EC2 Profil instans IAM - Panduan Pengguna Tingkat Lanjut AMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

EC2 Profil instans IAM

Profil instance adalah wadah untuk peran IAM yang dapat Anda gunakan untuk meneruskan informasi peran ke EC2 instance saat instance dimulai.

MALZ

Ada dua profil instance default AMS, customer-mc-ec2-instance-profile dancustomer-mc-ec2-instance-profile-s3. Profil instance ini memberikan izin yang dijelaskan dalam tabel berikut.

Deskripsi kebijakan
Profil Kebijakan

customer-mc-ec2-instance-profile

AmazonSSMManagedInstanceCore: Memungkinkan instans Ec2 untuk menggunakan agen SSM.

AMSInstanceProfileLoggingPolicy: Memungkinkan instance Ec2 untuk mendorong log ke S3 dan. CloudWatch

AMSInstanceProfileManagementPolicy: Mengizinkan instance Ec2 melakukan tindakan booting, seperti bergabung dengan Active Directory.

AMSInstanceProfileMonitoringPolicy: Memungkinkan instans Ec2 melaporkan temuan ke layanan pemantauan AMS.

AMSInstanceProfilePatchPolicy: Memungkinkan instans Ec2 menerima tambalan.

customer-mc-ec2-instance-profile-s3

AMSInstanceProfileBYOEPSPolicy: Memungkinkan instans Ec2 untuk menggunakan AMS membawa EPS Anda sendiri.

AMSInstanceProfileLoggingPolicy: Memungkinkan instance Ec2 untuk mendorong log ke S3 dan. CloudWatch

AMSInstanceProfileManagementPolicy: Mengizinkan instance Ec2 melakukan tindakan booting, seperti bergabung dengan Active Directory.

AMSInstanceProfileMonitoringPolicy: Memungkinkan instans Ec2 melaporkan temuan ke layanan pemantauan AMS.

AMSInstanceProfilePatchPolicy: Memungkinkan instans Ec2 menerima tambalan.

AMSInstanceProfileS3WritePolicy: Mengizinkan instans Ec2 read/write ke bucket S3 pelanggan.

SALZ

Ada satu profil instans default AMS,customer-mc-ec2-instance-profile, yang memberikan izin dari kebijakan instans IAM. customer_ec2_instance_profile_policy Profil instance ini memberikan izin yang dijelaskan dalam tabel berikut. Profil memberikan izin ke aplikasi yang berjalan pada instance, bukan kepada pengguna yang masuk ke instance.

Kebijakan sering menyertakan beberapa pernyataan, di mana setiap pernyataan memberikan izin ke kumpulan sumber daya yang berbeda atau memberikan izin dalam kondisi tertentu.

CW = CloudWatch. ARN = Nama Sumber Daya Amazon. * = wildcard (apa saja).

EC2 izin profil instans IAM default

CW = CloudWatch. ARN = Nama Sumber Daya Amazon. * = wildcard (apa saja).

Pernyataan kebijakan Efek Tindakan Deskripsi dan sumber daya (ARN)

Amazon Elastic Compute Cloud (Amazon EC2)

EC2 Tindakan Pesan

Izinkan

AcknowledgeMessage,

DeleteMessage,

FailMessage,

GetEndpoint,

GetMessages,

SendReply

Mengizinkan tindakan perpesanan EC2 Systems Manager di akun Anda.

Ec2 Jelaskan

Izinkan

* (Semua)

Memungkinkan konsol menampilkan detail konfigurasi EC2 di akun Anda.

Saya Dapatkan ID Peran

Izinkan

GetRole

Memungkinkan EC2 untuk mendapatkan ID IAM Anda dari aws:iam::*:role/customer-* danaws:iam::*:role/customer_*.

Instance Untuk Mengunggah Peristiwa Log

Izinkan

Buat Grup Log

Mengizinkan log dibuat di: aws:logs:*:*:log-group:i-*

Buat Aliran Log

Memungkinkan log dialirkan ke: aws:logs:*:*:log-group:i-*

CW Untuk MMS

Izinkan

DescribeAlarms,

PutMetricAlarm,

PutMetricData

Memungkinkan CloudWatch untuk mengambil alarm di akun Anda.

Memungkinkan CW membuat atau memperbarui alarm dan mengaitkannya dengan metrik yang ditentukan.

Memungkinkan CW mempublikasikan titik data metrik ke akun Anda.

Tag Ec2

Izinkan

CreateTags,

DescribeTags,

Memungkinkan tag ditambahkan, ditimpa, dan dijelaskan pada instance yang ditentukan di akun Anda.

Secara Eksplisit Menolak Log CW

Menyangkal

DescribeLogStreams,

FilterLogEvents,

GetLogEvents

Tidak mengizinkan daftar, memfilter, atau mendapatkan aliran log untuk: aws:logs:*:*:log-group:/mc/*

Amazon EC2 Simple Systems Manager (SSM)

Tindakan SSM

Izinkan

DescribeAssociation,

GetDocument,

ListAssociations,

UpdateAssociationStatus,

UpdateInstanceInformation

Memungkinkan berbagai fungsi SSM di akun Anda.

Akses SSM Di S3

Izinkan

GetObject,

PutObject,

AbortMultipartUpload,

ListMultipartUploadPorts,

ListBucketMultipartUploads

Memungkinkan SSM EC2 untuk mendapatkan dan memperbarui objek, dan membatalkan unggahan objek multi-bagian ke, dan daftar port dan ember yang tersedia untuk, unggahan multi-bagian di. aws:s3:::mc-*-internal-*/aws/ssm*

Amazon EC2 Simple Storage Service (S3)

Dapatkan Objek Di S3

Izinkan

Dapatkan

Daftar

Memungkinkan EC2 aplikasi untuk mengambil dan mencantumkan objek dalam bucket S3 di akun Anda.

Akses Log S3 Terenkripsi Pelanggan

Izinkan

PutObject

Memungkinkan EC2 aplikasi untuk memperbarui objek di aws:s3:::mc-*-logs-*/encrypted/app/*

Patch Data Letakkan Objek S3

Izinkan

PutObject

Memungkinkan EC2 aplikasi untuk mengunggah data patching ke bucket S3 Anda di aws:s3:::awsms-a*-patch-data-*

Mengunggah Log Sendiri Ke S3

Izinkan

PutObject

Memungkinkan EC2 aplikasi untuk mengunggah log kustom ke: aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*

Secara Eksplisit Menolak Log MC Namespace S3

Menyangkal

GetObject*

Meletakkan*

Melarangkan EC2 aplikasi mendapatkan atau meletakkan objek apa pun dari atau ke:

aws:s3:::mc-*-logs-*/encrypted/mc*,

aws:s3:::mc-*-logs-*/mc/*,

aws:s3:::mc-a*-logs-*-audit/*

Secara Eksplisit Tolak Hapus S3

Menyangkal

* (semua)

Melarangkan EC2 aplikasi mengambil tindakan apa pun pada objek di:

aws:s3:::mc-a*-logs-*/*,

aws:s3:::mc-a*-internal-*/*,

Secara Eksplisit Menolak Bucket CFN S3

Menyangkal

Hapus*

MelRANG EC2 aplikasi menghapus objek apa pun dari: aws:s3:::cf-templates-*

Secara Eksplisit Menolak Daftar Bucket S3

Menyangkal

ListBucket

Melarang Anda mencantumkan objek terenkripsi, log audit, atau cadangan (mc) dari: aws:s3:::mc-*-logs-*

AWS Secrets Manager di Amazon EC2

Akses Rahasia Trend Cloud One

Izinkan

GetSecretValue

Memungkinkan Amazon EC2 mengakses rahasia untuk migrasi Trend Cloud One:

aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,

arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*,

aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,

aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*

AWS Key Management Service di Amazon EC2

Kunci Dekripsi Trend Cloud One

Izinkan

Dekripsi

Izinkan Amazon EC2 mendekripsi AWS KMS kunci dengan nama alias/-migrasi ams/eps/cloudone

arn:aws:kms:*:*:alias/ams/eps/cloudone-migration

Jika Anda tidak terbiasa dengan kebijakan Amazon IAM, lihat Ikhtisar Kebijakan IAM untuk informasi penting.

catatan

Kebijakan sering menyertakan beberapa pernyataan, di mana setiap pernyataan memberikan izin ke kumpulan sumber daya yang berbeda atau memberikan izin dalam kondisi tertentu.