本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# IAM 权限变更详情
<a name="inst-auto-config-details-iam"></a>

每个托管实例必须有一个包含以下托管策略的 AWS Identity and Access Management 角色：
+ arn: aws: iam:: aws: Policy/Amazon SSMManaged InstanceCore
+ arn: aws: iam:: aws: policy/ CloudWatchAgentServerPolicy
+ arn: aws: iam:: aws: policy/ AMSInstance ProfileBasePolicy

 前两个是 AWS托管策略。AMS 管理的策略是：

**AMSInstanceProfileBasePolicy**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

 如果您的实例已经附加了 IAM 角色，但缺少这些策略中的任何一个，那么 AMS 会将缺少的策略添加到您的 IAM 角色中。如果您的实例没有 IAM 角色，则 AMS 会附加该 **AMSOSConfigurationCustomerInstanceProfile**IAM 角色。**AMSOSConfigurationCustomerInstanceProfile**IAM 角色具有 AMS Accelerate 所需的所有策略。

**注意**  
如果达到 10 的默认实例配置文件限制，则 AMS 会将限制增加到 20，以便可以附加所需的实例配置文件。