Acciones, recursos y claves de condición para AWS Systems Manager - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS Systems Manager

AWS Systems Manager (prefijo de servicio: ssm) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Systems Manager

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AddTagsToResource Concede permiso para agregar o sobrescribir una o varias etiquetas para un recurso de AWS especificado. Etiquetado

automation-execution

document

instance

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

task

aws:RequestTag/${TagKey}

aws:TagKeys

AssociateOpsItemRelatedItem Concede permiso para asociar RelatedItem a un OpsItem Write

opsitem*

CancelCommand Concede permisos para cancelar un comando «Ejecutar comando» especificado Write
CancelMaintenanceWindowExecution Concede permisos para cancelar la ejecución de un periodo de mantenimiento en curso Write

maintenancewindow*

CreateActivation Concede permisos para crear una activación que se utiliza para registrar servidores locales y máquinas virtuales (VM) con Systems Manager Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAssociation Concede permisos para asociar un documento de Systems Manager especificado con instancias u otros destinos especificados Write

document*

instance

managed-instance

CreateAssociationBatch Concede permisos para combinar entradas para varias operaciones de CreateAssociation en un solo comando Write

document*

instance

managed-instance

CreateDocument Concede permisos para crear un documento SSM de Systems Manager Write

document*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMaintenanceWindow Concede permisos para crear un periodo de mantenimiento Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsItem Concede permisos para crear un OpsItem en el OpsCenter Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsMetadata Concede permiso para crear un objeto OpsMetadata para un recurso de AWS. Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePatchBaseline Concede permisos para crear una base de referencia de parches Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResourceDataSync Concede permisos para crear una configuración de sincronización de datos de recursos, que recopila regularmente datos de inventario de instancias administradas y actualiza los datos en un bucket de Amazon S3 Write

resourcedatasync*

ssm:SyncType

DeleteActivation Concede permisos para eliminar una activación especificada para instancias administradas Write
DeleteAssociation Concede permisos para desvincular un documento SSM especificado de una instancia especificada Write

association

document

instance

managed-instance

DeleteDocument Concede permisos para eliminar un documento SSM especificado y sus asociaciones de instancia Write

document*

DeleteInventory Concede permisos para eliminar un tipo de inventario personalizado especificado, o los datos asociados con un tipo de inventario personalizado. Write
DeleteMaintenanceWindow Concede permisos para eliminar un periodo de mantenimiento especificado Write

maintenancewindow*

DeleteOpsMetadata Concede el permiso para eliminar un objeto OpsMetadata. Write

opsmetadata*

DeleteParameter Concede permisos para eliminar un parámetro SSM especificado Write

parameter*

DeleteParameters Concede permisos para eliminar varios parámetros SSM especificados Write

parameter*

DeletePatchBaseline Concede permisos para eliminar una base de referencia de parches especificada Write

patchbaseline*

DeleteResourceDataSync Concede permisos para eliminar una sincronización de datos de recursos especificada Write

resourcedatasync*

ssm:SyncType

DeregisterManagedInstance Concede permisos para anular el registro de un servidor local o de una máquina virtual (VM) especificados de Systems Manager Write

managed-instance*

ssm:resourceTag/tag-key

DeregisterPatchBaselineForPatchGroup Concede permisos para anular el registro de una base de referencia de parches especificada para que no sea la base de referencia de parches predeterminada para un grupo de parches especificado Write

patchbaseline*

DeregisterTargetFromMaintenanceWindow Concede permisos para anular el registro de un destino especificado de un periodo de mantenimiento Write

maintenancewindow*

DeregisterTaskFromMaintenanceWindow Concede permisos para anular el registro de una tarea especificada desde un periodo de mantenimiento Write

maintenancewindow*

DescribeActivations Concede permisos para ver detalles sobre una activación de instancia administrada especificada, como cuándo se creó y la cantidad de instancias registradas mediante la activación Read
DescribeAssociation Concede permisos para ver los detalles sobre la asociación especificada para una instancia o destino especificados Read

association

document

instance

managed-instance

DescribeAssociationExecutionTargets Concede permisos para ver información sobre una ejecución de una asociación especificada Read

association*

DescribeAssociationExecutions Concede permisos para ver todas las ejecuciones de una asociación especificada Read

association*

DescribeAutomationExecutions Concede permisos para ver los detalles de todas las ejecuciones de Automation activas y terminadas Read
DescribeAutomationStepExecutions Concede permisos para ver información acerca de todas las ejecuciones de pasos activas y terminadas en un flujo de trabajo de Automation Read

automation-execution*

DescribeAvailablePatches Concede permisos para ver todos los parches aptos para ser incluidos en una base de referencia de parches Read
DescribeDocument Concede permisos para ver los detalles sobre un documento SSM especificado Read

document*

DescribeDocumentParameters Concede permisos para mostrar información sobre los parámetros del documento SSM en la consola de Systems Manager (acción interna de Systems Manager) Read

document*

DescribeDocumentPermission Concede permisos para ver los permisos de un documento SSM especificado Read

document*

DescribeEffectiveInstanceAssociations Concede permisos para ver todas las asociaciones actuales de una instancia especificada Read

instance*

managed-instance*

DescribeEffectivePatchesForPatchBaseline Concede permisos para ver detalles sobre los parches asociados actualmente con la base de referencia de parches especificada (solo Windows) Read

patchbaseline*

DescribeInstanceAssociationsStatus Concede permisos para ver el estado de las asociaciones de una instancia especificada Read

instance*

managed-instance*

DescribeInstanceInformation Concede permisos para ver los detalles de una instancia especificada Read
DescribeInstancePatchStates Concede permisos para ver lo detalles de estado sobre los parches de una instancia especificada Read
DescribeInstancePatchStatesForPatchGroup Concede permisos para describir el estado de los parches en general para las instancias del grupo de parches especificado Read
DescribeInstancePatches Concede permisos para ver detalles generales sobre los parches en una instancia especificada Read
DescribeInstanceProperties Concede permisos a la consola de Amazon EC2 del usuario para renderizar nodos de instancias administradas Read
DescribeInventoryDeletions Concede permisos para ver detalles sobre una eliminación de inventario especificada Read
DescribeMaintenanceWindowExecutionTaskInvocations Concede permisos para ver detalles de la ejecución de una tarea especificada para un periodo de mantenimiento List
DescribeMaintenanceWindowExecutionTasks Concede permisos para ver detalles sobre las tareas que se ejecutaron durante la ejecución de un periodo de mantenimiento especificado List

maintenancewindow*

DescribeMaintenanceWindowExecutions Concede permisos para ver las ejecuciones de un periodo de mantenimiento especificado List

maintenancewindow*

DescribeMaintenanceWindowSchedule Concede permisos para ver detalles sobre las próximas ejecuciones de un periodo de mantenimiento especificado List
DescribeMaintenanceWindowTargets Concede permisos para ver una lista de los destinos asociados a un periodo de mantenimiento especificado List

maintenancewindow*

DescribeMaintenanceWindowTasks Concede permisos para ver una lista de las tareas asociadas a un periodo de mantenimiento especificado List

maintenancewindow*

DescribeMaintenanceWindows Concede permisos para ver información sobre todos los periodos de mantenimiento o sobre los especificados List
DescribeMaintenanceWindowsForTarget Concede permisos para ver la información sobre los destinos del periodo de mantenimiento y las tareas asociadas a una instancia especificada List
DescribeOpsItems Concede permisos para ver los detalles sobre OpsItems especificados Read
DescribeParameters Concede permisos para ver los detalles sobre un parámetro SSM especificado List
DescribePatchBaselines Concede permisos para ver la información sobre las bases de referencia de parches que cumplen los criterios especificados List
DescribePatchGroupState Concede permisos para ver los detalles de estado agregados de parches para un grupo de parches especificado List
DescribePatchGroups Concede permisos para ver la información sobre la base de referencia de parches para un grupo de parches especificado List
DescribePatchProperties Concede permisos para ver los detalles de las revisiones disponibles para un sistema operativo y una propiedad de parche especificados List
DescribeSessions Concede permisos para ver una lista de sesiones recientes del Administrador de sesiones que cumplen los criterios de búsqueda especificados List
DisassociateOpsItemRelatedItem Concede permiso para desasociar RelatedItem de un OpsItem Write

opsitem*

GetAutomationExecution Concede permisos para ver los detalles de una ejecución de Automation especificada Lectura

automation-execution*

GetCalendar [solo permiso] Otorga permiso para ver detalles de un calendario específico Lectura

document*

GetCalendarState Concede permiso para ver el estado de un calendario de cambios o una lista de calendarios de cambios. Read

document*

GetCommandInvocation Concede permisos para ver los detalles sobre la ejecución del comando de una invocación o complemento especificados Read
GetConnectionStatus Concede permisos para ver el estado de conexión del Administrador de sesiones para una instancia administrada especificada Read

instance

managed-instance

task

ssm:resourceTag/${TagKey}

aws:ResourceTag/${TagKey}

GetDefaultPatchBaseline Concede permisos para ver la base de referencia de parches predeterminada actual para un tipo de sistema operativo especificado Read

patchbaseline*

GetDeployablePatchSnapshotForInstance Concede permisos para recuperar la instantánea de base de referencia de parches actual para una instancia especificada Read
GetDocument Concede permisos para ver el contenido de un documento SSM especificado Read

document*

ssm:DocumentCategories

GetInventory Concede permisos para ver los detalles del inventario de instancias según los criterios especificados Read
GetInventorySchema Concede permisos para ver una lista de tipos de inventario o nombres de atributos para un tipo de producto del inventario especificado Read
GetMaintenanceWindow Concede permisos para ver los detalles sobre un periodo de mantenimiento especificado Read

maintenancewindow*

GetMaintenanceWindowExecution Concede permisos para ver detalles sobre la ejecución de un periodo de mantenimiento especificado Read
GetMaintenanceWindowExecutionTask Concede permisos para ver los detalles sobre una tarea de ejecución de un periodo de mantenimiento especificada Read
GetMaintenanceWindowExecutionTaskInvocation Concede permisos para ver los detalles sobre una tarea de un periodo de mantenimiento específica que se ejecuta en un destino específico Read
GetMaintenanceWindowTask Concede permisos para ver los detalles sobre las tareas registradas con un periodo de mantenimiento especificado Lectura

maintenancewindow*

GetManifest [solo permiso] Concede permiso a Systems Manager y SSM Agent para determinar los requisitos de instalación de paquetes para una instancia (llamada interna de Systems Manager). Lectura
GetOpsItem Concede permisos para ver la información sobre un OpsItem especificado Read

opsitem*

GetOpsMetadata Concede el permiso para recuperar un objeto OpsMetadata. Read

opsmetadata*

GetOpsSummary Concede permisos para ver la información de resumen sobre OpsItems en función de filtros y agregadores especificados Read

resourcedatasync*

GetParameter Concede permisos para ver la información sobre un parámetro especificado Read

parameter*

GetParameterHistory Concede permisos para ver los detalles y cambios de un parámetro especificado Read

parameter*

GetParameters Concede permisos para ver la información sobre varios parámetros especificados Read

parameter*

GetParametersByPath Concede permisos para ver la información sobre los parámetros de una jerarquía especificada Read

parameter*

ssm:Recursive

GetPatchBaseline Concede permisos para ver la información sobre una base de referencia de parches especificada Read

patchbaseline*

GetPatchBaselineForPatchGroup Concede permisos para ver el ID de la base de referencia de parches actual para un grupo de parches especificado Read

patchbaseline*

GetServiceSetting Concede permiso para ver la configuración del nivel de cuenta de un servicio de AWS. Read

servicesetting*

LabelParameterVersion Concede permisos para aplicar una etiqueta de identificación a una versión especificada de un parámetro Write

parameter*

ListAssociationVersions Concede permisos para enumerar versiones de la asociación especificada List

association*

ListAssociations Concede permisos para enumerar las asociaciones de un documento SSM específico o una instancia administrada List
ListCommandInvocations Concede permisos para enumerar información sobre las invocaciones de comandos enviadas a una instancia especificada List
ListCommands Concede permisos para enumerar los comandos enviados a una instancia especificada List
ListComplianceItems Concede permisos para enumerar el estado de cumplimiento de los tipos de recursos especificados en un recurso especificado List
ListComplianceSummaries Concede permisos para enumerar un recuento de resumen de recursos compatibles y no compatibles con un tipo de cumplimiento especificado List
ListDocumentMetadataHistory Concede el permiso para ver el historial de metadatos sobre un documento SSM especificado. List

document*

ListDocumentVersions Concede permisos para enumerar todas las versiones de un documento especificado List

document*

ListDocuments Concede permisos para ver la información sobre un documento SSM especificado List
ListInstanceAssociations Concede permisos a SSM Agent para comprobar si hay nuevas asociaciones de State Manager (llamada interna de Systems Manager) List

instance

managed-instance

ListInventoryEntries Concede permisos para ver una lista de tipos de inventario especificados para una instancia especificada List
ListOpsItemEvents Concede el permiso para ver los detalles de una OpsItemEvents. List
ListOpsItemRelatedItems Concede el permiso para ver los detalles de OpsItem RelatedItems List
ListOpsMetadata Concede el permiso para mostrar una lista de objetos OpsMetadata. List
ListResourceComplianceSummaries Concede permisos para enumerar el recuento de resumen de nivel de recursos List
ListResourceDataSync Concede permisos para enumerar la información sobre las configuraciones de sincronización de datos de recursos en una cuenta List

ssm:SyncType

ListTagsForResource Concede permisos para ver una lista de etiquetas de recurso para un recurso especificado List

automation-execution

document

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

ModifyDocumentPermission Concede permiso para compartir un documento SSM personalizado de forma pública o privada con las cuentas de AWS especificadas. Permissions management

document*

PutCalendar [solo permiso] Otorga permiso para crear o editar un calendario específico Escritura

document*

PutComplianceItems Otorga permisos para registrar un tipo de conformidad y otros detalles de conformidad en un recurso especificado Escritura

instance

managed-instance

PutConfigurePackageResult [solo permiso] Otorag permiso a SSM Agent para generar un informe de los resultados de solicitudes específicas del agente (llamada interna de Systems Manager). Lectura
PutInventory Concede permisos para agregar o actualizar productos del inventario en varias instancias administradas especificadas Write
PutParameter Concede permisos para crear un parámetro SSM Write

parameter*

aws:RequestTag/${TagKey}

aws:TagKeys

ssm:Overwrite

RegisterDefaultPatchBaseline Concede permisos para especificar la base de referencia de parches predeterminada para un tipo de sistema operativo Escritura

patchbaseline*

RegisterManagedInstance Concede permiso para registrar un Systems Manager Agent. Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterPatchBaselineForPatchGroup Concede permisos para especificar la base de referencia de parches predeterminada para un grupo de parches especificado Write

patchbaseline*

RegisterTargetWithMaintenanceWindow Concede permisos para registrar un destino con un periodo de mantenimiento especificado Write

maintenancewindow*

RegisterTaskWithMaintenanceWindow Concede permisos para registrar una tarea con un periodo de mantenimiento especificado Write

maintenancewindow*

RemoveTagsFromResource Concede permisos para quitar una clave de etiqueta especificada de un recurso especificado Etiquetado

automation-execution

document

instance

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

task

aws:TagKeys

ResetServiceSetting Concede permiso para restablecer la configuración del servicio de una Cuenta de AWS al valor predeterminado. Write

servicesetting*

ResumeSession Concede permisos para volver a conectar una sesión del Administrador de sesiones a una instancia administrada Write

session*

SendAutomationSignal Concede permisos para enviar una señal para cambiar el comportamiento o el estado actual de una ejecución de Automation especificada. Write

automation-execution*

SendCommand Concede permisos para ejecutar comandos en una o más instancias administradas especificadas Write

document*

bucket

instance

managed-instance

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

StartAssociationsOnce Concede permisos para ejecutar manualmente una asociación especificada Write

association*

StartAutomationExecution Concede permisos para iniciar la ejecución de un documento de Automation Write

automation-definition*

StartChangeRequestExecution Concede el permiso para iniciar la ejecución de un documento de plantilla de cambio de automatización. Write

automation-definition*

ssm:AutoApprove

StartSession Concede permisos para iniciar una conexión a un destino especificado para una sesión del Administrador de sesiones Write

document

instance

managed-instance

task

ssm:SessionDocumentAccessCheck

ssm:resourceTag/${TagKey}

aws:ResourceTag/${TagKey}

StopAutomationExecution Concede permisos para detener una ejecución de automatización especificada que ya está en curso Write

automation-execution*

TerminateSession Concede permisos para finalizar permanentemente una conexión del Administrador de sesiones a una instancia. Escritura

session*

UnlabelParameterVersion Concede permiso para eliminar una etiqueta de identificación de una versión especificada de un parámetro Escritura

parameter*

UpdateAssociation Concede permisos para actualizar una asociación y ejecutarla inmediatamente en los destinos especificados Write

association*

document

instance

managed-instance

UpdateAssociationStatus Concede permisos para actualizar el estado del documento SSM asociado a una instancia especificada Write

document*

instance

managed-instance

ssm:SourceInstanceARN

UpdateDocument Concede permisos para actualizar uno o más valores para un documento SSM Write

document*

UpdateDocumentDefaultVersion Concede permisos para cambiar la versión predeterminada de un documento SSM Write

document*

UpdateDocumentMetadata Concede el permiso para actualizar los metadatos de un documento SSM. Escritura

document*

UpdateInstanceAssociationStatus [solo permiso] Concede permiso a SSM Agent para actualizar el estado de la asociación que se está ejecutando actualmente (llamada interna de Systems Manager). Escritura

association*

instance

managed-instance

ssm:SourceInstanceARN

UpdateInstanceInformation Concede permiso a SSM Agent para enviar una señal de latido al servicio Systems Manager en la nube. Escritura

instance*

ssm:SourceInstanceARN

UpdateMaintenanceWindow Concede permisos para actualizar un periodo de mantenimiento especificado Write

maintenancewindow*

UpdateMaintenanceWindowTarget Concede permisos para actualizar un destino de periodo de mantenimiento especificado Write

maintenancewindow*

UpdateMaintenanceWindowTask Concede permisos para actualizar una tarea de periodo de mantenimiento especificada Write

maintenancewindow*

UpdateManagedInstanceRole Concede permisos para asignar o cambiar el rol de IAM asignado a una instancia administrada especificada Write

managed-instance*

ssm:resourceTag/tag-key

UpdateOpsItem Concede permisos para editar o cambiar un OpsItem Write

opsitem*

UpdateOpsMetadata Concede el permiso para actualizar un objeto OpsMetadata. Write

opsmetadata*

UpdatePatchBaseline Concede permisos para actualizar una base de referencia de parches especificada Write

patchbaseline*

UpdateResourceDataSync Concede permiso para actualizar una definición de datos de recursos Write

resourcedatasync*

ssm:SyncType

UpdateServiceSetting Concede permiso para actualizar la configuración del servicio para una . Cuenta de AWS Write

servicesetting*

Tipos de recursos definidos por AWS Systems Manager

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

nota

Algunos parámetros de la API de Administrador de estados han quedado obsoletos. Esto podría generar un comportamiento inesperado. Para obtener más información, consulte Trabajo con asociaciones mediante IAM.

Tipos de recurso ARN Claves de condición
association arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
automation-execution arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

automation-definition arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
bucket arn:${Partition}:s3:::${BucketName}
document arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}

aws:ResourceTag/${TagKey}

ssm:DocumentCategories

instance arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

maintenancewindow arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance-inventory arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
opsitem arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}

aws:ResourceTag/${TagKey}

opsmetadata arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

parameter arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

patchbaseline arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

session arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
resourcedatasync arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
servicesetting arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
windowtarget arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
windowtask arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
task arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}

aws:ResourceTag/${TagKey}

Claves de condición para AWS Systems Manager

AWS Systems Manager define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso a las solicitudes de “Crear” en función del conjunto de valores permitidos para las etiquetas especificadas. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso mediante un par clave-valor de etiquetas asignado al recurso de AWS. Cadena
aws:TagKeys Filtra el acceso a las solicitudes 'Crear' en función de si las etiquetas obligatorias están incluidas en la solicitud. ArrayOfString
ssm:AutoApprove Filtra el acceso al verificar que un usuario tenga permiso para iniciar flujos de trabajo de Change Manager sin un paso de revisión (excepto los eventos de congelación de cambios) Cadena
ssm:DocumentCategories Filtra el acceso verificando que un usuario tenga permiso para acceder a un documento perteneciente a una categoría específica ArrayOfString
ssm:Overwrite Filtra el acceso al permitir que se sobrescriban los parámetros de Systems Manager Cadena
ssm:Recursive Filtra el acceso al permitir recorrer la estructura jerárquica de los parámetros de Systems Manager Cadena
ssm:SessionDocumentAccessCheck Filtra el acceso mediante la verificación de permiso de un usuario al documento de configuración predeterminado de administración de sesión o al documento de configuración personalizado especificado en una solicitud. Bool
ssm:SourceInstanceARN Filtra el acceso mediante la verificación del nombre de recurso de Amazon (ARN) de la instancia administrada de AWS Systems Manager desde la que se realiza la solicitud. Esta clave no está presente cuando si la solicitud proviene de la instancia administrada autenticada con un rol de IAM asociado a un perfil de instancias EC2. Cadena
ssm:SyncType Filtra el acceso verificando que un usuario también tiene acceso al SyncType ResourceDataSync especificado en la solicitud Cadena
ssm:resourceTag/${TagKey} Filtra el acceso al permitir el acceso basado en un par clave-valor de etiquetas asignado al recurso de Systems Manager. Cadena
ssm:resourceTag/tag-key Filtra el acceso al permitir el acceso basado en un par clave-valor de etiquetas asignado al recurso de Systems Manager. Cadena