| CW = CloudWatch。ARN = Amazon Resource Name。\* = 萬用字元 (任何)。 | |||
|---|---|---|---|
| 政策聲明 | Effect | 動作 | 描述和資源 (ARN) |
| **Amazon Elastic Compute Cloud (Amazon EC2)** | |||
| EC2 訊息動作 | 允許 | AcknowledgeMessage、 DeleteMessage、 FailMessage、 GetEndpoint、 GetMessages、 SendReply | 允許帳戶中的 EC2 Systems Manager 訊息動作。 |
| Ec2 描述 | 允許 | \* (全部) | 允許主控台顯示您帳戶中 EC2 的組態詳細資訊。 |
| Iam 取得角色 ID | 允許 | GetRole | 允許 EC2 從 `aws:iam::*:role/customer-*`和 取得您的 IAM ID`aws:iam::*:role/customer_*`。 |
| 上傳日誌事件的執行個體 | 允許 | 建立日誌群組 | 允許在以下位置建立日誌: `aws:logs:*:*:log-group:i-*` |
| 建立日誌串流 | 允許將日誌串流至: `aws:logs:*:*:log-group:i-*` | ||
| MMS 的 CW | 允許 | DescribeAlarms、 PutMetricAlarm、 PutMetricData | 允許 CloudWatch 擷取您帳戶中的警示。 允許 CW 建立或更新警示,並將其與指定的指標建立關聯。 允許 CW 將指標資料點發佈至您的帳戶。 |
| Ec2 標籤 | 允許 | CreateTags、 DescribeTags、 | 允許在您帳戶中的指定執行個體上新增、覆寫和描述標籤。 |
| 明確拒絕 CW 日誌 | 拒絕 | DescribeLogStreams、 FilterLogEvents、 GetLogEvents | 不允許列出、篩選或取得日誌串流: `aws:logs:*:*:log-group:/mc/*` |
| **Amazon EC2 Simple Systems Manager (SSM)** | |||
| SSM 動作 | 允許 | DescribeAssociation、 GetDocument、 ListAssociations、 UpdateAssociationStatus、 UpdateInstanceInformation | 允許帳戶中的各種 SSM 函數。 |
| S3 中的 SSM 存取 | 允許 | GetObject、 PutObject、 AbortMultipartUpload、 ListMultipartUploadPorts、 ListBucketMultipartUploads | 允許 EC2 上的 SSM 在 中取得和更新物件,並中止分段物件上傳至 ,以及列出可用於 分段上傳的連接埠和儲存貯體`aws:s3:::mc-*-internal-*/aws/ssm*`。 |
| **Amazon EC2 Simple Storage Service (S3)** | |||
| 在 S3 中取得物件 | 允許 | 取得 清單 | 允許 EC2 應用程式擷取和列出您帳戶中 S3 儲存貯體中的物件。 |
| 客戶加密日誌 S3 存取 | 允許 | PutObject | 允許 EC2 應用程式更新 中的物件 `aws:s3:::mc-*-logs-*/encrypted/app/*` |
| 修補程式資料放置物件 S3 | 允許 | PutObject | 允許 EC2 應用程式將修補資料上傳至 S3 儲存貯體 `aws:s3:::awsms-a*-patch-data-*` |
| 將自有日誌上傳至 S3 | 允許 | PutObject | 允許 EC2 應用程式將自訂日誌上傳至: `aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*` |
| 明確拒絕 MC 命名空間 S3 日誌 | 拒絕 | GetObject\* Put\* | 不允許 EC2 應用程式從下列位置取得或放置任何物件: `aws:s3:::mc-*-logs-*/encrypted/mc*`, `aws:s3:::mc-*-logs-*/mc/*`, `aws:s3:::mc-a*-logs-*-audit/*` |
| 明確拒絕 S3 刪除 | 拒絕 | \* (全部) | 不允許 EC2 應用程式對下列物件採取任何動作: `aws:s3:::mc-a*-logs-*/*`, `aws:s3:::mc-a*-internal-*/*`, |
| 明確拒絕 S3 CFN 儲存貯體 | 拒絕 | 刪除\* | 不允許 EC2 應用程式從下列位置刪除任何物件: `aws:s3:::cf-templates-*` |
| 明確拒絕清單儲存貯體 S3 | 拒絕 | ListBucket | 不允許您從下列位置列出任何加密、稽核日誌或預留 (mc) 物件: `aws:s3:::mc-*-logs-*` |
| **AWS Secrets Manager 在 Amazon EC2 中** | |||
| Trend Cloud One 秘密存取 | 允許 | GetSecretValue | 允許 Amazon EC2 存取 Trend Cloud One 遷移的秘密: `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`, `arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*`, `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`, `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*` |
| **AWS Key Management Service 在 Amazon EC2 中** | |||
| Trend Cloud One 解密金鑰 | 允許 | 解密 | 允許 Amazon EC2 以別名名稱 /ams/eps/cloudone-migration 解密 AWS KMS 金鑰 `arn:aws:kms:*:*:alias/ams/eps/cloudone-migration` |