适用于 Amazon Systems Manager 的 Amazon 托管式策略 - Amazon Systems Manager
AmazonSSMServiceRolePolicyAmazonSSMReadOnlyAccessAWSSystemsManagerOpsDataSyncServiceRolePolicyAmazonSSMManagedEC2InstanceDefaultPolicy策略更新Systems Manager 的其他托管策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon Systems Manager 的 Amazon 托管式策略

Amazon 托管策略是由 Amazon 创建和管理的独立策略。Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Service启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon 托管策略:AmazonSSMServiceRolePolicy

您不能将 AmazonSSMServiceRolePolicy 附加到自己的 Amazon Identity and Access Management (IAM) 实体。此附加到服务相关角色的策略允许 Amazon Systems Manager 代表您执行操作。有关更多信息,请参阅 使用角色来收集清单并查看 OpsData

除非另有说明,否则 AmazonSSMServiceRolePolicy 允许 Systems Manager 对所有相关资源 ("Resource": "*") 完成以下操作:

  • ssm:CancelCommand

  • ssm:GetCommandInvocation

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:SendCommand

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:StartAutomationExecution

  • ssm:StopAutomationExecution

  • ssm:ListTagsForResource

  • ssm:GetCalendarState

  • ssm:UpdateServiceSetting [1]

  • ssm:GetServiceSetting [1]

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInstances

  • lambda:InvokeFunction [2]

  • states:DescribeExecution [3]

  • states:StartExecution [3]

  • resource-groups:ListGroups

  • resource-groups:ListGroupResources

  • resource-groups:GetGroupQuery

  • tag:GetResources

  • config:SelectResourceConfig

  • config:DescribeComplianceByConfigRule

  • config:DescribeComplianceByResource

  • config:DescribeRemediationConfigurations

  • config:DescribeConfigurationRecorders

  • cloudwatch:DescribeAlarms

  • compute-optimizer:GetEC2InstanceRecommendations

  • compute-optimizer:GetEnrollmentStatus

  • support:DescribeTrustedAdvisorChecks

  • support:DescribeTrustedAdvisorCheckSummaries

  • support:DescribeTrustedAdvisorCheckResult

  • support:DescribeCases

  • iam:PassRole [4]

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:ListStackInstances [5]

  • cloudformation:DescribeStackSetOperation [5]

  • cloudformation:DeleteStackSet [5]

  • cloudformation:DeleteStackInstances [6]

  • events:PutRule [7]

  • events:PutTargets [7]

  • events:RemoveTargets [8]

  • events:DeleteRule [8]

  • events:DescribeRule

  • securityhub:DescribeHub

[1] 仅允许对以下资源执行 ssm:UpdateServiceSettingssm:GetServiceSetting 操作的权限。

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[2] 仅允许对以下资源执行 lambda:InvokeFunction 操作的权限。

arn:aws:lambda:*:*:function:SSM*
arn:aws:lambda:*:*:function:*:SSM*

[3] 仅允许对以下资源执行 states: 操作的权限。

arn:aws:states:*:*:stateMachine:SSM*
arn:aws:states:*:*:execution:SSM*

[4] 根据 Systems Manager 服务的以下条件,仅允许执行 iam:PassRole 操作的权限。

"Condition": {
   "StringEquals": {
      "iam:PassedToService": [
         "ssm.amazonaws.com"
      ]
   }
}

[5] 仅允许对以下资源执行 cloudformation:ListStackInstancescloudformation:DescribeStackSetOperationcloudformation:DeleteStackSet 操作的权限。

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*

[6] 仅允许对以下资源执行 cloudformation:DeleteStackInstances 操作的权限。

arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*

[7] 根据 Systems Manager 服务的以下条件,仅允许执行 events:PutRuleevents:PutTargets 操作的权限。

"Condition": {
    "StringEquals": {
        "events:ManagedBy": "ssm.amazonaws.com"
    }
}

[8] 仅允许对以下资源执行 events:RemoveTargetsevents:DeleteRule 操作的权限。

arn:aws:events:*:*:rule/SSMExplorerManagedRule

要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《Amazon Managed Policy Reference Guide》中的 AmazonSSMServiceRolePolicy

Amazon 托管式策略:AmazonSSMReadOnlyAccess

您可以将 AmazonSSMReadOnlyAccess 策略附加到 IAM 身份。此策略授予对 Amazon Systems Manager API 操作的只读访问权限,包括 Describe*Get*List*

要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《Amazon Managed Policy Reference Guide》中的 AmazonSSMReadOnlyAccess

Amazon 托管式策略:AWSSystemsManagerOpsDataSyncServiceRolePolicy

您不能将 AWSSystemsManagerOpsDataSyncServiceRolePolicy 附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Systems Manager 代表您执行操作。有关更多信息,请参阅 使用角色为 Explorer 创建 OpsData 和 OpsItems

AWSSystemsManagerOpsDataSyncServiceRolePolicy 允许 AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色创建和更新来自 Amazon Security Hub 调查结果的 OpsItems 及 OpsData。

除非另有说明,否则策略允许 Systems Manager 对所有相关资源 ("Resource": "*") 完成以下操作:

  • ssm:GetOpsItem [1]

  • ssm:UpdateOpsItem [1]

  • ssm:CreateOpsItem

  • ssm:AddTagsToResource [2]

  • ssm:UpdateServiceSetting [3]

  • ssm:GetServiceSetting [3]

  • securityhub:GetFindings

  • securityhub:GetFindings

  • securityhub:BatchUpdateFindings [4]

[1] 根据 Systems Manager 服务的以下条件,仅允许执行 ssm:GetOpsItemssm:UpdateOpsItem 操作的权限。

"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}

[2] 仅允许对以下资源执行 ssm:AddTagsToResource 操作的权限。

arn:aws:ssm:*:*:opsitem/*

[3] 仅允许对以下资源执行 ssm:UpdateServiceSettingssm:GetServiceSetting 操作的权限。

arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*

[4] 根据 Systems Manager 服务的以下条件,拒绝执行 securityhub:BatchUpdateFindings 的权限。

{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}

要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《Amazon Managed Policy Reference Guide》中的 AWSSystemsManagerOpsDataSyncServiceRolePolicy

Amazon 托管式策略:AmazonSSMManagedEC2InstanceDefaultPolicy

对于想要获得 Systems Manager 功能使用权限的 Amazon EC2 实例,您只应将 AmazonSSMManagedEC2InstanceDefaultPolicy 附加到 IAM 角色。您不应将该角色附加到其他 IAM 实体(例如 IAM 用户和 IAM 组)或用于其他目的的 IAM 角色。有关更多信息,请参阅 使用“默认主机管理配置”设置

此策略授予允许 Amazon EC2 实例上的 SSM Agent 检索文档、使用 Run Command 执行命令、使用 Session Manager 建立会话、收集实例清单以及使用 Patch Manager 扫描补丁和补丁合规性的权限。

Systems Manager 为每个实例使用个性化授权令牌,以确保 SSM Agent 在正确的实例上执行 API 操作。Systems Manager 根据 API 操作中提供的实例 Amazon 资源名称(ARN)验证个性化授权令牌。

AmazonSSMManagedEC2InstanceDefaultPolicy 角色权限策略允许 Systems Manager 对所有相关资源完成以下操作:

  • ssm:DescribeAssociation

  • ssm:GetDeployablePatchSnapshotForInstance

  • ssm:GetDocument

  • ssm:DescribeDocument

  • ssm:GetManifest

  • ssm:ListAssociations

  • ssm:ListInstanceAssociations

  • ssm:PutInventory

  • ssm:PutComplianceItems

  • ssm:PutConfigurePackageResult

  • ssm:UpdateAssociationStatus

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《Amazon Managed Policy Reference Guide》中的 AmazonSSMManagedEC2InstanceDefaultPolicy

Systems Manager 更新了 Amazon 托管式策略

在下表中,查看自该服务于 2021 年 3 月 12 日开始跟踪这些更改以来,有关 Systems Manager 的 Amazon 托管策略更新的详细信息。有关 Systems Manager 服务的其他托管策略的信息,请参阅本主题后面的 Systems Manager 的其他托管策略。要获得有关此页面更改的自动提示,请订阅 Systems Manager 文档历史记录 页面上的 RSS 源。

更改 描述 日期

AWSSystemsManagerOpsDataSyncServiceRolePolicy – 对现有策略的更新。

 OpsCenter 更新了策略,以提高 Explorer 管理 OpsData 相关操作的服务相关角色内服务代码的安全性。 2023 年 6 月 28 日

AmazonSSMManagedEC2InstanceDefaultPolicy – 新策略。

Systems Manager 添加了一个新策略,允许 Amazon EC2 实例上的 Systems Manager 功能,而不使用 IAM 实例配置文件。

 2022 年 8 月 18 日

AmazonSSMServiceRolePolicy – 更新现有策略。

Systems Manager 添加了新的权限,允许 Explorer 在您从 Explorer 或 OpsCenter 启用 Security Hub 时创建托管规则。添加了新的权限,以便在允许 OpsData 之前检查 config 和 compute-optimizer 是否满足必需的要求。

 2021 年 4 月 27 日

AWSSystemsManagerOpsDataSyncServiceRolePolicy – 新策略。

Systems Manager 添加了新的策略,用于从 Explorer 和 OpsCenter 中的 Security Hub 调查结果创建并更新 OpsItems 及 OpsData。

 2021 年 4 月 27 日

AmazonSSMServiceRolePolicy – 对现有策略的更新。

Systems Manager 添加了新的权限,允许在 Explorer 中查看多个账户和 Amazon Web Services 区域的聚合 OpsData 及 OpsItems 详细信息。

 2021 年 3 月 24 日

Systems Manager 已开启跟踪更改

Systems Manager 为其 Amazon 托管式策略开启了跟踪更改。

 2021 年 3 月 12 日

Systems Manager 的其他托管策略

除了本主题前面介绍的托管策略外,Systems Manager 还支持以下策略。