AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 的 受管政策 AWS Systems Manager
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有 服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 IAM 使用者指南中的 AWS 受管政策。
主題
AWS 受管政策: AWSSystemsManagerEnableConfigRecordingExecutionPolicy
AWS 受管政策:AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
AWS 受管政策:AWS-SSM-RemediationAutomation-AdministrationRolePolicy
AWS 受管政策:AWSSystemsManagerJustInTimeAccessTokenSessionPolicy
AWS 受管政策:AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy
AWS 受管政策:AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
AWS 受管政策:AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
AWS 受管政策:AmazonSSMServiceRolePolicy
此政策可讓您存取由 Systems Manager 操作管理 AWS Systems Manager 或用於 Systems Manager 操作的許多 AWS 資源。
您無法AmazonSSMServiceRolePolicy連接至您的 AWS Identity and Access Management (IAM) 實體。此政策會連接到服務連結角色, AWS Systems Manager 允許 代表您執行動作。如需詳細資訊,請參閱使用角色來收集庫存和查看 OpsData。
許可詳細資訊
此政策包含以下許可。
-
ssm:允許主體啟動並逐步執行 Run Command 和 Automation;擷取 Run Command 和 Automation 操作的相關資訊;擷取 Parameter Store 參數 Change Calendar 行事曆的相關資訊;更新和擷取 OpsCenter 資源的 Systems Manager 服務設定的相關資訊;以及讀取已套用至資源的標籤相關資訊。 -
cloudformation:允許主體擷取堆疊集操作和堆疊集執行個體的相關資訊,以及刪除資源arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*上的堆疊集。允許主體刪除與下列資源相關聯的堆疊執行個體:arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:type/resource/*
-
cloudwatch:允許主體擷取 Amazon CloudWatch 警示的相關資訊。 -
compute-optimizer– 允許主體擷取帳戶對 AWS Compute Optimizer 服務的註冊 (選擇加入) 狀態,以及擷取符合特定陳述要求之 Amazon EC2 執行個體的建議。 -
config– 允許主體在 中擷取資訊修復組態和組態記錄器 AWS Config,並判斷指定的 AWS Config 規則 AWS 和資源是否合規。 -
events:允許主體擷取 EventBridge 規則的相關資訊;只為 Systems Manager 服務 (ssm.amazonaws.com) 建立 EventBridge 規則和目標;以及刪除資源arn:aws:events:*:*:rule/SSMExplorerManagedRule的規則和目標。 -
ec2:允許主體擷取 Amazon EC2 執行個體的相關資訊。 -
iam:允許主體傳遞 Systems Manager 服務 (ssm.amazonaws.com) 的角色許可。 -
lambda:允許主體調用 Lambda 函數,這些函數是專為供 Systems Manager 使用而設定。 -
resource-explorer-2:允許主體擷取 EC2 執行個體的相關資料,以便判斷每個執行個體目前是否由 Systems Manager 管理。允許對
arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*資源執行resource-explorer-2:CreateManagedView動作。 -
resource-groups– 允許主體從屬於資源群組 AWS Resource Groups 的資源擷取清單資源群組及其成員。 -
securityhub– 允許主體擷取目前帳戶中中 AWS Security Hub 樞資源的相關資訊。 -
states– 允許主體啟動和擷取專門為 Systems Manager AWS Step Functions 使用而設定的資訊。 -
support:允許主體擷取 AWS Trusted Advisor中檢查和案例的相關資訊。 -
tag:允許主體擷取帳戶指定 AWS 區域 中所有已標記或先前標記之資源的相關資訊。
若要檢視此政策的詳細資訊 (包括 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》中的 AmazonSSMServiceRolePolicy 一節。
AWS 受管政策:AmazonSSMAutomationRole
您可將 AmazonSSMAutomationRole 政策連接到 IAM 身分。此政策提供 AWS Systems Manager Automation 服務執行 Automation Runbook 中定義之活動的許可。
許可詳細資訊
此政策包含以下許可。
-
lambda– 允許主體調用名稱開頭為 "Automation" 的 Lambda 函式。這是 Automation 執行手冊在工作流程中執行 Lambda 函式的必要條件。 -
ec2– 允許主體執行各種 Amazon EC2 操作,包括建立、複製和取消註冊映像;管理快照;啟動、執行、停止和終止執行個體;管理執行個體狀態;以及建立、刪除和描述標籤。這些許可讓 Automation 執行手冊能夠在執行期間管理 Amazon EC2 資源。 -
cloudformation– 允許主體建立、描述、更新和刪除 CloudFormation 堆疊。這讓 Automation 執行手冊能夠透過 CloudFormation 以程式碼形式管理基礎設施。 -
ssm– 允許主體使用所有 Systems Manager 動作。Automation 執行手冊需要此完整存取權,才能與所有 Systems Manager 功能互動。 -
sns– 允許主體將訊息發布至名稱開頭為 "Automation" 的 Amazon SNS 主題。這讓 Automation 執行手冊能夠在執行期間傳送通知。 -
ssmmessages– 允許主體開啟 Systems Manager 工作階段的資料通道。這讓 Automation 執行手冊能夠建立工作階段型操作的通訊管道。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AmazonSSMAutomationRole。
AWS 受管政策:AmazonSSMReadOnlyAccess
您可將 AmazonSSMReadOnlyAccess 政策連接到 IAM 身分。此政策授予 AWS Systems Manager API 操作的唯讀存取權Describe*,包括 Get*、 和 List*。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》中的 AmazonSSMReadOnlyAccess 一節。
AWS 受管政策:AWSSystemsManagerOpsDataSyncServiceRolePolicy
您不得將 AWSSystemsManagerOpsDataSyncServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱使用角色為 OpsItems 建立 OpsData 和 Explorer:。
AWSSystemsManagerOpsDataSyncServiceRolePolicy 允許AWSServiceRoleForSystemsManagerOpsDataSync服務連結角色從 AWS Security Hub 調查結果建立和更新 OpsItems和 OpsData。
此政策允許 Systems Manager 對所有相關資源 ("Resource": "*") 完成下列動作,除非另有說明:
-
ssm:GetOpsItem[1] -
ssm:UpdateOpsItem[1] -
ssm:CreateOpsItem -
ssm:AddTagsToResource[2] -
ssm:UpdateServiceSetting[3] -
ssm:GetServiceSetting[3] -
securityhub:GetFindings -
securityhub:GetFindings -
securityhub:BatchUpdateFindings[4]
[1] 透過以下條件,僅允許對 Systems Manager 服務進行 ssm:GetOpsItem 和 ssm:UpdateOpsItem 動作的許可。
"Condition": { "StringEquals": { "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true" } }
[2] 僅允許對以下資源進行 ssm:AddTagsToResource 動作的許可。
arn:aws:ssm:*:*:opsitem/*
[3] 僅允許對以下資源進行 ssm:UpdateServiceSetting 和 ssm:GetServiceSetting 動作的許可。
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
[4] 透過以下條件,僅拒絕對 Systems Manager 服務進行 securityhub:BatchUpdateFindings 的許可。
{ "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Confidence": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Criticality": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.Text": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.UpdatedBy": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/RelatedFindings": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Types": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.key": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.value": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/VerificationState": false } }
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》中的 AWSSystemsManagerOpsDataSyncServiceRolePolicy 一節。
AWS 管理的政策:AmazonSSMManagedEC2InstanceDefaultPolicy
只應將 AmazonSSMManagedEC2InstanceDefaultPolicy 連接到您希望有權使用 Systems Manager 功能的 Amazon EC2 執行個體 IAM 角色。不應將此角色連接到其他 IAM 實體 (例如 IAM 使用者和 IAM 群組),或連接到其他用途的 IAM 角色。如需詳細資訊,請參閱使用預設主機管理組態來自動管理 EC2 執行個體。
此政策會授予許可,這些許可允許 Amazon EC2 執行個體上的 SSM Agent 與雲端中的 Systems Manager 服務通訊,以便執行各種任務。此政策還會為提供授權權杖的兩項服務授予許可,確保都是在正確的執行個體執行操作。
許可詳細資訊
此政策包含以下許可。
-
ssm:允許主體擷取文件;使用 Run Command 執行命令;使用 Session Manager 建立工作階段;收集執行個體的庫存資訊;以及使用 Patch Manager 掃描修補程式和修補程式合規情況。 -
ssmmessages:允許主體存取由 Amazon Message Gateway Service 為每個執行個體建立的個人化授權權杖。Systems Manager 根據 API 操作中提供的執行個體 Amazon Resource Name (ARN) 驗證個人化授權權杖。為確保 SSM Agent 是在正確的執行個體執行 API 操作,此存取權是必要的。 -
ec2messages:允許主體存取由 Amazon Message Delivery Service 為每個執行個體建立的個人化授權權杖。Systems Manager 根據 API 操作中提供的執行個體 Amazon Resource Name (ARN) 驗證個人化授權權杖。為確保 SSM Agent 是在正確的執行個體執行 API 操作,此存取權是必要的。
如需 ssmmessages 和 ec2messages 端點的相關資訊 (包括兩者之間的差異),請參閱代理程式相關的 API 操作 (ssmmessages 和 ec2messages 端點)。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》中的 AmazonSSMManagedEC2InstanceDefaultPolicy 一節。
AWS 受管政策:SSMQuickSetupRolePolicy
您無法將 SSMQuickSetupRolePolicy 連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱使用角色來維護 Quick Setup 佈建的資源運作狀態和一致性。
此政策會授予唯讀許可,這些許可允許 Systems Manager 檢查組態運作狀態、確認參數和佈建資源的使用情形是否一致,以及在偵測到漂移時修復資源。此政策還授予建立服務連結角色的管理許可。
許可詳細資訊
此政策包含以下許可。
-
ssm:允許主體在 Systems Manager 中 (包括在委派管理員帳戶中) 讀取資訊資源資料同步和 SSM 文件。這是必要條件,因此 Quick Setup 可以判斷已設定資源的預期狀態。 -
organizations:允許主體讀取屬於組織 (如 AWS Organizations中所設定) 的成員帳戶的相關資訊。這是必要條件,因此 Quick Setup 可以識別組織中要執行資源運作狀態檢查的所有帳戶。 -
cloudformation– 允許主體從中讀取資訊 CloudFormation。這是必要的,因此 Quick Setup可以收集用於管理資源狀態和 CloudFormation CloudFormation 堆疊集操作之堆疊的資料。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 SSMQuickSetupRolePolicy。
AWS 受管政策:AWSQuickSetupDeploymentRolePolicy
受管政策 AWSQuickSetupDeploymentRolePolicy 支援多種 Quick Setup 組態類型。這些組態類型會建立 IAM 角色和自動化,透過建議的最佳實務來設定常用的 Amazon Web Services 服務和功能。
您可以將 AWSQuickSetupDeploymentRolePolicy 連接到 IAM 實體。
此政策會授予管理許可,在建立與下列 Quick Setup 組態相關聯的資源時需要這些許可:
許可詳細資訊
此政策包含以下許可。
-
ssm– 允許主體透過 呼叫時讀取、建立、更新和刪除名稱開頭為「AWSQuickSetup-」或「AWSOperationsPack-」的 SSM 文件 CloudFormation;讀取特定 AWS 擁有的文件,包括「AWSQuickSetupType-ManageInstanceProfile」;透過 呼叫時建立、更新和刪除Quick Setup文件和 AWS 擁有文件的關聯 CloudFormation;以及清除標記為 的舊版資源QuickSetupID。這讓 Quick Setup 能夠部署和管理自動化工作流程和關聯。 -
cloudformation– 允許主體讀取 CloudFormation 有關堆疊和堆疊集的資訊;以及為名稱開頭為「StackSet-AWS-QuickSetup-」的資源建立、更新和刪除 CloudFormation 堆疊和變更集。 StackSet-AWS-QuickSetup 這讓 Quick Setup 能夠管理跨帳戶和區域的基礎設施部署。 -
config– 允許主體讀取有關 AWS Config 一致性套件及其狀態的資訊;以及透過 CloudFormation呼叫時,建立和刪除名稱開頭為 "AWS-QuickSetup-" 的一致性套件。這讓 Quick Setup 能夠部署合規監控組態。 -
events– 允許主體管理名稱包含 "QuickSetup-" 之資源的 EventBridge 規則和目標。這讓 Quick Setup 能夠建立排定的自動化工作流程。 -
iam– 允許主體為 AWS Config 和 Systems Manager 建立服務連結角色;透過 呼叫時建立、管理和刪除名稱開頭為「AWS-QuickSetup-」或「AWSOperationsPack-」的 IAM 角色 CloudFormation;將這些角色傳遞給 Systems Manager 和 EventBridge 服務;將特定 AWS 受管政策連接至這些角色;以及使用特定Quick Setup受管政策設定許可界限。這讓 Quick Setup 能夠為其操作建立必要的服務角色。 -
resource-groups– 允許主體擷取資源群組查詢。這讓 Quick Setup 能夠鎖定特定資源集,進行組態管理。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupDeploymentRolePolicy。
AWS 受管政策:AWSQuickSetupPatchPolicyDeploymentRolePolicy
受管政策 AWSQuickSetupPatchPolicyDeploymentRolePolicy 支援使用 Quick Setup 修補程式政策設定組織中執行個體的修補 Quick Setup 類型。此組態類型有助於將修補單一帳戶或組織中應用程式和節點的程序自動化。
您可以將 AWSQuickSetupPatchPolicyDeploymentRolePolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策會授予管理許可,這些許可允許 Quick Setup 建立與修補程式政策組態相關聯的資源。
許可詳細資訊
此政策包含以下許可。
-
iam:允許主體管理和刪除自動化組態任務所需的 IAM 角色,以及管理自動化角色政策。 -
cloudformation– 允許主體讀取 CloudFormation 堆疊資訊;以及控制Quick Setup使用 CloudFormation 堆疊集建立的 CloudFormation 堆疊。 -
ssm:允許主體建立、更新、讀取和刪除組態任務所需的 Automation 執行手冊,以及建立、更新和刪除 State Manager 關聯。
-
resource-groups:允許主體擷取資源查詢,這些查詢與被 Quick Setup 組態視為目標的資源群組相關聯。
-
s3:允許主體列出 Amazon S3 儲存貯體,以及管理可用來存放修補程式政策存取日誌的儲存貯體。 -
lambda– 允許主體管理將組態維持在正確狀態的 AWS Lambda 修復函數。 -
logs:允許主體描述和管理 Lambda 組態資源的日誌群組。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupPatchPolicyDeploymentRolePolicy。
AWS 受管政策:AWSQuickSetupPatchPolicyBaselineAccess
受管政策 AWSQuickSetupPatchPolicyBaselineAccess 支援使用 Quick Setup 修補程式政策設定組織中執行個體的修補 Quick Setup 類型。此組態類型有助於將修補單一帳戶或組織中應用程式和節點的程序自動化。
您可以將 AWSQuickSetupPatchPolicyBaselineAccess 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策提供唯讀許可,以使用 存取目前 AWS 帳戶 或組織中管理員已設定的修補程式基準Quick Setup。修補基準存放在 Amazon S3 儲存貯體中,可用於修補單一帳戶或整個組織中的執行個體。
許可詳細資訊
此政策包含以下許可。
-
s3:允許主體讀取存放在 Amazon S3 儲存貯體中的修補基準覆寫。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupPatchPolicyBaselineAccess。
AWS 受管政策: AWSSystemsManagerEnableExplorerExecutionPolicy
受管政策AWSSystemsManagerEnableExplorerExecutionPolicy支援啟用 Explorer,這是 中的工具 AWS Systems Manager。
您可以將 AWSSystemsManagerEnableExplorerExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策會授予啟用 Explorer 的管理許可。其中包括更新相關 Systems Manager 服務設定的許可,以及為 Systems Manager 建立服務連結角色的許可。
許可詳細資訊
此政策包含以下許可。
-
config:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。 -
iam:允許主體協助啟用 Explorer。 -
ssm:允許主體啟動會啟用 Explorer 的自動化工作流程。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSSystemsManagerEnableExplorerExecutionPolicy。
AWS 受管政策: AWSSystemsManagerEnableConfigRecordingExecutionPolicy
受管政策 AWSSystemsManagerEnableConfigRecordingExecutionPolicy 支援使用 Quick Setup 建立 AWS Config 組態記錄器 Quick Setup 組態類型。此組態類型可讓 Quick Setup 追蹤和記錄您選擇的 AWS 資源類型的變更 AWS Config。其也可讓 Quick Setup 設定所記錄資料的交付和通知選項。
您可以將 AWSSystemsManagerEnableConfigRecordingExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策會授予允許 Quick Setup 啟用和設定 AWS Config 組態記錄的管理許可。
許可詳細資訊
此政策包含以下許可。
-
s3:允許主體建立和設定 Amazon S3 儲存貯體來交付組態記錄。 -
sns:允許主體列出和建立 Amazon SNS 主題。 -
config:允許主體設定和啟動組態記錄器,以及協助啟用 Explorer。 -
iam– 允許主體建立、取得和傳遞 的服務連結角色 AWS Config;以及建立 Systems Manager 的服務連結角色;以及協助啟用 Explorer。 -
ssm:允許主體啟動會啟用 Explorer 的自動化工作流程。 -
compute-optimizer– 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。 -
support:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSSystemsManagerEnableConfigRecordingExecutionPolicy。
AWS 受管政策:AWSQuickSetupDevOpsGuruPermissionsBoundary
注意
此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《IAM 使用者指南》中的 IAM 實體許可界限。
受管政策 AWSQuickSetupDevOpsGuruPermissionsBoundary 支援使用 Quick Setup 設定 DevOps Guru類型。此組態類型會啟用採用了機器學習技術的 Amazon DevOps Guru。DevOps Guru 服務可協助改善應用程式的運作效能和可用性。
在使用 Quick Setup 建立 AWSQuickSetupDevOpsGuruPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,這些許可允許 Quick Setup 啟用和設定 Amazon DevOps Guru。
許可詳細資訊
此政策包含以下許可。
-
iam:允許主體為 DevOps Guru 和 Systems Manager 建立服務連結角色,以及列出有助啟用 Explorer 的角色。 -
cloudformation:允許主體列出和描述 CloudFormation 堆疊。 -
sns:允許主體列出和建立 Amazon SNS 主題。 -
devops-guru:允許主體設定 DevOps Guru,以及新增通知管道。 -
config:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。 -
ssm:允許主體啟動會啟用 Explorer 的自動化工作流程,以及讀取和更新 Explorer 服務設定。 -
compute-optimizer– 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。 -
support:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupDevOpsGuruPermissionsBoundary。
AWS 受管政策:AWSQuickSetupDistributorPermissionsBoundary
注意
此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《IAM 使用者指南》中的 IAM 實體許可界限。
受管政策 AWSQuickSetupDistributorPermissionsBoundary 支援使用 Quick Setup 部署 Distributor 套件 Quick Setup 組態類型。此組態類型有助於使用 Distributor ( AWS Systems Manager中的工具),將 Agent 等軟體套件發布至 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。
在使用 Quick Setup 建立 AWSQuickSetupDistributorPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,這些許可允許 Quick Setup 使用 Distributor,將代理程式等軟體套件發布至 Amazon EC2 執行個體。
許可詳細資訊
此政策包含以下許可。
-
iam:允許主體取得與傳遞 Distributor 自動化角色;建立、讀取、更新和刪除預設執行個體角色;將預設執行個體角色傳遞至 Amazon EC2 和 Systems Manager;將執行個體管理政策連接至執行個體角色;為 Systems Manager 建立服務連結角色;將預設執行個體角色新增至執行個體設定檔;讀取 IAM 角色和執行個體設定檔的相關資訊;以及建立預設執行個體設定檔。 -
ec2:允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯,以及協助啟用 Explorer。 -
ssm:允許主體啟動會設定執行個體和安裝套件的自動化工作流程;協助啟動會啟用 Explorer 的自動化工作流程;以及讀取和更新 Explorer 服務設定。 -
config:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。 -
compute-optimizer– 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。 -
support:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupDistributorPermissionsBoundary。
AWS 受管政策:AWSQuickSetupSSMHostMgmtPermissionsBoundary
注意
此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《IAM 使用者指南》中的 IAM 實體許可界限。
受管政策 AWSQuickSetupSSMHostMgmtPermissionsBoundary 支援使用 Quick Setup 設定 Amazon EC2 主機管理 Quick Setup 組態類型。此組態類型會設定 IAM 角色,以及啟用常用的 Systems Manager 工具來安全管理 Amazon EC2 執行個體。
在使用 Quick Setup 建立 AWSQuickSetupSSMHostMgmtPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,允許 Quick Setup 啟用和設定安全管理 EC2 執行個體所需的 Systems Manager 各種工具。
許可詳細資訊
此政策包含以下許可。
-
iam:允許主體取得此服務角色,以及將其傳遞至 Automation。允許主體建立、讀取、更新和刪除預設執行個體角色;將預設執行個體角色傳遞至 Amazon EC2 和 Systems Manager;將執行個體管理政策連接至執行個體角色;為 Systems Manager 建立服務連結角色;將預設執行個體角色新增至執行個體設定檔;讀取 IAM 角色和執行個體設定檔的相關資訊;以及建立預設執行個體設定檔。 -
ec2:允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯和取消關聯。 -
ssm– 允許主體啟動會啟用 Explorer 的自動化工作流程;讀取和更新 Explorer 服務設定;設定執行個體;以及在執行個體上啟用 Systems Manager 的各種工具。 -
compute-optimizer– 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。 -
support:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSSMHostMgmtPermissionsBoundary。
AWS 受管政策:AWSQuickSetupPatchPolicyPermissionsBoundary
注意
此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《IAM 使用者指南》中的 IAM 實體許可界限。
受管政策 AWSQuickSetupPatchPolicyPermissionsBoundary 支援使用 Quick Setup 修補程式政策設定組織中執行個體的修補 Quick Setup 類型。此組態類型有助於將修補單一帳戶或組織中應用程式和節點的程序自動化。
在使用 Quick Setup 建立 AWSQuickSetupPatchPolicyPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,允許 Quick Setup 在 Patch Manager ( AWS Systems Manager中的工具) 中啟用和設定修補程式政策。
許可詳細資訊
此政策包含以下許可。
-
iam– 允許主體取得Patch Manager自動化角色; 將自動化角色傳遞至Patch Manager修補操作; 建立預設執行個體角色AmazonSSMRoleForInstancesQuickSetup; 將預設執行個體角色傳遞給 Amazon EC2 和 Systems Manager; 將選取的 AWS 受管政策連接至執行個體角色; 為 Systems Manager 建立服務連結角色; 將預設執行個體角色新增至執行個體描述檔; 讀取執行個體描述檔和角色的相關資訊; 建立預設執行個體描述檔; 和 標記具有讀取修補程式基準覆寫許可的角色。 -
ssm:允許主體更新由 Systems Manager 管理的執行個體角色;管理由 Patch Manager 修補程式政策在 Quick Setup 中建立的關聯;標記被修補程式政策組態視為目標的執行個體;讀取執行個體和修補狀態的相關資訊;啟動會設定、啟用和修復執行個體修補的自動化工作流程;啟動會啟用 Explorer 的自動化工作流程;協助啟用 Explorer;以及讀取和更新 Explorer 服務設定。 -
ec2:允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯和取消關聯;標記被修補程式政策組態視為目標的執行個體;標記被修補程式政策組態視為目標的執行個體;以及協助啟用 Explorer。 -
s3:允許主體建立和設定 S3 儲存貯體,以存放修補基準覆寫。 -
lambda– 允許主體叫用設定修補的 AWS Lambda 函數,並在刪除Quick Setup修補政策組態後執行清除操作。 -
logs– 允許主體設定Patch ManagerQuick Setup AWS Lambda 函數的記錄。 -
config:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。 -
compute-optimizer– 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。 -
support:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupPatchPolicyPermissionsBoundary。
AWS 受管政策:AWSQuickSetupSchedulerPermissionsBoundary
注意
此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《IAM 使用者指南》中的 IAM 實體許可界限。
受管政策 AWSQuickSetupSchedulerPermissionsBoundary 支援使用Quick Setup依照排程自動停止和啟動 EC2 執行個體 Quick Setup 組態類型。此組態類型可讓您在指定的時間停止和啟動 EC2 執行個體及其他資源。
在使用 Quick Setup 建立 AWSQuickSetupSchedulerPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,這些許可允許 Quick Setup 啟用和設定在 EC2 執行個體及其他資源上的排程操作。
許可詳細資訊
此政策包含以下許可。
-
iam– 允許主體擷取和傳遞執行個體管理自動化動作的角色;管理、傳遞和連接 EC2 執行個體管理的預設執行個體角色;建立預設執行個體設定檔;將預設執行個體角色新增至執行個體設定檔;為 Systems Manager 建立服務連結角色;讀取 IAM 角色和執行個體設定檔的相關資訊;將預設執行個體設定檔與 EC2 執行個體建立關聯;以及啟動自動化工作流程來設定執行個體並啟用其中的 Systems Manager 工具。 -
ssm:允許主體啟動會啟用 Explorer 的自動化工作流程,以及讀取和更新 Explorer 服務設定。 -
ec2:允許主體尋找目標執行個體,以及依排程啟動和停止這些執行個體。
-
config:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。 -
compute-optimizer– 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。 -
support– 允許主體Explorer透過提供帳戶的 AWS Trusted Advisor 檢查唯讀存取權來協助啟用 。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSchedulerPermissionsBoundary。
AWS 受管政策:AWSQuickSetupCFGCPacksPermissionsBoundary
注意
此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《IAM 使用者指南》中的 IAM 實體許可界限。
受管政策 AWSQuickSetupCFGCPacksPermissionsBoundary 支援使用 Quick Setup 部署 AWS Config 一致性套件 Quick Setup 組態類型。此組態類型會部署 AWS Config 一致性套件。一致性套件是 AWS Config 規則和修補動作的集合,可部署為單一實體。
在使用 Quick Setup 建立 AWSQuickSetupCFGCPacksPermissionsBoundary 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,這些許可允許 Quick Setup 部署 AWS Config 一致性套件。
許可詳細資訊
此政策包含以下許可。
-
iam– 允許主體建立、取得和傳遞其服務連結角色 AWS Config。 -
sns:允許主體列出 Amazon SNS 中的平台應用程式。 -
config– 允許主體部署 AWS Config 一致性套件;取得一致性套件的狀態;以及取得組態記錄器的相關資訊。 -
ssm:允許主體取得 SSM 文件和 Automation 工作流程的相關資訊;取得資源標籤的相關資訊;以及取得更新服務設定的相關資訊。 -
compute-optimizer:允許主體取得帳戶的選擇加入狀態。 -
support:允許主體取得 AWS Trusted Advisor 檢查的相關資訊。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupCFGCPacksPermissionsBoundary。
AWS 受管政策:AWSQuickSetupStartStopInstancesExecutionPolicy
您可以將 AWSQuickSetupStartStopInstancesExecutionPolicy 連接到 IAM 實體。此政策提供 Quick Setup 使用 Systems Manager Automation 管理 Amazon EC2 執行個體啟動和停止的許可。
許可詳細資訊
此政策包含以下許可。
-
ec2– 允許主體描述 Amazon EC2 執行個體、其狀態、區域和標籤。也允許啟動和停止特定 Amazon EC2 執行個體。 -
ssm– 允許主體從Quick Setup變更行事曆取得行事曆狀態、啟動關聯,以及執行執行個體排程的自動化文件。 -
iam– 允許主體將 Quick Setup IAM 角色傳遞給 Systems Manager 以進行自動化執行,條件會將服務限制為 ssm.amazonaws.com 和特定資源 ARNs。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AWSQuickSetupStartStopInstancesExecutionPolicy。
AWS 受管政策:AWSQuickSetupStartSSMAssociationsExecutionPolicy
此政策會授予許可,這些許可允許 Quick Setup 執行 AWSQuickSetupType-Scheduler-ChangeCalendarState Automation 執行手冊。此 Runbook 用於管理Quick Setup組態中排程操作的變更行事曆狀態。
您可以將 AWSQuickSetupStartSSMAssociationsExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
ssm– 允許主體啟動專門針對AWSQuickSetupType-Scheduler-ChangeCalendarState文件的自動化執行。這是 Quick Setup 管理排程操作的變更行事曆狀態的必要項目。 -
iam– 允許主體將名稱開頭為 "AWS-QuickSetup-" 的角色傳遞至 Systems Manager 服務。此許可僅限於與變更行事曆管理相關的特定 SSM 文件搭配使用。這是 Quick Setup 將適當的執行角色傳遞至自動化程序的必要條件。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AWSQuickSetupStartSSMAssociationsExecutionPolicy。
AWS 受管政策:AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
透過在節點受管的帳戶和區域中啟動自動化工作流程,政策 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy 為診斷與 Systems Manager 服務互動的節點的問題提供許可。
您可以將 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行診斷動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
ssm– 允許主體執行特定 Automation 執行手冊,這些手冊可診斷節點問題、存取工作流程的執行狀態,也可擷取自動化執行的詳細資訊。此政策授予許可,以描述自動化執行、描述自動化步驟執行、取得自動化執行詳細資訊,以及啟動診斷相關文件的自動化執行。 -
kms– 允許主體在存取用於診斷操作的 Amazon S3 儲存貯體中的加密物件時,使用客戶指定的 AWS Key Management Service 金鑰進行解密和產生資料金鑰。這些許可僅限於以SystemsManagerManaged標記的金鑰,並透過具有特定加密內容需求的 Amazon S3 服務使用。 -
sts:允許主體擔任診斷執行角色,以便在同一帳戶中執行 Automation 執行手冊。此許可僅限於具有AWS-SSM-DiagnosisExecutionRole命名模式的角色,並包含確保資源帳戶符合主體帳戶的條件。 -
iam– 允許主體將診斷管理角色傳遞至 Systems Manager,以便執行 Automation 執行手冊。此許可僅限於具有AWS-SSM-DiagnosisAdminRole命名模式的角色,並且只能傳遞至 Systems Manager 服務。 -
s3– 允許主體存取、讀取、寫入和刪除用於診斷操作的 Amazon S3 儲存貯體中的物件。這些許可僅限於具有do-not-delete-ssm-diagnosis-命名模式的儲存貯體,並包含確保在相同帳戶中執行操作的條件。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy。
AWS 受管政策:AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
受管政策 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy 提供在目標 AWS 帳戶 和區域中執行 Automation 執行手冊的管理許可,以便診斷與 Systems Manager 服務互動的受管節點的問題。
您可以將 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
ec2– 允許主體描述 Amazon EC2 和 Amazon VPC 資源及其組態,以便診斷 Systems Manager 服務的問題。這包括描述 VPC、VPC 屬性、VPC 端點、子網路、安全群組、執行個體和網際網路閘道的許可。 -
ssm:允許主體執行診斷特定的 Automation 執行手冊,以及存取自動化工作流程狀態和執行中繼資料。這包括描述自動化步驟執行、描述執行個體資訊、描述自動化執行、取得自動化執行詳細資訊,以及針對特定 AWS 未受管 EC2 診斷文件啟動自動化執行的許可。 -
kms– 允許主體在存取用於診斷操作的 Amazon S3 儲存貯體中的加密物件時,使用客戶指定的 AWS Key Management Service 金鑰進行解密和產生資料金鑰。這些許可僅限於以SystemsManagerManaged標記的金鑰,並透過具有針對診斷儲存貯體之特定加密內容需求的 Amazon S3 服務使用。 -
iam– 允許主體將診斷執行角色傳遞至 Systems Manager,以便執行 Automation 文件。此許可僅限於具有AWS-SSM-DiagnosisExecutionRole命名模式的角色,並且只能傳遞至 Systems Manager 服務。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy。
AWS 受管政策:AWS-SSM-RemediationAutomation-AdministrationRolePolicy
AWS-SSM-RemediationAutomation-AdministrationRolePolicy 政策透過執行 Automation 文件中定義的活動 (主要用於執行 Automation 文件),提供修復 Systems Manager 服務問題的許可。此政策可在節點受管的帳戶和區域中啟動自動化工作流程,以解決連線和組態問題。
您可以將 AWS-SSM-RemediationAutomation-AdministrationRolePolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行修復動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
ssm– 允許主體執行特定 Automation 執行手冊,這些手冊可修復節點問題、存取工作流程的執行狀態,也可擷取自動化執行的詳細資訊。此政策授予許可,以描述自動化執行、描述自動化步驟執行、取得自動化執行詳細資訊,以及啟動修復相關文件的自動化執行。 -
kms– 允許主體在存取用於修復操作的 Amazon S3 儲存貯體中的加密物件時,使用客戶指定的 AWS Key Management Service 金鑰進行解密和產生資料金鑰。這些許可僅限於以SystemsManagerManaged標記的金鑰,並透過具有特定加密內容需求的 Amazon S3 服務使用。 -
sts:允許主體擔任修復執行角色,以便在同一帳戶中執行 Automation 執行手冊。此許可僅限於具有AWS-SSM-RemediationExecutionRole命名模式的角色,並包含確保資源帳戶符合主體帳戶的條件。 -
iam:允許主體將修復管理角色傳遞至 Systems Manager,以便執行 Automation 執行手冊。此許可僅限於具有AWS-SSM-RemediationAdminRole命名模式的角色,並且只能傳遞至 Systems Manager 服務。 -
s3– 允許主體存取、讀取、寫入和刪除用於修復操作的 Amazon S3 儲存貯體中的物件。這些許可僅限於具有do-not-delete-ssm-diagnosis-命名模式的儲存貯體,並包含確保在相同帳戶中執行操作的條件。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-RemediationAutomation-AdministrationRolePolicy。
AWS 受管政策:AWS-SSM-RemediationAutomation-ExecutionRolePolicy
受管政策 AWS-SSM-RemediationAutomation-ExecutionRolePolicy 提供在特定目標帳戶和區域中執行 Automation 執行手冊的許可,以便修復與 Systems Manager 服務互動的受管節點的聯網和連線問題。此政策可啟用 Automation 文件中定義的修復活動,主要用於執行 Automation 文件以解決連線和組態問題。
您可將 政策附加至 IAM 實體。Systems Manager 也會將此政策連接至服務角色,此角色允許 Systems Manager 代表您執行修復動作。
許可詳細資訊
此政策包含以下許可。
-
ssm– 允許主體擷取 Automation 執行及其步驟執行的相關資訊,並啟動特定修復 Automation 執行手冊,包括AWS-OrchestrateUnmanagedEC2Actions和AWS-RemediateSSMAgent文件。此政策授予許可,以描述自動化執行、描述自動化步驟執行、取得自動化執行詳細資訊,以及啟動修復相關文件的自動化執行。 -
ec2– 允許主體描述和修改 Amazon VPC 聯網資源,以修復連線問題。其中包含:-
描述 Amazon VPC 屬性、子網路、Amazon VPC 端點和安全群組。
-
使用所需的標籤為 Systems Manager 服務 (
ssm、ssmmessages和ec2messages) 建立 Amazon VPC 端點。 -
修改 Amazon VPC 屬性以啟用 DNS 支援和主機名稱。
-
建立和管理具有特定標籤的安全群組以便存取 Amazon VPC 端點。
-
使用適當的標籤授權和撤銷 HTTPS 存取的安全群組規則。
-
在建立資源期間,在 Amazon VPC 端點、安全群組和安全群組規則上建立標籤。
-
-
kms– 允許主體在存取用於修復操作的 Amazon S3 儲存貯體中的加密物件時,使用客戶指定的 AWS Key Management Service 金鑰進行解密和產生資料金鑰。這些許可僅限於以SystemsManagerManaged標記的金鑰,並透過具有特定加密內容需求的 Amazon S3 服務使用。 -
iam– 允許主體將修復執行角色傳遞至 Systems Manager,以執行 Automation 執行手冊。此許可僅限於具有AWS-SSM-RemediationExecutionRole命名模式的角色,並且只能傳遞至 Systems Manager 服務。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-RemediationAutomation-ExecutionRolePolicy。
AWS 受管政策:AWSQuickSetupSSMManageResourcesExecutionPolicy
此政策會授予許可,這些許可允許 Quick Setup 執行 AWSQuickSetupType-SSM-SetupResources Automation 執行手冊。此執行手冊會為 Quick Setup 關聯建立 IAM 角色,而關聯是由 AWSQuickSetupType-SSM 部署所建立。此政策還會授予許可,以便在 Quick Setup 刪除操作期間清理關聯的 Amazon S3 儲存貯體。
您可以將此政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
iam:允許主體列出和管理 IAM 角色,以便與 Quick Setup Systems Manager Explorer 操作搭配使用;檢視、連接和分離 IAM 政策,以便與Quick Setup和 Systems Manager Explorer 搭配使用。這些許可是必要的,因此Quick Setup可以建立其某些組態操作所需的角色。 -
s3:允許主體從主體帳戶的 Amazon S3 儲存貯體中擷取物件的相關資訊,以及從中刪除專門用於 Quick Setup 組態操作的物件。這是必要許可,如此就能夠移除完成組態後不再需要的 S3 物件。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSSMManageResourcesExecutionPolicy。
AWS 受管政策:AWSQuickSetupSSMLifecycleManagementExecutionPolicy
AWSQuickSetupSSMLifecycleManagementExecutionPolicy 政策會授予管理許可,Quick Setup允許 在 中的Quick Setup部署期間,在生命週期事件上執行 CloudFormation 自訂資源Systems Manager。
您可以將此政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
ssm:允許主體取得自動化執行的相關資訊,以及啟動自動化執行來設定特定的 Quick Setup 操作。 -
iam:允許主體從 IAM 傳遞角色來設定特定的 Quick Setup 資源。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSSMLifecycleManagementExecutionPolicy。
AWS 受管政策:AWSQuickSetupSSMDeploymentRolePolicy
受管政策 AWSQuickSetupSSMDeploymentRolePolicy 會授予管理許可,這些許可允許 Quick Setup 建立在 Systems Manager 加入程序期間使用的資源。
雖然可以手動將此政策連接至 IAM 實體,但不建議這麼做。因為 Quick Setup 建立的實體,會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策與 SSMQuickSetupRolePolicy 政策無關,後者會用於為 AWSServiceRoleForSSMQuickSetup 服務連結角色提供許可。
許可詳細資訊
此政策包含以下許可。
-
ssm– 允許主體管理使用 AWS CloudFormation 範本和一組特定 SSM 文件建立之特定資源的關聯;使用 管理角色和角色政策,以透過 CloudFormation 範本診斷和修復受管節點;以及連接和刪除Quick Setup生命週期事件的政策 -
iam– 允許主體標記 Systems Manager 服務和 Lambda 服務的角色並傳遞角色許可,以及傳遞診斷操作的角色許可。 -
lambda– 允許主體使用 CloudFormation 範本標記和管理主體帳戶中Quick Setup生命週期的函數。 -
cloudformation– 允許主體從中讀取資訊 CloudFormation。這是必要的,因此 Quick Setup可以收集用於管理資源狀態和 CloudFormation CloudFormation 堆疊集操作之堆疊的資料。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSSMDeploymentRolePolicy。
AWS 受管政策:AWSQuickSetupSSMDeploymentS3BucketRolePolicy
AWSQuickSetupSSMDeploymentS3BucketRolePolicy 政策授予的許可,可列出帳戶中的所有 S3 儲存貯體,也可管理和擷取透過 CloudFormation 範本管理的主體帳戶中特定儲存貯體的相關資訊。
您可以將 AWSQuickSetupSSMDeploymentS3BucketRolePolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
s3– 允許主體列出帳戶中的所有 S3 儲存貯體;以及管理和擷取透過 CloudFormation 範本管理之主體帳戶中特定儲存貯體的相關資訊。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupSSMDeploymentS3BucketRolePolicy。
AWS 受管政策:AWSQuickSetupEnableDHMCExecutionPolicy
此政策會授予管理許可,這些許可允許主體執行 AWSQuickSetupType-EnableDHMC Automation 執行手冊,而這又會啟用預設主機管理組態。預設主機管理組態設定允許 Systems Manager 自動將 Amazon EC2 執行個體作為受管執行個體來管理。受管執行個體是指一種設定為搭配 Systems Manager 使用的 EC2 執行個體。此政策也會授予許可,可用來建立 Systems Manager 服務設定中指定作為 SSM Agent 預設角色的 IAM 角色。
您可以將 AWSQuickSetupEnableDHMCExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
ssm:允許主體更新和取得 Systems Manager 服務設定的相關資訊。 -
iam:允許主體建立和擷取與 Quick Setup 操作的 IAM 角色相關的資訊。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AWSQuickSetupEnableDHMCExecutionPolicy。
AWS 受管政策:AWSQuickSetupEnableAREXExecutionPolicy
此政策會授予管理許可,這些許可允許 Systems Manager 執行 AWSQuickSetupType-EnableAREX Automation 執行手冊,而這又讓 AWS 資源總管 能夠與 Systems Manager 搭配使用。Resource Explorer 可讓您檢視帳戶中的資源,其搜尋體驗與網際網路搜尋引擎類似。此政策也會授予 Resource Explorer 索引和檢視的管理許可。
您可以將 AWSQuickSetupEnableAREXExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
iam– 允許主體在 AWS Identity and Access Management (IAM) 服務中建立服務連結角色。 -
resource-explorer-2:允許主體擷取與 Resource Explorer 檢視和索引相關的資訊;建立 Resource Explorer 檢視和索引;變更 Quick Setup 中所顯示索引的索引類型。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AWSQuickSetupEnableAREXExecutionPolicy。
AWS 受管政策:AWSQuickSetupManagedInstanceProfileExecutionPolicy
此政策會授予管理許可,允許 Systems Manager 為 Quick Setup 工具建立預設 IAM 執行個體設定檔,以及將其連接至尚未連接執行個體設定檔的 Amazon EC2 執行個體。此政策也會授予 Systems Manager 將許可連接到現有執行個體設定檔的能力。這是為了確保 Systems Manager 與 EC2 執行個體上的 SSM Agent 通訊所需的許可已就緒。
您可以將 AWSQuickSetupManagedInstanceProfileExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
ssm:允許主體啟動與 Quick Setup 程序相關聯的自動化工作流程。 -
ec2:允許主體將 IAM 執行個體設定檔連接至由 Quick Setup 管理的 EC2 執行個體。 -
iam:允許主體從 IAM 建立、更新和擷取在 Quick Setup 程序中使用的角色相關資訊;建立 IAM 執行個體設定檔;將AmazonSSMManagedInstanceCore受管政策連接至 IAM 執行個體設定檔。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWSQuickSetupManagedInstanceProfileExecutionPolicy。
AWS 受管政策:AWSQuickSetupManageJITNAResourcesExecutionPolicy
受管政策 AWSQuickSetupManageJITNAResourcesExecutionPolicy 可讓 Quick Setup (Systems Manager 中的工具) 設定即時節點存取。
您可以將 AWSQuickSetupManageJITNAResourcesExecutionPolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策會授予管理許可,這些許可允許 Systems Manager 建立與即時節點存取相關聯的資源。
許可詳細資訊
此政策包含以下許可。
-
ssm– 允許主體取得和更新指定身分提供者以進行即時節點存取的服務設定。 -
iam– 允許主體建立、標記和取得角色,為即時節點存取受管政策連接角色政策,以及為即時節點存取和通知建立服務連結角色。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AWSQuickSetupManageJITNAResourcesExecutionPolicy。
AWS 受管政策:AWSQuickSetupJITNADeploymentRolePolicy
受管政策 AWSQuickSetupJITNADeploymentRolePolicy 允許 Quick Setup 部署設定即時節點存取所需的組態類型。
您可以將 AWSQuickSetupJITNADeploymentRolePolicy 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策會授予管理許可,這些許可允許 Systems Manager 建立與即時節點存取相關聯的資源。
許可詳細資訊
此政策包含以下許可。
-
cloudformation– 允許主體建立、更新、刪除和讀取 CloudFormation 堆疊。 -
ssm– 允許主體建立、刪除、更新和讀取由 呼叫的State Manager關聯 CloudFormation。 -
iam:允許主體建立、刪除、讀取和標記由 呼叫的 IAM 角色 CloudFormation。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AWSQuickSetupJITNADeploymentRolePolicy。
AWS 受管政策:AWSSystemsManagerJustInTimeAccessServicePolicy
受管政策AWSSystemsManagerJustInTimeAccessServicePolicy可讓您存取 AWS Systems Manager just-in-time存取架構所管理或使用 AWS 的資源。此政策更新會新增自動化執行標記許可,讓客戶能夠將運算子許可縮小到特定標籤的範圍。
您不得將 AWSSystemsManagerJustInTimeAccessServicePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱使用角色來啟用即時節點存取。
此政策會授予管理許可,允許存取與即時節點存取相關聯的資源。
許可詳細資訊
此政策包含以下許可。
-
ssm– 允許主體建立和管理 OpsItems、新增標籤至 OpsItems 和自動化執行、取得和更新 OpsItems、擷取和描述文件、描述 OpsItems 和工作階段、列出受管執行個體的文件和標籤。 -
ssm-guiconnect– 允許主體列出連線。 -
identitystore– 允許主體取得使用者和群組 ID、描述使用者和列出群組成員資格。 -
sso-directory– 允許主體描述使用者,並判斷使用者是否為群組的成員。 -
sso– 允許主體描述已註冊的區域,並列出執行個體和目錄關聯。 -
cloudwatch– 允許主體放置AWS/SSM/JustInTimeAccess命名空間的指標資料。 -
ec2– 允許主體描述標籤。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AWSSystemsManagerJustInTimeAccessServicePolicy。
AWS 受管政策:AWSSystemsManagerJustInTimeAccessTokenPolicy
受管政策AWSSystemsManagerJustInTimeAccessTokenPolicy提供許可,讓使用者透過 和 Systems Manager GUI Connect RDP 連線建立與 Amazon EC2 執行個體Session Manager和受管執行個體的安全連線,做為just-in-time節點存取工作流程的一部分。
您可以將 AWSSystemsManagerJustInTimeAccessTokenPolicy 連接到 IAM 實體。
此政策授予參與者許可,允許使用者啟動和管理安全工作階段、建立 RDP 連線,以及執行just-in-time節點存取所需的密碼編譯操作。
許可詳細資訊
此政策包含以下許可。
-
ssm– 允許主體使用 SSM-SessionManagerRunShell 文件在 Amazon EC2 執行個體和受管執行個體上啟動Session Manager工作階段。也允許終止和繼續工作階段、擷取命令叫用詳細資訊,以及在透過 Systems Manager GUI Connect 呼叫時將命令傳送至執行個體以進行 SSO 使用者設定。此外,當透過 Systems Manager GUI Connect 呼叫時,允許啟動 RDP 連線的連接埠轉送工作階段。 -
ssmmessages– 允許主體在Session Manager工作階段期間開啟資料通道以進行安全通訊。 -
ssm-guiconnect– 允許主體啟動、取得有關 的詳細資訊,以及取消 Systems Manager GUI Connect RDP 與執行個體的連線。 -
kms– 允許主體產生用於Session Manager加密的資料金鑰,並建立 RDP 連線的授予。這些許可僅限於以 標記的 AWS KMS 金鑰SystemsManagerJustInTimeNodeAccessManaged=true。授予建立進一步僅限於透過 Systems Manager GUI Connect 服務使用。 -
sso– 允許主體在透過 Systems Manager GUI Connect 呼叫時列出目錄關聯。這是 RDP SSO 使用者設定的必要項目。 -
identitystore– 允許主體在透過 Systems Manager GUI Connect 呼叫時描述身分存放區中的使用者。這是 RDP SSO 使用者設定的必要項目。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AWSSystemsManagerJustInTimeAccessTokenPolicy。
AWS 受管政策:AWSSystemsManagerJustInTimeAccessTokenSessionPolicy
受管政策 AWSSystemsManagerJustInTimeAccessTokenSessionPolicy 允許 Systems Manager 將已縮小範圍的許可套用至即時節點存取權杖。
您可以將 AWSSystemsManagerJustInTimeAccessTokenSessionPolicy 連接到 IAM 實體。
此政策會授予管理許可,允許 Systems Manager 縮小即時節點存取權杖的許可範圍。
許可詳細資訊
此政策包含以下許可。
-
ssm– 允許主體使用SSM-SessionManagerRunShell文件啟動 Session Manager 工作階段。此外,當第一次透過ssm-guiconnect呼叫時,請使用AWS-StartPortForwardingSession文件啟動工作階段、列出命令調用,以及使用AWSSSO-CreateSSOUser文件傳送命令。 -
ssm-guiconnect– 允許主體取消、取得和啟動所有資源的連線。 -
kms- 允許主體建立授予,並在ssm-guiconnect透過 AWS 服務呼叫SystemsManagerJustInTimeNodeAccessManaged時為標記 的金鑰產生資料金鑰。 -
sso– 允許主體在透過ssm-guiconnect呼叫時列出目錄關聯。 -
identitystore– 允許主體在透過ssm-guiconnect呼叫時描述使用者。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AWSSystemsManagerJustInTimeAccessTokenSessionPolicy。
AWS 受管政策:AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy
受管政策 AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy 允許 Systems Manager 將拒絕存取政策從委派管理員帳戶共用給成員帳戶,並在多個 AWS 區域中複寫政策。
您可以將 AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy 連接到 IAM 實體。
此政策提供 Systems Manager 共用和建立拒絕存取政策所需的管理許可。這可確保拒絕存取政策套用到針對just-in-time節點存取所設定之 AWS Organizations 組織和區域中的所有帳戶。
許可詳細資訊
此政策包含以下許可。
-
ssm– 允許主體管理 SSM 文件和資源政策。 -
ssm-quicksetup– 允許主體讀取 Quick Setup 組態管理員。 -
organizations– 允許主體列出有關 AWS Organizations 組織和委派管理員的詳細資訊。 -
ram– 允許主體建立、標記和描述資源共用。 -
iam– 允許主體描述服務角色。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy。
AWS 受管政策:AWSSystemsManagerNotificationsServicePolicy
受管政策 AWSSystemsManagerNotificationsServicePolicy 允許 Systems Manager 傳送即時節點存取請求的電子郵件通知,以存取請求核准者。
您不得將 AWSSystemsManagerJustInTimeAccessServicePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱使用角色傳送即時節點存取請求通知。
此政策授予管理許可,允許 Systems Manager 傳送即時節點存取請求的電子郵件通知,以存取請求核准者。
許可詳細資訊
此政策包含以下許可。
-
identitystore– 允許主體列出和描述使用者和群組成員資格。 -
sso– 允許主體列出執行個體、目錄和描述已註冊的區域。 -
sso-directory– 允許主體描述使用者並列出群組中的成員。 -
iam– 允許主體取得角色的相关資訊。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 AWS Managed Policy Reference Guide 中的 AWSSystemsManagerNotificationsServicePolicy。
AWS 受管政策:AWS-SSM-Automation-DiagnosisBucketPolicy
受管政策透過允許存取用於診斷和修復問題的 S3 儲存貯體,AWS-SSM-Automation-DiagnosisBucketPolicy提供診斷與 AWS Systems Manager 服務互動之節點問題的許可。
您可將 AWS-SSM-Automation-DiagnosisBucketPolicy 政策連接到 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,此角色允許 Systems Manager 代表您執行診斷動作。
許可詳細資訊
此政策包含以下許可。
-
s3:允許主體存取物件以及將物件寫入 Amazon S3 儲存貯體。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-Automation-DiagnosisBucketPolicy。
AWS 受管政策:AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
受管政策 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy 透過提供組織特定的許可,為操作帳戶診斷節點問題提供許可。
您可將 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy 連接到 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,此角色允許 Systems Manager 代表您執行診斷動作。
許可詳細資訊
此政策包含以下許可。
-
organizations:允許主體列出組織的根目錄,以及取得成員帳戶來判斷目標帳戶。 -
sts:允許主體擔任修復執行角色,以便在同一組織中跨帳戶和區域執行 SSM Automation 文件。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy。
AWS 受管政策:AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
受管政策 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy 透過提供組織特定的許可,為操作帳戶診斷節點問題提供許可。
您可將 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy 政策連接到 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,此角色允許 Systems Manager 代表您執行診斷動作。
許可詳細資訊
此政策包含以下許可。
-
organizations:允許主體列出組織的根目錄,以及取得成員帳戶來判斷目標帳戶。 -
sts:允許主體擔任診斷執行角色,以便在同一組織中跨帳戶和區域執行 SSM Automation 文件。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》中的 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy。
Systems ManagerAWS 受管政策的更新
在下表中,檢視自此服務於 2021 年 3 月 12 日開始追蹤 AWS 受管政策更新Systems Manager以來的詳細資訊。如需 Systems Manager 服務其他受管政策的相關資訊,請參閱本主題後文的 Systems Manager 的其他受管政策小節。如需有關此頁面變更的自動提醒,請訂閱 Systems Manager 文件歷史記錄 頁面的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
Systems Manager 已更新 受管政策 |
2025 年 9 月 25 日 | |
更新 受管政策: |
Systems Manager 更新了三個受管政策,以新增在其他 Systems Manager 資源上啟動自動化執行的支援,包括特定的 Automation Runbook 和 SSM Command 文件。 |
2025 年 9 月 12 日 |
|
Systems Manager 已更新 受管政策,以精簡Quick Setup排程器組態的許可。此政策現在提供更具體的許可,以啟動和停止 Amazon EC2 執行個體、存取變更行事曆,以及執行具有增強安全性條件的自動化文件。 |
2025 年 9 月 12 日 | |
|
Systems Manager 已更新 受管政策,將自動化文件從 變更為 |
2025 年 9 月 12 日 | |
|
AmazonSSMAutomationRole – 現有政策更新 |
Systems Manager 新增了許可,允許 Automation 執行手冊建立工作階段型操作的通訊管道。 新增了對資源 |
2025 年 9 月 11 日 |
|
Systems Manager 更新了受管政策,以新增自動化執行標記許可。該服務需要使用 |
2025 年 8 月 25 日 | |
|
Systems Manager 新增了政策,允許 Quick Setup 執行 |
2025 年 8 月 12 日 | |
|
Systems Manager 新增了政策,允許 Quick Setup 依排程啟動和停止 Amazon EC2 執行個體。此政策提供 Quick Setup 排程器組態類型的必要許可,以根據定義的排程管理執行個體狀態。 |
2025 年 8 月 12 日 | |
|
Systems Manager 已更新 |
2025 年 8 月 12 日 | |
|
Systems Manager 更新了受管政策,透過要求 "document" 和 "automation-execution" 資源類型的許可,來改善 ssm:StartAutomationExecution API 的安全狀態。更新後的政策為修復自動化執行提供更全面且詳細的許可,包括對聯網修復功能的增強描述、更具體的 Amazon VPC 端點建立許可、詳細的安全群組管理許可,以及經改善的修復操作資源標記控制。 |
2025 年 7 月 16 日 | |
|
AWS-SSM-RemediationAutomation-AdministrationRolePolicy – 現有政策更新 |
Systems Manager 更新了受管政策,以支援修復自動化操作的 API 授權改進。更新後的政策增強了執行 Automation 文件中定義之活動的許可,改善了修復工作流程的安全控制和資源存取模式。 |
2025 年 7 月 16 日 |
|
Systems Manager 更新了受管政策,以提供更詳細且準確的診斷自動化執行許可。更新的政策包括 Amazon EC2 和 Amazon VPC 資源存取的增強描述、更具體的 SSM 自動化許可,以及具有適當資源限制的改進 AWS KMS 和 IAM 許可描述。 |
2025 年 7 月 16 日 | |
|
AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy – 現有政策更新 |
Systems Manager 更新了受管政策,為診斷自動化操作提供更具體的許可和安全條件。更新的政策為 AWS KMS 金鑰使用、Amazon S3 儲存貯體存取和角色假設提供增強型安全控制,具有更嚴格的資源型條件和帳戶層級限制。 |
2025 年 7 月 16 日 |
|
Systems Manager 新增了用於存取 Amazon 擁有的執行手冊 AWSQuickSetupType-ManageInstanceProfile |
2025 年 7 月 14 日 | |
|
AmazonSSMAutomationRole – 文件更新 |
Systems Manager 新增了現有 |
2025 年 7 月 15 日 |
|
AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy – 政策更新 |
Systems Manager 新增許可,Systems Manager允許 標記 共用的資源 AWS Resource Access Manager ,以進行just-in-time節點存取。 |
2025 年 4 月 30 日 |
|
Systems Manager 新增了許可,允許 Systems Manager 標記為即時節點存取而建立的 IAM 角色。 |
2025 年 4 月 30 日 | |
|
Systems Manager 新增了政策,允許 Systems Manager 將縮小範圍的許可套用至即時節點存取權杖。 |
2025 年 4 月 30 日 | |
|
Systems Manager 新增了政策,允許 Systems Manager 傳送即時節點存取請求的電子郵件通知,以存取請求核准者。 |
2025 年 4 月 30 日 | |
|
AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy – 新政策 |
Systems Manager 新增了政策,允許 Systems Manager 將核准政策複寫到不同的區域。 |
2025 年 4 月 30 日 |
|
Systems Manager 新增了政策,允許 Systems Manager 產生用於即時節點存取的存取權杖。 |
2025 年 4 月 30 日 | |
|
Systems Manager 新增了政策,提供許可給 Systems Manager 即時節點存取功能所管理或使用的 AWS 資源。 |
2025 年 4 月 30 日 | |
|
Systems Manager 新增了政策,允許 Quick Setup (Systems Manager 中的工具) 建立即時節點存取所需的 IAM 角色。 |
2025 年 4 月 30 日 | |
|
Systems Manager 新增了政策,提供允許 Quick Setup 部署設定即時節點存取所需的組態類型的許可。 |
2025 年 4 月 30 日 | |
|
AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy – 政策更新 |
Systems Manager 新增許可,Systems Manager允許 標記 共用的資源 AWS Resource Access Manager ,以進行just-in-time節點存取。 |
2025 年 4 月 30 日 |
|
Systems Manager 新增了許可,允許 Systems Manager 標記為即時節點存取而建立的 IAM 角色。 |
2025 年 4 月 30 日 | |
|
Systems Manager 新增了政策,允許 Systems Manager 將縮小範圍的許可套用至即時節點存取權杖。 |
2025 年 4 月 30 日 | |
|
Systems Manager 新增了政策,允許 Systems Manager 傳送即時節點存取請求的電子郵件通知,以存取請求核准者。 |
2025 年 4 月 30 日 | |
|
AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy – 新政策 |
Systems Manager 新增了政策,允許 Systems Manager 將核准政策複寫到不同的區域。 |
2025 年 4 月 30 日 |
|
Systems Manager 新增了政策,允許 Systems Manager 產生用於即時節點存取的存取權杖。 |
2025 年 4 月 30 日 | |
|
Systems Manager 新增了政策,提供許可給 Systems Manager 即時節點存取功能所管理或使用的 AWS 資源。 |
2025 年 4 月 30 日 | |
|
Systems Manager 新增了政策,允許 Quick Setup (Systems Manager 中的工具) 建立即時節點存取所需的 IAM 角色。 |
2025 年 4 月 30 日 | |
|
Systems Manager 新增了政策,提供允許 Quick Setup 部署設定即時節點存取所需的組態類型的許可。 |
2025 年 4 月 30 日 | |
|
AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy – 新政策 |
Systems Manager 新增了政策,此政策會透過提供組織特定的許可,為操作帳戶提供診斷節點問題的許可。 |
2024 年 11 月 21 日 |
|
AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy – 新政策 |
Systems Manager 新增了政策,此政策會透過提供組織特定的許可,為操作帳戶提供診斷節點問題的許可。 |
2024 年 11 月 21 日 |
|
Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會診斷目標帳戶和區域中受管節點的問題。 |
2024 年 11 月 21 日 | |
|
AmazonSSMServiceRolePolicy – 更新現有政策 |
Systems Manager 新增了許可, AWS 資源總管 允許 收集 Amazon EC2 執行個體的詳細資訊,並在新Systems Manager儀表板的小工具中顯示結果。 |
2024 年 11 月 21 日 |
| SSMQuickSetupRolePolicy – 更新現有政策 | Systems Manager 更新了受管政策 SSMQuickSetupRolePolicy。此更新可讓相關聯的服務連結角色 AWSServiceRoleForSSMQuickSetup 管理資源資料同步。 |
2024 年 11 月 21 日 |
| AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy – 新政策 | Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會診斷目標帳戶和區域中受管節點的問題。 | 2024 年 11 月 21 日 |
| AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy – 新政策 | Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會診斷目標帳戶和區域中受管節點的問題。 | 2024 年 11 月 21 日 |
| AWS-SSM-RemediationAutomation-AdministrationRolePolicy – 新政策 | Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會修復目標帳戶和區域中受管節點的問題。 | 2024 年 11 月 21 日 |
| AWS-SSM-RemediationAutomation-ExecutionRolePolicy – 新政策 | Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會修復目標帳戶和區域中受管節點的問題。 | 2024 年 11 月 21 日 |
|
Systems Manager 新增了許可,允許 Systems Manager 標記為整合式主控台建立的 IAM 角色和 Lambda。 |
2025 年 5 月 7 日 | |
| AWSQuickSetupSSMManageResourcesExecutionPolicy – 新政策 | Systems Manager 新增了政策,可支援在 Quick Setup 中執行為 Quick Setup 關聯建立 IAM 角色的操作,而關聯則由 AWSQuickSetupType-SSM 部署所建立。 |
2024 年 11 月 21 日 |
| AWSQuickSetupSSMLifecycleManagementExecutionPolicy – 新政策 | Systems Manager 新增了新的政策,以支援在Quick Setup部署期間Quick Setup於生命週期事件上執行 CloudFormation 自訂資源。 | 2024 年 11 月 21 日 |
| AWSQuickSetupSSMDeploymentRolePolicy – 新政策 | Systems Manager 新增了政策,可支援授予管理許可,這些許可允許 Quick Setup 建立 Systems Manager 加入程序期間使用的資源。 | 2024 年 11 月 21 日 |
| AWSQuickSetupSSMDeploymentS3BucketRolePolicy – 新政策 | Systems Manager 新增了新的政策,以支援管理和擷取透過 CloudFormation 範本管理之主體帳戶中特定儲存貯體的相關資訊 | 2024 年 11 月 21 日 |
| AWSQuickSetupEnableDHMCExecutionPolicy – 新政策 | Systems Manager 將導入新的政策,允許 Quick Setup 建立本身使用現有 AmazonSSMManagedEC2InstanceDefaultPolicy 的 IAM 角色。此政策包含 SSM Agent 與 Systems Manager 服務通訊所需的所有許可。新政策也允許對 Systems Manager 服務設定進行修改。 | 2024 年 11 月 21 日 |
| AWSQuickSetupEnableAREXExecutionPolicy – 新政策 | Systems Manager 新增了新的政策,Quick Setup以允許 為 建立服務連結角色 AWS 資源總管,以存取 Resource Explorer 檢視和彙總工具索引。 | 2024 年 11 月 21 日 |
| AWSQuickSetupManagedInstanceProfileExecutionPolicy – 新政策 |
Systems Manager 新增了政策,允許 Quick Setup 建立預設 Quick Setup 執行個體設定檔,以及將其連接至任何缺少相關聯執行個體設定檔的 Amazon EC2 執行個體。這個新政策也允許 Quick Setup 將許可連接到現有的設定檔,確保已授予所有必要的 Systems Manager 許可。 |
2024 年 11 月 21 日 |
|
SSMQuickSetupRolePolicy – 更新現有政策 |
Systems Manager 新增了新的許可,Quick Setup允許 檢查其已建立之其他 AWS CloudFormation 堆疊集的運作狀態。 |
2024 年 8 月 13 日 |
| AmazonSSMManagedEC2InstanceDefaultPolicy – 更新現有政策 | Systems Manager 已將陳述式 ID (Sid) 新增至 AmazonSSMManagedEC2InstanceDefaultPolicy 的 JSON 政策。這些 Sid 提供每個政策陳述式目的之內嵌描述。 |
2024 年 7 月 18 日 |
| SSMQuickSetupRolePolicy – 新政策 | Systems Manager 新增了政策,允許 Quick Setup 檢查已部署資源的運作狀態,以及修偏離了移原始組態的執行個體。 | 2024 年 7 月 3 日 |
| AWSQuickSetupDeploymentRolePolicy – 新政策 | Systems Manager 新增了政策,可支援建立 IAM 角色和自動化的多種 Quick Setup 組態類型,進而使用建議的最佳實務來設定常用的 Amazon Web Services 服務和功能。 | 2024 年 7 月 3 日 |
|
AWSQuickSetupPatchPolicyDeploymentRolePolicy :新政策 |
Systems Manager 新增了政策,允許 Quick Setup 建立與 Patch Manager 修補程式政策 Quick Setup 組態相關聯的資源。 |
2024 年 7 月 3 日 |
|
Systems Manager 新增了政策,允許 Quick Setup 使用唯讀許可存取 Patch Manager 中的修補基準。 |
2024 年 7 月 3 日 | |
| AWSSystemsManagerEnableExplorerExecutionPolicy:新政策 | Systems Manager 新增了政策,允許 Explorer 授予會啟用 Quick Setup 的管理許可。 | 2024 年 7 月 3 日 |
| AWSSystemsManagerEnableConfigRecordingExecutionPolicy:新政策 | Systems Manager 新增了新的政策,Quick Setup以允許 啟用和設定 AWS Config 組態記錄。 | 2024 年 7 月 3 日 |
|
Systems Manager 新增了政策,允許 Quick Setup 啟用和設定 Amazon DevOps Guru。 |
2024 年 7 月 3 日 | |
|
Systems Manager 新增了新的政策,Quick Setup允許 啟用和設定 Distributor,這是其中的工具 AWS Systems Manager。 |
2024 年 7 月 3 日 | |
|
Systems Manager 新增了政策,允許 Quick Setup 啟用和設定 Systems Manager 的各種工具,以便安全管理 Amazon EC2 執行個體。 |
2024 年 7 月 3 日 | |
|
Systems Manager 新增了政策,允許 Quick Setup 在 Patch Manager ( AWS Systems Manager中的工具) 中啟用和設定修補程式政策。 |
2024 年 7 月 3 日 | |
|
Systems Manager 新增了政策,允許 Quick Setup 在 Amazon EC2 執行個體和其他資源上啟用和設定排程操作。 |
2024 年 7 月 3 日 | |
|
Systems Manager 新增了政策,允許 Quick Setup 部署 AWS Config 一致性套件。 |
2024 年 7 月 3 日 | |
| OpsCenter 更新了政策,以改善 Explorer 用於管理 OpsData 相關操作的服務連結角色內的服務程式碼安全性。 | 2023 年 7 月 3 日 | |
|
Systems Manager 新增新政策,以允許 Amazon EC2 執行個體上的 Systems Manager 功能,無需使用 IAM 執行個體設定檔。 |
2022 年 8 月 18 日 | |
|
AmazonSSMServiceRolePolicy:更新現有政策 |
Systems Manager 新增了新的許可,以允許 Explorer 在從 Explorer 或 OpsCenter 開啟 Security Hub 時建立受管規則。新增新的許可來檢查該組態,並在允許 OpsData 前,檢查 compute-optimizer 是否滿足必要要求。 |
2021 年 4 月 27 日 |
|
Systems Manager 新增了新政策,以建立並更新 OpsItems 和來自 Explorer 和 OpsCenter Security Hub 問題清單的 OpsData。 |
2021 年 4 月 27 日 | |
|
|
Systems Manager 新增了新的許可,以允許檢視彙總 OpsData 和 Explorer 中多個帳戶和 AWS 區域 的 OpsItems 詳細資訊。 |
2021 年 3 月 24 日 |
|
Systems Manager 已開始追蹤變更 |
Systems Manager 已開始追蹤其 AWS 受管政策的變更。 |
2021 年 3 月 12 日 |
Systems Manager 的其他受管政策
除了本主題前文所述的受管政策,Systems Manager 也支援下列政策。
-
AmazonSSMAutomationApproverAccess: AWS 受管政策,允許檢視自動化執行,以及將核准決策傳送到等待核准的自動化。 -
AmazonSSMDirectoryServiceAccess– AWS 受管政策,允許 Directory Service 代表使用者SSM Agent存取 ,以請求由受管節點加入網域。 -
AmazonSSMFullAccess– AWS 受管政策,授予 Systems Manager API 和文件的完整存取權。 -
AmazonSSMMaintenanceWindowRole: AWS 受管政策,提供具有 Systems Manager API 許可的維護時段。 -
AmazonSSMManagedInstanceCore: AWS 受管政策,讓節點可以使用 Systems Manager 服務的核心功能。 -
AmazonSSMPatchAssociation: AWS 受管政策,提供對子執行個體的存取權,以便進行修補關聯操作。 -
AmazonSSMReadOnlyAccess: AWS 受管政策,授予Get*和List*等 Systems Manager 唯讀 API 操作的存取權。 -
AWSSSMOpsInsightsServiceRolePolicy– AWS 受管政策,提供在 中建立和更新營運洞見 OpsItems 的許可Systems Manager。用於透過服務連結角色 AWSServiceRoleForAmazonSSM_OpsInsights 提供許可。 -
AWSSystemsManagerAccountDiscoveryServicePolicy– AWS 受管政策,授予 Systems Manager 探索 AWS 帳戶 資訊的許可。 -
AmazonEC2RoleforSSM:不再支援也不應使用此政策。請改用AmazonSSMManagedInstanceCore政策,以便在 EC2 執行個體上允許 Systems Manager 服務核心功能。如需相關資訊,請參閱設定 Systems Manager 所需的執行個體許可。
