.

Modifier Description Date

AWSSystemsManagerJustInTimeAccessTokenPolicy – Mise à jour d’une stratégie existante

Systems Managera mis à jour la politique géréeAWSSystemsManagerJustInTimeAccessTokenPolicy. L'instruction (SID) TerminateAndResumeSession a été renommée TerminateAndResumeSessionAndOpenDataChannel et inclut désormais l'ssmmessages:OpenDataChannelaction, combinant la gestion des sessions et les autorisations des canaux de données en une seule instruction.

 25 septembre 2025

Politiques gérées mises à jour :

Systems Managera mis à jour trois politiques gérées afin de prendre en charge le lancement d'exécutions automatisées sur des ressources supplémentaires de Systems Manager, notamment des runbooks d'automatisation spécifiques et des documents de commande SSM.

 12 septembre 2025

AWSQuickSetupStartStopInstancesExecutionPolicy— Politique gérée mise à jour

Systems Managera mis à jour la politique gérée afin d'affiner les autorisations pour la Quick Setup configuration du planificateur. La politique fournit désormais des autorisations plus spécifiques pour démarrer et arrêter les EC2 instances Amazon, accéder aux calendriers des modifications et exécuter des documents d'automatisation dans des conditions de sécurité renforcées.

 12 septembre 2025

AWSQuickSetupStartSSMAssociationsExecutionPolicy— Politique gérée mise à jour

Systems Managera mis à jour la politique gérée pour faire passer le document d'automatisation de AWSQuickSetupType-StartSSMAssociations àAWSQuickSetupType-Scheduler-ChangeCalendarState. Cette mise à jour modifie l'objectif de la politique, passant du lancement d'associations SSM à la gestion des modifications des états du calendrier pour les opérations planifiées.

 12 septembre 2025

Amazon SSMAutomation Role — Mise à jour d'une politique existante

Systems Manager a ajouté de nouvelles autorisations pour permettre aux dossiers d’exploitation Automation d’établir des canaux de communication pour les opérations basées sur les sessions.

Ajout de l’autorisation ssmmessages:OpenDataChannel pour la ressource arn:*:ssm:*:*:session/*.

 11 septembre 2025

AWSSystemsManagerJustInTimeAccessServicePolicy— Politique gérée mise à jour

Systems Manager a mis à jour la politique gérée pour ajouter des autorisations de balisage d’exécution d’automatisation. Le service doit baliser les exécutions d’automatisation avec des balises SystemsManagerJustInTimeNodeAccessManaged=true afin de permettre aux clients de limiter les autorisations des opérateurs à des balises spécifiques.

 25 août 2025

AWSQuickSetupStartSSMAssociationsExecutionPolicy : nouvelle politique

Systems Manager a ajouté une nouvelle politique permettant à Quick Setup d’exécuter le dossier d’exploitation Automation AWSQuickSetupType-StartSSMAssociations. Ce dossier d’exploitation est utilisé pour démarrer les associations State Manager créées par les configurations Quick Setup.

 12 août 2025

AWSQuickSetupStartStopInstancesExecutionPolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant Quick Setup de démarrer et d'arrêter EC2 les instances Amazon selon un calendrier. Cette politique fournit les autorisations nécessaires au type de configuration du planificateur Quick Setup pour gérer l’état de l’instance en fonction de calendriers définis.

 12 août 2025

AWSQuickSetupDeploymentRolePolicy— Mise à jour de la documentation

Systems Manager a mis à jour la politique gérée AWSQuickSetupDeploymentRolePolicy afin d’accorder des autorisations pour des ressources supplémentaires. En outre, la documentation de AWSQuickSetupDeploymentRolePolicy a été mise à jour avec des descriptions plus détaillées des autorisations accordées par cette politique pour les opérations de gestion de configuration Quick Setup.

 12 août 2025

AWS-SSM- RemediationAutomation - ExecutionRolePolicy — Mise à jour d'une politique existante

Systems Managera mis à jour la politique gérée afin d'améliorer le niveau de sécurité de l'StartAutomationExecution API ssm : en exigeant des autorisations pour les types de ressources « document » et « exécution automatisée ». La politique mise à jour fournit des autorisations plus complètes et détaillées pour l’exécution d’automatisation des corrections, notamment des descriptions améliorées des fonctionnalités de correction réseau, des autorisations de création de points de terminaison Amazon VPC plus spécifiques, des autorisations détaillées de gestion des groupes de sécurité et des contrôles de balisage des ressources améliorés pour les opérations de correction.

 16 juillet 2025

AWS-SSM- RemediationAutomation - AdministrationRolePolicy — Mise à jour d'une politique existante

Systems Manager a mis à jour la politique gérée afin de permettre l’amélioration des autorisations d’API pour les opérations d’automatisation des corrections. La politique mise à jour améliore les autorisations pour exécuter les activités définies dans les documents Automation, avec des contrôles de sécurité et des modèles d’accès aux ressources améliorés pour les flux de travail d’application des corrections.

 16 juillet 2025

AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy — Mise à jour d'une politique existante

Systems Manager a mis à jour la politique gérée afin de fournir des autorisations plus détaillées et précises pour l’exécution d’automatisations de diagnostic. La politique mise à jour inclut des descriptions améliorées pour l'accès aux ressources Amazon EC2 et Amazon VPC, des autorisations d'automatisation SSM plus spécifiques, ainsi que des descriptions d'autorisations IAM améliorées AWS KMS avec des restrictions de ressources appropriées.

 16 juillet 2025

AWS-SSM- DiagnosisAutomation - AdministrationRolePolicy — Mise à jour d'une politique existante

Systems Manager a mis à jour la politique gérée afin de fournir des autorisations et des conditions de sécurité plus spécifiques pour les opérations d’automatisation des diagnostics. La politique mise à jour fournit des contrôles de sécurité améliorés pour l'utilisation des AWS KMS clés, l'accès au compartiment Amazon S3 et les hypothèses de rôle, avec des conditions basées sur les ressources et des restrictions au niveau du compte plus strictes.

 16 juillet 2025

AWSQuickSetupDeploymentRolePolicy— Mise à jour d'une politique

Systems Managera ajouté des autorisations à la politique gérée AWSQuickSetupDeploymentRolePolicy pour accéder au runbook AWSQuickSetupType-ManageInstanceProfileappartenant à Amazon. Cette autorisation permet à Quick Setup de créer des associations à l’aide de la stratégie gérée au lieu de politiques intégrées.

 14 juillet 2025

Amazon SSMAutomation Role — Mise à jour de la documentation

Systems Manager a ajouté une documentation complète pour la politique existante AmazonSSMAutomationRole, qui fournit des autorisations afin que le service Automation Systems puisse exécuter des activités définies dans des dossiers d’exploitation Automation.

 15 juillet 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy— Mise à jour d'une politique

Systems Managerautorisations ajoutées pour permettre Systems Manager de baliser une ressource partagée par AWS Resource Access Manager pour l'accès au just-in-time nœud.

 30 avril 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy— Mise à jour d'une politique

Systems Managerautorisations ajoutées pour permettre de Systems Manager baliser les rôles IAM créés pour l'accès aux just-in-time nœuds.

 30 avril 2025

AWSSystemsManagerJustInTimeAccessTokenSessionPolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant d'Systems Managerappliquer des autorisations limitées à un jeton d'accès à un just-in-time nœud.

 30 avril 2025

AWSSystemsManagerNotificationsServicePolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant Systems Manager d'envoyer des notifications par e-mail pour les demandes d'accès aux just-in-time nœuds aux approbateurs de demandes d'accès.

 30 avril 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy : nouvelle politique

Systems Manager a ajouté une nouvelle politique pour permettre à Systems Manager de répliquer les politiques d’approbation dans différentes régions.

 30 avril 2025

AWSSystemsManagerJustInTimeAccessTokenPolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant de Systems Manager générer des jetons d'accès utilisés pour l'accès aux just-in-time nœuds.

 30 avril 2025

AWSSystemsManagerJustInTimeAccessServicePolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique pour fournir des autorisations aux AWS ressources gérées ou utilisées par la fonctionnalité d'accès aux just-in-time nœuds de Systems Manager.

 30 avril 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique permettantQuick Setup, un outil dans Systems Manager, de créer les rôles IAM nécessaires à l'accès aux just-in-time nœuds.

 30 avril 2025

AWSQuickConfiguration JITNADeployment RolePolicy — Nouvelle politique

Systems Managera ajouté une nouvelle politique qui fournit des autorisations permettant Quick Setup de déployer le type de configuration requis pour configurer l'accès aux just-in-time nœuds.

 30 avril 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy— Mise à jour d'une politique

Systems Managerautorisations ajoutées pour permettre Systems Manager de baliser une ressource partagée par AWS Resource Access Manager pour l'accès au just-in-time nœud.

 30 avril 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy— Mise à jour d'une politique

Systems Managerautorisations ajoutées pour permettre de Systems Manager baliser les rôles IAM créés pour l'accès aux just-in-time nœuds.

 30 avril 2025

AWSSystemsManagerJustInTimeAccessTokenSessionPolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant d'Systems Managerappliquer des autorisations limitées à un jeton d'accès à un just-in-time nœud.

 30 avril 2025

AWSSystemsManagerNotificationsServicePolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant Systems Manager d'envoyer des notifications par e-mail pour les demandes d'accès aux just-in-time nœuds aux approbateurs de demandes d'accès.

 30 avril 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy : nouvelle politique

Systems Manager a ajouté une nouvelle politique pour permettre à Systems Manager de répliquer les politiques d’approbation dans différentes régions.

 30 avril 2025

AWSSystemsManagerJustInTimeAccessTokenPolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant de Systems Manager générer des jetons d'accès utilisés pour l'accès aux just-in-time nœuds.

 30 avril 2025

AWSSystemsManagerJustInTimeAccessServicePolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique pour fournir des autorisations aux AWS ressources gérées ou utilisées par la fonctionnalité d'accès aux just-in-time nœuds de Systems Manager.

 30 avril 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique permettantQuick Setup, un outil dans Systems Manager, de créer les rôles IAM nécessaires à l'accès aux just-in-time nœuds.

 30 avril 2025

AWSQuickConfiguration JITNADeployment RolePolicy — Nouvelle politique

Systems Managera ajouté une nouvelle politique qui fournit des autorisations permettant Quick Setup de déployer le type de configuration requis pour configurer l'accès aux just-in-time nœuds.

 30 avril 2025

AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy : nouvelle politique

Systems Manager a ajouté une nouvelle politique qui fournit des autorisations permettant à un compte opérationnel de diagnostiquer les problèmes liés aux nœuds en fournissant des autorisations spécifiques à l’organisation.

 21 novembre 2024

AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy : nouvelle politique

Systems Manager a ajouté une nouvelle politique qui fournit des autorisations permettant à un compte opérationnel de diagnostiquer les problèmes liés aux nœuds en fournissant des autorisations spécifiques à l’organisation.

 21 novembre 2024

AWS-SSM-Automation-DiagnosisBucketPolicy : nouvelle politique

Systems Manager a ajouté une nouvelle politique pour soutenir le démarrage de flux de travail d’automatisation qui diagnostiquent les problèmes liés aux nœuds gérés dans des comptes et des régions ciblés.

 21 novembre 2024

AmazonSSMServiceRolePolicy : mise à jour d’une politique existante

Systems Managera ajouté de nouvelles autorisations pour Explorateur de ressources AWS permettre de recueillir des informations sur les EC2 instances Amazon et d'afficher les résultats sous forme de widgets dans le nouveau Systems Manager tableau de bord.

 21 novembre 2024
SSMQuickSetupRolePolicy : mise à jour d’une politique existante Systems Manager a mis à jour la politique gérée SSMQuickSetupRolePolicy. Cette mise à jour permet au rôle AWSServiceRoleForSSMQuickSetup lié au service associé de gérer la synchronisation des données de ressources. 21 novembre 2024
AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy  : nouvelle politique Systems Manager a ajouté une nouvelle politique pour soutenir le démarrage de flux de travail d’automatisation qui diagnostiquent les problèmes liés aux nœuds gérés dans un compte et des régions ciblés. 21 novembre 2024
AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy : nouvelle politique Systems Manager a ajouté une nouvelle politique pour soutenir le démarrage de flux de travail d’automatisation qui diagnostiquent les problèmes liés aux nœuds gérés dans un compte gérée et des régions ciblés. 21 novembre 2024
AWS-SSM-RemediationAutomation-AdministrationRolePolicy : nouvelle politique Systems Manager a ajouté une nouvelle politique pour soutenir le démarrage de flux de travail d’automatisation qui corrigent les problèmes dans les nœuds gérés dans les comptes et les régions ciblés. 21 novembre 2024
AWS-SSM-RemediationAutomation-ExecutionRolePolicy : nouvelle politique Systems Manager a ajouté une nouvelle politique pour soutenir le démarrage de flux de travail d’automatisation destinés à résoudre les problèmes liés aux nœuds gérés d’un compte et d’une région ciblés. 21 novembre 2024

AWSQuickConfiguration SSMDeployment RolePolicy — Mise à jour d'une politique

Systems Manager a ajouté des autorisations pour permettre à Systems Manager de baliser les rôles IAM et Lambda créés pour la console unifiée.

 7 mai 2025
AWSQuickSetupSSMManageResourcesExecutionPolicy : nouvelle politique Systems Manager a ajouté une nouvelle politique pour prendre en charge l’exécution d’une opération dans Quick Setup qui crée des rôles IAM pour les associations Quick Setup, qui sont à leur tour créées par un déploiement AWSQuickSetupType-SSM. 21 novembre 2024
AWSQuickSetupSSMLifecycleManagementExecutionPolicy : nouvelle politique Systems Manager a ajouté une nouvelle politique pour prendre en charge l'Quick Setupexécution d'une ressource CloudFormation personnalisée sur les événements du cycle de vie au cours d'un Quick Setup déploiement. 21 novembre 2024
AWSQuickSetupSSMDeploymentRolePolicy : nouvelle politique Le gestionnaire de systèmes a ajouté une nouvelle politique pour soutenir l’octroi d’autorisations administratives qui permettent à Quick Setup de créer des ressources utilisées pendant le processus d’intégration du gestionnaire de systèmes. 21 novembre 2024
AWSQuickSetupSSMDeploymentS3BucketRolePolicy : nouvelle politique Systems Manager a ajouté une nouvelle politique pour faciliter la gestion et la récupération d'informations sur des compartiments spécifiques du compte principal gérés via des modèles CloudFormation 21 novembre 2024
AWSQuickSetupEnableDHMCExecutionPolicy : nouvelle politique Systems Manager introduit une nouvelle politique permettant à Quick Setup de créer un rôle IAM qui utilise lui-même le rôle existant AmazonSSMManagedEC2InstanceDefaultPolicy. Cette politique contient toutes les autorisations requises pour SSM Agent afin de communiquer avec le service Systems Manager. La nouvelle politique permet également de modifier les paramètres du service Systems Manager. 21 novembre 2024
AWSQuickSetupEnableAREXExecutionPolicy : nouvelle politique Systems Manager a ajouté une nouvelle politique permettant de créer un rôle lié Quick Setup à un service pour Explorateur de ressources AWS accéder aux vues de l'explorateur de ressources et aux index des agrégateurs. 21 novembre 2024
AWSQuickSetupManagedInstanceProfileExecutionPolicy : nouvelle politique

Systems Manager a ajouté une nouvelle politique permettant de Quick Setup créer un profil d'Quick Setupinstance par défaut et de l'associer à toutes les EC2 instances Amazon auxquelles aucun profil d'instance n'est associé. Cette nouvelle politique permet également à Quick Setup d’associer des autorisations aux profils existants afin de garantir que toutes les autorisations requises pour Systems Manager ont été accordées.

 21 novembre 2024

SSMQuickSetupRolePolicy : mise à jour d’une politique existante

Systems Managera ajouté de nouvelles autorisations Quick Setup pour permettre de vérifier l'état des ensembles de AWS CloudFormation piles supplémentaires qu'il a créés.

 13 août 2024
AmazonSSMManagedEC2InstanceDefaultPolicy : mise à jour d’une politique existante Systems Managera ajouté une déclaration IDs (Sids) à la politique JSON pourAmazonSSMManagedEC2InstanceDefaultPolicy. Ces Sids fournissent des descriptions en ligne de l’objectif de chaque déclaration de politique. 18 juillet 2024
SSMQuickSetupRolePolicy : nouvelle politique Systems Manager a ajouté une nouvelle politique pour permettre à Quick Setup de vérifier l’état des ressources déployées et de corriger les instances qui se sont éloignées de la configuration d’origine. 3 juillet 2024
AWSQuickSetupDeploymentRolePolicy : nouvelle politique Systems Manager a ajouté une nouvelle politique pour prendre en charge plusieurs types de configuration rapide qui créent des rôles et des automatisations IAM, qui à leur tour configurent les services et fonctionnalités Amazon Web Services fréquemment utilisés conformément aux meilleures pratiques recommandées. 3 juillet 2024

AWSQuickSetupPatchPolicyDeploymentRolePolicy

 : nouvelle politique

Systems Manager a ajouté une nouvelle politique pour permettre à Quick Setup de créer des ressources associées aux configurations Patch Manager de la politique de correctifs Quick Setup.

3 juillet 2024

AWSQuickSetupPatchPolicyBaselineAccess : nouvelle politique

Systems Manager a ajouté une nouvelle politique permettant à Quick Setup d’accéder aux référentiels de correctifs Patch Manager avec des autorisations en lecture seule.

3 juillet 2024
AWSSystemsManagerEnableExplorerExecutionPolicy : nouvelle politique Systems Manager a ajouté une nouvelle politique permettant à Quick Setup d’accorder des autorisations administratives pour activer Explorer. 3 juillet 2024
AWSSystemsManagerEnableConfigRecordingExecutionPolicy : nouvelle politique Systems Managera ajouté une nouvelle politique pour permettre d'Quick Setupactiver et de configurer l'enregistrement AWS Config de configuration. 3 juillet 2024

AWSQuickSetupDevOpsGuruPermissionsBoundary : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant d'Quick Setupactiver et de configurer Amazon DevOps Guru.

 3 juillet 2024

AWSQuickSetupDistributorPermissionsBoundary : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant Quick Setup d'activer et de configurer Distributor, un outil dans AWS Systems Manager.

3 juillet 2024

AWSQuickConfiguration SSMHost MgmtPermissionsBoundary — Nouvelle politique

Systems Managera ajouté une nouvelle politique permettant d'Quick Setupactiver et de configurer les outils Systems Manager pour gérer en toute sécurité EC2 les instances Amazon.

 3 juillet 2024

AWSQuickSetupPatchPolicyPermissionsBoundary : nouvelle politique

Systems Manager a ajouté une nouvelle politique permettant à Quick Setup d’activer et de configurer des politiques de correctifs dans Patch Manager, un outil d’ AWS Systems Manager.

3 juillet 2024

AWSQuickSetupSchedulerPermissionsBoundary : nouvelle politique

Systems Managera ajouté une nouvelle politique permettant d'Quick Setupactiver et de configurer les opérations planifiées sur les EC2 instances Amazon et d'autres ressources.

3 juillet 2024

AWSQuickConfiguration CFGCPacks PermissionsBoundary — Nouvelle politique

Systems Manager a ajouté une nouvelle politique permettant à Quick Setup de déployer des packs de conformité AWS Config .

3 juillet 2024

AWSSystemsManagerOpsDataSyncServiceRolePolicy : mise à jour d’une politique existante

 OpsCentera mis à jour la politique afin d'améliorer la sécurité du code de service dans le cadre du rôle lié au service Explorer afin de gérer les opérations OpsData connexes. 3 juillet 2023

AmazonSSMManagedEC2InstanceDefaultPolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique pour autoriser Systems Manager les fonctionnalités sur EC2 les instances Amazon sans utiliser de profil d'instance IAM.

 18 août 2022

Amazon SSMService RolePolicy — Mise à jour d'une politique existante

Systems Manager a ajouté de nouvelles autorisations pour autoriser Explorer à créer une règle gérée lorsque vous activez Security Hub depuis Explorer ou OpsCenter. De nouvelles autorisations ont été ajoutées pour vérifier que la configuration et l'optimiseur de calcul répondent aux exigences nécessaires avant d'autoriser. OpsData

 27 avril 2021

AWSSystemsManagerOpsDataSyncServiceRolePolicy : nouvelle politique

Systems Managera ajouté une nouvelle politique pour créer et mettre à jour OpsItems et à OpsData partir des conclusions du Security Hub dans Explorer etOpsCenter.

 27 avril 2021

AmazonSSMServiceRolePolicy : mise à jour d’une politique existante

Systems Managera ajouté de nouvelles autorisations pour permettre l'affichage des agrégats OpsData et des OpsItems détails provenant de plusieurs comptes et Régions AWS dansExplorer.

 24 mars 2021

Systems Manager a démarré le suivi des modifications

Systems Managera commencé à suivre les modifications apportées AWS à ses politiques gérées.

 12 mars 2021

Stratégie supplémentaires gérées pour Systems Manager

En plus des politiques gérées décrites plus haut dans ce sujet, les politique suivantes sont également prises en charge par System Manager.

  • AmazonSSMAutomationApproverAccess – La politique gérée AWS qui permet d’accéder à l’affichage des exécutions d’automatisation et à l’envoi des décisions d’approbations pour les instances d’automatisation en attente d’approbation.

  • AmazonSSMDirectoryServiceAccess— politique AWS gérée qui permet d'SSM Agentaccéder au Directory Service nom de l'utilisateur aux demandes d'adhésion au domaine par le nœud géré.

  • AmazonSSMFullAccess— politique AWS gérée qui accorde un accès complet à l'Systems ManagerAPI et aux documents.

  • AmazonSSMMaintenanceWindowRole – La politique gérée AWS qui fournit aux fenêtres de maintenance des autorisations d’accès à l’API Systems Manager.

  • AmazonSSMManagedInstanceCore : politique gérée par AWS permettant à un nœud d’utiliser une fonctionnalité principale de service de Systems Manager.

  • AmazonSSMPatchAssociation – La politique gérée AWS qui permet d’accéder aux instances enfants pour les opérations d’association de correctifs.

  • AmazonSSMReadOnlyAccess – La politique gérée AWS qui accorde d’accéder aux opérations d’API en lecture seule Systems Manager telles que Get* et List*.

  • AWSSSMOpsInsightsServiceRolePolicy: politique AWS gérée qui fournit des autorisations pour créer et mettre à jour des informations opérationnelles OpsItemsdansSystems Manager. Utilisé pour fournir des autorisations via le rôle lié au service AWSServiceRoleForAmazonSSM_OpsInsights.

  • AWSSystemsManagerAccountDiscoveryServicePolicy— politique AWS gérée qui accorde à Systems Manager l'autorisation de découvrir Compte AWS des informations.

  • AmazonEC2RoleforSSM – Cette politique n’est plus prise en charge et ne doit pas être utilisée. À la place, utilisez la AmazonSSMManagedInstanceCore politique pour autoriser les fonctionnalités Systems Manager de base du service sur les EC2 instances. Pour plus d’informations, consultez la section Configurer des autorisations d’instance requises pour Systems Manager.