Berechtigungen für Systems Manager konfigurieren Application Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für Systems Manager konfigurieren Application Manager

Sie können alle Funktionen von verwenden Application Manager, ein Tool in AWS Systems Manager, falls Ihre AWS Identity and Access Management (IAM-) Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) Zugriff auf die in diesem Thema aufgeführten API-Operationen hat. Die API-Operationen sind in zwei Tabellen unterteilt, um Ihnen zu helfen, die verschiedenen Funktionen zu verstehen, die sie ausführen.

In der folgenden Tabelle sind die API-Operationen aufgeführt, die Systems Manager aufruft, wenn Sie eine Ressource in auswählen Application Manager weil Sie die Ressourcendetails anzeigen möchten. Zum Beispiel, wenn Application Manager listet eine Amazon EC2 Auto Scaling Scaling-Gruppe auf. Wenn Sie diese Gruppe auswählen, um ihre Details anzuzeigen, ruft Systems Manager die autoscaling:DescribeAutoScalingGroups API-Operationen auf. Wenn Sie keine Auto Scaling Scaling-Gruppen in Ihrem Konto haben, wird dieser API-Vorgang nicht von aufgerufen Application Manager.

Ausschließlich Ressourcendetails
acm:DescribeCertificate acm:ListTagsForCertificate autoscaling:DescribeAutoScalingGroups cloudfront:GetDistribution cloudfront:ListTagsForResource cloudtrail:DescribeTrails cloudtrail:ListTags cloudtrail:LookupEvents codebuild:BatchGetProjects codepipeline:GetPipeline codepipeline:ListTagsForResource dynamodb:DescribeTable dynamodb:ListTagsOfResource ec2:DescribeAddresses ec2:DescribeCustomerGateways ec2:DescribeHosts ec2:DescribeInternetGateways ec2:DescribeNetworkAcls ec2:DescribeNetworkInterfaces ec2:DescribeRouteTables ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVolumes ec2:DescribeVpcs ec2:DescribeVpnConnections ec2:DescribeVpnGateways elasticbeanstalk:DescribeApplications elasticbeanstalk:ListTagsForResource elasticloadbalancing:DescribeInstanceHealth elasticloadbalancing:DescribeListeners elasticloadbalancing:DescribeLoadBalancers elasticloadbalancing:DescribeTags iam:GetGroup iam:GetPolicy iam:GetRole iam:GetUser lambda:GetFunction rds:DescribeDBClusters rds:DescribeDBInstances rds:DescribeDBSecurityGroups rds:DescribeDBSnapshots rds:DescribeDBSubnetGroups rds:DescribeEventSubscriptions rds:ListTagsForResource redshift:DescribeClusterParameters redshift:DescribeClusterSecurityGroups redshift:DescribeClusterSnapshots redshift:DescribeClusterSubnetGroups redshift:DescribeClusters s3:GetBucketTagging

In der folgenden Tabelle sind die API-Operationen aufgeführt, die Systems Manager verwendet, um Änderungen an Anwendungen und Ressourcen vorzunehmen, die unter Application Manager oder um Betriebsinformationen für eine ausgewählte Anwendung oder Ressource anzuzeigen.

Aktionen und Details der Anwendung
applicationinsights:CreateApplication applicationinsights:DescribeApplication applicationinsights:ListProblems ce:GetCostAndUsage ce:GetTags ce:ListCostAllocationTags ce:UpdateCostAllocationTagsStatus cloudformation:CreateStack cloudformation:DeleteStack cloudformation:DescribeStackDriftDetectionStatus cloudformation:DescribeStackEvents cloudformation:DescribeStacks cloudformation:DetectStackDrift cloudformation:GetTemplate cloudformation:GetTemplateSummary cloudformation:ListStacks cloudformation:UpdateStack cloudwatch:DescribeAlarms cloudwatch:DescribeInsightRules cloudwatch:DisableAlarmActions cloudwatch:EnableAlarmActions cloudwatch:GetMetricData cloudwatch:ListTagsForResource cloudwatch:PutMetricAlarm config:DescribeComplianceByConfigRule config:DescribeComplianceByResource config:DescribeConfigRules config:DescribeRemediationConfigurations config:GetComplianceDetailsByConfigRule config:GetComplianceDetailsByResource config:GetResourceConfigHistory config:ListDiscoveredResources config:PutRemediationConfigurations config:SelectResourceConfig config:StartConfigRulesEvaluation config:StartRemediationExecution ec2:DescribeInstances ecs:DescribeCapacityProviders ecs:DescribeClusters ecs:DescribeContainerInstances ecs:ListClusters ecs:ListContainerInstances ecs:TagResource eks:DescribeCluster eks:DescribeFargateProfile eks:DescribeNodegroup eks:ListClusters eks:ListFargateProfiles eks:ListNodegroups eks:TagResource iam:CreateServiceLinkedRole iam:ListRoles logs:DescribeLogGroups resource-groups:CreateGroup resource-groups:DeleteGroup resource-groups:GetGroup resource-groups:GetGroupQuery resource-groups:GetTags resource-groups:ListGroupResources resource-groups:ListGroups resource-groups:Tag resource-groups:Untag resource-groups:UpdateGroup s3:ListAllMyBuckets s3:ListBucket s3:ListBucketVersions servicecatalog:GetApplication servicecatalog:ListApplications sns:CreateTopic sns:ListSubscriptionsByTopic sns:ListTopics sns:Subscribe ssm:AddTagsToResource ssm:CreateDocument ssm:CreateOpsMetadata ssm:DeleteDocument ssm:DeleteOpsMetadata ssm:DescribeAssociation ssm:DescribeAutomationExecutions ssm:DescribeDocument ssm:DescribeDocumentPermission ssm:GetDocument ssm:GetInventory ssm:GetOpsMetadata ssm:GetOpsSummary ssm:GetServiceSetting ssm:ListAssociations ssm:ListComplianceItems ssm:ListDocuments ssm:ListDocumentVersions ssm:ListOpsMetadata ssm:ListResourceComplianceSummaries ssm:ListTagsForResource ssm:ModifyDocumentPermission ssm:RemoveTagsFromResource ssm:StartAssociationsOnce ssm:StartAutomationExecution ssm:UpdateDocument ssm:UpdateDocumentDefaultVersion ssm:UpdateOpsItem ssm:UpdateOpsMetadata ssm:UpdateServiceSetting tag:GetTagKeys tag:GetTagValues tag:TagResources tag:UntagResources

Beispielrichtlinie für alle Application Manager permissions

Um zu konfigurieren Application Manager Berechtigungen für eine IAM-Entität (z. B. einen Benutzer, eine Gruppe oder eine Rolle) erstellen Sie anhand des folgenden Beispiels eine IAM-Richtlinie. Dieses Richtlinienbeispiel umfasst alle API-Operationen, die verwendet werden von Application Manager.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "acm:DescribeCertificate", "acm:ListTagsForCertificate", "applicationinsights:CreateApplication", "applicationinsights:DescribeApplication", "applicationinsights:ListProblems", "autoscaling:DescribeAutoScalingGroups", "ce:GetCostAndUsage", "ce:GetTags", "ce:ListCostAllocationTags", "ce:UpdateCostAllocationTagsStatus", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackDriftDetectionStatus", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:DetectStackDrift", "cloudformation:GetTemplate", "cloudformation:GetTemplateSummary", "cloudformation:ListStacks", "cloudformation:ListStackResources", "cloudformation:UpdateStack", "cloudfront:GetDistribution", "cloudfront:ListTagsForResource", "cloudtrail:DescribeTrails", "cloudtrail:ListTags", "cloudtrail:LookupEvents", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeInsightRules", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "cloudwatch:GetMetricData", "cloudwatch:ListTagsForResource", "cloudwatch:PutMetricAlarm", "codebuild:BatchGetProjects", "codepipeline:GetPipeline", "codepipeline:ListTagsForResource", "config:DescribeComplianceByConfigRule", "config:DescribeComplianceByResource", "config:DescribeConfigRules", "config:DescribeRemediationConfigurations", "config:GetComplianceDetailsByConfigRule", "config:GetComplianceDetailsByResource", "config:GetResourceConfigHistory", "config:ListDiscoveredResources", "config:PutRemediationConfigurations", "config:SelectResourceConfig", "config:StartConfigRulesEvaluation", "config:StartRemediationExecution", "dynamodb:DescribeTable", "dynamodb:ListTagsOfResource", "ec2:DescribeAddresses", "ec2:DescribeCustomerGateways", "ec2:DescribeHosts", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVolumes", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ecs:DescribeCapacityProviders", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:TagResource", "eks:DescribeCluster", "eks:DescribeFargateProfile", "eks:DescribeNodegroup", "eks:ListClusters", "eks:ListFargateProfiles", "eks:ListNodegroups", "eks:TagResource", "elasticbeanstalk:DescribeApplications", "elasticbeanstalk:ListTagsForResource", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTags", "iam:CreateServiceLinkedRole", "iam:GetGroup", "iam:GetPolicy", "iam:GetRole", "iam:GetUser", "iam:ListRoles", "lambda:GetFunction", "logs:DescribeLogGroups", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSnapshots", "rds:DescribeDBSubnetGroups", "rds:DescribeEventSubscriptions", "rds:ListTagsForResource", "redshift:DescribeClusterParameters", "redshift:DescribeClusters", "redshift:DescribeClusterSecurityGroups", "redshift:DescribeClusterSnapshots", "redshift:DescribeClusterSubnetGroups", "resource-groups:CreateGroup", "resource-groups:DeleteGroup", "resource-groups:GetGroup", "resource-groups:GetGroupQuery", "resource-groups:GetTags", "resource-groups:ListGroupResources", "resource-groups:ListGroups", "resource-groups:Tag", "resource-groups:Untag", "resource-groups:UpdateGroup", "s3:GetBucketTagging", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketVersions", "servicecatalog:GetApplication", "servicecatalog:ListApplications", "sns:CreateTopic", "sns:ListSubscriptionsByTopic", "sns:ListTopics", "sns:Subscribe", "ssm:AddTagsToResource", "ssm:CreateDocument", "ssm:CreateOpsMetadata", "ssm:DeleteDocument", "ssm:DeleteOpsMetadata", "ssm:DescribeAssociation", "ssm:DescribeAutomationExecutions", "ssm:DescribeDocument", "ssm:DescribeDocumentPermission", "ssm:GetDocument", "ssm:GetInventory", "ssm:GetOpsMetadata", "ssm:GetOpsSummary", "ssm:GetServiceSetting", "ssm:ListAssociations", "ssm:ListComplianceItems", "ssm:ListDocuments", "ssm:ListDocumentVersions", "ssm:ListOpsMetadata", "ssm:ListResourceComplianceSummaries", "ssm:ListTagsForResource", "ssm:ModifyDocumentPermission", "ssm:RemoveTagsFromResource", "ssm:StartAssociationsOnce", "ssm:StartAutomationExecution", "ssm:UpdateDocument", "ssm:UpdateDocumentDefaultVersion", "ssm:UpdateOpsMetadata", "ssm:UpdateOpsItem", "ssm:UpdateServiceSetting", "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "tag:TagResources", "tag:UntagResources" ], "Resource": "*" } ] }
Anmerkung

Sie können die Fähigkeit eines Benutzers, Änderungen an Anwendungen und Ressourcen vorzunehmen, einschränken in Application Manager indem Sie die folgenden API-Operationen aus der IAM-Berechtigungsrichtlinie entfernen, die ihrem Benutzer, ihrer Gruppe oder Rolle zugeordnet ist. Durch das Entfernen dieser Aktionen wird ein schreibgeschütztes Erlebnis in Application Manager. Im Folgenden sind alle Funktionen aufgeführt APIs , mit denen Benutzer Änderungen an der Anwendung oder anderen verwandten Ressourcen vornehmen können.

applicationinsights:CreateApplication ce:UpdateCostAllocationTagsStatus cloudformation:CreateStack cloudformation:DeleteStack cloudformation:UpdateStack cloudwatch:DisableAlarmActions cloudwatch:EnableAlarmActions cloudwatch:PutMetricAlarm config:PutRemediationConfigurations config:StartConfigRulesEvaluation config:StartRemediationExecution ecs:TagResource eks:TagResource iam:CreateServiceLinkedRole resource-groups:CreateGroup resource-groups:DeleteGroup resource-groups:Tag resource-groups:Untag resource-groups:UpdateGroup sns:CreateTopic sns:Subscribe ssm:AddTagsToResource ssm:CreateDocument ssm:CreateOpsMetadata ssm:DeleteDocument ssm:DeleteOpsMetadata ssm:ModifyDocumentPermission ssm:RemoveTagsFromResource ssm:StartAssociationsOnce ssm:StartAutomationExecution ssm:UpdateDocument ssm:UpdateDocumentDefaultVersion ssm:UpdateOpsMetadata ssm:UpdateOpsItem ssm:UpdateServiceSetting tag:TagResources tag:UntagResources

Informationen zum Erstellen und Bearbeiten von IAM-Richtlinien finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch. Informationen zum Zuweisen dieser Richtlinie zu einer IAM-Entität (z. B. einem Benutzer, einer Gruppe oder einer Rolle) finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.