Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara kerja AWS Systems Manager dengan IAM
Sebelum Anda menggunakan AWS Identity and Access Management (IAM) untuk mengelola akses AWS Systems Manager, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan. Systems Manager Untuk mendapatkan tampilan tingkat tinggi tentang bagaimana Systems Manager dan Layanan AWS pekerjaan lainnya dengan IAM, lihat Layanan AWS bahwa bekerja dengan IAM di Panduan Pengguna IAM.
Topik
Kebijakan berbasis identitas Systems Manager
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, dan juga ketentuan di mana tindakan tersebut diperbolehkan atau ditolak. Systems Manager mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.
Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, pengguna utama mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.
Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya tindakan hanya izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.
Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di Systems Manager menggunakan prefiks berikut sebelum tindakan: ssm:. Misalnya, untuk memberikan izin kepada seseorang untuk membuat Systems Manager parameter (parameter SSM) dengan operasi Systems Manager PutParameter API, Anda menyertakan ssm:PutParameter tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus menyertakan elemen Action atau NotAction. Systems Manager menentukan set tindakan sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan tindakan-tindakan tersebut menggunakan koma seperti berikut:
"Action": [ "ssm:action1", "ssm:action2"
catatan
Kemampuan berikut AWS Systems Manager menggunakan awalan yang berbeda sebelum tindakan.
-
AWS AppConfig menggunakan awalan
appconfig:sebelum tindakan. -
Manajer Insiden menggunakan awalan
ssm-incidents:ataussm-contacts:sebelum tindakan. -
Systems Manager GUI Connect menggunakan awalan
ssm-guiconnectsebelum tindakan.
Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:
"Action": "ssm:Describe*"
Untuk melihat daftar tindakan Systems Manager, lihat Tindakan yang Ditentukan oleh AWS Systems Manager dalam Referensi Otorisasi Layanan.
Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, pengguna utama mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.
Elemen kebijakan JSON Resource menentukan objek atau beberapa objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen Resource atau NotResource. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.
Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk mengindikasikan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
"Resource": "*"
Misalnya, sumber daya jendela Systems Manager pemeliharaan memiliki format ARN berikut.
arn:aws:ssm:region:account-id:maintenancewindow/window-id
Untuk menentukan jendela pemeliharaan MW-0C50858D01Example dalam pernyataan Anda di Wilayah AS Timur (Ohio), Anda akan menggunakan ARN yang mirip dengan yang berikut ini.
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
Untuk menentukan semua windowa pemeliharaan milik akun tertentu, gunakan wildcard (*).
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
Untuk operasi Parameter Store API, Anda dapat menyediakan atau membatasi akses ke semua parameter dalam satu tingkat hierarki dengan menggunakan nama hierarkis dan kebijakan AWS Identity and Access Management (IAM) sebagai berikut.
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
Beberapa tindakan Systems Manager, seperti tindakan untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).
"Resource": "*"
Beberapa operasi Systems Manager API menerima banyak sumber daya. Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan ARN dengan koma seperti berikut.
"Resource": [ "resource1", "resource2"
catatan
Sebagian besar Layanan AWS memperlakukan titik dua (:) atau garis miring (/) sebagai karakter yang sama di ARN. Namun, Systems Manager membutuhkan kecocokan yang tepat dalam pola dan aturan sumber daya. Saat membuat pola peristiwa, pastikan untuk menggunakan karakter ARN yang benar sehingga cocok dengan ARN sumber daya.
Tabel di bawah ini menjelaskan format ARN untuk jenis sumber daya yang didukung oleh. Systems Manager
catatan
Perhatikan pengecualian berikut untuk format ARN.
-
Kemampuan berikut AWS Systems Manager menggunakan awalan yang berbeda sebelum tindakan.
-
AWS AppConfig menggunakan awalan
appconfig:sebelum tindakan. -
Manajer Insiden menggunakan awalan
ssm-incidents:ataussm-contacts:sebelum tindakan. -
Systems Manager GUI Connect menggunakan awalan
ssm-guiconnectsebelum tindakan.
-
-
Dokumen dan sumber daya definisi otomatisasi yang dimiliki oleh Amazon, serta parameter publik yang disediakan oleh Amazon dan sumber pihak ketiga, tidak menyertakan ID akun dalam format ARN mereka. Sebagai contoh:
-
Dokumen
AWS-RunPatchBaselineSSM:arn:aws:ssm:us-east-2:::document/AWS-RunPatchBaseline -
Runbook
AWS-ConfigureMaintenanceWindowsotomatisasi:arn:aws:ssm:us-east-2:::automation-definition/AWS-ConfigureMaintenanceWindows -
Parameter publik
/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version:arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version
Untuk informasi selengkapnya tentang ketiga jenis sumber daya ini, lihat topik berikut:
-
| Jenis sumber daya | Format ARN |
|---|---|
| Aplikasi (AWS AppConfig) | |
| Asosiasi | arn:aws:ssm:region:account-id:association/association-id |
| Eksekusi otomatisasi | |
| Definisi otomatisasi (dengan versi subsumber daya) |
|
| Profil konfigurasi (AWS AppConfig) | |
| Kontak (Manajer Insiden) |
|
| Strategi penyebaran ()AWS AppConfig | |
| Dokumen |
arn:aws:ssm: |
| Lingkungan (AWS AppConfig) | |
| Insiden |
|
| Jendela pemeliharaan |
arn:aws:ssm: |
| Node terkelola |
|
| Inventaris simpul terkelola | |
| OpsItem | |
| Parameter |
Parameter satu tingkat:
Parameter bernama dengan konstruksi hierarkis:
|
| Garis dasar patch |
|
| Rencana respons |
|
| Sesi |
arn:aws:ssm: |
|
Semua sumber daya Systems Manager |
arn:aws:ssm:* |
|
Semua Systems Manager sumber daya yang dimiliki oleh yang ditentukan Akun AWS dalam yang ditentukan Wilayah AWS |
arn:aws:ssm: |
Untuk definisi otomatisasi, Systems Manager mendukung sumber daya tingkat kedua, ID versi. Pada tahun AWS, sumber daya tingkat kedua ini dikenal sebagai subsumber daya. Menentukan versi subsumber daya untuk sumber definisi otomatisasi memungkinkan Anda untuk menyediakan akses ke versi tertentu dari definisi otomatisasi. Misalnya, Anda mungkin ingin memastikan bahwa hanya versi terbaru dari definisi otomatisasi yang digunakan dalam manajemen node Anda.
Untuk mengatur dan mengelola parameter, Anda dapat membuat nama untuk parameter dengan konstruksi hierarkis. Dengan konstruksi hirarkis, nama parameter dapat mencakup jalur yang Anda tentukan dengan menggunakan garis miring ke depan. Anda dapat menyebutkan sumber daya parameter maksimum lima belas tingkat. Kami menyarankan agar Anda membuat hierarki yang mencerminkan struktur hierarkis yang ada di lingkungan Anda. Untuk informasi selengkapnya, lihat Menandai parameter Systems Manager.
Dalam sebagian besar kasus 
, ID sesi dibangun menggunakan ID dari pengguna akun yang memulai sesi, ditambah akhiran alfanumerik. Sebagai contoh:
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLENamun, jika ID pengguna tidak tersedia, ARN dibangun dengan cara ini sebagai gantinya:
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLEUntuk informasi selengkapnya tentang format ARN, lihat Amazon Resource Name (ARN) di Referensi Umum Amazon Web Services.
Untuk daftar jenis Systems Manager sumber daya dan ARNnya, lihat Sumber Daya yang Ditentukan oleh AWS Systems Manager dalam Referensi Otorisasi Layanan. Untuk mempelajari tindakan mana yang dapat menentukan ARN setiap sumber daya, lihat Tindakan yang Ditentukan oleh AWS Systems Manager.
Kunci kondisi untuk Systems Manager
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, pengguna utama mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.
Elemen Condition (atau blok Condition) memungkinkan Anda menentukan kondisi di mana suatu pernyataan akan diterapkan. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi kondisional yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.
Jika Anda menentukan beberapa elemen Condition dalam satu pernyataan, atau beberapa kunci dalam satu elemen Condition, AWS akan mengevaluasinya dengan menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut mempunyai tag yang sesuai dengan nama pengguna IAM mereka. Untuk informasi selengkapnya, lihat Elemen kebijakan IAM: variabel dan tag di Panduan Pengguna IAM.
AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan Pengguna IAM.
Untuk melihat daftar kunci syarat Systems Manager, lihat Kunci Syarat untuk AWS Systems Manager dalam Referensi Otorisasi Layanan. Untuk mempelajari tindakan dan sumber daya mana yang dapat Anda gunakan kunci syarat, lihat Tindakan yang Ditentukan oleh AWS Systems Manager.
Untuk informasi tentang penggunaan kunci kondisi ssm:resourceTag/*, lihat topik berikut:
Untuk informasi lebih lanjut tentang menggunakan kunci kondisi ssm:Recursive dan
ssm:Overwrite, lihat Bekerja dengan hierarki parameter.
Contoh-contoh
Untuk melihat contoh kebijakan berbasis identitas Systems Manager, lihat Contoh kebijakan berbasis identitas AWS Systems Manager.
Systems Manager Kebijakan berbasis sumber daya
Lainnya Layanan AWS, seperti Amazon Simple Storage Service (Amazon S3), mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan izin ke bucket S3 untuk mengelola izin akses ke bucket tersebut.
Systems Manager tidak mendukung kebijakan berbasis sumber daya.
Otorisasi berdasarkan tag Systems Manager
Anda dapat melampirkan tanda ke sumber daya Systems Manager atau meneruskan tanda dalam sebuah permintaan ke Systems Manager. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag di elemen kondisi kebijakan menggunakan kunci kondisi ssm:resourceTag/, key-nameaws:ResourceTag/, key-nameaws:RequestTag/, atau key-nameaws:TagKeys. Anda dapat menambahkan tag ke jenis sumber daya berikut saat Anda membuat atau memperbaruinya:
-
Dokumen
-
Node terkelola
-
Jendela pemeliharaan
-
Parameter
-
Garis dasar patch
-
OpsItem
Untuk informasi tentang menandai Systems Manager sumber daya, lihatPenandaan sumber daya Systems Manager.
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tanda pada sumber daya tersebut, lihat MelihatSystems Manager dokumen berdasarkan tag.
Peran IAM Systems Manager
Peran IAM adalah entitas di dalam Anda Akun AWS yang memiliki izin khusus.
Menggunakan kredensial sementara dengan Systems Manager
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensyal keamanan sementara dengan memanggil AWS Security Token Service (AWS STS) operasi API seperti AssumeRoleatau. GetFederationToken
Systems Manager mendukung penggunaan kredensial sementara.
Peran terkait layanan
Peran terkait layanan memungkinkan Layanan AWS untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan tercantum dalam akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator dapat melihat tetapi tidak dapat mengedit izin untuk peran yang terkait dengan layanan.
Systems Manager mendukung peran terkait layanan Untuk informasi selengkapnya tentang cara membuat atau mengelola peran terkait layanan Systems Manager, lihat Menggunakan peran terkait layanan untuk Systems Manager.
Peran layanan
Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan ditampilkan dalam akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti bahwa administrator dapat mengubah izin untuk peran ini. Namun, melakukannya mungkin merusak fungsi layanan.
Systems Manager mendukung peran layanan
Memilih IAM role dalam Systems Manager
Systems ManagerAgar dapat berinteraksi dengan node terkelola Anda, Anda harus memilih peran yang Systems Manager memungkinkan mengakses node atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan atau peran terkait layanan, Systems Manager berikan daftar peran yang dapat dipilih. Penting untuk memilih peran yang memungkinkan akses untuk memulai dan menghentikan node yang dikelola.
Untuk mengakses instans EC2, Anda harus mengonfigurasi izin instans. Untuk selengkapnya, lihat Mengonfigurasi izin instans untuk Systems Manager.
Untuk mengakses node non-EC2 dalam hybrid dan multicloud, peran yang Anda Akun AWS butuhkan adalah peran layanan IAM. Untuk informasi, lihat Membuat peran layanan IAM untuk lingkungan hibrid.
Alur kerja otomatisasi dapat dimulai di bawah konteks peran layanan (atau peran asumsi). Hal ini mengizinkan layanan untuk kemudian melakukan tindakan atas nama Anda. Jika Anda tidak menentukan peran asumsi, otomatisasi menggunakan konteks pengguna yang dipanggil eksekusi. Namun, situasi tertentu mengharuskan Anda menentukan peran layanan untuk otomatisasi. Untuk informasi selengkapnya, lihat Mengonfigurasi akses peran layanan (peran asumsi) untuk otomatisasi.
Kebijakan terkelola AWS Systems Manager
AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWSKebijakan terkelola AWS ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin mana yang diperlukan. (Anda juga dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin Systems Manager tindakan dan sumber daya.)
Untuk informasi selengkapnya tentang kebijakan terkelola untuk Systems Manager, lihat AWS kebijakan terkelola untuk AWS Systems Manager
Untuk informasi umum tentang kebijakan terkelola, lihat kebijakan AWS terkelola di Panduan Pengguna IAM.
