适用于 Amazon Systems Manager 的 Amazon 托管式策略
Amazon 托管策略是由 Amazon 创建和管理的独立策略。Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Service启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。
有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
Amazon 托管策略:AmazonSSMServiceRolePolicy
您不能将 AmazonSSMServiceRolePolicy
附加到自己的 Amazon Identity and Access Management (IAM) 实体。此附加到服务相关角色的策略允许 Amazon Systems Manager 代表您执行操作。有关更多信息,请参阅 使用角色来收集清单并查看 OpsData。
除非另有说明,否则 AmazonSSMServiceRolePolicy
允许 Systems Manager 对所有相关资源 ("Resource": "*"
) 完成以下操作:
-
ssm:CancelCommand
-
ssm:GetCommandInvocation
-
ssm:ListCommandInvocations
-
ssm:ListCommands
-
ssm:SendCommand
-
ssm:GetAutomationExecution
-
ssm:GetParameters
-
ssm:StartAutomationExecution
-
ssm:StopAutomationExecution
-
ssm:ListTagsForResource
-
ssm:GetCalendarState
-
ssm:UpdateServiceSetting
[1] -
ssm:GetServiceSetting
[1] -
ec2:DescribeInstanceAttribute
-
ec2:DescribeInstanceStatus
-
ec2:DescribeInstances
-
lambda:InvokeFunction
[2] -
states:DescribeExecution
[3] -
states:StartExecution
[3] -
resource-groups:ListGroups
-
resource-groups:ListGroupResources
-
resource-groups:GetGroupQuery
-
tag:GetResources
-
config:SelectResourceConfig
-
config:DescribeComplianceByConfigRule
-
config:DescribeComplianceByResource
-
config:DescribeRemediationConfigurations
-
config:DescribeConfigurationRecorders
-
cloudwatch:DescribeAlarms
-
compute-optimizer:GetEC2InstanceRecommendations
-
compute-optimizer:GetEnrollmentStatus
-
support:DescribeTrustedAdvisorChecks
-
support:DescribeTrustedAdvisorCheckSummaries
-
support:DescribeTrustedAdvisorCheckResult
-
support:DescribeCases
-
iam:PassRole
[4] -
cloudformation:DescribeStacks
-
cloudformation:ListStackResources
-
cloudformation:ListStackInstances
[5] -
cloudformation:DescribeStackSetOperation
[5] -
cloudformation:DeleteStackSet
[5] -
cloudformation:DeleteStackInstances
[6] -
events:PutRule
[7] -
events:PutTargets
[7] -
events:RemoveTargets
[8] -
events:DeleteRule
[8] -
events:DescribeRule
-
securityhub:DescribeHub
[1] 仅允许对以下资源执行 ssm:UpdateServiceSetting
和 ssm:GetServiceSetting
操作的权限。
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
[2] 仅允许对以下资源执行 lambda:InvokeFunction
操作的权限。
arn:aws:lambda:*:*:function:SSM* arn:aws:lambda:*:*:function:*:SSM*
[3] 仅允许对以下资源执行 states:
操作的权限。
arn:aws:states:*:*:stateMachine:SSM* arn:aws:states:*:*:execution:SSM*
[4] 根据 Systems Manager 服务的以下条件,仅允许执行 iam:PassRole
操作的权限。
"Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com" ] } }
[5] 仅允许对以下资源执行 cloudformation:ListStackInstances
、cloudformation:DescribeStackSetOperation
和 cloudformation:DeleteStackSet
操作的权限。
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
[6] 仅允许对以下资源执行 cloudformation:DeleteStackInstances
操作的权限。
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:* arn:aws:cloudformation:*:*:type/resource/*
[7] 根据 Systems Manager 服务的以下条件,仅允许执行 events:PutRule
和 events:PutTargets
操作的权限。
"Condition": { "StringEquals": { "events:ManagedBy": "ssm.amazonaws.com" } }
[8] 仅允许对以下资源执行 events:RemoveTargets
和 events:DeleteRule
操作的权限。
arn:aws:events:*:*:rule/SSMExplorerManagedRule
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《Amazon Managed Policy Reference Guide》中的 AmazonSSMServiceRolePolicy。
Amazon 托管式策略:AmazonSSMReadOnlyAccess
您可以将 AmazonSSMReadOnlyAccess
策略附加到 IAM 身份。此策略授予对 Amazon Systems Manager API 操作的只读访问权限,包括 Describe*
、Get*
和 List*
。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《Amazon Managed Policy Reference Guide》中的 AmazonSSMReadOnlyAccess。
Amazon 托管式策略:AWSSystemsManagerOpsDataSyncServiceRolePolicy
您不能将 AWSSystemsManagerOpsDataSyncServiceRolePolicy
附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 使用角色为 Explorer 创建 OpsData 和 OpsItems。
AWSSystemsManagerOpsDataSyncServiceRolePolicy
允许 AWSServiceRoleForSystemsManagerOpsDataSync
服务相关角色创建和更新来自 Amazon Security Hub 调查结果的 OpsItems 及 OpsData。
除非另有说明,否则策略允许 Systems Manager 对所有相关资源 ("Resource": "*"
) 完成以下操作:
-
ssm:GetOpsItem
[1] -
ssm:UpdateOpsItem
[1] -
ssm:CreateOpsItem
-
ssm:AddTagsToResource
[2] -
ssm:UpdateServiceSetting
[3] -
ssm:GetServiceSetting
[3] -
securityhub:GetFindings
-
securityhub:GetFindings
-
securityhub:BatchUpdateFindings
[4]
[1] 根据 Systems Manager 服务的以下条件,仅允许执行 ssm:GetOpsItem
和 ssm:UpdateOpsItem
操作的权限。
"Condition": { "StringEquals": { "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true" } }
[2] 仅允许对以下资源执行 ssm:AddTagsToResource
操作的权限。
arn:aws:ssm:*:*:opsitem/*
[3] 仅允许对以下资源执行 ssm:UpdateServiceSetting
和 ssm:GetServiceSetting
操作的权限。
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/* arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
[4] 根据 Systems Manager 服务的以下条件,拒绝执行 securityhub:BatchUpdateFindings
的权限。
{ "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Confidence": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Criticality": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.Text": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Note.UpdatedBy": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/RelatedFindings": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Types": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.key": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/UserDefinedFields.value": false } } }, { "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/VerificationState": false } }
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《Amazon Managed Policy Reference Guide》中的 AWSSystemsManagerOpsDataSyncServiceRolePolicy。
Amazon 托管式策略:AmazonSSMManagedEC2InstanceDefaultPolicy
对于想要获得 Systems Manager 功能使用权限的 Amazon EC2 实例,您只应将 AmazonSSMManagedEC2InstanceDefaultPolicy
附加到 IAM 角色。您不应将该角色附加到其他 IAM 实体(例如 IAM 用户和 IAM 组)或用于其他目的的 IAM 角色。有关更多信息,请参阅 使用“默认主机管理配置”设置。
此策略授予允许 Amazon EC2 实例上的 SSM Agent 检索文档、使用 Run Command 执行命令、使用 Session Manager 建立会话、收集实例清单以及使用 Patch Manager 扫描补丁和补丁合规性的权限。
Systems Manager 为每个实例使用个性化授权令牌,以确保 SSM Agent 在正确的实例上执行 API 操作。Systems Manager 根据 API 操作中提供的实例 Amazon 资源名称(ARN)验证个性化授权令牌。
AmazonSSMManagedEC2InstanceDefaultPolicy
角色权限策略允许 Systems Manager 对所有相关资源完成以下操作:
-
ssm:DescribeAssociation
-
ssm:GetDeployablePatchSnapshotForInstance
-
ssm:GetDocument
-
ssm:DescribeDocument
-
ssm:GetManifest
-
ssm:ListAssociations
-
ssm:ListInstanceAssociations
-
ssm:PutInventory
-
ssm:PutComplianceItems
-
ssm:PutConfigurePackageResult
-
ssm:UpdateAssociationStatus
-
ssm:UpdateInstanceAssociationStatus
-
ssm:UpdateInstanceInformation
-
ssmmessages:CreateControlChannel
-
ssmmessages:CreateDataChannel
-
ssmmessages:OpenControlChannel
-
ssmmessages:OpenDataChannel
-
ec2messages:AcknowledgeMessage
-
ec2messages:DeleteMessage
-
ec2messages:FailMessage
-
ec2messages:GetEndpoint
-
ec2messages:GetMessages
-
ec2messages:SendReply
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《Amazon Managed Policy Reference Guide》中的 AmazonSSMManagedEC2InstanceDefaultPolicy。
Systems Manager 更新了 Amazon 托管式策略
在下表中,查看自该服务于 2021 年 3 月 12 日开始跟踪这些更改以来,有关 Systems Manager 的 Amazon 托管策略更新的详细信息。有关 Systems Manager 服务的其他托管策略的信息,请参阅本主题后面的 Systems Manager 的其他托管策略。要获得有关此页面更改的自动提示,请订阅 Systems Manager 文档历史记录 页面上的 RSS 源。
更改 | 描述 | 日期 |
---|---|---|
AWSSystemsManagerOpsDataSyncServiceRolePolicy – 对现有策略的更新。 |
OpsCenter 更新了策略,以提高 Explorer 管理 OpsData 相关操作的服务相关角色内服务代码的安全性。 | 2023 年 6 月 28 日 |
Systems Manager 添加了一个新策略,允许 Amazon EC2 实例上的 Systems Manager 功能,而不使用 IAM 实例配置文件。 |
2022 年 8 月 18 日 | |
AmazonSSMServiceRolePolicy – 更新现有策略。 |
Systems Manager 添加了新的权限,允许 Explorer 在您从 Explorer 或 OpsCenter 启用 Security Hub 时创建托管规则。添加了新的权限,以便在允许 OpsData 之前检查 config 和 compute-optimizer 是否满足必需的要求。 |
2021 年 4 月 27 日 |
Systems Manager 添加了新的策略,用于从 Explorer 和 OpsCenter 中的 Security Hub 调查结果创建并更新 OpsItems 及 OpsData。 |
2021 年 4 月 27 日 | |
|
Systems Manager 添加了新的权限,允许在 Explorer 中查看多个账户和 Amazon Web Services 区域的聚合 OpsData 及 OpsItems 详细信息。 |
2021 年 3 月 24 日 |
Systems Manager 已开启跟踪更改 |
Systems Manager 为其 Amazon 托管式策略开启了跟踪更改。 |
2021 年 3 月 12 日 |
Systems Manager 的其他托管策略
除了本主题前面介绍的托管策略外,Systems Manager 还支持以下策略。
-
AmazonSSMAutomationApproverAccess
– 允许访问以查看自动化执行并将批准决策发送到等待批准的自动化的 Amazon 托管策略。 -
AmazonSSMAutomationRole
– 为 Systems Manager 自动化服务提供权限,以运行在自动化运行手册中定义的活动的 Amazon 托管策略。将此策略分配给管理员和可信高级用户。 -
AmazonSSMDirectoryServiceAccess
– 允许 SSM Agent 代表用户访问 Amazon Directory Service 以处理托管式节点加入域的请求的 Amazon 托管策略。 -
AmazonSSMFullAccess
– 授予 Systems Manager API 和文档完全访问权限的 Amazon 托管策略。 -
AmazonSSMMaintenanceWindowRole
– 为维护时段提供 Systems Manager API 权限的 Amazon 托管策略。 -
AmazonSSMManagedInstanceCore
– 允许节点使用 Systems Manager 服务核心功能的 Amazon 托管式策略。 -
AmazonSSMPatchAssociation
– 为补丁关联操作提供对子实例的访问权限的 Amazon 托管策略。 -
AmazonSSMReadOnlyAccess
– 授予 Systems Manager 只读 API 操作(例如Get*
和List*
)访问权限的 Amazon 托管策略。 -
AWSSSMOpsInsightsServiceRolePolicy
– 为在 Systems Manager 中创建和更新运维洞察 OpsItems 提供权限的 Amazon 托管策略。其借助服务相关角色 AWSServiceRoleForAmazonSSM_OpsInsights 提供权限。 -
AWSSystemsManagerAccountDiscoveryServicePolicy
– 授予 Systems Manager 发现 Amazon Web Services 账户 信息的权限的 Amazon 托管策略。 -
AWSSystemsManagerChangeManagementServicePolicy
– 提供对由 Systems Manager 更改管理框架管理或使用的以及由服务相关角色AWSServiceRoleForSystemsManagerChangeManagement
使用的 Amazon 资源的访问权限的 Amazon 托管策略。 -
AmazonEC2RoleforSSM
– 此策略不再受支持,不应使用。在相应的位置,使用AmazonSSMManagedInstanceCore
策略在 EC2 实例上允许 Systems Manager 服务的核心功能。有关信息,请参阅为 Systems Manager 配置实例权限。