• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# AWS Systems Manager 中的安全性
云安全性一直是 Amazon Web Services 的重中之重。作为 AWS 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。
安全性是 AWS 和您的共同责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性:
+ **云的安全性**——AWS 负责保护在 AWS 云 中运行 AWS 服务 的基础设施。AWS 还提供可安全使用的服务。第三方审核员定期测试和验证我们的安全性的有效性,作为 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)的一部分。要了解适用于 AWS Systems Manager 的合规性计划,请参阅[合规性计划范围内的 AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云中的安全性** - 您的责任由您使用的 AWS 服务 决定。您还需要对其它因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
此文档将帮助您了解如何在使用 AWS Systems Manager 时应用责任共担模型。以下主题说明如何配置 Systems Manager 以实现您的安全性和合规性目标。您还将了解如何使用其他 AWS 服务以帮助您监控和保护 Systems Manager 资源。
**Topics**
+ [AWS Systems Manager 中的数据保护](data-protection.md)
+ [AWS Systems Manager 中的数据边界](data-perimeters.md)
+ [对 AWS Systems Manager 进行身份和访问管理](security-iam.md)
+ [将服务关联角色用于 Systems Manager](using-service-linked-roles.md)
+ [AWS Systems Manager 中的日志记录和监控](logging-and-monitoring.md)
+ [AWS Systems Manager 的合规性验证](compliance-validation.md)
+ [AWS Systems Manager 中的故障恢复能力](disaster-recovery-resiliency.md)
+ [AWS Systems Manager 中的基础结构安全性](infrastructure-security.md)
+ [AWS Systems Manager 中的配置和漏洞分析](vulnerability-analysis-and-management.md)
+ [Systems Manager 的安全最佳实践](security-best-practices.md)
# AWS Systems Manager 中的数据保护
数据保护指在数据*传输*(发往和离开 Systems Manager 时)和*处于静态*(存储 AWS 数据中心内)期间保护数据。
AWS [责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于 AWS Systems Manager 中的数据保护。如该模式中所述,AWS 负责保护运行所有 AWS 云 的全球基础架构。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management(IAM)设置单个用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 使用 SSL/TLS 与 AWS 资源进行通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用 AWS CloudTrail 设置 API 和用户活动日记账记录。有关使用 CloudTrail 跟踪来捕获 AWS 活动的信息,请参阅《AWS CloudTrail 用户指南》**中的[使用 CloudTrail 跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅[《美国联邦信息处理标准(FIPS)第 140-3 版》](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括使用控制台、API、AWS CLI 或 AWS SDK 处理 Systems Manager 或其他 AWS 服务时。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
## 数据加密
### 静态加密
**Parameter Store 参数**
您可以在 Parameter Store(AWS Systems Manager 中的一项工具)中创建的参数类型包括 `String`、`StringList` 和 `SecureString`。
所有参数,无论其类型如何,传输过程中和静止状态下都会加密。在传输过程中,使用传输层安全性协议(TLS)对参数进行加密,以便为 API 请求创建安全的 HTTPS 连接。在静态状态下,使用 AWS Key Management Service(AWS KMS)中的 AWS 拥有的密钥 对参数进行加密。有关 AWS 拥有的密钥 加密的更多信息,请参阅《AWS Key Management Service Developer Guide》**中的 [AWS 拥有的密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。
`SecureString` 类型支持其他加密选项,建议用于所有敏感数据。您可以从以下类型的 AWS KMS 密钥中进行选择,用于加密和解密 `SecureString` 参数的值:
+ 您账户的 AWS 托管式密钥
+ 您在账户中创建的客户自主管理型密钥(CMK)
+ 其他 AWS 账户 与您共享的 CMK
有关 AWS KMS 加密的更多信息,请参阅《AWS Key Management Service Developer Guide》[https://docs.aws.amazon.com/kms/latest/developerguide/](https://docs.aws.amazon.com/kms/latest/developerguide/)。
**S3 存储桶中的内容**
作为 Systems Manager 操作的一部分,您可以选择将数据上传或存储到一个或多个 Amazon Simple Storage Service (Amazon S3) 存储桶中。
有关 S3 存储桶加密的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)和 [Amazon S3 中的数据保护](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)。
以下是在 Systems Manager 活动中,您可以上传或存储到 S3 存储桶中的数据类型。
+ Run Command(AWS Systems Manager 中的一项工具)中命令的输出结果
+ Distributor(AWS Systems Manager 中的一项工具)中的软件包
+ Patch Manager(AWS Systems Manager 中的一项工具)中的修补操作日志
+ Patch Manager 补丁覆盖列表
+ 要在 Automation(AWS Systems Manager 中的一项工具)的运行手册工作流中运行的脚本或 Ansible Playbook
+ 要与 Compliance(AWS Systems Manager 中的一项工具)中的扫描结合使用的 Chef InSpec 配置文件
+ AWS CloudTrail 日志
+ Session Manager(AWS Systems Manager 中的一项工具)中的会话历史记录日志
+ 来自 Explorer(AWS Systems Manager 中的一项工具)的报告
+ 来自 OpsCenter(AWS Systems Manager 中的一项工具)的 OpsData
+ 用于自动化工作流的 AWS CloudFormation 模板
+ 来自资源数据同步扫描的合规性数据
+ 在托管式节点上的State Manager(AWS Systems Manager 中的一项工具)中创建或编辑关联的请求的输出
+ 可使用 AWS 托管 SSM 文档 `AWS-RunDocument` 运行的自定义 Systems Manager 文档(SSM 文档)
**CloudWatch Logs 日志组**
作为 Systems Manager 操作的一部分,您可以选择将数据流式传输到一个或多个 Amazon CloudWatch Logs 日志组。
有关 CloudWatch Logs 日志组加密的信息,请参阅 *Amazon CloudWatch Logs 用户指南*中的[使用 AWS Key Management Service 加密 CloudWatch Logs 中的日志数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)。
以下是在 Systems Manager 活动中,您可以流式传输到 CloudWatch Logs 日志组中的数据类型。
+ Run Command 命令的输出
+ 在自动化运行手册中使用 `aws:executeScript` 操作的脚本运行的输出
+ Session Manager 会话历史记录日志
+ 托管式节点上 SSM Agent 中的日志
### 传输中加密
建议您使用传输层安全性 (TLS) 等加密协议加密在客户端和节点之间传输的敏感数据。
Systems Manager 为传输中的数据加密提供以下支持。
**与 Systems Manager API 端点的连接**
Systems Manager API 端点仅支持基于 HTTPS 的安全连接。使用 AWS 管理控制台、AWS SDK 或 Systems Manager API 管理 Systems Manager 资源时,所有通信都使用传输层安全性 (TLS) 进行加密。有关 API 端点的完整列表,请参阅**《Amazon Web Services 一般参考》中的 [AWS 服务 endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
**托管式实例**
AWS 在 Amazon Elastic Compute Cloud (Amazon EC2) 实例之间提供安全的私有连接。此外,我们使用带 256 位加密的 AEAD 算法,自动对同一 Virtual Private Cloud (VPC) 或对等 VPC 中支持实例之间的传输中流量进行加密。此加密功能将使用基础硬件的分载功能,对网络性能不会造成影响。支持的实例包括:C5n、G4、I3en、M5dn、M5n、P3dn、R5dn 和 R5n。
**Session Manager 会话**
默认情况下,Session Manager 使用 TLS 1.3 来加密您的账户中用户的本地计算机与您的 EC2 实例之间传输的会话数据。您还可以选择使用已经在 AWS KMS 中创建的 AWS KMS key 来进一步加密传输中的数据。AWS KMS 加密支持 `Standard_Stream`、`InteractiveCommands` 和 `NonInteractiveCommands` 会话类型。
**Run Command访问**
默认情况下,使用 Run Command 对节点进行远程访问所用的加密协议为 TLS 1.3,连接创建请求所用的签名版本为 SigV4。
## 互联网络流量隐私
您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在托管式节点中的资源之间创建边界,并控制它们、本地网络和互联网之间的流量。有关详细信息,请参阅[使用适用于 Systems Manager 的 VPC 端点提高 EC2 实例的安全性](setup-create-vpc.md)。
有关 Amazon Virtual Private Cloud 安全性的更多信息,请参阅 *Amazon VPC 用户指南*中的 [Amazon VPC 中的互联网络流量隐私](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)。
# AWS Systems Manager 中的数据边界
数据边界是 AWS 环境中的一组预防性防护机制,可帮助确保只有来自预期网络和资源的可信身份才能访问您的数据。在实施数据边界控制时,可能需要包括 Systems Manager 代表您访问的 AWS 服务自有资源的例外情况。
**示例场景:SSM 文档类别 S3 存储桶**
Systems Manager 访问 AWS 托管的 S3 存储桶,以检索 [AWS Systems Manager 文档](documents.md) 的文档类别信息。此存储桶包含有关文档类别的元数据,可帮助在控制台中组织和分类 SSM 文档。
资源 ARN 模式
`arn:aws:s3:::ssm-document-categories-region`
区域示例:
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`
访问时
当您在 Systems Manager 控制台中查看 SSM 文档或使用检索文档元数据和类别的 API 时,可以访问此资源。
存储的数据
存储桶包含带有文档类别定义和元数据的 JSON 文件。此数据为只读数据,不包含客户特定信息。
使用的身份
Systems Manager 使用 AWS 服务凭证代表您的请求访问此资源。
所需的权限
对存储桶内容的 `s3:GetObject`。
**数据边界策略注意事项**
使用具有 `aws:ResourceOrgID` 等条件的服务控制策略(SCP)或 VPC 端点策略实施数据边界控制时,需要为 Systems Manager 所需的 AWS 服务自有资源创建例外情况。
例如,如果您使用具有 `aws:ResourceOrgID` 的 SCP 来限制对组织外部资源的访问,则需要为 SSM 文档类别存储桶添加例外情况。
该策略需要访问组织外部的资源,但要包含对相应 S3 存储桶的例外情况,以便 Systems Manager 能够继续正常运行。
同样,如果您使用 VPC 端点策略来限制 S3 访问,则需要确保可通过您的 VPC 端点访问 SSM 文档类别存储桶。
**更多信息**
有关 AWS 中的数据边界的更多信息,请参阅以下主题:
+ [AWS 上的数据边界](https://aws.amazon.com/identity/data-perimeters-on-aws/)。
+ 《IAM 用户指南》**中的[使用数据边界建立权限防护机制](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html)
+ GitHub 上的 *AWS Samples* 存储库中的 [Service-specific guidance: AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md) 和 [Service-owned resources](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md)
# 对 AWS Systems Manager 进行身份和访问管理
AWS Identity and Access Management(IAM)是一项,AWS 服务可以帮助管理员安全地控制对 AWS 资源的访问。IAM 管理员控制谁可以通过*身份验证*(登录)和*授权*(具有权限)来使用 Systems Manager 资源。IAM 是一项无需额外费用即可使用的。AWS 服务
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
+ [AWS Systems Manager 如何与 IAM 协同工作](security_iam_service-with-iam.md)
+ [AWS Systems Manager 基于身份的策略示例](security_iam_id-based-policy-examples.md)
+ [适用于 AWS Systems Manager 的 AWS 托管式策略](security-iam-awsmanpol.md)
+ [排除 AWS Systems Manager 身份和访问问题](security_iam_troubleshoot.md)
## 受众
您使用 AWS Identity and Access Management(IAM)的方式因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[排除 AWS Systems Manager 身份和访问问题](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[AWS Systems Manager 如何与 IAM 协同工作](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[AWS Systems Manager 基于身份的策略示例](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您使用身份凭证登录 AWS 的方法。您必须作为 AWS 账户根用户、IAM 用户或通过担任 IAM 角色进行身份验证。
您可以使用来自 AWS IAM Identity Center(IAM Identity Center)等身份源的凭证、单点登录身份验证或 Google/Facebook 凭证,以联合身份进行登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问,AWS 提供了 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的 AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 根用户
当您创建 AWS 账户 时,最初使用的是一个对所有 AWS 服务和资源拥有完全访问权限的登录身份(称为 AWS 账户*根用户*)。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅*《IAM 用户指南》*中的[要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证访问 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来担任角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您将创建策略并将其附加到 AWS 身份或资源,以控制 AWS 中的访问。策略在与身份或资源关联时定义权限。当主体发出请求时,AWS 会评估这些策略。大多数策略在 AWS 中存储为 JSON 文档。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
有关适用于 Systems Manager 的 AWS 托管式策略的信息,请参阅 [AWS Systems Manager 托管策略](security_iam_service-with-iam.md#managed-policies)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用来自 IAM 的 AWS 托管策略。
### 策略条件键
用户和角色可以执行的操作以及可以执行这些操作的资源,可能会受到特定*条件*的进一步限制。
在 JSON 策略文档中,`Condition` 元素(或 `Condition` 块)可以指定语句生效的条件。`Condition` 元素是可选的。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如 `StringEquals` 或 `StringNotLike`)的条件表达式,让策略中的条件与请求中的值相匹配。
如果您在一个语句中指定多个 `Condition` 元素,或在单个 `Condition` 元素中指定多个键,则 AWS 使用逻辑 `AND` 运算评估它们。如果您为单个条件键指定多个值,则 AWS 使用逻辑 `OR` 运算来评估条件。在授予语句的权限之前必须满足所有的条件。
在指定条件时,您也可以使用占位符变量。例如,只有在使用 IAM 用户名标记 IAM 用户时,您才能为其授予访问资源的权限。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 策略元素:变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。
AWS 支持全局条件键和特定于服务的条件键。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
**重要**
如果使用 Systems Manager Automation,我们建议您不要在策略中使用 [aws:SourceIp](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) 条件键。此条件键的行为取决于多种因素,包括是否提供了用于 Automation 运行手册执行的 IAM 角色以及运行手册中使用的 Automation 操作。因此,条件键可能会产生意外的行为。因此,我们建议您不要使用它。
Systems Manager 支持众多自有的条件键。有关更多信息,请参阅《Service Authorization Reference》**中的 [Condition keys for AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)。《Service Authorization Reference》**中的 [Resource types defined by AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) 列出了可用于 Systems Manager 特定条件键的操作和资源。
如果策略必须依赖于 Systems Manager 服务拥有的服务主体名称,建议使用 [`aws:PrincipalServiceNamesList` 多值条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys)而不是 `aws:PrincipalServiceName` 条件键来检查其是否存在。`aws:PrincipalServiceName` 条件键仅包含服务主体名称列表中的一个条目,并且该条目不一定是您预期的服务主体名称。以下 `Condition` 块演示了检查 `ssm.amazonaws.com` 是否存在的过程。
```
{
"Condition": {
"ForAnyValue:StringEquals": {
"aws:PrincipalServiceNamesList": "ssm.amazonaws.com"
}
}
}
```
要查看 Systems Manager 基于身份的策略的示例,请参阅 [AWS Systems Manager 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
### 访问控制列表(ACL)
访问控制列表(ACL)控制哪些主体(账户成员、用户或角色)有权访问资源。ACL 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
Amazon S3、AWS WAF 和 Amazon VPC 是支持 ACL 的服务示例。要了解有关 ACL 的更多信息,请参阅《Amazon Simple Storage Service 开发人员指南》**中的[访问控制列表(ACL)概览](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他策略类型
AWS 支持额外的策略类型,这些策略类型可以设置由更常用的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略(SCP)**– 指定 AWS Organizations 中组织或组织单元的最大权限。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略(RCP)**– 设置对账户中资源的最大可用权限。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[资源控制策略(RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解 AWS 如何确定在涉及多种策略类型时是否允许请求,请参阅 *IAM 用户指南*中的[策略评测逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# AWS Systems Manager 如何与 IAM 协同工作
在使用 AWS Identity and Access Management (IAM) 管理对 AWS Systems Manager 的访问权限之前,您应该了解哪些 IAM 功能可用于 Systems Manager。要大致了解 Systems Manager 和其他 AWS 服务如何与 IAM 一起使用,请参阅《IAM 用户指南》**中的[与 IAM 一起使用的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [Systems Manager 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [Systems Manager 基于资源的策略](#security_iam_service-with-iam-resource-based-policies)
+ [基于 Systems Manager 标签的授权](#security_iam_service-with-iam-tags)
+ [Systems Manager IAM 角色](#security_iam_service-with-iam-roles)
## Systems Manager 基于身份的策略
使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Systems Manager 支持特定的操作、资源和条件密钥。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)**。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Systems Manager 中的策略操作在操作前使用以下前缀:`ssm:`。例如,要授予某人使用 Systems Manager `PutParameter` API 操作创建 Systems Manager 参数(SSM 参数)的权限,您应将 `ssm:PutParameter` 操作纳入其策略中。策略语句必须包括 `Action` 或 `NotAction` 元素。Systems Manager 定义了自己的一组操作,这些操作描述了可使用该服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"ssm:action1",
"ssm:action2"
]
```
**注意**
AWS Systems Manager 中以下工具在操作之前使用不同的前缀。
AWS AppConfig 在操作之前使用前缀 `appconfig:`。
Incident Manager 在操作之前使用前缀 `ssm-incidents:` 或 `ssm-contacts:`。
Systems Manager GUI Connect 在操作之前使用前缀 `ssm-guiconnect:`。
Quick Setup 在操作之前使用前缀 `ssm-quicksetup:`。
您也可以使用通配符(\$1)指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,包括以下操作:
```
"Action": "ssm:Describe*"
```
要查看 Systems Manager 操作的列表,请参阅《服务授权参考》中的 [AWS Systems Manager 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)。**
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
例如,Systems Manager 维护时段资源具有以下 ARN 格式。
```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```
要在美国东部(俄亥俄州)区域的语句中指定 mw-0c50858d01EXAMPLE 维护时段,请使用与以下类似的 ARN。
```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```
要指定属于特定账户的所有维护时段,请使用通配符 (\$1)。
```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```
对于 `Parameter Store` API 操作,可以使用层次结构名称和 AWS Identity and Access Management (IAM) 策略提供或限制对层次结构的一个级别中所有参数的访问权限,如下所示。
```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```
某些 Systems Manager 操作(例如用于创建资源的那些操作)不能在特定资源上执行。在这些情况下,您必须使用通配符(\$1)。
```
"Resource": "*"
```
有些 Systems Manager API 操作接受多个资源。要在单个语句中指定多个资源,请使用逗号分隔其 ARN,如下所示。
```
"Resource": [
"resource1",
"resource2"
```
**注意**
大多数 AWS 服务将 ARN 中的冒号(:)或正斜杠(/)视为同一个字符。不过,Systems Manager 在资源模式和规则中要求精确匹配。创建事件模式时,请务必使用正确的 ARN 字符,以使其与资源的 ARN 匹配。
下表介绍了 Systems Manager 支持的资源类型的 ARN 格式。
**注意**
请注意以下 ARN 格式的例外情况。
AWS Systems Manager 中以下工具在操作之前使用不同的前缀。
AWS AppConfig 在操作之前使用前缀 `appconfig:`。
Incident Manager 在操作之前使用前缀 `ssm-incidents:` 或 `ssm-contacts:`。
Systems Manager GUI Connect 在操作之前使用前缀 `ssm-guiconnect`。
Amazon 拥有的文档和自动化定义资源,以及 Amazon 和第三方来源提供的公有参数,都未在 ARN 格式中包含账户 ID。例如:
SSM 文档 `AWS-RunPatchBaseline`:
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline`
自动化运行手册 `AWS-ConfigureMaintenanceWindows`:
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
公有参数 `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`:
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
有关这些第三方资源类型的更多信息,请参阅以下主题:
[使用文档](documents-using.md)
[运行由 Systems Manager Automation 支持的自动化操作](running-simple-automations.md)
[使用 Parameter Store 中的公有参数](parameter-store-public-parameters.md)
Quick Setup 在操作之前使用前缀 `ssm-quicksetup:`。
| 资源类型 | ARN 格式 |
| --- | --- |
| 应用程序 (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id |
| 关联 | arn:aws:ssm:region:account-id:association/association-id |
| 自动化执行 | arn:aws:ssm:region:account-id:automation-execution/automation-execution-id |
| 自动化定义 (使用版本子资源) | arn:aws:ssm:*region*:*account-id*:automation-definition/*automation-definition-id*:*version-id* **1** |
| 配置文件 (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/configurationprofile/configurationprofile-id |
| 联系人 (Incident Manager) | arn:aws:ssm-contacts:*region*:*account-id*:contact/*contact-alias* |
| 部署策略 (AWS AppConfig) | arn:aws:appconfig:region:account-id:deploymentstrategy/deploymentstrategy-id |
| 文档 | arn:aws:ssm:*region*:*account-id*:document/*document-name* |
| 环境 (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/environment/environment-id |
| 事件 | arn:aws:ssm-incidents:*region*:*account-id*:incident-record/*response-plan-name*/*incident-id* |
| 维护时段 | arn:aws:ssm:*region*:*account-id*:maintenancewindow/*window-id* |
| 托管式节点 | arn:aws:ssm:*region*:*account-id*:managed-instance/*managed-node-id* |
| 托管式节点清单 | arn:aws:ssm:region:account-id:managed-instance-inventory/managed-node-id |
| OpsItem | arn:aws:ssm:region:account-id:opsitem/OpsItem-id |
| 参数 | 一级参数: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/security_iam_service-with-iam.html) 使用分层结构命名的参数: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/security_iam_service-with-iam.html) |
| 补丁基准 | arn:aws:ssm:*region*:*account-id*:patchbaseline/*patch-baseline-id* |
| 响应计划 | arn:aws:ssm-incidents:*region*:*account-id*:response-plan/*response-plan-name* |
| 会话 | arn:aws:ssm:*region*:*account-id*:session/*session-id* **3** |
| 所有 Systems Manager 资源 | arn:aws:ssm:\$1 |
| 指定 AWS 账户在指定 AWS 区域拥有的所有 Systems Manager 资源 | arn:aws:ssm:*region*:*account-id*:\$1 |
**注意**
自动化定义资源已被弃用。请更新您的 IAM 策略,进而包括允许对 `document` 和 `automation-execution` 资源执行 `ssm:StartAutomationExecution` 或 `ssm:StartChangeRequestExecution`。要查看设置 IAM 权限的最佳实践和示例,请参阅我们的[设置基于身份的策略示例](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html)用户指南。
**1** 对于自动化定义,Systems Manager 支持二级资源*版本 ID*。在 AWS 中,这些二级资源称作*子资源*。通过指定自动化定义资源的版本子资源,您可以提供对自动化定义的特定版本的访问权限。例如,您可能需要确保在节点管理中只使用最新版本的自动化定义。
**2** 要组织和管理参数,可以使用分层结构为参数创建名称。在分层结构中,参数名称可以包含使用正斜杠定义的路径。您可以命名最多包含十五个级别的参数资源。建议创建反映环境中现有层次结构的层次结构。有关更多信息,请参阅 [在 Systems Manager 中创建 Parameter Store 参数](sysman-paramstore-su-create.md)。
**3** 在大多数情况下,会话 ID 是用启动会话的账户用户的 ID 构造的,外加字母数字后缀。例如:
```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```
但是,如果用户 ID 不可用,则改为通过以下方式构造 ARN:
```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```
有关 ARN 格式的更多信息,请参阅《Amazon Web Services 一般参考》**中的 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
有关 Systems Manager 资源类型及其 ARN 的列表,请参阅《服务授权参考》中的 [AWS Systems Manager 定义的资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies)。**要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 [AWS Systems Manager 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)。
### Systems Manager 的条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅《IAM 用户指南》**中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
有关 Systems Manager 条件密钥的列表,请参阅《服务授权参考》中的 [AWS Systems Manager 的条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)。**要了解您可以对哪些操作和资源使用条件键,请参阅 [AWS Systems Manager 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)。
有关使用 `ssm:resourceTag/*` 条件键的信息,请参阅以下主题:
+ [通过 SSM Agent 限制对根级别命令的访问](ssm-agent-restrict-root-level-commands.md)
+ [根据标签限制 Run Command 访问](run-command-setting-up.md#tag-based-access)
+ [基于实例标签限制会话访问](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)
有关使用 `ssm:Recursive`、`ssm:Policies` 和 `ssm:Overwrite` 条件键的信息,请参阅 [防止访问 Parameter Store API 操作](parameter-store-policy-conditions.md)。
### 示例
要查看 Systems Manager 基于身份的策略的示例,请参阅 [AWS Systems Manager 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## Systems Manager 基于资源的策略
其他 AWS 服务 [如 Amazon Simple Storage Service(Amazon S3)] 支持基于资源的权限策略。例如,您可以将权限策略挂载到 S3 存储桶以管理对该存储桶的访问权限。
Systems Manager 不支持基于资源的策略。
## 基于 Systems Manager 标签的授权
您可以将标签附加到 Systems Manager 资源或将请求中的标签传递到 Systems Manager。要基于标签控制访问,您需要使用 `ssm:resourceTag/key-name`、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 条件密钥在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。在创建或更新下列资源类型时,您可以向其中添加标签:
+ 文档
+ 托管式节点
+ 维护时段
+ 参数
+ 补丁基准
+ OpsItem
要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅 [基于标签查看 Systems Manager 文档](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags)。
## Systems Manager IAM 角色
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是 AWS 账户中具有特定权限的实体。
### 将临时凭证用于 Systems Manager
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以调用 AWS Security Token Service (AWS STS) API 操作(如 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html))以获得临时安全凭证。
Systems Manager 支持使用临时凭证。
### 服务关联角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其它服务中的资源以代表您完成操作。服务相关角色列在您的 IAM 账户中,并归相应的服务所有。管理员可以查看但不能编辑服务相关角色的权限。
Systems Manager 支持服务关联角色。有关创建或管理 Systems Manager 服务关联角色的详细信息,请参阅 [将服务关联角色用于 Systems Manager](using-service-linked-roles.md)。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的 IAM 账户中,并归相应的账户所有。这意味着管理员可以更改此角色的权限。但是,这样做可能会中断服务的功能。
Systems Manager 支持服务角色。
### 在 Systems Manager 中选择 IAM 角色
要让 Systems Manager 与您的托管式节点交互,您必须选择一个角色以允许 Systems Manager 代表您访问节点。如果您之前已经创建了一个服务角色或服务相关角色,则 Systems Manager 会为您提供一个角色列表供您选择。选择一个允许访问以启动和停止托管式节点的角色很重要。
要访问 EC2 实例,您必须配置实例权限。有关信息,请参阅[配置 Systems Manager 所需的实例权限](setup-instance-permissions.md)。
要访问[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)中的非 EC2 节点,AWS 账户 需要的角色是 IAM 服务角色。有关信息,请参阅[在混合和多云环境中创建 Systems Manager 所需的 IAM 服务角色](hybrid-multicloud-service-role.md)。
自动化工作流可以在服务角色(或代入角色)的上下文下启动。这样服务就能够代表您执行操作。如果未指定代入角色,则自动化将使用已调用执行的用户的上下文。不过,在特定情况下需要您为自动化指定服务角色。有关更多信息,请参阅 [为自动化配置服务角色(担任角色)访问权限](automation-setup.md#automation-setup-configure-role)。
### AWS Systems Manager 托管策略
AWS 通过提供由 AWS 创建和管理的独立 IAM 策略来满足许多常用使用案例的要求。这些 AWS *托管策略* 授予常见使用案例的必要权限,这样您不必调查需要哪些权限。(此外,您还可以创建您自己的自定义 IAM 策略,以授予 Systems Manager 操作和资源的相关权限。)
有关 Systems Manager 托管策略的更多信息,请参阅 [适用于 AWS Systems Manager 的 AWS 托管式策略](security-iam-awsmanpol.md)。
有关托管策略的一般信息,请参阅《IAM 用户指南**》中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
# AWS Systems Manager 基于身份的策略示例
默认情况下,AWS Identity and Access Management(IAM)实体(用户和角色)没有创建或修改 AWS Systems Manager 资源的权限。他们还无法使用 Systems Manager 控制台、AWS Command Line Interface (AWS CLI) 或 AWS API 执行任务。管理员必须创建 IAM policy,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的用户或组。
以下示例权限策略允许用户删除位于美国东部(俄亥俄)(us-east-2)AWS 区域的名称以 **MyDocument-** 开头的文档。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"ssm:DeleteDocument"
],
"Resource" : [
"arn:aws:ssm:us-east-1:111122223333:document/MyDocument-*"
]
}
]
}
```
------
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》中的[创建 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [示例:使用 Systems Manager 控制台的权限](#security_iam_id-based-policy-examples-console)
+ [示例:允许用户查看其自有权限的权限](#security_iam_id-based-policy-examples-view-own-permissions)
+ [示例:读取和描述单个参数的权限](#security_iam_id-based-policy-examples-view-one-parameter)
+ [防止跨服务混淆代理](cross-service-confused-deputy-prevention.md)
+ [客户管理型策略示例](#customer-managed-policies)
+ [基于标签查看 Systems Manager 文档](#security_iam_id-based-policy-examples-view-documents-tags)
## 策略最佳实践
基于身份的策略确定某个人是否可以创建、访问或删除您账户中的 Systems Manager 资源。这些操作可能会使 AWS 账户 产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **AWS 托管式策略及转向最低权限许可入门**:要开始向用户和工作负载授予权限,请使用 *AWS 托管式策略*来为许多常见使用场景授予权限。您可以在 AWS 账户 中找到这些策略。建议通过定义特定于您的使用场景的 AWS 客户托管式策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的 AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果通过特定 AWS 服务(例如 CloudFormation)使用服务操作,您还可以使用条件来授予对服务操作的访问权限。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证(MFA)**:如果您所处的场景要求您的 AWS 账户 中有 IAM 用户或根用户,请启用 MFA 来提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 示例:使用 Systems Manager 控制台的权限
要访问 Systems Manager 控制台,您必须具有一组最低的权限。这些权限必须允许您列出和查看有关您 AWS 账户中的 Systems Manager 资源和其他资源的详细信息。
如果您创建的基于身份的策略比所需的最低权限更严格,则无法为具有该策略的 IAM 实体(用户或角色)按预期运行该控制台。
对于只需要调用 AWS CLI 或 AWS API 的用户,无需为其提供最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。
为确保用户和角色仍然可以使用 Systems Manager 控制台,还请将 [AmazonSSMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) 或 [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) AWS 托管策略附加到实体。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
## 示例:允许用户查看其自有权限的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上完成此操作或者以编程方式使用 AWS CLI 或 AWS API 所需的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 示例:读取和描述单个参数的权限
**Example 读取并描述参数**
通过将以下策略附加到身份,您可以授予参数的访问权限。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:DescribeParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/parameter-name"
}
]
}
```
# 防止跨服务混淆代理
混淆代理问题是一个安全性问题,即不具有某操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在 AWS 中,跨服务模拟可能会导致混淆代理问题。一个服务(*呼叫服务*)调用另一项服务(*所谓的服务*)时,可能会发生跨服务模拟。可以操纵调用服务,使用其权限以在其他情况下该服务不应有访问权限的方式对另一个客户的资源进行操作。为防止这种情况,AWS 提供可帮助您保护所有服务的数据的工具,而这些服务中的服务主体有权限访问账户中的资源。
我们建议在资源策略中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全局条件上下文键,进而限制 AWS Systems Manager 为其他服务提供的资源访问权限。如果 `aws:SourceArn` 值不包含账户 ID,例如 S3 存储桶的 Amazon 资源名称(ARN),则您必须使用两个全局条件上下文键来限制权限。如果同时使用全局条件上下文密钥和包含账户 ID 的 `aws:SourceArn` 值,则 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户在同一策略语句中使用时,必须使用相同的账户 ID。如果您只希望将一个资源与跨服务访问相关联,请使用 `aws:SourceArn`。如果您想允许该账户中的任何资源与跨服务使用操作相关联,请使用。`aws:SourceAccount`
以下几节提供 AWS Systems Manager 工具的策略示例。
## 混合激活策略示例
对于在[混合激活](activations.md)中使用的服务角色,`aws:SourceArn` 的值必须是 AWS 账户 的 ARN。请务必指定您在其中创建混合激活的 ARN 中的 AWS 区域。如果您不知道资源的完整 ARN,或正在指定多个资源,请针对 ARN 未知部分使用带有通配符 (`*`) 的 `aws:SourceArn` 全局上下文条件键。例如 `arn:aws:ssm:*:region:123456789012:*`。
以下示例演示了如何通过为自动化使用 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键,以防止在美国东部(俄亥俄州)区域(us-east-2)出现混淆代理问题。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
------
## 资源数据同步策略示例
利用 Systems Manager Inventory、Explorer 和 Compliance,您能够创建资源数据同步,将运营数据 (OpsData) 集中存储在 Amazon Simple Storage Service 中央存储桶中。如果希望使用 AWS Key Management Service (AWS KMS) 来加密资源数据同步,则必须创建包含以下策略的新键,或更新现有键并向其添加此策略。此策略中的 `aws:SourceArn` 和 `aws:SourceAccount` 条件键可防止混淆代理问题。以下为策略示例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ssm-access-policy",
"Statement": [
{
"Sid": "ssm-access-policy-statement",
"Action": [
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id",
"Condition": {
"StringLike": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM"
}
}
}
]
}
```
------
**注意**
策略示例中的 ARN 让系统能够加密来自除 AWS Security Hub CSPM 之外所有来源的 OpsData。如果您需要加密 Security Hub CSPM 数据,例如使用 Explorer 收集 Security Hub CSPM 数据,则必须附加指定以下 ARN 的额外策略:
`"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"`
## 客户管理型策略示例
您可以创建在自己的 AWS 账户中管理的独立策略。我们将它们称作*客户托管策略*。随后可以将这些策略附加到您 AWS 账户中的多个主要委托人实体。将策略附加到主体实体时,便向实体授予了策略中定义的权限。有关更多信息,请参阅 *[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*中的[客户托管式策略示例](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)。
以下用户策略示例授予执行各种 Systems Manager 操作的权限。可以使用它们限制对您的 IAM 实体(用户和角色)的 Systems Manager 访问。在 Systems Manager API、AWS 开发工具包或 AWS CLI 中执行操作时,这些策略将会发挥作用。对于使用控制台的用户,需要授予特定于控制台的其他权限。有关更多信息,请参阅 [示例:使用 Systems Manager 控制台的权限](#security_iam_id-based-policy-examples-console)。
**注意**
所有示例都使用 美国西部(俄勒冈)区域 (us-west-2) 和虚构的账户 ID。不应在 AWS 公有文档(以 `AWS-*` 开头的文档)的 Amazon Resource Name (ARN) 中指定账户 ID。
**示例**
+ [示例 1:允许用户在单个区域中执行 Systems Manager 操作](#identity-based-policies-example-1)
+ [示例 2:允许用户列出某个区域的文档](#identity-based-policies-example-2)
### 示例 1:允许用户在单个区域中执行 Systems Manager 操作
以下示例授予在美国东部(俄亥俄)区域(us-east-2)中执行 Systems Manager 操作的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:*"
]
}
]
}
```
------
### 示例 2:允许用户列出某个区域的文档
以下示例授予列出美国东部(俄亥俄)区域(us-east-2)中所有以 **Update** 开头的文档名称的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:ListDocuments"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/Update*"
]
}
]
}
```
------
### 示例 3:允许用户使用特定 SSM 文档在特定节点上运行命令
以下示例 IAM policy 允许用户在美国东部(俄亥俄州)区域(us-east-2)执行以下操作:
+ 列出 Systems Manager 文档(SSM 文档)和文档版本。
+ 查看有关文档的详细信息。
+ 使用策略中指定的文档发送命令。文档名称由以下条目确定。
```
arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name
```
+ 将命令发送到三个节点。节点由第二个 `Resource` 部分中的以下条目确定。
```
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE"
```
+ 发送命令后查看有关命令的详细信息。
+ 在 Automation(AWS Systems Manager 中的一项工具)中启动和停止工作流。
+ 获取有关自动化工作流的信息。
如果您要授予某个用户使用此文档向该用户有权访问的任何节点发送命令的权限,则您可以在 `Resource` 部分指定与以下类似的条目并删除其他节点条目。以下示例使用美国东部(俄亥俄)区域(us-east-2)。
```
"arn:aws:ec2:us-east-2:*:instance/*"
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions",
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeInstanceInformation",
"ssm:DescribeDocumentParameters",
"ssm:DescribeInstanceProperties"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:SendCommand",
"Effect": "Allow",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-07782c72faEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/Systems-Manager-document-name"
]
},
{
"Action": [
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ec2:DescribeInstanceStatus",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Action": "ssm:DescribeAutomationExecutions",
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution"
],
"Effect": "Allow",
"Resource": [
"*"
]
}
]
}
```
------
## 基于标签查看 Systems Manager 文档
您可以在基于身份的策略中使用条件,以便基于标签控制对 Systems Manager 资源的访问。此示例显示如何创建策略以允许查看 SSM 文档。但是,仅当文档标签 `Owner` 的值为该用户的用户名时,才能授予此权限。此策略还授予在控制台上完成此操作的必要权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListDocumentsInConsole",
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Sid": "ViewDocumentIfOwner",
"Effect": "Allow",
"Action": "ssm:GetDocument",
"Resource": "arn:aws:ssm:*:*:document/*",
"Condition": {
"StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
您可以将此策略附加到您账户中的用户。如果名为 `richard-roe` 的用户尝试查看 Systems Manager 文档,则必须将该文档标记为 `Owner=richard-roe` 或 `owner=richard-roe`。否则,他们将被拒绝访问。条件标签密钥 `Owner` 与 `Owner` 和 `owner` 匹配,因为条件密钥名称不区分大小写。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
# 适用于 AWS Systems Manager 的 AWS 托管式策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用案例授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。
有关更多信息,请参阅*《IAM 用户指南》*中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 托管式策略:AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [AWS 托管策略:AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [AWS 托管式策略:AmazonSSMReadOnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [AWS 托管式策略:AWSSystemsManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [AWS 托管式策略:AmazonSSMManagedEC2InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [AWS 托管式策略:SSMQuickSetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS 托管式策略:`AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS 托管式策略:`AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [AWS 托管式策略:AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [AWS 托管式策略:AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [AWS 托管式策略:AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [AWS 托管式策略:AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [AWS 托管式策略:AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [AWS 托管式策略:AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [AWS 托管策略:AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [AWS 托管策略:AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [AWS 托管式策略:AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [AWS 托管式策略:AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [AWS 托管式策略:AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [AWS 托管式策略:AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupSSMManageResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [AWS 托管式策略:AWSQuickSetupSSMLifecycleManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [AWS 托管式策略:AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupSSMDeploymentS3BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS 托管式策略:AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS 托管式策略:AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [AWS 托管式策略:AWSQuickSetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [AWS 托管策略:AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [AWS 托管策略:AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [AWS 托管策略:AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [AWS 托管策略:AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [AWS 托管策略:AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [AWS 托管策略:AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [AWS 托管策略:AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [AWS 托管式策略:AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [AWS 托管式策略:AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS 托管式策略:AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [Systems Manager 更新了 AWS 托管策略](#security-iam-awsmanpol-updates)
+ [Systems Manager 的其他托管策略](#policies-list)
## AWS 托管式策略:AmazonSSMServiceRolePolicy
此策略提供对由 AWS Systems Manager 管理或在 Systems Manager 操作中使用的许多 AWS 资源的访问权限。
您不能将 `AmazonSSMServiceRolePolicy` 附加到自己的 AWS Identity and Access Management(IAM)实体。此附加到服务相关角色的策略允许 AWS Systems Manager 代表您执行操作。有关更多信息,请参阅 [使用角色来收集清单并查看 OpsData](using-service-linked-roles-service-action-1.md)。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体启动和分步执行 Run Command 和自动化;检索有关 Run Command 和自动化操作的信息;检索有关 Parameter Store 参数 Change Calendar 日历的信息;更新和检索有关 OpsCenter 资源的 Systems Manager 服务设置的信息;读取有关已应用于资源的标签的信息。
+ `cloudformation`:允许主体检索有关堆栈集操作和堆栈集实例的信息,并删除资源 `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*` 上的堆栈集。允许主体删除与以下资源关联的堆栈实例:
```
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*
```
+ `cloudwatch`:允许主体检索有关 Amazon CloudWatch 警报的信息。
+ `compute-optimizer`:允许主体检索账户向 AWS Compute Optimizer 服务的注册(选择加入)状态,并检索满足特定一组规定要求的 Amazon EC2 实例的建议。
+ `config`:允许主体检索 AWS Config 中的信息修复配置和配置记录器,并确定指定的 AWS Config 规则和 AWS 资源是否合规。
+ `events`:允许主体检索有关 EventBridge 规则的信息;专门为 Systems Manager 服务 (`ssm.amazonaws.com`) 创建 EventBridge 规则和目标;以及删除资源 `arn:aws:events:*:*:rule/SSMExplorerManagedRule` 的规则和目标。
+ `ec2`:允许主体检索有关 Amazon EC2 实例的信息。
+ `iam`:允许主体传递 Systems Manager 服务 (`ssm.amazonaws.com`) 的角色权限。
+ `lambda`:允许主体调用专门配置为供 Systems Manager 使用的 Lambda 函数。
+ `resource-explorer-2`:允许主体检索有关 EC2 实例的数据,以确定每个实例当前是否由 Systems Manager 管理。
允许对 `arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*` 资源执行操作 `resource-explorer-2:CreateManagedView`。
+ `resource-groups`:允许主体从属于某资源组的资源的 AWS Resource Groups中检索列表资源组及其成员。
+ `securityhub`:允许主体检索有关当前账户中的 AWS Security Hub CSPM 中心资源的信息。
+ `states`:允许主体启动和检索专门配置为供 Systems Manager 使用的 AWS Step Functions 的信息。
+ `support`:允许主体检索有关 AWS Trusted Advisor 中的检查和案例的信息。
+ `tag`:允许主体检索有关位于账户的指定 AWS 区域的所有已标记或之前已标记的资源的信息。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》**中的 [AmazonSSMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html)。
## AWS 托管策略:AmazonSSMAutomationRole
您可以将 `AmazonSSMAutomationRole` 策略附加到 IAM 身份。本策略为 AWS Systems Manager 自动化服务提供权限,以运行在自动化运行手册中定义的活动。
**权限详细信息**
该策略包含以下权限。
+ `lambda`:允许主体调用名字以“Automation”开头的 Lambda 函数。这是自动化运行手册在其工作流程中执行 Lambda 函数所必需的。
+ `ec2`:允许主体执行各种 Amazon EC2 操作,包括创建、复制和注销映像;管理快照;启动、运行、停止和终止实例;管理实例状态;以及创建、删除和描述标签。这些权限使自动化运行手册能够在执行期间管理 Amazon EC2 资源。
+ `cloudformation`:允许主体创建、描述、更新和删除 CloudFormation 堆栈。这使自动化运行手册能够通过 CloudFormation 管理基础设施即代码。
+ `ssm`:允许主体使用所有 Systems Manager 操作。这种全面的访问权限是自动化运行手册与所有 Systems Manager 功能进行交互所必需的。
+ `sns`:允许主体向名字以“Automation”开头的 Amazon SNS 主题发布消息。这使自动化运行手册能够在执行期间发送通知。
+ `ssmmessages` – 允许主体打开与 Systems Manager 会话的数据通道。这使得自动化运行手册能够为基于会话的操作建立通信通道。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AmazonSSMAutomationRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html)。
## AWS 托管式策略:AmazonSSMReadOnlyAccess
您可以将 `AmazonSSMReadOnlyAccess` 策略附加到 IAM 身份。此策略授予对 AWS Systems Manager API 操作的只读访问权限,包括 `Describe*`、`Get*` 和 `List*`。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html)。
## AWS 托管式策略:AWSSystemsManagerOpsDataSyncServiceRolePolicy
您不能将 `AWSSystemsManagerOpsDataSyncServiceRolePolicy` 附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 [使用角色为 Explorer 创建 OpsData 和 OpsItems](using-service-linked-roles-service-action-3.md)。
`AWSSystemsManagerOpsDataSyncServiceRolePolicy` 允许 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色创建和更新来自 AWS Security Hub CSPM 调查发现的 OpsItems 及 OpsData。
除非另有说明,否则策略允许 Systems Manager 对所有相关资源(`"Resource": "*"`)完成以下操作:
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]
[1] 根据 Systems Manager 服务的以下条件,仅允许执行 `ssm:GetOpsItem` 和 `ssm:UpdateOpsItem` 操作的权限。
```
"Condition": {
"StringEquals": {
"aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
}
}
```
[2] 仅允许对以下资源执行 `ssm:AddTagsToResource` 操作的权限。
```
arn:aws:ssm:*:*:opsitem/*
```
[3] 仅允许对以下资源执行 `ssm:UpdateServiceSetting` 和 `ssm:GetServiceSetting` 操作的权限。
```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```
[4] 根据 Systems Manager 服务的以下条件,仅拒绝执行 `securityhub:BatchUpdateFindings` 的权限。
```
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Confidence": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Criticality": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.Text": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/RelatedFindings": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Types": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/VerificationState": false
}
}
```
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html)。
## AWS 托管式策略:AmazonSSMManagedEC2InstanceDefaultPolicy
对于想要获得 Systems Manager 功能使用权限的 Amazon EC2 实例,您只应将 `AmazonSSMManagedEC2InstanceDefaultPolicy` 附加到 IAM 角色。您不应将该角色附加到其他 IAM 实体(例如 IAM 用户和 IAM 组)或用于其他目的的 IAM 角色。有关更多信息,请参阅 [使用默认主机管理配置自动管理 EC2 实例](fleet-manager-default-host-management-configuration.md)。
此策略授予的权限允许您 Amazon EC2 实例上的 SSM Agent 与云中的 Systems Manager 服务进行通信以执行各种任务。它还为提供授权令牌的两个服务授予权限,以确保在正确的实例上执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm` – 允许主体检索文档、使用 Run Command 执行命令、使用 Session Manager 建立会话、收集实例清单以及使用 Patch Manager 扫描补丁和补丁合规性的权限。
+ `ssmmessages` – 允许主体针对每个实例访问由 *[Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* 创建的个性化授权令牌。Systems Manager 根据 API 操作中提供的实例 Amazon 资源名称(ARN)验证个性化授权令牌。此访问权限是确保 SSM Agent 在正确的实例上执行 API 操作的必要条件。
+ `ec2messages` – 允许主体针对每个实例访问由 *[Amazon Message Delivery Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* 创建的个性化授权令牌。Systems Manager 根据 API 操作中提供的实例 Amazon 资源名称(ARN)验证个性化授权令牌。此访问权限是确保 SSM Agent 在正确的实例上执行 API 操作的必要条件。
有关 `ssmmessages` 和 `ec2messages` 端点的相关信息,包括两者之间的区别,请参阅 [与代理相关的 API 操作(`ssmmessages` 和 `ec2messages` 端点)](systems-manager-setting-up-messageAPIs.md#message-services)。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AmazonSSMManagedEC2InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html)。
## AWS 托管式策略:SSMQuickSetupRolePolicy
您无法将 SSMQuickSetupRolePolicy 附加至您的 IAM 实体。此策略附加至服务相关角色,允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 [使用角色来维护已配置 Quick Setup 的资源运行状况和一致性](using-service-linked-roles-service-action-5.md)。
此策略授予只读权限,允许 Systems Manager 检查配置运行状况,确保参数和已配置资源的一致使用,并在检测到偏差时修复资源。它还授予创建服务相关角色的管理权限。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体读取 Systems Manager 中的资源数据同步和 SSM 文档信息,包括在委派管理员账户中。这是必需的,这样 Quick Setup 才能确定已配置资源的预期状态。
+ `organizations` – 允许主体读取属于组织的成员账户的信息,如 AWS Organizations 中所配置。这是必需的,这样 Quick Setup 才能识别组织中要执行资源运行状况检查的所有账户。
+ `cloudformation` – 允许主体从 CloudFormation 中读取信息。这是必需的,这样 Quick Setup 才能收集有关用于管理资源状态和 CloudFormation 堆栈集操作的 CloudFormation 堆栈的数据。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupDeploymentRolePolicy
托管式策略 `AWSQuickSetupDeploymentRolePolicy` 支持多种 Quick Setup 配置类型。这些配置类型创建 IAM 角色和自动化,以配置常用 Amazon Web Services 服务和功能,并提供建议的最佳实践。
您可以将 `AWSQuickSetupDeploymentRolePolicy` 附加到 IAM 实体。
此策略授予创建与以下 Quick Setup 配置关联的资源所需的管理权限:
+ [使用 Quick Setup 设置 Amazon EC2 主机管理](quick-setup-host-management.md)
+ [使用 Quick Setup 创建 AWS Config 配置记录器](quick-setup-config.md)
+ [使用 Quick Setup 部署 AWS Config 一致性包](quick-setup-cpack.md)
+ [使用 Quick Setup 设置 DevOps Guru](quick-setup-devops.md)
+ [使用 Quick Setup 部署 Distributor 软件包](quick-setup-distributor.md)
+ [按计划使用 Quick Setup 自动停止和启动 EC2 实例](quick-setup-scheduler.md)
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体通过 CloudFormation 调用时读取、创建、更新和删除名称以“AWSQuickSetup-”或“AWSOperationsPack-”开头的 SSM 文档;读取特定 AWS 自有文档,包括“AWSQuickSetupType-ManageInstanceProfile”、“AWSQuickSetupType-ConfigureDevOpsGuru”和“AWSQuickSetupType-DeployConformancePack”;通过 CloudFormation 调用时创建、更新和删除 Quick Setup 文档与 AWS 自有文档的关联;以及清理标记有 `QuickSetupID` 的旧资源。此权限使 Quick Setup 能够部署和管理自动化工作流程和关联。
+ `cloudformation`:允许主体读取有关 CloudFormation 堆栈和堆栈集的信息;以及创建、更新和删除名称以“StackSet-AWS-QuickSetup-”开头的资源的 CloudFormation 堆栈和更改集。此权限使 Quick Setup 能够管理跨账户和区域的基础设施部署。
+ `config`:允许主体读取有关 AWS Config 合规包及其状态的信息;以及在通过 CloudFormation 调用时,创建和删除名称以“AWS-QuickSetup-”开头的合规包。此权限使 Quick Setup 能够部署合规性监控配置。
+ `events`:允许主体管理名称包含“QuickSetup-”的资源的 EventBridge 规则和目标。此权限使 Quick Setup 能够创建计划的自动化工作流程。
+ `iam`:允许主体为 AWS Config 和 Systems Manager 创建服务相关角色;在通过 CloudFormation 调用时,创建、管理和删除名称以“AWS-QuickSetup-”或“AWSOperationsPack-”开头的 IAM 角色;将这些角色传递给 Systems Manager 和 EventBridge 服务;为这些角色附加特定的 AWS 托管策略;以及使用特定的 Quick Setup 托管策略设置权限边界。此权限使 Quick Setup 能够为其运行创建必要的服务角色。
+ `resource-groups`:允许主体检索资源组查询。此权限使 Quick Setup 能够将特定的资源集作为配置管理的目标。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupPatchPolicyDeploymentRolePolicy
托管式策略 `AWSQuickSetupPatchPolicyDeploymentRolePolicy` 支持 [使用 Quick Setup 补丁策略为组织中的实例配置修补](quick-setup-patch-manager.md) Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
您可以将 `AWSQuickSetupPatchPolicyDeploymentRolePolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许 Quick Setup 创建与补丁策略配置关联的资源。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体管理和删除自动化配置任务所需的 IAM 角色;以及管理自动化角色策略。
+ `cloudformation` – 允许主体读取 CloudFormation 堆栈信息;并控制由 Quick Setup 使用 CloudFormation 堆栈集创建的 CloudFormation 堆栈。
+ `ssm` – 允许主体创建、更新、读取和删除配置任务所需的自动化运行手册;以及创建、更新和删除 State Manager 关联。
+ `resource-groups` – 允许主体检索与 Quick Setup 配置所针对的资源组关联的资源查询。
+ `s3` – 允许主体列出 Amazon S3 存储桶;以及管理用于存储补丁策略访问日志的存储桶。
+ `lambda` – 允许主体管理 AWS Lambda 修复功能,将配置保持在正确的状态。
+ `logs` – 允许主体为 Lambda 配置资源描述和管理日志组。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupPatchPolicyBaselineAccess
托管式策略 `AWSQuickSetupPatchPolicyBaselineAccess` 支持 [使用 Quick Setup 补丁策略为组织中的实例配置修补](quick-setup-patch-manager.md) Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
您可以将 `AWSQuickSetupPatchPolicyBaselineAccess` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略提供只读权限,允许访问由当前 AWS 账户 或组织中的管理员使用 Quick Setup 配置的补丁基准。补丁基准存储在 Amazon S3 存储桶中,可用于修补单个账户或整个组织中的实例。
**权限详细信息**
此策略包含以下权限。
+ `s3` – 允许主体读取 Amazon S3 存储桶中存储的补丁基准覆盖。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupPatchPolicyBaselineAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html)。
## AWS 托管式策略:`AWSSystemsManagerEnableExplorerExecutionPolicy`
托管式策略 `AWSSystemsManagerEnableExplorerExecutionPolicy` 支持启用 Explorer(AWS Systems Manager 中的一项工具)。
您可以将 `AWSSystemsManagerEnableExplorerExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,以便启用 Explorer。这包括更新相关 Systems Manager 服务设置和为 Systems Manager 创建服务相关角色的权限。
**权限详细信息**
该策略包含以下权限。
+ `config` – 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。
+ `iam` – 允许主体帮助启用 Explorer。
+ `ssm` – 允许主体启动启用 Explorer 的自动化工作流。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管是策略参考指南》*中的 [AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html)。
## AWS 托管式策略:`AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
托管式策略 `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` 支持 [使用 Quick Setup 创建 AWS Config 配置记录器](quick-setup-config.md) Quick Setup 配置类型。使用此配置类型,Quick Setup 可以跟踪和记录对为 AWS Config 选择的 AWS 资源类型的更改。它还可让 Quick Setup 为记录的数据配置传送和通知选项。
您可以将 `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许Quick Setup 启用和配置 AWS Config 配置记录。
**权限详细信息**
该策略包含以下权限。
+ `s3` – 允许主体创建和配置 Amazon S3 存储桶以交付配置记录。
+ `sns` - 允许主体列出并创建 Amazon SNS 主题。
+ `config` – 允许主体配置和启动配置记录器;并帮助启用 Explorer。
+ `iam` – 允许主体为 AWS Config 创建、获取和传递服务相关角色;为 Systems Manager 创建服务相关角色;以及帮助启用 Explorer。
+ `ssm` – 允许主体启动启用 Explorer 的自动化工作流。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html)。
## AWS 托管式策略:AWSQuickSetupDevOpsGuruPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupDevOpsGuruPermissionsBoundary` 支持 [使用 Quick Setup 设置 DevOps Guru](quick-setup-devops.md) 类型。配置类型支持由机器学习助力的 Amazon DevOps Guru。DevOps Guru 服务可以帮助提高应用程序的运行性能和可用性。
当您使用 Quick Setup 创建 `AWSQuickSetupDevOpsGuruPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 启用和配置 Amazon DevOps Guru。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体为 DevOps Guru 和 Systems Manager 创建服务相关角色;以及列出帮助启用 Explorer 的角色。
+ `cloudformation` – 允许主体列出并描述 CloudFormation 堆栈。
+ `sns` – 允许主体列出并创建 Amazon SNS 主题。
+ `devops-guru` – 允许主体配置 DevOps Guru;以及添加通知渠道。
+ `config` – 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。
+ `ssm` – 允许主体启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html)。
## AWS 托管式策略:AWSQuickSetupDistributorPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupDistributorPermissionsBoundary` 支持 [使用 Quick Setup 部署 Distributor 软件包](quick-setup-distributor.md) Quick Setup 配置类型。此配置类型有助于使用 Distributor(AWS Systems Manager 中的一项工具)将软件包(例如代理)分发至您的 Amazon Elastic Compute Cloud(Amazon EC2)实例。
当您使用 Quick Setup 创建 `AWSQuickSetupDistributorPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
该策略授予管理权限,允许 Quick Setup 使用 Distributor 将软件包(例如代理)分发至您的 Amazon EC2 实例。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体获取和传递 Distributor 自动化角色;创建、读取、更新和删除默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;将实例管理策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关 IAM 角色和实例配置文件的信息;以及创建默认实例配置文件。
+ `ec2` – 允许主体将默认实例配置文件与 EC2 实例关联起来;以及帮助启用 Explorer。
+ `ssm` – 允许主体启动配置实例和安装软件包的自动化工作流;帮助启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。
+ `config` – 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html)。
## AWS 托管式策略:AWSQuickSetupSSMHostMgmtPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupSSMHostMgmtPermissionsBoundary` 支持 [使用 Quick Setup 设置 Amazon EC2 主机管理](quick-setup-host-management.md) Quick Setup 配置类型。此配置类型用于配置 IAM 角色并启用常用的 Systems Manager 工具来安全地管理您的 Amazon EC2 实例。
当您使用 Quick Setup 创建 `AWSQuickSetupSSMHostMgmtPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许Quick Setup启用和配置安全管理 EC2 实例所需的 Systems Manager 工具。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体获取服务角色并将其传递给自动化。允许主体创建、读取、更新和删除默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;将实例管理策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关 IAM 角色和实例配置文件的信息;以及创建默认实例配置文件。
+ `ec2` – 允许主体将默认实例配置文件与 EC2 实例关联和取消关联。
+ `ssm`:允许主体启动会启用 Explorer 的自动化工作流;读取和更新 Explorer 服务设置;配置实例;以及在实例上启用 Systems Manager 工具。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupSSMHostMgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html)。
## AWS 托管式策略:AWSQuickSetupPatchPolicyPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupPatchPolicyPermissionsBoundary` 支持 [使用 Quick Setup 补丁策略为组织中的实例配置修补](quick-setup-patch-manager.md) Quick Setup 类型。此配置类型有助于自动修补单个账户或整个组织中的应用程序和节点。
当您使用 Quick Setup 创建 `AWSQuickSetupPatchPolicyPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许Quick Setup在Patch Manager(AWS Systems Manager 中的一项工具)中启用和配置补丁策略。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体获得 Patch Manager 自动化角色;将自动化角色传递给 Patch Manager 修补操作;创建默认实例角色;将默认实例角色传递给 Amazon EC2 和 Systems Manager;`AmazonSSMRoleForInstancesQuickSetup`;将选定的 AWS 托管式策略附加到实例角色;为 Systems Manager 创建服务相关角色;向实例配置文件添加默认实例角色;读取有关实例配置文件和角色的信息;创建默认实例配置文件;以及标记有权读取补丁基准覆盖的角色。
+ `ssm` – 允许主体更新由 Systems Manager 管理的实例角色;管理由 Quick Setup 中创建的 Patch Manager 补丁策略创建的关联;标记补丁策略配置所针对的实例;读取有关实例和修补状态的信息;启动配置、启用和修复实例补丁的自动化工作流;启动启用 Explorer 的自动化工作流;帮助启用 Explorer;以及读取和更新 Explorer 服务设置。
+ `ec2` – 允许主体将默认实例配置文件与 EC2 实例关联和取消关联;标记补丁策略配置所针对的实例;标记补丁策略配置所针对的实例;以及帮助启用 Explorer。
+ `s3` – 允许主体创建和配置 S3 存储桶以存储补丁基准覆盖。
+ `lambda` – 允许主体调用配置补丁的 AWS Lambda 函数,并在删除 Quick Setup 补丁策略配置后执行清理操作。
+ `logs` – 允许主体为 Patch Manager Quick Setup AWS Lambda 函数配置日志记录。
+ `config` – 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html)。
## AWS 托管式策略:AWSQuickSetupSchedulerPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupSchedulerPermissionsBoundary` 支持 [按计划使用 Quick Setup 自动停止和启动 EC2 实例](quick-setup-scheduler.md) Quick Setup 配置类型。此配置类型允许您在指定的时间停止和启动 EC2 实例和其他资源。
当您使用 Quick Setup 创建 `AWSQuickSetupSchedulerPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 在 EC2 实例和其他资源上启用和配置计划操作。
**权限详细信息**
该策略包含以下权限。
+ `iam`:允许主体检索和传递实例管理自动化操作的角色;管理、传递和附加用于 EC2 实例管理的默认实例角色;创建默认实例配置文件;向实例配置文件添加默认实例角色;为 Systems Manager 创建服务相关角色;读取有关 IAM 角色和实例配置文件的信息;将默认实例配置文件与 EC2 实例关联;以及启动自动化工作流以配置实例并在实例上启用 Systems Manager 工具。
+ `ssm` – 允许主体启动启用 Explorer 的自动化工作流;以及读取和更新 Explorer 服务设置。
+ ec2 – 允许主体找到目标实例并按计划启动和停止它们。
+ `config` – 允许主体通过提供对配置记录器详细信息的只读访问权限来帮助启用 Explorer。
+ `compute-optimizer` – 允许主体通过提供只读访问权限来帮助启用 Explorer,以确定资源是否注册到了 AWS Compute Optimizer。
+ `support` — 允许主体通过提供对账户 AWS Trusted Advisor 检查的只读访问权限来帮助启用 Explorer。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html)。
## AWS 托管式策略:AWSQuickSetupCFGCPacksPermissionsBoundary
**注意**
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Quick Setup 权限边界策略。Quick Setup 权限边界策略只能附加到 Quick Setup 托管角色。有关权限边界的更多信息,请参阅*《IAM 用户指南》*中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
托管式策略 `AWSQuickSetupCFGCPacksPermissionsBoundary` 支持 [使用 Quick Setup 部署 AWS Config 一致性包](quick-setup-cpack.md) Quick Setup 配置类型。此配置类型部署 AWS Config 一致性包。一致性包是一系列 AWS Config 规则和补救措施,这些规则和补救措施可以作为单个实体进行部署。
当您使用 Quick Setup 创建 `AWSQuickSetupCFGCPacksPermissionsBoundary` 配置时,系统会将此权限边界应用于部署配置时创建的 IAM 角色。权限边界限制 Quick Setup 创建的角色的范围。
此策略授予管理权限,允许 Quick Setup 部署 AWS Config 一致性包。
**权限详细信息**
该策略包含以下权限。
+ `iam` – 允许主体为 AWS Config 创建、获取和传递服务相关角色。
+ `sns` – 允许主体在 Amazon SNS 中列出平台应用程序。
+ `config` – 允许主体部署 AWS Config 一致性包;获取一致性包的状态;以及获取有关配置记录器的信息。
+ `ssm` – 允许主体获取有关 SSM 文档和自动化工作流的信息;获取有关资源标签的信息;以及获取相关信息和更新服务设置。
+ `compute-optimizer` – 允许主体获取账户的选择加入状态。
+ `support` – 允许主体获取有关 AWS Trusted Advisor 检查的信息。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅*《AWS 托管式策略参考指南》*中的 [AWSQuickSetupCFGCPacksPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html)。
## AWS 托管策略:AWSQuickSetupStartStopInstancesExecutionPolicy
您可以将 `AWSQuickSetupStartStopInstancesExecutionPolicy` 附加到 IAM 实体。此策略为 Quick Setup 提供权限,以使用 Systems Manager 自动化管理 Amazon EC2 实例的启动和停止。
**权限详细信息**
该策略包含以下权限。
+ `ec2` – 允许主体描述 Amazon EC2 实例、其状态、区域和标签。还允许启动和停止特定 Amazon EC2 实例。
+ `ssm` – 允许主体从 Quick Setup 更改日历获取日历状态、启动关联以及执行自动化文档以进行实例调度。
+ `iam` – 允许主体将 Quick Setup IAM 角色传递给 Systems Manager 以进行自动化执行,并设置条件将服务限制在 ssm.amazonaws.com 和特定资源 ARN 范围内。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html)。
## AWS 托管策略:AWSQuickSetupStartSSMAssociationsExecutionPolicy
此策略授予允许Quick Setup运行 `AWSQuickSetupType-Scheduler-ChangeCalendarState` 自动化运行手册的权限。此运行手册用于管理Quick Setup配置中计划操作的更改日历状态。
您可以将 `AWSQuickSetupStartSSMAssociationsExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体启动专门针对 `AWSQuickSetupType-Scheduler-ChangeCalendarState` 文档的自动化执行。这是Quick Setup中管理计划操作的更改日历状态所必需的。
+ `iam`:允许主体将名称以“AWS-QuickSetup-”开头的角色传递给 Systems Manager 服务。此权限仅限于与更改日历管理相关的特定 SSM 文档。此权限是 Quick Setup 将适当的执行角色传递给自动化过程所必需的。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html)。
## AWS 托管式策略:AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
策略 `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` 通过在管理节点的账户和区域中启动自动化工作流,提供诊断与 Systems Manager 服务交互的节点中问题的权限。
您可以将 `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` 附加到您的 IAM 实体。Systems Manager 还会将此策略附加到一个服务角色,以允许 Systems Manager 代表您执行诊断操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体运行特定的自动化运行手册来诊断节点问题,访问工作流的执行状态,并检索自动化执行详细信息。此策略授予描述自动化执行、描述自动化步骤执行、获取自动化执行详细信息以及开始对诊断相关文档进行自动化执行的权限。
+ `kms`:允许主体在访问 Amazon S3 存储桶中用于诊断操作的加密对象时,使用客户指定的 AWS Key Management Service 密钥进行解密和生成数据密钥。这些权限仅限于标有 `SystemsManagerManaged`,并通过 Amazon S3 服务按照特定加密环境要求使用的密钥。
+ `sts`:允许主体代入诊断执行角色,以在同一账户中运行自动化运行手册。该权限仅限于具有 `AWS-SSM-DiagnosisExecutionRole` 命名模式的角色,且包含确保资源账户与主体账户相匹配的条件。
+ `iam`:允许主体将诊断管理角色传递给 Systems Manager 以运行自动化运行手册。该权限仅限于具有 `AWS-SSM-DiagnosisAdminRole` 命名模式的角色,并且只能传递给 Systems Manager 服务。
+ `s3`:允许主体访问、读取、写入和删除 Amazon S3 存储桶中用于诊断操作的对象。这些权限仅限于具有 `do-not-delete-ssm-diagnosis-` 命名模式的存储桶,且包含确保操作在相同账户内执行的条件。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html)。
## AWS 托管式策略:AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
托管式策略 `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` 提供在目标 AWS 账户和区域中运行自动化运行手册的管理权限,以诊断与 Systems Manager 服务交互的托管节点的问题。
您可以将 `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ec2`:允许主体描述 Amazon EC2 和 Amazon VPC 资源及其配置,以诊断 Systems Manager 服务的问题。这包括描述 VPC、VPC 属性、VPC 端点、子网、安全组、实例、实例状态、网络 ACL 和互联网网关的权限。
+ `ssm`:允许主体运行特定于诊断的自动化运行手册并访问自动化工作流状态和执行元数据。这包括描述自动化步骤执行、描述实例信息、描述自动化执行、描述激活、获取自动化执行详细信息、获取服务设置以及开始对特定的 AWS 非托管 EC2 诊断文档进行自动化执行的权限。
+ `kms`:允许主体在访问 Amazon S3 存储桶中用于诊断操作的加密对象时,使用客户指定的 AWS Key Management Service 密钥进行解密和生成数据密钥。这些权限仅限于标有 `SystemsManagerManaged`,并通过 Amazon S3 服务按照特定加密环境要求用于诊断存储桶的密钥。
+ `iam`:允许主体将诊断执行角色传递给 Systems Manager 以运行自动化文档。该权限仅限于具有 `AWS-SSM-DiagnosisExecutionRole` 命名模式的角色,并且只能传递给 Systems Manager 服务。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html)。
## AWS 托管式策略:AWS-SSM-RemediationAutomation-AdministrationRolePolicy
此策略 `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` 提供的权限是通过执行自动化文档中定义的活动来修复 Systems Manager 服务问题,这主要用于运行自动化文档。此政策允许在进行节点管理的账户和区域中启动自动化工作流程解决连接和配置问题。
您可以将 `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行修复操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体运行特定的自动化运行手册来修复节点问题,访问工作流的执行状态,并检索自动化执行详细信息。此策略授予描述自动化执行、描述自动化步骤执行、获取自动化执行详细信息以及开始对修复相关文档进行自动化执行的权限。
+ `kms`:允许主体在访问 Amazon S3 存储桶中用于修复操作的加密对象时,使用客户指定的 AWS Key Management Service 密钥进行解密和生成数据密钥。这些权限仅限于标有 `SystemsManagerManaged`,并通过 Amazon S3 服务按照特定加密环境要求使用的密钥。
+ `sts`:允许主体代入修复执行角色,以在同一账户中运行自动化运行手册。该权限仅限于具有 `AWS-SSM-RemediationExecutionRole` 命名模式的角色,且包含确保资源账户与主体账户相匹配的条件。
+ `iam`:允许主体将修复管理角色传递给 Systems Manager 以运行自动化运行手册。该权限仅限于具有 `AWS-SSM-RemediationAdminRole` 命名模式的角色,并且只能传递给 Systems Manager 服务。
+ `s3`:允许主体访问、读取、写入和删除 Amazon S3 存储桶中用于修复操作的对象。这些权限仅限于具有 `do-not-delete-ssm-diagnosis-` 命名模式的存储桶,且包含确保操作在相同账户内执行的条件。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html)。
## AWS 托管式策略:AWS-SSM-RemediationAutomation-ExecutionRolePolicy
托管式策略 `AWS-SSM-RemediationAutomation-ExecutionRolePolicy` 提供在特定目标账户和区域中运行自动化运行手册的权限,以修复与 Systems Manager 服务交互的托管节点的网络和连接问题。此策略支持自动化文档中定义的修复活动,主要用于运行自动化文档来解决连接和配置问题。
可以将 策略附加到您的 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行修复操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体检索有关自动化执行及其步骤执行的信息,并启动特定的修复自动化运行手册,包括 `AWS-OrchestrateUnmanagedEC2Actions` 和 `AWS-RemediateSSMAgent` 文档。此策略授予描述自动化执行、描述自动化步骤执行、获取自动化执行详细信息以及开始对修复相关文档进行自动化执行的权限。
+ `ec2`:允许主体描述和修改 Amazon VPC 网络资源以修复连接问题。这包括:
+ 描述 Amazon VPC 属性、子网、Amazon VPC 端点和安全组。
+ 使用所需标签,为 Systems Manager 服务(`ssm`、`ssmmessages` 和 `ec2messages`)创建 Amazon VPC 端点。
+ 修改 Amazon VPC 属性以启用 DNS 支持和主机名。
+ 创建和管理带有特定标签的安全组,以用于访问 Amazon VPC 端点。
+ 使用相应标签,授权和撤消对 HTTPS 访问的安全组规则。
+ 在资源创建期间,在 Amazon VPC 端点、安全组和安全组规则上创建标签。
+ `kms`:允许主体在访问 Amazon S3 存储桶中用于修复操作的加密对象时,使用客户指定的 AWS Key Management Service 密钥进行解密和生成数据密钥。这些权限仅限于标有 `SystemsManagerManaged`,并通过 Amazon S3 服务按照特定加密环境要求使用的密钥。
+ `iam`:允许主体将修复执行角色传递给 Systems Manager 以运行自动化运行手册。该权限仅限于具有 `AWS-SSM-RemediationExecutionRole` 命名模式的角色,并且只能传递给 Systems Manager 服务。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupSSMManageResourcesExecutionPolicy
此策略授予允许Quick Setup运行 `AWSQuickSetupType-SSM-SetupResources` 自动化运行手册的权限。此运行手册会为Quick Setup关联创建 IAM 角色,而这些角色又由 `AWSQuickSetupType-SSM` 部署创建。它还授予在Quick Setup删除操作期间清理关联的 Amazon S3 存储桶的权限。
您可以将该策略附加到您的 IAM 实体。Systems Manager 还会将此策略附加到一个服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `iam`:允许主体列出和管理用于Quick Setup Systems Manager Explorer 操作的 IAM 角色;查看、附加和分离用于Quick Setup和 Systems Manager Explorer 的 IAM 策略。需要这些权限,Quick Setup才能创建其某些配置操作所需的角色。
+ `s3`:允许主体在主体账户中检索有关 Amazon S3 存储桶中对象的信息,并从中删除专门用于Quick Setup配置操作的对象。这是必需的,以便可以移除配置后不再需要的 S3 对象。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html)。
## AWS 托管式策略:AWSQuickSetupSSMLifecycleManagementExecutionPolicy
`AWSQuickSetupSSMLifecycleManagementExecutionPolicy` 策略授予管理权限,允许Quick Setup在 Systems Manager 中的Quick Setup部署期间对生命周期事件运行 CloudFormation 自定义资源。
您可以将此策略附加到您的 IAM 实体。Systems Manager 还会将此策略附加到一个服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体获取有关自动化执行的信息并启动自动化执行以设置某些Quick Setup操作。
+ `iam`:允许主体从 IAM 传递角色来设置某些Quick Setup资源。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html)。
## AWS 托管式策略:AWSQuickSetupSSMDeploymentRolePolicy
托管式策略 `AWSQuickSetupSSMDeploymentRolePolicy` 授予管理权限,允许Quick Setup创建在 Systems Manager 加入过程中使用的资源。
虽然您可以手动将此策略附加到您的 IAM 实体,但不建议这样做。Quick Setup会创建实体来将此策略附加到一个服务角色,从而允许 Systems Manager 代表您执行操作。
此策略与 [`SSMQuickSetupRolePolicy` 策略](using-service-linked-roles-service-action-5.md)无关,后者用于为 `AWSServiceRoleForSSMQuickSetup` 服务相关角色提供权限。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体管理使用 AWS CloudFormation 模板和一组特定的 SSM 文档创建的某些资源的关联;管理用于通过 CloudFormation 模板诊断和修复托管节点的角色和角色策略;以及附加和删除Quick Setup生命周期事件的策略
+ `iam`:允许主体标记角色和传递 Systems Manager 服务和 Lambda 服务的角色权限;并传递诊断操作的角色权限。
+ `lambda`:允许主体使用 CloudFormation 模板标记和管理主体账户中的 Quick Setup 生命周期的功能。
+ `cloudformation` – 允许主体从 CloudFormation 中读取信息。这是必需的,这样 Quick Setup 才能收集有关用于管理资源状态和 CloudFormation 堆栈集操作的 CloudFormation 堆栈的数据。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWSQuickSetupSSMDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupSSMDeploymentS3BucketRolePolicy
`AWSQuickSetupSSMDeploymentS3BucketRolePolicy` 策略授予以下权限:列出账户中的所有 S3 存储桶;以及管理和检索有关通过 CloudFormation 模板管理的主体账户中特定存储桶的信息。
您可以将 `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `s3`:允许主体列出账户中的所有 S3 存储桶;以及管理和检索有关通过 CloudFormation 模板管理的主体账户中特定存储桶的信息。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWSQuickSetupSSMDeploymentS3BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html)。
## AWS 托管式策略:AWSQuickSetupEnableDHMCExecutionPolicy
此策略授予管理权限,允许主体运行 `AWSQuickSetupType-EnableDHMC` 自动化运行手册,从而启用默认主机管理配置。默认主机管理配置设置允许 Systems Manager 自动将 Amazon EC2 实例作为*托管实例*进行管理。托管实例是一个配置为与 Systems Manager 一起使用的 EC2 实例。此策略还授予创建 IAM 角色的权限,这些角色在 Systems Manager 服务设置中指定为 SSM Agent 的默认角色。
您可以将 `AWSQuickSetupEnableDHMCExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体更新并获取有关 Systems Manager 服务设置的信息。
+ `iam`:允许主体创建和检索有关Quick Setup操作的 IAM 角色的信息。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》**中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html)。
## AWS 托管式策略:AWSQuickSetupEnableAREXExecutionPolicy
此策略授予管理权限来允许 Systems Manager 运行 `AWSQuickSetupType-EnableAREX` 自动化运行手册,从而使 AWS 资源探索器能够与 Systems Manager 一起使用。资源探索器让您能够通过类似于 Internet 搜索引擎的搜索体验来查看您账户中的资源。该策略还会授予管理资源探索器索引和视图的权限。
您可以将 `AWSQuickSetupEnableAREXExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `iam`:允许主体在 AWS Identity and Access Management (IAM) 服务中创建服务相关角色。
+ `resource-explorer-2`:允许主体检索有关资源探索器视图和索引的信息;创建资源探索器视图和索引;更改Quick Setup中显示的索引的索引类型。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》**中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html)。
## AWS 托管式策略:AWSQuickSetupManagedInstanceProfileExecutionPolicy
此策略授予管理权限来允许 Systems Manager 为 Quick Setup 工具创建默认 IAM 实例配置文件,并将其附加到尚未附加实例配置文件的 Amazon EC2 实例。该策略还授予 Systems Manager 将权限附加到现有实例配置文件的能力。这样做是为了确保 Systems Manager 与 EC2 实例上的 SSM Agent 通信所需的权限就绪。
您可以将 `AWSQuickSetupManagedInstanceProfileExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体启动与Quick Setup过程关联的自动化工作流。
+ `ec2`:允许主体将 IAM 实例配置文件附加到由Quick Setup管理的 EC2 实例。
+ `iam`:允许主体从 IAM 创建、更新和检索有关在Quick Setup过程中使用的角色的信息;创建 IAM 实例配置文件;将 `AmazonSSMManagedInstanceCore` 托管式策略附加到 IAM 实例配置文件。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html)。
## AWS 托管策略:AWSQuickSetupManageJITNAResourcesExecutionPolicy
托管策略 `AWSQuickSetupManageJITNAResourcesExecutionPolicy` 使 Quick Setup(Systems Manager 中的一个工具)能够设置即时节点访问。
您可以将 `AWSQuickSetupManageJITNAResourcesExecutionPolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许 Systems Manager 创建与即时节点访问关联的资源。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体获取和更新服务设置,该设置为即时节点访问指定身份提供者。
+ `iam`:允许主体创建、标记和获取角色,为即时节点访问托管策略附加角色策略,并为即时节点访问和通知创建与服务相关的角色。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html)。
## AWS 托管策略:AWSQuickSetupJITNADeploymentRolePolicy
托管策略 `AWSQuickSetupJITNADeploymentRolePolicy` 允许 Quick Setup 部署必要的配置类型,用于设置即时节点访问。
您可以将 `AWSQuickSetupJITNADeploymentRolePolicy` 附加到 IAM 实体。Systems Manager 还会将此策略附加到服务角色,以允许 Systems Manager 代表您执行操作。
此策略授予管理权限,允许 Systems Manager 创建与即时节点访问关联的资源。
**权限详细信息**
该策略包含以下权限。
+ `cloudformation`:允许主体创建、更新、删除和读取 CloudFormation 堆栈。
+ `ssm`:允许主体创建、删除、更新和读取由 CloudFormation 调用的 State Manager 关联。
+ `iam`:允许主体创建、删除、读取和标记由 CloudFormation 调用的 IAM 角色。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSQuickSetupJITNADeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html)。
## AWS 托管策略:AWSSystemsManagerJustInTimeAccessServicePolicy
托管策略 `AWSSystemsManagerJustInTimeAccessServicePolicy` 提供对 AWS Systems Manager 即时访问框架管理或使用的 AWS 资源的访问权限。此策略更新添加了自动化执行标记权限,使客户能够将操作员权限范围缩小到特定标签。
您不能将 `AWSSystemsManagerJustInTimeAccessServicePolicy` 附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 [使用角色启用即时节点访问](using-service-linked-roles-service-action-8.md)。
此策略授予允许访问与即时节点访问关联的资源的管理权限。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体创建和管理 OpsItems、为 OpsItems 和自动化执行添加标签、获取和更新 OpsItems、检索和描述文档、描述 OpsItems 和会话、列出托管实例的文档和标签。
+ `ssm-guiconnect`:允许主体列出连接。
+ `identitystore`:允许主体获取用户和组 ID、描述用户和列出组成员资格。
+ `sso-directory`:允许主体描述用户并确定用户是否为组的成员。
+ `sso`:允许主体描述注册的区域并列出实例和目录关联。
+ `cloudwatch`:允许主体将指标数据放入 `AWS/SSM/JustInTimeAccess` 命名空间。
+ `ec2`:允许主体描述标签。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html)。
## AWS 托管策略:AWSSystemsManagerJustInTimeAccessTokenPolicy
托管式策略 `AWSSystemsManagerJustInTimeAccessTokenPolicy` 为用户提供权限,使其能够通过Session Manager和 Systems Manager GUI Connect RDP 连接建立与 Amazon EC2 实例和托管实例的安全连接,这属于即时节点访问工作流的一部分。
您可以将 `AWSSystemsManagerJustInTimeAccessTokenPolicy` 附加到 IAM 实体。
此策略授予贡献者权限,允许用户启动和管理安全会话、建立 RDP 连接以及为即时节点访问执行必要的加密操作。
**权限详细信息**
该策略包含以下权限。
+ `ssm` – 允许主体使用 SSM-SessionManagerRunShell 文档在 Amazon EC2 实例和托管实例上启动 Session Manager 会话。此外,还允许终止和恢复会话、检索命令调用详细信息,以及通过 Systems Manager GUI Connect 调用时向实例发送用于 SSO 用户设置的命令。此外,当通过 Systems Manager GUI Connect 调用时,还允许启动 RDP 连接的端口转发会话。
+ `ssmmessages` – 允许主体打开数据通道,以便在Session Manager会话期间进行安全通信。
+ `ssm-guiconnect` – 允许主体启动、获取详细信息和取消与实例的 Systems Manager GUI Connect RDP 连接。
+ `kms` – 允许主体生成用于Session Manager加密的数据密钥,并为 RDP 连接创建授权。这些权限仅限于标记为 `SystemsManagerJustInTimeNodeAccessManaged=true` 的 AWS KMS 密钥。授权创建进一步限制为只能通过 Systems Manager GUI Connect 服务使用。
+ `sso` – 允许主体在通过 Systems Manager GUI Connect 调用时列出目录关联。这是 RDP SSO 用户设置所必需的。
+ `identitystore` – 允许主体在通过 Systems Manager GUI Connect 调用时描述身份存储中的用户。这是 RDP SSO 用户设置所必需的。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html)。
## AWS 托管策略:AWSSystemsManagerJustInTimeAccessTokenSessionPolicy
托管策略 `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` 允许 Systems Manager 将缩小范围的权限应用于即时节点访问令牌。
您可以将 `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` 附加到 IAM 实体。
此策略授予管理权限,允许 Systems Manager 缩小即时节点访问令牌的权限范围。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体使用 `SSM-SessionManagerRunShell` 文档开始 Session Manager 会话。同样,当首先通过 `ssm-guiconnect` 调用时,使用 `AWS-StartPortForwardingSession` 文档启动会话,列出命令调用,并使用 `AWSSSO-CreateSSOUser` 文档发送命令。
+ `ssm-guiconnect`:允许主体取消、获取和启动所有资源的连接。
+ `kms`:当使用 AWS 服务通过 `ssm-guiconnect` 调用时,允许主体为使用 `SystemsManagerJustInTimeNodeAccessManaged` 标记的密钥创建授权和生成数据密钥。
+ `sso`:允许主体在通过 `ssm-guiconnect` 调用时列出目录关联。
+ `identitystore`:允许主体在通过 `ssm-guiconnect` 调用时描述用户。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html)。
## AWS 托管策略:AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy
托管策略 `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` 允许 Systems Manager 将来自委派管理员账户的拒绝访问策略共享给成员账户,并在多个 AWS 区域 账户之间复制这些策略。
您可以将 `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` 附加到 IAM 实体。
此策略提供 Systems Manager 共享和创建拒绝访问策略必要的管理权限。这样可以确保拒绝访问策略适用于 AWS Organizations 组织中的所有账户和针对即时节点访问配置的区域。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体管理 SSM 文档和资源策略。
+ `ssm-quicksetup`:允许主体读取 Quick Setup 配置管理器。
+ `organizations`:允许主体列出 AWS Organizations 组织的详细信息和委派管理员。
+ `ram`:允许主体创建、标记和描述资源共享。
+ `iam`:允许主体描述服务角色。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html)。
## AWS 托管策略:AWSSystemsManagerNotificationsServicePolicy
托管策略 `AWSSystemsManagerNotificationsServicePolicy` 允许 Systems Manager 向访问请求审批者发送有关即时节点访问请求的电子邮件通知。
您不能将 `AWSSystemsManagerJustInTimeAccessServicePolicy` 附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 [使用角色发送即时节点访问请求通知](using-service-linked-roles-service-action-9.md)。
此策略授予管理权限,允许 Systems Manager 向访问请求审批者发送有关即时节点访问请求的电子邮件通知。
**权限详细信息**
该策略包含以下权限。
+ `identitystore`:允许主体列出和描述用户和组成员资格。
+ `sso`:允许主体列出实例、目录和描述注册区域。
+ `sso-directory`:允许主体描述用户和列出组中的成员。
+ `iam`:允许主体获取有关角色的信息。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html)。
## AWS 托管式策略:AWS-SSM-Automation-DiagnosisBucketPolicy
托管式策略 `AWS-SSM-Automation-DiagnosisBucketPolicy` 通过允许访问用于诊断和修复问题的 S3 存储桶,提供诊断与 AWS Systems Manager 服务交互的节点的问题的权限。
您可以将 `AWS-SSM-Automation-DiagnosisBucketPolicy` 策略附加到 IAM 身份。Systems Manager 还会将此策略附加到 IAM 角色,以允许 Systems Manager 代表您执行诊断操作。
**权限详细信息**
该策略包含以下权限。
+ `s3`:允许主体访问并将对象写入 Amazon S3 存储桶。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html)。
## AWS 托管式策略:AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
托管式策略 `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` 通过提供组织特定的权限,为操作账户提供诊断节点问题的权限。
您可以将 `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` 附加到您的 IAM 身份。Systems Manager 还会将此策略附加到 IAM 角色,以允许 Systems Manager 代表您执行诊断操作。
**权限详细信息**
该策略包含以下权限。
+ `organizations`:允许主体列出组织的根,并获取成员账户以确定目标账户。
+ `sts`:允许主体代入修复执行角色,以在同一组织内跨账户和区域运行 SSM 自动化文档。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html)。
## AWS 托管式策略:AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
托管式策略 `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` 通过提供组织特定的权限来为操作账户提供诊断节点问题的权限。
您可以将 `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` 策略附加到 IAM 身份。Systems Manager 还会将此策略附加到 IAM 角色,以允许 Systems Manager 代表您执行诊断操作。
**权限详细信息**
该策略包含以下权限。
+ `organizations`:允许主体列出组织的根,并获取成员账户以确定目标账户。
+ `sts`:允许主体代入诊断执行角色,以在同一组织内跨账户和区域运行 SSM 自动化文档。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《*AWS 托管式策略参考指南*》中的 [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html)。
## Systems Manager 更新了 AWS 托管策略
在下表中,查看自该服务于 2021 年 3 月 12 日开始跟踪这些更改以来,有关 Systems Manager 的 AWS 托管策略更新的详细信息。有关 Systems Manager 服务的其他托管策略的信息,请参阅本主题后面的 [Systems Manager 的其他托管策略](#policies-list)。要获得有关此页面更改的自动提示,请订阅 Systems Manager [文档历史记录](systems-manager-release-history.md) 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 更新现有策略 | Systems Manager 添加了 `cloudformation:TagResource` 和 `cloudformation:UntagResource` 权限。这些权限允许创建 CloudFormation 堆栈的 Automation 运行手册在资源中添加和移除标签。 | 2026 年 3 月 20 日 |
| [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – 更新了托管式策略 | Systems Manager 更新了托管式策略,添加了额外的 EC2 和 SSM 权限,旨在增强诊断功能。该策略现在包括描述 EC2 实例状态和网络 ACL 以及 SSM 激活和服务设置的权限,为排查托管式节点问题提供了更全面的诊断信息。 | 2025 年 12 月 19 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – 更新了托管式策略 | Systems Manager 更新了托管式策略 `AWSQuickSetupDeploymentRolePolicy`,添加了对另外两个 SSM 文档的支持:`AWSQuickSetupType-ConfigureDevOpsGuru` 和 `AWSQuickSetupType-DeployConformancePack`。这些新增功能使 Quick Setup 可以通过策略部署 DevOps Guru 配置和合规性包。 | 2025 年 12 月 15 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 更新现有策略 | Systems Manager 更新了托管式策略 `AWSSystemsManagerJustInTimeAccessTokenPolicy`。语句 (`SID`) `TerminateAndResumeSession` 已重命名为`TerminateAndResumeSessionAndOpenDataChannel`,现在包含 `ssmmessages:OpenDataChannel` 操作,将会话管理和数据通道权限合并到一个语句中。 | 2025 年 9 月 25 日 |
| 更新了托管策略: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/security-iam-awsmanpol.html) | Systems Manager 更新了三个托管式策略,增加了对在其他 Systems Manager 资源(包括特定自动化运行手册和 SSM 命令文档)上启动自动化执行的支持。 | 2025 年 9 月 12 日 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – 更新了托管策略 | Systems Manager 更新了托管式策略,以优化Quick Setup调度程序配置的权限。该策略现在为启动和停止 Amazon EC2 实例、访问更改日历以及执行自动化文档提供了更具体的权限,并增强了安全条件。 | 2025 年 9 月 12 日 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – 更新了托管式策略 | Systems Manager 更新了托管式策略,将自动化文档从 `AWSQuickSetupType-StartSSMAssociations` 更改为 `AWSQuickSetupType-Scheduler-ChangeCalendarState`。此更新将策略的目的从启动 SSM 关联更改为管理计划操作的更改日历状态。 | 2025 年 9 月 12 日 |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 更新现有策略 | Systems Manager 添加了新的权限,允许自动化运行手册建立基于会话的操作的通信通道。 为资源 `arn:*:ssm:*:*:session/*` 添加了 `ssmmessages:OpenDataChannel` 权限。 | 2025 年 9 月 11 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy):更新了托管策略 | Systems Manager 更新了托管策略以添加自动化执行标记权限。该服务需要使用 `SystemsManagerJustInTimeNodeAccessManaged=true` 标签标记自动化执行,以使客户能够将操作员权限范围缩小到特定标签。 | 2025 年 8 月 25 日 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy):新策略 | Systems Manager 添加了允许 Quick Setup 运行 `AWSQuickSetupType-StartSSMAssociations` 自动化运行手册的新策略。此运行手册用于启动通过 Quick Setup 配置创建的 State Manager 关联。 | 2025 年 8 月 12 日 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy):新策略 | Systems Manager 添加了允许 Quick Setup 按计划启动和停止 Amazon EC2 实例的新策略。此策略为 Quick Setup 调度器配置类型提供必要的权限,以根据定义的计划管理实例状态。 | 2025 年 8 月 12 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy):文档更新 | Systems Manager 更新了 `AWSQuickSetupDeploymentRolePolicy` 托管策略,以授予对其他资源的权限。此外,`AWSQuickSetupDeploymentRolePolicy` 的文档已更新,其中更详细地说明了此策略授予 Quick Setup 配置管理操作的权限。 | 2025 年 8 月 12 日 |
| [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy):更新现有策略 | Systems Manager 更新了托管策略 ,要求同时拥有“文档”和“自动执行”资源类型的权限,从而改善 ssm:StartAutomationExecution API 的安全状况。更新后的策略为修复自动化执行提供了更加全面和详细的权限,包括改善对网络修复功能的描述,提供更具体的 Amazon VPC 端点创建权限、详细的安全组管理权限,以及增强对修复操作的资源标记控制。 | 2025 年 7 月 16 日 |
| [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy):更新现有策略 | Systems Manager 更新了托管策略 ,以支持 API 授权改进实现修复自动化操作。更新后的策略强化了执行自动化文档中定义活动的权限,并改进了修复工作流程的安全控制和资源访问模式。 | 2025 年 7 月 16 日 |
| [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy):更新现有策略 | Systems Manager 更新了托管策略 ,从而为诊断自动化执行提供更加详细和准确的权限。更新后的策略包括改善对 Amazon EC2 和 Amazon VPC 资源访问的描述,提供更加具体的 SSM 自动化权限,以及通过适当资源限制改善对 AWS KMS 和 IAM 权限的描述。 | 2025 年 7 月 16 日 |
| [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy):更新现有策略 | Systems Manager 更新了托管策略 ,从而为诊断自动化操作提供更加具体的权限和安全条件。更新后的策略增强了对 AWS KMS 密钥使用、Amazon S3 存储桶访问和角色代入的安全控制,并采用更加严格的资源条件和账户级别限制。 | 2025 年 7 月 16 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy):策略更新 | Systems Manager 增加了此 `AWSQuickSetupDeploymentRolePolicy` 托管式策略的权限,用于访问 Amazon 拥有的运行手册 [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content)。借助此权限,Quick Setup 将可以使用托管式策略而不是内联策略创建关联。 | 2025 年 7 月 14 日 |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole):更新文档 | Systems Manager 为现有 `AmazonSSMAutomationRole` 策略添加了全面的文档,该策略为 Systems Manager 自动化服务提供权限,以运行自动化运行手册中定义的活动。 | 2025 年 7 月 15 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy):策略更新 | Systems Manager 增加了允许 Systems Manager 标记由 AWS Resource Access Manager 共享的资源的权限,从而支持即时节点访问。 | 2025 年 4 月 30 日 |
| [AAWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy):策略更新 | Systems Manager 添加了权限,允许 Systems Manager 标记为即时节点访问而创建的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 将缩小范围的权限应用于即时节点访问令牌。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 向访问请求审批者发送有关即时节点访问请求的电子邮件通知。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 将审批策略复制到不同的区域。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 生成用于即时节点访问的访问令牌。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy):新策略 | Systems Manager 添加了一项新策略,为由 Systems Manager 即时节点访问功能管理或使用的 AWS 资源提供权限。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy):新策略 | Systems Manager 添加了一项新策略,以允许 Quick Setup(Systems Manager 中的一项工具)创建即时节点访问所需的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy):新策略 | Systems Manager 添加了一个新策略,该策略提供了权限以允许 Quick Setup 部署设置即时节点访问所需的配置类型。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy):策略更新 | Systems Manager 增加了允许 Systems Manager 标记由 AWS Resource Access Manager 共享的资源的权限,从而支持即时节点访问。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy):策略更新 | Systems Manager 添加了权限,允许 Systems Manager 标记为即时节点访问而创建的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 将缩小范围的权限应用于即时节点访问令牌。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 向访问请求审批者发送有关即时节点访问请求的电子邮件通知。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 将审批策略复制到不同的区域。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy):新策略 | Systems Manager 添加了一项新策略,允许 Systems Manager 生成用于即时节点访问的访问令牌。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy):新策略 | Systems Manager 添加了一项新策略,为由 Systems Manager 即时节点访问功能管理或使用的 AWS 资源提供权限。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy):新策略 | Systems Manager 添加了一项新策略,以允许 Quick Setup(Systems Manager 中的一项工具)创建即时节点访问所需的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy):新策略 | Systems Manager 添加了一个新策略,该策略提供了权限以允许 Quick Setup 部署设置即时节点访问所需的配置类型。 | 2025 年 4 月 30 日 |
| [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy):新策略 | Systems Manager 添加了一项新策略,通过提供组织特定的权限来为操作账户提供诊断节点问题的权限。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy):新策略 | Systems Manager 添加了一项新策略,通过提供组织特定的权限来为操作账户提供诊断节点问题的权限。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy):新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而诊断目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy):对现有策略的更新 | Systems Manager 添加了新的权限,允许 AWS 资源探索器收集有关 Amazon EC2 实例的详细信息并在新 Systems Manager 控制面板的小组件中显示结果。 | 2024 年 11 月 21 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy):对现有策略的更新 | Systems Manager 已更新托管式策略 SSMQuickSetupRolePolicy。此更新允许关联的服务相关角色 AWSServiceRoleForSSMQuickSetup 管理资源数据同步。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而诊断目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而诊断目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而修复目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持启动自动化工作流,从而修复目标账户和区域中的托管节点的问题。 | 2024 年 11 月 21 日 |
| [AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy):策略更新 | Systems Manager 添加了权限以允许 Systems Manager 标记出为统一控制台创建的 IAM 角色和 Lambda。 | 2025 年 5 月 7 日 |
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy):新策略 | Systems Manager 添加了一项新策略来支持在Quick Setup中运行操作,该操作会为Quick Setup关联创建 IAM 角色,而这些角色又由 AWSQuickSetupType-SSM 部署创建。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy):新策略 | ystems Manager 添加了一项新策略来支持Quick Setup在Quick Setup部署期间对生命周期事件运行 CloudFormation 自定义资源。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持授予管理权限,允许Quick Setup创建为 Systems Manager 加入过程中使用的资源。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy):新策略 | Systems Manager 添加了一项新策略来支持管理和检索有关通过 CloudFormation 模板管理的主体账户中特定存储桶的信息 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy):新策略 | Systems Manager 正在推出一项新策略来允许Quick Setup创建一个 IAM 角色,该角色本身使用现有的 [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)。此策略包含 SSM Agent 与 Systems Manager 服务通信所需的所有权限。该新策略还允许修改 Systems Manager 服务设置。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy):新策略 | Systems Manager 添加了一项新策略来允许Quick Setup为 AWS 资源探索器创建服务相关角色,用于访问资源探索器视图和聚合器索引。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy):新策略 | Systems Manager 添加了一项新策略来允许Quick Setup创建默认Quick Setup实例配置文件,并将其附加到任何缺少关联实例配置文件的 Amazon EC2 实例。此新策略还允许Quick Setup将权限附加到现有配置文件,以确保已授予所有必需的 Systems Manager 权限。 | 2024 年 11 月 21 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy):对现有策略的更新 | Systems Manager 增加了新的权限,以允许 Quick Setup 检查其创建的其他 AWS CloudFormation 堆栈集的运行状况。 | 2024 年 8 月 13 日 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy):对现有策略的更新 | Systems Manager 已针对 AmazonSSMManagedEC2InstanceDefaultPolicy 向 JSON 策略添加语句 ID(Sid)。这些 Sid 针对每条策略语句的目的提供内联描述。 | 2024 年 7 月 18 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy):新策略 | Systems Manager 添加了新策略,允许 Quick Setup 检查已部署的资源的运行状况并修复偏离原始配置的实例。 | 2024 年 7 月 3 日 |
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy):新策略 | Systems Manager 添加了新策略以支持多种快速设置功能配置类型,这些配置类型可创建 IAM 角色和自动化,进而使用推荐的最佳实践配置常用的 Amazon Web Services 服务和功能。 | 2024 年 7 月 3 日 |
| [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy) – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 创建与 Patch Manager 补丁策略 Quick Setup 配置关联的资源。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess) – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 以只读权限访问 Patch Manager 中的补丁基准。 | 2024 年 7 月 3 日 |
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy) – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 授予启用 Explorer 的管理权限。 | 2024 年 7 月 3 日 |
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy) – 新策略 | Systems Manager 添加了允许 Quick Setup 启用和配置 AWS Config 配置记录的新策略。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary) – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 启用和配置 Amazon DevOps Guru。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary) – 新策略 | Systems Manager 添加了新策略,允许Quick Setup启用和配置 Distributor(AWS Systems Manager 中的一项工具)。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary) – 新策略 | Systems Manager 添加了新策略,允许Quick Setup启用和配置 Systems Manager 工具,从而安全地管理 Amazon EC2 实例。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary) – 新策略 | Systems Manager 添加了新策略,允许Quick Setup在Patch Manager(AWS Systems Manager 中的一项工具)中启用和配置补丁策略。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary) – 新策略 | Systems Manager 添加了新策略,允许 Quick Setup 在 Amazon EC2 实例和其他资源上启用和配置计划操作。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary) – 新策略 | Systems Manager 添加了允许 Quick Setup 部署 AWS Config 一致性包的新策略。 | 2024 年 7 月 3 日 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy):对现有策略的更新 | OpsCenter 更新了策略,以提高 Explorer 管理 OpsData 相关操作的服务相关角色内服务代码的安全性。 | 2023 年 7 月 3 日 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy):新策略 | Systems Manager 添加了新策略,允许 Amazon EC2 实例上的 Systems Manager 功能,而不使用 IAM 实例配置文件。 | 2022 年 8 月 18 日 |
| [AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – 更新到现有策略 | Systems Manager 添加了新的权限,允许 Explorer 在您从 Explorer 或 OpsCenter 开启 Security Hub CSPM 时创建托管式规则。添加了新的权限,以便在允许 OpsData 之前检查 config 和 compute-optimizer 是否满足必需的要求。 | 2021 年 4 月 27 日 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy):新策略 | Systems Manager 添加了新策略,用于从 Explorer 和 OpsCenter 中的 Security Hub CSPM 调查发现创建并更新 OpsItems 及 OpsData。 | 2021 年 4 月 27 日 |
| `AmazonSSMServiceRolePolicy` – 更新到现有策略 | Systems Manager 添加了新的权限,允许在 Explorer 中查看多个账户和 AWS 区域 的聚合 OpsData 及 OpsItems 详细信息。 | 2021 年 3 月 24 日 |
| Systems Manager 已开启跟踪更改 | Systems Manager 为其 AWS 托管式策略开启了跟踪更改。 | 2021 年 3 月 12 日 |
## Systems Manager 的其他托管策略
除了本主题前面介绍的托管策略外,Systems Manager 还支持以下策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html) – 允许访问以查看自动化执行并将批准决策发送到等待批准的自动化的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html) – 允许 SSM Agent 代表用户访问 Directory Service 以处理托管式节点加入域的请求的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) – 授予 Systems Manager API 和文档完全访问权限的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html) – 为维护时段提供 Systems Manager API 权限的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) – 允许节点使用 Systems Manager 服务核心功能的 AWS 托管式策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html) – 为补丁关联操作提供对子实例的访问权限的 AWS 托管式策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) – 授予 Systems Manager 只读 API 操作(例如 `Get*` 和 `List*`)访问权限的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html) – 为在 Systems Manager 中创建和更新运维洞察 *OpsItems* 提供权限的 AWS 托管策略。其借助服务相关角色 [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md) 提供权限。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html) – 授予 Systems Manager 发现 AWS 账户 信息的权限的 AWS 托管策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html) – 此策略不再受支持,不应使用。在相应的位置,使用 `AmazonSSMManagedInstanceCore` 策略在 EC2 实例上允许 Systems Manager 服务的核心功能。有关信息,请参阅[配置 Systems Manager 所需的实例权限](setup-instance-permissions.md)。
# 排除 AWS Systems Manager 身份和访问问题
使用以下信息可帮助您诊断和修复在使用 AWS Systems Manager 和 AWS Identity and Access Management (IAM) 时可能会遇到的常见问题。
**Topics**
+ [我无权在 Systems Manager 中执行操作](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我希望允许我的 AWS 账户以外的人访问我的 Systems Manager 资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在 Systems Manager 中执行操作
如果 AWS 管理控制台 告诉您,您无权执行某个操作,则必须联系您的管理员寻求帮助。管理员是向您提供登录凭证的人。
当 `mateojackson` 用户尝试使用控制台查看有关文档的详细信息,但没有 `ssm:GetDocument` 权限时,将发生以下示例错误。
```
User: arn:aws:ssm::123456789012:user/mateojackson isn't authorized to perform: ssm:GetDocument on resource: MyExampleDocument
```
在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 `ssm:GetDocument` 操作访问 `MyExampleDocument` 资源。
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给。Systems Manager
有些 AWS 服务 允许您将现有角色传递到该服务,而不是创建新服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 Systems Manager 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系 AWS 管理员。您的管理员是提供登录凭证的人。
## 我希望允许我的 AWS 账户以外的人访问我的 Systems Manager 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表(ACL)的服务,您可以使用这些策略向人员授予对您的资源的访问权。
要了解更多信息,请参阅以下内容:
+ 要了解 Systems Manager 是否支持这些特征,请参阅 [AWS Systems Manager 如何与 IAM 协同工作](security_iam_service-with-iam.md)
+ 要了解如何为您拥有的 AWS 账户 中的资源提供访问权限,请参阅《IAM 用户指南》**中的[为您拥有的另一个 AWS 账户 中的 IAM 用户提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。
+ 要了解如何为第三方 AWS 账户 提供您的资源的访问权限,请参阅《IAM 用户指南》**中的[为第三方拥有的 AWS 账户 提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 将服务关联角色用于 Systems Manager
AWS Systems Manager 使用 AWS Identity and Access Management(IAM)[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 Systems Manager 直接相关。服务相关角色由 Systems Manager 预定义,并包含相关服务代表您调用其他 AWS 服务所需的所有权限。
**注意**
*服务角色*不同于服务相关角色。服务角色是一种AWS Identity and Access Management(IAM)角色,用于向某个 AWS 服务授予相应的权限,以便该服务可以访问 AWS 资源。只有几个 Systems Manager 场景需要服务角色。当您创建 Systems Manager 的服务角色时,您可以选择要授予的权限,以便它可以访问其他 AWS 资源或与之交互。
服务相关角色使 Systems Manager 的设置更轻松,因为您不必手动添加必要的权限。Systems Manager 定义其服务相关角色的权限,除非另行定义,否则仅 Systems Manager 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这将保护您的 Systems Manager 资源,因为您不会无意中删除对资源的访问权限。
**注意**
对于[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境中的非 EC2 节点,您需要额外的 IAM 角色来允许这些计算机与 Systems Manager 服务通信。这就是 Systems Manager 的 IAM 服务角色。此角色向 AWS Security Token Service (AWS STS) *AssumeRole* 授予对 Systems Manager 服务的信任。`AssumeRole` 操作返回一组临时安全凭证 (由访问密钥 ID、秘密访问密钥和安全令牌组成)。您使用这些临时凭证访问通常可能无法访问的 AWS 资源。有关更多信息,请参阅[《AWS Security Token Service API 参考》](https://docs.aws.amazon.com/STS/latest/APIReference/)**中的[在混合和多云环境中创建 Systems Manager 所需的 IAM 服务角色](hybrid-multicloud-service-role.md)和 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-linked roles**(服务相关角色)列中显示为 **Yes**(是)的服务。请选择**是**与查看该服务的服务关联角色文档的链接。
**Topics**
+ [使用角色来收集清单并查看 OpsData](using-service-linked-roles-service-action-1.md)
+ [使用角色为 OpsCenter 和 Explorer 收集 AWS 账户 信息](using-service-linked-roles-service-action-2.md)
+ [使用角色为 Explorer 创建 OpsData 和 OpsItems](using-service-linked-roles-service-action-3.md)
+ [在 Systems Manager OpsCenter 中使用角色创建运营洞察 OpsItem](using-service-linked-roles-service-action-4.md)
+ [使用角色来维护已配置 Quick Setup 的资源运行状况和一致性](using-service-linked-roles-service-action-5.md)
+ [使用角色导出 Explorer OpsData](using-service-linked-roles-service-action-6.md)
+ [使用角色启用即时节点访问](using-service-linked-roles-service-action-8.md)
+ [使用角色发送即时节点访问请求通知](using-service-linked-roles-service-action-9.md)
# 使用角色来收集清单并查看 OpsData
Systems Manager 使用名为 **`AWSServiceRoleForAmazonSSM`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色代表您管理 AWS 资源。
## 清单、OpsData 和 OpsItem 的服务相关角色权限
`AWSServiceRoleForAmazonSSM` 服务相关角色仅信任 `ssm.amazonaws.com` 服务担任此角色。
您可以使用 Systems Manager 服务相关角色 `AWSServiceRoleForAmazonSSM` 执行以下操作:
+ Systems Manager Inventory 工具使用服务相关角色 `AWSServiceRoleForAmazonSSM` 从标签和资源组采集清单元数据。
+ Explorer 工具使用服务相关角色 `AWSServiceRoleForAmazonSSM` 来启用查看多个账户的 OpsData 和 OpsItems 的功能。当您将 Security Hub CSPM 启用为 Explorer 或 OpsCenter 的数据来源时,此服务相关角色还允许 Explorer 创建托管式规则。
**重要**
以前,Systems Manager 控制台允许您选择 AWS 托管式 IAM 服务相关角色 `AWSServiceRoleForAmazonSSM`,以用作任务的维护角色。现在不再建议将此角色及其相关策略 `AmazonSSMServiceRolePolicy` 用于维护时段任务。如果您目前在将此角色用于维护时段任务,我们建议您停止使用它。而应创建您自己的 IAM 角色,以便您的维护时段任务运行时在 Systems Manager 与其他 AWS 服务之间进行通信。
有关更多信息,请参阅 [设置 Maintenance Windows](setting-up-maintenance-windows.md)。
用于为 `AWSServiceRoleForAmazonSSM` 角色提供权限的托管策略是 `AmazonSSMServiceRolePolicy`。有关该策略授予的权限的详细信息,请参阅 [AWS 托管式策略:AmazonSSMServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)。
## 创建 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服务相关角色
您可以使用 IAM 控制台为 **EC2** 使用案例创建服务相关角色。在 AWS Command Line Interface (AWS CLI) 中使用 IAM 的命令或使用 IAM API,创建服务名称为 `ssm.amazonaws.com` 的服务相关角色。有关更多信息,请参阅 *IAM 用户指南* 中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForAmazonSSM` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。您可以使用 IAM 控制台、AWS CLI 或 IAM API 手动删除此服务相关角色。为此,您必须先手动清除服务相关角色的资源,然后才能手动删除它。
多项工具都可使用 `AWSServiceRoleForAmazonSSM` 服务相关角色,因此在尝试删除该角色之前,请确保没有任何工具在使用该角色。
+ **Inventory:**如果删除 Inventory 工具使用的服务相关角色,则标签和资源组的清单数据将不再同步。您必须先清除服务相关角色的资源,然后才能手动删除它。
+ **Explorer:**如果删除 Explorer 工具使用的服务相关角色,则无法再查看跨账户和跨区域的 OpsData 及 OpsItems。
**注意**
如果在您尝试删除标签或资源组时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 `AWSServiceRoleForAmazonSSM` 所用的 Systems Manager 资源**
1. 要删除标签,请参阅[为单个资源添加和删除标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1. 要删除资源组,请参阅[从 AWS Resource Groups 中删除组](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)。
**使用 IAM 手动删除 `AWSServiceRoleForAmazonSSM` 服务相关角色**
使用 IAM 控制台、AWS CLI 或 IAM API 删除 `AWSServiceRoleForAmazonSSM` 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForAmazonSSM` 服务相关角色的区域
Systems Manager 支持提供该服务的所有 AWS 区域中使用 `AWSServiceRoleForAmazonSSM` 服务相关角色。有关更多信息,请参阅 [AWS Systems Manager 终端节点和限额](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
# 使用角色为 OpsCenter 和 Explorer 收集 AWS 账户 信息
Systems Manager 使用名为 **`AWSServiceRoleForAmazonSSM_AccountDiscovery`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色调用其他 AWS 服务来发现 AWS 账户 信息。
## Systems Manager 账户发现的服务相关角色权限
`AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色信任以下服务代入该角色:
+ `accountdiscovery.ssm.amazonaws.com`
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
如果要跨多个 AWS 账户使用 Explorer 和 OpsCenter(都是 Systems Manager 中的工具),则必须创建服务相关角色。对于 OpsCenter,您必须手动创建服务相关角色。有关更多信息,请参阅 [(可选)将 OpsCenter 手动设置为跨账户集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。
对于 Explorer,如果您使用 AWS 管理控制台 中的 Systems Manager 创建资源数据同步,则可以通过选择 **Create role**(创建角色)按钮创建服务相关角色。如果要以编程方式创建资源数据同步,则必须在创建资源数据同步之前创建角色。您可以使用 [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) API 操作创建角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
### 清除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
您必须首先删除所有 Explorer 资源数据同步,然后才能使用 IAM 删除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。
**注意**
如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
### 手动删除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
使用 IAM 控制台、AWS CLI 或 AWS API 删除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色的区域
Systems Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS Systems Manager 终端节点和限额](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
## 对 AWSServiceRoleForAmazonSSM\$1AccountDiscovery 服务相关角色的更新
查看有关 AWSServiceRoleForAmazonSSM\$1AccountDiscovery 服务相关角色更新(从该服务开始跟踪这些变更开始)的详细信息。要获得有关此页面更改的自动提示,请订阅 Systems Manager [文档历史记录](systems-manager-release-history.md) 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 已添加新权限 | 此服务相关角色现在包括 `organizations:DescribeOrganizationalUnit` 和 `organizations:ListRoots` 权限。这些权限让 AWS Organizations 管理账户或 Systems Manager 委派管理员账户可以跨账户使用 OpsItems。有关更多信息,请参阅 [(可选)将 OpsCenter 手动设置为跨账户集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。 | 2022 年 10 月 17 日 |
# 使用角色为 Explorer 创建 OpsData 和 OpsItems
Systems Manager 使用名为 **`AWSServiceRoleForSystemsManagerOpsDataSync`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色为 Explorer 创建 OpsData 及 OpsItems。
## Systems Manager OpsData 同步的服务相关角色权限
`AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色信任以下服务代入该角色:
+ `opsdatasync.ssm.amazonaws.com`
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ Systems Manager Explorer 需要使用服务相关角色授予相应的权限,以便在更新 OpsItem 时更新安全调查发现,创建和更新 OpsItem,以及在客户删除 SSM 托管式规则时关闭 Security Hub CSPM 数据来源。
用于为 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色提供权限的托管策略是 `AWSSystemsManagerOpsDataSyncServiceRolePolicy`。有关该策略授予的权限的详细信息,请参阅 [AWS 托管式策略:AWSSystemsManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色
您无需手动创建服务关联角色。当您在 AWS 管理控制台 中启用 Explorer 时,Systems Manager 将为您创建服务相关角色。
**重要**
如果您在使用此服务相关角色支持的功能的其他服务中完成某个操作,该角色可以显示在您的账户中。此外,如果您在 2017 年 1 月 1 日之前使用 Systems Manager 服务,当它开始支持服务相关角色时,则 Systems Manager 会在您的账户中创建 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在 AWS 管理控制台 中启用 Explorer 时,Systems Manager 将再次为您创建服务相关角色。
您也可以使用 IAM 控制台创建服务相关角色,用**允许 Explorer 创建 OpsData 和 OpsItems 的 AWS 服务角色**使用案例来进行创建。在 AWS CLI 或 AWS API 中,使用 `opsdatasync.ssm.amazonaws.com` 服务名称创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)**。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色
如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色使用的 Systems Manager 资源的程序取决于您是否已将 Explorer 或 OpsCenter 配置为与 Security Hub CSPM 集成。
**要删除 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色使用的 Systems Manager 资源,请参阅以下信息:**
+ 要停止 Explorer 为 Security Hub CSPM 调查发现创建新的 OpsItems,请参阅 [如何停止接收结果](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive)。
+ 要停止 OpsCenter 为 Security Hub CSPM 调查发现创建新的 OpsItems,请参阅
**使用 IAM 手动删除 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色**
使用 IAM 控制台,即 AWS CLI 或 AWS API 来删除 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色的区域
Systems Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS Systems Manager 终端节点和限额](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
Systems Manager 并非在提供服务的每个区域中都支持使用服务相关角色。您可以在以下区域中使用 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色。
****
| AWS 区域 名称 | 区域标识 | 在 Systems Manager 中支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# 在 Systems Manager OpsCenter 中使用角色创建运营洞察 OpsItem
Systems Manager 使用名为 **`AWSServiceRoleForAmazonSSM_OpsInsights`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色在 Systems Manager OpsCenter 中创建和更新运营洞察 OpsItem。
## Systems Manager 运营洞察 OpsItem 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色权限
`AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色信任以下服务代入该角色:
+ `opsinsights.ssm.amazonaws.com`
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:UpdateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SsmOperationalInsight": "true"
}
}
}
]
}
```
------
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色
您必须创建服务相关角色。如果您在 AWS 管理控制台中使用 Systems Manager 启用运营洞察,则可以通过选择 **Enable (启用)** 按钮创建服务相关角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
### 清除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色
必须首先在 Systems Manager OpsCenter 中停用运营洞察,才能使用 IAM 删除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色。有关更多信息,请参阅 [分析运营洞察以减少 OpsItems](OpsCenter-working-operational-insights.md)。
### 手动删除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色
使用 IAM 控制台、AWS CLI 或 AWS API 删除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色的区域
Systems Manager 并非在提供该服务的每个区域中都支持使用服务相关角色。您可以在下列区域使用 AWSServiceRoleForAmazonSSM\$1OpsInsights 角色。
****
| 区域名称 | 区域标识 | 在 Systems Manager 中支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(香港) | ap-east-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 欧洲地区(米兰) | eu-south-1 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 |
| 中东(巴林) | me-south-1 | 是 |
| 非洲(开普敦) | af-south-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 是 |
| AWS GovCloud (US) | us-gov-east-1 | 是 |
# 使用角色来维护已配置 Quick Setup 的资源运行状况和一致性
Systems Manager 使用名为 **`AWSServiceRoleForSSMQuickSetup`** 的服务相关角色。
## Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服务相关角色权限
`AWSServiceRoleForSSMQuickSetup` 服务相关角色信任以下服务代入该角色:
+ `ssm-quicksetup.amazonaws.com`
AWS Systems Manager 使用此 IAM 服务角色来检查配置运行状况,确保参数和已配置资源的一致使用,并在检测到偏差时修复资源。
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ `ssm` (Systems Manager):读取有关已配置资源预期处于的状态的信息,包括在委派管理员账户中。
+ `iam` (AWS Identity and Access Management):这是为了在 AWS Organizations 中的整个组织都可访问资源数据同步所必需的。
+ `organizations`(AWS Organizations)– 读取属于组织的成员账户的信息,如“组织”中所配置。
+ `cloudformation`(CloudFormation)– 读取有关用于管理资源状态和 CloudFormation 堆栈集操作的 CloudFormation 堆栈的信息。
用于为 `AWSServiceRoleForSSMQuickSetup` 角色提供权限的托管策略是 `SSMQuickSetupRolePolicy`。有关该策略授予的权限的详细信息,请参阅 [AWS 托管式策略:SSMQuickSetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服务相关角色
您无需手动创建 AWSServiceRoleForSSMQuickSetup 服务相关角色。当您在 AWS 管理控制台 中创建 Quick Setup 配置时,Systems Manager 会为您创建服务相关角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForSSMQuickSetup` 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服务相关角色
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
### 清除 `AWSServiceRoleForSSMQuickSetup` 服务相关角色
在使用 IAM 删除 `AWSServiceRoleForSSMQuickSetup` 服务相关角色之前,必须先删除使用该角色的 Quick Setup 配置。有关更多信息,请参阅 [编辑和删除配置](quick-setup-using.md#quick-setup-edit-delete)。
### 手动删除 `AWSServiceRoleForSSMQuickSetup` 服务相关角色
使用 IAM 控制台、AWS CLI 或 AWS API 删除 `AWSServiceRoleForSSMQuickSetup` 服务相关角色。有关更多信息,请参阅以下主题:
+ *《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
+ 《AWS CLI 参考》**的 Quick Setup 部分中的 [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html)
+ **《Quick Setup API 参考》中的 [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html)
## 支持 Systems Manager `AWSServiceRoleForSSMQuickSetup` 服务相关角色的区域
Systems Manager 并非在提供该服务的每个区域中都支持使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForSSMQuickSetup 角色。
+ 美国东部(俄亥俄州)
+ 美国东部(弗吉尼亚州北部)
+ 美国西部(北加利福尼亚)
+ 美国西部(俄勒冈州)
+ 亚太地区(孟买)
+ 亚太地区(首尔)
+ 亚太地区(新加坡)
+ 亚太地区(悉尼)
+ 亚太地区(东京)
+ 加拿大(中部)
+ 欧洲地区(法兰克福)
+ 欧洲地区(斯德哥尔摩)
+ 欧洲地区(爱尔兰)
+ 欧洲地区(伦敦)
+ 欧洲(巴黎)
+ 南美洲(圣保罗)
# 使用角色导出 Explorer OpsData
AWS Systems Manager Explorer 使用 **AmazonsmExplorerExportRole** 服务角色,通过使用 `AWS-ExportOpsDataToS3` 自动化运行手册导出操作数据(opsData)。
## 的服务关联角色权限Explorer
`AmazonSSMExplorerExportRole` 服务相关角色仅信任 `ssm.amazonaws.com` 服务担任此角色。
您可以使用 `AmazonSSMExplorerExportRole` 服务相关角色,通过使用 `AWS-ExportOpsDataToS3` 自动化运行手册导出操作数据(opsData)。您可以从 Explorer 将 5000 个 OpsData 项目以逗号分隔值(.csv)文件的形式导出到 Amazon Simple Storage Service(Amazon S3)存储桶。
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents`
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AmazonSSMExplorerExportRole` 服务相关角色
当您在 Systems Manager 控制台中使用 Explorer 导出 OpsData 时,Systems Manager 会创建 `AmazonSSMExplorerExportRole` 服务相关角色。有关更多信息,请参阅 [从 Systems Manager Explorer 中导出 OpsData](Explorer-exporting-OpsData.md)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。
## 编辑 Systems Manager 的 `AmazonSSMExplorerExportRole` 服务相关角色
Systems Manager 不允许您编辑 `AmazonSSMExplorerExportRole` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AmazonSSMExplorerExportRole` 服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。您可以使用 IAM 控制台、AWS CLI 或 IAM API 手动删除此服务相关角色。为此,您必须先手动清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果在您尝试删除标签或资源组时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 `AmazonSSMExplorerExportRole` 所用的 Systems Manager 资源**
1. 要删除标签,请参阅[为单个资源添加和删除标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1. 要删除资源组,请参阅[从 AWS Resource Groups 中删除组](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)。
**使用 IAM 手动删除 `AmazonSSMExplorerExportRole` 服务相关角色**
使用 IAM 控制台、AWS CLI 或 IAM API 删除 `AmazonSSMExplorerExportRole` 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AmazonSSMExplorerExportRole` 服务相关角色的区域
Systems Manager 支持提供该服务的所有 AWS 区域中使用 `AmazonSSMExplorerExportRole` 服务相关角色。有关更多信息,请参阅 [AWS Systems Manager 终端节点和限额](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
# 使用角色启用即时节点访问
Systems Manager 使用名为 **`AWSServiceRoleForSystemsManagerJustInTimeAccess`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色启用即时节点访问。
## Systems Manager 即时节点访问的服务相关角色权限
`AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色信任以下服务代入该角色:
+ `ssm.amazonaws.com`
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`
用于为 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 角色提供权限的托管策略是 `AWSSystemsManagerEnableJustInTimeAccessPolicy`。有关该策略授予的权限的详细信息,请参阅 [AWS 托管策略:AWSSystemsManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色
您无需手动创建服务关联角色。您在 AWS 管理控制台中启用即时节点访问时,Systems Manager 会为您创建服务相关角色。
**重要**
如果您在使用此服务相关角色支持的功能的其他服务中完成某个操作,该角色可以显示在您的账户中。此外,如果您在 2024 年 11 月 19 日之前使用 Systems Manager 服务,当它开始支持服务相关角色时,Systems Manager 会在您的账户中创建 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。您在 AWS 管理控制台中启用即时节点访问时,Systems Manager 将再次为您创建服务相关角色。
您也可以使用 IAM 控制台来创建服务相关角色,**以便 AWS 服务角色允许 Systems Manager 启用即时节点访问。**应用场景。在 AWS CLI 或 AWS API 中,使用 `ssm.amazonaws.com` 服务名称创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)**。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色
如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**使用 IAM 手动删除 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色**
使用 IAM 控制台,即 AWS CLI 或 AWS API 来删除 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色的区域
****
| AWS 区域 名称 | 区域标识 | 在 Systems Manager 中支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# 使用角色发送即时节点访问请求通知
Systems Manager 使用名为 **`AWSServiceRoleForSystemsManagerNotifications`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色向访问请求审批者发送通知。
## Systems Manager 即时节点访问通知的服务相关角色权限
`AWSServiceRoleForSystemsManagerNotifications` 服务相关角色信任以下服务代入该角色:
+ `ssm.amazonaws.com`
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`
用于为 `AWSServiceRoleForSystemsManagerNotifications` 角色提供权限的托管策略是 `AWSSystemsManagerNotificationsServicePolicy`。有关该策略授予的权限的详细信息,请参阅 [AWS 托管策略:AWSSystemsManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色
您无需手动创建服务关联角色。您在 AWS 管理控制台中启用即时节点访问时,Systems Manager 会为您创建服务相关角色。
**重要**
如果您在使用此服务相关角色支持的功能的其他服务中完成某个操作,该角色可以显示在您的账户中。此外,如果您在 2024 年 11 月 19 日之前使用 Systems Manager 服务,当它开始支持服务相关角色时,Systems Manager 会在您的账户中创建 `AWSServiceRoleForSystemsManagerNotifications` 角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。您在 AWS 管理控制台中启用即时节点访问时,Systems Manager 将再次为您创建服务相关角色。
您也可以使用 IAM 控制台来创建服务相关角色,**以便 AWS 服务角色允许 Systems Manager 向访问请求审批者发送通知。**应用场景。在 AWS CLI 或 AWS API 中,使用 `ssm.amazonaws.com` 服务名称创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)**。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色
如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**使用 IAM 手动删除 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色**
使用 IAM 控制台,即 AWS CLI 或 AWS API 来删除 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色的区域
****
| AWS 区域 名称 | 区域标识 | 在 Systems Manager 中支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# AWS Systems Manager 中的日志记录和监控
监控是保持 AWS Systems Manager 和您的 AWS 解决方案的可靠性、可用性和性能的重要方面。您应该从 AWS 解决方案的各个部分收集监控数据,以便在发生多点故障时进行更多的调试。AWS 提供了多种工具来监控您的 Systems Manager 和其他资源,并对潜在事件做出响应。
**AWS CloudTrail 日志**
CloudTrail 提供了用户、角色或 AWS 服务在 Systems Manager 中所执行操作的记录。使用 CloudTrail 收集的信息,您可以确定向 Systems Manager 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息,请参阅 [使用 AWS CloudTrail 记录 AWS Systems Manager API 调用](monitoring-cloudtrail-logs.md)。
**Amazon CloudWatch 警报**
使用 Amazon CloudWatch 告警,您可以在为 Amazon Elastic Compute Cloud (Amazon EC2) 实例和其他资源指定的时间段内监控某个指标。如果指标超过给定阈值,则会向 Amazon Simple Notification Service (Amazon SNS) 主题或 AWS Auto Scaling 策略发送通知。CloudWatch 告警将不会调用操作,因为这些操作处于特定状态。而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息,请参阅 *Amazon CloudWatch 用户指南*中的[使用 Amazon CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。
**Amazon CloudWatch 控制面板**
CloudWatch 控制面板是 CloudWatch 控制台中的可自定义主页,可用于在单一视图中监控资源,即便是分布到不同 AWS 区域的资源,也能对其进行监控。您可以使用 CloudWatch 控制面板创建 AWS 资源的指标和告警的自定义视图。有关更多信息,请参阅 [使用 Systems Manager 托管的 Amazon CloudWatch 控制面板](systems-manager-cloudwatch-dashboards.md)。
**Amazon EventBridge**
使用 Amazon EventBridge,您可以配置规则以提示您 Systems Manager 资源中的更改,并指示 EventBridge 根据这些事件的内容执行操作。EventBridge 提供对由各项 Systems Manager 工具发出的大量事件的支持。有关更多信息,请参阅 [使用 Amazon EventBridge 监控 Systems Manager 事件](monitoring-eventbridge-events.md)。
**Amazon CloudWatch Logs 和 SSM Agent 日志**
SSM Agent 将有关执行、计划操作、错误和运行状况的信息写入每个节点上的日志文件。您可以通过手动连接到节点来查看日志文件。我们建议将代理日志数据自动发送到 CloudWatch Logs 中的日志组以进行分析。有关更多信息,请参阅[将节点日志发送到统一的 CloudWatch Logs(CloudWatch 代理)](monitoring-cloudwatch-agent.md)和[查看 SSM Agent 日志](ssm-agent-logs.md)。
**AWS Systems Manager Compliance**
您可以使用 Compliance(AWS Systems Manager 中的一项工具)扫描托管式节点实例集,了解补丁合规性和配置不一致性。您可以从多个 AWS 账户 和 AWS 区域 中收集并聚合数据,然后深入了解不合规的特定资源。默认情况下,Compliance 会显示关于Patch Manager(AWS Systems Manager 中的一项工具)中的修补以及State Manager(AWS Systems Manager 中的一项工具)中的关联的当前合规性数据。有关更多信息,请参阅 [AWS Systems Manager Compliance](systems-manager-compliance.md)。
**AWS Systems Manager Explorer**
Explorer(AWS Systems Manager 中的一项工具)是一个可自定义的操作控制面板,用于报告有关 AWS 资源的信息。Explorer 可以显示您 AWS 账户和不同 AWS 区域中的操作数据(OpsData)的聚合视图。在 Explorer 中,OpsData 包含有关 EC2 实例、补丁合规性详细信息和操作工作项 (OpsItems) 的元数据。Explorer 提供有关如何在业务单位或应用程序之间分配 OpsItems、它们随时间的变化趋势以及它们如何随类别变化的上下文。您可以在 Explorer 中对信息进行分组和筛选,以将重点放在与您相关的项目和需要采取措施的项目上。有关更多信息,请参阅 [AWS Systems Manager Explorer](Explorer.md)。
**AWS Systems Manager OpsCenter**
OpsCenter(AWS Systems Manager 中的一项工具)提供了一个中心位置,运营工程师和 IT 专业人员可以在此处查看、调查和解决与 AWS 资源相关的操作工作项(OpsItems)。OpsCenter 聚合并标准化各种服务的 OpsItems,同时提供有关每个 OpsItem、相关 OpsItems 以及相关资源的上下文调查数据。OpsCenter 还在 Automation(AWS Systems Manager 中的一项工具)中提供运行手册,可用于快速解决问题。OpsCenter 已与 Amazon EventBridge 集成。因此,您可以创建 EventBridge 规则,从而为发布事件到 EventBridge 的任何 AWS 服务自动创建 OpsItems。有关更多信息,请参阅 [AWS Systems Manager OpsCenter](OpsCenter.md)。
**Amazon Simple Notification Service**
您可以配置 Amazon Simple Notification Service(Amazon SNS),令其发送与使用 Run Command 或 Maintenance Windows(都是 AWS Systems Manager 中的工具)发送的命令的状态有关的通知。Amazon SNS 协调并管理向订阅 Amazon SNS 主题的客户端或端点发送和传输通知。您可以在命令更改为新状态或特定状态(例如 `Failed` 或 `Timed Out`)时收到通知。如果您将一条命令发送给多个节点,则对于发送给特定节点的命令的每个副本,您都可以收到通知。有关更多信息,请参阅 [使用 Amazon SNS 通知监控 Systems Manager 状态更改](monitoring-sns-notifications.md)。
**AWS Trusted Advisor 和 AWS Health Dashboard**
Trusted Advisor 凝聚了从为数十万 AWS 客户提供服务中总结的最佳实践。Trusted Advisor 可检查您的 AWS 环境,然后在有可能节省开支、提高系统可用性和性能或弥补安全漏洞时为您提供建议。所有 AWS 客户均有权访问五个 Trusted Advisor 检查。使用 AWS 支持 商业或企业计划的客户可以查看所有 Trusted Advisor 检查。有关更多信息,请参阅《AWS 支持 用户指南》和《AWS Health 用户指南》中的 [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html)。
**更多信息**
+ [AWS Systems Manager 中的日志记录和监控](monitoring.md)
# AWS Systems Manager 的合规性验证
本主题介绍如何确保第三方保证计划的 AWS Systems Manager 合规性。有关查看托管式节点的合规性数据的信息,请参阅 [AWS Systems Manager Compliance](systems-manager-compliance.md)。
作为多个 AWS 合规性计划的一部分,第三方审计员将评估 Systems Manager 的安全性和合规性。其中包括 SOC、PCI、FedRAMP、HIPAA 及其他。
有关特定合规性计划范围内的 AWS 服务列表,请参阅[合规性计划范围内的 AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。有关常规信息,请参阅 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)、、。
您可以使用 AWS Artifact 下载第三方审计报告。有关更多信息,请参阅[在 AWS Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您使用 Systems Manager的合规性责任取决于您数据的敏感度、贵公司的合规性目标以及适用的法律法规。AWS 提供以下资源来帮助满足合规性:
+ [安全性与合规性 Quick Start 指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) - 这些部署指南讨论了架构注意事项,并提供了在AWS上部署基于安全性和合规性的基准环境的步骤。
+ [设计符合 HIPAA 安全性和合规性要求的架构白皮书](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html):此白皮书介绍公司如何使用 AWS 创建符合 HIPAA 标准的应用程序。
+ [AWS 合规性资源](https://aws.amazon.com/compliance/resources/) – 此业务手册和指南集合可能适用于您的行业和位置。
+ *AWS Config 开发人员指南*中的[使用规则评估资源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – 此 AWS Config 服务评估您的资源配置对内部实践、行业指南和法规的遵循情况。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html):此 AWS 服务 提供了 AWS 中安全状态的全面视图,可帮助您检查是否符合安全行业标准和最佳实践规范。
# AWS Systems Manager 中的故障恢复能力
AWS 全球基础设施围绕 AWS 区域和可用区构建。AWS 区域提供多个在物理上独立且隔离的可用区,这些可用区与延迟率低、吞吐量高且冗余性高的网络连接在一起。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错性和可扩展性。
有关AWS 区域和可用区的更多信息,请参阅[AWS全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# AWS Systems Manager 中的基础结构安全性
作为一项托管服务,AWS Systems Manager 受 AWS 全球网络安全保护。有关 AWS 安全服务以及 AWS 如何保护基础结构的信息,请参阅 [AWS 云安全](https://aws.amazon.com/security/)。要按照基础结构安全最佳实践设计您的 AWS 环境,请参阅《安全性支柱 AWS Well‐Architected Framework》中的 [基础结构保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)**。
您可以使用 AWS 发布的 API 调用通过网络访问。Systems Manager客户端必须支持以下内容:
+ 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
# AWS Systems Manager 中的配置和漏洞分析
AWS 负责处理防火墙配置和灾难恢复等基本安全任务。这些流程已通过相应第三方审核和认证。有关更多详细信息,请参阅以下 资源:
+ [AWS Systems Manager 的合规性验证](compliance-validation.md)
+ [责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [安全性、身份和合规性最佳实践](https://aws.amazon.com/architecture/security-identity-compliance/)
# Systems Manager 的安全最佳实践
AWS Systems Manager 提供了在您开发和实施自己的安全策略时需要考虑的大量安全功能。以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求,请将其视为有用的考虑因素而不是惯例。
**Topics**
+ [Systems Manager 预防性安全最佳实践](#security-best-practices-prevent)
+ [SSM Agent 安装最佳实践](#security-best-practices-ssm-agent)
+ [Systems Manager 监控和审计最佳实践](#security-best-practices-detect)
## Systems Manager 预防性安全最佳实践
Systems Manager 的以下最佳实践可以帮助防止安全事故。
**实施最低权限访问**
在授予权限时,您可以决定谁获得哪些 Systems Manager 资源的哪些权限。您可以允许对这些资源启用希望允许的特定操作。因此,您应仅授予执行任务所需的权限。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。
为实现最低权限访问,可以使用以下工具:
+ [IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)和 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
**配置为使用代理时,请使用 SSM Agent 的建议设置**
如果将 SSM Agent 配置为使用代理,请将 `no_proxy` 变量与 Systems Manager 实例元数据服务的 IP 地址配合使用,以确保对 Systems Manager 的调用不会采用代理服务的标识。
有关更多信息,请参阅 [配置 SSM Agent 以在 Linux 节点上使用代理](configure-proxy-ssm-agent.md) 和 [配置 SSM Agent以使用 Windows Server 实例的代理](configure-proxy-ssm-agent-windows.md)。
**使用 SecureString 参数加密和保护密钥数据**
在 Parameter Store(AWS Systems Manager 中的一项工具)中,`SecureString` 参数是需要以安全的方式存储和引用的任何敏感数据。如果您有不希望用户更改或以明文形式引用的数据(例如密码或许可证密钥),则应使用 `SecureString` 数据类型创建这些参数。Parameter Store 使用 AWS Key Management Service(AWS KMS)中的 AWS KMS key 加密参数值。在加密参数值时,AWS KMS 使用客户托管密钥或 AWS 托管式密钥。为了获得最大的安全性,我们建议您使用自己的 KMS 密钥。如果您使用 AWS 托管式密钥,则有权在您的账户中运行 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html) 和 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) 操作的任何用户均有权查看或检索所有 `SecureString` 参数的内容。如果您使用客户托管密钥加密 `SecureString` 值,则可使用 IAM 策略和密钥策略来管理加密和解密参数的权限。
使用 AWS 托管式密钥 时,为这些操作建立访问控制策略更加困难。例如,如果您使用 AWS 托管式密钥 来加密 `SecureString` 参数,并且不希望用户使用 `SecureString` 参数,那么用户的 IAM 策略必须明确拒绝对默认密钥的访问权限。
有关更多信息,请参阅*《AWS Key Management Service 开发人员指南》*中的 [使用 IAM 策略限制对 Parameter Store 参数的访问](sysman-paramstore-access.md) 和 [AWS Systems ManagerParameter Store 如何使用 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html)。
**为文档参数定义 allowedValues 和 allowedPattern**
您可以通过定义 `allowedValues` 和 `allowedPattern` 来验证用户在 Systems Manager 文档(SSM 文档)中的参数输入。对于 `allowedValues`,需要定义参数允许的值数组。如果用户输入了不允许的值,则执行将无法启动。对于 `allowedPattern`,需要定义一个正则表达式,用于验证用户输入是否与参数的定义模式匹配。如果用户输入与允许的模式不匹配,则执行无法启动。
有关 `allowedValues` 和 `allowedPattern` 的更多信息,请参阅 [数据元素和参数](documents-syntax-data-elements-parameters.md)。
**阻止文档公开分享**
除非您的应用场景需要允许公开共享,否则我们建议在 Systems Manager 文档控制台的**首选项**部分,为您的 SSM 文档启用阻止公开共享设置。
**使用 Amazon Virtual Private Cloud(Amazon VPC)和 VPC 端点**
您可以使用 Amazon VPC 在已定义的虚拟网络内启动 AWS 资源。这个虚拟网络与您在数据中心中运行的传统网络极其相似,并会为您提供使用 AWS 的可扩展基础设施的优势。
通过实施 VPC 端点,您可以通过私有方式将 VPC 连接到支持的 AWS 服务 和 VPC 端点服务(由 AWS PrivateLink 提供支持),而无需互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例无需公有 IP 地址便可与服务中的资源进行通信。VPC 和其他服务之间的流量不会脱离 Amazon 网络。
有关 Amazon VPC 安全性的更多信息,请参阅*《Amazon VPC 用户指南》*中的[使用适用于 Systems Manager 的 VPC 端点提高 EC2 实例的安全性](setup-create-vpc.md)和 [Amazon VPC 中的互联网络流量隐私](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)。
**使用交互式命令和特定的 SSM 会话文档限制 Session Manager 用户访问会话**
Session Manager(AWS Systems Manager 中的一项工具)可向托管式节点提供[多种方法来启动会话](session-manager-working-with-sessions-start.md)。为了实现最安全的连接,您可以要求用户使用*交互式命令* 方法进行连接,以将用户的交互限制为特定命令或命令序列。这有助于管理用户可以执行的交互操作。有关更多信息,请参阅 [启动会话(交互式和非交互式命令)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands)。
为了提高安全性,您可以限制 Session Manager 对特定 Amazon EC2 实例和特定 Session Manager 会话文档的访问权限。您可以使用 AWS Identity and Access Management(IAM)policy 以这种方式授予或撤消 Session Manager 访问权限。有关更多信息,请参阅 [步骤 3:控制会话对托管式节点的访问](session-manager-getting-started-restrict-access.md)。
**为自动化工作流提供临时节点权限**
在 Automation(AWS Systems Manager 中的一项工具)中执行工作流期间,节点可能只需要执行该工作流所需的权限,而无需其他 Systems Manager 操作的权限。例如,Automation 工作流可能需要节点在工作流期间调用特定 API 操作或访问特定 AWS 资源。如果您希望限制访问这些调用或资源,则可以在自动化运行手册本身中为您的节点提供临时补充权限,而不是将权限添加到您的 IAM 实例配置文件中。在自动化工作流结束时,临时权限将删除。有关更多信息,请参阅*《AWS 管理和治理博客》*中的[为 AWS Systems Manager 自动化提供临时实例权限](https://aws.amazon.com/blogs/mt/providing-temporary-instance-permissions-with-aws-systems-manager-automations/)。
**使 AWS 和 Systems Manager 工具保持最新**
AWS 定期发布您可在 AWS 和 Systems Manager 操作中使用的工具和插件的更新版本。将这些资源保持为最新,可确保您账户中的用户和节点能够访问这些工具中的最新功能和安全功能。
+ SSM Agent – AWS Systems Manager Agent(SSM Agent)是一个 Amazon 软件,可以在 Amazon Elastic Compute Cloud(Amazon EC2)实例、本地服务器或虚拟机(VM)上安装和配置。SSM Agent 让 Systems Manager 可以更新、管理和配置这些资源。我们建议至少每两周检查一次新版本,或者应用对代理的自动更新。有关信息,请参阅 [自动更新到 SSM Agent](ssm-agent-automatic-updates.md)。我们还建议在更新过程中验证 SSM Agent 的签名。有关信息,请参阅[验证 SSM Agent 签名](verify-agent-signature.md)。
+ AWS CLI – AWS Command Line Interface(AWS CLI)是一种开源工具,让您能够在命令行 Shell 中使用命令与 AWS 服务 进行交互。要更新 AWS CLI,请运行安装 AWS CLI 时使用的相同命令。我们建议您在本地计算机上创建计划任务,根据您的操作系统来相应运行命令,至少每两周一次。有关安装命令的信息,请参阅*《AWS Command Line Interface 用户指南》*中的[安装 AWS CLI 版本 2](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
+ AWS Tools for Windows PowerShell – Tools for Windows PowerShell 是一组 PowerShell 模块,根据适用于 .NET 的 AWS SDK 公开的功能构建。AWS Tools for Windows PowerShell 使您可以从 PowerShell 命令行在 AWS 资源上为操作编写脚本。随着 Tools for Windows PowerShell 的更新版本定期发布,您应更新在本地运行的版本。有关信息,请参阅*《IAM policy simulator 用户指南》*中的[在 Windows 上更新 AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-windows.html#pstools-updating) 或[在 Linux 或 macOS 上更新 AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-linux-mac.html#pstools-updating-linux)。
+ Session Manager 插件 – 如果贵企业中具有 Session Manager 使用权限的用户想要使用 AWS CLI 连接到节点,则他们必须先在其本地计算机上安装 Session Manager 插件。若要更新插件,请运行安装插件时使用的相同命令。我们建议您在本地计算机上创建计划任务,根据您的操作系统来相应运行命令,至少每两周一次。有关信息,请参阅[为 AWS CLI 安装 Session Manager 插件](session-manager-working-with-install-plugin.md)。
+ CloudWatch 代理 – 您可以配置和使用 CloudWatch 代理,从 EC2 实例、本地实例和虚拟机 (VM) 收集指标及日志。这些日志可以发送到 Amazon CloudWatch Logs 以进行监控和分析。我们建议至少每两周检查一次新版本,或者应用对代理的自动更新。对于最简单的更新,请使用 AWS Systems Manager 快速设置。有关信息,请参阅[AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)。
## SSM Agent 安装最佳实践
安装 SSM Agent 时,请使用适合您的计算机类型的安装方法。特别是在[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境中,对于所有非 EC2 安装,请使用 `ssm-setup-cli` 工具。此工具为非 EC2 计算机提供额外的安全保护。
要在本地服务器和虚拟机上安装代理,请使用 `ssm-setup-cli` 工具,如以下主题中所述:
+ [在混合 Linux 节点上安装 SSM Agent](hybrid-multicloud-ssm-agent-install-linux.md)
+ [在混合 Windows Server 节点上安装 SSM Agent](hybrid-multicloud-ssm-agent-install-windows.md)
要在 EC2 实例上安装代理,请使用适合您的操作系统类型的安装过程:
+ [在适用于 Linux 的 EC2 实例上手动安装和卸载 SSM Agent](manually-install-ssm-agent-linux.md)
+ [在适用于 macOS 的 EC2 实例上手动安装和卸载 SSM Agent](manually-install-ssm-agent-macos.md)
+ [在适用于 Windows Server 的 EC2 实例上手动安装和卸载 SSM Agent](manually-install-ssm-agent-windows.md)
## Systems Manager 监控和审计最佳实践
Systems Manager 的以下实践可以帮助检测潜在的安全弱点和事故。
**识别和审计您的所有 Systems Manager 资源**
确定您的 IT 资产是监管和安全性的一个至关重要的方面。您需要标识所有 Systems Manager 资源,以评估它们的安保状况并对潜在的薄弱领域采取措施。
使用标签编辑器确定安全性敏感或审计敏感资源,然后在您需要搜索这些资源时使用这些标签。有关更多信息,请参阅*《AWS Resource Groups 用户指南》*中的[查找要标记的资源](https://docs.aws.amazon.com/ARG/latest/userguide/find-resources-to-tag.html)。
为您的 Systems Manager 资源创建资源组。有关更多信息,请参阅[什么是资源组?](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)
**使用 Amazon CloudWatch 监控工具实施监控**
监控是保持 Systems Manager 和您的 AWS 解决方案的可靠性、安全性、可用性和性能的重要环节。Amazon CloudWatch 提供了多种工具和服务来帮助您监控 Systems Manager 和其他 AWS 服务。有关更多信息,请参阅[将节点日志发送到统一的 CloudWatch Logs(CloudWatch 代理)](monitoring-cloudwatch-agent.md)和[使用 Amazon EventBridge 监控 Systems Manager 事件](monitoring-eventbridge-events.md)。
**使用 CloudTrail**
AWS CloudTrail 提供了用户、角色或 AWS 服务 在 Systems Manager 中所执行操作的记录。使用 CloudTrail 收集的信息,您可以确定向 Systems Manager 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息,请参阅 [使用 AWS CloudTrail 记录 AWS Systems Manager API 调用](monitoring-cloudtrail-logs.md)。
**启用 AWS Config**
使用 AWS Config,您能够评测、审计和评估您的 AWS 资源的配置。AWS Config 监控资源配置,让您能够针对所需的安全配置评估所记录的配置。使用 AWS Config,您可以查看配置更改以及 AWS 资源之间的关系,调查详细的资源配置历史记录,并判断您的配置在整体上是否符合内部指南中所指定的配置要求。这可以帮助您简化合规性审核、安全性分析、变更管理和操作故障排除。有关更多信息,请参阅*《AWS Config 开发人员指南》*中的[使用控制台设置 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)。当指定要记录的资源类型时,确保您包括了 Systems Manager 资源。
**监控 AWS 安全公告**
您应该经常为您的 AWS 账户 检查在 Trusted Advisor 中发布的安全公告。您可以使用 [describe-trusted-advisor-checks](https://docs.aws.amazon.com/cli/latest/reference/support/describe-trusted-advisor-checks.html) 以编程方式完成此操作。
此外,积极地监控向您的每一个 AWS 账户 注册的原始邮件地址。AWS 将使用该邮箱地址就可能影响您的紧急安全事件与您联系。
具有广泛影响的 AWS 操作性问题将在 [AWS Service Health Dashboard](https://status.aws.amazon.com/) 上发布。操作性问题也会通过 Personal Health Dashboard 发布给个人账户。有关更多信息,请参阅 [AWS Health 文档](https://docs.aws.amazon.com/health/)。
**更多信息**
+ [安全性、身份和合规性最佳实践](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [入门:在配置AWS资源时遵循最佳实践](https://aws.amazon.com/blogs/security/getting-started-follow-security-best-practices-as-you-configure-your-aws-resources/)(AWS安全博客)
+ [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [AWS CloudTrail 中的安全最佳实践](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Simple Storage Service(Amazon S3)的安全最佳实践](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)
+ [AWS Key Management Service 的安全最佳实践](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)