本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM 許可變更詳細資訊
<a name="inst-auto-config-details-iam"></a>

每個受管執行個體都必須具有 AWS Identity and Access Management 角色，其中包含下列受管政策：
+ arn：aws：iam：：aws：policy/AmazonSSMManagedInstanceCore
+ arn：aws：iam：：aws：policy/CloudWatchAgentServerPolicy
+ arn：aws：iam：：aws：policy/AMSInstanceProfileBasePolicy

 前兩個是 AWS受管政策。AMS 受管政策為：

**AMSInstanceProfileBasePolicy**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

 如果您的執行個體已連接 IAM 角色，但缺少任何這些政策，則 AMS 會將缺少的政策新增至您的 IAM 角色。如果您的執行個體沒有 IAM 角色，則 AMS 會連接 **AMSOSConfigurationCustomerInstanceProfile** IAM 角色。**AMSOSConfigurationCustomerInstanceProfile** IAM 角色具有 AMS Accelerate 所需的所有政策。

**注意**  
如果達到預設執行個體描述檔限制 10，則 AMS 會將限制增加到 20，以便連接所需的執行個體描述檔。