| 顺时针 = CloudWatch。ARN = 亚马逊资源名称。\* = 通配符(任意)。 | |||
|---|---|---|---|
| 策略声明 | 效果 | 操作 | 描述和资源 (ARN) |
| **亚马逊弹性计算云(亚马逊 EC2)** | |||
| EC2 消息操作 | 允许 | AcknowledgeMessage, DeleteMessage, FailMessage, GetEndpoint, GetMessages, SendReply | 允许在你的账户中执行 S EC2 ystems Manager 的消息传送操作。 |
| Ec2 描述 | 允许 | \* (全部) | 允许控制台显示您账户 EC2 中的配置详细信息。 |
| 我正在获取角色 ID | 允许 | GetRole | EC2 允许从`aws:iam::*:role/customer-*`和获取您的 IAM ID `aws:iam::*:role/customer_*`。 |
| 上传日志事件的实例 | 允许 | 创建日志组 | 允许在以下位置创建日志:`aws:logs:*:*:log-group:i-*` |
| 创建日志流 | 允许将日志流式传输到:`aws:logs:*:*:log-group:i-*` | ||
| CW for MMS | 允许 | DescribeAlarms, PutMetricAlarm, PutMetricData | CloudWatch 允许在您的账户中检索警报。 允许 CW 创建或更新警报并将其与指定指标关联。 允许 CW 向您的账户发布指标数据点。 |
| Ec2 标签 | 允许 | CreateTags, DescribeTags, | 允许在您账户中的指定实例上添加、覆盖和描述标签。 |
| 明确拒绝 CW 日志 | 拒绝 | DescribeLogStreams, FilterLogEvents, GetLogEvents | 不允许列出、筛选或获取以下内容的日志流:`aws:logs:*:*:log-group:/mc/*` |
| **亚马逊 S EC2 imple Systems Manager (SSM)** | |||
| SSM 操作 | 允许 | DescribeAssociation, GetDocument, ListAssociations, UpdateAssociationStatus, UpdateInstanceInformation | 允许在您的账户中使用各种 SSM 功能。 |
| S3 中的 SSM 访问权限 | 允许 | GetObject, PutObject, AbortMultipartUpload, ListMultipartUploadPorts, ListBucketMultipartUploads | 允许上的 SSM 获取和更新中的对象,中止向中多部分上传的多部分对象,并列出可供多部分上传的端口和存储桶。 EC2 `aws:s3:::mc-*-internal-*/aws/ssm*` |
| **亚马逊 EC2 简单存储服务 (S3) Simple Storage Service** | |||
| 在 S3 中获取对象 | 允许 | 获取 列表 | 允许 EC2 应用程序检索和列出您账户中 S3 存储桶中的对象。 |
| 客户加密日志 S3 访问权限 | 允许 | PutObject | 允许 EC2 应用程序更新中的对象 `aws:s3:::mc-*-logs-*/encrypted/app/*` |
| 修补数据放置对象 S3 | 允许 | PutObject | 允许 EC2 应用程序将修补数据上传到您的 S3 存储桶,网址为 `aws:s3:::awsms-a*-patch-data-*` |
| 将自己的日志上传到 S3 | 允许 | PutObject | 允许 EC2 应用程序将自定义日志上传到:`aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*` |
| 明确拒绝 MC 命名空间 S3 日志 | 拒绝 | GetObject\* 看跌\* | 不允许 EC2 应用程序从以下位置获取或放置任何对象: `aws:s3:::mc-*-logs-*/encrypted/mc*`, `aws:s3:::mc-*-logs-*/mc/*`, `aws:s3:::mc-a*-logs-*-audit/*` |
| 明确拒绝 S3 删除 | 拒绝 | \* (全部) | 不允许 EC2 应用程序对以下对象执行任何操作: `aws:s3:::mc-a*-logs-*/*`, `aws:s3:::mc-a*-internal-*/*`, |
| 明确拒绝 S3 CFN 存储桶 | 拒绝 | Delete\* | 不允许 EC2 应用程序从以下位置删除任何对象:`aws:s3:::cf-templates-*` |
| 明确拒绝列出存储桶 S3 | 拒绝 | ListBucket | 不允许您列出来自以下内容的任何加密、审核日志或保留 (mc) 对象:`aws:s3:::mc-*-logs-*` |
| **AWS Secrets Manager 在亚马逊 EC2** | |||
| 趋势云一号秘密访问权限 | 允许 | GetSecretValue | EC2 允许亚马逊访问 Trend Cloud One 迁移的机密: `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`, `arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*`, `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`, `aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*` |
| **AWS Key Management Service 在亚马逊 EC2** | |||
| Trend Cloud One 解密密钥 | 允许 | Decrypt | EC2 允许亚马逊使用别名/-migration解 AWS KMS 密密钥 ams/eps/cloudone `arn:aws:kms:*:*:alias/ams/eps/cloudone-migration` |