| CW = CloudWatch。ARN = Amazon リソースネーム。\* = ワイルドカード (任意)。 | |||
|---|---|---|---|
| ポリシーステートメント | 効果 | アクション | 説明とリソース (ARN) |
| **Amazon Elastic Compute Cloud (Amazon EC2)** | |||
| EC2 メッセージアクション | 許可 | AcknowledgeMessage、 DeleteMessage、 FailMessage、 GetEndpoint、 GetMessages、 SendReply | アカウントで EC2 Systems Manager メッセージングアクションを許可します。 |
| Ec2 の説明 | 許可 | \* (すべて) | コンソールがアカウント内の EC2 の設定の詳細を表示できるようにします。 |
| Iam ロール ID を取得する | 許可 | GetRole | EC2 が `aws:iam::*:role/customer-*`および から IAM ID を取得できるようにします`aws:iam::*:role/customer_*`。 |
| ログイベントをアップロードするインスタンス | 許可 | ロググループの作成 | ログの作成を に許可します。 `aws:logs:*:*:log-group:i-*` |
| ログストリームの作成 | ログのストリーミング先を許可します。 `aws:logs:*:*:log-group:i-*` | ||
| MMS の CW | 許可 | DescribeAlarms、 PutMetricAlarm、 PutMetricData | CloudWatch がアカウントのアラームを取得できるようにします。 CW がアラームを作成または更新し、指定されたメトリクスに関連付けることを許可します。 CW がメトリクスデータポイントをアカウントに発行できるようにします。 |
| Ec2 タグ | 許可 | CreateTags、 DescribeTags、 | アカウントの指定されたインスタンスでタグを追加、上書き、および記述できるようにします。 |
| CW ログを明示的に拒否する | 拒否 | DescribeLogStreams、 FilterLogEvents、 GetLogEvents | 次のログストリームの一覧表示、フィルタリング、取得を禁止します。 `aws:logs:*:*:log-group:/mc/*` |
| **Amazon EC2 Simple Systems Manager (SSM)** | |||
| SSM アクション | 許可 | DescribeAssociation、 GetDocument、 ListAssociations、 UpdateAssociationStatus、 UpdateInstanceInformation | アカウントでさまざまな SSM 関数を許可します。 |
| S3 での SSM アクセス | 許可 | GetObject、 PutObject、 AbortMultipartUpload、 ListMultipartUploadPorts、 ListBucketMultipartUploads | EC2 の SSM が、 でオブジェクトを取得および更新し、マルチパートオブジェクトのアップロードを中止して、 でマルチパートアップロードに使用できるポートとバケットを一覧表示できるようにします`aws:s3:::mc-*-internal-*/aws/ssm*`。 |
| **Amazon EC2 Simple Storage Service (S3)** | |||
| S3 でオブジェクトを取得する | 許可 | Get リスト | EC2 アプリケーションがアカウントの S3 バケット内のオブジェクトを取得して一覧表示できるようにします。 |
| お客様が暗号化したログ S3 アクセス | 許可 | PutObject | EC2 アプリケーションが でオブジェクトを更新することを許可する `aws:s3:::mc-*-logs-*/encrypted/app/*` |
| パッチデータプットオブジェクト S3 | 許可 | PutObject | EC2 アプリケーションが の S3 バケットにパッチデータをアップロードすることを許可する `aws:s3:::awsms-a*-patch-data-*` |
| S3 への独自のログのアップロード | 許可 | PutObject | EC2 アプリケーションがカスタムログを以下にアップロードできるようにします。 `aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*` |
| MC 名前空間 S3 ログを明示的に拒否する | 拒否 | GetObject\* Put\* | EC2 アプリケーションが以下との間でオブジェクトを取得または配置することを禁止します。 `aws:s3:::mc-*-logs-*/encrypted/mc*`, `aws:s3:::mc-*-logs-*/mc/*`, `aws:s3:::mc-a*-logs-*-audit/*` |
| S3 削除を明示的に拒否する | 拒否 | \* (すべて) | 以下のオブジェクトに対して EC2 アプリケーションがアクションを実行することを禁止します。 `aws:s3:::mc-a*-logs-*/*`, `aws:s3:::mc-a*-internal-*/*`, |
| S3 CFN バケットを明示的に拒否する | 拒否 | 削除\* | 以下からのオブジェクトの削除を EC2 アプリケーションに禁止します。 `aws:s3:::cf-templates-*` |
| 明示的に拒否リストバケット S3 | 拒否 | ListBucket | 暗号化、監査ログ、またはリザーブド (mc) オブジェクトの一覧表示を禁止します。 `aws:s3:::mc-*-logs-*` |
| **AWS Secrets Manager Amazon EC2 の** | |||
| Trend Cloud One Secrets アクセス | 許可 | GetSecretValue | Amazon EC2 が Trend Cloud One 移行のシークレットにアクセスできるようにします。 `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`, `arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*`, `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`, `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*` |
| **AWS Key Management Service Amazon EC2 の** | |||
| Trend Cloud One 復号キー | 許可 | Decrypt | Amazon EC2 がエイリアス名 /ams/eps/cloudone-migration で AWS KMS キーを復号できるようにする `arn:aws:kms:*:*:alias/ams/eps/cloudone-migration` |