Claves de condición, recursos y acciones de AWS Systems Manager - AWS Identity and Access Management

Claves de condición, recursos y acciones de AWS Systems Manager

AWS Systems Manager (prefijo de servicio: ssm) proporciona las siguientes claves de contexto de condición, recursos y acciones específicas del servicio para usarlas en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Systems Manager

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AddTagsToResource Concede permisos para añadir o sobrescribir una o varias etiquetas para un recurso de AWS especificado. Etiquetado

document

maintenancewindow

managed-instance

parameter

patchbaseline

CancelCommand Concede permisos para cancelar un comando «Ejecutar comando» especificado Escritura
CancelMaintenanceWindowExecution Concede permisos para cancelar la ejecución de un período de mantenimiento en curso Escritura
CreateActivation Concede permisos para crear una activación que se utiliza para registrar servidores locales y máquinas virtuales (VM) con Systems Manager Escritura
CreateAssociation Concede permisos para asociar un documento de Systems Manager especificado con instancias u otros destinos especificados Escritura

document*

CreateAssociationBatch Concede permisos para combinar entradas para varias operaciones de CreateAssociation en un solo comando Escritura

document*

CreateDocument Concede permisos para crear un documento SSM de Systems Manager Escritura

document*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMaintenanceWindow Concede permisos para crear un período de mantenimiento Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsItem Concede permisos para crear un OpsItem en el OpsCenter Escritura
CreatePatchBaseline Concede permisos para crear una base de referencia de parches Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResourceDataSync Concede permisos para crear una configuración de sincronización de datos de recursos, que recopila regularmente datos de inventario de instancias administradas y actualiza los datos en un bucket de Amazon S3 Escritura

resourcedatasync*

ssm:SyncType

DeleteActivation Concede permisos para eliminar una activación especificada para instancias administradas Escritura
DeleteAssociation Concede permisos para desvincular un documento SSM especificado de una instancia especificada Escritura

document*

DeleteDocument Concede permisos para eliminar un documento SSM especificado y sus asociaciones de instancia Escritura

document*

DeleteInventory Concede permisos para eliminar un tipo de inventario personalizado especificado, o los datos asociados con un tipo de inventario personalizado. Escritura
DeleteMaintenanceWindow Concede permisos para eliminar un período de mantenimiento especificado Escritura

maintenancewindow*

DeleteParameter Concede permisos para eliminar un parámetro SSM especificado Escritura

parameter*

DeleteParameters Concede permisos para eliminar varios parámetros SSM especificados Escritura

parameter*

DeletePatchBaseline Concede permisos para eliminar una base de referencia de parches especificada Escritura

patchbaseline*

DeleteResourceDataSync Concede permisos para eliminar una sincronización de datos de recursos especificada Escritura

resourcedatasync*

ssm:SyncType

DeregisterManagedInstance Concede permisos para anular el registro de un servidor local o de una máquina virtual (VM) especificados de Systems Manager Escritura

managed-instance*

DeregisterPatchBaselineForPatchGroup Concede permisos para anular el registro de una base de referencia de parches especificada para que no sea la base de referencia de parches predeterminada para un grupo de parches especificado Escritura

patchbaseline*

DeregisterTargetFromMaintenanceWindow Concede permisos para anular el registro de un destino especificado de un período de mantenimiento Escritura

maintenancewindow*

DeregisterTaskFromMaintenanceWindow Concede permisos para anular el registro de una tarea especificada desde un período de mantenimiento Escritura

maintenancewindow*

DescribeActivations Concede permisos para ver detalles sobre una activación de instancia administrada especificada, como cuándo se creó y la cantidad de instancias registradas mediante la activación Lectura
DescribeAssociation Concede permisos para ver los detalles sobre la asociación especificada para una instancia o destino especificados Lectura

document*

DescribeAssociationExecutionTargets Concede permisos para ver información sobre una ejecución de una asociación especificada Lectura
DescribeAssociationExecutions Concede permisos para ver todas las ejecuciones de una asociación especificada Lectura
DescribeAutomationExecutions Concede permisos para ver los detalles de todas las ejecuciones de Automation activas y terminadas Lectura
DescribeAutomationStepExecutions Concede permisos para ver información acerca de todas las ejecuciones de pasos activas y terminadas en un flujo de trabajo de Automation. Lectura
DescribeAvailablePatches Concede permisos para ver todos los parches aptos para ser incluidos en una base de referencia de parches Lectura
DescribeDocument Concede permisos para ver los detalles sobre un documento SSM especificado Lectura

document*

DescribeDocumentParameters Concede permisos para mostrar información sobre los parámetros del documento SSM en la consola de Systems Manager (acción interna de Systems Manager) Lectura

document*

DescribeDocumentPermission Concede permisos para ver los permisos de un documento SSM especificado Lectura

document*

DescribeEffectiveInstanceAssociations Concede permisos para ver todas las asociaciones actuales de una instancia especificada Lectura
DescribeEffectivePatchesForPatchBaseline Concede permisos para ver detalles sobre los parches asociados actualmente con la base de referencia de parches especificada (solo Windows) Lectura

patchbaseline*

DescribeInstanceAssociationsStatus Concede permisos para ver el estado de las asociaciones de una instancia especificada Lectura
DescribeInstanceInformation Concede permisos para ver los detalles de una instancia especificada Lectura
DescribeInstancePatchStates Concede permisos para ver lo detalles de estado sobre los parches de una instancia especificada Lectura
DescribeInstancePatchStatesForPatchGroup Concede permisos para describir el estado de los parches en general para las instancias del grupo de parches especificado Lectura
DescribeInstancePatches Concede permisos para ver detalles generales sobre los parches en una instancia especificada Lectura
DescribeInstanceProperties Concede permisos a la consola de Amazon EC2 del usuario para renderizar nodos de instancias administradas Lectura
DescribeInventoryDeletions Concede permisos para ver detalles sobre una eliminación de inventario especificada Lectura
DescribeMaintenanceWindowExecutionTaskInvocations Concede permisos para ver detalles de la ejecución de una tarea especificada para un período de mantenimiento List
DescribeMaintenanceWindowExecutionTasks Concede permisos para ver detalles sobre las tareas que se ejecutaron durante la ejecución de un período de mantenimiento especificado List
DescribeMaintenanceWindowExecutions Concede permisos para ver las ejecuciones de un período de mantenimiento especificado List

maintenancewindow*

DescribeMaintenanceWindowSchedule Concede permisos para ver detalles sobre las próximas ejecuciones de un período de mantenimiento especificado List
DescribeMaintenanceWindowTargets Concede permisos para ver una lista de los destinos asociados a un período de mantenimiento especificado List

maintenancewindow*

DescribeMaintenanceWindowTasks Concede permisos para ver una lista de las tareas asociadas a un período de mantenimiento especificado List

maintenancewindow*

DescribeMaintenanceWindows Concede permisos para ver información sobre todos los períodos de mantenimiento o sobre los especificados List
DescribeMaintenanceWindowsForTarget Concede permisos para ver la información sobre los destinos del período de mantenimiento y las tareas asociadas a una instancia especificada List
DescribeOpsItems Concede permisos para ver los detalles sobre OpsItems especificados Lectura
DescribeParameters Concede permisos para ver los detalles sobre un parámetro SSM especificado List
DescribePatchBaselines Concede permisos para ver la información sobre las bases de referencia de parches que cumplen los criterios especificados List
DescribePatchGroupState Concede permisos para ver los detalles de estado añadidos de parches para un grupo de parches especificado Lectura
DescribePatchGroups Concede permisos para ver la información sobre la base de referencia de parches para un grupo de parches especificado List
DescribePatchProperties Concede permisos para ver los detalles de las revisiones disponibles para un sistema operativo y una propiedad de parche especificados List
DescribeSessions Concede permisos para ver una lista de sesiones recientes del Administrador de sesiones que cumplen los criterios de búsqueda especificados List
GetAutomationExecution Concede permisos para ver los detalles de una ejecución de Automation especificada Lectura
GetCommandInvocation Concede permisos para ver los detalles sobre la ejecución del comando de una invocación o complemento especificados Lectura
GetConnectionStatus Concede permisos para ver el estado de conexión del Administrador de sesiones para una instancia administrada especificada Lectura
GetDefaultPatchBaseline Concede permisos para ver la base de referencia de parches predeterminada actual para un tipo de sistema operativo especificado Lectura

patchbaseline*

GetDeployablePatchSnapshotForInstance Concede permisos para recuperar la instantánea de base de referencia de parches actual para una instancia especificada Lectura
GetDocument Concede permisos para ver el contenido de un documento SSM especificado Lectura

document*

GetInventory Concede permisos para ver los detalles del inventario de instancias según los criterios especificados Lectura
GetInventorySchema Concede permisos para ver una lista de tipos de inventario o nombres de atributos para un tipo de producto del inventario especificado Lectura
GetMaintenanceWindow Concede permisos para ver los detalles sobre un período de mantenimiento especificado Lectura

maintenancewindow*

GetMaintenanceWindowExecution Concede permisos para ver detalles sobre la ejecución de un período de mantenimiento especificado Lectura
GetMaintenanceWindowExecutionTask Concede permisos para ver los detalles sobre una tarea de ejecución de un período de mantenimiento especificada Lectura
GetMaintenanceWindowExecutionTaskInvocation Concede permisos para ver los detalles sobre una tarea de un período de mantenimiento específica que se ejecuta en un destino específico Lectura
GetMaintenanceWindowTask Concede permisos para ver los detalles sobre las tareas registradas con un período de mantenimiento especificado Lectura

maintenancewindow*

GetManifest Utilizado por Systems Manager y SSM Agent para determinar los requisitos de instalación de paquetes para una instancia (llamada interna de Systems Manager) Lectura
GetOpsItem Concede permisos para ver la información sobre un OpsItem especificado Lectura
GetOpsSummary Concede permisos para ver la información de resumen sobre OpsItems en función de filtros y agregadores especificados Lectura

resourcedatasync*

GetParameter Concede permisos para ver la información sobre un parámetro especificado Lectura

parameter*

GetParameterHistory Concede permisos para ver los detalles y cambios de un parámetro especificado Lectura

parameter*

GetParameters Concede permisos para ver la información sobre varios parámetros especificados Lectura

parameter*

GetParametersByPath Concede permisos para ver la información sobre los parámetros de una jerarquía especificada Lectura

parameter*

GetPatchBaseline Concede permisos para ver la información sobre una base de referencia de parches especificada Lectura

patchbaseline*

GetPatchBaselineForPatchGroup Concede permisos para ver el ID de la base de referencia de parches actual para un grupo de parches especificado Lectura

patchbaseline*

GetServiceSetting Concede permisos para ver la configuración en el nivel de cuenta de un servicio de AWS Lectura

servicesetting*

LabelParameterVersion Concede permisos para aplicar una etiqueta de identificación a una versión especificada de un parámetro Escritura

parameter*

ListAssociationVersions Concede permisos para enumerar versiones de la asociación especificada List
ListAssociations Concede permisos para enumerar las asociaciones de un documento SSM específico o una instancia administrada List
ListCommandInvocations Concede permisos para enumerar información sobre las invocaciones de comandos enviadas a una instancia especificada Lectura
ListCommands Concede permisos para enumerar los comandos enviados a una instancia especificada Lectura
ListComplianceItems Concede permisos para enumerar el estado de cumplimiento de los tipos de recursos especificados en un recurso especificado List
ListComplianceSummaries Concede permisos para enumerar un recuento de resumen de recursos compatibles y no compatibles con un tipo de cumplimiento especificado List
ListDocumentVersions Concede permisos para enumerar todas las versiones de un documento especificado List

document*

ListDocuments Concede permisos para ver la información sobre un documento SSM especificado List
ListInstanceAssociations Lo utiliza SSM Agent para comprobar si hay nuevas asociaciones de State Manager (llamada interna de Systems Manager). List
ListInventoryEntries Concede permisos para ver una lista de tipos de inventario especificados para una instancia especificada List
ListResourceComplianceSummaries Concede permisos para enumerar el recuento de resumen de nivel de recursos List
ListResourceDataSync Concede permisos para enumerar la información sobre las configuraciones de sincronización de datos de recursos en una cuenta List

ssm:SyncType

ListTagsForResource Concede permisos para ver una lista de etiquetas de recurso para un recurso especificado Lectura

document

maintenancewindow

managed-instance

parameter

patchbaseline

ModifyDocumentPermission Concede permisos para compartir un documento SSM personalizado de forma pública o privada con cuentas de AWS especificadas Escritura

document*

PutComplianceItems Concede permisos para registrar un tipo de conformidad y otros detalles de conformidad en un recurso especificado Escritura
PutConfigurePackageResult Utilizado por SSM Agent para generar un informe de los resultados de solicitudes específicas del agente (llamada interna de Systems Manager) Lectura
PutInventory Concede permisos para añadir o actualizar productos del inventario en varias instancias administradas especificadas Escritura
PutParameter Concede permisos para crear un parámetro SSM Escritura

parameter*

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterDefaultPatchBaseline Concede permisos para especificar la base de referencia de parches predeterminada para un tipo de sistema operativo Escritura

patchbaseline*

RegisterPatchBaselineForPatchGroup Concede permisos para especificar la base de referencia de parches predeterminada para un grupo de parches especificado Escritura

patchbaseline*

RegisterTargetWithMaintenanceWindow Concede permisos para registrar un destino con un período de mantenimiento especificado Escritura

maintenancewindow*

RegisterTaskWithMaintenanceWindow Concede permisos para registrar una tarea con un período de mantenimiento especificado Escritura

maintenancewindow*

RemoveTagsFromResource Concede permisos para quitar una clave de etiqueta especificada de un recurso especificado Etiquetado

document

maintenancewindow

managed-instance

parameter

patchbaseline

ResetServiceSetting Concede permisos para restablecer la configuración del servicio de una cuenta de AWS al valor predeterminado Escritura

servicesetting*

ResumeSession Concede permisos para volver a conectar una sesión del Administrador de sesiones a una instancia administrada Escritura

session*

SendAutomationSignal Concede permisos para enviar una señal para cambiar el comportamiento o el estado actual de una ejecución de Automation especificada. Escritura
SendCommand Concede permisos para ejecutar comandos en una o más instancias administradas especificadas Escritura

document*

instance

managed-instance

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

StartAssociationsOnce Concede permisos para ejecutar manualmente una asociación especificada Escritura
StartAutomationExecution Concede permisos para iniciar la ejecución de un documento de Automation Escritura

document*

StartSession Concede permisos para iniciar una conexión a un destino especificado para una sesión del Administrador de sesiones Escritura

instance*

document

ssm:SessionDocumentAccessCheck

StopAutomationExecution Concede permisos para detener una ejecución de automatización especificada que ya está en curso Escritura
TerminateSession Concede permisos para finalizar permanentemente una conexión del Administrador de sesiones a una instancia. Escritura

session*

UpdateAssociation Concede permisos para actualizar una asociación y ejecutarla inmediatamente en los destinos especificados Escritura
UpdateAssociationStatus Concede permisos para actualizar el estado del documento SSM asociado a una instancia especificada Escritura

document

UpdateDocument Concede permisos para actualizar uno o más valores para un documento SSM Escritura

document*

UpdateDocumentDefaultVersion Concede permisos para cambiar la versión predeterminada de un documento SSM Escritura

document*

UpdateInstanceAssociationStatus Utilizado por SSM Agent para actualizar el estado de la asociación que se está ejecutando actualmente (llamada interna de Systems Manager) Escritura
UpdateInstanceInformation Utilizado por SSM Agent para enviar una señal de latido al servicio Systems Manager en la nube Escritura
UpdateMaintenanceWindow Concede permisos para actualizar un período de mantenimiento especificado Escritura

maintenancewindow*

UpdateMaintenanceWindowTarget Concede permisos para actualizar un destino de período de mantenimiento especificado Escritura

maintenancewindow*

UpdateMaintenanceWindowTask Concede permisos para actualizar una tarea de período de mantenimiento especificada Escritura

maintenancewindow*

UpdateManagedInstanceRole Concede permisos para asignar o cambiar el rol de IAM asignado a una instancia administrada especificada Escritura

managed-instance*

UpdateOpsItem Concede permisos para editar o cambiar un OpsItem Escritura
UpdatePatchBaseline Concede permisos para actualizar una base de referencia de parches especificada Escritura

patchbaseline*

UpdateResourceDataSync Concede permiso para actualizar una definición de datos de recursos Escritura

resourcedatasync*

ssm:SyncType

UpdateServiceSetting Concede permisos para actualizar la configuración del servicio para una cuenta de AWS Escritura

servicesetting*

Tipos de recurso definidos por AWS Systems Manager

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Actions identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
association arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
automation-execution arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
automation-definition arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName:VersionId}
document arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

instance arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

maintenancewindow arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${ManagedInstanceName}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance-inventory arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
opsitem arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
parameter arn:${Partition}:ssm:${Region}:${Account}:parameter/${FullyQualifiedParameterName}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

patchbaseline arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

session arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
resourcedatasync arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
servicesetting arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
windowtarget arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
windowtask arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}

Claves de condición de AWS Systems Manager

AWS Systems Manager define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra solicitudes de “Crear” en función del conjunto de valores permitidos para las etiquetas especificadas Cadena
aws:ResourceTag/${TagKey} Filtra el acceso basado en un par clave-valor de etiquetas asignado al recurso de AWS Cadena
aws:TagKeys Filtra las solicitudes 'Crear' en función de si las etiquetas obligatorias están incluidas en la solicitud Cadena
ssm:Overwrite Filtra el acceso controlando si se pueden sobrescribir los valores de los recursos especificados. Cadena
ssm:Recursive Filtra el acceso de los recursos creados en una estructura jerárquica. Cadena
ssm:SessionDocumentAccessCheck Filtra el acceso verificando que un usuario también tenga acceso al documento de configuración predeterminado de Session Manager. Booleano
ssm:SyncType Filtra el acceso verificando que un usuario también tiene acceso al SyncType ResourceDataSync especificado en la solicitud Cadena
ssm:resourceTag/tag-key Filtra el acceso basado en un par clave-valor de etiquetas asignado al recurso de Systems Manager Cadena