As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# EC2 Perfil de instância do IAM
<a name="defaults-instance-profile"></a>

Um perfil de instância é um contêiner para uma função do IAM que você pode usar para passar informações da função para uma EC2 instância quando a instância é iniciada.

------
#### [ MALZ ]

Há dois perfis de instância padrão do AMS `customer-mc-ec2-instance-profile` `customer-mc-ec2-instance-profile-s3` e. Esses perfis de instância fornecem as permissões descritas na tabela a seguir.


**Descrições de políticas**  
<a name="default-iam-profile-malz-table"></a>

- **`customer-mc-ec2-instance-profile`**
  - `AmazonSSMManagedInstanceCore`: permite que as instâncias do Ec2 usem o agente SSM.
  - `AMSInstanceProfileLoggingPolicy`: permite que instâncias do Ec2 enviem registros para o S3 e. CloudWatch
  - `AMSInstanceProfileManagementPolicy`: permite que as instâncias do Ec2 executem ações de inicialização, como ingressar no Active Directory.
  - `AMSInstanceProfileMonitoringPolicy`: permite que as instâncias do Ec2 relatem as descobertas aos serviços de monitoramento do AMS.
  - `AMSInstanceProfilePatchPolicy`: permite que as instâncias do Ec2 recebam patches.

- **`customer-mc-ec2-instance-profile-s3`**
  - `AMSInstanceProfileBYOEPSPolicy`: permite que as instâncias do Ec2 usem o [AMS e tragam seu próprio EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html).
  - `AMSInstanceProfileLoggingPolicy`: permite que instâncias do Ec2 enviem registros para o S3 e. CloudWatch
  - `AMSInstanceProfileManagementPolicy`: permite que as instâncias do Ec2 executem ações de inicialização, como ingressar no Active Directory.
  - `AMSInstanceProfileMonitoringPolicy`: permite que as instâncias do Ec2 relatem as descobertas aos serviços de monitoramento do AMS.
  - `AMSInstanceProfilePatchPolicy`: permite que as instâncias do Ec2 recebam patches.
  - `AMSInstanceProfileS3WritePolicy`: permite que instâncias Ec2 cheguem read/write aos buckets S3 do cliente.



------
#### [ SALZ ]

Há um perfil de instância padrão do AMS,`customer-mc-ec2-instance-profile`, que concede permissões da política de instância do IAM`customer_ec2_instance_profile_policy`. Esse perfil de instância fornece as permissões descritas na tabela a seguir. O perfil concede permissões aos aplicativos em execução na instância, não aos usuários que fazem login na instância.

As políticas geralmente incluem várias declarações, em que cada declaração concede permissões a um conjunto diferente de recursos ou concede permissões sob uma condição específica.

CW = CloudWatch. ARN = Nome do recurso da Amazon. \* = curinga (qualquer).


**EC2 permissões padrão de perfil de instância do IAM**  

<table>
<thead>
  <tr><th colspan="4">CW = CloudWatch. ARN = Nome do recurso da Amazon. \* = curinga (qualquer).</th></tr>
  <tr><th>Declaração da política</th><th>Efeito</th><th>Ações</th><th>Descrição e recurso (ARN)</th></tr>
</thead>
<tbody>
  <tr><td colspan="4">**Nuvem de computação elástica da Amazon (Amazon EC2)**</td></tr>
  <tr><td>EC2 Ações de mensagem</td><td>Permitir</td><td>AcknowledgeMessage,<br />DeleteMessage,<br />FailMessage,<br />GetEndpoint,<br />GetMessages,<br />SendReply</td><td>Permite ações de mensagens do EC2 Systems Manager em sua conta.</td></tr>
  <tr><td>Ec2 Descrever</td><td>Permitir</td><td>\* (Tudo)</td><td>Permite que o console exiba detalhes de configuração de um EC2 em sua conta.</td></tr>
  <tr><td>Iam Get Role ID</td><td>Permitir</td><td>GetRole</td><td>Permite EC2 obter seu ID do IAM de `aws:iam::*:role/customer-*` `aws:iam::*:role/customer_*` e.</td></tr>
  <tr><td rowspan="2">Instância para fazer upload de eventos de log</td><td rowspan="2">Permitir</td><td>Criar grupo de registros</td><td>Permite que os registros sejam criados em: `aws:logs:*:*:log-group:i-*`</td></tr>
  <tr><td>Criar fluxo de log</td><td>Permite que os registros sejam transmitidos para: `aws:logs:*:*:log-group:i-*`</td></tr>
  <tr><td>CW para MMS</td><td>Permitir</td><td>DescribeAlarms,<br />PutMetricAlarm,<br />PutMetricData</td><td>Permite CloudWatch recuperar alarmes em sua conta.<br />Permite que o CW crie ou atualize um alarme e o associe à métrica especificada.<br />Permite que o CW publique pontos de dados métricos em sua conta.</td></tr>
  <tr><td>Etiquetas Ec2</td><td>Permitir</td><td>CreateTags,<br />DescribeTags,</td><td>Permite que as tags sejam adicionadas, substituídas e descritas nas instâncias especificadas em sua conta.</td></tr>
  <tr><td>Negar explicitamente os registros do CW</td><td>Deny</td><td>DescribeLogStreams,<br />FilterLogEvents,<br />GetLogEvents</td><td>Não permite listar, filtrar ou obter os fluxos de log para: `aws:logs:*:*:log-group:/mc/*`</td></tr>
  <tr><td colspan="4">**Amazon EC2 Simple Systems Manager (SSM)**</td></tr>
  <tr><td>Ações do SSM</td><td>Permitir</td><td>DescribeAssociation,<br />GetDocument,<br />ListAssociations,<br />UpdateAssociationStatus,<br />UpdateInstanceInformation</td><td>Permite uma variedade de funções de SSM em sua conta.</td></tr>
  <tr><td>Acesso SSM no S3</td><td>Permitir</td><td>GetObject,<br />PutObject,<br />AbortMultipartUpload,<br />ListMultipartUploadPorts,<br />ListBucketMultipartUploads</td><td>Permite que o SSM no EC2 obtenha e atualize objetos, aborte o upload de um objeto de várias partes e liste portas e compartimentos disponíveis para carregamentos de várias partes. `aws:s3:::mc-*-internal-*/aws/ssm*`</td></tr>
  <tr><td colspan="4">**Amazon EC2 Simple Storage Service (S3)**</td></tr>
  <tr><td>Obter objeto no S3</td><td>Permitir</td><td>Obtenção<br />Lista</td><td>Permite que os EC2 aplicativos recuperem e listem objetos nos buckets do S3 em sua conta.</td></tr>
  <tr><td>Acesso ao log criptografado do cliente S3</td><td>Permitir</td><td>PutObject</td><td>Permite que os EC2 aplicativos atualizem objetos no `aws:s3:::mc-*-logs-*/encrypted/app/*`</td></tr>
  <tr><td>Patch Data Put Object S3</td><td>Permitir</td><td>PutObject</td><td>Permite que EC2 os aplicativos carreguem dados de patches para seus buckets do S3 em `aws:s3:::awsms-a*-patch-data-*`</td></tr>
  <tr><td>Carregando seus próprios registros para o S3</td><td>Permitir</td><td>PutObject</td><td>Permite que os EC2 aplicativos carreguem registros personalizados para: `aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*`</td></tr>
  <tr><td>Negar explicitamente os registros do MC Namespace S3</td><td>Deny</td><td>GetObject\*<br />Coloque\*</td><td>Não permite que EC2 aplicativos obtenham ou coloquem objetos de ou para:<br />`aws:s3:::mc-*-logs-*/encrypted/mc*`,<br />`aws:s3:::mc-*-logs-*/mc/*`,<br />`aws:s3:::mc-a*-logs-*-audit/*`</td></tr>
  <tr><td>Negar explicitamente a exclusão do S3</td><td>Deny</td><td>\* (tudo)</td><td>Não permite que EC2 aplicativos realizem qualquer ação em objetos em:<br />`aws:s3:::mc-a*-logs-*/*`,<br />`aws:s3:::mc-a*-internal-*/*`,</td></tr>
  <tr><td>Negar explicitamente o bucket CFN do S3</td><td>Deny</td><td>Delete\*</td><td>Não permite que EC2 aplicativos excluam objetos de: `aws:s3:::cf-templates-*`</td></tr>
  <tr><td>Negar explicitamente o List Bucket S3</td><td>Deny</td><td>ListBucket</td><td>Não permite que você liste objetos criptografados, de registro de auditoria ou reservados (mc) de: `aws:s3:::mc-*-logs-*`</td></tr>
  <tr><td colspan="4">**AWS Secrets Manager na Amazon EC2**</td></tr>
  <tr><td>Acesso aos segredos do Trend Cloud One</td><td>Permitir</td><td>GetSecretValue</td><td>Permite que EC2 a Amazon acesse segredos para a migração do Trend Cloud One:<br />`aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`,<br />`arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*`,<br />`aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`,<br />`aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*`</td></tr>
  <tr><td colspan="4">**AWS Key Management Service na Amazon EC2**</td></tr>
  <tr><td>Chave de decodificação Trend Cloud One</td><td>Permitir</td><td>Decrypt</td><td>Permita que EC2 a Amazon decifre a AWS KMS chave com o nome de alias/-migration ams/eps/cloudone<br />`arn:aws:kms:*:*:alias/ams/eps/cloudone-migration`</td></tr>
</tbody>
</table>


------

Se você não estiver familiarizado com as políticas do Amazon IAM, consulte [Visão geral das políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) para obter informações importantes.

**nota**  
As políticas geralmente incluem várias declarações, em que cada declaração concede permissões a um conjunto diferente de recursos ou concede permissões sob uma condição específica.