Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für AWS Systems Manager
AWS Systems Manager (Servicepräfix: ssm
) stellt die folgenden servicespezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel für die Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Vorgänge an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von AWS Systems Manager definierte Aktionen
Sie können die folgenden Aktionen im Element Action
einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource
Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource
in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition
einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
---|---|---|---|---|---|
AddTagsToResource | Gewährt die Berechtigung zum Hinzufügen oder Überschreiben eines oder mehrerer Tags für eine angegebene AWS Ressource | Tagging | |||
AssociateOpsItemRelatedItem | Gewährt die Berechtigung zum Zuordnen RelatedItem zu einem OpsItem | Schreiben | |||
CancelCommand | Gewährt die Berechtigung zum Abbrechen eines angegebenen Befehls „Run Command (Befehl ausführen)“. | Write | |||
CancelMaintenanceWindowExecution | Gewährt die Berechtigung, die laufende Ausführung eines Wartungsfensters abzubrechen. | Write | |||
CreateActivation | Gewährt die Berechtigung zum Erstellen einer Aktivierung, die zum Registrieren von On-Premises-Servern und virtuellen Maschinen (VMs) bei Systems Manager verwendet wird | Write | |||
CreateAssociation | Gewährt die Berechtigung, ein angegebenes Systems Manager-Dokument bestimmten Instances oder anderen Zielen zuzuordnen. | Schreiben | |||
CreateAssociationBatch | Gewährt die Berechtigung zum Kombinieren von Einträgen für mehrere CreateAssociation Operationen in einem einzigen Befehl | Schreiben | |||
CreateDocument | Gewährt die Berechtigung zum Erstellen eines Systems Manager-SSM-Dokuments | Write |
iam:PassRole |
||
CreateMaintenanceWindow | Gewährt die Berechtigung zum Erstellen eines Wartungsfensters. | Schreiben | |||
CreateOpsItem | Gewährt die Berechtigung zum Erstellen eines OpsItem in OpsCenter | Schreiben | |||
CreateOpsMetadata | Gewährt die Berechtigung zum Erstellen eines OpsMetadata Objekts für eine - AWS Ressource | Schreiben | |||
CreatePatchBaseline | Gewährt die Berechtigung zum Erstellen einer Patch-Baseline | Write | |||
CreateResourceDataSync | Gewährt die Berechtigung zum Erstellen einer Ressourcendaten-Synchronisierungskonfiguration, die regelmäßig Bestandsdaten von verwalteten Instances sammelt und die Daten in einem Amazon-S3-Bucket aktualisiert | Write | |||
DeleteActivation | Gewährt die Berechtigung zum Löschen einer angegebenen Aktivierung für verwaltete Instances. | Write | |||
DeleteAssociation | Gewährt die Berechtigung, ein angegebenes SSM-Dokument von einer angegebenen Instance zu trennen. | Write | |||
DeleteDocument | Gewährt die Berechtigung zum Löschen eines angegebenen SSM-Dokuments und seiner Instance-Mappings. | Write | |||
DeleteInventory | Gewährt die Berechtigung zum Löschen eines angegebenen benutzerdefinierten Bestandstyps oder der einem benutzerdefinierten Bestandstyp zugeordneten Daten. | Write | |||
DeleteMaintenanceWindow | Gewährt die Berechtigung zum Löschen eines angegebenen Wartungsfensters. | Schreiben | |||
DeleteOpsItem | Gewährt die Berechtigung zum Löschen eines OpsItem | Schreiben | |||
DeleteOpsMetadata | Gewährt die Berechtigung zum Löschen eines OpsMetadata Objekts | Schreiben | |||
DeleteParameter | Gewährt die Berechtigung zum Löschen eines angegebenen SSM-Parameters. | Write | |||
DeleteParameters | Gewährt die Berechtigung zum Löschen mehrerer angegebener SSM-Parameter. | Write | |||
DeletePatchBaseline | Gewährt die Berechtigung zum Löschen einer angegebenen Patch-Baseline. | Write | |||
DeleteResourceDataSync | Gewährt die Berechtigung zum Löschen einer angegebenen Ressourcendatensynchronisierung, | Schreiben | |||
DeleteResourcePolicy | Gewährt die Berechtigung zum Löschen einer Systems-Manager-Ressourcenrichtlinie | Berechtigungsverwaltung | |||
DeregisterManagedInstance | Gewährt die Berechtigung zum Abmelden von angegebenen On-Premises-Servern oder virtuellen Maschinen (VM) von Systems Manager. | Write | |||
DeregisterPatchBaselineForPatchGroup | Gewährt die Berechtigung, die Registrierung einer angegebenen Patch-Baseline als Standard-Patch-Baseline für eine bestimmte Patch-Gruppe aufzuheben. | Write | |||
DeregisterTargetFromMaintenanceWindow | Gewährt die Berechtigung, ein bestimmtes Ziel von einem Wartungsfenster abzumelden. | Write | |||
DeregisterTaskFromMaintenanceWindow | Gewährt die Berechtigung, eine bestimmte Aufgabe von einem Wartungsfenster abzumelden. | Write | |||
DescribeActivations | Gewährt die Berechtigung zum Anzeigen von Details zu einer angegebenen Aktivierung einer verwalteten Instance, z. B. zum Zeitpunkt der Erstellung und zur Anzahl der unter Verwendung der Aktivierung registrierten Instances. | Read | |||
DescribeAssociation | Gewährt die Berechtigung zum Anzeigen von Details über die angegebene Mapping für eine angegebene Instance oder ein bestimmtes Ziel. | Read | |||
DescribeAssociationExecutionTargets | Gewährt die Berechtigung zum Anzeigen von Informationen zu einer spezifischen Ausführung einer Mapping. | Read | |||
DescribeAssociationExecutions | Gewährt die Berechtigung zum Anzeigen aller Ausführungen für eine bestimmte Mapping. | Read | |||
DescribeAutomationExecutions | Gewährt die Berechtigung zum Anzeigen von Details zu allen aktiven und beendeten Automatisierungsausführungen. | Read | |||
DescribeAutomationStepExecutions | Gewährt die Berechtigung zum Anzeigen von Informationen über alle aktiven und beendeten Schrittausführungen in einem Automatisierungs-Workflow. | Read | |||
DescribeAvailablePatches | Gewährt die Berechtigung zum Anzeigen aller Patches, die in eine Patch-Baseline aufgenommen werden können. | Read | |||
DescribeDocument | Gewährt die Berechtigung zum Anzeigen von Details zu einem angegebenen SSM-Dokument. | Read | |||
DescribeDocumentParameters | Gewährt die Berechtigung zum Anzeigen von Informationen zu SSM-Dokumentparametern in der Systems Manager-Konsole (interne Systems Manager-Aktion). | Read | |||
DescribeDocumentPermission | Gewährt die Berechtigung zum Anzeigen der Berechtigungen für ein bestimmtes SSM-Dokument. | Read | |||
DescribeEffectiveInstanceAssociations | Gewährt die Berechtigung zum Anzeigen aller aktuellen Mappings für eine angegebene Instance. | Read | |||
DescribeEffectivePatchesForPatchBaseline | Gewährt die Berechtigung zum Anzeigen von Details zu den Patches, die derzeit mit der angegebenen Patch-Baseline verknüpft sind (nur Windows). | Read | |||
DescribeInstanceAssociationsStatus | Gewährt die Berechtigung zum Anzeigen des Status der Mappings für eine bestimmte Instance. | Read | |||
DescribeInstanceInformation | Gewährt die Berechtigung zum Anzeigen von Details zu einer angegebenen Instance. | Read | |||
DescribeInstancePatchStates | Gewährt die Berechtigung zum Anzeigen von Statusdetails zu Patches auf einer angegebenen Instance. | Read | |||
DescribeInstancePatchStatesForPatchGroup | Gewährt die Berechtigung zum Beschreiben des allgemeinen Patch-Status für die Instances in der angegebenen Patch-Gruppe | Read | |||
DescribeInstancePatches | Gewährt die Berechtigung zum Anzeigen allgemeiner Details zu den Patches auf einer angegebenen Instance. | Read | |||
DescribeInstanceProperties | Gewährt der Amazon EC2-Konsole des Benutzers die Berechtigung zum Rendern der Knoten von verwalteten Instances | Read | |||
DescribeInventoryDeletions | Gewährt die Berechtigung zum Anzeigen von Details zu einer angegebenen Lagerbestandslöschung. | Read | |||
DescribeMaintenanceWindowExecutionTaskInvocations | Gewährt die Berechtigung zum Anzeigen von Details einer angegebenen Aufgabenausführung für ein Wartungsfenster. | List | |||
DescribeMaintenanceWindowExecutionTasks | Gewährt die Berechtigung zum Anzeigen von Details zu den Aufgaben, die während der Ausführung eines bestimmten Wartungsfensters ausgeführt wurden. | List | |||
DescribeMaintenanceWindowExecutions | Gewährt die Berechtigung zum Anzeigen der Ausführungen eines angegebenen Wartungsfensters. | List | |||
DescribeMaintenanceWindowSchedule | Gewährt die Berechtigung zum Anzeigen von Details zu bevorstehenden Ausführungen eines angegebenen Wartungsfensters. | List | |||
DescribeMaintenanceWindowTargets | Gewährt die Berechtigung zum Anzeigen einer Liste der Ziele, die einem angegebenen Wartungsfenster zugeordnet sind. | List | |||
DescribeMaintenanceWindowTasks | Gewährt die Berechtigung zum Anzeigen einer Liste der Aufgaben, die einem bestimmten Wartungsfenster zugeordnet sind. | List | |||
DescribeMaintenanceWindows | Gewährt die Berechtigung zum Anzeigen von Informationen zu allen oder bestimmten Wartungsfenstern. | List | |||
DescribeMaintenanceWindowsForTarget | Gewährt die Berechtigung zum Anzeigen von Informationen über die Ziele des Wartungsfensters und die Aufgaben, die einer angegebenen Instance zugeordnet sind. | Auflisten | |||
DescribeOpsItems | Gewährt die Berechtigung zum Anzeigen von Details zu einem angegebenen OpsItems | Lesen | |||
DescribeParameters | Gewährt die Berechtigung zum Anzeigen von Details zu einem angegebenen SSM-Parameter. | List | |||
DescribePatchBaselines | Gewährt die Berechtigung zum Anzeigen von Informationen zu Patch-Baselines, die die angegebenen Kriterien erfüllen. | List | |||
DescribePatchGroupState | Gewährt die Berechtigung zum Anzeigen aggregierter Statusdetails zu Patches für eine bestimmte Patch-Gruppe. | Auflisten | |||
DescribePatchGroups | Gewährt die Berechtigung zum Anzeigen von Informationen zur Patch-Baseline für eine bestimmte Patch-Gruppe. | List | |||
DescribePatchProperties | Gewährt die Berechtigung zum Anzeigen von Details zu verfügbaren Patches für ein bestimmtes Betriebssystem und eine Patch-Eigenschaft. | List | |||
DescribeSessions | Gewährt die Berechtigung zum Anzeigen einer Liste der letzten Session Manager-Sitzungen, die die angegebenen Suchkriterien erfüllen. | Auflisten | |||
DisassociateOpsItemRelatedItem | Gewährt die Berechtigung zum Trennen der Zuordnung RelatedItem zu einem OpsItem | Schreiben | |||
GetAutomationExecution | Gewährt die Berechtigung zum Anzeigen von Details zu einer angegebenen Automatisierungsausführung. | Lesen | |||
GetCalendar [nur Berechtigung] | Gewährt die Berechtigung zum Anzeigen von Details eines bestimmten Kalenders | Lesen | |||
GetCalendarState | Gewährt die Berechtigung zum Anzeigen des Kalenderstatus für einen Änderungskalender oder eine Liste mit Änderungskalendern | Read | |||
GetCommandInvocation | Gewährt die Berechtigung zum Anzeigen von Details zur Befehlsausführung eines angegebenen Aufrufs oder Plugins. | Read | |||
GetConnectionStatus | Gewährt die Berechtigung zum Anzeigen des Session Manager-Verbindungsstatus für eine angegebene verwaltete Instance. | Read | |||
GetDefaultPatchBaseline | Gewährt die Berechtigung zum Anzeigen der aktuellen Standard-Patch-Baseline für einen angegebenen Betriebssystemtyp. | Read | |||
GetDeployablePatchSnapshotForInstance | Gewährt die Berechtigung zum Abrufen des aktuellen Patch-Baseline-Snapshots für eine angegebene Instance. | Read | |||
GetDocument | Gewährt die Berechtigung zum Anzeigen der Inhalte eines angegebenen SSM-Dokuments. | Read | |||
GetInventory | Gewährt die Berechtigung zum Anzeigen von Instance-Bestandsdetails gemäß den angegebenen Kriterien. | Read | |||
GetInventorySchema | Gewährt die Berechtigung zum Anzeigen einer Liste mit Bestandsarten oder Attributnamen für einen bestimmten Bestandselementtyp. | Read | |||
GetMaintenanceWindow | Gewährt die Berechtigung zum Anzeigen von Details zu einem angegebenen Wartungsfenster. | Read | |||
GetMaintenanceWindowExecution | Gewährt die Berechtigung zum Anzeigen von Details zur Ausführung eines bestimmten Wartungsfensters. | Read | |||
GetMaintenanceWindowExecutionTask | Gewährt die Berechtigung zum Anzeigen von Details zu einer bestimmten Ausführungsaufgabe im Wartungsfenster. | Read | |||
GetMaintenanceWindowExecutionTaskInvocation | Gewährt die Berechtigung zum Anzeigen von Details zu einer bestimmten Aufgabe im Wartungsfenster, die auf einem bestimmten Ziel ausgeführt wird. | Read | |||
GetMaintenanceWindowTask | Gewährt die Berechtigung zum Anzeigen von Details zu Aufgaben, die mit einem angegebenen Wartungsfenster registriert wurden. | Lesen | |||
GetManifest [nur Berechtigung] | Gewährt die Berechtigung an Systems Manager und SSM Agent zum Ermitteln der Paket-Installationsanforderungen für eine Instance (interner Systems Manager-Aufruf) | Lesen | |||
GetOpsItem | Gewährt die Berechtigung zum Anzeigen von Informationen zu einem angegebenen OpsItem | Lesen | |||
GetOpsMetadata | Gewährt die Berechtigung zum Abrufen eines OpsMetadata Objekts | Lesen | |||
GetOpsSummary | Gewährt die Berechtigung zum Anzeigen von zusammenfassenden Informationen zu OpsItems basierend auf bestimmten Filtern und Aggregatoren | Lesen | |||
GetParameter | Gewährt die Berechtigung zum Anzeigen von Informationen zu einem angegebenen Parameter. | Read | |||
GetParameterHistory | Gewährt die Berechtigung zum Anzeigen von Details und Änderungen für einen angegebenen Parameter. | Read | |||
GetParameters | Gewährt die Berechtigung zum Anzeigen von Informationen über mehrere angegebene Parameter. | Read | |||
GetParametersByPath | Gewährt die Berechtigung zum Anzeigen von Informationen über Parameter in einer angegebenen Hierarchie. | Read | |||
GetPatchBaseline | Gewährt die Berechtigung zum Anzeigen von Informationen über eine angegebene Patch-Baseline. | Read | |||
GetPatchBaselineForPatchGroup | Gewährt die Berechtigung zum Anzeigen der ID der aktuellen Patch-Baseline für eine angegebene Patch-Gruppe. | Lesen | |||
GetResourcePolicies | Gewährt die Berechtigung zum Abrufen von Listen mit Systems-Manager-Ressourcenrichtlinien | Auflisten | |||
GetServiceSetting | Gewährt die Berechtigung zum Anzeigen der Einstellung auf Kontoebene für einen - AWS Service | Lesen | |||
LabelParameterVersion | Gewährt die Berechtigung zum Anwenden einer identifizierenden Bezeichnung auf eine angegebene Version eines Parameters. | Write | |||
ListAssociationVersions | Gewährt die Berechtigung zum Auflisten von Versionen der angegebenen Mapping | List | |||
ListAssociations | Gewährt die Berechtigung zum Auflisten der Mappings für ein angegebenes SSM-Dokument oder eine verwaltete Instance. | List | |||
ListCommandInvocations | Gewährt die Berechtigung zum Auflisten von Informationen zu Befehlsaufrufen, die an eine angegebene Instance gesendet wurden. | Auflisten | |||
ListCommands | Gewährt die Berechtigung zum Auflisten der an eine angegebene Instance gesendeten Befehle. | Auflisten | |||
ListComplianceItems | Gewährt die Berechtigung zum Auflisten des Compliance-Status für bestimmte Ressourcentypen auf einer angegebenen Ressource. | List | |||
ListComplianceSummaries | Gewährt die Berechtigung zum Auflisten einer zusammenfassenden Anzahl von konformen und nicht konformen Ressourcen für einen angegebenen Compliance-Typ. | List | |||
ListDocumentMetadataHistory | Gewährt die Berechtigung zum Anzeigen des Metadatenverlaufs zu einem bestimmten SSM-Dokument | Auflisten | |||
ListDocumentVersions | Gewährt die Berechtigung zum Auflisten aller Versionen eines angegebenen Dokuments. | List | |||
ListDocuments | Gewährt die Berechtigung zum Anzeigen von Informationen zu einem angegebenen SSM-Dokument. | Auflisten | |||
ListInstanceAssociations | Gewährt dem SSM Agent die Berechtigung, nach neuen Statusmanager-Zuordnungen zu suchen (interner Systems-Manager-Aufruf) | Auflisten | |||
ListInventoryEntries | Gewährt die Berechtigung zum Anzeigen einer Liste der angegebenen Bestandstypen für eine angegebene Instance. | Auflisten | |||
ListOpsItemEvents | Gewährt die Berechtigung zum Anzeigen von Details zu OpsItemEvents | Auflisten | |||
ListOpsItemRelatedItems | Gewährt die Berechtigung zum Anzeigen von Details zu OpsItem RelatedItems | Auflisten | |||
ListOpsMetadata | Gewährt die Berechtigung zum Anzeigen einer Liste von OpsMetadata Objekten | Auflisten | |||
ListResourceComplianceSummaries | Gewährt die Berechtigung zum Auflisten von Summenzählungen auf Ressourcenebene | List | |||
ListResourceDataSync | Gewährt die Berechtigung zum Auflisten von Informationen zu Ressourcendaten-Synchronisierungskonfigurationen in einem Konto. | List | |||
ListTagsForResource | Gewährt die Berechtigung zum Anzeigen einer Liste von Ressourcen-Tags für eine angegebene Ressource. | Auflisten | |||
ModifyDocumentPermission | Gewährt die Berechtigung, ein benutzerdefiniertes SSM-Dokument öffentlich oder privat für bestimmte AWS Konten freizugeben | Berechtigungsverwaltung | |||
PutCalendar [nur Berechtigung] | Gewährt die Berechtigung zum Erstellen/Bearbeiten eines bestimmten Kalenders | Schreiben | |||
PutComplianceItems | Gewährt die Berechtigung zum Registrieren eines Compliance-Typs und anderer Compliance-Details zu einer bestimmten Ressource. | Schreiben | |||
PutConfigurePackageResult [nur Berechtigung] | Gewährt dem SSM Agent die Berechtigung, einen Bericht über die Ergebnisse bestimmter Agentenanforderungen zu generieren (interner Systems-Manager-Aufruf) | Lesen | |||
PutInventory | Gewährt die Berechtigung zum Hinzufügen oder Aktualisieren von Bestandselementen auf mehreren angegebenen verwalteten Instances. | Write | |||
PutParameter | Gewährt die Berechtigung zum Erstellen eines SSM-Parameters | Schreiben | |||
PutResourcePolicy | Gewährt die Berechtigung zum Erstellen oder Aktualisieren einer Systems-Manager-Ressourcenrichtlinie | Berechtigungsverwaltung | |||
RegisterDefaultPatchBaseline | Gewährt die Berechtigung zur Angabe der Standard-Patch-Baseline für einen Betriebssystemtyp. | Schreiben | |||
RegisterManagedInstance | Gewährt die Berechtigung zum Registrieren eines Systems Manager Agent | Schreiben | |||
RegisterPatchBaselineForPatchGroup | Gewährt die Berechtigung zur Angabe der Standard-Patch-Baseline für eine bestimmte Patch-Gruppe. | Write | |||
RegisterTargetWithMaintenanceWindow | Gewährt die Berechtigung zum Registrieren eines Ziels in einem angegebenen Wartungsfenster. | Write | |||
RegisterTaskWithMaintenanceWindow | Gewährt die Berechtigung zum Registrieren einer Aufgabe in einem angegebenen Wartungsfenster. | Write | |||
RemoveTagsFromResource | Gewährt die Berechtigung zum Entfernen eines angegebenen Tag-Schlüssels aus einer angegebenen Ressource. | Tagging | |||
ResetServiceSetting | Gewährt die Berechtigung zum Zurücksetzen der Serviceeinstellung für einen AWS-Konto auf den Standardwert | Schreiben | |||
ResumeSession | Gewährt die Berechtigung zum Wiederherstellen einer Session Manager-Sitzung mit einer verwalteten Instance. | Write | |||
SendAutomationSignal | Gewährt die Berechtigung zum Senden eines Signals, um das aktuelle Verhalten oder den Status einer angegebenen Automatisierungsausführung zu ändern. | Write | |||
SendCommand | Gewährt die Berechtigung zum Ausführen von Befehlen auf einer oder mehreren angegebenen verwalteten Instances. | Write | |||
StartAssociationsOnce | Gewährt die Berechtigung zum manuellen Ausführen einer bestimmten Mapping. | Write | |||
StartAutomationExecution | Gewährt die Berechtigung zum Initiieren der Ausführung eines Automation-Dokuments. | Write | |||
StartChangeRequestExecution | Gewährt die Berechtigung zum Initiieren der Ausführung eines Automation Change Template-Dokuments | Write | |||
StartSession | Gewährt die Berechtigung zum Initiieren einer Verbindung zu einem angegebenen Ziel für eine Session Manager-Sitzung. | Write | |||
StopAutomationExecution | Gewährt die Berechtigung zum Beenden einer angegebenen Automatisierungsausführung, die bereits läuft. | Write | |||
TerminateSession | Gewährt die Berechtigung zum dauerhaften Beenden einer Session Manager-Verbindung zu einer Instance | Schreiben | |||
UnlabelParameterVersion | Gewährt die Berechtigung zum Anwenden einer identifizierenden Bezeichnung auf eine angegebene Version eines Parameters | Schreiben | |||
UpdateAssociation | Gewährt die Berechtigung zum Aktualisieren einer Mapping und zum sofortigen Ausführen der Mapping auf den angegebenen Zielen. | Write | |||
UpdateAssociationStatus | Gewährt die Berechtigung zum Aktualisieren des Status des SSM-Dokuments, das einer bestimmten Instance zugeordnet ist. | Write | |||
UpdateDocument | Gewährt die Berechtigung zum Aktualisieren eines oder mehrerer Werte für ein SSM-Dokument. | Write | |||
UpdateDocumentDefaultVersion | Gewährt die Berechtigung zum Ändern der Standardversion eines SSM-Dokuments. | Write | |||
UpdateDocumentMetadata | Gewährt die Berechtigung zum Aktualisieren der Metadaten eines SSM-Dokuments | Schreiben | |||
UpdateInstanceAssociationStatus [nur Berechtigung] | Gewährt dem SSM Agent die Berechtigung, den Status der aktuell ausgeführten Zuordnung zu aktualisieren (interner Systems-Manager-Aufruf) | Schreiben | |||
UpdateInstanceInformation | Gewährt dem SSM Agent die Berechtigung, ein Heartbeat-Signal an den Systems-Manager-Service in der Cloud zu senden | Schreiben | |||
UpdateMaintenanceWindow | Gewährt die Berechtigung zum Aktualisieren eines angegebenen Wartungsfensters. | Write | |||
UpdateMaintenanceWindowTarget | Gewährt die Berechtigung zum Aktualisieren eines angegebenen Wartungsfensterziels. | Write | |||
UpdateMaintenanceWindowTask | Gewährt die Berechtigung zum Aktualisieren einer angegebenen Wartungsfensteraufgabe. | Write | |||
UpdateManagedInstanceRole | Gewährt die Berechtigung zum Zuweisen oder Ändern der IAM-Rolle, die einer angegebenen verwalteten Instance zugewiesen ist. | Schreiben | |||
UpdateOpsItem | Gewährt die Berechtigung zum Bearbeiten oder Ändern eines OpsItem | Schreiben | |||
UpdateOpsMetadata | Gewährt die Berechtigung zum Aktualisieren eines OpsMetadata Objekts | Schreiben | |||
UpdatePatchBaseline | Gewährt die Berechtigung zum Aktualisieren einer angegebenen Patch-Baseline. | Write | |||
UpdateResourceDataSync | Gewährt die Berechtigung zum Aktualisieren einer Ressourcendaten-Synchronisierung | Schreiben | |||
UpdateServiceSetting | Gewährt die Berechtigung zum Aktualisieren der Service-Einstellung für ein AWS-Konto | Schreiben |
Von AWS Systems Manager definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource
von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle „Aktionen“ identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
Anmerkung
Einige State Manager-API-Parameter sind veraltet. Das könnte ein unerwartetes Verhalten verursachen. Weitere Informationen finden Sie unter Arbeiten mit Mappings mithilfe von IAM.
Ressourcentypen | ARN | Bedingungsschlüssel |
---|---|---|
association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
bucket |
arn:${Partition}:s3:::${BucketName}
|
|
document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
resourcearn |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
Bedingungsschlüssel für AWS Systems Manager
AWS Systems Manager definiert die folgenden Bedingungsschlüssel, die im Condition
Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Bedingungsschlüssel.
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
Bedingungsschlüssel | Beschreibung | Typ |
---|---|---|
aws:RequestTag/${TagKey} | Filtert den Zugriff nach Create-Anforderungen basierend auf den zulässigen Werten für die angegebenen Tags | String |
aws:ResourceTag/${TagKey} | Filtert den Zugriff basierend auf einem Tag-Schlüssel-Wert-Paar, das der AWS Ressource zugewiesen ist | String |
aws:TagKeys | Filtert den Zugriff nach Create-Anforderungen basierend darauf, ob obligatorische Tags in der Anforderung enthalten sind | ArrayOfString |
ec2:SourceInstanceARN | Filtert den Zugriff nach ARN der Instance, von der die Anforderung stammt | ARN |
ssm:AutoApprove | Filtert den Zugriff, indem überprüft wird, ob ein Benutzer berechtigt ist, Change Manager-Workflows ohne Überprüfungsschritt zu starten (mit Ausnahme von Ereignissen zum Einfrieren von Änderungen) | Bool |
ssm:DocumentCategories | Filtert den Zugriff, indem überprüft wird, ob ein Benutzer berechtigt ist, auf ein Dokument zuzugreifen, das zu einer bestimmten Kategorieaufzählung gehört. | ArrayOfString |
ssm:Overwrite | Filtert den Zugriff durch Steuerung, ob Systems-Manager-Parameter überschrieben werden können | String |
ssm:Recursive | Filtert den Zugriff nach Systems-Manager-Parametern, die in einer hierarchischen Struktur erstellt wurden | String |
ssm:SessionDocumentAccessCheck | Filtert den Zugriff, indem überprüft wird, ob ein Benutzer berechtigt ist, entweder auf das Standardkonfigurationsdokument von Session Manager oder auf das in einer Anforderung angegebene benutzerdefinierte Konfigurationsdokument zuzugreifen | Bool |
ssm:SourceInstanceARN | Filtert den Zugriff, indem der Amazon-Ressourcenname (ARN) der verwalteten Instance des AWS Systems Managers überprüft wird, von der aus die Anforderung gestellt wird. Dieser Schlüssel ist nicht vorhanden, wenn die Instance von der verwalteten Instance kommt, die mit einer IAM-Rolle authentifiziert wurde, die dem EC2-Instance-Profil zugeordnet ist | ARN |
ssm:SyncType | Filtert den Zugriff, indem überprüft wird, ob ein Benutzer auch Zugriff auf die in der Anforderung ResourceDataSync SyncType angegebenen hat | String |
ssm:resourceTag/${TagKey} | Filtert den Zugriff nach einem Tag-Schlüssel-Wert-Paar, das der Systems-Manager-Ressource zugewiesen ist | String |
ssm:resourceTag/aws:ssmmessages:session-id | Filtert den Zugriff basierend auf einem Tag-Schlüssel-Wert-Paar, das der Systems-Manager-Sitzungsressource zugewiesen ist | String |
ssm:resourceTag/aws:ssmmessages:target-id | Filtert den Zugriff basierend auf einem Tag-Schlüssel-Wert-Paar, das der Systems-Manager-Sitzungsressource zugewiesen ist | String |
ssm:resourceTag/tag-key | Filtert den Zugriff basierend auf einem Tag-Schlüssel-Wert-Paar, das der Systems-Manager-Ressource zugewiesen ist | String |