本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
EC2 IAM 執行個體描述檔
執行個體描述檔是適用於 IAM 角色的容器,可讓您在執行個體啟動時將角色資訊傳遞至 EC2 執行個體。
- MALZ
-
有兩個 AMS 預設執行個體描述檔
customer-mc-ec2-instance-profile和customer-mc-ec2-instance-profile-s3。這些執行個體描述檔提供下表所述的許可。政策描述 設定檔 Policies customer-mc-ec2-instance-profileAmazonSSMManagedInstanceCore:允許 Ec2 執行個體使用 SSM 代理程式。AMSInstanceProfileLoggingPolicy:允許 Ec2 執行個體將日誌推送至 S3 和 CloudWatch。AMSInstanceProfileManagementPolicy:允許 Ec2 執行個體執行開機動作,例如加入 Active Directory。AMSInstanceProfileMonitoringPolicy:允許 Ec2 執行個體向 AMS 監控服務報告問題清單。AMSInstanceProfilePatchPolicy:允許 Ec2 執行個體接收修補程式。customer-mc-ec2-instance-profile-s3AMSInstanceProfileBYOEPSPolicy:允許 Ec2 執行個體使用 AMS 帶來您自己的 EPS。AMSInstanceProfileLoggingPolicy:允許 Ec2 執行個體將日誌推送至 S3 和 CloudWatch。AMSInstanceProfileManagementPolicy:允許 Ec2 執行個體執行開機動作,例如加入 Active Directory。AMSInstanceProfileMonitoringPolicy:允許 Ec2 執行個體向 AMS 監控服務報告問題清單。AMSInstanceProfilePatchPolicy:允許 Ec2 執行個體接收修補程式。AMSInstanceProfileS3WritePolicy:允許 Ec2 執行個體讀取/寫入客戶 S3 儲存貯體。 - SALZ
-
有一個 AMS 預設執行個體描述檔
customer-mc-ec2-instance-profile,授予 IAM 執行個體政策 的許可customer_ec2_instance_profile_policy。此執行個體描述檔提供下表所述的許可。設定檔會將許可授予執行個體上執行的應用程式,而非登入執行個體的使用者。政策通常包含多個陳述式,其中每個陳述式會將許可授予一組不同的資源,或在特定條件下授予許可。
CW = CloudWatch。ARN = Amazon Resource Name。* = 萬用字元 (任何)。
EC2 預設 IAM 執行個體描述檔許可 CW = CloudWatch。ARN = Amazon Resource Name。* = 萬用字元 (任何)。
政策聲明 Effect 動作 描述和資源 (ARN) Amazon Elastic Compute Cloud (Amazon EC2)
EC2 訊息動作
允許
AcknowledgeMessage、
DeleteMessage、
FailMessage、
GetEndpoint、
GetMessages、
SendReply
允許帳戶中的 EC2 Systems Manager 訊息動作。
Ec2 描述
允許
* (全部)
允許主控台顯示您帳戶中 EC2 的組態詳細資訊。
Iam 取得角色 ID
允許
GetRole
允許 EC2 從
aws:iam::*:role/customer-*和 取得您的 IAM IDaws:iam::*:role/customer_*。上傳日誌事件的執行個體
允許
建立日誌群組
允許在以下位置建立日誌:
aws:logs:*:*:log-group:i-*建立日誌串流
允許將日誌串流至:
aws:logs:*:*:log-group:i-*MMS 的 CW
允許
DescribeAlarms、
PutMetricAlarm、
PutMetricData
允許 CloudWatch 擷取您帳戶中的警示。
允許 CW 建立或更新警示,並將其與指定的指標建立關聯。
允許 CW 將指標資料點發佈至您的帳戶。
Ec2 標籤
允許
CreateTags、
DescribeTags、
允許在您帳戶中的指定執行個體上新增、覆寫和描述標籤。
明確拒絕 CW 日誌
拒絕
DescribeLogStreams、
FilterLogEvents、
GetLogEvents
不允許列出、篩選或取得日誌串流:
aws:logs:*:*:log-group:/mc/*Amazon EC2 Simple Systems Manager (SSM)
SSM 動作
允許
DescribeAssociation、
GetDocument、
ListAssociations、
UpdateAssociationStatus、
UpdateInstanceInformation
允許帳戶中的各種 SSM 函數。
S3 中的 SSM 存取
允許
GetObject、
PutObject、
AbortMultipartUpload、
ListMultipartUploadPorts、
ListBucketMultipartUploads
允許 EC2 上的 SSM 在 中取得和更新物件,並中止分段物件上傳至 ,以及列出可用於 分段上傳的連接埠和儲存貯體
aws:s3:::mc-*-internal-*/aws/ssm*。Amazon EC2 Simple Storage Service (S3)
在 S3 中取得物件
允許
取得
清單
允許 EC2 應用程式擷取和列出您帳戶中 S3 儲存貯體中的物件。
客戶加密日誌 S3 存取
允許
PutObject
允許 EC2 應用程式更新 中的物件
aws:s3:::mc-*-logs-*/encrypted/app/*修補程式資料放置物件 S3
允許
PutObject
允許 EC2 應用程式將修補資料上傳至 S3 儲存貯體
aws:s3:::awsms-a*-patch-data-*將自有日誌上傳至 S3
允許
PutObject
允許 EC2 應用程式將自訂日誌上傳至:
aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*明確拒絕 MC 命名空間 S3 日誌
拒絕
GetObject*
Put*
不允許 EC2 應用程式從下列位置取得或放置任何物件:
aws:s3:::mc-*-logs-*/encrypted/mc*,aws:s3:::mc-*-logs-*/mc/*,aws:s3:::mc-a*-logs-*-audit/*明確拒絕 S3 刪除
拒絕
* (全部)
不允許 EC2 應用程式對下列物件採取任何動作:
aws:s3:::mc-a*-logs-*/*,aws:s3:::mc-a*-internal-*/*,明確拒絕 S3 CFN 儲存貯體
拒絕
刪除*
不允許 EC2 應用程式從下列位置刪除任何物件:
aws:s3:::cf-templates-*明確拒絕清單儲存貯體 S3
拒絕
ListBucket
不允許您從下列位置列出任何加密、稽核日誌或預留 (mc) 物件:
aws:s3:::mc-*-logs-*AWS Secrets Manager 在 Amazon EC2 中
Trend Cloud One 秘密存取
允許
GetSecretValue
允許 Amazon EC2 存取 Trend Cloud One 遷移的秘密:
aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*,aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*,aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*AWS Key Management Service 在 Amazon EC2 中
Trend Cloud One 解密金鑰
允許
解密
允許 Amazon EC2 以別名名稱 /ams/eps/cloudone-migration 解密 AWS KMS 金鑰
arn:aws:kms:*:*:alias/ams/eps/cloudone-migration
如果您不熟悉 Amazon IAM 政策,請參閱 IAM 政策概觀以取得重要資訊。
注意
政策通常包含多個陳述式,其中每個陳述式會將許可授予一組不同的資源,或在特定條件下授予許可。
