EC2 Perfil de instância do IAM

Um perfil de instância é um contêiner para uma função do IAM que você pode usar para passar informações da função para uma EC2 instância quando a instância é iniciada.

MALZ

Há dois perfis de instância padrão do AMS customer-mc-ec2-instance-profile customer-mc-ec2-instance-profile-s3 e. Esses perfis de instância fornecem as permissões descritas na tabela a seguir.

Descrições de políticas
Perfil	Políticas
`customer-mc-ec2-instance-profile`	`AmazonSSMManagedInstanceCore`: permite que as instâncias do Ec2 usem o agente SSM.
	`AMSInstanceProfileLoggingPolicy`: permite que instâncias do Ec2 enviem registros para o S3 e. CloudWatch
	`AMSInstanceProfileManagementPolicy`: permite que as instâncias do Ec2 executem ações de inicialização, como ingressar no Active Directory.
	`AMSInstanceProfileMonitoringPolicy`: permite que as instâncias do Ec2 relatem as descobertas aos serviços de monitoramento do AMS.
	`AMSInstanceProfilePatchPolicy`: permite que as instâncias do Ec2 recebam patches.
`customer-mc-ec2-instance-profile-s3`	`AMSInstanceProfileBYOEPSPolicy`: permite que as instâncias do Ec2 usem o AMS e tragam seu próprio EPS.
	`AMSInstanceProfileLoggingPolicy`: permite que instâncias do Ec2 enviem registros para o S3 e. CloudWatch
	`AMSInstanceProfileManagementPolicy`: permite que as instâncias do Ec2 executem ações de inicialização, como ingressar no Active Directory.
	`AMSInstanceProfileMonitoringPolicy`: permite que as instâncias do Ec2 relatem as descobertas aos serviços de monitoramento do AMS.
	`AMSInstanceProfilePatchPolicy`: permite que as instâncias do Ec2 recebam patches.
	`AMSInstanceProfileS3WritePolicy`: permite que instâncias Ec2 cheguem read/write aos buckets S3 do cliente.

SALZ

Há um perfil de instância padrão do AMS,customer-mc-ec2-instance-profile, que concede permissões da política de instância do IAMcustomer_ec2_instance_profile_policy. Esse perfil de instância fornece as permissões descritas na tabela a seguir. O perfil concede permissões aos aplicativos em execução na instância, não aos usuários que fazem login na instância.

As políticas geralmente incluem várias declarações, em que cada declaração concede permissões a um conjunto diferente de recursos ou concede permissões sob uma condição específica.

CW = CloudWatch. ARN = Nome do recurso da Amazon. * = curinga (qualquer).

EC2 permissões padrão de perfil de instância do IAM
CW = CloudWatch. ARN = Nome do recurso da Amazon. * = curinga (qualquer).
Declaração da política	Efeito	Ações	Descrição e recurso (ARN)
Nuvem de computação elástica da Amazon (Amazon EC2)
EC2 Ações de mensagem	Permitir	AcknowledgeMessage, DeleteMessage, FailMessage, GetEndpoint, GetMessages, SendReply	Permite ações de mensagens do EC2 Systems Manager em sua conta.
Ec2 Descrever	Permitir	* (Tudo)	Permite que o console exiba detalhes de configuração de um EC2 em sua conta.
Iam Get Role ID	Permitir	GetRole	Permite EC2 obter seu ID do IAM de `aws:iam:::role/customer-` `aws:iam:::role/customer_` e.
Instância para fazer upload de eventos de log	Permitir	Criar grupo de registros	Permite que os registros sejam criados em: `aws:logs:::log-group:i-*`
Instância para fazer upload de eventos de log	Permitir	Criar fluxo de log	Permite que os registros sejam transmitidos para: `aws:logs:::log-group:i-*`
CW para MMS	Permitir	DescribeAlarms, PutMetricAlarm, PutMetricData	Permite CloudWatch recuperar alarmes em sua conta. Permite que o CW crie ou atualize um alarme e o associe à métrica especificada. Permite que o CW publique pontos de dados métricos em sua conta.
Etiquetas Ec2	Permitir	CreateTags, DescribeTags,	Permite que as tags sejam adicionadas, substituídas e descritas nas instâncias especificadas em sua conta.
Negar explicitamente os registros do CW	Deny	DescribeLogStreams, FilterLogEvents, GetLogEvents	Não permite listar, filtrar ou obter os fluxos de log para: `aws:logs:::log-group:/mc/*`
Amazon EC2 Simple Systems Manager (SSM)
Ações do SSM	Permitir	DescribeAssociation, GetDocument, ListAssociations, UpdateAssociationStatus, UpdateInstanceInformation	Permite uma variedade de funções de SSM em sua conta.
Acesso SSM no S3	Permitir	GetObject, PutObject, AbortMultipartUpload, ListMultipartUploadPorts, ListBucketMultipartUploads	Permite que o SSM no EC2 obtenha e atualize objetos, aborte o upload de um objeto de várias partes e liste portas e compartimentos disponíveis para carregamentos de várias partes. `aws:s3:::mc--internal-/aws/ssm*`
Amazon EC2 Simple Storage Service (S3)
Obter objeto no S3	Permitir	Obtenção Lista	Permite que os EC2 aplicativos recuperem e listem objetos nos buckets do S3 em sua conta.
Acesso ao log criptografado do cliente S3	Permitir	PutObject	Permite que os EC2 aplicativos atualizem objetos no `aws:s3:::mc--logs-/encrypted/app/*`
Patch Data Put Object S3	Permitir	PutObject	Permite que EC2 os aplicativos carreguem dados de patches para seus buckets do S3 em `aws:s3:::awsms-a-patch-data-`
Carregando seus próprios registros para o S3	Permitir	PutObject	Permite que os EC2 aplicativos carreguem registros personalizados para: `aws:s3:::mc-a-logs-/aws/instances//${aws:userid}/`
Negar explicitamente os registros do MC Namespace S3	Deny	GetObject* Coloque*	Não permite que EC2 aplicativos obtenham ou coloquem objetos de ou para: `aws:s3:::mc--logs-/encrypted/mc`, `aws:s3:::mc--logs-/mc/`, `aws:s3:::mc-a-logs--audit/*`
Negar explicitamente a exclusão do S3	Deny	* (tudo)	Não permite que EC2 aplicativos realizem qualquer ação em objetos em: `aws:s3:::mc-a-logs-/`, `aws:s3:::mc-a-internal-/`,
Negar explicitamente o bucket CFN do S3	Deny	Delete*	Não permite que EC2 aplicativos excluam objetos de: `aws:s3:::cf-templates-*`
Negar explicitamente o List Bucket S3	Deny	ListBucket	Não permite que você liste objetos criptografados, de registro de auditoria ou reservados (mc) de: `aws:s3:::mc--logs-`
AWS Secrets Manager na Amazon EC2
Acesso aos segredos do Trend Cloud One	Permitir	GetSecretValue	Permite que EC2 a Amazon acesse segredos para a migração do Trend Cloud One: `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-id`, `arn:aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-activation-token`, `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-id`, `aws:secretsmanager:::secret:/ams/eps/cloud-one-agent-tenant-guid`
AWS Key Management Service na Amazon EC2
Chave de decodificação Trend Cloud One	Permitir	Decrypt	Permita que EC2 a Amazon decifre a AWS KMS chave com o nome de alias/-migration ams/eps/cloudone `arn:aws:kms:::alias/ams/eps/cloudone-migration`

Se você não estiver familiarizado com as políticas do Amazon IAM, consulte Visão geral das políticas do IAM para obter informações importantes.

nota

As políticas geralmente incluem várias declarações, em que cada declaração concede permissões a um conjunto diferente de recursos ou concede permissões sob uma condição específica.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Padrões de resolução de DNS (MALZ)

Alertas do monitoramento de linha de base no AMS