Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para AWS Systems Manager
AWS Systems Manager (prefijo de servicio:ssm) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en IAM las políticas de permisos.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las APIoperaciones disponibles para este servicio.
-
Aprenda a proteger este servicio y sus recursos mediante políticas de IAM permisos.
Temas
Acciones definidas por AWS Systems Manager
Puede especificar las siguientes acciones en el Action elemento de una declaración de IAM política. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, normalmente se permite o deniega el acceso a la API operación o CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AddTagsToResource | Otorga permiso para añadir o sobrescribir una o más etiquetas para un recurso específico AWS | Etiquetado | |||
| AssociateOpsItemRelatedItem | Otorga permiso para asociarse RelatedItem a un OpsItem | Escritura | |||
| CancelCommand | Concede permiso para cancelar un comando «Ejecutar comando» especificado | Write | |||
| CancelMaintenanceWindowExecution | Concede permiso para cancelar la ejecución de un periodo de mantenimiento en curso | Escritura | |||
| CreateActivation | Otorga permiso para crear una activación que se utiliza para registrar servidores y máquinas virtuales locales (VMs) con Systems Manager | Escritura | |||
| CreateAssociation | Concede permiso para asociar un documento de Systems Manager especificado con instancias u otros destinos especificados | Escritura | |||
| CreateAssociationBatch | Otorga permiso para combinar entradas para varias CreateAssociation operaciones en un solo comando | Escritura | |||
| CreateDocument | Concede permiso para crear un SSM documento de Systems Manager | Escritura |
iam:PassRole |
||
| CreateMaintenanceWindow | Concede permiso para crear un periodo de mantenimiento | Escritura | |||
| CreateOpsItem | Otorga permiso para crear una OpsItem entrada OpsCenter | Escritura | |||
| CreateOpsMetadata | Otorga permiso para crear un OpsMetadata objeto para un AWS recurso | Escritura | |||
| CreatePatchBaseline | Concede permiso para crear una base de referencia de parches | Write | |||
| CreateResourceDataSync | Concede permiso para crear una configuración de sincronización de datos de recursos, que recopila regularmente datos de inventario de instancias administradas y actualiza los datos en un bucket de Amazon S3 | Write | |||
| DeleteActivation | Concede permiso para eliminar una activación especificada para instancias administradas | Escritura | |||
| DeleteAssociation | Otorga permiso para desasociar un SSM documento específico de una instancia específica | Escritura | |||
| DeleteDocument | Otorga permiso para eliminar un SSM documento especificado y sus asociaciones de instancias | Escritura | |||
| DeleteInventory | Concede permiso para eliminar un tipo de inventario personalizado especificado, o los datos asociados con un tipo de inventario personalizado. | Write | |||
| DeleteMaintenanceWindow | Concede permiso para eliminar un periodo de mantenimiento especificado | Escritura | |||
| DeleteOpsItem | Otorga permiso para eliminar un OpsItem | Escritura | |||
| DeleteOpsMetadata | Otorga permiso para eliminar un OpsMetadata objeto | Escritura | |||
| DeleteParameter | Otorga permiso para eliminar un SSM parámetro especificado | Escritura | |||
| DeleteParameters | Otorga permiso para eliminar varios SSM parámetros especificados | Escritura | |||
| DeletePatchBaseline | Concede permiso para eliminar una base de referencia de parches especificada | Write | |||
| DeleteResourceDataSync | Concede permiso para eliminar una sincronización de datos de recursos especificada | Escritura | |||
| DeleteResourcePolicy | Concede permiso para eliminar una política de recursos de Systems Manager | Administración de permisos | |||
| DeregisterManagedInstance | Concede permiso para anular el registro de un servidor local o de una máquina virtual (VM) especificados de Systems Manager | Write | |||
| DeregisterPatchBaselineForPatchGroup | Concede permiso para anular el registro de una base de referencia de parches especificada para que no sea la base de referencia de parches predeterminada para un grupo de parches especificado | Write | |||
| DeregisterTargetFromMaintenanceWindow | Concede permiso para anular el registro de un destino especificado de un periodo de mantenimiento | Write | |||
| DeregisterTaskFromMaintenanceWindow | Concede permiso para anular el registro de una tarea especificada desde un periodo de mantenimiento | Write | |||
| DescribeActivations | Concede permiso para ver detalles sobre una activación de instancia administrada especificada, como cuándo se creó y la cantidad de instancias registradas mediante la activación | Read | |||
| DescribeAssociation | Concede permiso para ver los detalles sobre la asociación especificada para una instancia o destino especificados | Read | |||
| DescribeAssociationExecutionTargets | Concede permiso para ver información sobre una ejecución de una asociación especificada | Read | |||
| DescribeAssociationExecutions | Concede permiso para ver todas las ejecuciones de una asociación especificada | Read | |||
| DescribeAutomationExecutions | Concede permiso para ver los detalles de todas las ejecuciones de Automation activas y terminadas | Read | |||
| DescribeAutomationStepExecutions | Concede permiso para ver información acerca de todas las ejecuciones de pasos activas y terminadas en un flujo de trabajo de Automation | Read | |||
| DescribeAvailablePatches | Concede permiso para ver todos los parches aptos para ser incluidos en una base de referencia de parches | Lectura | |||
| DescribeDocument | Otorga permiso para ver los detalles de un SSM documento específico | Lectura | |||
| DescribeDocumentParameters | Otorga permiso para mostrar información sobre los parámetros del SSM documento en la consola de Systems Manager (acción interna de Systems Manager) | Lectura | |||
| DescribeDocumentPermission | Otorga permiso para ver los permisos de un SSM documento específico | Lectura | |||
| DescribeEffectiveInstanceAssociations | Concede permiso para ver todas las asociaciones actuales de una instancia especificada | Read | |||
| DescribeEffectivePatchesForPatchBaseline | Concede permiso para ver detalles sobre los parches asociados actualmente con la base de referencia de parches especificada (solo Windows) | Read | |||
| DescribeInstanceAssociationsStatus | Concede permiso para ver el estado de las asociaciones de una instancia especificada | Read | |||
| DescribeInstanceInformation | Concede permiso para ver los detalles de una instancia especificada | Read | |||
| DescribeInstancePatchStates | Concede permiso para ver lo detalles de estado sobre los parches de una instancia especificada | Read | |||
| DescribeInstancePatchStatesForPatchGroup | Concede permiso para describir el estado de los parches en general para las instancias del grupo de parches especificado | Read | |||
| DescribeInstancePatches | Concede permiso para ver detalles generales sobre los parches en una instancia especificada | Lectura | |||
| DescribeInstanceProperties | Concede permiso a la EC2 consola Amazon del usuario para renderizar los nodos de las instancias gestionadas | Lectura | |||
| DescribeInventoryDeletions | Concede permiso para ver detalles sobre una eliminación de inventario especificada | Read | |||
| DescribeMaintenanceWindowExecutionTaskInvocations | Concede permiso para ver detalles de la ejecución de una tarea especificada para un periodo de mantenimiento | List | |||
| DescribeMaintenanceWindowExecutionTasks | Concede permiso para ver detalles sobre las tareas que se ejecutaron durante la ejecución de un periodo de mantenimiento especificado | List | |||
| DescribeMaintenanceWindowExecutions | Concede permiso para ver las ejecuciones de un periodo de mantenimiento especificado | List | |||
| DescribeMaintenanceWindowSchedule | Concede permiso para ver detalles sobre las próximas ejecuciones de un periodo de mantenimiento especificado | List | |||
| DescribeMaintenanceWindowTargets | Concede permiso para ver una lista de los destinos asociados a un periodo de mantenimiento especificado | List | |||
| DescribeMaintenanceWindowTasks | Concede permiso para ver una lista de las tareas asociadas a un periodo de mantenimiento especificado | List | |||
| DescribeMaintenanceWindows | Concede permiso para ver información sobre todos los periodos de mantenimiento o sobre los especificados | List | |||
| DescribeMaintenanceWindowsForTarget | Concede permiso para ver la información sobre los destinos del periodo de mantenimiento y las tareas asociadas a una instancia especificada | Enumeración | |||
| DescribeOpsItems | Otorga permiso para ver los detalles de las especificadas OpsItems | Lectura | |||
| DescribeParameters | Otorga permiso para ver los detalles de un SSM parámetro especificado | Enumeración | |||
| DescribePatchBaselines | Concede permiso para ver la información sobre las bases de referencia de parches que cumplen los criterios especificados | List | |||
| DescribePatchGroupState | Concede permiso para ver los detalles de estado agregados de parches para un grupo de parches especificado | Enumeración | |||
| DescribePatchGroups | Concede permiso para ver la información sobre la base de referencia de parches para un grupo de parches especificado | List | |||
| DescribePatchProperties | Concede permiso para ver los detalles de las revisiones disponibles para un sistema operativo y una propiedad de parche especificados | List | |||
| DescribeSessions | Concede permiso para ver una lista de sesiones recientes del Administrador de sesiones que cumplen los criterios de búsqueda especificados | Enumeración | |||
| DisassociateOpsItemRelatedItem | Otorga permiso para desasociarse RelatedItem de un OpsItem | Escritura | |||
| ExecuteAPI | Otorga permiso a un administrador delegado de Systems Manager para ver los detalles OpsItems de los recursos relacionados en varias AWS cuentas del AWS Management Console | Lectura | |||
| GetAutomationExecution | Concede permiso para ver los detalles de una ejecución de Automation especificada | Lectura | |||
| GetCalendar [solo permiso] | Concede permiso para ver detalles de un calendario específico | Lectura | |||
| GetCalendarState | Concede permiso para ver el estado de un calendario de cambios o una lista de calendarios de cambios. | Read | |||
| GetCommandInvocation | Concede permiso para ver los detalles sobre la ejecución del comando de una invocación o complemento especificados | Read | |||
| GetConnectionStatus | Concede permiso para ver el estado de conexión del Administrador de sesiones para una instancia administrada especificada | Read | |||
| GetDefaultPatchBaseline | Concede permiso para ver la base de referencia de parches predeterminada actual para un tipo de sistema operativo especificado | Read | |||
| GetDeployablePatchSnapshotForInstance | Concede permiso para recuperar la instantánea de base de referencia de parches actual para una instancia especificada | Lectura | |||
| GetDocument | Otorga permiso para ver el contenido de un documento específico SSM | Lectura | |||
| GetExecutionPreview | Otorga permiso para recuperar una vista previa existente que muestra los efectos que la ejecución de un manual de automatización específico tendría en los recursos de destino | Lectura | |||
| GetInventory | Concede permiso para ver los detalles del inventario de instancias según los criterios especificados | Read | |||
| GetInventorySchema | Concede permiso para ver una lista de tipos de inventario o nombres de atributos para un tipo de producto del inventario especificado | Read | |||
| GetMaintenanceWindow | Concede permiso para ver los detalles sobre un periodo de mantenimiento especificado | Read | |||
| GetMaintenanceWindowExecution | Concede permiso para ver detalles sobre la ejecución de un periodo de mantenimiento especificado | Read | |||
| GetMaintenanceWindowExecutionTask | Concede permiso para ver los detalles sobre una tarea de ejecución de un periodo de mantenimiento especificada | Read | |||
| GetMaintenanceWindowExecutionTaskInvocation | Concede permiso para ver los detalles sobre una tarea de un periodo de mantenimiento específica que se ejecuta en un destino específico | Read | |||
| GetMaintenanceWindowTask | Concede permiso para ver los detalles sobre las tareas registradas con un periodo de mantenimiento especificado | Lectura | |||
| GetManifest [solo permiso] | Otorga permiso al administrador de sistemas y al SSM agente para determinar los requisitos de instalación del paquete para una instancia (llamada interna del administrador de sistemas) | Lectura | |||
| GetOpsItem | Otorga permiso para ver información sobre una determinada OpsItem | Lectura | |||
| GetOpsMetadata | Otorga permiso para recuperar un OpsMetadata objeto | Lectura | |||
| GetOpsSummary | Otorga permiso para ver información resumida sobre la OpsItems base de filtros y agregadores específicos | Lectura | |||
| GetParameter | Concede permiso para ver la información sobre un parámetro especificado | Read | |||
| GetParameterHistory | Concede permiso para ver los detalles y cambios de un parámetro especificado | Read | |||
| GetParameters | Concede permiso para ver la información sobre varios parámetros especificados | Read | |||
| GetParametersByPath | Concede permiso para ver la información sobre los parámetros de una jerarquía especificada | Read | |||
| GetPatchBaseline | Concede permiso para ver la información sobre una base de referencia de parches especificada | Read | |||
| GetPatchBaselineForPatchGroup | Concede permiso para ver el ID de la base de referencia de parches actual para un grupo de parches especificado | Lectura | |||
| GetResourcePolicies | Concede permiso para recuperar las listas de las políticas de recursos de Systems Manager | Enumeración | |||
| GetServiceSetting | Otorga permiso para ver la configuración a nivel de cuenta de un servicio AWS | Lectura | |||
| LabelParameterVersion | Concede permiso para aplicar una etiqueta de identificación a una versión especificada de un parámetro | Write | |||
| ListAssociationVersions | Concede permiso para enumerar versiones de la asociación especificada | Enumeración | |||
| ListAssociations | Otorga permiso para enumerar las asociaciones de un SSM documento específico o una instancia gestionada | Enumeración | |||
| ListCommandInvocations | Concede permiso para enumerar información sobre las invocaciones de comandos enviadas a una instancia especificada | Enumeración | |||
| ListCommands | Concede permiso para enumerar los comandos enviados a una instancia especificada | Enumeración | |||
| ListComplianceItems | Concede permiso para enumerar el estado de cumplimiento de los tipos de recursos especificados en un recurso especificado | List | |||
| ListComplianceSummaries | Concede permiso para enumerar un recuento de resumen de recursos compatibles y no compatibles con un tipo de cumplimiento especificado | Enumeración | |||
| ListDocumentMetadataHistory | Otorga permiso para ver el historial de metadatos de un SSM documento específico | Enumeración | |||
| ListDocumentVersions | Concede permiso para enumerar todas las versiones de un documento especificado | Enumeración | |||
| ListDocuments | Otorga permiso para ver información sobre un SSM documento específico | Enumeración | |||
| ListInstanceAssociations | Concede permiso al SSM agente para comprobar si hay nuevas asociaciones de gestores estatales (llamada interna de gestores de sistemas) | Enumeración | |||
| ListInventoryEntries | Concede permiso para ver una lista de tipos de inventario especificados para una instancia especificada | Enumeración | |||
| ListNodes | Otorga permiso para ver los detalles de los nodos gestionados en función de los filtros especificados | Enumeración | |||
| ListNodesSummary | Otorga permiso para ver información resumida sobre los nodos gestionados en función de los filtros y agregadores especificados | Enumeración | |||
| ListOpsItemEvents | Otorga permiso para ver detalles sobre OpsItemEvents | Enumeración | |||
| ListOpsItemRelatedItems | Otorga permiso para ver detalles sobre OpsItem RelatedItems | Enumeración | |||
| ListOpsMetadata | Otorga permiso para ver una lista de OpsMetadata objetos | Enumeración | |||
| ListResourceComplianceSummaries | Concede permiso para enumerar el recuento de resumen de nivel de recursos | List | |||
| ListResourceDataSync | Concede permiso para enumerar la información sobre las configuraciones de sincronización de datos de recursos en una cuenta | List | |||
| ListTagsForResource | Concede permiso para ver una lista de etiquetas de recurso para un recurso especificado | Enumeración | |||
| ModifyDocumentPermission | Otorga permiso para compartir un SSM documento personalizado de forma pública o privada con AWS cuentas específicas | Administración de permisos | |||
| PutCalendar [solo permiso] | Concede permiso para crear o editar un calendario específico | Escritura | |||
| PutComplianceItems | Concede permiso para registrar un tipo de conformidad y otros detalles de conformidad en un recurso especificado | Escritura | |||
| PutConfigurePackageResult [solo permiso] | Concede permiso al SSM agente para generar un informe con los resultados de solicitudes específicas del agente (llamada interna del Systems Manager) | Lectura | |||
| PutInventory | Concede permiso para agregar o actualizar productos del inventario en varias instancias administradas especificadas | Escritura | |||
| PutParameter | Otorga permiso para crear un SSM parámetro | Escritura | |||
| PutResourcePolicy | Concede permiso para crear o actualizar una política de recursos de Systems Manager | Administración de permisos | |||
| RegisterDefaultPatchBaseline | Concede permiso para especificar la base de referencia de parches predeterminada para un tipo de sistema operativo | Escritura | |||
| RegisterManagedInstance | Concede permiso para registrar un Systems Manager Agent. | Escritura | |||
| RegisterPatchBaselineForPatchGroup | Concede permiso para especificar la base de referencia de parches predeterminada para un grupo de parches especificado | Write | |||
| RegisterTargetWithMaintenanceWindow | Concede permiso para registrar un destino con un periodo de mantenimiento especificado | Write | |||
| RegisterTaskWithMaintenanceWindow | Concede permiso para registrar una tarea con un periodo de mantenimiento especificado | Write | |||
| RemoveTagsFromResource | Concede permiso para quitar una clave de etiqueta especificada de un recurso especificado | Etiquetado | |||
| ResetServiceSetting | Otorga permiso para restablecer la configuración del servicio de an Cuenta de AWS al valor predeterminado | Escritura | |||
| ResumeSession | Concede permiso para volver a conectar una sesión del Administrador de sesiones a una instancia administrada | Write | |||
| SendAutomationSignal | Concede permiso para enviar una señal para cambiar el comportamiento o el estado actual de una ejecución de Automation especificada. | Write | |||
| SendCommand | Concede permiso para ejecutar comandos en una o más instancias administradas especificadas | Write | |||
| StartAssociationsOnce | Concede permiso para ejecutar manualmente una asociación especificada | Write | |||
| StartAutomationExecution | Concede permiso para iniciar la ejecución de un documento de Automation | Write | |||
| StartChangeRequestExecution | Concede permiso para iniciar la ejecución de un documento de plantilla de cambio de automatización. | Escritura | |||
| StartExecutionPreview | Otorga permiso para crear una vista previa que muestre los efectos que la ejecución de un manual de automatización específico tendría en los recursos de destino | Lectura | |||
| StartSession | Concede permiso para iniciar una conexión a un destino especificado para una sesión del Administrador de sesiones | Write | |||
| StopAutomationExecution | Concede permiso para detener una ejecución de automatización especificada que ya está en curso | Write | |||
| TerminateSession | Concede permiso para finalizar permanentemente una conexión del Administrador de sesiones a una instancia. | Escritura | |||
| UnlabelParameterVersion | Concede permiso para eliminar una etiqueta de identificación de una versión especificada de un parámetro | Escritura | |||
| UpdateAssociation | Concede permiso para actualizar una asociación y ejecutarla inmediatamente en los destinos especificados | Escritura | |||
| UpdateAssociationStatus | Otorga permiso para actualizar el estado del SSM documento asociado a una instancia específica | Escritura | |||
| UpdateDocument | Otorga permiso para actualizar uno o más valores de un SSM documento | Escritura | |||
| UpdateDocumentDefaultVersion | Otorga permiso para cambiar la versión predeterminada de un SSM documento | Escritura | |||
| UpdateDocumentMetadata | Otorga permiso para actualizar los metadatos de un SSM documento | Escritura | |||
| UpdateInstanceAssociationStatus [solo permiso] | Otorga permiso al SSM agente para actualizar el estado de la asociación que está ejecutando actualmente (llamada interna del Systems Manager) | Escritura | |||
| UpdateInstanceInformation | Concede permiso al SSM agente para enviar una señal de latido al servicio Systems Manager en la nube | Escritura | |||
| UpdateMaintenanceWindow | Concede permiso para actualizar un periodo de mantenimiento especificado | Write | |||
| UpdateMaintenanceWindowTarget | Concede permiso para actualizar un destino de periodo de mantenimiento especificado | Write | |||
| UpdateMaintenanceWindowTask | Concede permiso para actualizar una tarea de periodo de mantenimiento especificada | Escritura | |||
| UpdateManagedInstanceRole | Otorga permiso para asignar o cambiar el IAM rol asignado a una instancia administrada específica | Escritura | |||
| UpdateOpsItem | Otorga permiso para editar o cambiar un OpsItem | Escritura | |||
| UpdateOpsMetadata | Otorga permiso para actualizar un OpsMetadata objeto | Escritura | |||
| UpdatePatchBaseline | Concede permiso para actualizar una base de referencia de parches especificada | Write | |||
| UpdateResourceDataSync | Concede permiso para actualizar una definición de datos de recursos | Escritura | |||
| UpdateServiceSetting | Otorga permiso para actualizar la configuración del servicio de un Cuenta de AWS | Escritura |
Tipos de recursos definidos por AWS Systems Manager
Este servicio define los siguientes tipos de recursos y se pueden utilizar como Resource elemento de las declaraciones de política de IAM permisos. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
nota
Algunos API parámetros de State Manager han quedado obsoletos. Esto podría generar un comportamiento inesperado. Para obtener más información, consulte Trabajar con asociaciones que utilizan IAM.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
| automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
| automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
| iam-role |
arn:${Partition}:iam::${Account}:role/${RoleName}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
| maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
| managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
| managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
| opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
| opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
| opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
| parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
| patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
| session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
| resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
| servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
| windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
| windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
Claves de condición para AWS Systems Manager
AWS Systems Manager define las siguientes claves de condición que se pueden usar en el Condition elemento de una IAM política. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso a las solicitudes de “Crear” en función del conjunto de valores permitidos para las etiquetas especificadas. | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso en función de un par clave-valor de etiqueta asignado al recurso AWS | Cadena |
| aws:TagKeys | Filtra el acceso a las solicitudes 'Crear' en función de si las etiquetas obligatorias están incluidas en la solicitud. | ArrayOfString |
| ec2:SourceInstanceARN | Filtra el acceso según ARN la instancia desde la que se originó la solicitud | ARN |
| ssm:AutoApprove | Filtra el acceso al verificar que un usuario tenga permiso para iniciar flujos de trabajo de Change Manager sin un paso de revisión (excepto los eventos de congelación de cambios) | Bool |
| ssm:DocumentCategories | Filtra el acceso verificando que un usuario tenga permiso para acceder a un documento perteneciente a una categoría específica | ArrayOfString |
| ssm:Overwrite | Filtra el acceso al controlar si se pueden sobrescribir los parámetros de Systems Manager | Cadena |
| ssm:Policies | Filtra el acceso controlando si una IAM entidad (usuario o rol) puede crear o actualizar un parámetro que incluya una política de parámetros | Cadena |
| ssm:Recursive | Filtra el acceso mediante los parámetros de Systems Manager creados en una estructura jerárquica | Cadena |
| ssm:SourceInstanceARN | Filtra el acceso verificando el nombre del recurso de Amazon (ARN) de la instancia gestionada por el administrador de AWS sistemas desde la que se realiza la solicitud. Esta clave no está presente cuando la solicitud proviene de la instancia gestionada autenticada con un IAM rol asociado al perfil de la instancia EC2 | ARN |
| ssm:SyncType | Filtra el acceso verificando que un usuario también tenga acceso a lo ResourceDataSync SyncType especificado en la solicitud | Cadena |
| ssm:resourceTag/${TagKey} | Filtra el acceso mediante un par clave-valor de etiquetas asignado al recurso de Systems Manager. | Cadena |
| ssm:resourceTag/aws:ssmmessages:session-id | Filtra el acceso según un par clave-valor de etiqueta asignado al recurso de sesión de Systems Manager | Cadena |
| ssm:resourceTag/aws:ssmmessages:target-id | Filtra el acceso según un par clave-valor de etiqueta asignado al recurso de sesión de Systems Manager | Cadena |
| ssm:resourceTag/tag-key | Filtra el acceso mediante un par clave-valor de etiquetas asignado al recurso de Systems Manager. | Cadena |
