| CW = CloudWatch. ARN = Amazon 리소스 이름. \* = 와일드카드(임의). | |||
|---|---|---|---|
| 정책 문 | Effect | 작업 | 설명 및 리소스(ARN) |
| **Amazon Elastic Compute Cloud(Amazon EC2)** | |||
| EC2 메시지 작업 | 허용 | AcknowledgeMessage, DeleteMessage, FailMessage, GetEndpoint, GetMessages, SendReply | 계정에서 EC2 Systems Manager 메시징 작업을 허용합니다. |
| Ec2 설명 | 허용 | \* (모두) | 콘솔이 계정에서 EC2의 구성 세부 정보를 표시하도록 허용합니다. |
| Iam 역할 ID 가져오기 | 허용 | GetRole | EC2가 `aws:iam::*:role/customer-*` 및에서 IAM ID를 가져오도록 허용합니다`aws:iam::*:role/customer_*`. |
| 로그 이벤트를 업로드할 인스턴스 | 허용 | 로그 그룹 생성 | 로그를 생성할 수 있는 위치: `aws:logs:*:*:log-group:i-*` |
| 로그 스트림 생성 | 로그를 다음으로 스트리밍할 수 있습니다. `aws:logs:*:*:log-group:i-*` | ||
| MMS용 CW | 허용 | DescribeAlarms, PutMetricAlarm, PutMetricData | CloudWatch가 계정에서 경보를 검색할 수 있도록 허용합니다. CW가 경보를 생성 또는 업데이트하고 지정된 지표와 연결할 수 있도록 허용합니다. CW가 지표 데이터 포인트를 계정에 게시할 수 있도록 허용합니다. |
| Ec2 태그 | 허용 | CreateTags, DescribeTags, | 계정의 지정된 인스턴스에서 태그를 추가, 덮어쓰기 및 설명할 수 있습니다. |
| CW 로그를 명시적으로 거부 | 거부 | DescribeLogStreams, FilterLogEvents, GetLogEvents | 다음에 대한 로그 스트림 나열, 필터링 또는 가져오기를 허용하지 않습니다. `aws:logs:*:*:log-group:/mc/*` |
| **Amazon EC2 Simple Systems Manager(SSM)** | |||
| SSM 작업 | 허용 | DescribeAssociation, GetDocument, ListAssociations, UpdateAssociationStatus, UpdateInstanceInformation | 계정에서 다양한 SSM 함수를 허용합니다. |
| S3의 SSM 액세스 | 허용 | GetObject, PutObject, AbortMultipartUpload, ListMultipartUploadPorts, ListBucketMultipartUploads | EC2의 SSM이에서 객체를 가져오고 업데이트하며에 대한 멀티파트 객체 업로드를 중단하고에서 멀티파트 업로드에 사용할 수 있는 포트 및 버킷을 나열할 수 있도록 허용합니다`aws:s3:::mc-*-internal-*/aws/ssm*`. |
| **Amazon EC2 Simple Storage Service(S3)** | |||
| S3에서 객체 가져오기 | 허용 | Get List | EC2 애플리케이션이 계정의 S3 버킷에서 객체를 검색하고 나열할 수 있도록 허용합니다. |
| 고객 암호화 로그 S3 액세스 | 허용 | PutObject | EC2 애플리케이션이에서 객체를 업데이트하도록 허용 `aws:s3:::mc-*-logs-*/encrypted/app/*` |
| 패치 데이터 객체 S3 추가 | 허용 | PutObject | EC2 애플리케이션이에서 S3 버킷에 패치 적용 데이터를 업로드하도록 허용 `aws:s3:::awsms-a*-patch-data-*` |
| S3에 자체 로그 업로드 | 허용 | PutObject | EC2 애플리케이션이 사용자 지정 로그를 다음에 업로드하도록 허용합니다. `aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*` |
| MC 네임스페이스 S3 로그를 명시적으로 거부 | 거부 | GetObject\* Put\* | EC2 애플리케이션이 다음과 같이 객체를 가져오거나 배치하는 것을 허용하지 않습니다. `aws:s3:::mc-*-logs-*/encrypted/mc*`, `aws:s3:::mc-*-logs-*/mc/*`, `aws:s3:::mc-a*-logs-*-audit/*` |
| S3 삭제를 명시적으로 거부 | 거부 | \* (모두) | EC2 애플리케이션이 다음의 객체에 대해 어떤 작업도 수행하는 것을 허용하지 않습니다. `aws:s3:::mc-a*-logs-*/*`, `aws:s3:::mc-a*-internal-*/*`, |
| S3 CFN 버킷을 명시적으로 거부 | 거부 | Delete\* | 다음에서 객체를 삭제하는 EC2 애플리케이션을 허용하지 않습니다. `aws:s3:::cf-templates-*` |
| 명시적으로 거부 목록 버킷 S3 | 거부 | ListBucket | 다음에서 암호화된 객체, 감사 로그 또는 예약된 (mc) 객체를 나열할 수 없습니다. `aws:s3:::mc-*-logs-*` |
| **AWS Secrets Manager Amazon EC2의** | |||
| Trend Cloud One 보안 암호 액세스 | 허용 | GetSecretValue | Amazon EC2가 Trend Cloud One 마이그레이션을 위한 보안 암호에 액세스할 수 있도록 허용합니다. `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`, `arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*`, `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`, `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*` |
| **AWS Key Management Service Amazon EC2의** | |||
| Trend Cloud One 복호화 키 | 허용 | Decrypt | Amazon EC2가 별칭 이름 /ams/eps/cloudone-migration으로 AWS KMS 키를 복호화하도록 허용 `arn:aws:kms:*:*:alias/ams/eps/cloudone-migration` |