Arbeiten mit Zuordnungen mithilfe von IAM - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit Zuordnungen mithilfe von IAM

State Manager, ein Tool in AWS Systems Manager, verwendet Ziele, um auszuwählen, mit welchen Instances Sie Ihre Verknüpfungen konfigurieren. Ursprünglich wurden Zuordnungen erstellt, indem ein Dokumentname (Name) und Instance-ID (InstanceId) angegeben wurden. Dadurch wurde eine Zuordnung zwischen einem Dokument und einer Instance oder einem verwalteten Knoten erstellt. Zuordnungen wurden durch diese Parameter identifiziert. Diese Parameter sind jetzt veraltet, werden aber weiterhin unterstützt. Die Ressourcen instance und managed-instance wurden als Ressourcen zu Aktionen mit Name und InstanceId hinzugefügt.

AWS Identity and Access Management Das Verhalten bei der Durchsetzung von Richtlinien (IAM) hängt vom angegebenen Ressourcentyp ab. Ressourcen für State Manager Operationen werden nur auf der Grundlage der übergebenen Anfrage durchgesetzt. State Manager führt keine gründliche Prüfung der Eigenschaften der Ressourcen in Ihrem Konto durch. Eine Anforderung wird nur anhand von Richtlinienressourcen validiert, wenn der Anforderungsparameter die angegebenen Richtlinienressourcen enthält. Wenn Sie beispielsweise eine Instance im Ressourcenblock angeben, wird die Richtlinie erzwungen, wenn die Anforderung den InstanceId-Parameter verwendet. Der Targets-Parameter für jede Ressource im Konto wird nicht für diese InstanceId überprüft.

Im Folgenden sind einige Fälle mit verwirrendem Verhalten dargestellt:

  • DescribeAssociationDeleteAssociation, und UpdateAssociationverwenden Sieinstance,, und document Ressourcenmanaged-instance, um die veraltete Art der Bezugnahme auf Assoziationen anzugeben. Dies beinhaltet alle Zuordnungen, die mit dem veralteten InstanceId-Parameter erstellt wurden.

  • CreateAssociationCreateAssociationBatch, und UpdateAssociationverwenden Sie instance und managed-instance Ressourcen, um die veraltete Art der Bezugnahme auf Assoziationen zu spezifizieren. Dies beinhaltet alle Zuordnungen, die mit dem veralteten InstanceId-Parameter erstellt wurden. Der document-Ressourcentyp ist Teil der veralteten Methode, auf Zuordnungen zu verweisen und ist eine tatsächliche Eigenschaft einer Zuordnung. Das bedeutet, dass Sie IAM-Richtlinien mit den Berechtigungen Allow oder Deny für Create- und Update-Aktionen auf der Grundlage des Dokumentennamens erstellen können.

Weitere Informationen zur Verwendung von IAM-Richtlinien mit Systems Manager finden Sie unter Identitäts- und Zugriffsmanagement für AWS Systems Manager oder Aktionen, Ressourcen und Bedingungsschlüssel für AWS Systems Manager in der Service Authorization-Referenz.