• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Systems Manager 中的安全性
雲端安全是 Amazon Web Services 最重視的一環。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端*的*安全性,和雲端*中*的安全性:
+ **雲端的安全性** – AWS 負責保護在 AWS 服務 中執行的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)中,第三方稽核人員會定期測試和驗證我們安全的有效性。若要了解適用於 的合規計劃AWS Systems Manager,請參閱[AWS 服務 合規計劃範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 服務 的 。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件可協助您了解如何在使用 時套用共同責任模型 AWS Systems Manager。下列主題說明如何將 Systems Manager 設定為達到您的安全及法規遵循目標。您也會了解如何使用其他 AWS 服務 來協助您監控和保護 Systems Manager 資源。
**Topics**
+ [AWS Systems Manager 中的資料保護](data-protection.md)
+ [中的資料周邊 AWS Systems Manager](data-perimeters.md)
+ [適用於 AWS Systems Manager 的 Identity and Access Management](security-iam.md)
+ [使用 Systems Manager 的服務連結角色](using-service-linked-roles.md)
+ [AWS Systems Manager 中的日誌記錄和監控](logging-and-monitoring.md)
+ [AWS Systems Manager 的合規驗證](compliance-validation.md)
+ [AWS Systems Manager 中的恢復能力](disaster-recovery-resiliency.md)
+ [AWS Systems Manager 中的基礎設施安全](infrastructure-security.md)
+ [AWS Systems Manager 中的組態與漏洞分析](vulnerability-analysis-and-management.md)
+ [Systems Manager 的安全最佳實務](security-best-practices.md)
# AWS Systems Manager 中的資料保護
資料保護是指保護*傳輸中* (當它往返於 Systems Manager 時) 以及*靜態* (當它存放在 AWS 資料中心時) 資料。
AWS [共同的責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 AWS Systems Manager 中的資料保護。如此模型所述,AWS 負責保護執行所有 AWS 雲端 的全球基礎設施。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱 *AWS 安全性部落格*上的 [AWS 共同的責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,建議您使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 保護 AWS 帳戶 憑證,並設定個人使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 AWS CloudTrail 設定 API 和使用者活動日誌記錄。如需使用 CloudTrail 追蹤擷取 AWS 活動的相關資訊,請參閱「AWS CloudTrail 使用者指南」**中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及 AWS 服務 內的所有預設安全控制項。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在透過命令列介面或 API 存取 AWS 時,需要 FIPS 140-3 驗證的加密模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如 **Name**(名稱) 欄位。這包括當您使用 Systems Manager 或使用主控台、API、AWS CLI 或 AWS 開發套件的其他 AWS 服務。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
## 資料加密
### 靜態加密
**Parameter Store 參數**
您可以在 Parameter Store (AWS Systems Manager 中的工具) 中建立的參數類型包括 `String`、`StringList` 和 `SecureString`。
所有參數,無論其類型為何,都會在傳輸中和靜態時加密。傳輸中時,系統會使用 Transport Layer Security (TLS) 加密參數,為 API 請求建立安全的 HTTPS 連線。在靜態時,系統將會使用 AWS Key Management Service 中的 AWS 擁有的金鑰 (AWS KMS) 加密它們。如需有關 AWS 擁有的金鑰 加密的詳細資訊,請參閱 *AWS Key Management Service Developer Guide* 中的 [AWS 擁有的金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。
`SecureString` 類型提供額外的加密選項,並且建議用於所有敏感資料。您可以選擇下列的 AWS KMS 金鑰類型來加密和解密 `SecureString` 參數的值:
+ 您帳戶的 AWS 受管金鑰
+ 您在帳戶中建立的客戶自管金鑰 (CMK)
+ 在另一個 AWS 帳戶中與您共用的 CMK
如需有關 AWS KMS 加密的詳細資訊,請參閱 [AWS Key Management Service Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/)。
**S3 儲存貯體中的內容**
做為 Systems Manager 操作的一部分,您可以選擇將資料上傳或存放在一或多個 Amazon Simple Storage Service (Amazon S3) 儲存貯體中。
如需 S3 儲存貯體加密的詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)和 [Amazon Simple Storage Service (Amazon S3) 的資料保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)。
以下是您可以在 Systems Manager 活動中上傳或存放在 S3 儲存貯體中的資料類型。
+ Run Command (AWS Systems Manager 中的工具) 中的命令輸出
+ Distributor (AWS Systems Manager 中的工具) 中的套件
+ Patch Manager (AWS Systems Manager 中的工具) 中的修補操作日誌
+ Patch Manager 修補程式會覆寫清單
+ Automation (AWS Systems Manager 中的工具) 的執行手冊工作流程中執行的指令碼或 Ansible Playbook
+ 合規 (AWS Systems Manager 中的工具) 中與掃描搭配使用的 Chef InSpec 設定檔
+ AWS CloudTrail 日誌
+ Session Manager (AWS Systems Manager 的工具) 中的工作階段歷史記錄日誌
+ Explorer (AWS Systems Manager 中的工具) 中的報告
+ OpsCenter (AWS Systems Manager 中的工具) 中的 OpsData
+ 與自動化工作流程搭配使用的 AWS CloudFormation 範本
+ 來自資源資料同步掃描的合規資料
+ 在受管節點上,State Manager (AWS Systems Manager 中的工具) 中建立或編輯關聯的請求輸出
+ 自訂 Systems Manager 文件 (SSM 文件),您可以使用 AWS 受管 SSM 文件 `AWS-RunDocument` 執行
**CloudWatch Logs 日誌群組**
做為 Systems Manager 操作的一部分,您可以選擇將資料串流至一或多個 Amazon CloudWatch Logs 日誌群組。
如需 CloudWatch Logs 日誌群組加密的相關資訊,請參閱《[Amazon CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)》中的*在 CloudWatch Logs 中使用 AWS Key Management Service 加密日誌資料*。
下列是您可能已在 Systems Manager 活動中串流至 CloudWatch Logs 日誌群組的資料類型。
+ Run Command 命令的輸出
+ 使用 Automation Runbook 中的 `aws:executeScript` 動作執行指令碼輸出
+ Session Manager 工作階段歷史記錄日誌
+ 受管節點上來自 SSM Agent 的日誌
### 傳輸中加密
我們建議您使用 Transport Layer Security (TLS) 此類加密通訊協定,在用戶端和您的節點之間加密傳輸中的敏感資料。
Systems Manager 提供下列對傳輸中資料進行加密的支援。
**Systems Manager API 端點的連線**
Systems Manager API 端點僅支援透過 HTTPS 的安全連線。當您使用 AWS 管理主控台、AWS 開發套件或 Systems Manager API 來管理 Systems Manager 資源時,所有通訊都會使用 Transport Layer Security (TLS) 加密。如需完整的 API 端點清單,請參閱《Amazon Web Services 一般參考》**中的 [AWS 服務 端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
**受管執行個體**
AWS 提供 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體之間的安全和私有連線。此外,我們使用 AEAD 演算法搭配 256 位元加密,在相同 Virtual Private Cloud (VPC) 或對等 VPC 中的受支援執行個體之間自動加密傳輸中流量。此加密功能使用基礎硬體的卸載能力,不影響網路效能。受支援執行個體包括:C5n、G4、I3en、M5dn、M5n、P3dn、R5dn 和 R5n。
**Session Manager 工作階段**
依預設,Session Manager 使用 TLS 1.3 對帳戶中使用者的本機電腦與 EC2 執行個體之間傳輸的工作階段資料進行加密。您也可以選擇使用在 AWS KMS 中建立的 AWS KMS key,進一步加密傳輸中資料。AWS KMS 加密可用於 `Standard_Stream`、`InteractiveCommands` 以及 `NonInteractiveCommands` 工作階段類型。
**Run Command 存取**
依預設,使用 Run Command 來遠端存取您的節點是使用 TLS 1.3 進行加密,然後使用 SigV4 來簽署建立連線的請求。
## 網際網路流量隱私權
您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在受管節點的資源之間建立邊界,並控制這些資源、內部部署網路和網際網路之間的流量。如需詳細資訊,請參閱[使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性](setup-create-vpc.md)。
如需 Amazon Virtual Private Cloud 安全的詳細資訊,請參閱《Amazon VPC 使用者指南**》中的 [Amazon VPC 網際網路流量隱私權](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)。
# 中的資料周邊 AWS Systems Manager
資料周邊是 AWS 環境中的一組預防性護欄,可協助確保只有來自預期網路和資源的受信任身分才能存取您的資料。當您實作資料周邊控制時,您可能需要包含 Systems Manager 代表您存取 AWS 的服務擁有資源例外狀況。
**範例案例:SSM 文件類別 S3 儲存貯體**
Systems Manager 會存取 AWS 受管 S3 儲存貯體,以擷取 的文件類別資訊[AWS Systems Manager Documents](documents.md)。此儲存貯體包含有關文件類別的中繼資料,可協助在主控台中整理和分類 SSM 文件。
資源 ARN 模式
`arn:aws:s3:::ssm-document-categories-region`
區域範例:
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`
存取時
當您在 Systems Manager 主控台中檢視 SSM 文件,或使用擷取文件中繼資料和類別的 API 時,會存取此資源。
資料已儲存
儲存貯體包含具有文件類別定義和中繼資料的 JSON 檔案。此資料為唯讀,而且不包含客戶特定資訊。
使用的身分
Systems Manager 會代表您的要求,使用 AWS 服務登入資料來存取此資源。
所需的許可
儲存貯體內容中的 `s3:GetObject`。
**資料周界政策考量**
使用具有 等條件的服務控制政策 (SCPs) 或 VPC 端點政策實作資料周邊控制時`aws:ResourceOrgID`,您需要為 Systems Manager 所需的 AWS 服務擁有資源建立例外狀況。
例如,如果您使用 SCP 搭配 `aws:ResourceOrgID` 來限制對組織外部資源的存取,則需要為 SSM 文件類別儲存貯體新增例外狀況。
此政策需要存取組織外部的資源,但包含適當 S3 儲存貯體的例外狀況,允許 Systems Manager 繼續正常運作。
同樣地,如果您使用 VPC 端點政策來限制 S3 存取,則您需要確保可透過 VPC 端點存取 SSM 文件類別儲存貯體。
**其他資訊**
如需 中資料周邊的詳細資訊 AWS,請參閱下列主題:
+ [資料周邊開啟 AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/)。
+ 《*IAM 使用者指南*》中的[使用資料周邊建立許可護欄](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html)
+ GitHub 上*AWS 範例*儲存庫中的[服務特定指引: AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md) 和服務[擁有的資源](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md)
# 適用於 AWS Systems Manager 的 Identity and Access Management
AWS Identity and Access Management (IAM) 是 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可以控制身分*身分驗證* (已登入) 和*授權* (具有許可) 以使用 Systems Manager 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [目標對象](#security_iam_audience)
+ [使用身分驗證](#security_iam_authentication)
+ [使用政策管理存取權](#security_iam_access-manage)
+ [AWS Systems Manager 搭配 IAM 的運作方式](security_iam_service-with-iam.md)
+ [AWS Systems Manager 身分型政策範例](security_iam_id-based-policy-examples.md)
+ [AWS 的 受管政策 AWS Systems Manager](security-iam-awsmanpol.md)
+ [對 AWS Systems Manager 身分與存取進行疑難排解](security_iam_troubleshoot.md)
## 目標對象
使用方式 AWS Identity and Access Management (IAM) 會根據您的角色而有所不同:
+ **服務使用者** — 若無法存取某些功能,請向管理員申請所需許可 (請參閱 [對 AWS Systems Manager 身分與存取進行疑難排解](security_iam_troubleshoot.md))
+ **服務管理員** — 負責設定使用者存取權並提交相關許可請求 (請參閱 [AWS Systems Manager 搭配 IAM 的運作方式](security_iam_service-with-iam.md))
+ **IAM 管理員** — 撰寫政策以管理存取控制 (請參閱 [AWS Systems Manager 身分型政策範例](security_iam_id-based-policy-examples.md))
## 使用身分驗證
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須驗證為 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色。
您可以使用身分來源的登入資料,例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》**中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
對於程式設計存取, AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [API 請求的AWS 第 4 版簽署程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和 資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 使用者和群組
*IAM 使用者*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)**會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 使用者的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*IAM 角色*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的身分具有特定許可權,其可以提供臨時憑證。您可以透過[從使用者切換到 IAM 角色 (主控台) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用政策管理存取權
您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策定義與身分或資源相關聯的許可。當委託人提出請求時 AWS , 會評估這些政策。大多數政策會以 JSON 文件 AWS 形式存放在 中。如需進一步了解 JSON 政策文件,請參閱《*IAM 使用者指南*》中的 [JSON 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理員會使用政策,透過定義哪些**主體**可在哪些**條件**下對哪些**資源**執行**動作**,以指定可存取的範圍。
預設情況下,使用者和角色沒有許可。IAM 管理員會建立 IAM 政策並將其新增至角色,供使用者後續擔任。IAM 政策定義動作的許可,無論採用何種方式執行。
### 身分型政策
身分型政策是附加至身分 (使用者、使用者群組或角色) 的 JSON 許可政策文件。這類政策控制身分可對哪些資源執行哪些動作,以及適用的條件。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
身分型政策可分為*內嵌政策* (直接內嵌於單一身分) 與*受管政策* (可附加至多個身分的獨立政策)。如需了解如何在受管政策及內嵌政策之間做選擇,請參閱《IAM 使用者指南》**中的[在受管政策與內嵌政策之間選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
如需 AWS 受管政策的相關資訊Systems Manager,請參閱 [AWS Systems Manager 受管政策](security_iam_service-with-iam.md#managed-policies)。
### 資源型政策
資源型政策是附加到資源的 JSON 政策文件。範例包括 IAM *角色信任政策*與 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策中使用來自 IAM 的 AWS 受管政策。
### 政策條件索引鍵
使用者和角色可執行的動作,以及他們可以採取這些動作的資源,都可以透過特定*條件*進一步限制。
在 JSON 政策文件中,`Condition` 元素 (或 `Condition` 區塊) 可讓您指定使陳述式生效的條件。`Condition` 元素是選用項目。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如 `StringEquals` 或 `StringNotLike`),來比對政策中的條件和請求中的值。
若您在陳述式中指定多個 `Condition` 元素,或是在單一 `Condition` 元素中指定多個索引鍵, AWS 會使用邏輯 `AND` 操作評估他們。如果您為單一條件索引鍵指定多個值, 會使用邏輯`OR`操作 AWS 評估條件。必須符合所有條件,才會授與陳述式的許可。
您也可以在指定條件時使用預留位置變數。例如,您可以只在使用者使用其 IAM 使用者名稱標記時,將存取資源的許可授予該 IAM 使用者。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [IAM 政策元素:變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。
AWS 支援全域條件金鑰和服務特定的條件金鑰。如需詳細資訊,請參閱《IAM 使用者指南》**中的[AWS 全域條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
**重要**
如果您使用 Systems Manager Automation,建議您不要在政策中使用 [aws:SourceIp](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) 條件索引鍵。此條件索引鍵的行為取決於多個因素,包括是否提供了用於 Automation 執行手冊執行的 IAM 角色,以及執行手冊中使用的 Automation 動作。因此,條件索引鍵可能會產生非預期的行為。因而,建議您不要使用它。
Systems Manager 支援許多自身的條件索引鍵。如需詳細資訊,請參閱《服務授權參考》**中的 [Condition Keys for AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)。可以與 Systems Manager 特定條件索引鍵搭配使用的動作和資源,都列在《服務授權參考》**中的 [Resource types defined by AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) 內。
如果政策必須依賴 Systems Manager 服務所擁有的服務主體名稱,建議您使用 `aws:PrincipalServiceNamesList` [多重值條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys) (而不是 `aws:PrincipalServiceName` 條件索引鍵) 來檢查其是否存在。`aws:PrincipalServiceName` 條件索引鍵只包含服務主體名稱清單中的一個項目,不一定是您預期的服務主體名稱。以下 `Condition` 區塊示範如何檢查 `ssm.amazonaws.com` 是否存在。
```
{
"Condition": {
"ForAnyValue:StringEquals": {
"aws:PrincipalServiceNamesList": "ssm.amazonaws.com"
}
}
}
```
如需檢視 Systems Manager 身分型政策範例,請參閱 [AWS Systems Manager 身分型政策範例](security_iam_id-based-policy-examples.md)。
### 存取控制清單 (ACL)
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
Amazon S3 AWS WAF和 Amazon VPC 是支援 ACLs的服務範例。如需進一步了解 ACL,請參閱《Amazon Simple Storage Service 開發人員指南》**中的[存取控制清單 (ACL) 概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他政策類型
AWS 支援其他政策類型,可設定更多常見政策類型授予的最大許可:
+ **許可界限** — 設定身分型政策可授與 IAM 實體的最大許可。如需詳細資訊,請參閱《 IAM 使用者指南》**中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCP)** — 為 AWS Organizations中的組織或組織單位指定最大許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **資源控制政策 (RCP)** — 設定您帳戶中資源可用許可的上限。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **工作階段政策** — 在以程式設計方式為角色或聯合身分使用者建立臨時工作階段時,以參數形式傳遞的進階政策。如需詳細資訊,請參《*IAM 使用者指南*》中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多種政策類型
當多種類型的政策適用於請求時,產生的許可會更複雜而無法理解。若要了解如何 AWS 在涉及多種政策類型時決定是否允許請求,請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# AWS Systems Manager 搭配 IAM 的運作方式
在您使用 AWS Identity and Access Management (IAM) 來管理對 的存取之前 AWS Systems Manager,您應該了解哪些 IAM 功能可與 搭配使用Systems Manager。若要深入了解 Systems Manager和其他 如何與 IAM AWS 服務 搭配使用,請參閱《[AWS 服務 IAM 使用者指南》中的 與 IAM 搭配使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **
**Topics**
+ [Systems Manager 身分型政策](#security_iam_service-with-iam-id-based-policies)
+ [Systems Manager 資源型政策](#security_iam_service-with-iam-resource-based-policies)
+ [以 Systems Manager 標籤為基礎的授權](#security_iam_service-with-iam-tags)
+ [Systems Manager IAM 角色](#security_iam_service-with-iam-roles)
## Systems Manager 身分型政策
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。Systems Manager 支援特定動作、資源及條件金鑰。若要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 動作
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
Systems Manager 中的政策動作會在動作之前使用以下字首:`ssm:`。例如,若要授予某人使用 Systems Manager `PutParameter` API 操作建立 Systems Manager 參數 (SSM 參數) 的許可,請在其政策中加入 `ssm:PutParameter` 動作。政策陳述式必須包含 `Action` 或 `NotAction` 元素。Systems Manager 會定義一組自己的動作,來描述您可以使用此服務執行的任務。
若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:
```
"Action": [
"ssm:action1",
"ssm:action2"
]
```
**注意**
中的下列工具在動作之前 AWS Systems Manager 使用不同的字首。
AWS AppConfig 在動作`appconfig:`之前使用 字首。
Incident Manager 會在動作之前使用 `ssm-incidents:` 或 `ssm-contacts:` 字首。
Systems Manager GUI Connect 會在動作之前使用 `ssm-guiconnect:` 字首。
Quick Setup 會在動作之前使用 `ssm-quicksetup:` 字首。
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `Describe` 文字的所有動作,請包含以下動作:
```
"Action": "ssm:Describe*"
```
如要查看 Systems Manager 動作的清單,請參閱《*服務授權參考*》中的 [AWS Systems Manager 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)。
### Resources
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
例如,Systems Manager 維護時段資源具有下列 ARN 格式。
```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```
若要在您美國東部 (俄亥俄) 區域的陳述式中指定 mw-0c50858d01EXAMPLE 維護時段,請使用類似於下列的 ARN。
```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```
若要指定所有屬於特定帳戶的維護時段,請使用萬用字元 (\$1)。
```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```
對於 `Parameter Store` API 操作,您可以使用階層名稱和 AWS Identity and Access Management (IAM) 政策,提供或限制對階層某個層級中所有參數的存取,如下所示。
```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```
有些 Systems Manager 動作 (例如用來建立資源的動作) 無法在特定資源上執行。在這些情況下,您必須使用萬用字元 (\$1)。
```
"Resource": "*"
```
一些 Systems Manager API 作業都接受多個資源。若要在單一陳述式中指定多項資源,請用逗號分隔其 ARN,如下所示。
```
"Resource": [
"resource1",
"resource2"
```
**注意**
大多數 AWS 服務 會將冒號 (:) 或正斜線 (/) 視為 ARNs中的相同字元。不過,Systems Manager 在資源模式和規則中請求完全相符。在建立事件模式時,請務必使用正確的 ARN 字元,使這些字元符合資源的 ARN。
下表說明 Systems Manager 支援的資源類型 ARN 格式。
**注意**
請注意 ARN 格式的下列例外狀況。
中的下列工具在動作之前 AWS Systems Manager 使用不同的字首。
AWS AppConfig 在動作`appconfig:`之前使用 字首。
Incident Manager 會在動作之前使用 `ssm-incidents:` 或 `ssm-contacts:` 字首。
Systems Manager GUI Connect 會在動作之前使用 `ssm-guiconnect` 字首。
Amazon 擁有的文件和自動化定義資源,以及 Amazon 和第三方來源提供的公有參數,都不會在 ARN 格式中包含帳戶 ID。例如:
SSM 文件 `AWS-RunPatchBaseline`:
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline`
Automation 執行手冊 `AWS-ConfigureMaintenanceWindows`:
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
公有參數 `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`:
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
如需有關這三個資源類型的詳細資訊,請參閱下列主題:
[使用文件](documents-using.md)
[執行由 Systems Manager Automation 提供支援的自動化操作](running-simple-automations.md)
[在 Parameter Store 中使用公有參數](parameter-store-public-parameters.md)
Quick Setup 會在動作之前使用 `ssm-quicksetup:` 字首。
| Resource Type (資源類型) | ARN 格式 |
| --- | --- |
| 應用程式 (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id |
| 關聯 | arn:aws:ssm:region:account-id:association/association-id |
| 自動化執行 | arn:aws:ssm:region:account-id:automation-execution/automation-execution-id |
| 自動化定義 (包含版本子資源) | arn:aws:ssm:*region*:*account-id*:automation-definition/*automation-definition-id*:*version-id* **1** |
| 組態描述檔 (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/configurationprofile/configurationprofile-id |
| 聯絡 (Incident Manager) | arn:aws:ssm-contacts:*region*:*account-id*:contact/*contact-alias* |
| 部署策略 (AWS AppConfig) | arn:aws:appconfig:region:account-id:deploymentstrategy/deploymentstrategy-id |
| 文件 | arn:aws:ssm:*region*:*account-id*:document/*document-name* |
| 環境 (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/environment/environment-id |
| 事件 | arn:aws:ssm-incidents:*region*:*account-id*:incident-record/*response-plan-name*/*incident-id* |
| Maintenance window (維護時段) | arn:aws:ssm:*region*:*account-id*:maintenancewindow/*window-id* |
| 受管節點 | arn:aws:ssm:*region*:*account-id*:managed-instance/*managed-node-id* |
| 受管節點庫存 | arn:aws:ssm:region:account-id:managed-instance-inventory/managed-node-id |
| OpsItem | arn:aws:ssm:region:account-id:opsitem/OpsItem-id |
| 參數 | 單層級參數: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/security_iam_service-with-iam.html) 使用階層結構命名的參數: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/security_iam_service-with-iam.html) |
| 修補基準 | arn:aws:ssm:*region*:*account-id*:patchbaseline/*patch-baseline-id* |
| 反應計劃 | arn:aws:ssm-incidents:*region*:*account-id*:response-plan/*response-plan-name* |
| Session (工作階段) | arn:aws:ssm:*region*:*account-id*:session/*session-id* **3** |
| 所有 Systems Manager 資源 | arn:aws:ssm:\$1 |
| 指定 AWS 帳戶 中指定 擁有的所有Systems Manager資源 AWS 區域 | arn:aws:ssm:*region*:*account-id*:\$1 |
**注意**
自動化定義資源已棄用。請更新您的 IAM 政策,以包含允許 `ssm:StartAutomationExecution`或 `ssm:StartChangeRequestExecution` 上的 `document`和 `automation-execution` 資源。若要檢視設定 IAM 許可的最佳實務和範例,請參閱我們的[設定身分型政策範例](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html)使用者指南。
**1** 針對自動化定義,Systems Manager 支援第二層級的資源,*版本 ID*。在 中 AWS,這些第二層資源稱為*子資源*。指定自動化定義資源的版本子資源,允許您提供特定版本之自動化定義的存取。例如,您可能想要確保您的節點管理僅使用最新版本的自動化定義。
**2** 若要整理和管理參數,您可以建立具有階層結構的參數名稱。擁有階層結構的參數名稱可以包含您使用斜線定義的路徑。您最多可以命名包含十五個層級的參數資源。建議您建立階層以反映環境中現有的階層架構。如需詳細資訊,請參閱[在 Systems Manager 中建立 Parameter Store 參數](sysman-paramstore-su-create.md)。
**3** 在大多數情況下,工作階段 ID 是使用開始工作階段的帳戶使用者 ID,加上英數尾碼。例如:
```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```
不過,如果使用者 ID 無法使用,則會以下列方式建構 ARN:
```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```
如需有關 ARN 格式的詳細資訊,請參閱《Amazon Web Services 一般參考》**中的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
如需 Systems Manager 資源類型及其 ARN 的清單,請參閱《*服務授權參考*》中的 [AWS Systems Manager 定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱 [AWS Systems Manager 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)。
### Systems Manager 的條件索引鍵
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
如要查看 Systems Manager 條件索引鍵的清單,請參閱《*服務授權參考*》中的 [AWS Systems Manager 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)。若要了解您可以針對何種動作及資源使用條件索引鍵,請參閱 [AWS Systems Manager 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)。
如需使用 `ssm:resourceTag/*` 條件金鑰的相關資訊,請參閱以下主題:
+ [限制透過 SSM Agent 存取根層級命令](ssm-agent-restrict-root-level-commands.md)
+ [根據標籤限制 Run Command 存取](run-command-setting-up.md#tag-based-access)
+ [根據執行個體標籤限制工作階段存取](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)
如需使用 `ssm:Recursive`、`ssm:Policies` 和 `ssm:Overwrite` 條件索引鍵的相關資訊,請參閱[防止存取 Parameter Store API 操作](parameter-store-policy-conditions.md)。
### 範例
若要檢視 Systems Manager 身分型政策範例,請參閱 [AWS Systems Manager 身分型政策範例](security_iam_id-based-policy-examples.md)。
## Systems Manager 資源型政策
其他 AWS 服務,例如 Amazon Simple Storage Service (Amazon S3),支援以資源為基礎的許可政策。例如,您可以將許可政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。
Systems Manager 不支援資源型政策。
## 以 Systems Manager 標籤為基礎的授權
您可以將標籤連接到 Systems Manager 資源,或是在請求中將標籤傳遞給 Systems Manager。若要根據標籤控制存取,請使用 `ssm:resourceTag/key-name`、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。您可以在建立或更新下列資源類型時,將標籤新增至下列資源類型:
+ 文件
+ 受管節點
+ Maintenance window (維護時段)
+ 參數
+ 修補基準
+ OpsItem
若要檢視身分型政策範例,以根據該資源上的標籤來限制存取資源,請參閱 [根據標籤來檢視 Systems Manager 文件](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags)。
## Systems Manager IAM 角色
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是 中具有特定許可 AWS 帳戶 的實體。
### 將臨時憑證與 Systems Manager 搭配使用
您可以搭配聯合使用暫時憑證、擔任 IAM 角色,或是擔任跨帳戶角色。您可以透過呼叫 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 等 AWS Security Token Service AWS STS API 操作來取得臨時安全登入資料。
Systems Manager 支援使用臨時憑證。
### 服務連結角色
[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允許 AWS 服務 存取其他服務中的資源,以代表您完成 動作。服務連結角色會列於您的 IAM 帳戶中,並由該服務所擁有。 管理員可以檢視,但不能編輯服務連結角色的許可。
Systems Manager 支援服務連結角色。如需建立或管理 Systems Manager 服務連結角色的詳細資訊,請參閱[使用 Systems Manager 的服務連結角色](using-service-linked-roles.md)。
### 服務角色
此功能可讓服務代表您擔任[服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會顯示在您的 IAM 帳戶中,且由該帳戶所擁有。這表示 管理員可以變更此角色的許可。不過,這樣可能會破壞此服務的功能。
Systems Manager 支援服務角色。
### 在 Systems Manager 中選擇 IAM 角色
若要讓 Systems Manager 與您的受管節點互動,您必須選擇角色以允許 Systems Manager 代表您存取節點。如果您之前已建立服務角色或服務連結角色,Systems Manager 會提供您角色清單讓您選擇。請務必選擇允許存取啟動和停止受管節點的角色。
若要存取 EC2 執行個體,您必須設定執行個體許可。如需相關資訊,請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
若要存取[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的非 EC2 節點,您的 AWS 帳戶 需要的角色是 IAM 服務角色。如需相關資訊,請參閱[在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)。
自動化工作流程可在服務角色 (或擔任角色) 的內容下啟動。這可讓服務代表您執行動作。如果您未指定擔任角色,Automation 會使用呼叫執行的使用者內容。然而,某些情況仍需要您為自動化指定服務角色。如需詳細資訊,請參閱[設定自動化的服務角色 (擔任角色) 存取權](automation-setup.md#automation-setup-configure-role)。
### AWS Systems Manager 受管政策
AWS 透過提供由 建立和管理的獨立 IAM 政策,解決許多常見的使用案例 AWS。這些 AWS *管理的政策*會授予常用案例所需的許可,讓您不需調查需要哪些許可。(您也可以建立自己的自訂 IAM 政策,以允許 Systems Manager 動作與資源的許可。)
如需有關 Systems Manager 受管政策的詳細資訊,請參閱 [AWS 的 受管政策 AWS Systems Manager](security-iam-awsmanpol.md)
如需受管政策的一般資訊,請參閱《IAM 使用者指南》**中的 [AWS managed policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
# AWS Systems Manager 身分型政策範例
根據預設, AWS Identity and Access Management (IAM) 實體 (使用者和角色) 沒有建立或修改 AWS Systems Manager 資源的許可。他們也無法使用 Systems Manager 主控台、 AWS Command Line Interface (AWS CLI) 或 AWS API 執行任務。管理員必須建立 IAM 政策,授與使用者和角色在指定資源上執行特定 API 操作所需的許可。管理員接著必須將這些政策連接至需要這些許可的使用者或群組。
以下是許可政策的範例,允許使用者刪除名稱開頭為 的文件**MyDocument-**,在美國東部 (俄亥俄) (us-east-2) AWS 區域。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"ssm:DeleteDocument"
],
"Resource" : [
"arn:aws:ssm:us-east-1:111122223333:document/MyDocument-*"
]
}
]
}
```
------
若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《IAM 使用者指南**》中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [範例:使用 Systems Manager 主控台的許可](#security_iam_id-based-policy-examples-console)
+ [範例:允許使用者檢視他們自己的許可的許可](#security_iam_id-based-policy-examples-view-own-permissions)
+ [範例:讀取和描述個別參數的許可](#security_iam_id-based-policy-examples-view-one-parameter)
+ [預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)
+ [客戶管理政策範例](#customer-managed-policies)
+ [根據標籤來檢視 Systems Manager 文件](#security_iam_id-based-policy-examples-view-documents-tags)
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 Systems Manager 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 範例:使用 Systems Manager 主控台的許可
若要存取 Systems Manager 主控台,您必須擁有最低的一組許可。這些許可必須允許您列出和檢視您 AWS 帳戶中 Systems Manager 資源和其他資源的詳細資訊。
如果您建立比最低必要許可更嚴格的身分型政策,則對於具有該政策的 IAM 實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合您嘗試執行之 API 作業的動作就可以了。
為了確保使用者和角色仍然可以使用 Systems Manager 主控台,請將 [AmazonSSMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) 或 [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) AWS 受管政策連接到實體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[新增許可到使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
## 範例:允許使用者檢視他們自己的許可的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視連接到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 範例:讀取和描述個別參數的許可
**Example 讀取和描述一個參數**
您可以透過將下列政策連接至身分,授予對參數的存取權。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:DescribeParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/parameter-name"
}
]
}
```
# 預防跨服務混淆代理人
混淆代理人問題屬於安全性議題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中 AWS,跨服務模擬可能會導致混淆代理人問題。在某個服務 (*呼叫服務*) 呼叫另一個服務 (*被呼叫服務*) 時,可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可,以其不應有存取許可的方式對其他客戶的資源採取動作。為了避免這種情況, AWS 提供工具,協助您保護所有 服務的資料,讓 服務主體能夠存取您帳戶中的資源。
我們建議在資源政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全域條件內容索引鍵,來限制 AWS Systems Manager 提供給另一項服務的資源許可。如果 `aws:SourceArn` 值不包含帳戶 ID (例如 S3 儲存貯體的 Amazon Resource Name (ARN)),則您必須使用這兩個全域條件內容索引鍵來限制許可。如果同時使用這兩個全域條件內容索引鍵,且 `aws:SourceArn` 值包含帳戶 ID,則在相同政策陳述式中使用 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的帳戶時,必須使用相同的帳戶 ID。如果您想要僅允許一個資源與跨服務存取相關聯,則請使用 `aws:SourceArn`。如果您想要允許該帳戶中的任何資源與跨服務使用相關聯,請使用 `aws:SourceAccount`。
下列各節將提供 AWS Systems Manager 工具的範例政策。
## 混合式啟用政策範例
對於混合式啟用中使用的[服務角色](activations.md),`aws:SourceArn` 的值必須是 AWS 帳戶的 ARN。請務必在您建立混合啟用的 ARN AWS 區域 中指定 。如果不知道資源的完整 ARN,或者如果您指定了多個資源,請使用 `aws:SourceArn` 全域條件內容索引鍵,同時使用萬用字元 (`*`) 表示 ARN 的未知部分。例如 `arn:aws:ssm:*:region:123456789012:*`。
下列範例示範對於 Automation 使用 `aws:SourceArn` 和 `aws:SourceAccount` 全局條件內容索引鍵,以防止美國東部 (俄亥俄) 區域 (us-east-2) 的混淆代理問題。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
------
## 資源資料同步政策範例
Systems Manager 庫存、Explorer 和合規可讓您建立資源資料同步,以集中在中央 Amazon Simple Storage Service 儲存貯體中儲存操作資料 (OpsData)。如果您想要使用 AWS Key Management Service (AWS KMS) 加密資源資料同步,則必須建立新的金鑰,其中包含下列政策,或者您必須更新現有的金鑰並將此政策新增至其中。此政策中的 `aws:SourceArn` 和 `aws:SourceAccount` 條件索引鍵會預防混淆代理人問題。以下是一個範例政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ssm-access-policy",
"Statement": [
{
"Sid": "ssm-access-policy-statement",
"Action": [
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id",
"Condition": {
"StringLike": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM"
}
}
}
]
}
```
------
**注意**
政策範例中的 ARN 可讓系統加密來自除 AWS Security Hub CSPM以外所有來源的 OpsData。如果您需要加密 Security Hub CSPM 資料,例如,如果您使用 Explorer 來收集 Security Hub CSPM 資料,則必須連接指定下列 ARN 的其他政策:
`"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"`
## 客戶管理政策範例
您可以建立獨立的政策,在您自己的 AWS 帳戶進行管理。我們將這些稱為*客戶受管政策*。您可以將這些政策連接到 中的多個委託人實體 AWS 帳戶。將政策連接到主體實體時,便向實體授予了政策中定義的許可。如需詳細資訊,請參閱《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)**》中的[客戶受管政策範例](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)。
下列使用者政策範例授予執行各種 Systems Manager 動作的許可。使用這些政策來限制 IAM 實體 (使用者或角色) 的 Systems Manager 存取。這些政策會在 Systems Manager API、 AWS SDKs或 中執行動作時運作 AWS CLI。使用主控台的使用者,需要授予專屬於主控台的額外許可。如需詳細資訊,請參閱[範例:使用 Systems Manager 主控台的許可](#security_iam_id-based-policy-examples-console)。
**注意**
所有範例皆使用美國西部 (奧勒岡) 區域 (us-west-2) 並包含虛構帳戶 ID。不應在 AWS 公有文件 (以 開頭的文件) 的 Amazon Resource Name (ARN) 中指定帳戶 ID`AWS-*`。
**範例**
+ [範例 1:允許使用者在單一區域執行 Systems Manager 操作](#identity-based-policies-example-1)
+ [範例 2:允許使用者列出單一區域的文件](#identity-based-policies-example-2)
### 範例 1:允許使用者在單一區域執行 Systems Manager 操作
下列範例會授予許可,僅在美國東部 (俄亥俄) 區域 (us-east-2) 執行 Systems Manager 操作:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:*"
]
}
]
}
```
------
### 範例 2:允許使用者列出單一區域的文件
以下範例會授予許可,列出在美國東部 (俄亥俄) 區域 (us-east-2) 中所有以 **Update** 開頭的文件名稱:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:ListDocuments"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/Update*"
]
}
]
}
```
------
### 範例 3:允許使用者使用特定 SSM 文件,以在特定受管節點上執行命令
以下範例為 IAM 政策允許使用者美國東部 (俄亥俄) 區域 (us-east-2) 中執行以下操作:
+ 列出 Systems Manager 文件 (SSM 文件) 和文件版本。
+ 查看文件的詳細資訊。
+ 使用此政策中指定的文件傳送命令。文件的名稱取決於以下項目。
```
arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name
```
+ 將命令傳送到三個節點。節點取決於第二個 `Resource` 區段中的下列項目。
```
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE"
```
+ 命令傳送後查看其詳細資訊。
+ 在 Automation ( AWS Systems Manager中的工具) 中啟動和停止工作流程。
+ 取得有關 Automation 工作流程的資訊。
如果想要授予使用者許可,讓他們可使用此文件來在使用者有權存取的任何節點上傳送命令,您可以在 `Resource` 區段中指定與以下類似的項目,並移除其他節點項目。以下範例會使用美國東部 (俄亥俄) 區域 (US-east-2)。
```
"arn:aws:ec2:us-east-2:*:instance/*"
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions",
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeInstanceInformation",
"ssm:DescribeDocumentParameters",
"ssm:DescribeInstanceProperties"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:SendCommand",
"Effect": "Allow",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-07782c72faEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/Systems-Manager-document-name"
]
},
{
"Action": [
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ec2:DescribeInstanceStatus",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Action": "ssm:DescribeAutomationExecutions",
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution"
],
"Effect": "Allow",
"Resource": [
"*"
]
}
]
}
```
------
## 根據標籤來檢視 Systems Manager 文件
您可以在身分型政策中使用條件,以根據標籤控制存取 Systems Manager 資源。此範例會示範如何建立政策,允許檢視 SSM 文件。但是,只有在文件標籤 `Owner` 值是該使用者的使用者名稱時,才會授予許可。此政策也會授予在主控台完成此動作的必要許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListDocumentsInConsole",
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Sid": "ViewDocumentIfOwner",
"Effect": "Allow",
"Action": "ssm:GetDocument",
"Resource": "arn:aws:ssm:*:*:document/*",
"Condition": {
"StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
您可以將此政策連接到您帳戶中的 使用者。如果名為 `richard-roe` 的使用者嘗試檢視 Systems Manager 文件,則必須將文件標記為 `Owner=richard-roe` 或 `owner=richard-roe`。否則,其會被拒絕存取。條件標籤鍵 `Owner` 符合 `Owner` 和 `owner`,因為條件索引鍵名稱不區分大小寫。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
# AWS 的 受管政策 AWS Systems Manager
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可供現有 服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 受管政策:AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [AWS 受管政策:AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [AWS 受管政策:AmazonSSMReadOnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [AWS 受管政策:AWSSystemsManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [AWS 受管政策:AmazonSSMManagedEC2InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [AWS 受管政策:SSMQuickSetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [AWS 受管政策:AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [AWS 受管政策:AWSQuickSetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [AWS 受管政策:AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS 受管政策: `AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS 受管政策: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [AWS 受管政策:AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [AWS 受管政策:AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [AWS 受管政策:AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [AWS 受管政策:AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [AWS 受管政策:AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [AWS 受管政策:AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [AWS 受管政策:AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [AWS 受管政策:AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [AWS 受管政策:AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [AWS 受管政策:AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [AWS 受管政策:AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [AWS 受管政策:AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [AWS 受管政策:AWSQuickSetupSSMManageResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [AWS 受管政策:AWSQuickSetupSSMLifecycleManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [AWS 受管政策:AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [AWS 受管政策:AWSQuickSetupSSMDeploymentS3BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS 受管政策: AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS 受管政策: AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [AWS 受管政策:AWSQuickSetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [AWS 受管政策:AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [AWS 受管政策:AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [AWS 受管政策:AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [AWS 受管政策:AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [AWS 受管政策:AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [AWS 受管政策:AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [AWS 受管政策:AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [AWS 受管政策:AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [AWS 受管政策:AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS 受管政策:AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [Systems Manager AWS 受管政策的更新](#security-iam-awsmanpol-updates)
+ [Systems Manager 的其他受管政策](#policies-list)
## AWS 受管政策:AmazonSSMServiceRolePolicy
此政策可讓您存取由 Systems Manager 操作管理 AWS Systems Manager 或用於 Systems Manager 操作的許多 AWS 資源。
您無法`AmazonSSMServiceRolePolicy`連接至您的 AWS Identity and Access Management (IAM) 實體。此政策會連接到服務連結角色, AWS Systems Manager 允許 代表您執行動作。如需詳細資訊,請參閱[使用角色來收集庫存和查看 OpsData](using-service-linked-roles-service-action-1.md)。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm`:允許主體啟動並逐步執行 Run Command 和 Automation;擷取 Run Command 和 Automation 操作的相關資訊;擷取 Parameter Store 參數 Change Calendar 行事曆的相關資訊;更新和擷取 OpsCenter 資源的 Systems Manager 服務設定的相關資訊;以及讀取已套用至資源的標籤相關資訊。
+ `cloudformation`:允許主體擷取堆疊集操作和堆疊集執行個體的相關資訊,以及刪除資源 `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*` 上的堆疊集。允許主體刪除與下列資源相關聯的堆疊執行個體:
```
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*
```
+ `cloudwatch`:允許主體擷取 Amazon CloudWatch 警示的相關資訊。
+ `compute-optimizer` – 允許主體擷取帳戶對 AWS Compute Optimizer 服務的註冊 (選擇加入) 狀態,以及擷取符合特定陳述要求之 Amazon EC2 執行個體的建議。
+ `config` – 允許主體在 中擷取資訊修復組態和組態記錄器 AWS Config,並判斷指定的 AWS Config 規則 AWS 和資源是否合規。
+ `events`:允許主體擷取 EventBridge 規則的相關資訊;只為 Systems Manager 服務 (`ssm.amazonaws.com`) 建立 EventBridge 規則和目標;以及刪除資源 `arn:aws:events:*:*:rule/SSMExplorerManagedRule` 的規則和目標。
+ `ec2`:允許主體擷取 Amazon EC2 執行個體的相關資訊。
+ `iam`:允許主體傳遞 Systems Manager 服務 (`ssm.amazonaws.com`) 的角色許可。
+ `lambda`:允許主體調用 Lambda 函數,這些函數是專為供 Systems Manager 使用而設定。
+ `resource-explorer-2`:允許主體擷取 EC2 執行個體的相關資料,以便判斷每個執行個體目前是否由 Systems Manager 管理。
允許對 `arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*` 資源執行 `resource-explorer-2:CreateManagedView` 動作。
+ `resource-groups` – 允許主體從屬於資源群組 AWS Resource Groups 的資源擷取清單資源群組及其成員。
+ `securityhub` – 允許主體擷取目前帳戶中中 AWS Security Hub CSPM 樞資源的相關資訊。
+ `states` – 允許主體啟動和擷取專門為 Systems Manager AWS Step Functions 使用而設定的資訊。
+ `support`:允許主體擷取 AWS Trusted Advisor中檢查和案例的相關資訊。
+ `tag`:允許主體擷取帳戶指定 AWS 區域 中所有已標記或先前標記之資源的相關資訊。
若要檢視此政策的詳細資訊 (包括 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》**中的 [AmazonSSMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html) 一節。
## AWS 受管政策:AmazonSSMAutomationRole
您可將 `AmazonSSMAutomationRole` 政策連接到 IAM 身分。此政策提供 AWS Systems Manager Automation 服務執行 Automation Runbook 中定義之活動的許可。
**許可詳細資訊**
此政策包含以下許可。
+ `lambda` – 允許主體調用名稱開頭為 "Automation" 的 Lambda 函式。這是 Automation 執行手冊在工作流程中執行 Lambda 函式的必要條件。
+ `ec2` – 允許主體執行各種 Amazon EC2 操作,包括建立、複製和取消註冊映像;管理快照;啟動、執行、停止和終止執行個體;管理執行個體狀態;以及建立、刪除和描述標籤。這些許可讓 Automation 執行手冊能夠在執行期間管理 Amazon EC2 資源。
+ `cloudformation` – 允許主體建立、描述、更新和刪除 CloudFormation 堆疊。這讓 Automation 執行手冊能夠透過 CloudFormation 以程式碼形式管理基礎設施。
+ `ssm` – 允許主體使用所有 Systems Manager 動作。Automation 執行手冊需要此完整存取權,才能與所有 Systems Manager 功能互動。
+ `sns` – 允許主體將訊息發布至名稱開頭為 "Automation" 的 Amazon SNS 主題。這讓 Automation 執行手冊能夠在執行期間傳送通知。
+ `ssmmessages` – 允許主體開啟 Systems Manager 工作階段的資料通道。這讓 Automation 執行手冊能夠建立工作階段型操作的通訊管道。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [AmazonSSMAutomationRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html)。
## AWS 受管政策:AmazonSSMReadOnlyAccess
您可將 `AmazonSSMReadOnlyAccess` 政策連接到 IAM 身分。此政策授予 AWS Systems Manager API 操作的唯讀存取權`Describe*`,包括 `Get*`、 和 `List*`。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》**中的 [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) 一節。
## AWS 受管政策:AWSSystemsManagerOpsDataSyncServiceRolePolicy
您不得將 `AWSSystemsManagerOpsDataSyncServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱[使用角色為 OpsItems 建立 OpsData 和 Explorer:](using-service-linked-roles-service-action-3.md)。
`AWSSystemsManagerOpsDataSyncServiceRolePolicy` 允許`AWSServiceRoleForSystemsManagerOpsDataSync`服務連結角色從 AWS Security Hub CSPM 調查結果建立和更新 OpsItems和 OpsData。
此政策允許 Systems Manager 對所有相關資源 (`"Resource": "*"`) 完成下列動作,除非另有說明:
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]
[1] 透過以下條件,僅允許對 Systems Manager 服務進行 `ssm:GetOpsItem` 和 `ssm:UpdateOpsItem` 動作的許可。
```
"Condition": {
"StringEquals": {
"aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
}
}
```
[2] 僅允許對以下資源進行 `ssm:AddTagsToResource` 動作的許可。
```
arn:aws:ssm:*:*:opsitem/*
```
[3] 僅允許對以下資源進行 `ssm:UpdateServiceSetting` 和 `ssm:GetServiceSetting` 動作的許可。
```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```
[4] 透過以下條件,僅拒絕對 Systems Manager 服務進行 `securityhub:BatchUpdateFindings` 的許可。
```
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Confidence": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Criticality": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.Text": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/RelatedFindings": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Types": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/VerificationState": false
}
}
```
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》**中的 [AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html) 一節。
## AWS 受管政策:AmazonSSMManagedEC2InstanceDefaultPolicy
只應將 `AmazonSSMManagedEC2InstanceDefaultPolicy` 連接到您希望有權使用 Systems Manager 功能的 Amazon EC2 執行個體 IAM 角色。不應將此角色連接到其他 IAM 實體 (例如 IAM 使用者和 IAM 群組),或連接到其他用途的 IAM 角色。如需詳細資訊,請參閱[使用預設主機管理組態來自動管理 EC2 執行個體](fleet-manager-default-host-management-configuration.md)。
此政策會授予許可,這些許可允許 Amazon EC2 執行個體上的 SSM Agent 與雲端中的 Systems Manager 服務通訊,以便執行各種任務。此政策還會為提供授權權杖的兩項服務授予許可,確保都是在正確的執行個體執行操作。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm`:允許主體擷取文件;使用 Run Command 執行命令;使用 Session Manager 建立工作階段;收集執行個體的庫存資訊;以及使用 Patch Manager 掃描修補程式和修補程式合規情況。
+ `ssmmessages`:允許主體存取由 *[Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* 為每個執行個體建立的個人化授權權杖。Systems Manager 根據 API 操作中提供的執行個體 Amazon Resource Name (ARN) 驗證個人化授權權杖。為確保 SSM Agent 是在正確的執行個體執行 API 操作,此存取權是必要的。
+ `ec2messages`:允許主體存取由 *[Amazon Message Delivery Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* 為每個執行個體建立的個人化授權權杖。Systems Manager 根據 API 操作中提供的執行個體 Amazon Resource Name (ARN) 驗證個人化授權權杖。為確保 SSM Agent 是在正確的執行個體執行 API 操作,此存取權是必要的。
如需 `ssmmessages` 和 `ec2messages` 端點的相關資訊 (包括兩者之間的差異),請參閱[代理程式相關的 API 操作 (`ssmmessages` 和 `ec2messages` 端點)](systems-manager-setting-up-messageAPIs.md#message-services)。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 管理的政策參考指南》**中的 [AmazonSSMManagedEC2InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html) 一節。
## AWS 受管政策:SSMQuickSetupRolePolicy
您無法將 SSMQuickSetupRolePolicy 連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱[使用角色來維護 Quick Setup 佈建的資源運作狀態和一致性](using-service-linked-roles-service-action-5.md)。
此政策會授予唯讀許可,這些許可允許 Systems Manager 檢查組態運作狀態、確認參數和佈建資源的使用情形是否一致,以及在偵測到漂移時修復資源。此政策還授予建立服務連結角色的管理許可。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm`:允許主體在 Systems Manager 中 (包括在委派管理員帳戶中) 讀取資訊資源資料同步和 SSM 文件。這是必要條件,因此 Quick Setup 可以判斷已設定資源的預期狀態。
+ `organizations`:允許主體讀取屬於組織 (如 AWS Organizations中所設定) 的成員帳戶的相關資訊。這是必要條件,因此 Quick Setup 可以識別組織中要執行資源運作狀態檢查的所有帳戶。
+ `cloudformation` – 允許主體從中讀取資訊 CloudFormation。這是必要的,因此 Quick Setup可以收集用於管理資源狀態和 CloudFormation CloudFormation 堆疊集操作之堆疊的資料。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html)。
## AWS 受管政策:AWSQuickSetupDeploymentRolePolicy
受管政策 `AWSQuickSetupDeploymentRolePolicy` 支援多種 Quick Setup 組態類型。這些組態類型會建立 IAM 角色和自動化,透過建議的最佳實務來設定常用的 Amazon Web Services 服務和功能。
您可以將 `AWSQuickSetupDeploymentRolePolicy` 連接到 IAM 實體。
此政策會授予管理許可,在建立與下列 Quick Setup 組態相關聯的資源時需要這些許可:
+ [使用 Quick Setup 設定 Amazon EC2 主機管理](quick-setup-host-management.md)
+ [使用 Quick Setup 建立 AWS Config組態記錄器](quick-setup-config.md)
+ [使用 部署 AWS Config 一致性套件 Quick Setup](quick-setup-cpack.md)
+ [使用 Quick Setup 設定 DevOps Guru](quick-setup-devops.md)
+ [使用 Quick Setup 部署 Distributor 套件](quick-setup-distributor.md)
+ [使用Quick Setup依照排程自動停止和啟動 EC2 執行個體](quick-setup-scheduler.md)
**許可詳細資訊**
此政策包含以下許可。
+ `ssm` – 允許主體在透過 呼叫時讀取、建立、更新和刪除名稱開頭為「AWSQuickSetup-」或「AWSOperationsPack-」的 SSM 文件 CloudFormation;讀取特定 AWS 擁有的文件,包括「AWSQuickSetupType-ManageInstanceProfile」、「AWSQuickSetupType-ConfigureDevOpsGuru」和「AWSQuickSetupType-DeployConformancePack」;在透過 呼叫時建立、更新和刪除Quick Setup文件和 AWS 擁有文件的關聯 CloudFormation;以及清除使用 標記的舊版資源`QuickSetupID`。這讓 Quick Setup 能夠部署和管理自動化工作流程和關聯。
+ `cloudformation` – 允許主體讀取 CloudFormation 有關堆疊和堆疊集的資訊;以及為名稱開頭為「StackSet-AWS-QuickSetup-」的資源建立、更新和刪除 CloudFormation 堆疊和變更集。 StackSet-AWS-QuickSetup 這讓 Quick Setup 能夠管理跨帳戶和區域的基礎設施部署。
+ `config` – 允許主體讀取有關 AWS Config 一致性套件及其狀態的資訊;以及透過 CloudFormation呼叫時,建立和刪除名稱開頭為 "AWS-QuickSetup-" 的一致性套件。這讓 Quick Setup 能夠部署合規監控組態。
+ `events` – 允許主體管理名稱包含 "QuickSetup-" 之資源的 EventBridge 規則和目標。這讓 Quick Setup 能夠建立排定的自動化工作流程。
+ `iam` – 允許主體為 AWS Config 和 Systems Manager 建立服務連結角色;透過 呼叫時建立、管理和刪除名稱開頭為「AWS-QuickSetup-」或「AWSOperationsPack-」的 IAM 角色 CloudFormation;將這些角色傳遞給 Systems Manager 和 EventBridge 服務;將特定 AWS 受管政策連接至這些角色;以及使用特定Quick Setup受管政策設定許可界限。這讓 Quick Setup 能夠為其操作建立必要的服務角色。
+ `resource-groups` – 允許主體擷取資源群組查詢。這讓 Quick Setup 能夠鎖定特定資源集,進行組態管理。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html)。
## AWS 受管政策:AWSQuickSetupPatchPolicyDeploymentRolePolicy
受管政策 `AWSQuickSetupPatchPolicyDeploymentRolePolicy` 支援[使用 Quick Setup 修補程式政策設定組織中執行個體的修補](quick-setup-patch-manager.md) Quick Setup 類型。此組態類型有助於將修補單一帳戶或組織中應用程式和節點的程序自動化。
您可以將 `AWSQuickSetupPatchPolicyDeploymentRolePolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策會授予管理許可,這些許可允許 Quick Setup 建立與修補程式政策組態相關聯的資源。
**許可詳細資訊**
此政策包含以下許可。
+ `iam`:允許主體管理和刪除自動化組態任務所需的 IAM 角色,以及管理自動化角色政策。
+ `cloudformation` – 允許主體讀取 CloudFormation 堆疊資訊;以及控制Quick Setup使用 CloudFormation 堆疊集建立的 CloudFormation 堆疊。
+ `ssm`:允許主體建立、更新、讀取和刪除組態任務所需的 Automation 執行手冊,以及建立、更新和刪除 State Manager 關聯。
+ `resource-groups`:允許主體擷取資源查詢,這些查詢與被 Quick Setup 組態視為目標的資源群組相關聯。
+ `s3`:允許主體列出 Amazon S3 儲存貯體,以及管理可用來存放修補程式政策存取日誌的儲存貯體。
+ `lambda` – 允許主體管理將組態維持在正確狀態的 AWS Lambda 修復函數。
+ `logs`:允許主體描述和管理 Lambda 組態資源的日誌群組。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html)。
## AWS 受管政策:AWSQuickSetupPatchPolicyBaselineAccess
受管政策 `AWSQuickSetupPatchPolicyBaselineAccess` 支援[使用 Quick Setup 修補程式政策設定組織中執行個體的修補](quick-setup-patch-manager.md) Quick Setup 類型。此組態類型有助於將修補單一帳戶或組織中應用程式和節點的程序自動化。
您可以將 `AWSQuickSetupPatchPolicyBaselineAccess` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策提供唯讀許可,以使用 存取目前 AWS 帳戶 或組織中管理員已設定的修補程式基準Quick Setup。修補基準存放在 Amazon S3 儲存貯體中,可用於修補單一帳戶或整個組織中的執行個體。
**許可詳細資訊**
此政策包含以下許可。
+ `s3`:允許主體讀取存放在 Amazon S3 儲存貯體中的修補基準覆寫。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupPatchPolicyBaselineAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html)。
## AWS 受管政策: `AWSSystemsManagerEnableExplorerExecutionPolicy`
受管政策`AWSSystemsManagerEnableExplorerExecutionPolicy`支援啟用 Explorer,這是 中的工具 AWS Systems Manager。
您可以將 `AWSSystemsManagerEnableExplorerExecutionPolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策會授予啟用 Explorer 的管理許可。其中包括更新相關 Systems Manager 服務設定的許可,以及為 Systems Manager 建立服務連結角色的許可。
**許可詳細資訊**
此政策包含以下許可。
+ `config`:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。
+ `iam`:允許主體協助啟用 Explorer。
+ `ssm`:允許主體啟動會啟用 Explorer 的自動化工作流程。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html)。
## AWS 受管政策: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
受管政策 `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` 支援[使用 Quick Setup 建立 AWS Config組態記錄器](quick-setup-config.md) Quick Setup 組態類型。此組態類型可讓 Quick Setup追蹤和記錄您選擇的 AWS 資源類型的變更 AWS Config。其也可讓 Quick Setup 設定所記錄資料的交付和通知選項。
您可以將 `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策會授予允許 Quick Setup 啟用和設定 AWS Config 組態記錄的管理許可。
**許可詳細資訊**
此政策包含以下許可。
+ `s3`:允許主體建立和設定 Amazon S3 儲存貯體來交付組態記錄。
+ `sns`:允許主體列出和建立 Amazon SNS 主題。
+ `config`:允許主體設定和啟動組態記錄器,以及協助啟用 Explorer。
+ `iam` – 允許主體建立、取得和傳遞 的服務連結角色 AWS Config;以及建立 Systems Manager 的服務連結角色;以及協助啟用 Explorer。
+ `ssm`:允許主體啟動會啟用 Explorer 的自動化工作流程。
+ `compute-optimizer` – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。
+ `support`:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html)。
## AWS 受管政策:AWSQuickSetupDevOpsGuruPermissionsBoundary
**注意**
此政策是*許可界限*。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 實體許可界限](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
受管政策 `AWSQuickSetupDevOpsGuruPermissionsBoundary` 支援[使用 Quick Setup 設定 DevOps Guru](quick-setup-devops.md)類型。此組態類型會啟用採用了機器學習技術的 Amazon DevOps Guru。DevOps Guru 服務可協助改善應用程式的運作效能和可用性。
在使用 Quick Setup 建立 `AWSQuickSetupDevOpsGuruPermissionsBoundary` 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,這些許可允許 Quick Setup 啟用和設定 Amazon DevOps Guru。
**許可詳細資訊**
此政策包含以下許可。
+ `iam`:允許主體為 DevOps Guru 和 Systems Manager 建立服務連結角色,以及列出有助啟用 Explorer 的角色。
+ `cloudformation`:允許主體列出和描述 CloudFormation 堆疊。
+ `sns`:允許主體列出和建立 Amazon SNS 主題。
+ `devops-guru`:允許主體設定 DevOps Guru,以及新增通知管道。
+ `config`:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。
+ `ssm`:允許主體啟動會啟用 Explorer 的自動化工作流程,以及讀取和更新 Explorer 服務設定。
+ `compute-optimizer` – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。
+ `support`:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html)。
## AWS 受管政策:AWSQuickSetupDistributorPermissionsBoundary
**注意**
此政策是*許可界限*。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 實體許可界限](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
受管政策 `AWSQuickSetupDistributorPermissionsBoundary` 支援[使用 Quick Setup 部署 Distributor 套件](quick-setup-distributor.md) Quick Setup 組態類型。此組態類型有助於使用 Distributor ( AWS Systems Manager中的工具),將 Agent 等軟體套件發布至 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。
在使用 Quick Setup 建立 `AWSQuickSetupDistributorPermissionsBoundary` 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,這些許可允許 Quick Setup 使用 Distributor,將代理程式等軟體套件發布至 Amazon EC2 執行個體。
**許可詳細資訊**
此政策包含以下許可。
+ `iam`:允許主體取得與傳遞 Distributor 自動化角色;建立、讀取、更新和刪除預設執行個體角色;將預設執行個體角色傳遞至 Amazon EC2 和 Systems Manager;將執行個體管理政策連接至執行個體角色;為 Systems Manager 建立服務連結角色;將預設執行個體角色新增至執行個體設定檔;讀取 IAM 角色和執行個體設定檔的相關資訊;以及建立預設執行個體設定檔。
+ `ec2`:允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯,以及協助啟用 Explorer。
+ `ssm`:允許主體啟動會設定執行個體和安裝套件的自動化工作流程;協助啟動會啟用 Explorer 的自動化工作流程;以及讀取和更新 Explorer 服務設定。
+ `config`:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。
+ `compute-optimizer` – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。
+ `support`:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html)。
## AWS 受管政策:AWSQuickSetupSSMHostMgmtPermissionsBoundary
**注意**
此政策是*許可界限*。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 實體許可界限](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
受管政策 `AWSQuickSetupSSMHostMgmtPermissionsBoundary` 支援[使用 Quick Setup 設定 Amazon EC2 主機管理](quick-setup-host-management.md) Quick Setup 組態類型。此組態類型會設定 IAM 角色,以及啟用常用的 Systems Manager 工具來安全管理 Amazon EC2 執行個體。
在使用 Quick Setup 建立 `AWSQuickSetupSSMHostMgmtPermissionsBoundary` 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,允許 Quick Setup 啟用和設定安全管理 EC2 執行個體所需的 Systems Manager 各種工具。
**許可詳細資訊**
此政策包含以下許可。
+ `iam`:允許主體取得此服務角色,以及將其傳遞至 Automation。允許主體建立、讀取、更新和刪除預設執行個體角色;將預設執行個體角色傳遞至 Amazon EC2 和 Systems Manager;將執行個體管理政策連接至執行個體角色;為 Systems Manager 建立服務連結角色;將預設執行個體角色新增至執行個體設定檔;讀取 IAM 角色和執行個體設定檔的相關資訊;以及建立預設執行個體設定檔。
+ `ec2`:允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯和取消關聯。
+ `ssm` – 允許主體啟動會啟用 Explorer 的自動化工作流程;讀取和更新 Explorer 服務設定;設定執行個體;以及在執行個體上啟用 Systems Manager 的各種工具。
+ `compute-optimizer` – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。
+ `support`:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupSSMHostMgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html)。
## AWS 受管政策:AWSQuickSetupPatchPolicyPermissionsBoundary
**注意**
此政策是*許可界限*。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 實體許可界限](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
受管政策 `AWSQuickSetupPatchPolicyPermissionsBoundary` 支援[使用 Quick Setup 修補程式政策設定組織中執行個體的修補](quick-setup-patch-manager.md) Quick Setup 類型。此組態類型有助於將修補單一帳戶或組織中應用程式和節點的程序自動化。
在使用 Quick Setup 建立 `AWSQuickSetupPatchPolicyPermissionsBoundary` 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,允許 Quick Setup 在 Patch Manager ( AWS Systems Manager中的工具) 中啟用和設定修補程式政策。
**許可詳細資訊**
此政策包含以下許可。
+ `iam` – 允許主體取得Patch Manager自動化角色; 將自動化角色傳遞至Patch Manager修補操作; 建立預設執行個體角色 `AmazonSSMRoleForInstancesQuickSetup`; 將預設執行個體角色傳遞給 Amazon EC2 和 Systems Manager; 將選取的 AWS 受管政策連接至執行個體角色; 為 Systems Manager 建立服務連結角色; 將預設執行個體角色新增至執行個體描述檔; 讀取執行個體描述檔和角色的相關資訊; 建立預設執行個體描述檔; 和 標記具有讀取修補程式基準覆寫許可的角色。
+ `ssm`:允許主體更新由 Systems Manager 管理的執行個體角色;管理由 Patch Manager 修補程式政策在 Quick Setup 中建立的關聯;標記被修補程式政策組態視為目標的執行個體;讀取執行個體和修補狀態的相關資訊;啟動會設定、啟用和修復執行個體修補的自動化工作流程;啟動會啟用 Explorer 的自動化工作流程;協助啟用 Explorer;以及讀取和更新 Explorer 服務設定。
+ `ec2`:允許主體將預設執行個體設定檔與 EC2 執行個體建立關聯和取消關聯;標記被修補程式政策組態視為目標的執行個體;標記被修補程式政策組態視為目標的執行個體;以及協助啟用 Explorer。
+ `s3`:允許主體建立和設定 S3 儲存貯體,以存放修補基準覆寫。
+ `lambda` – 允許主體叫用設定修補的 AWS Lambda 函數,並在刪除Quick Setup修補政策組態後執行清除操作。
+ `logs` – 允許主體設定Patch ManagerQuick Setup AWS Lambda 函數的記錄。
+ `config`:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。
+ `compute-optimizer` – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。
+ `support`:允許主體透過提供唯讀存取權,判斷是否已向 AWS Compute Optimizer註冊資源來協助啟用 Explorer。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html)。
## AWS 受管政策:AWSQuickSetupSchedulerPermissionsBoundary
**注意**
此政策是*許可界限*。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 實體許可界限](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
受管政策 `AWSQuickSetupSchedulerPermissionsBoundary` 支援[使用Quick Setup依照排程自動停止和啟動 EC2 執行個體](quick-setup-scheduler.md) Quick Setup 組態類型。此組態類型可讓您在指定的時間停止和啟動 EC2 執行個體及其他資源。
在使用 Quick Setup 建立 `AWSQuickSetupSchedulerPermissionsBoundary` 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,這些許可允許 Quick Setup 啟用和設定在 EC2 執行個體及其他資源上的排程操作。
**許可詳細資訊**
此政策包含以下許可。
+ `iam` – 允許主體擷取和傳遞執行個體管理自動化動作的角色;管理、傳遞和連接 EC2 執行個體管理的預設執行個體角色;建立預設執行個體設定檔;將預設執行個體角色新增至執行個體設定檔;為 Systems Manager 建立服務連結角色;讀取 IAM 角色和執行個體設定檔的相關資訊;將預設執行個體設定檔與 EC2 執行個體建立關聯;以及啟動自動化工作流程來設定執行個體並啟用其中的 Systems Manager 工具。
+ `ssm`:允許主體啟動會啟用 Explorer 的自動化工作流程,以及讀取和更新 Explorer 服務設定。
+ ec2:允許主體尋找目標執行個體,以及依排程啟動和停止這些執行個體。
+ `config`:允許主體透過提供組態記錄器詳細資訊的唯讀存取權來協助啟用 Explorer。
+ `compute-optimizer` – 允許主體Explorer透過提供唯讀存取權來協助啟用 ,以判斷資源是否已註冊 AWS Compute Optimizer。
+ `support` – 允許主體Explorer透過提供帳戶的 AWS Trusted Advisor 檢查唯讀存取權來協助啟用 。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html)。
## AWS 受管政策:AWSQuickSetupCFGCPacksPermissionsBoundary
**注意**
此政策是*許可界限*。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。不應自行使用和連接 Quick Setup 許可界限政策。Quick Setup 許可界限政策只應連接到 Quick Setup 受管角色。如需許可界限的詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 實體許可界限](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。
受管政策 `AWSQuickSetupCFGCPacksPermissionsBoundary` 支援[使用 部署 AWS Config 一致性套件 Quick Setup](quick-setup-cpack.md) Quick Setup 組態類型。此組態類型會部署 AWS Config 一致性套件。一致性套件是 AWS Config 規則和修補動作的集合,可部署為單一實體。
在使用 Quick Setup 建立 `AWSQuickSetupCFGCPacksPermissionsBoundary` 組態時,系統會將此許可界限套用至部署組態時建立的 IAM 角色。此許可界限會限制 Quick Setup 建立的角色範圍。
此政策會授予管理許可,這些許可允許 Quick Setup 部署 AWS Config 一致性套件。
**許可詳細資訊**
此政策包含以下許可。
+ `iam` – 允許主體建立、取得和傳遞其服務連結角色 AWS Config。
+ `sns`:允許主體列出 Amazon SNS 中的平台應用程式。
+ `config` – 允許主體部署 AWS Config 一致性套件;取得一致性套件的狀態;以及取得組態記錄器的相關資訊。
+ `ssm`:允許主體取得 SSM 文件和 Automation 工作流程的相關資訊;取得資源標籤的相關資訊;以及取得更新服務設定的相關資訊。
+ `compute-optimizer`:允許主體取得帳戶的選擇加入狀態。
+ `support`:允許主體取得 AWS Trusted Advisor 檢查的相關資訊。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupCFGCPacksPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html)。
## AWS 受管政策:AWSQuickSetupStartStopInstancesExecutionPolicy
您可以將 `AWSQuickSetupStartStopInstancesExecutionPolicy` 連接到 IAM 實體。此政策提供 Quick Setup 使用 Systems Manager Automation 管理 Amazon EC2 執行個體啟動和停止的許可。
**許可詳細資訊**
此政策包含以下許可。
+ `ec2` – 允許主體描述 Amazon EC2 執行個體、其狀態、區域和標籤。也允許啟動和停止特定 Amazon EC2 執行個體。
+ `ssm` – 允許主體從Quick Setup變更行事曆取得行事曆狀態、啟動關聯,以及執行執行個體排程的自動化文件。
+ `iam` – 允許主體將 Quick Setup IAM 角色傳遞給 Systems Manager 以進行自動化執行,條件會將服務限制為 ssm.amazonaws.com 和特定資源 ARNs。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html)。
## AWS 受管政策:AWSQuickSetupStartSSMAssociationsExecutionPolicy
此政策會授予許可,這些許可允許 Quick Setup 執行 `AWSQuickSetupType-Scheduler-ChangeCalendarState` Automation 執行手冊。此 Runbook 用於管理Quick Setup組態中排程操作的變更行事曆狀態。
您可以將 `AWSQuickSetupStartSSMAssociationsExecutionPolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm` – 允許主體啟動專門針對 `AWSQuickSetupType-Scheduler-ChangeCalendarState` 文件的自動化執行。這是 Quick Setup 管理排程操作的變更行事曆狀態的必要項目。
+ `iam` – 允許主體將名稱開頭為 "AWS-QuickSetup-" 的角色傳遞至 Systems Manager 服務。此許可僅限於與變更行事曆管理相關的特定 SSM 文件搭配使用。這是 Quick Setup 將適當的執行角色傳遞至自動化程序的必要條件。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html)。
## AWS 受管政策:AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
透過在節點受管的帳戶和區域中啟動自動化工作流程,政策 `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` 為診斷與 Systems Manager 服務互動的節點的問題提供許可。
您可以將 `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行診斷動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm` – 允許主體執行特定 Automation 執行手冊,這些手冊可診斷節點問題、存取工作流程的執行狀態,也可擷取自動化執行的詳細資訊。此政策授予許可,以描述自動化執行、描述自動化步驟執行、取得自動化執行詳細資訊,以及啟動診斷相關文件的自動化執行。
+ `kms` – 允許主體在存取用於診斷操作的 Amazon S3 儲存貯體中的加密物件時,使用客戶指定的 AWS Key Management Service 金鑰進行解密和產生資料金鑰。這些許可僅限於以 `SystemsManagerManaged` 標記的金鑰,並透過具有特定加密內容需求的 Amazon S3 服務使用。
+ `sts`:允許主體擔任診斷執行角色,以便在同一帳戶中執行 Automation 執行手冊。此許可僅限於具有 `AWS-SSM-DiagnosisExecutionRole` 命名模式的角色,並包含確保資源帳戶符合主體帳戶的條件。
+ `iam` – 允許主體將診斷管理角色傳遞至 Systems Manager,以便執行 Automation 執行手冊。此許可僅限於具有 `AWS-SSM-DiagnosisAdminRole` 命名模式的角色,並且只能傳遞至 Systems Manager 服務。
+ `s3` – 允許主體存取、讀取、寫入和刪除用於診斷操作的 Amazon S3 儲存貯體中的物件。這些許可僅限於具有 `do-not-delete-ssm-diagnosis-` 命名模式的儲存貯體,並包含確保在相同帳戶中執行操作的條件。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html)。
## AWS 受管政策:AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
受管政策 `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` 提供在目標 AWS 帳戶 和區域中執行 Automation 執行手冊的管理許可,以便診斷與 Systems Manager 服務互動的受管節點的問題。
您可以將 `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `ec2` – 允許主體描述 Amazon EC2 和 Amazon VPC 資源及其組態,以便診斷 Systems Manager 服務的問題。這包括描述 VPCs、VPC 屬性、VPC 端點、子網路、安全群組、執行個體、執行個體狀態、網路 ACLs 和網際網路閘道的許可。
+ `ssm`:允許主體執行診斷特定的 Automation 執行手冊,以及存取自動化工作流程狀態和執行中繼資料。這包括描述自動化步驟執行、描述執行個體資訊、描述自動化執行、描述啟用、取得自動化執行詳細資訊、取得服務設定,以及針對特定 AWS 未受管 EC2 診斷文件啟動自動化執行的許可。
+ `kms` – 允許主體在存取用於診斷操作的 Amazon S3 儲存貯體中的加密物件時,使用客戶指定的 AWS Key Management Service 金鑰進行解密和產生資料金鑰。這些許可僅限於以 `SystemsManagerManaged` 標記的金鑰,並透過具有針對診斷儲存貯體之特定加密內容需求的 Amazon S3 服務使用。
+ `iam` – 允許主體將診斷執行角色傳遞至 Systems Manager,以便執行 Automation 文件。此許可僅限於具有 `AWS-SSM-DiagnosisExecutionRole` 命名模式的角色,並且只能傳遞至 Systems Manager 服務。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html)。
## AWS 受管政策:AWS-SSM-RemediationAutomation-AdministrationRolePolicy
`AWS-SSM-RemediationAutomation-AdministrationRolePolicy` 政策透過執行 Automation 文件中定義的活動 (主要用於執行 Automation 文件),提供修復 Systems Manager 服務問題的許可。此政策可在節點受管的帳戶和區域中啟動自動化工作流程,以解決連線和組態問題。
您可以將 `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行修復動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm` – 允許主體執行特定 Automation 執行手冊,這些手冊可修復節點問題、存取工作流程的執行狀態,也可擷取自動化執行的詳細資訊。此政策授予許可,以描述自動化執行、描述自動化步驟執行、取得自動化執行詳細資訊,以及啟動修復相關文件的自動化執行。
+ `kms` – 允許主體在存取用於修復操作的 Amazon S3 儲存貯體中的加密物件時,使用客戶指定的 AWS Key Management Service 金鑰進行解密和產生資料金鑰。這些許可僅限於以 `SystemsManagerManaged` 標記的金鑰,並透過具有特定加密內容需求的 Amazon S3 服務使用。
+ `sts`:允許主體擔任修復執行角色,以便在同一帳戶中執行 Automation 執行手冊。此許可僅限於具有 `AWS-SSM-RemediationExecutionRole` 命名模式的角色,並包含確保資源帳戶符合主體帳戶的條件。
+ `iam`:允許主體將修復管理角色傳遞至 Systems Manager,以便執行 Automation 執行手冊。此許可僅限於具有 `AWS-SSM-RemediationAdminRole` 命名模式的角色,並且只能傳遞至 Systems Manager 服務。
+ `s3` – 允許主體存取、讀取、寫入和刪除用於修復操作的 Amazon S3 儲存貯體中的物件。這些許可僅限於具有 `do-not-delete-ssm-diagnosis-` 命名模式的儲存貯體,並包含確保在相同帳戶中執行操作的條件。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html)。
## AWS 受管政策:AWS-SSM-RemediationAutomation-ExecutionRolePolicy
受管政策 `AWS-SSM-RemediationAutomation-ExecutionRolePolicy` 提供在特定目標帳戶和區域中執行 Automation 執行手冊的許可,以便修復與 Systems Manager 服務互動的受管節點的聯網和連線問題。此政策可啟用 Automation 文件中定義的修復活動,主要用於執行 Automation 文件以解決連線和組態問題。
您可將 政策附加至 IAM 實體。Systems Manager 也會將此政策連接至服務角色,此角色允許 Systems Manager 代表您執行修復動作。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm` – 允許主體擷取 Automation 執行及其步驟執行的相關資訊,並啟動特定修復 Automation 執行手冊,包括 `AWS-OrchestrateUnmanagedEC2Actions` 和 `AWS-RemediateSSMAgent` 文件。此政策授予許可,以描述自動化執行、描述自動化步驟執行、取得自動化執行詳細資訊,以及啟動修復相關文件的自動化執行。
+ `ec2` – 允許主體描述和修改 Amazon VPC 聯網資源,以修復連線問題。其中包含:
+ 描述 Amazon VPC 屬性、子網路、Amazon VPC 端點和安全群組。
+ 使用所需的標籤為 Systems Manager 服務 (`ssm`、`ssmmessages` 和 `ec2messages`) 建立 Amazon VPC 端點。
+ 修改 Amazon VPC 屬性以啟用 DNS 支援和主機名稱。
+ 建立和管理具有特定標籤的安全群組以便存取 Amazon VPC 端點。
+ 使用適當的標籤授權和撤銷 HTTPS 存取的安全群組規則。
+ 在建立資源期間,在 Amazon VPC 端點、安全群組和安全群組規則上建立標籤。
+ `kms` – 允許主體在存取用於修復操作的 Amazon S3 儲存貯體中的加密物件時,使用客戶指定的 AWS Key Management Service 金鑰進行解密和產生資料金鑰。這些許可僅限於以 `SystemsManagerManaged` 標記的金鑰,並透過具有特定加密內容需求的 Amazon S3 服務使用。
+ `iam` – 允許主體將修復執行角色傳遞至 Systems Manager,以執行 Automation 執行手冊。此許可僅限於具有 `AWS-SSM-RemediationExecutionRole` 命名模式的角色,並且只能傳遞至 Systems Manager 服務。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html)。
## AWS 受管政策:AWSQuickSetupSSMManageResourcesExecutionPolicy
此政策會授予許可,這些許可允許 Quick Setup 執行 `AWSQuickSetupType-SSM-SetupResources` Automation 執行手冊。此執行手冊會為 Quick Setup 關聯建立 IAM 角色,而關聯是由 `AWSQuickSetupType-SSM` 部署所建立。此政策還會授予許可,以便在 Quick Setup 刪除操作期間清理關聯的 Amazon S3 儲存貯體。
您可以將此政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `iam`:允許主體列出和管理 IAM 角色,以便與 Quick Setup Systems Manager Explorer 操作搭配使用;檢視、連接和分離 IAM 政策,以便與Quick Setup和 Systems Manager Explorer 搭配使用。這些許可是必要的,因此Quick Setup可以建立其某些組態操作所需的角色。
+ `s3`:允許主體從主體帳戶的 Amazon S3 儲存貯體中擷取物件的相關資訊,以及從中刪除專門用於 Quick Setup 組態操作的物件。這是必要許可,如此就能夠移除完成組態後不再需要的 S3 物件。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html)。
## AWS 受管政策:AWSQuickSetupSSMLifecycleManagementExecutionPolicy
此`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`政策會授予管理許可,Quick Setup允許 在 中的Quick Setup部署期間,在生命週期事件上執行 CloudFormation 自訂資源Systems Manager。
您可以將此政策連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm`:允許主體取得自動化執行的相關資訊,以及啟動自動化執行來設定特定的 Quick Setup 操作。
+ `iam`:允許主體從 IAM 傳遞角色來設定特定的 Quick Setup 資源。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html)。
## AWS 受管政策:AWSQuickSetupSSMDeploymentRolePolicy
受管政策 `AWSQuickSetupSSMDeploymentRolePolicy` 會授予管理許可,這些許可允許 Quick Setup 建立在 Systems Manager 加入程序期間使用的資源。
雖然可以手動將此政策連接至 IAM 實體,但不建議這麼做。因為 Quick Setup 建立的實體,會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策與 [`SSMQuickSetupRolePolicy` 政策](using-service-linked-roles-service-action-5.md)無關,後者會用於為 `AWSServiceRoleForSSMQuickSetup` 服務連結角色提供許可。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm` – 允許主體管理使用 AWS CloudFormation 範本和一組特定 SSM 文件建立之特定資源的關聯;使用 管理角色和角色政策,以透過 CloudFormation 範本診斷和修復受管節點;以及連接和刪除Quick Setup生命週期事件的政策
+ `iam` – 允許主體標記 Systems Manager 服務和 Lambda 服務的角色並傳遞角色許可,以及傳遞診斷操作的角色許可。
+ `lambda` – 允許主體使用 CloudFormation 範本標記和管理主體帳戶中Quick Setup生命週期的函數。
+ `cloudformation` – 允許主體從中讀取資訊 CloudFormation。這是必要的,因此 Quick Setup可以收集用於管理資源狀態和 CloudFormation CloudFormation 堆疊集操作之堆疊的資料。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupSSMDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html)。
## AWS 受管政策:AWSQuickSetupSSMDeploymentS3BucketRolePolicy
`AWSQuickSetupSSMDeploymentS3BucketRolePolicy` 政策授予的許可,可列出帳戶中的所有 S3 儲存貯體,也可管理和擷取透過 CloudFormation 範本管理的主體帳戶中特定儲存貯體的相關資訊。
您可以將 `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `s3` – 允許主體列出帳戶中的所有 S3 儲存貯體;以及管理和擷取透過 CloudFormation 範本管理之主體帳戶中特定儲存貯體的相關資訊。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupSSMDeploymentS3BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html)。
## AWS 受管政策: AWSQuickSetupEnableDHMCExecutionPolicy
此政策會授予管理許可,這些許可允許主體執行 `AWSQuickSetupType-EnableDHMC` Automation 執行手冊,而這又會啟用預設主機管理組態。預設主機管理組態設定允許 Systems Manager 自動將 Amazon EC2 執行個體作為*受管執行個體*來管理。受管執行個體是指一種設定為搭配 Systems Manager 使用的 EC2 執行個體。此政策也會授予許可,可用來建立 Systems Manager 服務設定中指定作為 SSM Agent 預設角色的 IAM 角色。
您可以將 `AWSQuickSetupEnableDHMCExecutionPolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm`:允許主體更新和取得 Systems Manager 服務設定的相關資訊。
+ `iam`:允許主體建立和擷取與 Quick Setup 操作的 IAM 角色相關的資訊。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html)。
## AWS 受管政策: AWSQuickSetupEnableAREXExecutionPolicy
此政策會授予管理許可,這些許可允許 Systems Manager 執行 `AWSQuickSetupType-EnableAREX` Automation 執行手冊,而這又讓 AWS 資源總管 能夠與 Systems Manager 搭配使用。Resource Explorer 可讓您檢視帳戶中的資源,其搜尋體驗與網際網路搜尋引擎類似。此政策也會授予 Resource Explorer 索引和檢視的管理許可。
您可以將 `AWSQuickSetupEnableAREXExecutionPolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `iam` – 允許主體在 AWS Identity and Access Management (IAM) 服務中建立服務連結角色。
+ `resource-explorer-2`:允許主體擷取與 Resource Explorer 檢視和索引相關的資訊;建立 Resource Explorer 檢視和索引;變更 Quick Setup 中所顯示索引的索引類型。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html)。
## AWS 受管政策:AWSQuickSetupManagedInstanceProfileExecutionPolicy
此政策會授予管理許可,允許 Systems Manager 為 Quick Setup 工具建立預設 IAM 執行個體設定檔,以及將其連接至尚未連接執行個體設定檔的 Amazon EC2 執行個體。此政策也會授予 Systems Manager 將許可連接到現有執行個體設定檔的能力。這是為了確保 Systems Manager 與 EC2 執行個體上的 SSM Agent 通訊所需的許可已就緒。
您可以將 `AWSQuickSetupManagedInstanceProfileExecutionPolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm`:允許主體啟動與 Quick Setup 程序相關聯的自動化工作流程。
+ `ec2`:允許主體將 IAM 執行個體設定檔連接至由 Quick Setup 管理的 EC2 執行個體。
+ `iam`:允許主體從 IAM 建立、更新和擷取在 Quick Setup 程序中使用的角色相關資訊;建立 IAM 執行個體設定檔;將 `AmazonSSMManagedInstanceCore` 受管政策連接至 IAM 執行個體設定檔。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html)。
## AWS 受管政策:AWSQuickSetupManageJITNAResourcesExecutionPolicy
受管政策 `AWSQuickSetupManageJITNAResourcesExecutionPolicy` 可讓 Quick Setup (Systems Manager 中的工具) 設定即時節點存取。
您可以將 `AWSQuickSetupManageJITNAResourcesExecutionPolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策會授予管理許可,這些許可允許 Systems Manager 建立與即時節點存取相關聯的資源。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm` – 允許主體取得和更新指定身分提供者以進行即時節點存取的服務設定。
+ `iam` – 允許主體建立、標記和取得角色,為即時節點存取受管政策連接角色政策,以及為即時節點存取和通知建立服務連結角色。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html)。
## AWS 受管政策:AWSQuickSetupJITNADeploymentRolePolicy
受管政策 `AWSQuickSetupJITNADeploymentRolePolicy` 允許 Quick Setup 部署設定即時節點存取所需的組態類型。
您可以將 `AWSQuickSetupJITNADeploymentRolePolicy` 連接至 IAM 實體。Systems Manager 也會將此政策連接至允許 Systems Manager 代表您執行動作的服務角色。
此政策會授予管理許可,這些許可允許 Systems Manager 建立與即時節點存取相關聯的資源。
**許可詳細資訊**
此政策包含以下許可。
+ `cloudformation` – 允許主體建立、更新、刪除和讀取 CloudFormation 堆疊。
+ `ssm` – 允許主體建立、刪除、更新和讀取由 呼叫的State Manager關聯 CloudFormation。
+ `iam` :允許主體建立、刪除、讀取和標記由 呼叫的 IAM 角色 CloudFormation。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [AWSQuickSetupJITNADeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html)。
## AWS 受管政策:AWSSystemsManagerJustInTimeAccessServicePolicy
受管政策`AWSSystemsManagerJustInTimeAccessServicePolicy`可讓您存取 AWS Systems Manager just-in-time存取架構所管理或使用 AWS 的資源。此政策更新會新增自動化執行標記許可,讓客戶能夠將運算子許可縮小到特定標籤的範圍。
您不得將 `AWSSystemsManagerJustInTimeAccessServicePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱[使用角色來啟用即時節點存取](using-service-linked-roles-service-action-8.md)。
此政策會授予管理許可,允許存取與即時節點存取相關聯的資源。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm` – 允許主體建立和管理 OpsItems、新增標籤至 OpsItems 和自動化執行、取得和更新 OpsItems、擷取和描述文件、描述 OpsItems 和工作階段、列出受管執行個體的文件和標籤。
+ `ssm-guiconnect` – 允許主體列出連線。
+ `identitystore` – 允許主體取得使用者和群組 ID、描述使用者和列出群組成員資格。
+ `sso-directory` – 允許主體描述使用者,並判斷使用者是否為群組的成員。
+ `sso` – 允許主體描述已註冊的區域,並列出執行個體和目錄關聯。
+ `cloudwatch` – 允許主體放置 `AWS/SSM/JustInTimeAccess` 命名空間的指標資料。
+ `ec2` – 允許主體描述標籤。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html)。
## AWS 受管政策:AWSSystemsManagerJustInTimeAccessTokenPolicy
受管政策`AWSSystemsManagerJustInTimeAccessTokenPolicy`提供許可,讓使用者透過 和 Systems Manager GUI Connect RDP 連線建立與 Amazon EC2 執行個體Session Manager和受管執行個體的安全連線,做為just-in-time節點存取工作流程的一部分。
您可以將 `AWSSystemsManagerJustInTimeAccessTokenPolicy` 連接到 IAM 實體。
此政策授予參與者許可,允許使用者啟動和管理安全工作階段、建立 RDP 連線,以及執行just-in-time節點存取所需的密碼編譯操作。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm` – 允許主體使用 SSM-SessionManagerRunShell 文件在 Amazon EC2 執行個體和受管執行個體上啟動Session Manager工作階段。透過 Systems Manager GUI Connect 呼叫時,也允許終止和繼續工作階段、擷取命令叫用詳細資訊,以及將命令傳送至執行個體以進行 SSO 使用者設定。此外,當透過 Systems Manager GUI Connect 呼叫時,允許 RDP 連線的起始連接埠轉送工作階段。
+ `ssmmessages` – 允許主體在Session Manager工作階段期間開啟資料通道以進行安全通訊。
+ `ssm-guiconnect` – 允許主體啟動、取得有關 的詳細資訊,以及取消 Systems Manager GUI Connect RDP 與執行個體的連線。
+ `kms` – 允許主體產生用於Session Manager加密的資料金鑰,並建立 RDP 連線的授予。這些許可僅限於以 標記的 AWS KMS 金鑰`SystemsManagerJustInTimeNodeAccessManaged=true`。授予建立進一步僅限於透過 Systems Manager GUI Connect 服務使用。
+ `sso` – 允許主體在透過 Systems Manager GUI Connect 呼叫時列出目錄關聯。這是 RDP SSO 使用者設定的必要項目。
+ `identitystore` – 允許主體在透過 Systems Manager GUI Connect 呼叫時描述身分存放區中的使用者。這是 RDP SSO 使用者設定的必要項目。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html)。
## AWS 受管政策:AWSSystemsManagerJustInTimeAccessTokenSessionPolicy
受管政策 `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` 允許 Systems Manager 將已縮小範圍的許可套用至即時節點存取權杖。
您可以將 `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` 連接到 IAM 實體。
此政策會授予管理許可,允許 Systems Manager 縮小即時節點存取權杖的許可範圍。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm` – 允許主體使用 `SSM-SessionManagerRunShell` 文件啟動 Session Manager 工作階段。此外,當第一次透過 `ssm-guiconnect` 呼叫時,請使用 `AWS-StartPortForwardingSession` 文件啟動工作階段、列出命令調用,以及使用 `AWSSSO-CreateSSOUser` 文件傳送命令。
+ `ssm-guiconnect` – 允許主體取消、取得和啟動所有資源的連線。
+ `kms` - 允許主體建立授予,並在`ssm-guiconnect`透過 AWS 服務呼叫 `SystemsManagerJustInTimeNodeAccessManaged`時為標記 的金鑰產生資料金鑰。
+ `sso` – 允許主體在透過 `ssm-guiconnect` 呼叫時列出目錄關聯。
+ `identitystore` – 允許主體在透過 `ssm-guiconnect` 呼叫時描述使用者。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html)。
## AWS 受管政策:AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy
受管政策 `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` 允許 Systems Manager 將拒絕存取政策從委派管理員帳戶共用給成員帳戶,並在多個 AWS 區域中複寫政策。
您可以將 `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` 連接到 IAM 實體。
此政策提供 Systems Manager 共用和建立拒絕存取政策所需的管理許可。這可確保拒絕存取政策套用到針對just-in-time節點存取所設定 AWS Organizations 之組織和區域中的所有帳戶。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm` – 允許主體管理 SSM 文件和資源政策。
+ `ssm-quicksetup` – 允許主體讀取 Quick Setup 組態管理員。
+ `organizations` – 允許主體列出有關 AWS Organizations 組織和委派管理員的詳細資訊。
+ `ram` – 允許主體建立、標記和描述資源共用。
+ `iam` – 允許主體描述服務角色。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html)。
## AWS 受管政策:AWSSystemsManagerNotificationsServicePolicy
受管政策 `AWSSystemsManagerNotificationsServicePolicy` 允許 Systems Manager 傳送即時節點存取請求的電子郵件通知,以存取請求核准者。
您不得將 `AWSSystemsManagerJustInTimeAccessServicePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Systems Manager 代表您執行動作。如需詳細資訊,請參閱[使用角色傳送即時節點存取請求通知](using-service-linked-roles-service-action-9.md)。
此政策授予管理許可,允許 Systems Manager 傳送即時節點存取請求的電子郵件通知,以存取請求核准者。
**許可詳細資訊**
此政策包含以下許可。
+ `identitystore` – 允許主體列出和描述使用者和群組成員資格。
+ `sso` – 允許主體列出執行個體、目錄和描述已註冊的區域。
+ `sso-directory` – 允許主體描述使用者並列出群組中的成員。
+ `iam` – 允許主體取得角色的相关資訊。
若要檢視有關此政策的更多詳細資訊 (包含 JSON 政策文件的最新版本),請參閱 *AWS Managed Policy Reference Guide* 中的 [AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html)。
## AWS 受管政策:AWS-SSM-Automation-DiagnosisBucketPolicy
受管政策透過允許存取用於診斷和修復問題的 S3 儲存貯體,`AWS-SSM-Automation-DiagnosisBucketPolicy`提供診斷與 AWS Systems Manager 服務互動之節點問題的許可。
您可將 `AWS-SSM-Automation-DiagnosisBucketPolicy` 政策連接到 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,此角色允許 Systems Manager 代表您執行診斷動作。
**許可詳細資訊**
此政策包含以下許可。
+ `s3`:允許主體存取物件以及將物件寫入 Amazon S3 儲存貯體。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html)。
## AWS 受管政策:AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
受管政策 `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` 透過提供組織特定的許可,為操作帳戶診斷節點問題提供許可。
您可將 `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` 連接到 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,此角色允許 Systems Manager 代表您執行診斷動作。
**許可詳細資訊**
此政策包含以下許可。
+ `organizations`:允許主體列出組織的根目錄,以及取得成員帳戶來判斷目標帳戶。
+ `sts`:允許主體擔任修復執行角色,以便在同一組織中跨帳戶和區域執行 SSM Automation 文件。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html)。
## AWS 受管政策:AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
受管政策 `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` 透過提供組織特定的許可,為操作帳戶診斷節點問題提供許可。
您可將 `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` 政策連接到 IAM 身分。Systems Manager 也會將此政策連接至 IAM 角色,此角色允許 Systems Manager 代表您執行診斷動作。
**許可詳細資訊**
此政策包含以下許可。
+ `organizations`:允許主體列出組織的根目錄,以及取得成員帳戶來判斷目標帳戶。
+ `sts`:允許主體擔任診斷執行角色,以便在同一組織中跨帳戶和區域執行 SSM Automation 文件。
若要檢視此政策的詳細資訊 (包含 JSON 政策文件的最新版本),請參閱《AWS 受管政策參考指南》**中的 [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html)。
## Systems Manager AWS 受管政策的更新
在下表中,檢視自此服務於 2021 年 3 月 12 日開始追蹤 AWS 受管政策更新Systems Manager以來的詳細資訊。如需 Systems Manager 服務其他受管政策的相關資訊,請參閱本主題後文的 [Systems Manager 的其他受管政策](#policies-list)小節。如需有關此頁面變更的自動提醒,請訂閱 Systems Manager [文件歷史記錄](systems-manager-release-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 現有政策更新 | Systems Manager 新增 `cloudformation:TagResource`和 `cloudformation:UntagResource`許可。這些許可允許建立 CloudFormation 堆疊的 Automation Runbook 從資源新增和移除標籤。 | 2026 年 3 月 20 日 |
| [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – 更新的受管政策 | Systems Manager 已更新 受管政策,為增強型診斷功能新增額外的 EC2 和 SSM 許可。此政策現在包含描述 EC2 執行個體狀態和網路 ACLs 的許可,以及 SSM 啟用和服務設定,提供更全面的診斷資訊,以針對受管節點問題進行故障診斷。 | 2025 年 12 月 19 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – 更新受管政策 | Systems Manager 已更新 受管政策`AWSQuickSetupDeploymentRolePolicy`,新增對兩個額外 SSM 文件的支援: `AWSQuickSetupType-ConfigureDevOpsGuru`和 `AWSQuickSetupType-DeployConformancePack`。這些新增Quick Setup可讓 透過 政策部署 DevOps Guru 組態和一致性套件。 | 2025 年 12 月 15 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 更新至現有政策 | Systems Manager 已更新 受管政策 `AWSSystemsManagerJustInTimeAccessTokenPolicy`。陳述式 (`SID`) `TerminateAndResumeSession`已重新命名為 `TerminateAndResumeSessionAndOpenDataChannel`,現在包含 `ssmmessages:OpenDataChannel`動作,將工作階段管理和資料通道許可合併為單一陳述式。 | 2025 年 9 月 25 日 |
| 更新 受管政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/security-iam-awsmanpol.html) | Systems Manager 更新了三個受管政策,以新增在其他 Systems Manager 資源上啟動自動化執行的支援,包括特定的 Automation Runbook 和 SSM Command 文件。 | 2025 年 9 月 12 日 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – 更新的受管政策 | Systems Manager 已更新 受管政策,以精簡Quick Setup排程器組態的許可。此政策現在提供更具體的許可,以啟動和停止 Amazon EC2 執行個體、存取變更行事曆,以及執行具有增強安全性條件的自動化文件。 | 2025 年 9 月 12 日 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – 更新受管政策 | Systems Manager 已更新 受管政策,將自動化文件從 變更為 `AWSQuickSetupType-StartSSMAssociations` `AWSQuickSetupType-Scheduler-ChangeCalendarState`。此更新會將政策的用途從啟動 SSM 關聯變更為管理排程操作的變更行事曆狀態。 | 2025 年 9 月 12 日 |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 現有政策更新 | Systems Manager 新增了許可,允許 Automation 執行手冊建立工作階段型操作的通訊管道。 新增了對資源 `arn:*:ssm:*:*:session/*` 的 `ssmmessages:OpenDataChannel` 許可。 | 2025 年 9 月 11 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – 更新後的受管政策 | Systems Manager 更新了受管政策,以新增自動化執行標記許可。該服務需要使用 `SystemsManagerJustInTimeNodeAccessManaged=true` 標籤來標記自動化執行,讓客戶能夠將運算子許可縮小到特定標籤的範圍。 | 2025 年 8 月 25 日 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – 新政策 | Systems Manager 新增了政策,允許 Quick Setup 執行 `AWSQuickSetupType-StartSSMAssociations` Automation 執行手冊。此執行手冊用於啟動由 Quick Setup 組態建立的 State Manager 關聯。 | 2025 年 8 月 12 日 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – 新政策 | Systems Manager 新增了政策,允許 Quick Setup 依排程啟動和停止 Amazon EC2 執行個體。此政策提供 Quick Setup 排程器組態類型的必要許可,以根據定義的排程管理執行個體狀態。 | 2025 年 8 月 12 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – 文件更新 | Systems Manager 已更新 `AWSQuickSetupDeploymentRolePolicy` 受管政策,以授予其他資源的許可。此外,`AWSQuickSetupDeploymentRolePolicy` 的文件已更新,其中包含此政策針對 Quick Setup 組態管理操作所授予許可的更詳細說明。 | 2025 年 8 月 12 日 |
| [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) – 現有政策更新 | Systems Manager 更新了受管政策,透過要求 "document" 和 "automation-execution" 資源類型的許可,來改善 ssm:StartAutomationExecution API 的安全狀態。更新後的政策為修復自動化執行提供更全面且詳細的許可,包括對聯網修復功能的增強描述、更具體的 Amazon VPC 端點建立許可、詳細的安全群組管理許可,以及經改善的修復操作資源標記控制。 | 2025 年 7 月 16 日 |
| [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) – 現有政策更新 | Systems Manager 更新了受管政策,以支援修復自動化操作的 API 授權改進。更新後的政策增強了執行 Automation 文件中定義之活動的許可,改善了修復工作流程的安全控制和資源存取模式。 | 2025 年 7 月 16 日 |
| [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – 現有政策更新 | Systems Manager 更新了受管政策,以提供更詳細且準確的診斷自動化執行許可。更新的政策包括 Amazon EC2 和 Amazon VPC 資源存取的增強描述、更具體的 SSM 自動化許可,以及具有適當資源限制的改進 AWS KMS 和 IAM 許可描述。 | 2025 年 7 月 16 日 |
| [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) – 現有政策更新 | Systems Manager 更新了受管政策,為診斷自動化操作提供更具體的許可和安全條件。更新的政策為 AWS KMS 金鑰使用量、Amazon S3 儲存貯體存取和角色假設提供增強型安全控制,具有更嚴格的資源型條件和帳戶層級限制。 | 2025 年 7 月 16 日 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – 政策更新 | Systems Manager 新增了用於存取 Amazon 擁有的執行手冊 [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content) 的受管政策 `AWSQuickSetupDeploymentRolePolicy` 許可。此許可讓 Quick Setup 可使用受管政策而非內嵌政策來建立關聯。 | 2025 年 7 月 14 日 |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – 文件更新 | Systems Manager 新增了現有 `AmazonSSMAutomationRole` 政策的完整文件,為 Systems Manager Automation 服務提供了執行 Automation 執行手冊中定義之活動的許可。 | 2025 年 7 月 15 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – 政策更新 | Systems Manager 新增許可,Systems Manager允許 標記 共用的資源 AWS Resource Access Manager ,以進行just-in-time節點存取。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 政策更新 | Systems Manager 新增了許可,允許 Systems Manager 標記為即時節點存取而建立的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – 新政策 | Systems Manager 新增了政策,允許 Systems Manager 將縮小範圍的許可套用至即時節點存取權杖。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – 新政策 | Systems Manager 新增了政策,允許 Systems Manager 傳送即時節點存取請求的電子郵件通知,以存取請求核准者。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – 新政策 | Systems Manager 新增了政策,允許 Systems Manager 將核准政策複寫到不同的區域。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 新政策 | Systems Manager 新增了政策,允許 Systems Manager 產生用於即時節點存取的存取權杖。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – 新政策 | Systems Manager 新增了政策,提供許可給 Systems Manager 即時節點存取功能所管理或使用的 AWS 資源。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 新政策 | Systems Manager 新增了政策,允許 Quick Setup (Systems Manager 中的工具) 建立即時節點存取所需的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) – 新政策 | Systems Manager 新增了政策,提供允許 Quick Setup 部署設定即時節點存取所需的組態類型的許可。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – 政策更新 | Systems Manager 新增許可,Systems Manager允許 標記 共用的資源 AWS Resource Access Manager ,以進行just-in-time節點存取。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 政策更新 | Systems Manager 新增了許可,允許 Systems Manager 標記為即時節點存取而建立的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – 新政策 | Systems Manager 新增了政策,允許 Systems Manager 將縮小範圍的許可套用至即時節點存取權杖。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – 新政策 | Systems Manager 新增了政策,允許 Systems Manager 傳送即時節點存取請求的電子郵件通知,以存取請求核准者。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – 新政策 | Systems Manager 新增了政策,允許 Systems Manager 將核准政策複寫到不同的區域。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – 新政策 | Systems Manager 新增了政策,允許 Systems Manager 產生用於即時節點存取的存取權杖。 | 2025 年 4 月 30 日 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – 新政策 | Systems Manager 新增了政策,提供許可給 Systems Manager 即時節點存取功能所管理或使用的 AWS 資源。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – 新政策 | Systems Manager 新增了政策,允許 Quick Setup (Systems Manager 中的工具) 建立即時節點存取所需的 IAM 角色。 | 2025 年 4 月 30 日 |
| [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) – 新政策 | Systems Manager 新增了政策,提供允許 Quick Setup 部署設定即時節點存取所需的組態類型的許可。 | 2025 年 4 月 30 日 |
| [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy) – 新政策 | Systems Manager 新增了政策,此政策會透過提供組織特定的許可,為操作帳戶提供診斷節點問題的許可。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy) – 新政策 | Systems Manager 新增了政策,此政策會透過提供組織特定的許可,為操作帳戶提供診斷節點問題的許可。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) – 新政策 | Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會診斷目標帳戶和區域中受管節點的問題。 | 2024 年 11 月 21 日 |
| [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – 更新現有政策 | Systems Manager 新增了許可, AWS 資源總管 允許 收集 Amazon EC2 執行個體的詳細資訊,並在新Systems Manager儀表板的小工具中顯示結果。 | 2024 年 11 月 21 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – 更新現有政策 | Systems Manager 更新了受管政策 SSMQuickSetupRolePolicy。此更新可讓相關聯的服務連結角色 AWSServiceRoleForSSMQuickSetup 管理資源資料同步。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) – 新政策 | Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會診斷目標帳戶和區域中受管節點的問題。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – 新政策 | Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會診斷目標帳戶和區域中受管節點的問題。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) – 新政策 | Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會修復目標帳戶和區域中受管節點的問題。 | 2024 年 11 月 21 日 |
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) – 新政策 | Systems Manager 新增了政策,可支援啟動自動化工作流程,這些工作流程會修復目標帳戶和區域中受管節點的問題。 | 2024 年 11 月 21 日 |
| [AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) – 政策更新 | Systems Manager 新增了許可,允許 Systems Manager 標記為整合式主控台建立的 IAM 角色和 Lambda。 | 2025 年 5 月 7 日 |
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy) – 新政策 | Systems Manager 新增了政策,可支援在 Quick Setup 中執行為 Quick Setup 關聯建立 IAM 角色的操作,而關聯則由 AWSQuickSetupType-SSM 部署所建立。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy) – 新政策 | Systems Manager 新增了新的政策,以支援在Quick Setup部署期間於生命週期事件Quick Setup上執行 CloudFormation 自訂資源。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) – 新政策 | Systems Manager 新增了政策,可支援授予管理許可,這些許可允許 Quick Setup 建立 Systems Manager 加入程序期間使用的資源。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy) – 新政策 | Systems Manager 新增了新的政策,以支援管理和擷取透過 CloudFormation 範本管理之主體帳戶中特定儲存貯體的相關資訊 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy) – 新政策 | Systems Manager 將導入新的政策,允許 Quick Setup 建立本身使用現有 [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) 的 IAM 角色。此政策包含 SSM Agent 與 Systems Manager 服務通訊所需的所有許可。新政策也允許對 Systems Manager 服務設定進行修改。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy) – 新政策 | Systems Manager 新增了新的政策,Quick Setup以允許 為 建立服務連結角色 AWS 資源總管,以存取 Resource Explorer 檢視和彙總工具索引。 | 2024 年 11 月 21 日 |
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy) – 新政策 | Systems Manager 新增了政策,允許 Quick Setup 建立預設 Quick Setup 執行個體設定檔,以及將其連接至任何缺少相關聯執行個體設定檔的 Amazon EC2 執行個體。這個新政策也允許 Quick Setup 將許可連接到現有的設定檔,確保已授予所有必要的 Systems Manager 許可。 | 2024 年 11 月 21 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – 更新現有政策 | Systems Manager 新增了新的許可,Quick Setup允許 檢查其已建立之其他 AWS CloudFormation 堆疊集的運作狀態。 | 2024 年 8 月 13 日 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – 更新現有政策 | Systems Manager 已將陳述式 ID (Sid) 新增至 AmazonSSMManagedEC2InstanceDefaultPolicy 的 JSON 政策。這些 Sid 提供每個政策陳述式目的之內嵌描述。 | 2024 年 7 月 18 日 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – 新政策 | Systems Manager 新增了政策,允許 Quick Setup 檢查已部署資源的運作狀態,以及修偏離了移原始組態的執行個體。 | 2024 年 7 月 3 日 |
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – 新政策 | Systems Manager 新增了政策,可支援建立 IAM 角色和自動化的多種 Quick Setup 組態類型,進而使用建議的最佳實務來設定常用的 Amazon Web Services 服務和功能。 | 2024 年 7 月 3 日 |
| [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy) :新政策 | Systems Manager 新增了政策,允許 Quick Setup 建立與 Patch Manager 修補程式政策 Quick Setup 組態相關聯的資源。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess):新政策 | Systems Manager 新增了政策,允許 Quick Setup 使用唯讀許可存取 Patch Manager 中的修補基準。 | 2024 年 7 月 3 日 |
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy):新政策 | Systems Manager 新增了政策,允許 Explorer 授予會啟用 Quick Setup 的管理許可。 | 2024 年 7 月 3 日 |
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy):新政策 | Systems Manager 新增了新的政策,Quick Setup以允許 啟用和設定 AWS Config 組態記錄。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary):新政策 | Systems Manager 新增了政策,允許 Quick Setup 啟用和設定 Amazon DevOps Guru。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary):新政策 | Systems Manager 新增了新的政策,Quick Setup以允許 啟用和設定 Distributor,這是其中的工具 AWS Systems Manager。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary):新政策 | Systems Manager 新增了政策,允許 Quick Setup 啟用和設定 Systems Manager 的各種工具,以便安全管理 Amazon EC2 執行個體。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary):新政策 | Systems Manager 新增了政策,允許 Quick Setup 在 Patch Manager ( AWS Systems Manager中的工具) 中啟用和設定修補程式政策。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary):新政策 | Systems Manager 新增了政策,允許 Quick Setup 在 Amazon EC2 執行個體和其他資源上啟用和設定排程操作。 | 2024 年 7 月 3 日 |
| [AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary):新政策 | Systems Manager 新增了政策,允許 Quick Setup 部署 AWS Config 一致性套件。 | 2024 年 7 月 3 日 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – 更新現有政策 | OpsCenter 更新了政策,以改善 Explorer 用於管理 OpsData 相關操作的服務連結角色內的服務程式碼安全性。 | 2023 年 7 月 3 日 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – 新政策 | Systems Manager 新增新政策,以允許 Amazon EC2 執行個體上的 Systems Manager 功能,無需使用 IAM 執行個體設定檔。 | 2022 年 8 月 18 日 |
| [AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy):更新現有政策 | Systems Manager 新增了許可,Explorer允許 在從 Explorer或 開啟 Security Hub CSPM 時建立受管規則OpsCenter。新增新的許可來檢查該組態,並在允許 OpsData 前,檢查 compute-optimizer 是否滿足必要要求。 | 2021 年 4 月 27 日 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – 新政策 | Systems Manager 新增了新政策,以從 OpsItems 和 中的 Security Hub CSPM 調查結果建立和更新 Explorer和 OpsDataOpsCenter。 | 2021 年 4 月 27 日 |
| `AmazonSSMServiceRolePolicy` – 更新現有政策 | Systems Manager 新增了新的許可,以允許檢視彙總 OpsData 和 Explorer 中多個帳戶和 AWS 區域 的 OpsItems 詳細資訊。 | 2021 年 3 月 24 日 |
| Systems Manager 已開始追蹤變更 | Systems Manager 已開始追蹤其 AWS 受管政策的變更。 | 2021 年 3 月 12 日 |
## Systems Manager 的其他受管政策
除了本主題前文所述的受管政策,Systems Manager 也支援下列政策。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html): AWS 受管政策,允許檢視自動化執行,以及將核准決策傳送到等待核准的自動化。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html) – AWS 受管政策,允許 Directory Service 代表使用者SSM Agent存取 ,以請求由受管節點加入網域。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) – AWS 受管政策,授予 Systems Manager API 和文件的完整存取權。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html): AWS 受管政策,提供具有 Systems Manager API 許可的維護時段。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html): AWS 受管政策,讓節點可以使用 Systems Manager 服務的核心功能。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html): AWS 受管政策,提供對子執行個體的存取權,以便進行修補關聯操作。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html): AWS 受管政策,授予 `Get*` 和 `List*` 等 Systems Manager 唯讀 API 操作的存取權。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html) – AWS 受管政策,提供在 中建立和更新營運洞見 *OpsItems* 的許可Systems Manager。用於透過服務連結角色 [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md) 提供許可。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html) – AWS 受管政策,授予 Systems Manager 探索 AWS 帳戶 資訊的許可。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html):不再支援也不應使用此政策。請改用 `AmazonSSMManagedInstanceCore` 政策,以便在 EC2 執行個體上允許 Systems Manager 服務核心功能。如需相關資訊,請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
# 對 AWS Systems Manager 身分與存取進行疑難排解
使用以下資訊來協助您診斷和修正使用 AWS Systems Manager 和 AWS Identity and Access Management (IAM) 時可能遇到的常見問題。
**Topics**
+ [我未獲授權,不得在 Systems Manager 中執行動作](#security_iam_troubleshoot-no-permissions)
+ [我未獲得執行 iam:PassRole 的授權](#security_iam_troubleshoot-passrole)
+ [我想要允許 以外的人員 AWS 帳戶 存取我的Systems Manager資源](#security_iam_troubleshoot-cross-account-access)
## 我未獲授權,不得在 Systems Manager 中執行動作
如果 AWS 管理主控台 告知您無權執行 動作,則必須聯絡您的管理員尋求協助。您的管理員是為您提供簽署憑證的人員。
以下範例錯誤會在 `mateojackson` 使用者嘗試使用主控台檢視文件的詳細資訊,但卻沒有 `ssm:GetDocument` 許可時發生。
```
User: arn:aws:ssm::123456789012:user/mateojackson isn't authorized to perform: ssm:GetDocument on resource: MyExampleDocument
```
在此情況下,Mateo 會請求管理員更新他的政策,允許他使用 `MyExampleDocument` 動作存取 `ssm:GetDocument` 資源。
## 我未獲得執行 iam:PassRole 的授權
如果您收到錯誤,告知您未獲授權執行 `iam:PassRole` 動作,您的政策必須更新,允許您將角色傳遞給 Systems Manager。
有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
名為 `marymajor` 的 IAM 使用者嘗試使用主控台在 Systems Manager 中執行動作時,發生下列範例錯誤。但是,動作要求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 的政策必須更新,允許她執行 `iam:PassRole` 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我想要允許 以外的人員 AWS 帳戶 存取我的Systems Manager資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解 Systems Manager 是否支援這些功能,請參閱 [AWS Systems Manager 搭配 IAM 的運作方式](security_iam_service-with-iam.md)。
+ 若要了解如何 AWS 帳戶 在您擁有的 資源之間提供存取權,請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 IAM 使用者中提供存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。 **
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱《*IAM 使用者指南*》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《IAM 使用者指南》**中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 使用 Systems Manager 的服務連結角色
AWS Systems Manager use AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Systems Manager 的一種特殊 IAM 角色類型。服務連結角色由 Systems Manager 預先定義,且內含該服務代您呼叫其他 AWS 服務 所需的所有許可。
**注意**
*服務角色*與服務連結角色不同。服務角色是一種 AWS Identity and Access Management (IAM) 角色,可授予 許可, AWS 服務 讓服務可以存取 AWS 資源。只有幾個 Systems Manager 案例需要服務角色。當您建立 Systems Manager 的服務角色時,您可以選擇要授予的許可,以便它能夠存取或與其他 AWS 資源互動。
服務連結的角色可讓設定 Systems Manager 更為簡單,因為您不必手動新增必要的許可。Systems Manager 定義其服務連結角色的許可,除非另有定義,否則僅有 Systems Manager 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。如此可保護您 Systems Manager 的資源,避免您不小心移除資源的存取許可。
**注意**
在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中,您的非 EC2 節點需要其他 IAM 角色,讓這些機器能夠與 Systems Manager 服務通訊。這是 Systems Manager 的 IAM 服務角色。此角色會將 AWS Security Token Service (AWS STS) *AssumeRole* 信任授予Systems Manager服務。`AssumeRole` 動作會傳回一組臨時的安全登入資料 (包括存取金鑰 ID、私密存取金鑰和安全字符)。您可以使用這些臨時登入資料來存取您通常無法存取 AWS 的資源。如需詳細資訊,請參閱《[AWS Security Token Service API 參考](https://docs.aws.amazon.com/STS/latest/APIReference/)》**中的[在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)和 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
如需關於支援服務連結角色的其他服務資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-linked roles** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
**Topics**
+ [使用角色來收集庫存和查看 OpsData](using-service-linked-roles-service-action-1.md)
+ [使用 角色來收集 OpsCenter和 AWS 帳戶 的資訊 Explorer](using-service-linked-roles-service-action-2.md)
+ [使用角色為 OpsItems 建立 OpsData 和 Explorer:](using-service-linked-roles-service-action-3.md)
+ [使用角色在 Systems Manager OpsCenter 中建立操作洞察 OpsItems](using-service-linked-roles-service-action-4.md)
+ [使用角色來維護 Quick Setup 佈建的資源運作狀態和一致性](using-service-linked-roles-service-action-5.md)
+ [使用角色匯出 Explorer OpsData](using-service-linked-roles-service-action-6.md)
+ [使用角色來啟用即時節點存取](using-service-linked-roles-service-action-8.md)
+ [使用角色傳送即時節點存取請求通知](using-service-linked-roles-service-action-9.md)
# 使用角色來收集庫存和查看 OpsData
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForAmazonSSM`**。 AWS Systems Manager 使用此 IAM 服務角色代表您管理 AWS 資源。
## 用於庫存、OpsData 和 OpsItems 的服務連結角色許可
`AWSServiceRoleForAmazonSSM` 服務連結角色僅信任 `ssm.amazonaws.com` 服務擔任此角色。
您可以將 Systems Manager 服務連結角色 `AWSServiceRoleForAmazonSSM` 用於下列功能:
+ Systems Manager 庫存工具使用服務連結角色 `AWSServiceRoleForAmazonSSM` 從標籤和資源群組中收集庫存中繼資料。
+ Explorer 工具使用服務連結角色 `AWSServiceRoleForAmazonSSM`,以便檢視多個帳戶的 OpsData 和 OpsItems。當您啟用 Security Hub CSPM 做為來自 Explorer或 的資料來源時Explorer,此服務連結角色也允許 建立受管規則OpsCenter。
**重要**
先前,Systems Manager 主控台可讓您選擇要`AWSServiceRoleForAmazonSSM`用作任務維護角色的 AWS 受管 IAM 服務連結角色。不再建議將此角色及其關聯政策 `AmazonSSMServiceRolePolicy`,用於維護時段任務。如果您現在將此角色用於維護時段任務,我們建議您停止使用。相反地,請建立您自己的 IAM 角色,以便在維護時段任務執行 AWS 服務 時啟用 Systems Manager 與其他 之間的通訊。
如需詳細資訊,請參閱[設定 Maintenance Windows](setting-up-maintenance-windows.md)。
用於為 `AWSServiceRoleForAmazonSSM` 角色提供許可的受管政策是 `AmazonSSMServiceRolePolicy`。如需授予許可的詳細資訊,請參閱 [AWS 受管政策:AmazonSSMServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)。
## 建立 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服務連結角色
您可以在 IAM 主控台透過 **EC2** 使用案例建立服務連結角色。使用 AWS Command Line Interface (AWS CLI) 中的 IAM 命令或使用 IAM API,建立使用 `ssm.amazonaws.com` 服務名稱的服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForAmazonSSM` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服務連結角色
若您不再使用需要服務連結角色的任何功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。您可以使用 IAM 主控台 AWS CLI、 或 IAM API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
由於 `AWSServiceRoleForAmazonSSM` 服務連結角色可同時由多個工具使用,試圖將該角色刪除前,請先確認沒有工具在使用此角色。
+ **庫存:**如果您刪除庫存工具使用的服務連結角色,則標籤和資源群組的庫存資料將不再同步。手動刪除服務連結角色之前,您必須先清理資源。
+ **Explorer:**如果您刪除 Explorer 工具使用的服務連結角色,則跨帳戶和跨區域 OpsData 與 OpsItems 不再可檢視。
**注意**
如果在您嘗試刪除標籤或資源組時 Systems Manager 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 `AWSServiceRoleForAmazonSSM` 所使用的 Systems Manager 資源**
1. 若要刪除標籤,請參閱[在個別資源上新增和刪除標籤](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1. 若要刪除資源群組,請參閱[從中刪除群組 AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)。
**若要使用 IAM 手動刪除 `AWSServiceRoleForAmazonSSM` 服務連結角色**
使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除`AWSServiceRoleForAmazonSSM`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForAmazonSSM` 服務連結角色的區域
Systems Manager 支援在 AWS 區域 提供服務的所有 中使用`AWSServiceRoleForAmazonSSM`服務連結角色。如需詳細資訊,請參閱 [AWS Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
# 使用 角色來收集 OpsCenter和 AWS 帳戶 的資訊 Explorer
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForAmazonSSM_AccountDiscovery`**。 AWS Systems Manager 使用此 IAM 服務角色呼叫其他 AWS 服務 來探索 AWS 帳戶 資訊。
## 適用於 Systems Manager 帳戶探索的服務連結角色許可
`AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色信任下列服務以擔任角色:
+ `accountdiscovery.ssm.amazonaws.com`
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色
如果您想要跨多個 AWS 帳戶使用 Explorer 和 OpsCenter (Systems Manager 中的工具),則必須建立服務連結角色。若為 OpsCenter,您必須手動建立服務連結角色。如需詳細資訊,請參閱[(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。
若為 Explorer,如果透過在 AWS 管理主控台中使用 Systems Manager 來建立資源資料同步,則您可以選擇 **Create role** (建立角色) 按鈕來建立服務連結角色。如果您想要以程式設計方式建立資源資料同步,則必須先建立角色,再建立資源資料同步。您可以使用 [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) API 操作建立角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色
您必須先刪除所有 Explorer 資源資料同步,才能使用 IAM 刪除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色。
**注意**
若 Systems Manager 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
### 手動刪除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForAmazonSSM_AccountDiscovery`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色的區域
Systems Manager 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
## AWSServiceRoleForAmazonSSM\$1AccountDiscovery 服務連接角色更新
檢視自從此服務開始追蹤這些變更以來對 AWSServiceRoleForAmazonSSM\$1AccountDiscovery 服務連結角色的更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Systems Manager [文件歷史記錄](systems-manager-release-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| 已新增新許可 | 此服務連結角色現在包含 `organizations:DescribeOrganizationalUnit` 和 `organizations:ListRoots` 許可。這些許可可讓 AWS Organizations 管理帳戶或 Systems Manager 委派管理員帳戶OpsItems跨帳戶使用 。如需詳細資訊,請參閱[(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。 | 2022 年 10 月 17 日 |
# 使用角色為 OpsItems 建立 OpsData 和 Explorer:
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForSystemsManagerOpsDataSync`**。 AWS Systems Manager 使用此 的 IAM 服務角色Explorer來建立 OpsData 和 OpsItems。
## 適用於 Systems Manager OpsData 資料同步的服務連結角色許可
`AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色信任下列服務以擔任角色:
+ `opsdatasync.ssm.amazonaws.com`
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ Systems Manager Explorer 要求服務連結角色在更新 OpsItem 時授予更新安全調查結果的許可、建立和更新 OpsItem,以及在客戶刪除 SSM 受管規則時關閉 Security Hub CSPM 資料來源。
用於為 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色提供許可的受管政策是 `AWSSystemsManagerOpsDataSyncServiceRolePolicy`。如需授予許可的詳細資訊,請參閱 [AWS 受管政策:AWSSystemsManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色
您不需要手動建立服務連結角色,當您在 Explorer中啟用 時 AWS 管理主控台, 會為您Systems Manager建立服務連結角色。
**重要**
此服務連結的角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。另外,若您在 2017 年 1 月 1 日之前使用 Systems Manager 服務 (那時起開始支援服務連結角色),Systems Manager 會於您的帳戶中建立 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您在 Explorer中啟用 時 AWS 管理主控台, 會再次為您Systems Manager建立服務連結角色。
您也可以使用 IAM 主控台透過**允許 Explorer 建立 OpsData 和 OpsItems 使用案例的AWS 服務角色**,建立服務連結角色。在 AWS CLI 或 AWS API 中,使用服務名稱建立`opsdatasync.ssm.amazonaws.com`服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
若 Systems Manager 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
刪除`AWSServiceRoleForSystemsManagerOpsDataSync`角色使用Systems Manager之資源的程序取決於您是否已設定ExplorerOpsCenter或與 Security Hub CSPM 整合。
**刪除 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色所使用的 Systems Manager 資源**
+ 若要Explorer停止OpsItems為 Security Hub CSPM 調查結果建立新的 ,請參閱 [如何停止接收調查結果](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive)。
+ 若要OpsCenter停止OpsItems為 Security Hub CSPM 問題清單建立新的 ,請參閱
**若要使用 IAM 手動刪除 `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForSystemsManagerOpsDataSync`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色的區域
Systems Manager 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
Systems Manager 不支援在每一個提供服務的區域中使用服務連結角色。您可以在下列區域中使用 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色。
****
| AWS 區域 名稱 | 區域身分 | 在 Systems Manager 中支援 |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (大阪) | ap-northeast-3 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| Europe (Stockholm) | eu-north-1 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# 使用角色在 Systems Manager OpsCenter 中建立操作洞察 OpsItems
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForAmazonSSM_OpsInsights`**。 AWS Systems Manager 使用此 IAM 服務角色在 Systems Manager 中建立和更新營運洞察 OpsItemsOpsCenter。
## 用於 Systems Manager 操作洞察 `AWSServiceRoleForAmazonSSM_OpsInsights` 的服務連結角色許可
`AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色信任下列服務以擔任角色:
+ `opsinsights.ssm.amazonaws.com`
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:UpdateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SsmOperationalInsight": "true"
}
}
}
]
}
```
------
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色
您必須建立服務連結角色。如果您在 Systems Manager 中使用 啟用操作洞察 AWS 管理主控台,您可以選擇**啟用**按鈕來建立服務連結角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色
您必須先在 Systems Manager OpsCenter 中停用操作洞察,才能使用 IAM 刪除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色。如需詳細資訊,請參閱[分析操作洞察以減少 OpsItems](OpsCenter-working-operational-insights.md)。
### 手動刪除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForAmazonSSM_OpsInsights`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色的區域
Systems Manager 不支援在提供服務的每個區域中使用服務連結角色。您可以在下列區域使用 AWSServiceRoleForAmazonSSM\$1OpsInsights 角色。
****
| 區域名稱 | 區域身分 | 在 Systems Manager 中支援 |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太地區 (香港) | ap-east-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| Europe (Stockholm) | eu-north-1 | 是 |
| 歐洲 (米蘭) | eu-south-1 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| Middle East (Bahrain) | me-south-1 | 是 |
| Africa (Cape Town) | af-south-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 是 |
| AWS GovCloud (US) | us-gov-east-1 | 是 |
# 使用角色來維護 Quick Setup 佈建的資源運作狀態和一致性
Systems Manager 使用名為 **`AWSServiceRoleForSSMQuickSetup`** 的服務連結角色。
## Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服務連結角色許可
`AWSServiceRoleForSSMQuickSetup` 服務連結角色信任下列服務以擔任角色:
+ `ssm-quicksetup.amazonaws.com`
AWS Systems Manager 使用此 IAM 服務角色來檢查組態運作狀態、確保參數和佈建資源的一致使用,以及在偵測到偏離時修復資源。
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ `ssm` (Systems Manager):讀取已設定資源預期狀態的相關資訊 (包括在委派管理員帳戶中)。
+ `iam` (AWS Identity and Access Management):這是在 AWS Organizations中跨整個組織存取資源資料同步的必要條件。
+ `organizations` (AWS Organizations):如 Organizations 中所設定,讀取屬於組織成員帳戶的相關資訊。
+ `cloudformation` (CloudFormation):讀取用於管理資源狀態和 CloudFormation 堆疊集操作的 CloudFormation 堆疊相關資訊。
用於為 `AWSServiceRoleForSSMQuickSetup` 角色提供許可的受管政策是 `SSMQuickSetupRolePolicy`。如需授予許可的詳細資訊,請參閱 [AWS 受管政策:SSMQuickSetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服務連結角色
您不需要手動建立 AWSServiceRoleForSSMQuickSetup 服務連結角色。如果在 AWS 管理主控台建立 Quick Setup 組態,Systems Manager 會為您建立服務連結角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForSSMQuickSetup` 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除 `AWSServiceRoleForSSMQuickSetup` 服務連結角色
您必須先刪除使用該角色的 Quick Setup 組態,才可以使用 IAM 刪除 `AWSServiceRoleForSSMQuickSetup` 服務連結角色。如需詳細資訊,請參閱[編輯和刪除您的組態](quick-setup-using.md#quick-setup-edit-delete)。
### 手動刪除 `AWSServiceRoleForSSMQuickSetup` 服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForSSMQuickSetup`服務連結角色。如需詳細資訊,請參閱下列主題:
+ 《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
+ 《AWS CLI 參考》**中 Quick Setup 部分的 [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html)
+ *Quick Setup API 參考*中的 [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html)
## 支援 Systems Manager `AWSServiceRoleForSSMQuickSetup` 服務連結角色的區域
Systems Manager 不支援在提供服務的每個區域中使用服務連結角色。您可以在下列區域使用 AWSServiceRoleForSSMQuickSetup 角色。
+ 美國東部 (俄亥俄)
+ 美國東部 (維吉尼亞北部)
+ 美國西部 (加利佛尼亞北部)
+ 美國西部 (奧勒岡)
+ 亞太區域 (孟買)
+ 亞太區域 (首爾)
+ 亞太區域 (新加坡)
+ 亞太地區 (雪梨)
+ 亞太區域 (東京)
+ 加拿大 (中部)
+ 歐洲 (法蘭克福)
+ 歐洲 (斯德哥爾摩)
+ 歐洲 (愛爾蘭)
+ 歐洲 (倫敦)
+ Europe (Paris)
+ 南美洲 (聖保羅)
# 使用角色匯出 Explorer OpsData
AWS Systems Manager Explorer 使用 **AmazonSSMExplorerExportRole** 服務角色,使用`AWS-ExportOpsDataToS3`自動化 Runbook 匯出操作資料 (OpsData)。
## Explorer 的服務連結角色許可
`AmazonSSMExplorerExportRole` 服務連結角色僅信任 `ssm.amazonaws.com` 服務擔任此角色。
您可以使用 `AmazonSSMExplorerExportRole` 服務連結角色,以 `AWS-ExportOpsDataToS3` Automation 執行手冊匯出操作資料 (OpsData)。您可以從 Explorer 將 5,000 個 OpsData 項目以逗號分隔值 (.csv) 檔案格式匯出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents`
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AmazonSSMExplorerExportRole` 服務連結角色
當您在 Systems Manager 主控台中使用 Explorer 匯出 OpsData 時,Systems Manager 會建立 `AmazonSSMExplorerExportRole` 服務連結角色。如需詳細資訊,請參閱[從 Systems Manager Explorer 匯出 OpsData](Explorer-exporting-OpsData.md)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。
## 編輯 Systems Manager 的 `AmazonSSMExplorerExportRole` 服務連結角色
Systems Manager 不允許您編輯 `AmazonSSMExplorerExportRole` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AmazonSSMExplorerExportRole` 服務連結角色
若您不再使用需要服務連結角色的任何功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。您可以使用 IAM 主控台 AWS CLI、 或 IAM API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
**注意**
如果在您嘗試刪除標籤或資源組時 Systems Manager 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 `AmazonSSMExplorerExportRole` 所使用的 Systems Manager 資源**
1. 若要刪除標籤,請參閱[在個別資源上新增和刪除標籤](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1. 若要刪除資源群組,請參閱[從中刪除群組 AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)。
**若要使用 IAM 手動刪除 `AmazonSSMExplorerExportRole` 服務連結角色**
使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除`AmazonSSMExplorerExportRole`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AmazonSSMExplorerExportRole` 服務連結角色的區域
Systems Manager 支援在 AWS 區域 提供服務的所有 中使用`AmazonSSMExplorerExportRole`服務連結角色。如需詳細資訊,請參閱 [AWS Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
# 使用角色來啟用即時節點存取
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForSystemsManagerJustInTimeAccess`**。 AWS Systems Manager 使用此 IAM 服務角色來啟用just-in-time節點存取。
## Systems Manager 即時節點存取的服務連結角色許可
`AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色信任下列服務以擔任角色:
+ `ssm.amazonaws.com`
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`
用於為 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 角色提供許可的受管政策是 `AWSSystemsManagerEnableJustInTimeAccessPolicy`。如需授予許可的詳細資訊,請參閱 [AWS 受管政策:AWSSystemsManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色
您不需要手動建立服務連結角色,當您在 just-in-time節點存取時 AWS 管理主控台, 會為您Systems Manager建立服務連結角色。
**重要**
此服務連結的角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。另外,若您在 2024 年 11 月 19 日之前使用 Systems Manager 服務 (那時起開始支援服務連結角色),Systems Manager 會於您的帳戶中建立 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您在 just-in-time節點存取時 AWS 管理主控台, 會再次為您Systems Manager建立服務連結角色。
您也可以使用**允許 Systems Manager 啟用即時節點存取的AWS 服務角色**使用案例,在 IAM 主控台中建立服務連結角色。在 AWS CLI 或 AWS API 中,使用服務名稱建立`ssm.amazonaws.com`服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
若 Systems Manager 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**若要使用 IAM 手動刪除 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForSystemsManagerJustInTimeAccess`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色的區域
****
| AWS 區域 名稱 | 區域身分 | 在 Systems Manager 中支援 |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (大阪) | ap-northeast-3 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| Europe (Stockholm) | eu-north-1 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# 使用角色傳送即時節點存取請求通知
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForSystemsManagerNotifications`**。 AWS Systems Manager 使用此 IAM 服務角色傳送通知以存取請求核准者。
## Systems Manager 即時節點存取通知的服務連結角色許可
`AWSServiceRoleForSystemsManagerNotifications` 服務連結角色信任下列服務以擔任角色:
+ `ssm.amazonaws.com`
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`
用於為 `AWSServiceRoleForSystemsManagerNotifications` 角色提供許可的受管政策是 `AWSSystemsManagerNotificationsServicePolicy`。如需授予許可的詳細資訊,請參閱 [AWS 受管政策:AWSSystemsManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色
您不需要手動建立服務連結角色,當您在 just-in-time節點存取時 AWS 管理主控台, 會為您Systems Manager建立服務連結角色。
**重要**
此服務連結的角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。另外,若您在 2024 年 11 月 19 日之前使用 Systems Manager 服務 (那時起開始支援服務連結角色),Systems Manager 會於您的帳戶中建立 `AWSServiceRoleForSystemsManagerNotifications` 角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您在 just-in-time節點存取時 AWS 管理主控台, 會再次為您Systems Manager建立服務連結角色。
您也可以使用**允許 Systems Manager 向存取請求核准者傳送通知的AWS 服務角色**使用案例,在 IAM 主控台中建立服務連結角色。在 AWS CLI 或 AWS API 中,使用服務名稱建立`ssm.amazonaws.com`服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
若 Systems Manager 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**若要使用 IAM 手動刪除 `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForSystemsManagerNotifications`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色的區域
****
| AWS 區域 名稱 | 區域身分 | 在 Systems Manager 中支援 |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (大阪) | ap-northeast-3 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| Europe (Stockholm) | eu-north-1 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# AWS Systems Manager 中的日誌記錄和監控
監控是維護 和 AWS 解決方案的可靠性、可用性 AWS Systems Manager 和效能的重要部分。您應該從 AWS 解決方案的所有部分收集監控資料,以便在發生多點失敗時進行更多偵錯。 AWS 提供數種工具來監控您的 Systems Manager和其他資源並回應潛在事件。
**AWS CloudTrail 日誌**
CloudTrail 會提供由使用者、角色或 AWS 服務 在 Systems Manager 中採取之動作的記錄。您可以利用 CloudTrail 所收集的資訊來判斷向 Systems Manager 發出的請求,以及發出請求的 IP 地址、人員、時間和其他詳細資訊。如需詳細資訊,請參閱[使用 記錄 AWS Systems Manager API 呼叫 AWS CloudTrail](monitoring-cloudtrail-logs.md)。
**Amazon CloudWatch 警示**
使用 Amazon CloudWatch 警示,在一段時間內觀察您為 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和其他資源指定的單一指標。如果指標超過指定的閾值,則會將通知傳送至 Amazon Simple Notification Service (Amazon SNS) 主題或 AWS Auto Scaling 政策。CloudWatch 警示不會因為它們處於特定狀態而叫用動作。必須是狀態已變更並維持了所指定的時間長度,才會呼叫動作。如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南》**中的[使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。
**Amazon CloudWatch 儀表板**
CloudWatch 儀表板是 CloudWatch 主控台中可自訂的首頁,可讓您在單一檢視中監控資源,甚至是分散在不同 AWS 區域的那些資源。您可以使用 CloudWatch 儀表板來為 AWS 資源的指標和警示建立自訂檢視。如需詳細資訊,請參閱[使用 Systems Manager 託管的 Amazon CloudWatch 儀表板](systems-manager-cloudwatch-dashboards.md)。
**Amazon EventBridge**
使用 Amazon EventBridge,您可以設定規則,提醒您 Systems Manager 資源中發生變更,並指示 EventBridge 根據事件的內容採取動作。EventBridge 提供了許多由各種 Systems Manager 工具發出的事件。如需詳細資訊,請參閱[使用 Amazon EventBridge 監控 Systems Manager](monitoring-eventbridge-events.md)。
**Amazon CloudWatch Logs 和 SSM Agent 日誌**
SSM Agent 會在各個節點的日誌檔寫入有關執行、排定動作、錯誤和運作狀態的資訊。您可以手動連線到節點來檢視日誌檔案。建議自動將代理程式日誌資料傳送至 CloudWatch Logs 中的日誌群組以進行分析。如需詳細資訊,請參閱[將節點日誌傳送至統一 CloudWatch Logs (CloudWatch 代理程式)](monitoring-cloudwatch-agent.md)及[檢視 SSM Agent 日誌](ssm-agent-logs.md)。
**AWS Systems Manager 合規**
您可以使用 中的工具 Compliance AWS Systems Manager,掃描受管節點機群的修補程式合規性和組態不一致。您可以從多個 AWS 帳戶 和 收集和彙總資料 AWS 區域,然後深入探討不合規的特定資源。依預設,合規會顯示有關 Patch Manager ( AWS Systems Manager中的工具) 修補和 State Manager ( AWS Systems Manager中的工具) 關聯的目前合規資料。如需詳細資訊,請參閱[AWS Systems Manager合規](systems-manager-compliance.md)。
**AWS Systems Manager Explorer**
Explorer中的工具 AWS Systems Manager是可自訂的操作儀表板,可報告 AWS 資源的相關資訊。 Explorer會顯示您 AWS 帳戶 和 之間的操作資料 (OpsData) 彙總檢視 AWS 區域。在 Explorer 中,OpsData 包含有關 EC2 執行個體、修補程式合規詳細資料和操作工作項目 (OpsItems) 的中繼資料。Explorer 提供脈絡指出 OpsItems 如何分散於業務單位或應用程式、如何隨著時間而演變趨勢,以及如何隨類別而變化。您可以在 Explorer 中群組和篩選資訊,以專注於與您相關且需要採取動作的項目。如需詳細資訊,請參閱[AWS Systems Manager Explorer](Explorer.md)。
**AWS Systems Manager OpsCenter**
OpsCenter是 中的工具 AWS Systems Manager,提供中央位置,讓營運工程師和 IT 專業人員可以檢視、調查和解決與 AWS 資源相關的操作工作項目 (OpsItems)。 OpsItems會跨 服務OpsCenter彙總和標準化OpsItems,同時提供每個 OpsItem、相關 和相關資源的情境式調查資料。 OpsCenter也提供 Automation 中的 Runbook AWS Systems Manager,這項工具可讓您快速解決問題。 OpsCenter 與 Amazon EventBridge 整合。這表示您可以建立 EventBridge 規則,OpsItems為將事件發佈到 EventBridge 的任何 AWS 服務 自動建立。如需詳細資訊,請參閱[AWS Systems Manager OpsCenter](OpsCenter.md)。
**Amazon Simple Notification Service**
您可以將 Amazon Simple Notification Service (Amazon SNS) 設定為傳送通知,這些通知會與您使用 Run Command 或 Maintenance Windows ( AWS Systems Manager中的工具) 傳送的命令狀態相關。Amazon SNS 會協調和管理傳送和傳遞通知給已訂閱 Amazon SNS 主題的用戶端或端點。每當命令變更為新狀態或特定狀態時 (如「`Failed`」或「`Timed Out`」),您都會收到通知。當您將命令傳送至多個節點時,您都可以接收到傳送到特定節點之每個命令複本的通知。如需詳細資訊,請參閱[使用 Amazon SNS 通知監控 Systems Manager 狀態變更](monitoring-sns-notifications.md)。
**AWS Trusted Advisor 而且 AWS Health 儀板表**
Trusted Advisor 利用從為數十萬 AWS 客戶提供服務的最佳實務。 會 Trusted Advisor 檢查您的 AWS 環境,然後在有機會節省成本、改善系統可用性和效能,或協助填補安全漏洞時提出建議。所有 AWS 客戶都可以存取五個 Trusted Advisor 檢查。擁有 AWS 支援 商業或企業計劃的客戶可以檢視所有 Trusted Advisor 檢查。如需詳細資訊,請參閱 [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) 的 *AWS 支援 使用者指南* 與 *[AWS Health 使用者指南](https://docs.aws.amazon.com/health/latest/ug/)*。
**詳細資訊**
+ [在 中記錄和監控 AWS Systems Manager](monitoring.md)
# AWS Systems Manager 的合規驗證
本主題討論 AWS Systems Manager 合規與第三方保證計劃。如需檢視受管節點的合規資料相關資訊,請參閱 [AWS Systems Manager合規](systems-manager-compliance.md)。
在多個 AWS 合規計劃中,第三方稽核人員會評估 Systems Manager 的安全與合規。這些計劃包括 SOC、PCI、FedRAMP、HIPAA 等等。
如需特定合規計劃 AWS 服務 範圍內的 清單,請參閱[AWS 合規計劃範圍內的 服務](https://aws.amazon.com/compliance/services-in-scope/)服務。如需一般資訊,請參閱[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。
您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱[在 中下載報告 AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您使用 時的合規責任Systems Manager取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。 AWS 提供下列資源來協助合規:
+ [安全與合規快速入門指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance):這些部署指南討論架構考量,並提供在 AWS上部署以安全及合規為重心之基準環境的步驟。
+ [HIPAA 安全與合規架構白皮書](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html) – 此白皮書說明公司如何使用 AWS 來建立符合 HIPAA 規範的應用程式。
+ [AWS 合規資源](https://aws.amazon.com/compliance/resources/) – 此工作手冊和指南集合可能適用於您的產業和位置。
+ 《 *AWS Config 開發人員指南*》中的[使用規則評估資源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – AWS Config 服務會評估資源組態符合內部實務、產業準則和法規的程度。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – 這 AWS 服務 可讓您全面檢視 內的安全狀態 AWS ,協助您檢查是否符合安全產業標準和最佳實務。
# AWS Systems Manager 中的恢復能力
AWS 全球基礎架構是以 AWS 區域 與可用區域為中心建置的。AWS 區域 提供多個分開且隔離的實際可用區域,並以具備低延遲、高輸送量和高度備援特性的聯網相互連結。透過可用區域,您可以設計與操作的應用程式和資料庫,在可用區域之間自動容錯移轉而不會發生中斷。可用區域的可用性、容錯能力和擴展能力,均較單一或多個資料中心的傳統基礎設施還高。
如需 AWS 區域 與可用區域的詳細資訊,請參閱[AWS全球基礎架構](https://aws.amazon.com/about-aws/global-infrastructure/)。
# AWS Systems Manager 中的基礎設施安全
作為受管服務, AWS Systems Manager 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務來設計您的 AWS 環境,請參閱*安全支柱 AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 發佈的 API 呼叫,Systems Manager透過網路存取 。使用者端必須支援下列專案:
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
# AWS Systems Manager 中的組態與漏洞分析
AWS 處理基本安全任務,例如防火牆組態和災難復原。這些程序已由適當的第三方進行檢閱並認證。如需詳細資訊,請參閱以下資源:
+ [AWS Systems Manager 的合規驗證](compliance-validation.md)
+ [共同的責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [安全性、身分與合規的最佳實務](https://aws.amazon.com/architecture/security-identity-compliance/)
# Systems Manager 的安全最佳實務
AWS Systems Manager 提供許多安全功能,供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。
**Topics**
+ [Systems Manager 預防性安全最佳實務](#security-best-practices-prevent)
+ [SSM Agent 安裝最佳實務](#security-best-practices-ssm-agent)
+ [Systems Manager 監控和稽核最佳實務](#security-best-practices-detect)
## Systems Manager 預防性安全最佳實務
以下 Systems Manager 最佳實務有助於預防安全事件的發生。
**實作最低權限存取**
當您授予許可時,需要決定哪些使用者會取得哪些 Systems Manager 資源的許可。您允許針對這些資源啟用允許執行的動作。因此,您只應授與執行任務所需的許可。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限存取是相當重要的一環。
下列工具可用來實作最低權限存取:
+ [IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)和 [IAM 實體的許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
**將 SSM Agent 設定為使用代理時,使用建議的設定**
如果將 SSM Agent 設定為使用代理,請將 `no_proxy` 變數與 Systems Manager 執行個體中繼資料服務的 IP 位址搭配使用,確保對 Systems Manager 的呼叫不會採用代理服務的身分。
如需詳細資訊,請參閱[將 SSM Agent 設定為使用 Linux 節點上的代理](configure-proxy-ssm-agent.md)及[將 SSM Agent 設定為使用 Windows Server 執行個體的代理](configure-proxy-ssm-agent-windows.md)。
**使用 SecureString 參數來加密和保護機密資料**
在 Parameter Store ( AWS Systems Manager中的工具) 中,`SecureString` 參數是需要以安全方式存放和參考的任何敏感資料。如果您有不希望使用者以純文字更改或參考的資料,例如密碼或授權金鑰,請使用 `SecureString` 資料類型建立這些參數。 Parameter Store會使用 AWS KMS key in AWS Key Management Service (AWS KMS) 來加密參數值。 會在加密參數值 AWS 受管金鑰 時使用 AWS KMS 客戶受管金鑰或 。為了獲得最大的安全,我們建議您使用自己的 KMS 金鑰。如果您使用 AWS 受管金鑰,擁有在帳戶中執行 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)和 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)動作許可的任何使用者都可以檢視或擷取所有`SecureString`參數的內容。如果您使用客戶受管金鑰來加密您的安全 `SecureString` 值,您可以使用 IAM 政策和金鑰政策來管理加密和解密參數的許可。
若使用了 AWS 受管金鑰,則很難為這些操作建立存取控制政策。例如,如果您使用 AWS 受管金鑰 來加密`SecureString`參數,且不希望使用者使用`SecureString`參數,使用者的 IAM 政策必須明確拒絕存取預設金鑰。
如需詳細資訊,請參閱《*AWS Key Management Service 開發人員指南*》中的 [使用 IAM 政策限制對 Parameter Store 參數的存取](sysman-paramstore-access.md) 和 [AWS Systems ManagerParameter Store 如何使用 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html)。
**定義文件參數的 allowedValues 和 allowedPattern**
您可以定義 `allowedValues` 和 `allowedPattern` 來驗證 Systems Manager 文件 (SSM 文件) 參數的使用者輸入。對於 `allowedValues`,您可以定義參數允許的值陣列。如果使用者輸入不允許的值,則無法開始執行。對於 `allowedPattern`,您可以定義規則運算式,以驗證使用者輸入是否符合參數定義的模式。如果使用者輸入不符合允許的模式,則無法開始執行。
如需 `allowedValues` 和 `allowedPattern` 的更多相關資訊,請參閱[資料元素和參數](documents-syntax-data-elements-parameters.md)。
**封鎖文件的公有共用**
除非您的使用案例需要允許公有共用,否則建議您在 Systems Manager 文件主控台的 **Preferences** (偏好設定) 區段中開啟 SSM 文件的封鎖公有共用設定。
**使用 Amazon Virtual Private Cloud (Amazon VPC) 和 VPC 端點**
您可以使用 Amazon VPC 將 AWS 資源啟動至您定義的虛擬網路。這個虛擬網路與您在資料中心中操作的傳統網路非常相似,且具備使用 AWS可擴展基礎設施的優勢。
透過實作 VPC 端點,您可以將 VPC 私下連線至支援 AWS 服務 且採用 技術的 VPC 端點服務, AWS PrivateLink 而不需要網際網路閘道、NAT 裝置、VPN 連接或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址,即可與服務中的資源通訊。VPC 與另一個服務之間的流量都會保持在 Amazon 網路的範圍內。
如需有關 Amazon VPC 安全的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性](setup-create-vpc.md)和 [Amazon VPC 的網際網路流量隱私權](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)。
**限制 Session Manager 使用者只能操作使用互動式命令和特定 SSM 工作階段文件的工作階段**
Session Manager (AWS Systems Manager 中的工具) 為受管節點提供[數種啟動工作階段的方法](session-manager-working-with-sessions-start.md)。為了獲得最安全的連線,您可以要求使用者使用*互動式命令*方法來連線,以限制使用者與特定命令或命令序列的互動。這可以協助您管理使用者可採取的互動動作。如需詳細資訊,請參閱[啟動工作階段 (互動和非互動式命令)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands)。
為了增加安全性,您可以限制 Session Manager 只能存取特定的 Amazon EC2 執行個體和 Session Manager 工作階段文件。您可以使用 AWS Identity and Access Management (IAM) 政策以這種方式授予或撤銷Session Manager存取權。如需詳細資訊,請參閱[步驟 3:控制工作階段對受管節點的存取權](session-manager-getting-started-restrict-access.md)。
**提供 Automation 工作流程的臨時節點許可**
在 Automation (AWS Systems Manager 中的工具) 工作流程期間,您的節點可能只需要該執行所需的許可,而不需要其他 Systems Manager 操作的許可。例如,自動化工作流程可能需要節點呼叫特定的 API 操作,或在工作流程期間特別存取 AWS 資源。如果這些呼叫或資源是您想要限制存取的呼叫或資源,您可以在 Automation Runbook 本身內為節點提供暫時的補充許可,而不用將許可新增至 IAM 執行個體設定檔。在 Automation 工作流程結束時,暫時許可會移除。如需詳細資訊,請參閱 *AWS 管理和管控部落格*中的[提供 AWS Systems Manager Automation 的臨時執行個體許可](https://aws.amazon.com/blogs/mt/providing-temporary-instance-permissions-with-aws-systems-manager-automations/)。
**讓 AWS 和 Systems Manager工具保持在最新狀態**
AWS 會定期發行您可以在 和 AWS Systems Manager操作中使用的工具和外掛程式的更新版本。將這些資源保持在最新狀態,可確保帳戶中的使用者和節點可以存取這些工具的最新功能和安全功能。
+ SSM Agent – AWS Systems Manager 代理程式 (SSM Agent) 是 Amazon 軟體,可在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、內部部署伺服器或虛擬機器 (VM) 上安裝和設定。SSM Agent 可讓 Systems Manager 更新、管理和設定這些資源。我們建議您至少每兩週檢查一次新版本或自動更新代理程式。如需相關資訊,請參閱[自動化 SSM Agent 更新](ssm-agent-automatic-updates.md)。我們也建議您在更新程序期間驗證 SSM Agent 的簽章。如需相關資訊,請參閱[驗證 SSM Agent 的簽章](verify-agent-signature.md)。
+ AWS CLI – AWS Command Line Interface (AWS CLI) 是一種開放原始碼工具,可讓您 AWS 服務 在命令列 shell 中使用命令與 互動。若要更新 AWS CLI,請執行用來安裝 的相同命令 AWS CLI。建議您在本機電腦上建立排程任務,至少每兩週執行一次適合您作業系統的命令。如需安裝命令的相關資訊,請參閱*AWS Command Line Interface 《 使用者指南*》中的[安裝 AWS CLI 版本 2](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
+ AWS Tools for Windows PowerShell – Tools for Windows PowerShell 是一組 PowerShell 模組,建置在適用於 .NET 的 AWS SDK 公開的功能上。 AWS Tools for Windows PowerShell 可讓您從 PowerShell 命令列編寫資源 AWS 操作的指令碼。當 Tools for Windows PowerShell 的版本更新發佈時,您應定期更新於本機執行的版本。如需詳細資訊,請參閱[《IAM 政策模擬器使用者指南》中的 AWS Tools for Windows PowerShell 在 Windows](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-windows.html#pstools-updating) 上更新 [或在 Linux AWS Tools for Windows PowerShell 上更新 macOS](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-linux-mac.html#pstools-updating-linux) 。 **
+ Session Manager 外掛程式 – 如果您組織中具有使用 Session Manager 許可的使用者想要使用 AWS CLI來連線至節點,他們必須先在其本機電腦上安裝 Session Manager 外掛程式。若要更新外掛程式,請執行與用於安裝外掛程式相同的命令。建議您在本機電腦上建立排程任務,至少每兩週執行一次適合您作業系統的命令。如需相關資訊,請參閱[安裝 的Session Manager外掛程式 AWS CLI](session-manager-working-with-install-plugin.md)。
+ CloudWatch 代理程式 – 您可以設定並使用 CloudWatch 代理程式,以從 EC2 執行個體、內部部署執行個體和虛擬機器 (VM) 收集指標和日誌。這些日誌可以傳送到 Amazon CloudWatch Logs 供監控和分析。我們建議您至少每兩週檢查一次新版本或自動更新代理程式。針對最簡單的更新,請使用 AWS Systems Manager 快速設定。如需相關資訊,請參閱[AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)。
## SSM Agent 安裝最佳實務
安裝 SSM Agent 時,請針對您的機器類型使用適當的安裝方法。特別是,針對[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的所有非 EC2 安裝使用 `ssm-setup-cli` 工具。此工具為非 EC2 機器提供額外的安全保護。
若要在內部部署伺服器和虛擬機器上安裝 Agent,請使用 `ssm-setup-cli` 工具,如下列主題所述:
+ [在混合 Linux 節點上安裝 SSM Agent](hybrid-multicloud-ssm-agent-install-linux.md)
+ [在混合 Windows Server 節點上安裝 SSM Agent](hybrid-multicloud-ssm-agent-install-windows.md)
若要在 EC2 執行個體上安裝 Agent,請針對您的作業系統類型使用適當的安裝程序:
+ [在 Linux EC2 執行個體上手動安裝和解除安裝 SSM Agent](manually-install-ssm-agent-linux.md)
+ [在 macOS EC2 執行個體上手動安裝和解除安裝 SSM Agent](manually-install-ssm-agent-macos.md)
+ [在 Windows Server EC2 執行個體上手動安裝和解除安裝 SSM Agent](manually-install-ssm-agent-windows.md)
## Systems Manager 監控和稽核最佳實務
以下 Systems Manager 最佳實務有助於偵測潛在安全弱點與事件。
**識別並稽核所有 Systems Manager 資源**
識別 IT 資產是控管和保障安全的重要環節。您需要識別所有 Systems Manager 資源,才能評估其安全狀態並對潛在弱點採取行動。
您可使用標籤編輯器來識別重視安全或重視稽核的資源,接著在需要搜尋上述資源時運用這些標籤。如需詳細資訊,請參閱《*AWS Resource Groups 使用者指南*》中的[尋找要加上標籤的資源](https://docs.aws.amazon.com/ARG/latest/userguide/find-resources-to-tag.html)。
請為 Systems Manager 資源建立資源群組。如需詳細資訊,請參閱[什麼是 Resource Groups?](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)
**使用 Amazon CloudWatch 監控工具來實作監控**
監控是維護 Systems Manager 及您 AWS 解決方案安全性、可靠性、可用性和效能的重要部分。Amazon CloudWatch 提供數種工具和服務,協助您監控 Systems Manager 和其他 AWS 服務。如需詳細資訊,請參閱[將節點日誌傳送至統一 CloudWatch Logs (CloudWatch 代理程式)](monitoring-cloudwatch-agent.md)及[使用 Amazon EventBridge 監控 Systems Manager](monitoring-eventbridge-events.md)。
**使用 CloudTrail**
AWS CloudTrail 提供 AWS 服務 中使用者、角色或 所採取動作的記錄Systems Manager。您可以利用 CloudTrail 所收集的資訊來判斷向 Systems Manager 發出的請求,以及發出請求的 IP 地址、人員、時間和其他詳細資訊。如需詳細資訊,請參閱[使用 記錄 AWS Systems Manager API 呼叫 AWS CloudTrail](monitoring-cloudtrail-logs.md)。
**開啟 AWS Config**
AWS Config 可讓您評估、稽核和評估 AWS resources. AWS Config monitors 資源組態的組態,讓您根據所需的安全組態評估記錄的組態。使用 AWS Config,您可以檢閱 AWS 資源之間組態和關係的變更、調查詳細的資源組態歷史記錄,並根據內部準則中指定的組態來判斷整體合規性。如此一來,您就能輕鬆進行合規稽核、安全分析、變更管理和操作故障診斷的程序。如需詳細資訊,請參閱*《AWS Config 開發人員指南》*中的[使用主控台設定 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)。當您指定要記錄的資源類型時,請確定其中包含 Systems Manager 資源。
**監控 AWS 安全建議**
您應該定期檢查 Trusted Advisor 中發佈的安全建議 AWS 帳戶。您也可以使用 [describe-trusted-advisor-checks](https://docs.aws.amazon.com/cli/latest/reference/support/describe-trusted-advisor-checks.html),以程式設計方式來執行此操作。
此外,請主動監控向每個 註冊的主要電子郵件地址 AWS 帳戶。 AWS 將使用此電子郵件地址與您聯絡,以了解可能會影響您的新安全問題。
AWS 具有廣泛影響的操作問題會張貼在[AWS 服務運作狀態儀表板](https://status.aws.amazon.com/)上。系統也會透過 Personal Health Dashboard,將操作問題張貼至個別帳戶。如需詳細資訊,請參閱 [AWS Health 文件](https://docs.aws.amazon.com/health/)。
**詳細資訊**
+ [安全性、身分與合規的最佳實務](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [入門:在設定 AWS 資源時遵循安全最佳實務](https://aws.amazon.com/blogs/security/getting-started-follow-security-best-practices-as-you-configure-your-aws-resources/) (AWS 安全部落格)
+ [IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [中的安全最佳實務 AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Amazon Simple Storage Service (Amazon S3) 的安全最佳實務](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)
+ [的安全最佳實務 AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)