Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# EC2 Perfil de instancia de IAM
<a name="defaults-instance-profile"></a>

Un perfil de instancia es un contenedor para un rol de IAM que puedes usar para pasar la información del rol a una EC2 instancia cuando se inicia la instancia.

------
#### [ MALZ ]

Hay dos perfiles de instancia predeterminados de AMS `customer-mc-ec2-instance-profile` y`customer-mc-ec2-instance-profile-s3`. Estos perfiles de instancia proporcionan los permisos que se describen en la siguiente tabla.


**Descripciones de políticas**  
<a name="default-iam-profile-malz-table"></a>

- **`customer-mc-ec2-instance-profile`**
  - `AmazonSSMManagedInstanceCore`: Permite que las instancias Ec2 utilicen el agente SSM.
  - `AMSInstanceProfileLoggingPolicy`: Permite que las instancias de Ec2 envíen registros a S3 y. CloudWatch
  - `AMSInstanceProfileManagementPolicy`: Permite que las instancias de Ec2 realicen acciones de arranque, como unirse a Active Directory.
  - `AMSInstanceProfileMonitoringPolicy`: Permite a las instancias de Ec2 informar de los hallazgos a los servicios de monitoreo de AMS.
  - `AMSInstanceProfilePatchPolicy`: Permite que las instancias de Ec2 reciban parches.

- **`customer-mc-ec2-instance-profile-s3`**
  - `AMSInstanceProfileBYOEPSPolicy`: Permite que las instancias de Ec2 utilicen [AMS y traigan su propio EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html).
  - `AMSInstanceProfileLoggingPolicy`: Permite que las instancias de Ec2 envíen registros a S3 y. CloudWatch
  - `AMSInstanceProfileManagementPolicy`: Permite que las instancias de Ec2 realicen acciones de arranque, como unirse a Active Directory.
  - `AMSInstanceProfileMonitoringPolicy`: Permite a las instancias de Ec2 informar de los hallazgos a los servicios de monitoreo de AMS.
  - `AMSInstanceProfilePatchPolicy`: Permite que las instancias de Ec2 reciban parches.
  - `AMSInstanceProfileS3WritePolicy`: Permite que las instancias de Ec2 lleguen read/write a los buckets S3 del cliente.



------
#### [ SALZ ]

Hay un perfil de instancia predeterminado de AMS que concede permisos desde la política de instancias de IAM. `customer-mc-ec2-instance-profile` `customer_ec2_instance_profile_policy` Este perfil de instancia proporciona los permisos que se describen en la siguiente tabla. El perfil concede permisos a las aplicaciones que se ejecutan en la instancia, no a los usuarios que inician sesión en la instancia.

Las políticas suelen incluir varias sentencias, cada una de las cuales concede permisos a un conjunto diferente de recursos o los concede con una condición específica.

CW = CloudWatch. ARN = Nombre del recurso de Amazon. \* = comodín (cualquiera).


**EC2 permisos de perfil de instancia de IAM predeterminados**  

<table>
<thead>
  <tr><th colspan="4">CW = CloudWatch. ARN = Nombre del recurso de Amazon. \* = comodín (cualquiera).</th></tr>
  <tr><th>Declaración de la política</th><th>Efecto</th><th>Actions</th><th>Descripción y recurso (ARN)</th></tr>
</thead>
<tbody>
  <tr><td colspan="4">**Amazon Elastic Compute Cloud (Amazon EC2)**</td></tr>
  <tr><td>EC2 Acciones de mensajes</td><td>Permitir</td><td>AcknowledgeMessage,<br />DeleteMessage,<br />FailMessage,<br />GetEndpoint,<br />GetMessages,<br />SendReply</td><td>Permite acciones de mensajería de EC2 Systems Manager en su cuenta.</td></tr>
  <tr><td>Ec2 Describa</td><td>Permitir</td><td>\* (Todos)</td><td>Permite que la consola muestre los detalles de configuración EC2 de una cuenta.</td></tr>
  <tr><td>Soy Get Role ID</td><td>Permitir</td><td>GetRole</td><td>Permite EC2 obtener su ID de IAM de `aws:iam::*:role/customer-*` y. `aws:iam::*:role/customer_*`</td></tr>
  <tr><td rowspan="2">Instancia para cargar eventos de registro</td><td rowspan="2">Permitir</td><td>Crear grupo de registros</td><td>Permite crear registros en: `aws:logs:*:*:log-group:i-*`</td></tr>
  <tr><td>Crear flujo de registro</td><td>Permite que los registros se transmitan a: `aws:logs:*:*:log-group:i-*`</td></tr>
  <tr><td>CW para MMS</td><td>Permitir</td><td>DescribeAlarms,<br />PutMetricAlarm,<br />PutMetricData</td><td>Permite CloudWatch recuperar las alarmas de su cuenta.<br />Permite a CW crear o actualizar una alarma y asociarla a la métrica especificada.<br />Permite a CW publicar puntos de datos métricos en su cuenta.</td></tr>
  <tr><td>Etiquetas Ec2</td><td>Permitir</td><td>CreateTags,<br />DescribeTags,</td><td>Permite añadir, sobrescribir y describir etiquetas en las instancias especificadas de su cuenta.</td></tr>
  <tr><td>Denegar explícitamente los registros de CW</td><td>Denegar</td><td>DescribeLogStreams,<br />FilterLogEvents,<br />GetLogEvents</td><td>No permite enumerar, filtrar ni obtener las secuencias de registro de: `aws:logs:*:*:log-group:/mc/*`</td></tr>
  <tr><td colspan="4">**Amazon EC2 Simple Systems Manager (SSM)**</td></tr>
  <tr><td>Acciones de SSM</td><td>Permitir</td><td>DescribeAssociation,<br />GetDocument,<br />ListAssociations,<br />UpdateAssociationStatus,<br />UpdateInstanceInformation</td><td>Permite una variedad de funciones de SSM en su cuenta.</td></tr>
  <tr><td>Acceso a SSM en S3</td><td>Permitir</td><td>GetObject,<br />PutObject,<br />AbortMultipartUpload,<br />ListMultipartUploadPorts,<br />ListBucketMultipartUploads</td><td>Permite al SSM del sistema EC2 obtener y actualizar objetos y abortar la carga de objetos de varias partes y enumerar los puertos y depósitos disponibles para cargas de varias partes. `aws:s3:::mc-*-internal-*/aws/ssm*`</td></tr>
  <tr><td colspan="4">**Amazon EC2 Simple Storage Service (S3)**</td></tr>
  <tr><td>Obtenga el objeto en S3</td><td>Permitir</td><td>Get<br />Enumeración</td><td>Permite a EC2 las aplicaciones recuperar y enumerar los objetos de los depósitos de S3 de su cuenta.</td></tr>
  <tr><td>Acceso al registro cifrado por el cliente (S3)</td><td>Permitir</td><td>PutObject</td><td>Permite a EC2 las aplicaciones actualizar los objetos en `aws:s3:::mc-*-logs-*/encrypted/app/*`</td></tr>
  <tr><td>Parche Data Put Object S3</td><td>Permitir</td><td>PutObject</td><td>Permite a EC2 las aplicaciones cargar los datos de los parches a sus depósitos de S3 en `aws:s3:::awsms-a*-patch-data-*`</td></tr>
  <tr><td>Carga de registros propios a S3</td><td>Permitir</td><td>PutObject</td><td>Permite a EC2 las aplicaciones cargar registros personalizados en: `aws:s3:::mc-a*-logs-*/aws/instances/*/${aws:userid}/*`</td></tr>
  <tr><td>Denegar explícitamente los registros de MC Namespace S3</td><td>Denegar</td><td>GetObject\*<br />Pone\*</td><td>No permite que EC2 las aplicaciones obtengan o coloquen objetos desde o hacia:<br />`aws:s3:::mc-*-logs-*/encrypted/mc*`,<br />`aws:s3:::mc-*-logs-*/mc/*`,<br />`aws:s3:::mc-a*-logs-*-audit/*`</td></tr>
  <tr><td>Denegar explícitamente la eliminación de S3</td><td>Denegar</td><td>\* (todos)</td><td>No permite que EC2 las aplicaciones realicen ninguna acción sobre los objetos de:<br />`aws:s3:::mc-a*-logs-*/*`,<br />`aws:s3:::mc-a*-internal-*/*`,</td></tr>
  <tr><td>Denegar explícitamente el bucket CFN de S3</td><td>Denegar</td><td>Delete\*</td><td>No permite que EC2 las aplicaciones eliminen ningún objeto de: `aws:s3:::cf-templates-*`</td></tr>
  <tr><td>Denegar explícitamente List Bucket S3</td><td>Denegar</td><td>ListBucket</td><td>No le permite incluir ningún objeto cifrado, de registro de auditoría o reservado (mc) de: `aws:s3:::mc-*-logs-*`</td></tr>
  <tr><td colspan="4">**AWS Secrets Manager en Amazon EC2**</td></tr>
  <tr><td>Acceso secreto a Trend Cloud One</td><td>Permitir</td><td>GetSecretValue</td><td>Permite EC2 a Amazon acceder a los secretos de la migración de Trend Cloud One:<br />`aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`,<br />`arn:aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-activation-token*`,<br />`aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-id*`,<br />`aws:secretsmanager:*:*:secret:/ams/eps/cloud-one-agent-tenant-guid*`</td></tr>
  <tr><td colspan="4">**AWS Key Management Service en Amazon EC2**</td></tr>
  <tr><td>Clave de descifrado de Trend Cloud One</td><td>Permitir</td><td>Decrypt</td><td>Permita EC2 que Amazon descifre la AWS KMS clave con el alias/-migration ams/eps/cloudone<br />`arn:aws:kms:*:*:alias/ams/eps/cloudone-migration`</td></tr>
</tbody>
</table>


------

Si no estás familiarizado con las políticas de Amazon IAM, consulta [Descripción general de las políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) para obtener información importante.

**nota**  
Las políticas suelen incluir varias declaraciones, en las que cada declaración concede permisos a un conjunto diferente de recursos o concede permisos bajo una condición específica.