EC2 IAM インスタンスプロファイル

customer-mc-ec2-instance-profile

AmazonSSMManagedInstanceCore: Ec2 インスタンスに SSM エージェントの使用を許可します。

AMSInstanceProfileLoggingPolicy: Ec2 インスタンスが S3 と CloudWatch にログをプッシュできるようにします。

AMSInstanceProfileManagementPolicy: Ec2 インスタンスが Active Directory の結合などの起動アクションを実行できるようにします。

AMSInstanceProfileMonitoringPolicy: Ec2 インスタンスが AMS モニタリングサービスに結果をレポートできるようにします。

AMSInstanceProfilePatchPolicy: Ec2 インスタンスがパッチを受信できるようにします。

customer-mc-ec2-instance-profile-s3

AMSInstanceProfileBYOEPSPolicy: Ec2 インスタンスが AMS Bring Your Own EPS を使用できるようにします。

AMSInstanceProfileLoggingPolicy: Ec2 インスタンスが S3 と CloudWatch にログをプッシュできるようにします。

AMSInstanceProfileManagementPolicy: Ec2 インスタンスが Active Directory の結合などの起動アクションを実行できるようにします。

AMSInstanceProfileMonitoringPolicy: Ec2 インスタンスが AMS モニタリングサービスに結果をレポートできるようにします。

AMSInstanceProfilePatchPolicy: Ec2 インスタンスがパッチを受信できるようにします。

AMSInstanceProfileS3WritePolicy: Ec2 インスタンスがお客様の S3 バケットを読み書きできるようにします。

Amazon Elastic Compute Cloud (Amazon EC2)

EC2 メッセージアクション

許可

AcknowledgeMessage、

DeleteMessage、

FailMessage、

GetEndpoint、

GetMessages、

SendReply

アカウントで EC2 Systems Manager メッセージングアクションを許可します。

Ec2 の説明

許可

* (すべて）

コンソールがアカウント内の EC2 の設定の詳細を表示できるようにします。

Iam ロール ID を取得する

許可

GetRole

EC2 が aws:iam::*:role/customer-*および から IAM ID を取得できるようにしますaws:iam::*:role/customer_*。

ログイベントをアップロードするインスタンス

許可

ロググループの作成

ログの作成を に許可します。 aws:logs:*:*:log-group:i-*

ログストリームの作成

ログのストリーミング先を許可します。 aws:logs:*:*:log-group:i-*

MMS の CW

許可

DescribeAlarms、

PutMetricAlarm、

PutMetricData

CloudWatch がアカウントのアラームを取得できるようにします。

CW がアラームを作成または更新し、指定されたメトリクスに関連付けることを許可します。

CW がメトリクスデータポイントをアカウントに発行できるようにします。

Ec2 タグ

許可

CreateTags、

DescribeTags、

アカウントの指定されたインスタンスでタグを追加、上書き、および記述できるようにします。

CW ログを明示的に拒否する

拒否

DescribeLogStreams、

FilterLogEvents、

GetLogEvents

次のログストリームの一覧表示、フィルタリング、取得を禁止します。 aws:logs:*:*:log-group:/mc/*

Amazon EC2 Simple Systems Manager (SSM)

SSM アクション

許可

DescribeAssociation、

GetDocument、

ListAssociations、

UpdateAssociationStatus、

UpdateInstanceInformation

アカウントでさまざまな SSM 関数を許可します。

S3 での SSM アクセス

許可

GetObject、

PutObject、

AbortMultipartUpload、

ListMultipartUploadPorts、

ListBucketMultipartUploads

EC2 の SSM が、 でオブジェクトを取得および更新し、マルチパートオブジェクトのアップロードを中止して、 でマルチパートアップロードに使用できるポートとバケットを一覧表示できるようにしますaws:s3:::mc-*-internal-*/aws/ssm*。

Amazon EC2 Simple Storage Service (S3)

S3 でオブジェクトを取得する

許可

Get

リスト

EC2 アプリケーションがアカウントの S3 バケット内のオブジェクトを取得して一覧表示できるようにします。

お客様が暗号化したログ S3 アクセス

許可

PutObject

EC2 アプリケーションが でオブジェクトを更新することを許可する aws:s3:::mc-*-logs-*/encrypted/app/*

パッチデータプットオブジェクト S3

許可

PutObject

EC2 アプリケーションが の S3 バケットにパッチデータをアップロードすることを許可する aws:s3:::awsms-a*-patch-data-*

S3 への独自のログのアップロード

許可

PutObject

EC2 アプリケーションがカスタムログを以下にアップロードできるようにします。 aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*

MC 名前空間 S3 ログを明示的に拒否する

拒否

GetObject*

Put*

EC2 アプリケーションが以下との間でオブジェクトを取得または配置することを禁止します。

aws:s3:::mc-*-logs-*/encrypted/mc*,

aws:s3:::mc-*-logs-*/mc/*,

aws:s3:::mc-a*-logs-*-audit/*

S3 削除を明示的に拒否する

拒否

* (すべて）

以下のオブジェクトに対して EC2 アプリケーションがアクションを実行することを禁止します。

aws:s3:::mc-a*-logs-*/*,

aws:s3:::mc-a*-internal-*/*,

S3 CFN バケットを明示的に拒否する

拒否

削除*

以下からのオブジェクトの削除を EC2 アプリケーションに禁止します。 aws:s3:::cf-templates-*

明示的に拒否リストバケット S3

拒否

ListBucket

暗号化、監査ログ、またはリザーブド (mc) オブジェクトの一覧表示を禁止します。 aws:s3:::mc-*-logs-*

AWS Secrets Manager Amazon EC2 の

Trend Cloud One Secrets アクセス

許可

GetSecretValue

Amazon EC2 が Trend Cloud One 移行のシークレットにアクセスできるようにします。

aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,

arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*,

aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,

aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*

AWS Key Management Service Amazon EC2 の

Trend Cloud One 復号キー

許可

Decrypt

Amazon EC2 がエイリアス名 /ams/eps/cloudone-migration で AWS KMS キーを復号できるようにする

arn:aws:kms:*:*:alias/ams/eps/cloudone-migration