• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 适用于 AWS Systems Manager 的 AWS 托管式策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用案例授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。
有关更多信息,请参阅*《IAM 用户指南》*中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 托管式策略:AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [AWS 托管策略:AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [AWS 托管式策略:AmazonSSMReadOnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [AWS 托管式策略:AWSSystemsManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [AWS 托管式策略:AmazonSSMManagedEC2InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [AWS 托管式策略:SSMQuickSetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS 托管式策略:`AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS 托管式策略:`AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [AWS 托管式策略:AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [AWS 托管式策略:AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [AWS 托管式策略:AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [AWS 托管式策略:AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [AWS 托管式策略:AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [AWS 托管式策略:AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [AWS 托管策略:AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [AWS 托管策略:AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [AWS 托管式策略:AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [AWS 托管式策略:AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [AWS 托管式策略:AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [AWS 托管式策略:AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupSSMManageResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [AWS 托管式策略:AWSQuickSetupSSMLifecycleManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [AWS 托管式策略:AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupSSMDeploymentS3BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS 托管式策略:AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [AWS 托管式策略:AWSQuickSetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [AWS 托管策略:AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [AWS 托管策略:AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [AWS 托管策略:AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [AWS 托管策略:AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [AWS 托管策略:AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [AWS 托管策略:AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [AWS 托管策略:AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [AWS 托管式策略:AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [AWS 托管式策略:AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS 托管式策略:AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [Systems Manager 更新了 AWS 托管策略](#security-iam-awsmanpol-updates)
+ [Systems Manager 的其他托管策略](#policies-list)
## AWS 托管式策略:AmazonSSMServiceRolePolicy
此策略提供对由 AWS Systems Manager 管理或在 Systems Manager 操作中使用的许多 AWS 资源的访问权限。
您不能将 `AmazonSSMServiceRolePolicy` 附加到自己的 AWS Identity and Access Management(IAM)实体。此附加到服务相关角色的策略允许 AWS Systems Manager 代表您执行操作。有关更多信息,请参阅 [使用角色来收集清单并查看 OpsData](using-service-linked-roles-service-action-1.md)。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体启动和分步执行 Run Command 和自动化;检索有关 Run Command 和自动化操作的信息;检索有关 Parameter Store 参数 Change Calendar 日历的信息;更新和检索有关 OpsCenter 资源的 Systems Manager 服务设置的信息;读取有关已应用于资源的标签的信息。
+ `cloudformation`:允许主体检索有关堆栈集操作和堆栈集实例的信息,并删除资源 `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*` 上的堆栈集。允许主体删除与以下资源关联的堆栈实例:
```
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*
```
+ `cloudwatch`:允许主体检索有关 Amazon CloudWatch 警报的信息。
+ `compute-optimizer`:允许主体检索账户向 AWS Compute Optimizer 服务的注册(选择加入)状态,并检索满足特定一组规定要求的 Amazon EC2 实例的建议。
+ `config`:允许主体检索 AWS Config 中的信息修复配置和配置记录器,并确定指定的 AWS Config 规则和 AWS 资源是否合规。
+ `events`:允许主体检索有关 EventBridge 规则的信息;专门为 Systems Manager 服务 (`ssm.amazonaws.com`) 创建 EventBridge 规则和目标;以及删除资源 `arn:aws:events:*:*:rule/SSMExplorerManagedRule` 的规则和目标。
+ `ec2`:允许主体检索有关 Amazon EC2 实例的信息。
+ `iam`:允许主体传递 Systems Manager 服务 (`ssm.amazonaws.com`) 的角色权限。
+ `lambda`:允许主体调用专门配置为供 Systems Manager 使用的 Lambda 函数。
+ `resource-explorer-2`:允许主体检索有关 EC2 实例的数据,以确定每个实例当前是否由 Systems Manager 管理。
允许对 `arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*` 资源执行操作 `resource-explorer-2:CreateManagedView`。
+ `resource-groups`:允许主体从属于某资源组的资源的 AWS Resource Groups中检索列表资源组及其成员。
+ `securityhub`:允许主体检索有关当前账户中的 AWS Security Hub CSPM 中心资源的信息。
+ `states`:允许主体启动和检索专门配置为供 Systems Manager 使用的 AWS Step Functions 的信息。
+ `support`:允许主体检索有关 AWS Trusted Advisor 中的检查和案例的信息。
+ `tag`:允许主体检索有关位于账户的指定 AWS 区域的所有已标记或之前已标记的资源的信息。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》**中的 [AmazonSSMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html)。
## AWS 托管策略:AmazonSSMAutomationRole
您可以将 `AmazonSSMAutomationRole` 策略附加到 IAM 身份。本策略为 AWS Systems Manager 自动化服务提供权限,以运行在自动化运行手册中定义的活动。
**权限详细信息**
该策略包含以下权限。
+ `lambda`:允许主体调用名字以“Automation”开头的 Lambda 函数。这是自动化运行手册在其工作流程中执行 Lambda 函数所必需的。
+ `ec2`:允许主体执行各种 Amazon EC2 操作,包括创建、复制和注销映像;管理快照;启动、运行、停止和终止实例;管理实例状态;以及创建、删除和描述标签。这些权限使自动化运行手册能够在执行期间管理 Amazon EC2 资源。
+ `cloudformation`:允许主体创建、描述、更新和删除 CloudFormation 堆栈。这使自动化运行手册能够通过 CloudFormation 管理基础设施即代码。
+ `ssm`:允许主体使用所有 Systems Manager 操作。这种全面的访问权限是自动化运行手册与所有 Systems Manager 功能进行交互所必需的。
+ `sns`:允许主体向名字以“Automation”开头的 Amazon SNS 主题发布消息。这使自动化运行手册能够在执行期间发送通知。
+ `ssmmessages` – 允许主体打开与 Systems Manager 会话的数据通道。这使得自动化运行手册能够为基于会话的操作建立通信通道。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AmazonSSMAutomationRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html)。
## AWS 托管式策略:AmazonSSMReadOnlyAccess
您可以将 `AmazonSSMReadOnlyAccess` 策略附加到 IAM 身份。此策略授予对 AWS Systems Manager API 操作的只读访问权限,包括 `Describe*`、`Get*` 和 `List*`。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html)。
## AWS 托管式策略:AWSSystemsManagerOpsDataSyncServiceRolePolicy
您不能将 `AWSSystemsManagerOpsDataSyncServiceRolePolicy` 附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 [使用角色为 Explorer 创建 OpsData 和 OpsItems](using-service-linked-roles-service-action-3.md)。
`AWSSystemsManagerOpsDataSyncServiceRolePolicy` 允许 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色创建和更新来自 AWS Security Hub CSPM 调查发现的 OpsItems 及 OpsData。
除非另有说明,否则策略允许 Systems Manager 对所有相关资源(`"Resource": "*"`)完成以下操作:
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]
[1] 根据 Systems Manager 服务的以下条件,仅允许执行 `ssm:GetOpsItem` 和 `ssm:UpdateOpsItem` 操作的权限。
```
"Condition": {
"StringEquals": {
"aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
}
}
```
[2] 仅允许对以下资源执行 `ssm:AddTagsToResource` 操作的权限。
```
arn:aws:ssm:*:*:opsitem/*
```
[3] 仅允许对以下资源执行 `ssm:UpdateServiceSetting` 和 `ssm:GetServiceSetting` 操作的权限。
```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```
[4] 根据 Systems Manager 服务的以下条件,仅拒绝执行 `securityhub:BatchUpdateFindings` 的权限。
```
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Confidence": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Criticality": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.Text": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/RelatedFindings": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Types": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/VerificationState": false
}
}
```
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html)。
## AWS 托管式策略:AmazonSSMManagedEC2InstanceDefaultPolicy
对于想要获得 Systems Manager 功能使用权限的 Amazon EC2 实例,您只应将 `AmazonSSMManagedEC2InstanceDefaultPolicy` 附加到 IAM 角色。您不应将该角色附加到其他 IAM 实体(例如 IAM 用户和 IAM 组)或用于其他目的的 IAM 角色。有关更多信息,请参阅 [使用默认主机管理配置自动管理 EC2 实例](fleet-manager-default-host-management-configuration.md)。
此策略授予的权限允许您 Amazon EC2 实例上的 SSM Agent 与云中的 Systems Manager 服务进行通信以执行各种任务。它还为提供授权令牌的两个服务授予权限,以确保在正确的实例上执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm` – 允许主体检索文档、使用 Run Command 执行命令、使用 Session Manager 建立会话、收集实例清单以及使用 Patch Manager 扫描补丁和补丁合规性的权限。
+ `ssmmessages` – 允许主体针对每个实例访问由 *[Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* 创建的个性化授权令牌。Systems Manager 根据 API 操作中提供的实例 Amazon 资源名称(ARN)验证个性化授权令牌。此访问权限是确保 SSM Agent 在正确的实例上执行 API 操作的必要条件。
+ `ec2messages` – 允许主体针对每个实例访问由 *[Amazon Message Delivery Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* 创建的个性化授权令牌。Systems Manager 根据 API 操作中提供的实例 Amazon 资源名称(ARN)验证个性化授权令牌。此访问权限是确保 SSM Agent 在正确的实例上执行 API 操作的必要条件。
有关 `ssmmessages` 和 `ec2messages` 端点的相关信息,包括两者之间的区别,请参阅 [与代理相关的 API 操作(`ssmmessages` 和 `ec2messages` 端点)](systems-manager-setting-up-messageAPIs.md#message-services)。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AmazonSSMManagedEC2InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html)。
## AWS 托管式策略:SSMQuickSetupRolePolicy
您无法将 SSMQuickSetupRolePolicy 附加至您的 IAM 实体。此策略附加至服务相关角色,允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 [使用角色来维护已配置 Quick Setup 的资源运行状况和一致性](using-service-linked-roles-service-action-5.md)。
此策略授予只读权限,允许 Systems Manager 检查配置运行状况,确保参数和已配置资源的一致使用,并在检测到偏差时修复资源。它还授予创建服务相关角色的管理权限。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体读取 Systems Manager 中的资源数据同步和 SSM 文档信息,包括在委派管理员账户中。这是必需的,这样 Quick Setup 才能确定已配置资源的预期状态。
+ `organizations` – 允许主体读取属于组织的成员账户的信息,如 AWS Organizations 中所配置。这是必需的,这样 Quick Setup 才能识别组织中要执行资源运行状况检查的所有账户。
+ `cloudformation` – 允许主体从 CloudFormation 中读取信息。这是必需的,这样 Quick Setup 才能收集有关用于管理资源状态和 CloudFormation 堆栈集操作的 CloudFormation 堆栈的数据。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupDeploymentRolePolicy
托管式策略 `AWSQuickSetupDeploymentRolePolicy` 支持多种 Quick Setup 配置类型。这些配置类型创建 IAM 角色和自动化,以配置常用 Amazon Web Services 服务和功能,并提供建议的最佳实践。
您可以将 `AWSQuickSetupDeploymentRolePolicy` 附加到 IAM 实体。
此策略授予创建与以下 Quick Setup 配置关联的资源所需的管理权限:
+ [使用 Quick Setup 设置 Amazon EC2 主机管理](quick-setup-host-management.md)
+ [使用 Quick Setup 创建 AWS Config 配置记录器](quick-setup-config.md)
+ [使用 Quick Setup 部署 AWS Config 一致性包](quick-setup-cpack.md)
+ [使用 Quick Setup 设置 DevOps Guru](quick-setup-devops.md)
+ [使用 Quick Setup 部署 Distributor 软件包](quick-setup-distributor.md)
+ [按计划使用 Quick Setup 自动停止和启动 EC2 实例](quick-setup-scheduler.md)
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体通过 CloudFormation 调用时读取、创建、更新和删除名称以“AWSQuickSetup-”或“AWSOperationsPack-”开头的 SSM 文档;读取特定 AWS 自有文档,包括“AWSQuickSetupType-ManageInstanceProfile”、“AWSQuickSetupType-ConfigureDevOpsGuru”和“AWSQuickSetupType-DeployConformancePack”;通过 CloudFormation 调用时创建、更新和删除 Quick Setup 文档与 AWS 自有文档的关联;以及清理标记有 `QuickSetupID` 的旧资源。此权限使 Quick Setup 能够部署和管理自动化工作流程和关联。
+ `cloudformation`:允许主体读取有关 CloudFormation 堆栈和堆栈集的信息;以及创建、更新和删除名称以“StackSet-AWS-QuickSetup-”开头的资源的 CloudFormation 堆栈和更改集。此权限使 Quick Setup 能够管理跨账户和区域的基础设施部署。
+ `config`:允许主体读取有关 AWS Config 合规包及其状态的信息;以及在通过 CloudFormation 调用时,创建和删除名称以“AWS-QuickSetup-”开头的合规包。此权限使 Quick Setup 能够部署合规性监控配置。
+ `events`:允许主体管理名称包含“QuickSetup-”的资源的 EventBridge 规则和目标。此权限使 Quick Setup 能够创建计划的自动化工作流程。
+ `iam`:允许主体为 AWS Config 和 Systems Manager 创建服务相关角色;在通过 CloudFormation 调用时,创建、管理和删除名称以“AWS-QuickSetup-”或“AWSOperationsPack-”开头的 IAM 角色;将这些角色传递给 Systems Manager 和 EventBridge 服务;为这些角色附加特定的 AWS 托管策略;以及使用特定的 Quick Setup 托管策略设置权限边界。此权限使 Quick Setup 能够为其运行创建必要的服务角色。
+ `resource-groups`:允许主体检索资源组查询。此权限使 Quick Setup 能够将特定的资源集作为配置管理的目标。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupPatchPolicyDeploymentRolePolicy
托管式策略 `AWSQuickSetupPatchPolicyDeploymentRolePolicy` 支持 [使用 Quick Setup 补丁策略为组织中的实例配置修补](quick-setup-patch-manager.md) Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
您可以将 `AWSQuickSetupPatchPolicyDeploymentRolePolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许 Quick Setup 创建与补丁策略配置关联的资源。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体管理和删除自动化配置任务所需的 IAM 角色;以及管理自动化角色策略。
+ `cloudformation` – 允许主体读取 CloudFormation 堆栈信息;并控制由 Quick Setup 使用 CloudFormation 堆栈集创建的 CloudFormation 堆栈。
+ `ssm` – 允许主体创建、更新、读取和删除配置任务所需的自动化运行手册;以及创建、更新和删除 State Manager 关联。
+ `resource-groups` – 允许主体检索与 Quick Setup 配置所针对的资源组关联的资源查询。
+ `s3` – 允许主体列出 Amazon S3 存储桶;以及管理用于存储补丁策略访问日志的存储桶。
+ `lambda` – 允许主体管理 AWS Lambda 修复功能,将配置保持在正确的状态。
+ `logs` – 允许主体为 Lambda 配置资源描述和管理日志组。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupPatchPolicyBaselineAccess
托管式策略 `AWSQuickSetupPatchPolicyBaselineAccess` 支持 [使用 Quick Setup 补丁策略为组织中的实例配置修补](quick-setup-patch-manager.md) Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
您可以将 `AWSQuickSetupPatchPolicyBaselineAccess` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略提供只读权限,允许访问由当前 AWS 账户 或组织中的管理员使用 Quick Setup 配置的补丁基准。补丁基准存储在 Amazon S3 存储桶中,可用于修补单个账户或整个组织中的实例。
**权限详细信息**
此策略包含以下权限。
+ `s3` – 允许主体读取 Amazon S3 存储桶中存储的补丁基准覆盖。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupPatchPolicyBaselineAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html)。
## AWS 托管式策略:`AWSSystemsManagerEnableExplorerExecutionPolicy`
托管式策略 `AWSSystemsManagerEnableExplorerExecutionPolicy` 支持启用 Explorer(AWS Systems Manager 中的一项工具)。
您可以将 `AWSSystemsManagerEnableExplorerExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,以便启用 Explorer。这包括更新相关 Systems Manager 服务设置和为 Systems Manager 创建服务相关角色的权限。
**权限详细信息**
该策略包含以下权限。
+ `config` – 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。
+ `iam` – 允许主体帮助启用 Explorer。
+ `ssm` – 允许主体启动启用 Explorer 的自动化工作流。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管是策略参考指南》*中的 [AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html)。
## AWS 托管式策略:`AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
托管式策略 `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` 支持 [使用 Quick Setup 创建 AWS Config 配置记录器](quick-setup-config.md) Quick Setup 配置类型。使用此配置类型,Quick Setup 可以跟踪和记录对为 AWS Config 选择的 AWS 资源类型的更改。它还可让 Quick Setup 为记录的数据配置传送和通知选项。
您可以将 `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许Quick Setup 启用和配置 AWS Config 配置记录。
**权限详细信息**
该策略包含以下权限。
+ `s3` – 允许主体创建和配置 Amazon S3 存储桶以交付配置记录。
+ `sns` - 允许主体列出并创建 Amazon SNS 主题。
+ `config` – 允许主体配置和启动配置记录器;并帮助启用 Explorer。
+ `iam` – 允许主体为 AWS Config 创建、获取和传递服务相关角色;为 Systems Manager 创建服务相关角色;以及帮助启用 Explorer。
+ `ssm` – 允许主体启动启用 Explorer 的自动化工作流。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html)。
## AWS 托管式策略:AWSQuickSetupDevOpsGuruPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupDevOpsGuruPermissionsBoundary` 支持 [使用 Quick Setup 设置 DevOps Guru](quick-setup-devops.md) 类型。配置类型支持由机器学习助力的 Amazon DevOps Guru。DevOps Guru 服务可以帮助提高应用程序的运行性能和可用性。
当您使用 Quick Setup 创建 `AWSQuickSetupDevOpsGuruPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 启用和配置 Amazon DevOps Guru。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体为 DevOps Guru 和 Systems Manager 创建服务相关角色;以及列出帮助启用 Explorer 的角色。
+ `cloudformation` – 允许主体列出并描述 CloudFormation 堆栈。
+ `sns` – 允许主体列出并创建 Amazon SNS 主题。
+ `devops-guru` – 允许主体配置 DevOps Guru;以及添加通知渠道。
+ `config` – 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。
+ `ssm` – 允许主体启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html)。
## AWS 托管式策略:AWSQuickSetupDistributorPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupDistributorPermissionsBoundary` 支持 [使用 Quick Setup 部署 Distributor 软件包](quick-setup-distributor.md) Quick Setup 配置类型。此配置类型有助于使用 Distributor(AWS Systems Manager 中的一项工具)将软件包(例如代理)分发至您的 Amazon Elastic Compute Cloud(Amazon EC2)实例。
当您使用 Quick Setup 创建 `AWSQuickSetupDistributorPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
该策略授予管理权限,允许 Quick Setup 使用 Distributor 将软件包(例如代理)分发至您的 Amazon EC2 实例。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体获取和传递 Distributor 自动化角色;创建、读取、更新和删除默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;将实例管理策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关 IAM 角色和实例配置文件的信息;以及创建默认实例配置文件。
+ `ec2` – 允许主体将默认实例配置文件与 EC2 实例关联起来;以及帮助启用 Explorer。
+ `ssm` – 允许主体启动配置实例和安装软件包的自动化工作流;帮助启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。
+ `config` – 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html)。
## AWS 托管式策略:AWSQuickSetupSSMHostMgmtPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupSSMHostMgmtPermissionsBoundary` 支持 [使用 Quick Setup 设置 Amazon EC2 主机管理](quick-setup-host-management.md) Quick Setup 配置类型。此配置类型用于配置 IAM 角色并启用常用的 Systems Manager 工具来安全地管理您的 Amazon EC2 实例。
当您使用 Quick Setup 创建 `AWSQuickSetupSSMHostMgmtPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许Quick Setup启用和配置安全管理 EC2 实例所需的 Systems Manager 工具。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体获取服务角色并将其传递给自动化。允许主体创建、读取、更新和删除默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;将实例管理策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关 IAM 角色和实例配置文件的信息;以及创建默认实例配置文件。
+ `ec2` – 允许主体将默认实例配置文件与 EC2 实例关联和取消关联。
+ `ssm`:允许主体启动会启用 Explorer 的自动化工作流;读取和更新 Explorer 服务设置;配置实例;以及在实例上启用 Systems Manager 工具。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupSSMHostMgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html)。
## AWS 托管式策略:AWSQuickSetupPatchPolicyPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupPatchPolicyPermissionsBoundary` 支持 [使用 Quick Setup 补丁策略为组织中的实例配置修补](quick-setup-patch-manager.md) Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
当您使用 Quick Setup 创建 `AWSQuickSetupPatchPolicyPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许Quick Setup在Patch Manager(AWS Systems Manager 中的一项工具)中启用和配置补丁策略。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体获得 Patch Manager 自动化角色;将自动化角色传递给 Patch Manager 修补操作;创建默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;`AmazonSSMRoleForInstancesQuickSetup`;将选定的 AWS 托管式策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关实例配置文件和角色的信息;创建默认实例配置文件;以及标记有权读取补丁基准覆盖的角色。
+ `ssm` – 允许主体更新由 Systems Manager 管理的实例角色;管理由 Quick Setup 中创建的 Patch Manager 补丁策略创建的关联;标记补丁策略配置所针对的实例;读取有关实例和修补状态的信息;启动配置、启用和修复实例补丁的自动化工作流;启动启用 Explorer 的自动化工作流;帮助启用 Explorer;以及读取和更新 Explorer 服务设置。
+ `ec2` – 允许主体将默认实例配置文件与 EC2 实例关联和取消关联;标记补丁策略配置所针对的实例;标记补丁策略配置所针对的实例;以及帮助启用 Explorer。
+ `s3` – 允许主体创建和配置 S3 存储桶以存储补丁基准覆盖。
+ `lambda` – 允许主体调用配置补丁的 AWS Lambda 函数,并在删除 Quick Setup 补丁策略配置后执行清理操作。
+ `logs` – 允许主体为 Patch Manager Quick Setup AWS Lambda 函数配置日志记录。
+ `config` – 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html)。
## AWS 托管式策略:AWSQuickSetupSchedulerPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupSchedulerPermissionsBoundary` 支持 [按计划使用 Quick Setup 自动停止和启动 EC2 实例](quick-setup-scheduler.md) Quick Setup 配置类型。此配置类型允许您在指定的时间停止和启动 EC2 实例和其他资源。
当您使用 Quick Setup 创建 `AWSQuickSetupSchedulerPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 在 EC2 实例和其他资源上启用和配置计划操作。
**权限详细信息**
该策略包含以下权限。
+ `iam`:允许主体检索和传递实例管理自动化操作的角色;管理、传递和附加用于 EC2 实例管理的默认实例角色;创建默认实例配置文件;向实例配置文件添加默认实例角色;为 Systems Manager 创建服务相关角色;读取有关 IAM 角色和实例配置文件的信息;将默认实例配置文件与 EC2 实例关联;以及启动自动化工作流以配置实例并在实例上启用 Systems Manager 工具。
+ `ssm` – 允许主体启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。
+ ec2 – 允许主体找到目标实例并按计划启动和停止它们。
+ `config` – 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` — 允许主体通过提供对账户 AWS Trusted Advisor 检查的只读访问权限来帮助启用 Explorer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html)。
## AWS 托管式策略:AWSQuickSetupCFGCPacksPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupCFGCPacksPermissionsBoundary` 支持 [使用 Quick Setup 部署 AWS Config 一致性包](quick-setup-cpack.md) Quick Setup 配置类型。此配置类型部署 AWS Config 一致性包。一致性包是一系列 AWS Config 规则和补救措施,这些规则和补救措施可以作为单个实体进行部署。
当您使用 Quick Setup 创建 `AWSQuickSetupCFGCPacksPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 部署 AWS Config 一致性包。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体为 AWS Config 创建、获取和传递服务相关角色。
+ `sns` – 允许主体在 Amazon SNS 中列出平台应用程序。
+ `config` – 允许主体部署 AWS Config 一致性包;获取一致性包的状态;以及获取有关配置记录器的信息。
+ `ssm` – 允许主体获取有关 SSM 文档和自动化工作流的信息;获取有关资源标签的信息;以及获取相关信息和更新服务设置。
+ `compute-optimizer` – 允许主体获取账户的选择加入状态。
+ `support` – 允许主体获取有关 AWS Trusted Advisor 检查的信息。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupCFGCPacksPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html)。
## AWS 托管策略:AWSQuickSetupStartStopInstancesExecutionPolicy
您可以将 `AWSQuickSetupStartStopInstancesExecutionPolicy` 附加到 IAM 实体。此策略为 Quick Setup 提供权限,以使用 Systems Manager 自动化管理 Amazon EC2 实例的启动和停止。
**权限详细信息**
该策略包含以下权限。
+ `ec2` – 允许主体描述 Amazon EC2 实例、其状态、区域和标签。还允许启动和停止特定 Amazon EC2 实例。
+ `ssm` – 允许主体从 Quick Setup 更改日历获取日历状态、启动关联以及执行自动化文档以进行实例调度。
+ `iam` – 允许主体将 Quick Setup IAM 角色传递给 Systems Manager 以进行自动化执行,并设置条件将服务限制在 ssm.amazonaws.com 和特定资源 ARN 范围内。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html)。
## AWS 托管策略:AWSQuickSetupStartSSMAssociationsExecutionPolicy
此策略授予允许Quick Setup运行 `AWSQuickSetupType-Scheduler-ChangeCalendarState` 自动化运行手册的权限。此运行手册用于管理Quick Setup配置中计划操作的更改日历状态。
您可以将 `AWSQuickSetupStartSSMAssociationsExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体启动专门针对 `AWSQuickSetupType-Scheduler-ChangeCalendarState` 文档的自动化执行。这是Quick Setup中管理计划操作的更改日历状态所必需的。
+ `iam`:允许主体将名称以“AWS-QuickSetup-”开头的角色传递给 Systems Manager 服务。此权限仅限于与更改日历管理相关的特定 SSM 文档。此权限是 Quick Setup 将适当的执行角色传递给自动化过程所必需的。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html)。
## AWS 托管式策略:AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
策略 `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` 通过在管理节点的账户和区域中启动自动化工作流,提供诊断与 Systems Manager 服务交互的节点中问题的权限。
您可以将 `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` 附加到您的 IAM 实体。Systems Manager 还会将此策略附加到一个服务角色,以允许 Systems Manager 代表您执行诊断操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体运行特定的自动化运行手册来诊断节点问题,访问工作流的执行状态,并检索自动化执行详细信息。此策略授予描述自动化执行、描述自动化步骤执行、获取自动化执行详细信息以及开始对诊断相关文档进行自动化执行的权限。
+ `kms`:允许主体在访问 Amazon S3 存储桶中用于诊断操作的加密对象时,使用客户指定的 AWS Key Management Service 密钥进行解密和生成数据密钥。这些权限仅限于标有 `SystemsManagerManaged`,并通过 Amazon S3 服务按照特定加密环境要求使用的密钥。
+ `sts`:允许主体代入诊断执行角色,以在同一账户中运行自动化运行手册。该权限仅限于具有 `AWS-SSM-DiagnosisExecutionRole` 命名模式的角色,且包含确保资源账户与主体账户相匹配的条件。
+ `iam`:允许主体将诊断管理角色传递给 Systems Manager 以运行自动化运行手册。该权限仅限于具有 `AWS-SSM-DiagnosisAdminRole` 命名模式的角色,并且只能传递给 Systems Manager 服务。
+ `s3`:允许主体访问、读取、写入和删除 Amazon S3 存储桶中用于诊断操作的对象。这些权限仅限于具有 `do-not-delete-ssm-diagnosis-` 命名模式的存储桶,且包含确保操作在相同账户内执行的条件。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html)。
## AWS 托管式策略:AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
托管式策略 `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` 提供在目标 AWS 账户和区域中运行自动化运行手册的管理权限,以诊断与 Systems Manager 服务交互的托管节点的问题。
您可以将 `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ec2`:允许主体描述 Amazon EC2 和 Amazon VPC 资源及其配置,以诊断 Systems Manager 服务的问题。这包括描述 VPC、VPC 属性、VPC 端点、子网、安全组、实例、实例状态、网络 ACL 和互联网网关的权限。
+ `ssm`:允许主体运行特定于诊断的自动化运行手册并访问自动化工作流状态和执行元数据。这包括描述自动化步骤执行、描述实例信息、描述自动化执行、描述激活、获取自动化执行详细信息、获取服务设置以及开始对特定的 AWS 非托管 EC2 诊断文档进行自动化执行的权限。
+ `kms`:允许主体在访问 Amazon S3 存储桶中用于诊断操作的加密对象时,使用客户指定的 AWS Key Management Service 密钥进行解密和生成数据密钥。这些权限仅限于标有 `SystemsManagerManaged`,并通过 Amazon S3 服务按照特定加密环境要求用于诊断存储桶的密钥。
+ `iam`:允许主体将诊断执行角色传递给 Systems Manager 以运行自动化文档。该权限仅限于具有 `AWS-SSM-DiagnosisExecutionRole` 命名模式的角色,并且只能传递给 Systems Manager 服务。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html)。
## AWS 托管式策略:AWS-SSM-RemediationAutomation-AdministrationRolePolicy
此策略 `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` 提供的权限是通过执行自动化文档中定义的活动来修复 Systems Manager 服务问题,这主要用于运行自动化文档。此政策允许在进行节点管理的账户和区域中启动自动化工作流程解决连接和配置问题。
您可以将 `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行修复操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体运行特定的自动化运行手册来修复节点问题,访问工作流的执行状态,并检索自动化执行详细信息。此策略授予描述自动化执行、描述自动化步骤执行、获取自动化执行详细信息以及开始对修复相关文档进行自动化执行的权限。
+ `kms`:允许主体在访问 Amazon S3 存储桶中用于修复操作的加密对象时,使用客户指定的 AWS Key Management Service 密钥进行解密和生成数据密钥。这些权限仅限于标有 `SystemsManagerManaged`,并通过 Amazon S3 服务按照特定加密环境要求使用的密钥。
+ `sts`:允许主体代入修复执行角色,以在同一账户中运行自动化运行手册。该权限仅限于具有 `AWS-SSM-RemediationExecutionRole` 命名模式的角色,且包含确保资源账户与主体账户相匹配的条件。
+ `iam`:允许主体将修复管理角色传递给 Systems Manager 以运行自动化运行手册。该权限仅限于具有 `AWS-SSM-RemediationAdminRole` 命名模式的角色,并且只能传递给 Systems Manager 服务。
+ `s3`:允许主体访问、读取、写入和删除 Amazon S3 存储桶中用于修复操作的对象。这些权限仅限于具有 `do-not-delete-ssm-diagnosis-` 命名模式的存储桶,且包含确保操作在相同账户内执行的条件。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html)。
## AWS 托管式策略:AWS-SSM-RemediationAutomation-ExecutionRolePolicy
托管式策略 `AWS-SSM-RemediationAutomation-ExecutionRolePolicy` 提供在特定目标账户和区域中运行自动化运行手册的权限,以修复与 Systems Manager 服务交互的托管节点的网络和连接问题。此策略支持自动化文档中定义的修复活动,主要用于运行自动化文档来解决连接和配置问题。
可以将 策略附加到您的 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行修复操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体检索有关自动化执行及其步骤执行的信息,并启动特定的修复自动化运行手册,包括 `AWS-OrchestrateUnmanagedEC2Actions` 和 `AWS-RemediateSSMAgent` 文档。此策略授予描述自动化执行、描述自动化步骤执行、获取自动化执行详细信息以及开始对修复相关文档进行自动化执行的权限。
+ `ec2`:允许主体描述和修改 Amazon VPC 网络资源以修复连接问题。这包括:
+ 描述 Amazon VPC 属性、子网、Amazon VPC 端点和安全组。
+ 使用所需标签,为 Systems Manager 服务(`ssm`、`ssmmessages` 和 `ec2messages`)创建 Amazon VPC 端点。
+ 修改 Amazon VPC 属性以启用 DNS 支持和主机名。
+ 创建和管理带有特定标签的安全组,以用于访问 Amazon VPC 端点。
+ 使用相应标签,授权和撤消对 HTTPS 访问的安全组规则。
+ 在资源创建期间,在 Amazon VPC 端点、安全组和安全组规则上创建标签。
+ `kms`:允许主体在访问 Amazon S3 存储桶中用于修复操作的加密对象时,使用客户指定的 AWS Key Management Service 密钥进行解密和生成数据密钥。这些权限仅限于标有 `SystemsManagerManaged`,并通过 Amazon S3 服务按照特定加密环境要求使用的密钥。
+ `iam`:允许主体将修复执行角色传递给 Systems Manager 以运行自动化运行手册。该权限仅限于具有 `AWS-SSM-RemediationExecutionRole` 命名模式的角色,并且只能传递给 Systems Manager 服务。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupSSMManageResourcesExecutionPolicy
此策略授予允许Quick Setup运行 `AWSQuickSetupType-SSM-SetupResources` 自动化运行手册的权限。此运行手册会为Quick Setup关联创建 IAM 角色,而这些角色又由 `AWSQuickSetupType-SSM` 部署创建。它还授予在Quick Setup删除操作期间清理关联的 Amazon S3 存储桶的权限。
您可以将该策略附加到您的 IAM 实体。Systems Manager 还会将此策略附加到一个服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `iam`:允许主体列出和管理用于Quick Setup Systems Manager Explorer 操作的 IAM 角色;查看、附加和分离用于Quick Setup和 Systems Manager Explorer 的 IAM 策略。需要这些权限,Quick Setup才能创建其某些配置操作所需的角色。
+ `s3`:允许主体在主体账户中检索有关 Amazon S3 存储桶中对象的信息,并从中删除专门用于Quick Setup配置操作的对象。这是必需的,以便可以移除配置后不再需要的 S3 对象。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html)。
## AWS 托管式策略:AWSQuickSetupSSMLifecycleManagementExecutionPolicy
`AWSQuickSetupSSMLifecycleManagementExecutionPolicy` 策略授予管理权限,允许Quick Setup在 Systems Manager 中的Quick Setup部署期间对生命周期事件运行 CloudFormation 自定义资源。
您可以将此策略附加到您的 IAM 实体。Systems Manager 还会将此策略附加到一个服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体获取有关自动化执行的信息并启动自动化执行以设置某些Quick Setup操作。
+ `iam`:允许主体从 IAM 传递角色来设置某些Quick Setup资源。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html)。
## AWS 托管式策略:AWSQuickSetupSSMDeploymentRolePolicy
托管式策略 `AWSQuickSetupSSMDeploymentRolePolicy` 授予管理权限,允许Quick Setup创建在 Systems Manager 加入过程中使用的资源。
虽然您可以手动将此策略附加到您的 IAM 实体,但不建议这样做。Quick Setup会创建实体来将此策略附加到一个服务角色,从而允许 Systems Manager 代表您执行操作。
此策略与 [`SSMQuickSetupRolePolicy` 策略](using-service-linked-roles-service-action-5.md)无关,后者用于为 `AWSServiceRoleForSSMQuickSetup` 服务相关角色提供权限。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体管理使用 AWS CloudFormation 模板和一组特定的 SSM 文档创建的某些资源的关联;管理用于通过 CloudFormation 模板诊断和修复托管节点的角色和角色策略;以及附加和删除Quick Setup生命周期事件的策略
+ `iam`:允许主体标记角色和传递 Systems Manager 服务和 Lambda 服务的角色权限;并传递诊断操作的角色权限。
+ `lambda`:允许主体使用 CloudFormation 模板标记和管理主体账户中的 Quick Setup 生命周期的功能。
+ `cloudformation` – 允许主体从 CloudFormation 中读取信息。这是必需的,这样 Quick Setup 才能收集有关用于管理资源状态和 CloudFormation 堆栈集操作的 CloudFormation 堆栈的数据。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWSQuickSetupSSMDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupSSMDeploymentS3BucketRolePolicy
`AWSQuickSetupSSMDeploymentS3BucketRolePolicy` 策略授予以下权限:列出账户中的所有 S3 存储桶;以及管理和检索有关通过 CloudFormation 模板管理的主体账户中特定存储桶的信息。
您可以将 `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `s3`:允许主体列出账户中的所有 S3 存储桶;以及管理和检索有关通过 CloudFormation 模板管理的主体账户中特定存储桶的信息。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWSQuickSetupSSMDeploymentS3BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupEnableDHMCExecutionPolicy
此策略授予管理权限,允许主体运行 `AWSQuickSetupType-EnableDHMC` 自动化运行手册,从而启用默认主机管理配置。默认主机管理配置设置允许 Systems Manager 自动将 Amazon EC2 实例作为*托管实例*进行管理。托管实例是一个配置为与 Systems Manager 一起使用的 EC2 实例。此策略还授予创建 IAM 角色的权限,这些角色在 Systems Manager 服务设置中指定为 SSM Agent 的默认角色。
您可以将 `AWSQuickSetupEnableDHMCExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体更新并获取有关 Systems Manager 服务设置的信息。
+ `iam`:允许主体创建和检索有关Quick Setup操作的 IAM 角色的信息。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》**中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html)。
## AWS 托管式策略:AWSQuickSetupEnableAREXExecutionPolicy
此策略授予管理权限来允许 Systems Manager 运行 `AWSQuickSetupType-EnableAREX` 自动化运行手册,从而使 AWS 资源探索器能够与 Systems Manager 一起使用。资源探索器让您能够通过类似于 Internet 搜索引擎的搜索体验来查看您账户中的资源。该策略还会授予管理资源探索器索引和视图的权限。
您可以将 `AWSQuickSetupEnableAREXExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `iam`:允许主体在 AWS Identity and Access Management (IAM) 服务中创建服务相关角色。
+ `resource-explorer-2`:允许主体检索有关资源探索器视图和索引的信息;创建资源探索器视图和索引;更改Quick Setup中显示的索引的索引类型。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》**中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html)。
## AWS 托管式策略:AWSQuickSetupManagedInstanceProfileExecutionPolicy
此策略授予管理权限来允许 Systems Manager 为 Quick Setup 工具创建默认 IAM 实例配置文件,并将其附加到尚未附加实例配置文件的 Amazon EC2 实例。该策略还授予 Systems Manager 将权限附加到现有实例配置文件的能力。这样做是为了确保 Systems Manager 与 EC2 实例上的 SSM Agent 通信所需的权限就绪。
您可以将 `AWSQuickSetupManagedInstanceProfileExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体启动与Quick Setup过程关联的自动化工作流。
+ `ec2`:允许主体将 IAM 实例配置文件附加到由Quick Setup管理的 EC2 实例。
+ `iam`:允许主体从 IAM 创建、更新和检索有关在Quick Setup过程中使用的角色的信息;创建 IAM 实例配置文件;将 `AmazonSSMManagedInstanceCore` 托管式策略附加到 IAM 实例配置文件。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html)。
## AWS 托管策略:AWSQuickSetupManageJITNAResourcesExecutionPolicy
托管策略 `AWSQuickSetupManageJITNAResourcesExecutionPolicy` 使 Quick Setup(Systems Manager 中的一个工具)能够设置即时节点访问。
您可以将 `AWSQuickSetupManageJITNAResourcesExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许 Systems Manager 创建与即时节点访问关联的资源。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体获取和更新服务设置,该设置为即时节点访问指定身份提供者。
+ `iam`:允许主体创建、标记和获取角色,为即时节点访问托管策略附加角色策略,并为即时节点访问和通知创建与服务相关的角色。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html)。
## AWS 托管策略:AWSQuickSetupJITNADeploymentRolePolicy
托管策略 `AWSQuickSetupJITNADeploymentRolePolicy` 允许 Quick Setup 部署必要的配置类型,用于设置即时节点访问。
您可以将 `AWSQuickSetupJITNADeploymentRolePolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许 Systems Manager 创建与即时节点访问关联的资源。
**权限详细信息**
该策略包含以下权限。
+ `cloudformation`:允许主体创建、更新、删除和读取 CloudFormation 堆栈。
+ `ssm`:允许主体创建、删除、更新和读取由 CloudFormation 调用的 State Manager 关联。
+ `iam`:允许主体创建、删除、读取和标记由 CloudFormation 调用的 IAM 角色。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSQuickSetupJITNADeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html)。
## AWS 托管策略:AWSSystemsManagerJustInTimeAccessServicePolicy
托管策略 `AWSSystemsManagerJustInTimeAccessServicePolicy` 提供对 AWS Systems Manager 即时访问框架管理或使用的 AWS 资源的访问权限。此策略更新添加了自动化执行标记权限,使客户能够将操作员权限范围缩小到特定标签。
您不能将 `AWSSystemsManagerJustInTimeAccessServicePolicy` 附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 [使用角色启用即时节点访问](using-service-linked-roles-service-action-8.md)。
此策略授予允许访问与即时节点访问关联的资源的管理权限。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体创建和管理 OpsItems、为 OpsItems 和自动化执行添加标签、获取和更新 OpsItems、检索和描述文档、描述 OpsItems 和会话、列出托管实例的文档和标签。
+ `ssm-guiconnect`:允许主体列出连接。
+ `identitystore`:允许主体获取用户和组 ID、描述用户和列出组成员资格。
+ `sso-directory`:允许主体描述用户并确定用户是否为组的成员。
+ `sso`:允许主体描述注册的区域并列出实例和目录关联。
+ `cloudwatch`:允许主体将指标数据放入 `AWS/SSM/JustInTimeAccess` 命名空间。
+ `ec2`:允许主体描述标签。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html)。
## AWS 托管策略:AWSSystemsManagerJustInTimeAccessTokenPolicy
托管式策略 `AWSSystemsManagerJustInTimeAccessTokenPolicy` 为用户提供权限,使其能够通过Session Manager和 Systems Manager GUI Connect RDP 连接建立与 Amazon EC2 实例和托管实例的安全连接,这属于即时节点访问工作流的一部分。
您可以将 `AWSSystemsManagerJustInTimeAccessTokenPolicy` 附加到 IAM 实体。
此策略授予贡献者权限,允许用户启动和管理安全会话、建立 RDP 连接以及为即时节点访问执行必要的加密操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm` – 允许主体使用 SSM-SessionManagerRunShell 文档在 Amazon EC2 实例和托管实例上启动 Session Manager 会话。此外,还允许终止和恢复会话、检索命令调用详细信息,以及通过 Systems Manager GUI Connect 调用时向实例发送用于 SSO 用户设置的命令。此外,当通过 Systems Manager GUI Connect 调用时,还允许启动 RDP 连接的端口转发会话。
+ `ssmmessages` – 允许主体打开数据通道,以便在Session Manager会话期间进行安全通信。
+ `ssm-guiconnect` – 允许主体启动、获取详细信息和取消与实例的 Systems Manager GUI Connect RDP 连接。
+ `kms` – 允许主体生成用于Session Manager加密的数据密钥,并为 RDP 连接创建授权。这些权限仅限于标记为 `SystemsManagerJustInTimeNodeAccessManaged=true` 的 AWS KMS 密钥。授权创建进一步限制为只能通过 Systems Manager GUI Connect 服务使用。
+ `sso` – 允许主体在通过 Systems Manager GUI Connect 调用时列出目录关联。这是 RDP SSO 用户设置所必需的。
+ `identitystore` – 允许主体在通过 Systems Manager GUI Connect 调用时描述身份存储中的用户。这是 RDP SSO 用户设置所必需的。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html)。
## AWS 托管策略:AWSSystemsManagerJustInTimeAccessTokenSessionPolicy
托管策略 `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` 允许 Systems Manager 将缩小范围的权限应用于即时节点访问令牌。
您可以将 `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` 附加到 IAM 实体。
此策略授予管理权限,允许 Systems Manager 缩小即时节点访问令牌的权限范围。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体使用 `SSM-SessionManagerRunShell` 文档开始 Session Manager 会话。同样,当首先通过 `ssm-guiconnect` 调用时,使用 `AWS-StartPortForwardingSession` 文档启动会话,列出命令调用,并使用 `AWSSSO-CreateSSOUser` 文档发送命令。
+ `ssm-guiconnect`:允许主体取消、获取和启动所有资源的连接。
+ `kms`:当使用 AWS 服务通过 `ssm-guiconnect` 调用时,允许主体为使用 `SystemsManagerJustInTimeNodeAccessManaged` 标记的密钥创建授权和生成数据密钥。
+ `sso`:允许主体在通过 `ssm-guiconnect` 调用时列出目录关联。
+ `identitystore`:允许主体在通过 `ssm-guiconnect` 调用时描述用户。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html)。
## AWS 托管策略:AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy
托管策略 `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` 允许 Systems Manager 将来自委派管理员账户的拒绝访问策略共享给成员账户,并在多个 AWS 区域 账户之间复制这些策略。
您可以将 `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` 附加到 IAM 实体。
此策略提供 Systems Manager 共享和创建拒绝访问策略必要的管理权限。这样可以确保拒绝访问策略适用于 AWS Organizations 组织中的所有账户和针对即时节点访问配置的区域。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体管理 SSM 文档和资源策略。
+ `ssm-quicksetup`:允许主体读取 Quick Setup 配置管理器。
+ `organizations`:允许主体列出 AWS Organizations 组织的详细信息和委派管理员。
+ `ram`:允许主体创建、标记和描述资源共享。
+ `iam`:允许主体描述服务角色。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html)。
## AWS 托管策略:AWSSystemsManagerNotificationsServicePolicy
托管策略 `AWSSystemsManagerNotificationsServicePolicy` 允许 Systems Manager 向访问请求审批者发送有关即时节点访问请求的电子邮件通知。
您不能将 `AWSSystemsManagerJustInTimeAccessServicePolicy` 附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 [使用角色发送即时节点访问请求通知](using-service-linked-roles-service-action-9.md)。
此策略授予管理权限,允许 Systems Manager 向访问请求审批者发送有关即时节点访问请求的电子邮件通知。
**权限详细信息**
该策略包含以下权限。
+ `identitystore`:允许主体列出和描述用户和组成员资格。
+ `sso`:允许主体列出实例、目录和描述注册区域。
+ `sso-directory`:允许主体描述用户和列出组中的成员。
+ `iam`:允许主体获取有关角色的信息。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html)。
## AWS 托管式策略:AWS-SSM-Automation-DiagnosisBucketPolicy
托管式策略 `AWS-SSM-Automation-DiagnosisBucketPolicy` 通过允许访问用于诊断和修复问题的 S3 存储桶,提供诊断与 AWS Systems Manager 服务交互的节点的问题的权限。
您可以将 `AWS-SSM-Automation-DiagnosisBucketPolicy` 策略附加到 IAM 身份。Systems Manager 还会将此策略附加到 IAM 角色,以允许 Systems Manager 代表您执行诊断操作。
**权限详细信息**
该策略包含以下权限。
+ `s3`:允许主体访问并将对象写入 Amazon S3 存储桶。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html)。
## AWS 托管式策略:AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
托管式策略 `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` 通过提供组织特定的权限,为操作账户提供诊断节点问题的权限。
您可以将 `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` 附加到您的 IAM 身份。Systems Manager 还会将此策略附加到 IAM 角色,以允许 Systems Manager 代表您执行诊断操作。
**权限详细信息**
该策略包含以下权限。
+ `organizations`:允许主体列出组织的根,并获取成员账户以确定目标账户。
+ `sts`:允许主体代入修复执行角色,以在同一组织内跨账户和区域运行 SSM 自动化文档。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html)。
## AWS 托管式策略:AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
托管式策略 `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` 通过提供组织特定的权限来为操作账户提供诊断节点问题的权限。
您可以将 `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` 策略附加到 IAM 身份。Systems Manager 还会将此策略附加到 IAM 角色,以允许 Systems Manager 代表您执行诊断操作。
**权限详细信息**
该策略包含以下权限。
+ `organizations`:允许主体列出组织的根,并获取成员账户以确定目标账户。
+ `sts`:允许主体代入诊断执行角色,以在同一组织内跨账户和区域运行 SSM 自动化文档。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html)。
## Systems Manager 更新了 AWS 托管策略
在下表中,查看自该服务于 2021 年 3 月 12 日开始跟踪这些更改以来,有关 Systems Manager 的 AWS 托管策略更新的详细信息。有关 Systems Manager 服务的其他托管策略的信息,请参阅本主题后面的 [Systems Manager 的其他托管策略](#policies-list)。要获得有关此页面更改的自动提示,请订阅 Systems Manager [文档历史记录](systems-manager-release-history.md) 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 更新现有策略 | Systems Manager 添加了 `cloudformation:TagResource` 和 `cloudformation:UntagResource` 权限。这些权限允许创建 CloudFormation 堆栈的 Automation 运行手册在资源中添加和移除标签。 | 2026 年 3 月 20 日 |
| [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – 更新了托管式策略 | Systems Manager 更新了托管式策略,添加了额外的 EC2 和 SSM 权限,旨在增强诊断功能。该策略现在包括描述 EC2 实例状态和网络 ACL 以及 SSM 激活和服务设置的权限,为排查托管式节点问题提供了更全面的诊断信息。 | 2025 年 12 月 19 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – 更新了托管式策略 | Systems Manager 更新了托管式策略 `AWSQuickSetupDeploymentRolePolicy`,添加了对另外两个 SSM 文档的支持:`AWSQuickSetupType-ConfigureDevOpsGuru` 和 `AWSQuickSetupType-DeployConformancePack`。这些新增功能使 Quick Setup 可以通过策略部署 DevOps Guru 配置和合规性包。 | 2025 年 12 月 15 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 更新现有策略 | Systems Manager 更新了托管式策略 `AWSSystemsManagerJustInTimeAccessTokenPolicy`。语句 (`SID`) `TerminateAndResumeSession` 已重命名为`TerminateAndResumeSessionAndOpenDataChannel`,现在包含 `ssmmessages:OpenDataChannel` 操作,将会话管理和数据通道权限合并到一个语句中。 | 2025 年 9 月 25 日 |
| 更新了托管策略: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/security-iam-awsmanpol.html) | Systems Manager 更新了三个托管式策略,增加了对在其他 Systems Manager 资源(包括特定自动化运行手册和 SSM 命令文档)上启动自动化执行的支持。 | 2025 年 9 月 12 日 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – 更新了托管策略 | Systems Manager 更新了托管式策略,以优化Quick Setup调度程序配置的权限。该策略现在为启动和停止 Amazon EC2 实例、访问更改日历以及执行自动化文档提供了更具体的权限,并增强了安全条件。 | 2025 年 9 月 12 日 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – 更新了托管式策略 | Systems Manager 更新了托管式策略,将自动化文档从 `AWSQuickSetupType-StartSSMAssociations` 更改为 `AWSQuickSetupType-Scheduler-ChangeCalendarState`。此更新将策略的目的从启动 SSM 关联更改为管理计划操作的更改日历状态。 | 2025 年 9 月 12 日 |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 更新现有策略 | Systems Manager 添加了新的权限,允许自动化运行手册建立基于会话的操作的通信通道。 为资源 `arn:*:ssm:*:*:session/*` 添加了 `ssmmessages:OpenDataChannel` 权限。 | 2025 年 9 月 11 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy):更新了托管策略 | Systems Manager 更新了托管策略以添加自动化执行标记权限。该服务需要使用 `SystemsManagerJustInTimeNodeAccessManaged=true` 标签标记自动化执行,以使客户能够将操作员权限范围缩小到特定标签。 | 2025 年 8 月 25 日 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy):新策略 | Systems Manager 添加了允许 Quick Setup 运行 `AWSQuickSetupType-StartSSMAssociations` 自动化运行手册的新策略。此运行手册用于启动通过 Quick Setup 配置创建的 State Manager 关联。 | 2025 年 8 月 12 日 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy):新策略 | Systems Manager 添加了允许 Quick Setup 按计划启动和停止 Amazon EC2 实例的新策略。此策略为 Quick Setup 调度器配置类型提供必要的权限,以根据定义的计划管理实例状态。 | 2025 年 8 月 12 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy):文档更新 | Systems Manager 更新了 `AWSQuickSetupDeploymentRolePolicy` 托管策略,以授予对其他资源的权限。此外,`AWSQuickSetupDeploymentRolePolicy` 的文档已更新,其中更详细地说明了此策略授予 Quick Setup 配置管理操作的权限。 | 2025 年 8 月 12 日 |
| [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy):更新现有策略 | Systems Manager 更新了托管策略 ,要求同时拥有“文档”和“自动执行”资源类型的权限,从而改善 ssm:StartAutomationExecution API 的安全状况。更新后的策略为修复自动化执行提供了更加全面和详细的权限,包括改善对网络修复功能的描述,提供更具体的 Amazon VPC 端点创建权限、详细的安全组管理权限,以及增强对修复操作的资源标记控制。 | 2025 年 7 月 16 日 |
| [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy):更新现有策略 | Systems Manager 更新了托管策略 ,以支持 API 授权改进实现修复自动化操作。更新后的策略强化了执行自动化文档中定义活动的权限,并改进了修复工作流程的安全控制和资源访问模式。 | 2025 年 7 月 16 日 |
| [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy):更新现有策略 | Systems Manager 更新了托管策略 ,从而为诊断自动化执行提供更加详细和准确的权限。更新后的策略包括改善对 Amazon EC2 和 Amazon VPC 资源访问的描述,提供更加具体的 SSM 自动化权限,以及通过适当资源限制改善对 AWS KMS 和 IAM 权限的描述。 | 2025 年 7 月 16 日 |
| [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy):更新现有策略 | Systems Manager 更新了托管策略 ,从而为诊断自动化操作提供更加具体的权限和安全条件。更新后的策略增强了对 AWS KMS 密钥使用、Amazon S3 存储桶访问和角色代入的安全控制,并采用更加严格的资源条件和账户级别限制。 | 2025 年 7 月 16 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy):策略更新 | Systems Manager 增加了此 `AWSQuickSetupDeploymentRolePolicy` 托管式策略的权限,用于访问 Amazon 拥有的运行手册 [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content)。借助此权限,Quick Setup 将可以使用托管式策略而不是内联策略创建关联。 | 2025 年 7 月 14 日 |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole):更新文档 | Systems Manager 为现有 `AmazonSSMAutomationRole` 策略添加了全面的文档,该策略为 Systems Manager 自动化服务提供权限,以运行自动化运行手册中定义的活动。 | 2025 年 7 月 15 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy):策略更新 | Systems Manager 增加了允许 Systems Manager 标记由 AWS Resource Access Manager 共享的资源的权限,从而支持即时节点访问。 | 2025 年 4 月 30 日 |
| [AAWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy):策略更新 | Systems Manager 添加了权限,允许 Systems Manager 标记为即时节点访问而创建的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 将缩小范围的权限应用于即时节点访问令牌。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 向访问请求审批者发送有关即时节点访问请求的电子邮件通知。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 将审批策略复制到不同的区域。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 生成用于即时节点访问的访问令牌。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy):新策略 | Systems Manager 添加了一项新策略,为由 Systems Manager 即时节点访问功能管理或使用的 AWS 资源提供权限。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy):新策略 | Systems Manager 添加了一项新策略,以允许 Quick Setup(Systems Manager 中的一项工具)创建即时节点访问所需的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy):新策略 | Systems Manager 添加了一个新策略,该策略提供了权限以允许 Quick Setup 部署设置即时节点访问所需的配置类型。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy):策略更新 | Systems Manager 增加了允许 Systems Manager 标记由 AWS Resource Access Manager 共享的资源的权限,从而支持即时节点访问。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy):策略更新 | Systems Manager 添加了权限,允许 Systems Manager 标记为即时节点访问而创建的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 将缩小范围的权限应用于即时节点访问令牌。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 向访问请求审批者发送有关即时节点访问请求的电子邮件通知。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 将审批策略复制到不同的区域。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 生成用于即时节点访问的访问令牌。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy):新策略 | Systems Manager 添加了一项新策略,为由 Systems Manager 即时节点访问功能管理或使用的 AWS 资源提供权限。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy):新策略 | Systems Manager 添加了一项新策略,以允许 Quick Setup(Systems Manager 中的一项工具)创建即时节点访问所需的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy):新策略 | Systems Manager 添加了一个新策略,该策略提供了权限以允许 Quick Setup 部署设置即时节点访问所需的配置类型。 | 2025 年 4 月 30 日 |
| [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy):新策略 | Systems Manager 添加了一项新策略,通过提供组织特定的权限来为操作账户提供诊断节点问题的权限。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy):新策略 | Systems Manager 添加了一项新策略,通过提供组织特定的权限来为操作账户提供诊断节点问题的权限。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy):新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而诊断目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy):对现有策略的更新 | Systems Manager 添加了新的权限,允许 AWS 资源探索器收集有关 Amazon EC2 实例的详细信息并在新 Systems Manager 控制面板的小组件中显示结果。 | 2024 年 11 月 21 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy):对现有策略的更新 | Systems Manager 已更新托管式策略 SSMQuickSetupRolePolicy。此更新允许关联的服务相关角色 AWSServiceRoleForSSMQuickSetup 管理资源数据同步。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而诊断目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而诊断目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而修复目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而修复目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| [AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy):策略更新 | Systems Manager 添加了权限以允许 Systems Manager 标记出为统一控制台创建的 IAM 角色和 Lambda。 | 2025 年 5 月 7 日 |
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy):新策略 | Systems Manager 添加了一项新策略来支持在Quick Setup中运行操作,该操作会为Quick Setup关联创建 IAM 角色,而这些角色又由 AWSQuickSetupType-SSM 部署创建。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy):新策略 | ystems Manager 添加了一项新策略来支持Quick Setup在Quick Setup部署期间对生命周期事件运行 CloudFormation 自定义资源。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持授予管理权限,允许Quick Setup创建为 Systems Manager 加入过程中使用的资源。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持管理和检索有关通过 CloudFormation 模板管理的主体账户中特定存储桶的信息 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy):新策略 | Systems Manager 正在推出一项新策略来允许Quick Setup创建一个 IAM 角色,该角色本身使用现有的 [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)。此策略包含 SSM Agent 与 Systems Manager 服务通信所需的所有权限。该新策略还允许修改 Systems Manager 服务设置。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy):新策略 | Systems Manager 添加了一项新策略来允许Quick Setup为 AWS 资源探索器创建服务相关角色,用于访问资源探索器视图和聚合器索引。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy):新策略 | Systems Manager 添加了一项新策略来允许Quick Setup创建默认Quick Setup实例配置文件,并将其附加到任何缺少关联实例配置文件的 Amazon EC2 实例。此新策略还允许Quick Setup将权限附加到现有配置文件,以确保已授予所有必需的 Systems Manager 权限。 | 2024 年 11 月 21 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy):对现有策略的更新 | Systems Manager 增加了新的权限,以允许 Quick Setup 检查其创建的其他 AWS CloudFormation 堆栈集的运行状况。 | 2024 年 8 月 13 日 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy):对现有策略的更新 | Systems Manager 已针对 AmazonSSMManagedEC2InstanceDefaultPolicy 向 JSON 策略添加语句 ID(Sid)。这些 Sid 针对每条策略语句的目的提供内联描述。 | 2024 年 7 月 18 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy):新策略 | Systems Manager 添加了新策略,允许 Quick Setup 检查已部署的资源的运行状况并修复偏离原始配置的实例。 | 2024 年 7 月 3 日 |
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy):新策略 | Systems Manager 添加了新策略以支持多种快速设置功能配置类型,这些配置类型可创建 IAM 角色和自动化,进而使用推荐的最佳实践配置常用的 Amazon Web Services 服务和功能。 | 2024 年 7 月 3 日 |
| [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy) – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 创建与 Patch Manager 补丁策略 Quick Setup 配置关联的资源。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess) – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 以只读权限访问 Patch Manager 中的补丁基准。 | 2024 年 7 月 3 日 |
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy) – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 授予启用 Explorer 的管理权限。 | 2024 年 7 月 3 日 |
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy) – 新策略 | Systems Manager 添加了允许 Quick Setup 启用和配置 AWS Config 配置记录的新策略。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary) – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 启用和配置 Amazon DevOps Guru。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary) – 新策略 | Systems Manager 添加了新策略,允许Quick Setup启用和配置 Distributor(AWS Systems Manager 中的一项工具)。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary) – 新策略 | Systems Manager 添加了新策略,允许Quick Setup启用和配置 Systems Manager 工具,从而安全地管理 Amazon EC2 实例。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary) – 新策略 | Systems Manager 添加了新策略,允许Quick Setup在Patch Manager(AWS Systems Manager 中的一项工具)中启用和配置补丁策略。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary) – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 在 Amazon EC2 实例和其他资源上启用和配置计划操作。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary) – 新策略 | Systems Manager 添加了允许 Quick Setup 部署 AWS Config 一致性包的新策略。 | 2024 年 7 月 3 日 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy):对现有策略的更新 | OpsCenter 更新了策略,以提高 Explorer 管理 OpsData 相关操作的服务相关角色内服务代码的安全性。 | 2023 年 7 月 3 日 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy):新策略 | Systems Manager 添加了新策略,允许 Amazon EC2 实例上的 Systems Manager 功能,而不使用 IAM 实例配置文件。 | 2022 年 8 月 18 日 |
| [AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – 更新到现有策略 | Systems Manager 添加了新的权限,允许 Explorer 在您从 Explorer 或 OpsCenter 开启 Security Hub CSPM 时创建托管式规则。添加了新的权限,以便在允许 OpsData 之前检查 config 和 compute-optimizer 是否满足必需的要求。 | 2021 年 4 月 27 日 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy):新策略 | Systems Manager 添加了新策略,用于从 Explorer 和 OpsCenter 中的 Security Hub CSPM 调查发现创建并更新 OpsItems 及 OpsData。 | 2021 年 4 月 27 日 |
| `AmazonSSMServiceRolePolicy` – 更新到现有策略 | Systems Manager 添加了新的权限,允许在 Explorer 中查看多个账户和 AWS 区域 的聚合 OpsData 及 OpsItems 详细信息。 | 2021 年 3 月 24 日 |
| Systems Manager 已开启跟踪更改 | Systems Manager 为其 AWS 托管式策略开启了跟踪更改。 | 2021 年 3 月 12 日 |
## Systems Manager 的其他托管策略
除了本主题前面介绍的托管策略外,Systems Manager 还支持以下策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html) – 允许访问以查看自动化执行并将批准决策发送到等待批准的自动化的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html) – 允许 SSM Agent 代表用户访问 Directory Service 以处理托管式节点加入域的请求的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) – 授予 Systems Manager API 和文档完全访问权限的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html) – 为维护时段提供 Systems Manager API 权限的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) – 允许节点使用 Systems Manager 服务核心功能的 AWS 托管式策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html) – 为补丁关联操作提供对子实例的访问权限的 AWS 托管式策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) – 授予 Systems Manager 只读 API 操作(例如 `Get*` 和 `List*`)访问权限的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html) – 为在 Systems Manager 中创建和更新运维洞察 *OpsItems* 提供权限的 AWS 托管策略。其借助服务相关角色 [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md) 提供权限。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html) – 授予 Systems Manager 发现 AWS 账户 信息的权限的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html) – 此策略不再受支持,不应使用。在相应的位置,使用 `AmazonSSMManagedInstanceCore` 策略在 EC2 实例上允许 Systems Manager 服务的核心功能。有关信息,请参阅[配置 Systems Manager 所需的实例权限](setup-instance-permissions.md)。