EC2 Profilo dell'istanza IAM

Un profilo di istanza è un contenitore per un ruolo IAM che puoi utilizzare per passare informazioni sul ruolo a un' EC2 istanza all'avvio dell'istanza.

MALZ

Esistono due profili di istanza AMS predefiniti customer-mc-ec2-instance-profile ecustomer-mc-ec2-instance-profile-s3. Questi profili di istanza forniscono le autorizzazioni descritte nella tabella seguente.

Descrizioni delle politiche
Profilo	Policy
`customer-mc-ec2-instance-profile`	`AmazonSSMManagedInstanceCore`: consente alle istanze Ec2 di utilizzare l'agente SSM.
	`AMSInstanceProfileLoggingPolicy`: Consente alle istanze Ec2 di inviare i log a S3 e. CloudWatch
	`AMSInstanceProfileManagementPolicy`: Consente alle istanze Ec2 di eseguire azioni di avvio, come l'adesione ad Active Directory.
	`AMSInstanceProfileMonitoringPolicy`: Consente alle istanze Ec2 di riportare i risultati ai servizi di monitoraggio AMS.
	`AMSInstanceProfilePatchPolicy`: consente alle istanze Ec2 di ricevere patch.
`customer-mc-ec2-instance-profile-s3`	`AMSInstanceProfileBYOEPSPolicy`: Consente alle istanze Ec2 di utilizzare AMS bring your own EPS.
	`AMSInstanceProfileLoggingPolicy`: Consente alle istanze Ec2 di inviare i log a S3 e. CloudWatch
	`AMSInstanceProfileManagementPolicy`: Consente alle istanze Ec2 di eseguire azioni di avvio, come l'adesione ad Active Directory.
	`AMSInstanceProfileMonitoringPolicy`: Consente alle istanze Ec2 di riportare i risultati ai servizi di monitoraggio AMS.
	`AMSInstanceProfilePatchPolicy`: consente alle istanze Ec2 di ricevere patch.
	`AMSInstanceProfileS3WritePolicy`: consente alle istanze Ec2 di accedere ai read/write bucket S3 del cliente.

SALZ

Esiste un profilo di istanza AMS predefinito che concede le autorizzazioni customer-mc-ec2-instance-profile previste dalla policy delle istanze IAM. customer_ec2_instance_profile_policy Questo profilo di istanza fornisce le autorizzazioni descritte nella tabella seguente. Il profilo concede le autorizzazioni alle applicazioni in esecuzione sull'istanza, non agli utenti che accedono all'istanza.

Le politiche spesso includono più istruzioni, in cui ogni istruzione concede autorizzazioni a un diverso set di risorse o concede autorizzazioni in base a una condizione specifica.

CW =. CloudWatch ARN = Amazon Resource Name. * = wildcard (qualsiasi).

EC2 autorizzazioni predefinite del profilo di istanza IAM
CW =. CloudWatch ARN = Amazon Resource Name. * = wildcard (qualsiasi).
Dichiarazione delle policy	Effetto	Operazioni	Descrizione e risorse (ARN)
Amazon Elastic Compute Cloud (Amazon EC2)
EC2 Azioni relative ai messaggi	Consenso	AcknowledgeMessage, DeleteMessage, FailMessage, GetEndpoint, GetMessages, SendReply	Consente azioni di messaggistica di EC2 Systems Manager nel tuo account.
Ec2 Descrivi	Consenso	* (Tutti)	Consente alla console di visualizzare i dettagli di configurazione EC2 di un account.
Iam Get Role ID	Consenso	GetRole	Consente di EC2 ottenere il tuo ID IAM da `aws:iam:::role/customer-` e`aws:iam:::role/customer_`.
Istanza per caricare gli eventi di registro	Consenso	Crea un gruppo di log	Consente la creazione di registri in: `aws:logs:::log-group:i-*`
Istanza per caricare gli eventi di registro	Consenso	Crea Log Stream	Consente lo streaming dei log su: `aws:logs:::log-group:i-*`
CW per MMS	Consenso	DescribeAlarms, PutMetricAlarm, PutMetricData	Consente di CloudWatch recuperare gli allarmi nel tuo account. Consente a CW di creare o aggiornare un allarme e associarlo alla metrica specificata. Consente a CW di pubblicare punti dati metrici sul tuo account.
Tag Ec2	Consenso	CreateTags, DescribeTags,	Consente di aggiungere, sovrascrivere e descrivere i tag nelle istanze specificate nel tuo account.
Nega esplicitamente i registri CW	Rifiuta	DescribeLogStreams, FilterLogEvents, GetLogEvents	Non consente di elencare, filtrare o ottenere i flussi di log per: `aws:logs:::log-group:/mc/*`
Amazon EC2 Simple Systems Manager (SSM)
Azioni SSM	Consenso	DescribeAssociation, GetDocument, ListAssociations, UpdateAssociationStatus, UpdateInstanceInformation	Consente una varietà di funzioni SSM nel tuo account.
Accesso SSM in S3	Consenso	GetObject, PutObject, AbortMultipartUpload, ListMultipartUploadPorts, ListBucketMultipartUploads	Consente all'SSM di caricare e aggiornare oggetti e di interrompere il EC2 caricamento di oggetti in più parti ed elencare le porte e i bucket disponibili per i caricamenti in più parti. `aws:s3:::mc--internal-/aws/ssm*`
Amazon EC2 Simple Storage Service (S3)
Ottieni oggetti in S3	Consenso	Get Elenco	Consente alle EC2 applicazioni di recuperare ed elencare gli oggetti nei bucket S3 del tuo account.
Accesso S3 al registro crittografato del cliente	Consenso	PutObject	Consente EC2 alle applicazioni di aggiornare gli oggetti in `aws:s3:::mc--logs-/encrypted/app/*`
Patch Data Put Object S3	Consenso	PutObject	Consente alle EC2 applicazioni di caricare i dati di patch nei bucket S3 all'indirizzo `aws:s3:::awsms-a-patch-data-`
Caricamento dei propri log su S3	Consenso	PutObject	Consente alle EC2 applicazioni di caricare log personalizzati su: `aws:s3:::mc-a-logs-/aws/instances//${aws:userid}/`
Nega esplicitamente i registri di MC Namespace S3	Rifiuta	GetObject* Inserisci*	Impedisce EC2 alle applicazioni di acquisire o inserire oggetti da o verso: `aws:s3:::mc--logs-/encrypted/mc`, `aws:s3:::mc--logs-/mc/`, `aws:s3:::mc-a-logs--audit/*`
Nega esplicitamente l'eliminazione di S3	Rifiuta	* (tutti)	Impedisce EC2 alle applicazioni di eseguire alcuna azione sugli oggetti in: `aws:s3:::mc-a-logs-/`, `aws:s3:::mc-a-internal-/`,
Nega esplicitamente S3 CFN Bucket	Rifiuta	Elimina*	Impedisce alle applicazioni di eliminare oggetti EC2 da: `aws:s3:::cf-templates-*`
Nega esplicitamente List Bucket S3	Rifiuta	ListBucket	Non consente di elencare oggetti crittografati, di registro di controllo o riservati (mc) provenienti da: `aws:s3:::mc--logs-`
AWS Secrets Manager in Amazon EC2
Accesso segreto a Trend Cloud One	Consenso	GetSecretValue	Consente EC2 ad Amazon di accedere ai segreti per la migrazione di Trend Cloud One: `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-id`, `arn:aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-activation-token`, `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-id`, `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-guid`
AWS Key Management Service in Amazon EC2
Chiave di decrittografia Trend Cloud One	Consenso	Decrypt	Consenti EC2 ad Amazon di decrittografare la AWS KMS chiave con il nome alias/-migration ams/eps/cloudone `arn:aws:kms:::alias/ams/eps/cloudone-migration`

Se non conosci le politiche di Amazon IAM, consulta Panoramica delle politiche IAM per informazioni importanti.

Nota

Le politiche spesso includono più istruzioni, in cui ogni dichiarazione concede autorizzazioni a un diverso set di risorse o concede autorizzazioni in base a una condizione specifica.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Impostazioni di risoluzione DNS predefinite (MALZ)

Avvisi dal monitoraggio di base in AMS