メニュー
Amazon EC2 Systems Manager
ユーザーガイド

Systems Manager パラメータへのアクセスの設定

制限付きの AWS Identity and Access Management (IAM) ユーザーポリシーを作成することで Systems Manager パラメータへのユーザーアクセスを制限することをお勧めします。たとえば、以下のポリシーにより、ユーザーは、すべての本稼働パラメータ (prod.* で始まるパラメータ) に対する読み取り専用アクセス権限 (GetParameters と DescribeParameters) が付与されます。

Copy
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:DescribeParameters" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameters", ], "Resource": "arn:aws:ssm:us-east-1:123456123:parameter/prod.*" } ] }

ユーザーにすべての Systems Manager Parameter API オペレーションへのフルアクセスを許可する場合は、以下の例のようなポリシーを使用します。このポリシーにより、ユーザーは、dbserver.prod.* で始まるすべての本稼働パラメータへのフルアクセスが許可されます。

Copy
{ "Version":"2012-10-17", "Effect":"Allow", "Action":[ "ssm:DescribeParameters", "ssm:PutParameter", "ssm:GetParameters", "ssm:DeleteParameter" ], "Resource":[ "arn:aws:ssm:region:account id:parameter/dbserver.prod.*" ] }

また、インスタンスに、特定のパラメータのみを実行するためのアクセス権限を委譲することもできます。Secure String の場合、インスタンスに KMS 復号化のためのアクセス権限を付与して、Secure String パラメータを復号化できるようにする必要があります。以下の例では、インスタンスが「prod」で始まるパラメータのみ、パラメータの値を取得できるようにしています。パラメータが Secure String の場合、インスタンスは KMS を使用してその文字列を復号化します。

Copy
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetParameters" ], "Resource":[ "arn:aws:ssm:region:account-id:parameter/prod.*" ] }, { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:region:account-id:key/CMK" ] } ] }

注記

前の例のようなインスタンスポリシーは、IAM でインスタンスロールに割り当てられます。ユーザーとインスタンスにポリシーを割り当てる方法を含め、Systems Manager の機能へのアクセスを設定する方法の詳細については、「Systems Manager のセキュリティロールを設定する」を参照してください。