EC2 IAM 인스턴스 프로파일

customer-mc-ec2-instance-profile

AmazonSSMManagedInstanceCore: Ec2 인스턴스가 SSM 에이전트를 사용하도록 허용합니다.

AMSInstanceProfileLoggingPolicy: Ec2 인스턴스가 로그를 S3 및 CloudWatch로 푸시하도록 허용합니다.

AMSInstanceProfileManagementPolicy: Ec2 인스턴스가 Active Directory 조인과 같은 부팅 작업을 수행하도록 허용합니다.

AMSInstanceProfileMonitoringPolicy: Ec2 인스턴스가 결과를 AMS 모니터링 서비스에 보고할 수 있도록 허용합니다.

AMSInstanceProfilePatchPolicy: Ec2 인스턴스가 패치를 수신하도록 허용합니다.

customer-mc-ec2-instance-profile-s3

AMSInstanceProfileBYOEPSPolicy: Ec2 인스턴스가 AMS Bring Your Own EPS를 사용하도록 허용합니다.

AMSInstanceProfileLoggingPolicy: Ec2 인스턴스가 로그를 S3 및 CloudWatch로 푸시하도록 허용합니다.

AMSInstanceProfileManagementPolicy: Ec2 인스턴스가 Active Directory 조인과 같은 부팅 작업을 수행하도록 허용합니다.

AMSInstanceProfileMonitoringPolicy: Ec2 인스턴스가 결과를 AMS 모니터링 서비스에 보고할 수 있도록 허용합니다.

AMSInstanceProfilePatchPolicy: Ec2 인스턴스가 패치를 수신하도록 허용합니다.

AMSInstanceProfileS3WritePolicy: Ec2 인스턴스가 고객 S3 버킷을 읽고 쓸 수 있도록 허용합니다.

Amazon Elastic Compute Cloud(Amazon EC2)

EC2 메시지 작업

허용

AcknowledgeMessage,

DeleteMessage,

FailMessage,

GetEndpoint,

GetMessages,

SendReply

계정에서 EC2 Systems Manager 메시징 작업을 허용합니다.

Ec2 설명

허용

* (모두)

콘솔이 계정에서 EC2의 구성 세부 정보를 표시하도록 허용합니다.

Iam 역할 ID 가져오기

허용

GetRole

EC2가 aws:iam::*:role/customer-* 및에서 IAM ID를 가져오도록 허용합니다aws:iam::*:role/customer_*.

로그 이벤트를 업로드할 인스턴스

허용

로그 그룹 생성

로그를 생성할 수 있는 위치: aws:logs:*:*:log-group:i-*

로그 스트림 생성

로그를 다음으로 스트리밍할 수 있습니다. aws:logs:*:*:log-group:i-*

MMS용 CW

허용

DescribeAlarms,

PutMetricAlarm,

PutMetricData

CloudWatch가 계정에서 경보를 검색할 수 있도록 허용합니다.

CW가 경보를 생성 또는 업데이트하고 지정된 지표와 연결할 수 있도록 허용합니다.

CW가 지표 데이터 포인트를 계정에 게시할 수 있도록 허용합니다.

Ec2 태그

허용

CreateTags,

DescribeTags,

계정의 지정된 인스턴스에서 태그를 추가, 덮어쓰기 및 설명할 수 있습니다.

CW 로그를 명시적으로 거부

거부

DescribeLogStreams,

FilterLogEvents,

GetLogEvents

다음에 대한 로그 스트림 나열, 필터링 또는 가져오기를 허용하지 않습니다. aws:logs:*:*:log-group:/mc/*

Amazon EC2 Simple Systems Manager(SSM)

SSM 작업

허용

DescribeAssociation,

GetDocument,

ListAssociations,

UpdateAssociationStatus,

UpdateInstanceInformation

계정에서 다양한 SSM 함수를 허용합니다.

S3의 SSM 액세스

허용

GetObject,

PutObject,

AbortMultipartUpload,

ListMultipartUploadPorts,

ListBucketMultipartUploads

EC2의 SSM이에서 객체를 가져오고 업데이트하며에 대한 멀티파트 객체 업로드를 중단하고에서 멀티파트 업로드에 사용할 수 있는 포트 및 버킷을 나열할 수 있도록 허용합니다aws:s3:::mc-*-internal-*/aws/ssm*.

Amazon EC2 Simple Storage Service(S3)

S3에서 객체 가져오기

허용

Get

List

EC2 애플리케이션이 계정의 S3 버킷에서 객체를 검색하고 나열할 수 있도록 허용합니다.

고객 암호화 로그 S3 액세스

허용

PutObject

EC2 애플리케이션이에서 객체를 업데이트하도록 허용 aws:s3:::mc-*-logs-*/encrypted/app/*

패치 데이터 객체 S3 추가

허용

PutObject

EC2 애플리케이션이에서 S3 버킷에 패치 적용 데이터를 업로드하도록 허용 aws:s3:::awsms-a*-patch-data-*

S3에 자체 로그 업로드

허용

PutObject

EC2 애플리케이션이 사용자 지정 로그를 다음에 업로드하도록 허용합니다. aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*

MC 네임스페이스 S3 로그를 명시적으로 거부

거부

GetObject*

Put*

EC2 애플리케이션이 다음과 같이 객체를 가져오거나 배치하는 것을 허용하지 않습니다.

aws:s3:::mc-*-logs-*/encrypted/mc*,

aws:s3:::mc-*-logs-*/mc/*,

aws:s3:::mc-a*-logs-*-audit/*

S3 삭제를 명시적으로 거부

거부

* (모두)

EC2 애플리케이션이 다음의 객체에 대해 어떤 작업도 수행하는 것을 허용하지 않습니다.

aws:s3:::mc-a*-logs-*/*,

aws:s3:::mc-a*-internal-*/*,

S3 CFN 버킷을 명시적으로 거부

거부

Delete*

다음에서 객체를 삭제하는 EC2 애플리케이션을 허용하지 않습니다. aws:s3:::cf-templates-*

명시적으로 거부 목록 버킷 S3

거부

ListBucket

다음에서 암호화된 객체, 감사 로그 또는 예약된 (mc) 객체를 나열할 수 없습니다. aws:s3:::mc-*-logs-*

AWS Secrets Manager Amazon EC2의

Trend Cloud One 보안 암호 액세스

허용

GetSecretValue

Amazon EC2가 Trend Cloud One 마이그레이션을 위한 보안 암호에 액세스할 수 있도록 허용합니다.

aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,

arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*,

aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,

aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*

AWS Key Management Service Amazon EC2의

Trend Cloud One 복호화 키

허용

Decrypt

Amazon EC2가 별칭 이름 /ams/eps/cloudone-migration으로 AWS KMS 키를 복호화하도록 허용

arn:aws:kms:*:*:alias/ams/eps/cloudone-migration