Acciones, recursos y claves de condición para AWS Systems Manager
AWS Systems Manager (prefijo de servicio: ssm) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por AWS Systems Manager
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AddTagsToResource | Concede permiso para agregar o sobrescribir una o varias etiquetas para un recurso de AWS especificado. | Etiquetado | |||
| AssociateOpsItemRelatedItem | Concede permiso para asociar RelatedItem a un OpsItem | Write | |||
| CancelCommand | Concede permiso para cancelar un comando «Ejecutar comando» especificado | Write | |||
| CancelMaintenanceWindowExecution | Concede permiso para cancelar la ejecución de un periodo de mantenimiento en curso | Write | |||
| CreateActivation | Concede permiso para crear una activación que se utiliza para registrar servidores locales y máquinas virtuales (VM) con Systems Manager | Write | |||
| CreateAssociation | Concede permiso para asociar un documento de Systems Manager especificado con instancias u otros destinos especificados | Write | |||
| CreateAssociationBatch | Concede permiso para combinar entradas para varias operaciones de CreateAssociation en un solo comando | Write | |||
| CreateDocument | Concede permiso para crear un documento SSM de Systems Manager | Write |
iam:PassRole |
||
| CreateMaintenanceWindow | Concede permiso para crear un periodo de mantenimiento | Write | |||
| CreateOpsItem | Concede permiso para crear un OpsItem en el OpsCenter | Write | |||
| CreateOpsMetadata | Concede permiso para crear un objeto OpsMetadata para un recurso de AWS. | Write | |||
| CreatePatchBaseline | Concede permiso para crear una base de referencia de parches | Write | |||
| CreateResourceDataSync | Concede permiso para crear una configuración de sincronización de datos de recursos, que recopila regularmente datos de inventario de instancias administradas y actualiza los datos en un bucket de Amazon S3 | Write | |||
| DeleteActivation | Concede permiso para eliminar una activación especificada para instancias administradas | Write | |||
| DeleteAssociation | Concede permiso para desvincular un documento SSM especificado de una instancia especificada | Write | |||
| DeleteDocument | Concede permiso para eliminar un documento SSM especificado y sus asociaciones de instancia | Write | |||
| DeleteInventory | Concede permiso para eliminar un tipo de inventario personalizado especificado, o los datos asociados con un tipo de inventario personalizado. | Write | |||
| DeleteMaintenanceWindow | Concede permiso para eliminar un periodo de mantenimiento especificado | Escritura | |||
| DeleteOpsItem | Concede permiso para eliminar un OpsItem | Escritura | |||
| DeleteOpsMetadata | Concede permiso para eliminar un objeto OpsMetadata. | Write | |||
| DeleteParameter | Concede permiso para eliminar un parámetro SSM especificado | Write | |||
| DeleteParameters | Concede permiso para eliminar varios parámetros SSM especificados | Write | |||
| DeletePatchBaseline | Concede permiso para eliminar una base de referencia de parches especificada | Write | |||
| DeleteResourceDataSync | Concede permiso para eliminar una sincronización de datos de recursos especificada | Escritura | |||
| DeleteResourcePolicy | Concede permiso para eliminar una política de recursos de Systems Manager | Administración de permisos | |||
| DeregisterManagedInstance | Concede permiso para anular el registro de un servidor local o de una máquina virtual (VM) especificados de Systems Manager | Write | |||
| DeregisterPatchBaselineForPatchGroup | Concede permiso para anular el registro de una base de referencia de parches especificada para que no sea la base de referencia de parches predeterminada para un grupo de parches especificado | Write | |||
| DeregisterTargetFromMaintenanceWindow | Concede permiso para anular el registro de un destino especificado de un periodo de mantenimiento | Write | |||
| DeregisterTaskFromMaintenanceWindow | Concede permiso para anular el registro de una tarea especificada desde un periodo de mantenimiento | Write | |||
| DescribeActivations | Concede permiso para ver detalles sobre una activación de instancia administrada especificada, como cuándo se creó y la cantidad de instancias registradas mediante la activación | Read | |||
| DescribeAssociation | Concede permiso para ver los detalles sobre la asociación especificada para una instancia o destino especificados | Read | |||
| DescribeAssociationExecutionTargets | Concede permiso para ver información sobre una ejecución de una asociación especificada | Read | |||
| DescribeAssociationExecutions | Concede permiso para ver todas las ejecuciones de una asociación especificada | Read | |||
| DescribeAutomationExecutions | Concede permiso para ver los detalles de todas las ejecuciones de Automation activas y terminadas | Read | |||
| DescribeAutomationStepExecutions | Concede permiso para ver información acerca de todas las ejecuciones de pasos activas y terminadas en un flujo de trabajo de Automation | Read | |||
| DescribeAvailablePatches | Concede permiso para ver todos los parches aptos para ser incluidos en una base de referencia de parches | Read | |||
| DescribeDocument | Concede permiso para ver los detalles sobre un documento SSM especificado | Read | |||
| DescribeDocumentParameters | Concede permiso para mostrar información sobre los parámetros del documento SSM en la consola de Systems Manager (acción interna de Systems Manager) | Read | |||
| DescribeDocumentPermission | Concede permiso para ver los permisos de un documento SSM especificado | Read | |||
| DescribeEffectiveInstanceAssociations | Concede permiso para ver todas las asociaciones actuales de una instancia especificada | Read | |||
| DescribeEffectivePatchesForPatchBaseline | Concede permiso para ver detalles sobre los parches asociados actualmente con la base de referencia de parches especificada (solo Windows) | Read | |||
| DescribeInstanceAssociationsStatus | Concede permiso para ver el estado de las asociaciones de una instancia especificada | Read | |||
| DescribeInstanceInformation | Concede permiso para ver los detalles de una instancia especificada | Read | |||
| DescribeInstancePatchStates | Concede permiso para ver lo detalles de estado sobre los parches de una instancia especificada | Read | |||
| DescribeInstancePatchStatesForPatchGroup | Concede permiso para describir el estado de los parches en general para las instancias del grupo de parches especificado | Read | |||
| DescribeInstancePatches | Concede permiso para ver detalles generales sobre los parches en una instancia especificada | Read | |||
| DescribeInstanceProperties | Concede permiso a la consola de Amazon EC2 del usuario para renderizar nodos de instancias administradas | Read | |||
| DescribeInventoryDeletions | Concede permiso para ver detalles sobre una eliminación de inventario especificada | Read | |||
| DescribeMaintenanceWindowExecutionTaskInvocations | Concede permiso para ver detalles de la ejecución de una tarea especificada para un periodo de mantenimiento | List | |||
| DescribeMaintenanceWindowExecutionTasks | Concede permiso para ver detalles sobre las tareas que se ejecutaron durante la ejecución de un periodo de mantenimiento especificado | List | |||
| DescribeMaintenanceWindowExecutions | Concede permiso para ver las ejecuciones de un periodo de mantenimiento especificado | List | |||
| DescribeMaintenanceWindowSchedule | Concede permiso para ver detalles sobre las próximas ejecuciones de un periodo de mantenimiento especificado | List | |||
| DescribeMaintenanceWindowTargets | Concede permiso para ver una lista de los destinos asociados a un periodo de mantenimiento especificado | List | |||
| DescribeMaintenanceWindowTasks | Concede permiso para ver una lista de las tareas asociadas a un periodo de mantenimiento especificado | List | |||
| DescribeMaintenanceWindows | Concede permiso para ver información sobre todos los periodos de mantenimiento o sobre los especificados | List | |||
| DescribeMaintenanceWindowsForTarget | Concede permiso para ver la información sobre los destinos del periodo de mantenimiento y las tareas asociadas a una instancia especificada | List | |||
| DescribeOpsItems | Concede permiso para ver los detalles sobre OpsItems especificados | Read | |||
| DescribeParameters | Concede permiso para ver los detalles sobre un parámetro SSM especificado | List | |||
| DescribePatchBaselines | Concede permiso para ver la información sobre las bases de referencia de parches que cumplen los criterios especificados | List | |||
| DescribePatchGroupState | Concede permiso para ver los detalles de estado agregados de parches para un grupo de parches especificado | Enumeración | |||
| DescribePatchGroups | Concede permiso para ver la información sobre la base de referencia de parches para un grupo de parches especificado | List | |||
| DescribePatchProperties | Concede permiso para ver los detalles de las revisiones disponibles para un sistema operativo y una propiedad de parche especificados | List | |||
| DescribeSessions | Concede permiso para ver una lista de sesiones recientes del Administrador de sesiones que cumplen los criterios de búsqueda especificados | List | |||
| DisassociateOpsItemRelatedItem | Concede permiso para desasociar RelatedItem de un OpsItem | Write | |||
| GetAutomationExecution | Concede permiso para ver los detalles de una ejecución de Automation especificada | Leer | |||
| GetCalendar [solo permiso] | Concede permiso para ver detalles de un calendario específico | Leer | |||
| GetCalendarState | Concede permiso para ver el estado de un calendario de cambios o una lista de calendarios de cambios. | Read | |||
| GetCommandInvocation | Concede permiso para ver los detalles sobre la ejecución del comando de una invocación o complemento especificados | Read | |||
| GetConnectionStatus | Concede permiso para ver el estado de conexión del Administrador de sesiones para una instancia administrada especificada | Read | |||
| GetDefaultPatchBaseline | Concede permiso para ver la base de referencia de parches predeterminada actual para un tipo de sistema operativo especificado | Read | |||
| GetDeployablePatchSnapshotForInstance | Concede permiso para recuperar la instantánea de base de referencia de parches actual para una instancia especificada | Read | |||
| GetDocument | Concede permiso para ver el contenido de un documento SSM especificado | Read | |||
| GetInventory | Concede permiso para ver los detalles del inventario de instancias según los criterios especificados | Read | |||
| GetInventorySchema | Concede permiso para ver una lista de tipos de inventario o nombres de atributos para un tipo de producto del inventario especificado | Read | |||
| GetMaintenanceWindow | Concede permiso para ver los detalles sobre un periodo de mantenimiento especificado | Read | |||
| GetMaintenanceWindowExecution | Concede permiso para ver detalles sobre la ejecución de un periodo de mantenimiento especificado | Read | |||
| GetMaintenanceWindowExecutionTask | Concede permiso para ver los detalles sobre una tarea de ejecución de un periodo de mantenimiento especificada | Read | |||
| GetMaintenanceWindowExecutionTaskInvocation | Concede permiso para ver los detalles sobre una tarea de un periodo de mantenimiento específica que se ejecuta en un destino específico | Read | |||
| GetMaintenanceWindowTask | Concede permiso para ver los detalles sobre las tareas registradas con un periodo de mantenimiento especificado | Leer | |||
| GetManifest [solo permiso] | Concede permiso a Systems Manager y SSM Agent para determinar los requisitos de instalación de paquetes para una instancia (llamada interna de Systems Manager). | Leer | |||
| GetOpsItem | Concede permiso para ver la información sobre un OpsItem especificado | Read | |||
| GetOpsMetadata | Concede permiso para recuperar un objeto OpsMetadata. | Read | |||
| GetOpsSummary | Concede permiso para ver la información de resumen sobre OpsItems en función de filtros y agregadores especificados | Read | |||
| GetParameter | Concede permiso para ver la información sobre un parámetro especificado | Read | |||
| GetParameterHistory | Concede permiso para ver los detalles y cambios de un parámetro especificado | Read | |||
| GetParameters | Concede permiso para ver la información sobre varios parámetros especificados | Read | |||
| GetParametersByPath | Concede permiso para ver la información sobre los parámetros de una jerarquía especificada | Read | |||
| GetPatchBaseline | Concede permiso para ver la información sobre una base de referencia de parches especificada | Read | |||
| GetPatchBaselineForPatchGroup | Concede permiso para ver el ID de la base de referencia de parches actual para un grupo de parches especificado | Leer | |||
| GetResourcePolicies | Concede permiso para recuperar las listas de las políticas de recursos de Systems Manager | Enumeración | |||
| GetServiceSetting | Concede permiso para ver la configuración del nivel de cuenta de un servicio de AWS. | Read | |||
| LabelParameterVersion | Concede permiso para aplicar una etiqueta de identificación a una versión especificada de un parámetro | Write | |||
| ListAssociationVersions | Concede permiso para enumerar versiones de la asociación especificada | List | |||
| ListAssociations | Concede permiso para enumerar las asociaciones de un documento SSM específico o una instancia administrada | List | |||
| ListCommandInvocations | Concede permiso para enumerar información sobre las invocaciones de comandos enviadas a una instancia especificada | Enumeración | |||
| ListCommands | Concede permiso para enumerar los comandos enviados a una instancia especificada | Enumeración | |||
| ListComplianceItems | Concede permiso para enumerar el estado de cumplimiento de los tipos de recursos especificados en un recurso especificado | List | |||
| ListComplianceSummaries | Concede permiso para enumerar un recuento de resumen de recursos compatibles y no compatibles con un tipo de cumplimiento especificado | List | |||
| ListDocumentMetadataHistory | Concede permiso para ver el historial de metadatos sobre un documento SSM especificado. | Enumeración | |||
| ListDocumentVersions | Concede permiso para enumerar todas las versiones de un documento especificado | List | |||
| ListDocuments | Concede permiso para ver la información sobre un documento SSM especificado | Enumeración | |||
| ListInstanceAssociations | Concede permiso a SSM Agent para comprobar si hay nuevas asociaciones de State Manager (llamada interna de Systems Manager) | Enumeración | |||
| ListInventoryEntries | Concede permiso para ver una lista de tipos de inventario especificados para una instancia especificada | List | |||
| ListOpsItemEvents | Concede permiso para ver los detalles de una OpsItemEvents. | Enumeración | |||
| ListOpsItemRelatedItems | Concede permiso para ver los detalles de OpsItem RelatedItems | Enumeración | |||
| ListOpsMetadata | Concede el permiso para mostrar una lista de objetos OpsMetadata. | List | |||
| ListResourceComplianceSummaries | Concede permiso para enumerar el recuento de resumen de nivel de recursos | List | |||
| ListResourceDataSync | Concede permiso para enumerar la información sobre las configuraciones de sincronización de datos de recursos en una cuenta | List | |||
| ListTagsForResource | Concede permiso para ver una lista de etiquetas de recurso para un recurso especificado | Enumeración | |||
| ModifyDocumentPermission | Concede permiso para compartir un documento SSM personalizado de forma pública o privada con las cuentas de AWS especificadas. | Administración de permisos | |||
| PutCalendar [solo permiso] | Concede permiso para crear o editar un calendario específico | Escritura | |||
| PutComplianceItems | Concede permiso para registrar un tipo de conformidad y otros detalles de conformidad en un recurso especificado | Escritura | |||
| PutConfigurePackageResult [solo permiso] | Concede permiso a SSM Agent para generar un informe de los resultados de solicitudes específicas del agente (llamada interna de Systems Manager) | Leer | |||
| PutInventory | Concede permiso para agregar o actualizar productos del inventario en varias instancias administradas especificadas | Write | |||
| PutParameter | Concede permiso para crear un parámetro SSM | Escritura | |||
| PutResourcePolicy | Concede permiso para crear o actualizar una política de recursos de Systems Manager | Administración de permisos | |||
| RegisterDefaultPatchBaseline | Concede permiso para especificar la base de referencia de parches predeterminada para un tipo de sistema operativo | Escritura | |||
| RegisterManagedInstance | Concede permiso para registrar un Systems Manager Agent. | Escritura | |||
| RegisterPatchBaselineForPatchGroup | Concede permiso para especificar la base de referencia de parches predeterminada para un grupo de parches especificado | Write | |||
| RegisterTargetWithMaintenanceWindow | Concede permiso para registrar un destino con un periodo de mantenimiento especificado | Write | |||
| RegisterTaskWithMaintenanceWindow | Concede permiso para registrar una tarea con un periodo de mantenimiento especificado | Write | |||
| RemoveTagsFromResource | Concede permiso para quitar una clave de etiqueta especificada de un recurso especificado | Etiquetado | |||
| ResetServiceSetting | Concede permiso para restablecer la configuración del servicio de una Cuenta de AWS al valor predeterminado. | Write | |||
| ResumeSession | Concede permiso para volver a conectar una sesión del Administrador de sesiones a una instancia administrada | Write | |||
| SendAutomationSignal | Concede permiso para enviar una señal para cambiar el comportamiento o el estado actual de una ejecución de Automation especificada. | Write | |||
| SendCommand | Concede permiso para ejecutar comandos en una o más instancias administradas especificadas | Write | |||
| StartAssociationsOnce | Concede permiso para ejecutar manualmente una asociación especificada | Write | |||
| StartAutomationExecution | Concede permiso para iniciar la ejecución de un documento de Automation | Write | |||
| StartChangeRequestExecution | Concede permiso para iniciar la ejecución de un documento de plantilla de cambio de automatización. | Write | |||
| StartSession | Concede permiso para iniciar una conexión a un destino especificado para una sesión del Administrador de sesiones | Write | |||
| StopAutomationExecution | Concede permiso para detener una ejecución de automatización especificada que ya está en curso | Write | |||
| TerminateSession | Concede permiso para finalizar permanentemente una conexión del Administrador de sesiones a una instancia. | Escritura | |||
| UnlabelParameterVersion | Concede permiso para eliminar una etiqueta de identificación de una versión especificada de un parámetro | Escritura | |||
| UpdateAssociation | Concede permiso para actualizar una asociación y ejecutarla inmediatamente en los destinos especificados | Write | |||
| UpdateAssociationStatus | Concede permiso para actualizar el estado del documento SSM asociado a una instancia especificada | Write | |||
| UpdateDocument | Concede permiso para actualizar uno o más valores para un documento SSM | Write | |||
| UpdateDocumentDefaultVersion | Concede permiso para cambiar la versión predeterminada de un documento SSM | Write | |||
| UpdateDocumentMetadata | Concede permiso para actualizar los metadatos de un documento SSM. | Escritura | |||
| UpdateInstanceAssociationStatus [solo permiso] | Concede permiso a SSM Agent para actualizar el estado de la asociación que se está ejecutando actualmente (llamada interna de Systems Manager). | Escritura | |||
| UpdateInstanceInformation | Concede permiso a SSM Agent para enviar una señal de latido al servicio Systems Manager en la nube. | Escritura | |||
| UpdateMaintenanceWindow | Concede permiso para actualizar un periodo de mantenimiento especificado | Write | |||
| UpdateMaintenanceWindowTarget | Concede permiso para actualizar un destino de periodo de mantenimiento especificado | Write | |||
| UpdateMaintenanceWindowTask | Concede permiso para actualizar una tarea de periodo de mantenimiento especificada | Write | |||
| UpdateManagedInstanceRole | Concede permiso para asignar o cambiar el rol de IAM asignado a una instancia administrada especificada | Write | |||
| UpdateOpsItem | Concede permiso para editar o cambiar un OpsItem | Write | |||
| UpdateOpsMetadata | Concede permiso para actualizar un objeto OpsMetadata. | Write | |||
| UpdatePatchBaseline | Concede permiso para actualizar una base de referencia de parches especificada | Write | |||
| UpdateResourceDataSync | Concede permiso para actualizar una definición de datos de recursos | Write | |||
| UpdateServiceSetting | Concede permiso para actualizar la configuración del servicio para una . Cuenta de AWS | Write |
Tipos de recursos definidos por AWS Systems Manager
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
nota
Algunos parámetros de la API de Administrador de estados han quedado obsoletos. Esto podría generar un comportamiento inesperado. Para obtener más información, consulte Trabajo con asociaciones mediante IAM.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
| automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
| automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
| iam-role |
arn:${Partition}:iam::${Account}:role/${RoleName}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
| maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
| managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
| managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
| opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
| opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
| opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
| parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
| patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
| session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
| resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
| servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
| windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
| windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
Claves de condición para AWS Systems Manager
AWS Systems Manager define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso a las solicitudes de “Crear” en función del conjunto de valores permitidos para las etiquetas especificadas. | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso mediante un par clave-valor de etiquetas asignado al recurso de AWS. | Cadena |
| aws:TagKeys | Filtra el acceso a las solicitudes 'Crear' en función de si las etiquetas obligatorias están incluidas en la solicitud. | ArrayOfString |
| ec2:SourceInstanceARN | Filtra acceso por ARN de la instancia en la que se originó la solicitud | ARN |
| ssm:AutoApprove | Filtra el acceso al verificar que un usuario tenga permiso para iniciar flujos de trabajo de Change Manager sin un paso de revisión (excepto los eventos de congelación de cambios) | Bool |
| ssm:DocumentCategories | Filtra el acceso verificando que un usuario tenga permiso para acceder a un documento perteneciente a una categoría específica | ArrayOfString |
| ssm:Overwrite | Filtra el acceso al controlar si se pueden sobrescribir los parámetros de Systems Manager | Cadena |
| ssm:Policies | Para filtrar el acceso, controla si una entidad de IAM (usuario o rol) puede crear o actualizar un parámetro que incluya una política de parámetros | Cadena |
| ssm:Recursive | Filtra el acceso mediante los parámetros de Systems Manager creados en una estructura jerárquica | Cadena |
| ssm:SessionDocumentAccessCheck | Filtra el acceso mediante la verificación de permiso de un usuario al documento de configuración predeterminado de administración de sesión o al documento de configuración personalizado especificado en una solicitud. | Bool |
| ssm:SourceInstanceARN | Filtra el acceso mediante la verificación del nombre de recurso de Amazon (ARN) de la instancia administrada de AWS Systems Manager desde la que se realiza la solicitud. Esta clave no está presente cuando si la solicitud proviene de la instancia administrada autenticada con un rol de IAM asociado a un perfil de instancias EC2. | ARN |
| ssm:SyncType | Filtra el acceso verificando que un usuario también tiene acceso al SyncType ResourceDataSync especificado en la solicitud | Cadena |
| ssm:resourceTag/${TagKey} | Filtra el acceso mediante un par clave-valor de etiquetas asignado al recurso de Systems Manager. | Cadena |
| ssm:resourceTag/aws:ssmmessages:session-id | Filtra el acceso según un par clave-valor de etiqueta asignado al recurso de sesión de Systems Manager | Cadena |
| ssm:resourceTag/aws:ssmmessages:target-id | Filtra el acceso según un par clave-valor de etiqueta asignado al recurso de sesión de Systems Manager | Cadena |
| ssm:resourceTag/tag-key | Filtra el acceso mediante un par clave-valor de etiquetas asignado al recurso de Systems Manager. | Cadena |
