AWS-SSM-RemediationAutomation-AdministrationRolePolicy
Descrição: fornece permissão para corrigir problemas com os serviços SSM, executando as atividades definidas nos documentos de automação. Usada principalmente para executar os documentos de automação em uma configuração entre contras e entre regiões ao acionar automações secundárias nas contas de membros.
AWS-SSM-RemediationAutomation-AdministrationRolePolicy é uma política gerenciada pelo AWS.
Utilização desta política
Você pode vincular a AWS-SSM-RemediationAutomation-AdministrationRolePolicy aos seus usuários, grupos e perfis.
Detalhes desta política
-
Tipo: política gerenciada pela AWS
-
Hora da criação: 16 de novembro de 2024, 0:14 UTC
-
Hora da edição: 16 de julho de 2025, 17:52 UTC
-
ARN:
arn:aws:iam::aws:policy/AWS-SSM-RemediationAutomation-AdministrationRolePolicy
Versão da política
Versão da política: v2 (padrão)
A versão padrão da política é aquela que define as permissões desta política. Quando um usuário ou perfil com esta política faz uma solicitação para acessar um atributo da AWS, a AWS verifica a versão padrão da política para determinar se concederá a permissão solicitada.
Documento da política JSON
{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "AllowReadOnlyAccessSSMResource", "Effect" : "Allow", "Action" : [ "ssm:DescribeAutomationExecutions", "ssm:DescribeAutomationStepExecutions", "ssm:GetAutomationExecution" ], "Resource" : "*" }, { "Sid" : "AllowExecuteSSMAutomation", "Effect" : "Allow", "Action" : [ "ssm:StartAutomationExecution" ], "Resource" : [ "arn:aws:ssm:*:*:document/AWS-OrchestrateUnmanagedEC2Actions", "arn:aws:ssm:*:*:document/AWS-RemediateSSMAgent*", "arn:aws:ssm:*:*:automation-execution/*", "arn:aws:ssm:*:*:automation-definition/AWS-OrchestrateUnmanagedEC2Actions:*", "arn:aws:ssm:*:*:automation-definition/AWS-RemediateSSMAgent*:*" ] }, { "Sid" : "AllowKMSOperations", "Effect" : "Allow", "Action" : [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource" : "arn:aws:kms:*:*:key/*", "Condition" : { "StringEquals" : { "aws:ResourceTag/SystemsManagerManaged" : "true" }, "ArnLike" : { "kms:EncryptionContext:aws:s3:arn" : "arn:aws:s3:::do-not-delete-ssm-diagnosis-*" }, "StringLike" : { "kms:ViaService" : "s3.*.amazonaws.com" }, "Bool" : { "aws:ViaAWSService" : "true" } } }, { "Sid" : "AllowAssumeRemediationExecutionRoleWithinAccount", "Effect" : "Allow", "Action" : "sts:AssumeRole", "Resource" : "arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole*", "Condition" : { "StringEquals" : { "aws:ResourceAccount" : "${aws:PrincipalAccount}" } } }, { "Sid" : "AllowPassRoleOnSelfToSsm", "Effect" : "Allow", "Action" : "iam:PassRole", "Resource" : "arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole*", "Condition" : { "StringEquals" : { "iam:PassedToService" : "ssm.amazonaws.com" } } }, { "Sid" : "AllowReadWriteToSsmDiagnosisBucketInSameAccount", "Effect" : "Allow", "Action" : [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource" : "arn:aws:s3:::do-not-delete-ssm-diagnosis-*/actions/*", "Condition" : { "StringEquals" : { "aws:ResourceAccount" : "${aws:PrincipalAccount}" } } }, { "Sid" : "AllowListBucketOnSsmDiagnosisBucketInSameAccount", "Effect" : "Allow", "Action" : [ "s3:ListBucket" ], "Resource" : "arn:aws:s3:::do-not-delete-ssm-diagnosis-*", "Condition" : { "StringEquals" : { "aws:ResourceAccount" : "${aws:PrincipalAccount}" } } } ] }
Saiba mais
