| CW =. CloudWatch ARN = Amazon Resource Name. \* = wildcard (qualsiasi). | |||
|---|---|---|---|
| Dichiarazione delle policy | Effetto | Operazioni | Descrizione e risorse (ARN) |
| **Amazon Elastic Compute Cloud (Amazon EC2)** | |||
| EC2 Azioni relative ai messaggi | Consenso | AcknowledgeMessage, DeleteMessage, FailMessage, GetEndpoint, GetMessages, SendReply | Consente azioni di messaggistica di EC2 Systems Manager nel tuo account. |
| Ec2 Descrivi | Consenso | \* (Tutti) | Consente alla console di visualizzare i dettagli di configurazione EC2 di un account. |
| Iam Get Role ID | Consenso | GetRole | Consente di EC2 ottenere il tuo ID IAM da `aws:iam::*:role/customer-*` e`aws:iam::*:role/customer_*`. |
| Istanza per caricare gli eventi di registro | Consenso | Crea un gruppo di log | Consente la creazione di registri in: `aws:logs:*:*:log-group:i-*` |
| Crea Log Stream | Consente lo streaming dei log su: `aws:logs:*:*:log-group:i-*` | ||
| CW per MMS | Consenso | DescribeAlarms, PutMetricAlarm, PutMetricData | Consente di CloudWatch recuperare gli allarmi nel tuo account. Consente a CW di creare o aggiornare un allarme e associarlo alla metrica specificata. Consente a CW di pubblicare punti dati metrici sul tuo account. |
| Tag Ec2 | Consenso | CreateTags, DescribeTags, | Consente di aggiungere, sovrascrivere e descrivere i tag nelle istanze specificate nel tuo account. |
| Nega esplicitamente i registri CW | Rifiuta | DescribeLogStreams, FilterLogEvents, GetLogEvents | Non consente di elencare, filtrare o ottenere i flussi di log per: `aws:logs:*:*:log-group:/mc/*` |
| **Amazon EC2 Simple Systems Manager (SSM)** | |||
| Azioni SSM | Consenso | DescribeAssociation, GetDocument, ListAssociations, UpdateAssociationStatus, UpdateInstanceInformation | Consente una varietà di funzioni SSM nel tuo account. |
| Accesso SSM in S3 | Consenso | GetObject, PutObject, AbortMultipartUpload, ListMultipartUploadPorts, ListBucketMultipartUploads | Consente all'SSM di caricare e aggiornare oggetti e di interrompere il EC2 caricamento di oggetti in più parti ed elencare le porte e i bucket disponibili per i caricamenti in più parti. `aws:s3:::mc-*-internal-*/aws/ssm*` |
| **Amazon EC2 Simple Storage Service (S3)** | |||
| Ottieni oggetti in S3 | Consenso | Get Elenco | Consente alle EC2 applicazioni di recuperare ed elencare gli oggetti nei bucket S3 del tuo account. |
| Accesso S3 al registro crittografato del cliente | Consenso | PutObject | Consente EC2 alle applicazioni di aggiornare gli oggetti in `aws:s3:::mc-*-logs-*/encrypted/app/*` |
| Patch Data Put Object S3 | Consenso | PutObject | Consente alle EC2 applicazioni di caricare i dati di patch nei bucket S3 all'indirizzo `aws:s3:::awsms-a*-patch-data-*` |
| Caricamento dei propri log su S3 | Consenso | PutObject | Consente alle EC2 applicazioni di caricare log personalizzati su: `aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*` |
| Nega esplicitamente i registri di MC Namespace S3 | Rifiuta | GetObject\* Inserisci\* | Impedisce EC2 alle applicazioni di acquisire o inserire oggetti da o verso: `aws:s3:::mc-*-logs-*/encrypted/mc*`, `aws:s3:::mc-*-logs-*/mc/*`, `aws:s3:::mc-a*-logs-*-audit/*` |
| Nega esplicitamente l'eliminazione di S3 | Rifiuta | \* (tutti) | Impedisce EC2 alle applicazioni di eseguire alcuna azione sugli oggetti in: `aws:s3:::mc-a*-logs-*/*`, `aws:s3:::mc-a*-internal-*/*`, |
| Nega esplicitamente S3 CFN Bucket | Rifiuta | Elimina\* | Impedisce alle applicazioni di eliminare oggetti EC2 da: `aws:s3:::cf-templates-*` |
| Nega esplicitamente List Bucket S3 | Rifiuta | ListBucket | Non consente di elencare oggetti crittografati, di registro di controllo o riservati (mc) provenienti da: `aws:s3:::mc-*-logs-*` |
| **Gestione dei segreti AWS in Amazon EC2** | |||
| Accesso segreto a Trend Cloud One | Consenso | GetSecretValue | Consente EC2 ad Amazon di accedere ai segreti per la migrazione di Trend Cloud One: `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`, `arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*`, `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`, `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*` |
| **AWS Key Management Service in Amazon EC2** | |||
| Chiave di decrittografia Trend Cloud One | Consenso | Decrypt | Consenti EC2 ad Amazon di decrittografare la AWS KMS chiave con il nome alias/-migration ams/eps/cloudone `arn:aws:kms:*:*:alias/ams/eps/cloudone-migration` |