AWS politiche gestite per AWS Systems Manager - AWS Systems Manager
Amazon SSMService RolePolicySSMAutomationRuolo di AmazonAmazon SSMRead OnlyAccessAWSSystemsManagerOpsDataSyncServiceRolePolicyAmazon SSMManaged EC2 InstanceDefaultPolicySSMQuickSetupRolePolicyAWSQuickSetupDeploymentRolePolicyAWSQuickSetupPatchPolicyDeploymentRolePolicyAWSQuickSetupPatchPolicyBaselineAccessAWSSystemsManagerEnableExplorerExecutionPolicyAWSSystemsManagerEnableConfigRecordingExecutionPolicyAWSQuickSetupDevOpsGuruPermissionsBoundaryAWSQuickSetupDistributorPermissionsBoundaryAWSQuickConfigurazione SSMHost MgmtPermissionsBoundaryAWSQuickSetupPatchPolicyPermissionsBoundaryAWSQuickSetupSchedulerPermissionsBoundaryAWSQuickConfigurazione CFGCPacks PermissionsBoundaryAWSQuickSetupStartStopInstancesExecutionPolicyAWSQuickSetupStartSSMAssociationsExecutionPolicyAWS-SSM- - DiagnosisAutomation AdministrationRolePolicyAWS-SSM- - DiagnosisAutomation ExecutionRolePolicyAWS-SSM- - RemediationAutomation AdministrationRolePolicyAWS-SSM- - RemediationAutomation ExecutionRolePolicyAWSQuickConfigurazione SSMManage ResourcesExecutionPolicyAWSQuickConfigurazione SSMLifecycle ManagementExecutionPolicyAWSQuickConfigurazione SSMDeployment RolePolicyAWSQuickConfigurazione S3 SSMDeployment BucketRolePolicyAWSQuickSetupEnableDHMCExecutionPolicyAWSQuickSetupEnableAREXExecutionPolicyAWSQuickSetupManagedInstanceProfileExecutionPolicyAWSQuickSetupManageJITNAResourcesExecutionPolicyAWSQuickConfigurazione JITNADeployment RolePolicyAWSSystemsManagerJustInTimeAccessServicePolicyAWSSystemsManagerJustInTimeAccessTokenPolicyAWSSystemsManagerJustInTimeAccessTokenSessionPolicyAWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicyAWSSystemsManagerNotificationsServicePolicyAWS-SSM-Automazione- DiagnosisBucketPolicyAWS-SSM- - RemediationAutomation OperationalAccountAdministrationRolePolicyAWS-SSM- - DiagnosisAutomation OperationalAccountAdministrationRolePolicyAggiornamenti delle policyPolity gestite aggiuntive per Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per AWS Systems Manager

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i propri casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare policy gestite da AWS nella Guida per l'utente di IAM.

Argomenti

AWS politica gestita: Amazon SSMService RolePolicy

Questa politica fornisce l'accesso a una serie di AWS risorse gestite AWS Systems Manager o utilizzate nelle operazioni di Systems Manager.

Non puoi collegarti AmazonSSMServiceRolePolicy alle tue entità AWS Identity and Access Management (IAM). Questa policy è associata a un ruolo collegato al servizio che consente di AWS Systems Manager eseguire azioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli per raccogliere l'inventario e visualizzare OpsData.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm: consente alle entità principali di avviare e gestire le esecuzioni sia per Run Command che per Automation, nonché di recuperare informazioni su Run Command e sulle operazioni di Automation, recuperare informazioni sui calendari Change Calendar dei parametri Parameter Store, aggiornare e recuperare informazioni sulle impostazioni del servizio Systems Manager per le risorse OpsCenter e leggere informazioni sui tag applicati alle risorse.

  • cloudformation: consente alle entità principali di recuperare informazioni sulle operazioni e le istanze dello stackset, eliminando gli stackset sulla risorsa arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*. Consente alle entità principali di eliminare le istanze dello stack associate alle seguenti risorse:

    arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

  • cloudwatch— Consente ai responsabili di recuperare informazioni sugli allarmi Amazon CloudWatch .

  • compute-optimizer— Consente ai responsabili di recuperare lo stato di registrazione (opt-in) di un account al AWS Compute Optimizer servizio e di recuperare consigli per le istanze EC2 Amazon che soddisfano una serie specifica di requisiti dichiarati.

  • config— Consente ai responsabili di recuperare le configurazioni di correzione delle informazioni e i registratori di configurazione e di determinare se le regole e le risorse specificate sono conformi AWS Config. AWS Config AWS

  • events— Consente ai responsabili di recuperare informazioni sulle EventBridge regole, di creare EventBridge regole e destinazioni esclusivamente per il servizio Systems Manager (ssm.amazonaws.com) e di eliminare regole e destinazioni per la risorsa. arn:aws:events:*:*:rule/SSMExplorerManagedRule

  • ec2— Consente ai responsabili di recuperare informazioni sulle istanze di Amazon EC2 .

  • iam: consente alle entità principali di assegnare le autorizzazioni ai ruoli per il servizio Systems Manager (ssm.amazonaws.com).

  • lambda: consente alle entità principali di richiamare funzioni Lambda configurate specificamente per l'utilizzo da parte di Systems Manager.

  • resource-explorer-2— Consente ai responsabili di recuperare i dati sulle EC2 istanze per determinare se ciascuna istanza è attualmente gestita o meno da Systems Manager.

    L'azione resource-explorer-2:CreateManagedView è consentita per la risorsa arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*.

  • resource-groups— Consente ai responsabili di recuperare i gruppi di risorse dell'elenco e i relativi membri dalle risorse che appartengono a un gruppo AWS Resource Groups di risorse.

  • securityhub— Consente ai responsabili di recuperare informazioni sulle risorse dell' AWS Security Hub hub nell'account corrente.

  • states— Consente ai responsabili di avviare e recuperare informazioni configurate specificamente per AWS Step Functions l'uso da parte di Systems Manager.

  • support: consente alle entità principali di recuperare informazioni su controlli e casi in AWS Trusted Advisor.

  • tag: consente alle entità principali di recuperare informazioni su tutte le risorse contrassegnate o precedentemente contrassegnate che si trovano in una determinata Regione AWS su un account.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta Amazon SSMService RolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: Amazon SSMAutomation Role

È possibile allegare la policy AmazonSSMAutomationRole alle identità IAM. Questa policy fornisce le autorizzazioni per il servizio di AWS Systems Manager automazione per eseguire le attività definite nei runbook di automazione.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • lambda— Consente ai principali di richiamare funzioni Lambda con nomi che iniziano con «Automazione». Ciò è necessario affinché i runbook di automazione eseguano le funzioni Lambda come parte del loro flusso di lavoro.

  • ec2— Consente ai responsabili di eseguire varie EC2 operazioni Amazon, tra cui la creazione, la copia e l'annullamento della registrazione di immagini, la gestione delle istantanee, l'avvio, l'esecuzione, l'arresto e la chiusura delle istanze, la gestione dello stato delle istanze e la creazione, l'eliminazione e la descrizione dei tag. Queste autorizzazioni consentono ai runbook di Automation di gestire EC2 le risorse Amazon durante l'esecuzione.

  • cloudformation— Consente ai principali di creare, descrivere, aggiornare ed eliminare gli stack. CloudFormation Ciò consente ai runbook di automazione di gestire l'infrastruttura come codice. CloudFormation

  • ssm— Consente ai responsabili di utilizzare tutte le azioni di Systems Manager. Questo accesso completo è necessario per consentire ai runbook di automazione di interagire con tutte le funzionalità di Systems Manager.

  • sns— Consente ai responsabili di pubblicare messaggi su argomenti di Amazon SNS con nomi che iniziano con «Automazione». Ciò consente ai runbook di automazione di inviare notifiche durante l'esecuzione.

  • ssmmessages— Consente ai responsabili di aprire i canali di dati alle sessioni di Systems Manager. Ciò consente ai runbook di automazione di stabilire canali di comunicazione per le operazioni basate sulle sessioni.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta Amazon SSMAutomation Role nella AWS Managed Policy Reference Guide.

AWS politica gestita: Amazon SSMRead OnlyAccess

È possibile allegare la policy AmazonSSMReadOnlyAccess alle identità IAM. Questa politica garantisce l'accesso in sola lettura alle operazioni AWS Systems Manager APIDescribe*, tra cui, Get* e. List*

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta Amazon SSMRead OnlyAccess nella AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSystems ManagerOpsDataSyncServiceRolePolicy

Non è possibile collegare AWSSystemsManagerOpsDataSyncServiceRolePolicy alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente a Systems Manager di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli per creare OpsData e OpsItems per Explorer.

AWSSystemsManagerOpsDataSyncServiceRolePolicyconsente al ruolo AWSServiceRoleForSystemsManagerOpsDataSync collegato al servizio di creare e aggiornare i risultati e basarsi sui OpsItems risultati OpsData . AWS Security Hub

La policy consente a Systems Manager di eseguire le seguenti operazioni su tutte le risorse correlate ("Resource": "*"), tranne dove indicato:

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource[2]

  • ssm:UpdateServiceSetting[3]

  • ssm:GetServiceSetting[3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings[4]

[1] Le operazioni ssm:GetOpsItem e ssm:UpdateOpsItem consentono autorizzazioni solo dalla seguente condizione per il servizio Systems Manager.

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] L'operazione ssm:AddTagsToResource consente autorizzazioni solo per la seguente risorsa.

arn:aws:ssm:*:*:opsitem/*

[3] Le operazioni ssm:UpdateServiceSetting e ssm:GetServiceSetting consentono autorizzazioni solo per le seguenti risorse.

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] Il kitsecurityhub:BatchUpdateFindingsLe autorizzazioni vengono negate dalla seguente condizione perSystems Managersolo servizio.

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la AWS Managed Policy AWSSystemsManagerOpsDataSyncServiceRolePolicyReference Guide.

AWS politica gestita: Amazon SSMManaged EC2 InstanceDefaultPolicy

Devi collegarti AmazonSSMManagedEC2InstanceDefaultPolicy ai ruoli IAM solo per EC2 le istanze Amazon per le quali desideri avere l'autorizzazione all'uso della Systems Manager funzionalità. Non è consigliabile associare questo ruolo ad altre entità IAM, come utenti IAM e gruppi IAM, o a ruoli IAM che servono ad altri scopi. Per ulteriori informazioni, consulta Gestione automatica delle EC2 istanze con la configurazione di gestione host predefinita.

Questa politica concede autorizzazioni che consentono SSM Agent alla tua EC2 istanza Amazon di comunicare con il servizio Systems Manager nel cloud per eseguire una serie di attività. Concede inoltre le autorizzazioni per i due servizi che forniscono token di autorizzazione per garantire che le operazioni vengano eseguite sull'istanza corretta.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm: consente alle entità principali di recuperare documenti, eseguire comandi utilizzando Run Command, stabilire sessioni con Session Manager, raccogliere un inventario d'istanza ed eseguire la scansione delle patch e della loro conformità tramite Patch Manager.

  • ssmmessages: consente alle entità principali di accedere, per ogni istanza, a un token di autorizzazione personalizzato creato da Amazon Message Gateway Service. Systems Manager convalida il token di autorizzazione personalizzato rispetto al nome della risorsa Amazon (ARN) dell'istanza che era stato fornito nell'operazione API. Questo accesso è necessario per garantire che SSM Agent esegua le operazioni API sull'istanza corretta.

  • ec2messages: consente alle entità principali di accedere, per ogni istanza, a un token di autorizzazione personalizzato creato da Amazon Message Delivery Service. Systems Manager convalida il token di autorizzazione personalizzato rispetto al nome della risorsa Amazon (ARN) dell'istanza che era stato fornito nell'operazione API. Questo accesso è necessario per garantire che SSM Agent esegua le operazioni API sull'istanza corretta.

Per informazioni correlate sugli endpoint ssmmessages e ec2messages, incluse le differenze tra i due, consulta Operazioni API (endpoint ssmmessages e ec2messages) relative agli agenti.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta Amazon SSMManaged EC2 InstanceDefaultPolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: SSMQuick SetupRolePolicy

Non puoi collegarti SSMQuick SetupRolePolicy alle tue entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente a Systems Manager di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli per mantenere l'integrità e la coerenza delle risorse fornite da Quick Setup.

Questa policy concede autorizzazioni di sola lettura che consentono a Systems Manager di verificare lo stato della configurazione, garantire l'uso coerente dei parametri e delle risorse assegnate e correggere le risorse quando viene rilevata una deviazione. Inoltre, concede autorizzazioni amministrative per creare un ruolo collegato ai servizi.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm: consente alle entità principali di leggere le informazioni Resource Data Syncs e i documenti SSM in Systems Manager, inclusi gli account degli amministratori delegati. Questo viene richiesto in modo che Quick Setup determini lo stato in cui è necessario che si trovino le risorse configurate.

  • organizations: consente alle entità responsabili di leggere le informazioni sugli account dei membri che appartengono a un'organizzazione, come configurato in AWS Organizations. Ciò è necessario per far sì che Quick Setup identifichi tutti gli account di un'organizzazione in cui vanno eseguiti i controlli sullo stato delle risorse.

  • cloudformation— Consente ai responsabili di leggere informazioni da CloudFormation. Ciò è necessario per Quick Setup raccogliere dati sugli CloudFormation stack utilizzati per gestire lo stato delle risorse e le operazioni dello CloudFormation stackset.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la AWS Managed Policy SSMQuickSetupRolePolicyReference Guide.

AWS politica gestita: AWSQuick SetupDeploymentRolePolicy

La policy gestita AWSQuickSetupDeploymentRolePolicy supporta diversi tipi di configurazione Quick Setup. Questi tipi di configurazione creano ruoli e automazioni IAM che configurano i servizi e le funzionalità di Amazon Web Services utilizzati di frequente con le best practice consigliate.

È possibile collegare AWSQuickSetupDeploymentRolePolicy alle entità IAM.

Questa policy concede le autorizzazioni amministrative necessarie per creare risorse associate alle seguenti configurazioni di Quick Setup:

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm— Consente ai responsabili di leggere, creare, aggiornare ed eliminare documenti SSM con nomi che iniziano con "AWSQuickSetup-» o "AWSOperationsPack-» quando vengono chiamati tramite CloudFormation; di leggere documenti di AWS proprietà specifici, tra cui "AWSQuickSetupType-ManageInstanceProfile«; di creare, aggiornare ed eliminare associazioni per Quick Setup documenti e documenti di AWS proprietà quando vengono chiamati tramite CloudFormation; e di ripulire le risorse legacy contrassegnate con. QuickSetupID Ciò consente di Quick Setup implementare e gestire flussi di lavoro e associazioni di automazione.

  • cloudformation— Consente ai principali di leggere informazioni su CloudFormation stack e set di stack e di creare, aggiornare ed eliminare CloudFormation stack e modificare set per risorse con nomi che iniziano con "StackSet-AWS- -». QuickSetup Ciò consente di Quick Setup gestire le implementazioni dell'infrastruttura tra account e regioni.

  • config— Consente ai responsabili di leggere informazioni sui pacchetti di AWS Config conformità e sul loro stato e di creare ed eliminare pacchetti di conformità con nomi che iniziano con «AWS- QuickSetup -» quando vengono chiamati tramite. CloudFormation Ciò consente di implementare configurazioni di monitoraggio della Quick Setup conformità.

  • events— Consente ai responsabili di gestire EventBridge regole e obiettivi per le risorse i cui nomi contengono "-»QuickSetup. Ciò consente di Quick Setup creare flussi di lavoro di automazione pianificati.

  • iam— Consente ai responsabili di creare ruoli collegati ai servizi per e Systems AWS Config Manager; di creare, gestire ed eliminare ruoli IAM con nomi che iniziano con «AWS- QuickSetup -» o "AWSOperationsPack-» quando vengono chiamati via CloudFormation; di passare questi ruoli a Systems Manager e ai EventBridge servizi; di associare politiche AWS gestite specifiche a questi ruoli; e di impostare limiti di autorizzazione utilizzando politiche gestite specifiche. Quick Setup Ciò consente di Quick Setup creare i ruoli di servizio necessari per le sue operazioni.

  • resource-groups— Consente ai responsabili di recuperare le interrogazioni relative ai gruppi di risorse. Ciò consente di Quick Setup indirizzare set specifici di risorse per la gestione della configurazione.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWSQuickSetupDeploymentRolePolicyla AWS Managed Policy Reference Guide.

AWS politica gestita: AWSQuick SetupPatchPolicyDeploymentRolePolicy

La policy gestita AWSQuickSetupPatchPolicyDeploymentRolePolicy supporta il tipo Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup di Quick Setup. Questo tipo di configurazione consente di automatizzare l'applicazione di patch alle applicazioni e ai nodi in un singolo account o in tutta l'organizzazione.

È anche possibile collegare AWSQuickSetupPatchPolicyDeploymentRolePolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Questa policy concede autorizzazioni amministrative che consentono a Quick Setup di creare risorse associate a una configurazione della policy di patch.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • iam: consente alle entità principali di gestire ed eliminare i ruoli IAM necessari per le attività di configurazione dell'automazione e di gestire le politiche dei ruoli di automazione.

  • cloudformation— Consente ai principali di leggere le informazioni sugli CloudFormation stack e di controllare gli CloudFormation stack creati Quick Setup utilizzando CloudFormation i set di stack.

  • ssm: consente alle entità principali di creare, aggiornare, leggere ed eliminare i runbook Automation necessari per le attività di configurazione, nonché di creare, aggiornare ed eliminare le associazioni di State Manager.

  • resource-groups: consente alle entità principali di recuperare le query relative alle risorse associate ai gruppi di risorse destinate alle configurazioni di Quick Setup.

  • s3: consente alle entità principali di elencare i bucket Amazon S3 e di gestire i bucket per l'archiviazione dei log di accesso alle policy di patch.

  • lambda— Consente ai responsabili di gestire le funzioni di AWS Lambda riparazione che mantengono le configurazioni nello stato corretto.

  • logs: consente alle entità principali di descrivere e gestire gruppi di log per le risorse di configurazione Lambda.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la AWS Managed Policy AWSQuickSetupPatchPolicyDeploymentRolePolicyReference Guide.

AWS politica gestita: AWSQuick SetupPatchPolicyBaselineAccess

La policy gestita AWSQuickSetupPatchPolicyBaselineAccess supporta il tipo Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup di Quick Setup. Questo tipo di configurazione consente di automatizzare l'applicazione di patch alle applicazioni e ai nodi in un singolo account o in tutta l'organizzazione.

È anche possibile collegare AWSQuickSetupPatchPolicyBaselineAccess alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Questa politica fornisce autorizzazioni di sola lettura per accedere alle linee di base delle patch configurate da un amministratore dell'azienda corrente o dell'organizzazione utilizzando. Account AWS Quick Setup Le baseline delle patch sono archiviate in un bucket Amazon S3 e vengono utilizzate per l'applicazione di patch a istanze in un singolo account o in un'intera organizzazione.

Dettagli delle autorizzazioni

Questa policy include la seguente autorizzazione.

  • s3: consente alle entità principali di leggere le sostituzioni alla baseline delle patch archiviata nei bucket di Amazon S3.

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta la Managed Policy Reference Guide AWSQuickSetupPatchPolicyBaselineAccess.AWS

AWS politica gestita: AWSSystemsManagerEnableExplorerExecutionPolicy

La policy gestita AWSSystemsManagerEnableExplorerExecutionPolicy supporta l'abilitazioneExplorer, uno strumento in AWS Systems Manager.

È anche possibile collegare AWSSystemsManagerEnableExplorerExecutionPolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Questa policy concede autorizzazioni amministrative per l'attivazione di Explorer. Ciò include le autorizzazioni per aggiornare le impostazioni del relativo servizio di Systems Manager, creando un ruolo collegato al servizio per Systems Manager.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • config: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.

  • iam: consente alle entità principali di aiutare ad abilitare Explorer.

  • ssm: consente alle entità principali di avviare un flusso di lavoro di automazione che abiliti Explorer.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWSSystemsManagerEnableExplorerExecutionPolicyla AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSystemsManagerEnableConfigRecordingExecutionPolicy

La policy gestita AWSSystemsManagerEnableConfigRecordingExecutionPolicy supporta il tipo di configurazione Crea un registratore di configurazione AWS Config utilizzando Quick Setup di Quick Setup . Questo tipo di configurazione consente Quick Setup di tenere traccia e registrare le modifiche ai tipi di AWS risorse scelti AWS Config. Consente inoltre a Quick Setup di configurare le opzioni di consegna e notifica per i dati registrati.

È anche possibile collegare AWSSystemsManagerEnableConfigRecordingExecutionPolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Questa politica concede autorizzazioni amministrative che consentono di abilitare e configurare Quick Setup la registrazione della AWS Config configurazione.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • s3: consente alle entità principali di creare e configurare bucket Amazon S3 per la consegna delle registrazioni di configurazione.

  • sns: consente alle entità principali di elencare e creare argomenti di Amazon SNS.

  • config: consente alle entità principali di configurare e avviare il registratore di configurazione e di contribuire all'abilitazione di Explorer.

  • iam— Consente ai responsabili di creare, ottenere e assegnare un ruolo collegato ai servizi per AWS Config; di creare un ruolo collegato ai servizi per Systems Manager; e di contribuire ad abilitarlo. Explorer

  • ssm: consente alle entità principali di avviare un flusso di lavoro di automazione che abiliti Explorer.

  • compute-optimizer— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

  • support: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura per determinare se una risorsa è registrata a AWS Compute Optimizer.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la Managed Policy Reference AWSSystemsManagerEnableConfigRecordingExecutionPolicyGuide.AWS

AWS politica gestita: AWSQuick SetupDevOpsGuruPermissionsBoundary

Nota

Questa politica rappresenta un limite delle autorizzazioni. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consultare Limiti delle autorizzazioni per le entità IAM nella Guida per l’utente di IAM.

La policy gestita AWSQuickSetupDevOpsGuruPermissionsBoundary supporta il tipo Configurazione di DevOps Guru utilizzando Quick Setup. Il tipo di configurazione abilita Amazon DevOps Guru basato sull'apprendimento automatico. Il servizio DevOps Guru può aiutare a migliorare le prestazioni operative e la disponibilità di un'applicazione.

Quando crei una configurazione AWSQuickSetupDevOpsGuruPermissionsBoundary utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.

Questa politica concede autorizzazioni amministrative che consentono di abilitare e Quick Setup configurare Amazon DevOps Guru.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • iam— Consente ai responsabili di creare ruoli collegati ai servizi per DevOps Guru e Systems Manager e di elencare i ruoli che aiutano ad abilitare. Explorer

  • cloudformation: consente alle entità principali di elencare e descrivere gli stack CloudFormation .

  • sns: consente alle entità principali di elencare e creare argomenti di Amazon SNS.

  • devops-guru— Consente ai presidi di configurare DevOps Guru e di aggiungere un canale di notifica.

  • config: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.

  • ssm: consente alle entità principali di avviare un flusso di lavoro di automazione che abiliti Explorer, nonché di leggere e aggiornare le impostazioni del servizio Explorer.

  • compute-optimizer— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

  • support: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura per determinare se una risorsa è registrata a AWS Compute Optimizer.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la Managed Policy Reference AWSQuickSetupDevOpsGuruPermissionsBoundaryGuide.AWS

AWS politica gestita: AWSQuick SetupDistributorPermissionsBoundary

Nota

Questa politica rappresenta un limite delle autorizzazioni. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consultare Limiti delle autorizzazioni per le entità IAM nella Guida per l’utente di IAM.

La policy gestita AWSQuickSetupDistributorPermissionsBoundary supporta il tipo di configurazione Implementa i pacchetti Distributor utilizzando Quick Setup di Quick Setup . Il tipo di configurazione consente di abilitare la distribuzione di pacchetti software, come agenti, alle istanze Amazon Elastic Compute Cloud (Amazon EC2), utilizzando Distributor, uno strumento in. AWS Systems Manager

Quando crei una configurazione AWSQuickSetupDistributorPermissionsBoundary utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.

Questa politica concede autorizzazioni amministrative che consentono di Quick Setup abilitare la distribuzione di pacchetti software, come agenti, alle EC2 istanze Amazon utilizzando Distributor.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • iam— Consente ai responsabili di ottenere e passare il ruolo di automazione Distributor; di creare, leggere, aggiornare ed eliminare il ruolo di istanza predefinito; di passare il ruolo di istanza predefinito ad Amazon EC2 e Systems Manager; di associare politiche di gestione delle istanze ai ruoli di istanza; di creare un ruolo collegato ai servizi per Systems Manager; di aggiungere il ruolo di istanza predefinito ai profili di istanza; di leggere informazioni sui ruoli e sui profili di istanza IAM e di creare il profilo di istanza predefinito.

  • ec2— Consente ai principali di associare il profilo di istanza predefinito alle EC2 istanze e di contribuire all'abilitazioneExplorer.

  • ssm: consente alle entità principali di avviare i flussi di lavoro di automazione, vale a dire quelli che configurano le istanze e installano i pacchetti, nonché di contribuire ad avviare il flusso di lavoro di automazione che abilita Explorer, leggendo e aggiornando le impostazioni del servizio Explorer.

  • config: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.

  • compute-optimizer— Consente ai principali di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

  • support: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura per determinare se una risorsa è registrata a AWS Compute Optimizer.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la Managed Policy Reference AWSQuickSetupDistributorPermissionsBoundaryGuide.AWS

AWS politica gestita: configurazione AWSQuick SSMHost MgmtPermissionsBoundary

Nota

Questa politica rappresenta un limite delle autorizzazioni. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consultare Limiti delle autorizzazioni per le entità IAM nella Guida per l’utente di IAM.

La policy gestita AWSQuickSetupSSMHostMgmtPermissionsBoundary supporta il tipo di configurazione Impostare la gestione host Amazon EC2 utilizzando Quick Setup di Quick Setup . Questo tipo di configurazione configura i ruoli IAM e abilita gli strumenti Systems Manager di uso comune per gestire in modo sicuro le istanze Amazon EC2 .

Quando crei una configurazione AWSQuickSetupSSMHostMgmtPermissionsBoundary utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.

Questa politica concede autorizzazioni amministrative che consentono Quick Setup di abilitare e configurare gli strumenti di Systems Manager necessari per la gestione sicura delle istanze. EC2

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • iam: consente alle entità principali di ottenere e trasferire il ruolo di servizio all'automazione. Consente ai responsabili di creare, leggere, aggiornare ed eliminare il ruolo di istanza predefinito; di passare il ruolo di istanza predefinito ad Amazon EC2 e Systems Manager; di associare le politiche di gestione delle istanze ai ruoli delle istanze; di creare un ruolo collegato ai servizi per Systems Manager; di aggiungere il ruolo di istanza predefinito ai profili di istanza; di leggere informazioni sui ruoli IAM e sui profili di istanza; e di creare il profilo di istanza predefinito.

  • ec2— Consente ai principali di associare e dissociare il profilo di istanza predefinito dalle istanze. EC2

  • ssm— Consente ai responsabili di avviare flussi di lavoro di automazione che consentonoExplorer, di leggere e aggiornare le impostazioni del Explorer servizio, di configurare le istanze e di abilitare gli strumenti di Systems Manager sulle istanze.

  • compute-optimizer— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

  • support: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura per determinare se una risorsa è registrata a AWS Compute Optimizer.

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta la sezione AWSQuickConfigurazione SSMHost MgmtPermissionsBoundary nella Managed Policy Reference Guide.AWS

AWS politica gestita: AWSQuick SetupPatchPolicyPermissionsBoundary

Nota

Questa politica rappresenta un limite delle autorizzazioni. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consultare Limiti delle autorizzazioni per le entità IAM nella Guida per l’utente di IAM.

La policy gestita AWSQuickSetupPatchPolicyPermissionsBoundary supporta il tipo Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup di Quick Setup. Questo tipo di configurazione consente di automatizzare l'applicazione di patch alle applicazioni e ai nodi in un singolo account o in tutta l'organizzazione.

Quando crei una configurazione AWSQuickSetupPatchPolicyPermissionsBoundary utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.

Questa policy concede autorizzazioni amministrative che consentono a Quick Setup di abilitare e configurare le policy di patch in Patch Manager, uno strumento di AWS Systems Manager.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • iam— Consente ai responsabili di ottenere il ruolo di Patch Manager automazione; di passare i ruoli di automazione alle operazioni di Patch Manager patching; di creare il ruolo di istanza predefinitoAmazonSSMRoleForInstancesQuickSetup; di passare il ruolo di istanza predefinito ad Amazon EC2 e Systems Manager; di allegare politiche AWS gestite selezionate al ruolo dell'istanza; di creare un ruolo collegato ai servizi per Systems Manager; di aggiungere il ruolo di istanza predefinito ai profili di istanza; di leggere informazioni sui profili e i ruoli delle istanze; di creare un profilo di istanza predefinito; e di etichettare i ruoli che dispongono delle autorizzazioni per leggi le sostituzioni della linea di base delle patch.

  • ssm: consente alle entità principali di aggiornare il ruolo dell'istanza gestito da Systems Manager; di gestire le associazioni create da policy di patch di Patch Manager create in Quick Setup; di etichettare le istanze destinate a una configurazione di policy di patch; di leggere informazioni sulle istanze e sullo stato delle patch; di avviare flussi di lavoro di automazione che configurano, abilitano e correggono l'applicazione di patch alle istanze; di avviare flussi di lavoro di automazione che abilitino Explorer; di contribuire all'abilitazione di Explorer, nonché di leggere e aggiornare le impostazioni del servizio Explorer.

  • ec2— Consente ai responsabili di associare e dissociare il profilo di istanza predefinito dalle istanze, di etichettare EC2 le istanze destinate a una configurazione di policy di patch, di etichettare le istanze prese di mira da una configurazione di policy di patch e di aiutare ad abilitare. Explorer

  • s3: consente alle entità principali di creare e configurare bucket S3 per archiviare le modifiche della baseline delle patch.

  • lambda— Consente ai principali di richiamare AWS Lambda funzioni che configurano l'applicazione di patch e di eseguire operazioni di pulizia dopo l'eliminazione di una configurazione delle policy di patch. Quick Setup

  • logs— Consente ai responsabili di configurare la registrazione delle funzioni. Patch Manager Quick Setup AWS Lambda

  • config: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.

  • compute-optimizer— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer

  • support: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura per determinare se una risorsa è registrata a AWS Compute Optimizer.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la Managed Policy Reference AWSQuickSetupPatchPolicyPermissionsBoundaryGuide.AWS

AWS politica gestita: AWSQuick SetupSchedulerPermissionsBoundary

Nota

Questa politica rappresenta un limite delle autorizzazioni. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consultare Limiti delle autorizzazioni per le entità IAM nella Guida per l’utente di IAM.

La policy gestita AWSQuickSetupSchedulerPermissionsBoundary supporta il tipo di configurazione Arresta e avvia automaticamente le istanze EC2 in base a una pianificazione utilizzando Quick Setup di Quick Setup . Questo tipo di configurazione consente di arrestare e avviare le EC2 istanze e le altre risorse negli orari specificati.

Quando crei una configurazione AWSQuickSetupSchedulerPermissionsBoundary utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.

Questa politica concede autorizzazioni amministrative che consentono di Quick Setup abilitare e configurare operazioni pianificate su EC2 istanze e altre risorse.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • iam— Consente ai responsabili di recuperare e trasferire ruoli per le azioni di automazione della gestione delle istanze; di gestire, passare e associare ruoli di istanza predefiniti per la gestione delle EC2 istanze; di creare profili di istanza predefiniti; di aggiungere ruoli di istanza predefiniti ai profili di istanza; di creare un ruolo collegato al servizio perSystems Manager; di leggere informazioni sui ruoli e sui profili di istanza IAM; di associare un profilo di EC2 istanza predefinito alle istanze e di avviare flussi di lavoro di automazione per configurare istanze e abilitare Systems Manager strumenti su di esse.

  • ssm: consente alle entità principali di avviare flussi di lavoro di automazione che abilitino Explorer, nonché di leggere e aggiornare le impostazioni del servizio Explorer.

  • ec2: consente alle entità principali di individuare istanze destinate, avviandole e interrompendole secondo una pianificazione.

  • config: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.

  • compute-optimizer— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata AWS Compute Optimizer.

  • support— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura agli assegni relativi a un account. AWS Trusted Advisor

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la AWS Managed Policy AWSQuickSetupSchedulerPermissionsBoundaryReference Guide.

AWS politica gestita: configurazione AWSQuick CFGCPacks PermissionsBoundary

Nota

Questa politica rappresenta un limite delle autorizzazioni. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consultare Limiti delle autorizzazioni per le entità IAM nella Guida per l’utente di IAM.

La policy gestita AWSQuickSetupCFGCPacksPermissionsBoundary supporta il tipo di configurazione Implementa il pacchetto di conformità di AWS Config utilizzando Quick Setup di Quick Setup . Questo tipo di configurazione implementa pacchetti di AWS Config conformità. I pacchetti di conformità sono raccolte di AWS Config regole e azioni correttive che possono essere implementate come un'unica entità.

Quando crei una configurazione AWSQuickSetupCFGCPacksPermissionsBoundary utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.

Questa policy concede autorizzazioni amministrative che consentono a Quick Setup di implementare i pacchetti di conformità AWS Config .

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • iam— Consente ai responsabili di creare, ottenere e assegnare un ruolo collegato ai servizi per. AWS Config

  • sns: consente alle entità principali di elencare le applicazioni di piattaforma in Amazon SNS.

  • config— Consente ai responsabili di distribuire pacchetti di AWS Config conformità, di conoscere lo stato dei pacchetti di conformità e di ottenere informazioni sui registratori di configurazione.

  • ssm: consente alle entità principali di ottenere informazioni sui documenti SSM e sui flussi di lavoro di automazione, di ottenere informazioni sui tag delle risorse e sulle le impostazioni del servizio, aggiornandole.

  • compute-optimizer: consente alle entità principali di ottenere lo stato di consenso esplicito dell'account.

  • support: consente alle entità principali di ottenere informazioni sui controlli AWS Trusted Advisor .

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, AWSQuick consulta la sezione Configurazione nella Managed Policy Reference Guide. CFGCPacks PermissionsBoundary AWS

AWS politica gestita: AWSQuick SetupStartStopInstancesExecutionPolicy

È possibile collegare AWSQuickSetupStartStopInstancesExecutionPolicy alle entità IAM. Questa policy fornisce le autorizzazioni per Quick Setup gestire l'avvio e l'arresto delle EC2 istanze Amazon utilizzando l'automazione di Systems Manager.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ec2— Consente ai responsabili di descrivere EC2 le istanze Amazon, il loro stato, le regioni e i tag. Consente inoltre di avviare e arrestare EC2 istanze Amazon specifiche.

  • ssm— Consente ai responsabili di ottenere lo stato del calendario Quick Setup modificando i calendari, avviando associazioni ed eseguendo documenti di automazione, ad esempio la pianificazione.

  • iam— Consente ai responsabili di trasferire i ruoli Quick Setup IAM a Systems Manager per l'esecuzione dell'automazione, con condizioni che limitano il servizio a ssm.amazonaws.com e a risorse specifiche. ARNs

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la Managed Policy Reference Guide. AWSQuickSetupStartStopInstancesExecutionPolicyAWS

AWS politica gestita: AWSQuick SetupStart SSMAssociations ExecutionPolicy

Questa politica concede le autorizzazioni che consentono a Quick Setup di eseguire il runbook Automation AWSQuickSetupType-Scheduler-ChangeCalendarState. Questo runbook viene utilizzato per gestire le modifiche degli stati del calendario per le operazioni pianificate nelle Quick Setup configurazioni.

È anche possibile collegare AWSQuickSetupStartSSMAssociationsExecutionPolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm— Consente ai responsabili di avviare esecuzioni di automazione specifiche per il documento. AWSQuickSetupType-Scheduler-ChangeCalendarState Ciò è necessario per Quick Setup gestire le modifiche degli stati del calendario per le operazioni pianificate.

  • iam— Consente ai responsabili di trasferire ruoli con nomi che iniziano con «AWS- QuickSetup -» al servizio Systems Manager. Questa autorizzazione è limitata all'uso con documenti SSM specifici relativi alla gestione del calendario delle modifiche. Ciò è necessario per Quick Setup passare il ruolo di esecuzione appropriato al processo di automazione.

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta AWSQuickSetupStartSSMAssociationsExecutionPolicyla AWS Managed Policy Reference Guide.

AWS politica gestita: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy

La policy AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy fornisce le autorizzazioni per diagnosticare i problemi con i nodi che interagiscono con i servizi Systems Manager, avviando i flussi di lavoro di automazione negli account e nelle regioni in cui vengono gestiti i nodi.

È anche possibile collegare AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni di diagnosi per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm— Consente ai responsabili di eseguire runbook di automazione specifici per diagnosticare i problemi dei nodi, accedere allo stato di esecuzione dei flussi di lavoro e recuperare i dettagli sull'esecuzione dell'automazione. La policy concede le autorizzazioni per descrivere le esecuzioni di automazione, descrivere le esecuzioni delle fasi di automazione, ottenere dettagli sull'esecuzione dell'automazione e avviare le esecuzioni di automazione per i documenti relativi alla diagnosi.

  • kms— Consente ai mandanti di utilizzare AWS Key Management Service chiavi specificate dal cliente per la decrittografia e la generazione di chiavi di dati quando accedono a oggetti crittografati nei bucket Amazon S3 utilizzati per le operazioni di diagnosi. Queste autorizzazioni sono limitate alle chiavi contrassegnate SystemsManagerManaged e utilizzate tramite il servizio Amazon S3 con requisiti specifici del contesto di crittografia.

  • sts: consente alle entità principali di assumere ruoli di esecuzione della diagnosi per eseguire i runbook Automation sullo stesso account. Questa autorizzazione è limitata ai ruoli con lo schema di AWS-SSM-DiagnosisExecutionRole denominazione e include una condizione per garantire che l'account della risorsa corrisponda all'account principale.

  • iam— Consente ai responsabili di passare il ruolo di amministrazione della diagnosi Systems Manager all'esecuzione dei runbook di automazione. Questa autorizzazione è limitata ai ruoli con lo schema AWS-SSM-DiagnosisAdminRole di denominazione e può essere passata solo al servizio Systems Manager.

  • s3— Consente ai responsabili di accedere, leggere, scrivere ed eliminare oggetti nei bucket Amazon S3 utilizzati per le operazioni di diagnosi. Queste autorizzazioni sono limitate ai bucket con lo stesso schema di do-not-delete-ssm-diagnosis- denominazione e includono condizioni per garantire che le operazioni vengano eseguite all'interno dello stesso account.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWS-SSM- DiagnosisAutomation - AdministrationRolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy

La policy gestita da AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy fornisce l'autorizzazione amministrativa per l'esecuzione dei runbook Automation in un Account AWS e Regione destinati, per diagnosticare i problemi con i nodi gestiti che interagiscono con i servizi Systems Manager.

È anche possibile collegare AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ec2— Consente ai responsabili di descrivere le risorse Amazon EC2 e Amazon VPC e le relative configurazioni per diagnosticare problemi con i servizi. Systems Manager Ciò include le autorizzazioni per la descrizione VPCs, gli attributi VPC, gli endpoint VPC, le sottoreti, i gruppi di sicurezza, le istanze e i gateway Internet.

  • ssm: consente alle entità principali di eseguire runbook Automation specifici per la diagnosi e di accedere allo stato del flusso di lavoro di automazione e ai metadati di esecuzione. Ciò include le autorizzazioni per descrivere le esecuzioni delle fasi di automazione, descrivere le informazioni sulle istanze, descrivere le esecuzioni di automazione, ottenere dettagli sull'esecuzione dell'automazione e avviare le esecuzioni di automazione per specifici documenti di diagnosi non gestiti. AWS EC2

  • kms— Consente ai mandanti di utilizzare AWS Key Management Service chiavi specificate dal cliente per la decrittografia e la generazione di chiavi di dati quando accedono a oggetti crittografati nei bucket Amazon S3 utilizzati per le operazioni di diagnosi. Queste autorizzazioni sono limitate alle chiavi contrassegnate SystemsManagerManaged e utilizzate tramite il servizio Amazon S3 con requisiti di contesto di crittografia specifici per i bucket di diagnosi.

  • iam— Consente ai responsabili di passare il ruolo di esecuzione della diagnosi all'esecuzione dei documenti Systems Manager di automazione. Questa autorizzazione è limitata ai ruoli con lo schema AWS-SSM-DiagnosisExecutionRole di denominazione e può essere passata solo al servizio Systems Manager.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: AWS-SSM-RemediationAutomation-AdministrationRolePolicy

La policy AWS-SSM-RemediationAutomation-AdministrationRolePolicy fornisce le autorizzazioni per risolvere i problemi con i servizi Systems Manager eseguendo le attività definite nei documenti di automazione, utilizzate principalmente per eseguire i documenti di automazione. Questa politica consente di avviare i flussi di lavoro di automazione negli account e nelle regioni in cui i nodi vengono gestiti per risolvere problemi di connettività e configurazione.

Puoi collegarti AWS-SSM-RemediationAutomation-AdministrationRolePolicy alle tue entità IAM. Systems Managerassocia inoltre questa policy a un ruolo di servizio che consente di Systems Manager eseguire azioni correttive per tuo conto.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm— Consente ai responsabili di eseguire runbook di automazione specifici che risolvono i problemi dei nodi, accedono allo stato di esecuzione dei flussi di lavoro e recuperano i dettagli sull'esecuzione dell'automazione. La policy concede le autorizzazioni per descrivere le esecuzioni di automazione, descrivere le esecuzioni delle fasi di automazione, ottenere dettagli sull'esecuzione dell'automazione e avviare le esecuzioni di automazione per i documenti relativi alla riparazione.

  • kms— Consente ai mandanti di utilizzare AWS Key Management Service chiavi specificate dal cliente per la decrittografia e la generazione di chiavi di dati quando accedono a oggetti crittografati nei bucket Amazon S3 utilizzati per le operazioni di riparazione. Queste autorizzazioni sono limitate alle chiavi contrassegnate SystemsManagerManaged e utilizzate tramite il servizio Amazon S3 con requisiti specifici del contesto di crittografia.

  • sts— Consente ai responsabili di assumere ruoli di esecuzione delle riparazioni per eseguire i runbook di automazione nello stesso account. Questa autorizzazione è limitata ai ruoli con lo schema di AWS-SSM-RemediationExecutionRole denominazione e include una condizione per garantire che l'account della risorsa corrisponda all'account principale.

  • iam— Consente ai responsabili di trasferire il ruolo di amministrazione delle riparazioni all'esecuzione dei runbook Systems Manager di automazione. Questa autorizzazione è limitata ai ruoli con lo schema AWS-SSM-RemediationAdminRole di denominazione e può essere passata solo al servizio Systems Manager.

  • s3— Consente ai responsabili di accedere, leggere, scrivere ed eliminare oggetti nei bucket Amazon S3 utilizzati per le operazioni di riparazione. Queste autorizzazioni sono limitate ai bucket con lo stesso schema di do-not-delete-ssm-diagnosis- denominazione e includono condizioni per garantire che le operazioni vengano eseguite all'interno dello stesso account.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWS-SSM- RemediationAutomation - AdministrationRolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: AWS-SSM-RemediationAutomation-ExecutionRolePolicy

La policy gestita AWS-SSM-RemediationAutomation-ExecutionRolePolicy fornisce le autorizzazioni per l'esecuzione dei runbook di automazione in un account e in una regione di destinazione specifici per risolvere i problemi di rete e connettività con nodi gestiti che interagiscono con i servizi Systems Manager. Questa politica consente le attività di riparazione definite nei documenti di automazione, utilizzate principalmente per eseguire i documenti di automazione per risolvere problemi di connettività e configurazione.

Puoi collegare la policy anche alle tue entità IAM. Systems Manager attribuisce questa politica anche a un ruolo di servizio che consente a Systems Manager di eseguire azioni di riparazione per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm— Consente ai responsabili di recuperare informazioni sulle esecuzioni di automazione e sulle relative fasi e di avviare specifici runbook di automazione per la correzione, inclusi documenti e documenti. AWS-OrchestrateUnmanagedEC2Actions AWS-RemediateSSMAgent La policy concede le autorizzazioni per descrivere le esecuzioni di automazione, descrivere le esecuzioni delle fasi di automazione, ottenere dettagli sull'esecuzione dell'automazione e avviare le esecuzioni di automazione per i documenti relativi alle riparazioni.

  • ec2— Consente ai responsabili di descrivere e modificare le risorse di rete Amazon VPC per risolvere i problemi di connettività. Questo include:

    • Descrizione degli attributi, delle sottoreti, degli endpoint Amazon VPC e dei gruppi di sicurezza.

    • Creazione di endpoint Amazon VPC per i servizi Systems Manager (ssmssmmessages, eec2messages) con i tag richiesti.

    • Modifica degli attributi di Amazon VPC per abilitare il supporto DNS e i nomi host.

    • Creazione e gestione di gruppi di sicurezza con tag specifici per l'accesso agli endpoint Amazon VPC.

    • Autorizzazione e revoca delle regole dei gruppi di sicurezza per l'accesso HTTPS con tag appropriati.

    • Creazione di tag su endpoint, gruppi di sicurezza e regole dei gruppi di sicurezza Amazon VPC durante la creazione delle risorse.

  • kms— Consente ai mandanti di utilizzare AWS Key Management Service chiavi specificate dal cliente per la decrittografia e la generazione di chiavi di dati quando accedono a oggetti crittografati nei bucket Amazon S3 utilizzati per le operazioni di riparazione. Queste autorizzazioni sono limitate alle chiavi contrassegnate SystemsManagerManaged e utilizzate tramite il servizio Amazon S3 con requisiti specifici del contesto di crittografia.

  • iam— Consente ai responsabili di trasferire il ruolo di esecuzione della riparazione all'esecuzione dei runbook Systems Manager di automazione. Questa autorizzazione è limitata ai ruoli con lo schema AWS-SSM-RemediationExecutionRole di denominazione e può essere passata solo al servizio Systems Manager.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWS-SSM- RemediationAutomation - ExecutionRolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: configurazione AWSQuick SSMManage ResourcesExecutionPolicy

Questa politica concede le autorizzazioni che consentono a Quick Setup di eseguire il runbook Automation AWSQuickSetupType-SSM-SetupResources. Questo runbook crea ruoli IAM per le associazioni di Quick Setup, a loro volta create dall'implementazione AWSQuickSetupType-SSM. Concede inoltre le autorizzazioni per pulire un bucket Amazon S3 associato durante un'operazione di eliminazione di Quick Setup.

È anche possibile collegare questa policy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • iam: consente alle entità principali di elencare e gestire i ruoli IAM da utilizzare con le operazioni di Systems Manager Explorer di Quick Setup, nonché di visualizzare, allegare e scollegare le policy IAM da utilizzare con Quick Setup e Systems Manager Explorer. Queste autorizzazioni sono necessarie in modo che Quick Setup crei i ruoli necessari per alcune delle sue operazioni di configurazione.

  • s3: consente alle entità principali di recuperare informazioni sugli oggetti e di eliminare quelli dai bucket Amazon S3, nell'account principale, che vengono utilizzati specificamente nelle operazioni di configurazione in Quick Setup. Ciò è necessario per rimuovere gli oggetti S3 che non sono più necessari dopo la configurazione.

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta la sezione AWSQuickConfigurazione SSMManage ResourcesExecutionPolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: configurazione AWSQuick SSMLifecycle ManagementExecutionPolicy

La AWSQuickSetupSSMLifecycleManagementExecutionPolicy politica concede autorizzazioni amministrative che consentono di Quick Setup eseguire una risorsa CloudFormation personalizzata sugli eventi del ciclo di vita durante la distribuzione in. Quick Setup Systems Manager

È anche possibile collegare questa policy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm: consente alle entità principali di ottenere informazioni sulle esecuzioni di automazione e di avviare le esecuzioni di automazione per impostare determinate operazioni di Quick Setup.

  • iam: consente alle entità principali di trasferire ruoli da IAM per la configurazione di determinate risorse di Quick Setup.

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta la sezione AWSQuickConfigurazione SSMLifecycle ManagementExecutionPolicy nella Managed Policy Reference Guide.AWS

AWS politica gestita: configurazione AWSQuick SSMDeployment RolePolicy

La policy gestita AWSQuickSetupSSMDeploymentRolePolicy concede autorizzazioni amministrative che consentono a Quick Setup di creare risorse da utilizzare durante il processo di onboarding di Systems Manager.

Sebbene sia possibile attribuire questa policy alle entità IAM, questa policy non è consigliata. Quick Setup crea entità che collegano questa policy a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per tuo conto.

Questa policy non è correlata alla policy SSMQuickSetupRolePolicy, utilizzata per fornire le autorizzazioni per il ruolo collegato al servizio AWSServiceRoleForSSMQuickSetup.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm— Consente ai responsabili di gestire le associazioni per determinate risorse create utilizzando AWS CloudFormation modelli e un set specifico di documenti SSM, di gestire ruoli e policy di ruolo utilizzando CloudFormation modelli per la diagnosi e la correzione dei nodi gestiti e di allegare ed eliminare le policy per gli eventi del ciclo di vita Quick Setup

  • iam— Consente ai responsabili di etichettare i ruoli e assegnare le autorizzazioni ai ruoli per il servizio Systems Manager e il servizio Lambda e di assegnare le autorizzazioni di ruolo per le operazioni di diagnosi.

  • lambda— Consente ai responsabili di etichettare e gestire le funzioni per il Quick Setup ciclo di vita nell'account principale utilizzando modelli. CloudFormation

  • cloudformation— Consente ai presidi di leggere informazioni da. CloudFormation Ciò è necessario per Quick Setup raccogliere dati sugli CloudFormation stack utilizzati per gestire lo stato delle risorse e le operazioni dello CloudFormation stackset.

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta la sezione AWSQuickConfigurazione SSMDeployment RolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: AWSQuick Setup S3 SSMDeployment BucketRolePolicy

La policy AWSQuickSetupSSMDeploymentS3BucketRolePolicy concede le autorizzazioni per elencare tutti i bucket S3 in un account e per gestire e recuperare informazioni su bucket specifici, gestiti tramite modelli CloudFormation , nell'account principale.

È anche possibile collegare AWSQuickSetupSSMDeploymentS3BucketRolePolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • s3— Consente ai principali di elencare tutti i bucket S3 in un account e di gestire e recuperare informazioni su bucket specifici nell'account principale gestiti tramite modelli. CloudFormation

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWSQuickSSMDeploymentSetup S3 BucketRolePolicy nella Managed Policy Reference Guide.AWS

Policy gestita da AWS : AWSQuickSetupEnableDHMCExecutionPolicy

Questa politica concede autorizzazioni amministrative che consentono alle entità principali di eseguire il runbook Automation AWSQuickSetupType-EnableDHMC, abilitando la configurazione di gestione host predefinita. L'impostazione Default Host Management Configuration consente a Systems Manager di gestire automaticamente le EC2 istanze Amazon come istanze gestite. Un'istanza gestita è un' EC2 istanza configurata per l'uso con Systems Manager. Questa policy concede anche le autorizzazioni per la creazione di ruoli IAM specificati nelle impostazioni del servizio Systems Manager come ruoli predefiniti per SSM Agent.

È anche possibile collegare AWSQuickSetupEnableDHMCExecutionPolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm: consente alle entità principali di aggiornare e ottenere informazioni sulle impostazioni del servizio Systems Manager.

  • iam: consente alle entità principali di creare e recuperare informazioni sui ruoli IAM per le operazioni di Quick Setup.

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta AWSQuickSetupEnableDHMCExecutionPolicyla AWS Managed Policy Reference Guide.

Policy gestita da AWS : AWSQuickSetupEnableAREXExecutionPolicy

Questa politica concede autorizzazioni amministrative che consentono a Systems Manager di eseguire il runbook Automation AWSQuickSetupType-EnableAREX, consentendo a Esploratore di risorse AWS l'utilizzo con Systems Manager. Resource Explorer consente di visualizzare le risorse dell'account con un'esperienza di ricerca simile a quella di un motore di ricerca Internet. La policy concede inoltre le autorizzazioni per la gestione degli indici e delle visualizzazioni di Resource Explorer.

È anche possibile collegare AWSQuickSetupEnableAREXExecutionPolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • iam— Consente ai responsabili di creare un ruolo collegato al servizio nel servizio AWS Identity and Access Management (IAM).

  • resource-explorer-2: consente alle entità principali di recuperare informazioni sulle visualizzazioni e sugli indici di Resource Explorer, di creare visualizzazioni e indici dello stesso, nonché di modificare la tipologia per gli indici visualizzati in Quick Setup.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la AWS Managed Policy AWSQuickSetupEnableAREXExecutionPolicyReference Guide.

AWS politica gestita: AWSQuick SetupManagedInstanceProfileExecutionPolicy

Questa policy concede autorizzazioni amministrative che consentono di Systems Manager creare un profilo di istanza IAM predefinito per lo Quick Setup strumento e di collegarlo a EC2 istanze Amazon a cui non è già associato un profilo di istanza. La policy garantisce inoltre la possibilità a Systems Manager di assegnare autorizzazioni ai profili di istanza esistenti. Questo viene fatto per garantire che le autorizzazioni necessarie per comunicare con Systems Manager le EC2 istanze siano SSM Agent disponibili.

È anche possibile collegare AWSQuickSetupManagedInstanceProfileExecutionPolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm: consente alle entità principali di avviare flussi di lavoro di automazione associati ai processi di Quick Setup.

  • ec2— Consente ai responsabili di allegare i profili di istanza IAM alle EC2 istanze gestite da. Quick Setup

  • iam: consente alle entità principali di creare, aggiornare e recuperare informazioni sui ruoli di IAM utilizzati nei processi di Quick Setup, di creare profili di istanze IAM e di collegare la policy gestita AmazonSSMManagedInstanceCore ai profili delle istanze IAM.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la AWS Managed Policy AWSQuickSetupManagedInstanceProfileExecutionPolicyReference Guide.

AWS politica gestita: AWSQuick SetupManage JITNAResources ExecutionPolicy

La policy gestita AWSQuickSetupManageJITNAResourcesExecutionPolicy consenteQuick Setup, uno strumento di Systems Manager, di configurare l'accesso ai just-in-time nodi.

È anche possibile collegare AWSQuickSetupManageJITNAResourcesExecutionPolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Questa politica concede autorizzazioni amministrative che consentono di Systems Manager creare risorse associate all'accesso ai just-in-time nodi.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm— Consente ai responsabili di ottenere e aggiornare l'impostazione del servizio che specifica il provider di identità per l'accesso ai nodi. just-in-time

  • iam— Consente ai responsabili di creare, etichettare e ottenere ruoli, allegare politiche di ruolo per le politiche di gestione dell'accesso ai just-in-time nodi e creare ruoli collegati ai servizi per just-in-time l'accesso ai nodi e le notifiche.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la AWS Managed Policy AWSQuickSetupManageJITNAResourcesExecutionPolicyReference Guide.

AWS politica gestita: configurazione AWSQuick JITNADeployment RolePolicy

La policy gestita AWSQuickSetupJITNADeploymentRolePolicy consente di Quick Setup implementare il tipo di configurazione richiesto per configurare l'accesso al just-in-time nodo.

È anche possibile collegare AWSQuickSetupJITNADeploymentRolePolicy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.

Questa politica concede autorizzazioni amministrative che consentono di Systems Manager creare risorse associate just-in-time all'accesso ai nodi.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • cloudformation— Consente ai principali di creare, aggiornare, eliminare e leggere gli stack. CloudFormation

  • ssm— Consente ai principali di creare, eliminare, aggiornare e leggere State Manager le associazioni richiamate da. CloudFormation

  • iam— Consente ai responsabili di creare, eliminare, leggere e contrassegnare i ruoli IAM chiamati da. CloudFormation

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la sezione AWSQuickConfigurazione JITNADeployment RolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSystems ManagerJustInTimeAccessServicePolicy

La policy gestita AWSSystemsManagerJustInTimeAccessServicePolicy fornisce l'accesso alle AWS risorse gestite o utilizzate dal framework di AWS Systems Manager just-in-time accesso. Questo aggiornamento delle policy aggiunge le autorizzazioni di automatizzazione dei tag di esecuzione per consentire ai clienti di limitare le autorizzazioni degli operatori a tag specifici.

Non è possibile collegare AWSSystemsManagerJustInTimeAccessServicePolicy alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente a Systems Manager di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli per abilitare l'accesso ai just-in-time nodi.

Questa politica concede autorizzazioni amministrative che consentono l'accesso alle risorse associate all'accesso ai nodi. just-in-time

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm— Consente ai responsabili di creare e gestireOpsItems, aggiungere tag e automatizzare le esecuzioni, ottenere OpsItems e aggiornare, recuperare e descrivere documentiOpsItems, descrivere e sessioni, elencare documenti OpsItems e tag per le istanze gestite.

  • ssm-guiconnect— Consente ai responsabili di elencare le connessioni.

  • identitystore— Consente ai responsabili di ottenere utenti e gruppi IDs, descrivere gli utenti ed elencare i membri dei gruppi.

  • sso-directory— Consente ai responsabili di descrivere gli utenti e determinare se un utente è membro di un gruppo.

  • sso— Consente ai responsabili di descrivere le regioni registrate e di elencare le istanze e le associazioni di directory.

  • cloudwatch— Consente ai principali di inserire dati metrici per il namespace. AWS/SSM/JustInTimeAccess

  • ec2— Consente ai mandanti di descrivere i tag.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWSSystemsManagerJustInTimeAccessServicePolicyla AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSystems ManagerJustInTimeAccessTokenPolicy

La policy gestita AWSSystemsManagerJustInTimeAccessTokenPolicy fornisce le autorizzazioni agli utenti per stabilire connessioni sicure alle istanze Amazon e alle EC2 istanze gestite tramite connessioni RDP Systems Session Manager Manager GUI Connect come parte dei flussi di lavoro di accesso ai nodi. just-in-time

È possibile collegare AWSSystemsManagerJustInTimeAccessTokenPolicy alle entità IAM.

Questa politica concede le autorizzazioni dei contributori che consentono agli utenti di avviare e gestire sessioni sicure, stabilire connessioni RDP ed eseguire le operazioni crittografiche necessarie per l'accesso ai nodi. just-in-time

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm— Consente ai responsabili di avviare Session Manager sessioni su istanze Amazon e EC2 istanze gestite utilizzando il documento SSM-. SessionManagerRunShell Consente inoltre di terminare e riprendere le sessioni, recuperare i dettagli di invocazione dei comandi e inviare comandi alle istanze per la configurazione degli utenti SSO quando vengono chiamate tramite Systems Manager GUI Connect. Inoltre, consente di avviare sessioni di port forwarding per le connessioni RDP quando vengono chiamate tramite Systems Manager GUI Connect.

  • ssmmessages— Consente ai responsabili di aprire canali di dati per comunicazioni sicure durante le sessioni. Session Manager

  • ssm-guiconnect— Consente ai responsabili di avviare, ottenere dettagli e annullare le connessioni RDP di Systems Manager GUI Connect alle istanze.

  • kms— Consente ai responsabili di generare chiavi di dati per la Session Manager crittografia e di creare concessioni per le connessioni RDP. Queste autorizzazioni sono limitate alle chiavi contrassegnate con. AWS KMS SystemsManagerJustInTimeNodeAccessManaged=true La creazione di sovvenzioni è ulteriormente limitata all'utilizzo solo tramite il servizio Systems Manager GUI Connect.

  • sso— Consente ai responsabili di elencare le associazioni di directory quando vengono chiamati tramite Systems Manager GUI Connect. Ciò è necessario per la configurazione utente RDP SSO.

  • identitystore— Consente ai responsabili di descrivere gli utenti nell'archivio di identità quando vengono chiamati tramite Systems Manager GUI Connect. Ciò è necessario per la configurazione utente RDP SSO.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la AWS Managed Policy AWSSystemsManagerJustInTimeAccessTokenPolicyReference Guide.

AWS politica gestita: AWSSystems ManagerJustInTimeAccessTokenSessionPolicy

La policy gestita AWSSystemsManagerJustInTimeAccessTokenSessionPolicy consente di Systems Manager applicare autorizzazioni limitate a un token di accesso al just-in-time nodo.

È possibile collegare AWSSystemsManagerJustInTimeAccessTokenSessionPolicy alle entità IAM.

Questa politica concede autorizzazioni amministrative che consentono di limitare le autorizzazioni Systems Manager per i token di accesso ai nodi. just-in-time

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm— Consente ai presidi di avviare Session Manager sessioni utilizzando il documento. SSM-SessionManagerRunShell Inoltre, quando vengono chiamati per la prima volta tramitessm-guiconnect, avvia le sessioni utilizzando il AWS-StartPortForwardingSession documento, elenca le chiamate ai comandi e invia i comandi utilizzando il documento. AWSSSO-CreateSSOUser

  • ssm-guiconnect— Consente ai responsabili di annullare, ottenere e avviare connessioni su tutte le risorse.

  • kms— Consente ai mandanti di creare sovvenzioni e generare chiavi di dati per le chiavi contrassegnate SystemsManagerJustInTimeNodeAccessManaged quando vengono chiamate ssm-guiconnect tramite un servizio. AWS

  • sso— Consente ai responsabili di elencare le associazioni di directory quando vengono chiamati tramite. ssm-guiconnect

  • identitystore— Consente ai responsabili di descrivere un utente quando viene chiamato tramite. ssm-guiconnect

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWSSystemsManagerJustInTimeAccessTokenSessionPolicyla AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSystems ManagerJustInTimeNodeAccessRolePropagationPolicy

La policy gestita AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy consente di Systems Manager condividere le politiche di negazione dell'accesso dall'account amministratore delegato agli account dei membri e di replicare le politiche su più account. Regioni AWS

È possibile collegare AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy alle entità IAM.

Questa politica fornisce le autorizzazioni amministrative necessarie per condividere e creare politiche di negazione dell'Systems Manageraccesso. Ciò garantisce che le politiche di negazione dell'accesso vengano applicate a tutti gli account di un' AWS Organizations organizzazione e alle regioni configurate per l'accesso ai nodi. just-in-time

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ssm— Consente ai responsabili di gestire i documenti SSM e le politiche delle risorse.

  • ssm-quicksetup— Consente ai responsabili di leggere Quick Setup i gestori di configurazione.

  • organizations— Consente ai dirigenti di elencare i dettagli su un' AWS Organizations organizzazione e sugli amministratori delegati.

  • ram— Consente ai dirigenti di creare, etichettare e descrivere le condivisioni di risorse.

  • iam— Consente ai dirigenti di descrivere un ruolo di servizio.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicyla AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSystems ManagerNotificationsServicePolicy

La politica gestita AWSSystemsManagerNotificationsServicePolicy consente di Systems Manager inviare notifiche e-mail per le richieste di accesso ai just-in-time nodi agli approvatori delle richieste di accesso.

Non è possibile collegare AWSSystemsManagerJustInTimeAccessServicePolicy alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente a Systems Manager di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli per inviare notifiche di richiesta di accesso ai just-in-time nodi.

Questa politica concede autorizzazioni amministrative che consentono di inviare notifiche e-mail per le richieste di accesso Systems Manager al just-in-time nodo agli approvatori delle richieste di accesso.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • identitystore— Consente ai responsabili di elencare e descrivere gli utenti e l'appartenenza ai gruppi.

  • sso— Consente ai responsabili di elencare istanze, directory e descrivere le regioni registrate.

  • sso-directory— Consente ai responsabili di descrivere gli utenti e elencare i membri di un gruppo.

  • iam— Consente ai dirigenti di ottenere informazioni sui ruoli.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWSSystemsManagerNotificationsServicePolicyla AWS Managed Policy Reference Guide.

AWS politica gestita: AWS-SSM-Automation-DiagnosisBucketPolicy

La policy gestita AWS-SSM-Automation-DiagnosisBucketPolicy fornisce le autorizzazioni per la diagnosi dei problemi con i nodi che interagiscono con i AWS Systems Manager servizi, consentendo l'accesso ai bucket S3 utilizzati per la diagnosi e la risoluzione dei problemi.

È possibile allegare la policy AWS-SSM-Automation-DiagnosisBucketPolicy alle identità IAM. Systems Manager collega questa policy anche a un ruolo IAM che consente a Systems Manager di eseguire operazioni di diagnosi per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • s3: consente alle entità principali l'accesso e la scrittura di oggetti in un bucket Amazon S3.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWS-SSM-Automation- DiagnosisBucketPolicy nella Managed Policy Reference Guide.AWS

AWS politica gestita: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy

La policy gestita AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy fornisce le autorizzazioni per consentire a un account operativo di diagnosticare problemi con i nodi fornendo autorizzazioni specifiche dell'organizzazione.

È possibile allegare la policy AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy alle identità IAM. Systems Manager collega questa policy anche a un ruolo IAM che consente a Systems Manager di eseguire operazioni di diagnosi per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • organizations: consente alle entità principali di elencare i root dell'organizzazione e di ottenere gli account dei membri per determinare gli account di destinazione.

  • sts: consente alle entità principali di assumere ruoli di esecuzione di correzione per eseguire i documenti di automazione SSM su più account e regioni, all'interno della stessa organizzazione.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWS-SSM- RemediationAutomation - OperationalAccountAdministrationRolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy

La policy gestita AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy fornisce le autorizzazioni per consentire a un account operativo di diagnosticare problemi con i nodi fornendo autorizzazioni specifiche dell'organizzazione.

È possibile allegare la policy AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy alle identità IAM. Systems Manager collega questa policy anche a un ruolo IAM che consente a Systems Manager di eseguire operazioni di diagnosi per conto dell'utente.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • organizations: consente alle entità principali di elencare i root dell'organizzazione e di ottenere gli account dei membri per determinare gli account di destinazione.

  • sts: consente alle entità principali di assumere ruoli di esecuzione di diagnosi per eseguire i documenti di automazione SSM su più account e regioni, all'interno della stessa organizzazione.

Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta AWS-SSM- DiagnosisAutomation - OperationalAccountAdministrationRolePolicy nella AWS Managed Policy Reference Guide.

Systems Manageraggiornamenti alle politiche gestite AWS

Nella tabella seguente, visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite Systems Manager da quando questo servizio ha iniziato a tenere traccia di queste modifiche il 12 marzo 2021. Per informazioni su altre policy gestite per il servizio Systems Manager, consulta Polity gestite aggiuntive per Systems Manager più avanti. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivere il feed RSS nella pagina Cronologia dei documenti di Systems Manager.

Modifica Descrizione Data

AWSSystemsManagerJustInTimeAccessTokenPolicy: aggiornamento a una policy esistente

Systems Managerha aggiornato la politica gestitaAWSSystemsManagerJustInTimeAccessTokenPolicy. L'istruzione (SID) TerminateAndResumeSession è stata rinominata TerminateAndResumeSessionAndOpenDataChannel e ora include l'ssmmessages:OpenDataChannelazione, che combina la gestione delle sessioni e le autorizzazioni del canale dati in un'unica istruzione.

 25 settembre 2025

Politiche gestite aggiornate:

Systems Managerha aggiornato tre policy gestite per aggiungere il supporto per l'avvio delle esecuzioni di Automation su risorse Systems Manager aggiuntive, inclusi runbook di automazione specifici e documenti SSM Command.

 12 settembre 2025

AWSQuickSetupStartStopInstancesExecutionPolicy— Politica gestita aggiornata

Systems Managerha aggiornato la politica gestita per perfezionare le autorizzazioni per la configurazione dello Quick Setup scheduler. La policy ora fornisce autorizzazioni più specifiche per l'avvio e l'arresto delle EC2 istanze Amazon, l'accesso ai calendari delle modifiche e l'esecuzione di documenti di automazione con condizioni di sicurezza avanzate.

 12 settembre 2025

AWSQuickSetupStartSSMAssociationsExecutionPolicy— Politica gestita aggiornata

Systems Managerha aggiornato la politica gestita per modificare il documento di automazione da AWSQuickSetupType-StartSSMAssociations aAWSQuickSetupType-Scheduler-ChangeCalendarState. Questo aggiornamento modifica lo scopo della policy dall'avvio delle associazioni SSM alla gestione degli stati del calendario di modifica per le operazioni pianificate.

 12 settembre 2025

Amazon SSMAutomation Role — Aggiornamento a una policy esistente

Systems Managerha aggiunto nuove autorizzazioni per consentire ai runbook di automazione di stabilire canali di comunicazione per le operazioni basate sulla sessione.

È stata aggiunta l'ssmmessages:OpenDataChannelautorizzazione per la risorsa. arn:*:ssm:*:*:session/*

 11 settembre 2025

AWSSystemsManagerJustInTimeAccessServicePolicy— Politica gestita aggiornata

Systems Managerha aggiornato la politica gestita per aggiungere le autorizzazioni di etichettatura di esecuzione dell'automazione. Il servizio deve etichettare le esecuzioni di automazione con SystemsManagerJustInTimeNodeAccessManaged=true tag per consentire ai clienti di limitare le autorizzazioni degli operatori a tag specifici.

 25 agosto 2025

AWSQuickSetupStartSSMAssociationsExecutionPolicy: nuova policy

Systems Managerha aggiunto una nuova policy Quick Setup per consentire l'esecuzione dell'AWSQuickSetupType-StartSSMAssociationsAutomation runbook. Questo runbook viene utilizzato per avviare State Manager le associazioni create dalle Quick Setup configurazioni.

 12 agosto 2025

AWSQuickSetupStartStopInstancesExecutionPolicy: nuova policy

Systems Managerha aggiunto una nuova politica che consente di Quick Setup avviare e interrompere EC2 le istanze Amazon in base a una pianificazione. Questa policy fornisce le autorizzazioni necessarie per il tipo di configurazione dello Quick Setup scheduler per gestire lo stato dell'istanza in base a pianificazioni definite.

 12 agosto 2025

AWSQuickSetupDeploymentRolePolicy— Aggiornamento della documentazione

Systems Manager ha aggiornato la politica AWSQuickSetupDeploymentRolePolicy gestita per concedere le autorizzazioni per risorse aggiuntive. Inoltre, la documentazione di AWSQuickSetupDeploymentRolePolicy è stata aggiornata con descrizioni più dettagliate delle autorizzazioni concesse da questa politica per le operazioni di gestione della Quick Setup configurazione.

 12 agosto 2025

AWS-SSM- RemediationAutomation - ExecutionRolePolicy — Aggiornamento a una policy esistente

Systems Managerha aggiornato la politica gestita per migliorare il livello di sicurezza dell'StartAutomationExecution API ssm: richiedendo le autorizzazioni per i tipi di risorse «documento» e «esecuzione automatica». La policy aggiornata fornisce autorizzazioni più complete e dettagliate per l'esecuzione dell'automazione della riparazione, tra cui descrizioni migliorate delle funzionalità di riparazione della rete, autorizzazioni più specifiche per la creazione di endpoint Amazon VPC, autorizzazioni dettagliate per la gestione dei gruppi di sicurezza e controlli migliorati di etichettatura delle risorse per le operazioni di riparazione.

 16 luglio 2025

AWS-SSM- RemediationAutomation - AdministrationRolePolicy — Aggiornamento a una policy esistente

Systems Managerha aggiornato la policy gestita per supportare i miglioramenti delle autorizzazioni delle API per le operazioni di automazione delle riparazioni. La politica aggiornata migliora le autorizzazioni per l'esecuzione delle attività definite nei documenti di automazione, con controlli di sicurezza e modelli di accesso alle risorse migliorati per i flussi di lavoro di riparazione.

 16 luglio 2025

AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy — Aggiornamento a una policy esistente

Systems Managerha aggiornato la politica gestita per fornire autorizzazioni più dettagliate e accurate per l'esecuzione dell'automazione della diagnosi. La policy aggiornata include descrizioni migliorate per l'accesso alle risorse Amazon EC2 e Amazon VPC, autorizzazioni di automazione SSM più specifiche e descrizioni migliorate AWS KMS delle autorizzazioni IAM con adeguate restrizioni sulle risorse.

 16 luglio 2025

AWS-SSM- DiagnosisAutomation - AdministrationRolePolicy — Aggiornamento a una policy esistente

Systems Managerha aggiornato la politica gestita per fornire autorizzazioni e condizioni di sicurezza più specifiche per le operazioni di automazione della diagnosi. La policy aggiornata fornisce controlli di sicurezza avanzati per l'utilizzo delle AWS KMS chiavi, l'accesso ai bucket Amazon S3 e le ipotesi di ruolo, con condizioni più rigorose basate sulle risorse e restrizioni a livello di account.

 16 luglio 2025

AWSQuickSetupDeploymentRolePolicy— Aggiornamento di una politica

Systems Managerha aggiunto le autorizzazioni alla policy gestita AWSQuickSetupDeploymentRolePolicy per l'accesso al AWSQuickSetupType-ManageInstanceProfilerunbook di proprietà di Amazon. Questa autorizzazione consente di Quick Setup creare associazioni utilizzando la politica gestita anziché le politiche in linea.

 14 luglio 2025

Amazon SSMAutomation Role — Aggiornamento della documentazione

Systems Managerha aggiunto una documentazione completa per la AmazonSSMAutomationRole policy esistente, che fornisce le autorizzazioni per il servizio Systems Manager Automation per eseguire le attività definite nei runbook di Automation.

 15 luglio 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy— Aggiornamento a una policy

Systems Managerha aggiunto autorizzazioni per consentire di Systems Manager etichettare una risorsa condivisa da AWS Resource Access Manager per l'accesso al just-in-time nodo.

 30 aprile 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy— Aggiornamento di una politica

Systems Managerautorizzazioni aggiunte per consentire di Systems Manager etichettare i ruoli IAM creati per l'accesso ai just-in-time nodi.

 30 aprile 2025

AWSSystemsManagerJustInTimeAccessTokenSessionPolicy: nuova policy

Systems Managerha aggiunto una nuova politica per consentire di Systems Manager applicare autorizzazioni limitate a un just-in-time token di accesso al nodo.

 30 aprile 2025

AWSSystemsManagerNotificationsServicePolicy: nuova policy

Systems Managerha aggiunto una nuova politica per consentire Systems Manager l'invio di notifiche e-mail per le richieste di accesso al just-in-time nodo agli approvatori delle richieste di accesso.

 30 aprile 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy: nuova policy

Systems Managerha aggiunto una nuova politica per consentire di Systems Manager replicare le politiche di approvazione in diverse regioni.

 30 aprile 2025

AWSSystemsManagerJustInTimeAccessTokenPolicy: nuova policy

Systems Managerha aggiunto una nuova politica per consentire di Systems Manager generare token di accesso utilizzati per just-in-time l'accesso ai nodi.

 30 aprile 2025

AWSSystemsManagerJustInTimeAccessServicePolicy: nuova policy

Systems Managerha aggiunto una nuova politica per fornire le autorizzazioni alle AWS risorse gestite o utilizzate dalla funzionalità di accesso al just-in-time nodo Systems Manager.

 30 aprile 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy: nuova policy

Systems Managerha aggiunto una nuova policy per consentireQuick Setup, uno strumento in Systems Manager, di creare i ruoli IAM necessari per l'accesso ai just-in-time nodi.

 30 aprile 2025

AWSQuickConfigurazione JITNADeployment RolePolicy: nuova politica

Systems Managerha aggiunto una nuova politica che fornisce le autorizzazioni che consentono di Quick Setup implementare il tipo di configurazione richiesto per configurare l'accesso al just-in-time nodo.

 30 aprile 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy— Aggiornamento di una politica

Systems Managerha aggiunto autorizzazioni per consentire di Systems Manager etichettare una risorsa condivisa da AWS Resource Access Manager per l'accesso al just-in-time nodo.

 30 aprile 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy— Aggiornamento di una politica

Systems Managerautorizzazioni aggiunte per consentire di Systems Manager etichettare i ruoli IAM creati per l'accesso ai just-in-time nodi.

 30 aprile 2025

AWSSystemsManagerJustInTimeAccessTokenSessionPolicy: nuova policy

Systems Managerha aggiunto una nuova politica per consentire di Systems Manager applicare autorizzazioni limitate a un just-in-time token di accesso al nodo.

 30 aprile 2025

AWSSystemsManagerNotificationsServicePolicy: nuova policy

Systems Managerha aggiunto una nuova politica per consentire Systems Manager l'invio di notifiche e-mail per le richieste di accesso al just-in-time nodo agli approvatori delle richieste di accesso.

 30 aprile 2025

AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy: nuova policy

Systems Managerha aggiunto una nuova politica per consentire di Systems Manager replicare le politiche di approvazione in diverse regioni.

 30 aprile 2025

AWSSystemsManagerJustInTimeAccessTokenPolicy: nuova policy

Systems Managerha aggiunto una nuova politica per consentire di Systems Manager generare token di accesso utilizzati per just-in-time l'accesso ai nodi.

 30 aprile 2025

AWSSystemsManagerJustInTimeAccessServicePolicy: nuova policy

Systems Managerha aggiunto una nuova politica per fornire le autorizzazioni alle AWS risorse gestite o utilizzate dalla funzionalità di accesso al just-in-time nodo Systems Manager.

 30 aprile 2025

AWSQuickSetupManageJITNAResourcesExecutionPolicy: nuova policy

Systems Managerha aggiunto una nuova policy per consentireQuick Setup, uno strumento in Systems Manager, di creare i ruoli IAM necessari per l'accesso ai just-in-time nodi.

 30 aprile 2025

AWSQuickConfigurazione JITNADeployment RolePolicy: nuova politica

Systems Managerha aggiunto una nuova politica che fornisce le autorizzazioni che consentono di Quick Setup implementare il tipo di configurazione richiesto per configurare l'accesso al just-in-time nodo.

 30 aprile 2025

AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy: nuova policy

Systems Manager ha aggiunto una nuova policy che autorizza un account operativo a diagnosticare problemi con i nodi, fornendo autorizzazioni specifiche dell'organizzazione.

 21 novembre 2024

AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy: nuova policy

Systems Manager ha aggiunto una nuova policy che autorizza un account operativo a diagnosticare problemi con i nodi, fornendo autorizzazioni specifiche dell'organizzazione.

 21 novembre 2024

AWS-SSM-Automation-DiagnosisBucketPolicy: nuova policy

Systems Manager ha aggiunto una nuova policy per supportare l'avvio di flussi di lavoro di automazione che diagnosticano i problemi con i nodi gestiti in account e regioni specifici.

 21 novembre 2024

AmazonSSMServiceRolePolicy: aggiornamento a una policy esistente

Systems Managerha aggiunto nuove autorizzazioni Esploratore di risorse AWS per consentire di raccogliere dettagli sulle EC2 istanze Amazon e visualizzare i risultati nei widget nella nuova dashboard. Systems Manager

 21 novembre 2024
SSMQuickSetupRolePolicy: aggiornamento a una policy esistente Systems Manager ha aggiornato la policy gestita SSMQuickSetupRolePolicy. Questi aggiornamenti consentono al ruolo AWSServiceRoleForSSMQuickSetup associato al servizio di gestire le sincronizzazioni dei dati delle risorse. 21 novembre 2024
AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy : nuova policy Systems Manager ha aggiunto una nuova policy per supportare l'avvio di flussi di lavoro di automazione che diagnosticano i problemi con i nodi gestiti in account e regioni specifici. 21 novembre 2024
AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy: nuova policy Systems Manager ha aggiunto una nuova policy per supportare l'avvio di flussi di lavoro di automazione che diagnosticano i problemi con i nodi gestiti in un account e in una regione specifici. 21 novembre 2024
AWS-SSM-RemediationAutomation-AdministrationRolePolicy: nuova policy Systems Manager ha aggiunto una nuova policy per supportare l'avvio di flussi di lavoro di automazione che risolvono i problemi nei nodi gestiti in account e regioni specifici. 21 novembre 2024
AWS-SSM-RemediationAutomation-ExecutionRolePolicy: nuova policy Systems Manager ha aggiunto una nuova policy per supportare l'avvio di flussi di lavoro di automazione che risolvono i problemi nei nodi gestiti in un account e in una regione specifici. 21 novembre 2024

AWSQuickConfigurazione SSMDeployment RolePolicy: aggiornamento a una politica

Systems Managerha aggiunto le autorizzazioni per consentire di Systems Manager etichettare i ruoli IAM e Lambda creati per la console unificata.

 7 maggio 2025
AWSQuickSetupSSMManageResourcesExecutionPolicy: nuova policy Systems Manager ha aggiunto una nuova policy per supportare l'esecuzione di un'operazione in Quick Setup che crea ruoli IAM per le associazioni di Quick Setup, che a loro volta vengono creati da un'implementazione AWSQuickSetupType-SSM. 21 novembre 2024
AWSQuickSetupSSMLifecycleManagementExecutionPolicy: nuova policy Systems Manager ha aggiunto una nuova policy per supportare l'Quick Setupesecuzione di una risorsa CloudFormation personalizzata sugli eventi del ciclo di vita durante una Quick Setup distribuzione. 21 novembre 2024
AWSQuickSetupSSMDeploymentRolePolicy: nuova policy Systems Manager ha aggiunto una nuova policy per supportare la concessione di autorizzazioni amministrative che consentono a Quick Setup di creare risorse da utilizzare durante il processo di onboarding di Systems Manager. 21 novembre 2024
AWSQuickSetupSSMDeploymentS3BucketRolePolicy: nuova policy Systems Manager ha aggiunto una nuova policy per supportare la gestione e il recupero di informazioni su bucket specifici nell'account principale gestiti tramite modelli. CloudFormation 21 novembre 2024
AWSQuickSetupEnableDHMCExecutionPolicy: nuova policy Systems Manager sta introducendo una nuova policy per consentire a Quick Setup di creare un ruolo IAM che a sua volta utilizza quello esistente AmazonSSMManagedEC2InstanceDefaultPolicy. Questa policy contiene tutte le autorizzazioni necessarie all'SSM Agent per comunicare con il servizio Systems Manager. La nuova policy consente inoltre di modificare le impostazioni del servizio Systems Manager. 21 novembre 2024
AWSQuickSetupEnableAREXExecutionPolicy: nuova policy Systems Manager ha aggiunto una nuova policy per consentire la creazione di un ruolo collegato Quick Setup al servizio per l'accesso alle viste e agli Esploratore di risorse AWS indici di aggregazione di Resource Explorer. 21 novembre 2024
AWSQuickSetupManagedInstanceProfileExecutionPolicy: nuova policy

Systems Manager ha aggiunto una nuova policy per consentire di Quick Setup creare un profilo di Quick Setup istanza predefinito e di collegarlo a qualsiasi EC2 istanza Amazon priva di un profilo di istanza associato. Questa nuova policy consente inoltre a Quick Setup di collegare le autorizzazioni ai profili esistenti, garantendo che tutte le autorizzazioni necessarie di Systems Manager siano state concesse.

 21 novembre 2024

SSMQuickSetupRolePolicy: aggiornamento a una policy esistente

Systems Managerha aggiunto nuove autorizzazioni per consentire di Quick Setup verificare lo stato dei set di AWS CloudFormation stack aggiuntivi che ha creato.

 13 agosto 2024
AmazonSSMManagedEC2InstanceDefaultPolicy: aggiornamento a una policy esistente Systems Managerha aggiunto una dichiarazione IDs (Sids) alla politica JSON per. AmazonSSMManagedEC2InstanceDefaultPolicy Questi Sid forniscono descrizioni in linea dello scopo di ciascuna dichiarazione di policy. 18 luglio 2024
SSMQuickSetupRolePolicy: nuova policy Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di verificare lo stato delle risorse implementate e correggere le istanze con deviazioni dalla configurazione originale. 3 luglio 2024
AWSQuickSetupDeploymentRolePolicy: nuova policy Systems Manager ha aggiunto una nuova policy per supportare più tipi di Configurazione rapida che creano ruoli e automazioni IAM, che a loro volta configurano i servizi e le funzionalità di Amazon Web Services usati di frequente con le best practise consigliate. 3 luglio 2024

AWSQuickSetupPatchPolicyDeploymentRolePolicy

- Nuova policy

Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di creare risorse associate con le configurazioni in Quick Setup delle policy di patch di Patch Manager.

3 luglio 2024

AWSQuickSetupPatchPolicyBaselineAccess: nuova policy

Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di accedere alle baseline delle patch in Patch Manager con autorizzazioni di sola lettura.

3 luglio 2024
AWSSystemsManagerEnableExplorerExecutionPolicy: nuova policy Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di concedere le autorizzazioni amministrative per l'abilitazione di Explorer. 3 luglio 2024
AWSSystemsManagerEnableConfigRecordingExecutionPolicy: nuova policy Systems Managerha aggiunto una nuova politica per consentire di Quick Setup abilitare e configurare la registrazione AWS Config della configurazione. 3 luglio 2024

AWSQuickSetupDevOpsGuruPermissionsBoundary: nuova policy

Systems Managerha aggiunto una nuova policy per consentire di Quick Setup abilitare e configurare Amazon DevOps Guru.

 3 luglio 2024

AWSQuickSetupDistributorPermissionsBoundary: nuova policy

Systems Managerha aggiunto una nuova policy per consentire di Quick Setup abilitare e configurare Distributor, uno strumento in. AWS Systems Manager

 3 luglio 2024

AWSQuickConfigurazione SSMHost MgmtPermissionsBoundary: nuova politica

Systems Managerha aggiunto una nuova policy per consentire di Quick Setup abilitare e configurare gli strumenti di Systems Manager per la gestione sicura delle EC2 istanze Amazon.

 3 luglio 2024

AWSQuickSetupPatchPolicyPermissionsBoundary: nuova policy

Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di abilitare e configurare le policy di patch in Patch Manager, uno strumento di AWS Systems Manager.

3 luglio 2024

AWSQuickSetupSchedulerPermissionsBoundary: nuova policy

Systems Managerha aggiunto una nuova policy per consentire di Quick Setup abilitare e configurare le operazioni pianificate su EC2 istanze Amazon e altre risorse.

3 luglio 2024

AWSQuickConfigurazione CFGCPacks PermissionsBoundary: nuova politica

Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di implementare i pacchetti di conformità AWS Config .

3 luglio 2024

AWSSystemsManagerOpsDataSyncServiceRolePolicy: aggiornamento a una policy esistente

 OpsCenterha aggiornato la policy per migliorare la sicurezza del codice di servizio nell'ambito del ruolo collegato al servizio Explorer per la gestione delle operazioni OpsData correlate. 3 luglio 2023

AmazonSSMManagedEC2InstanceDefaultPolicy: nuova policy

Systems Managerha aggiunto una nuova policy per consentire Systems Manager la funzionalità sulle EC2 istanze Amazon senza l'uso di un profilo di istanza IAM.

 18 agosto 2022

Amazon SSMService RolePolicy: aggiornamento a una politica esistente

Systems Manageraggiunte nuove autorizzazioni per consentireExplorerper creare una regola gestita quando si attiva Security Hub daExploreroOpsCenter. Sono state aggiunte nuove autorizzazioni per verificare che la configurazione e l'ottimizzatore di calcolo soddisfino i requisiti necessari prima di autorizzare. OpsData

 27 aprile 2021

AWSSystemsManagerOpsDataSyncServiceRolePolicy: nuova policy

Systems Managerha aggiunto una nuova policy per creare e aggiornare OpsItems e basarsi sui risultati OpsData di Security Hub in Explorer eOpsCenter.

 27 aprile 2021

AmazonSSMServiceRolePolicy: aggiornamento a una policy esistente

Systems Managerha aggiunto nuove autorizzazioni per consentire la visualizzazione aggregata OpsData e dei OpsItems dettagli da più account e Regioni AWS in uscita. Explorer

 24 marzo 2021

Systems ManagerRilevamento delle modifiche

Systems Managerha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.

 12 marzo 2021

Polity gestite aggiuntive per Systems Manager

Oltre alle policy gestite descritte in precedenza in questo argomento, Systems Manager supporta anche le policy seguenti.