本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
EC2 IAM 实例配置文件
实例配置文件是 IAM 角色的容器,您可以使用该容器在 EC2 实例启动时将角色信息传递给实例。
- MALZ
-
有两个 AMS 默认实例配置文件
customer-mc-ec2-instance-profile和customer-mc-ec2-instance-profile-s3。这些实例配置文件提供下表中所述的权限。政策描述 配置文件 策略 customer-mc-ec2-instance-profileAmazonSSMManagedInstanceCore:允许 Ec2 实例使用 SSM 代理。AMSInstanceProfileLoggingPolicy: 允许 Ec2 实例将日志推送到 S3 和 CloudWatch。AMSInstanceProfileManagementPolicy:允许 Ec2 实例执行启动操作,例如加入 Active Directory。AMSInstanceProfileMonitoringPolicy:允许 Ec2 实例向 AMS 监控服务报告调查结果。AMSInstanceProfilePatchPolicy:允许 Ec2 实例接收补丁。customer-mc-ec2-instance-profile-s3AMSInstanceProfileBYOEPSPolicy: 允许 Ec2 实例使用 AMS 自带 EPS。AMSInstanceProfileLoggingPolicy: 允许 Ec2 实例将日志推送到 S3 和 CloudWatch。AMSInstanceProfileManagementPolicy:允许 Ec2 实例执行启动操作,例如加入 Active Directory。AMSInstanceProfileMonitoringPolicy:允许 Ec2 实例向 AMS 监控服务报告调查结果。AMSInstanceProfilePatchPolicy:允许 Ec2 实例接收补丁。AMSInstanceProfileS3WritePolicy:允许 Ec2 实例 read/write 访问客户的 S3 存储桶。 - SALZ
-
有一个 AMS 默认实例配置文件
customer-mc-ec2-instance-profile,用于授予 IAM 实例策略中的权限customer_ec2_instance_profile_policy。此实例配置文件提供下表中所述的权限。该配置文件向在实例上运行的应用程序授予权限,而不是向登录实例的用户授予权限。策略通常包含多个语句,其中每个语句授予对不同资源集的权限或在特定条件下授予权限。
顺时针 = CloudWatch。ARN = 亚马逊资源名称。* = 通配符(任意)。
EC2 默认 IAM 实例配置文件权限 顺时针 = CloudWatch。ARN = 亚马逊资源名称。* = 通配符(任意)。
策略声明 效果 操作 描述和资源 (ARN) 亚马逊弹性计算云(亚马逊 EC2)
EC2 消息操作
允许
AcknowledgeMessage,
DeleteMessage,
FailMessage,
GetEndpoint,
GetMessages,
SendReply
允许在你的账户中执行 S EC2 ystems Manager 的消息传送操作。
Ec2 描述
允许
* (全部)
允许控制台显示您账户 EC2 中的配置详细信息。
我正在获取角色 ID
允许
GetRole
EC2 允许从
aws:iam::*:role/customer-*和获取您的 IAM IDaws:iam::*:role/customer_*。上传日志事件的实例
允许
创建日志组
允许在以下位置创建日志:
aws:logs:*:*:log-group:i-*创建日志流
允许将日志流式传输到:
aws:logs:*:*:log-group:i-*CW for MMS
允许
DescribeAlarms,
PutMetricAlarm,
PutMetricData
CloudWatch 允许在您的账户中检索警报。
允许 CW 创建或更新警报并将其与指定指标关联。
允许 CW 向您的账户发布指标数据点。
Ec2 标签
允许
CreateTags,
DescribeTags,
允许在您账户中的指定实例上添加、覆盖和描述标签。
明确拒绝 CW 日志
拒绝
DescribeLogStreams,
FilterLogEvents,
GetLogEvents
不允许列出、筛选或获取以下内容的日志流:
aws:logs:*:*:log-group:/mc/*亚马逊 S EC2 imple Systems Manager (SSM)
SSM 操作
允许
DescribeAssociation,
GetDocument,
ListAssociations,
UpdateAssociationStatus,
UpdateInstanceInformation
允许在您的账户中使用各种 SSM 功能。
S3 中的 SSM 访问权限
允许
GetObject,
PutObject,
AbortMultipartUpload,
ListMultipartUploadPorts,
ListBucketMultipartUploads
允许上的 SSM 获取和更新中的对象,中止向中多部分上传的多部分对象,并列出可供多部分上传的端口和存储桶。 EC2
aws:s3:::mc-*-internal-*/aws/ssm*亚马逊 EC2 简单存储服务 (S3) Simple Storage Service
在 S3 中获取对象
允许
获取
列表
允许 EC2 应用程序检索和列出您账户中 S3 存储桶中的对象。
客户加密日志 S3 访问权限
允许
PutObject
允许 EC2 应用程序更新中的对象
aws:s3:::mc-*-logs-*/encrypted/app/*修补数据放置对象 S3
允许
PutObject
允许 EC2 应用程序将修补数据上传到您的 S3 存储桶,网址为
aws:s3:::awsms-a*-patch-data-*将自己的日志上传到 S3
允许
PutObject
允许 EC2 应用程序将自定义日志上传到:
aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*明确拒绝 MC 命名空间 S3 日志
拒绝
GetObject*
看跌*
不允许 EC2 应用程序从以下位置获取或放置任何对象:
aws:s3:::mc-*-logs-*/encrypted/mc*,aws:s3:::mc-*-logs-*/mc/*,aws:s3:::mc-a*-logs-*-audit/*明确拒绝 S3 删除
拒绝
* (全部)
不允许 EC2 应用程序对以下对象执行任何操作:
aws:s3:::mc-a*-logs-*/*,aws:s3:::mc-a*-internal-*/*,明确拒绝 S3 CFN 存储桶
拒绝
Delete*
不允许 EC2 应用程序从以下位置删除任何对象:
aws:s3:::cf-templates-*明确拒绝列出存储桶 S3
拒绝
ListBucket
不允许您列出来自以下内容的任何加密、审核日志或保留 (mc) 对象:
aws:s3:::mc-*-logs-*AWS Secrets Manager 在亚马逊 EC2
趋势云一号秘密访问权限
允许
GetSecretValue
EC2 允许亚马逊访问 Trend Cloud One 迁移的机密:
aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*,aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*AWS Key Management Service 在亚马逊 EC2
Trend Cloud One 解密密钥
允许
Decrypt
EC2 允许亚马逊使用别名/-migration解 AWS KMS 密密钥 ams/eps/cloudone
arn:aws:kms:*:*:alias/ams/eps/cloudone-migration
如果您不熟悉 Amazon IAM 政策,请参阅 IAM 政策概述了解重要信息。
注意
策略通常包含多个语句,其中每个语句授予对不同资源集的权限或在特定条件下授予权限。
