Bekerja dengan asosiasi menggunakan IAM - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan asosiasi menggunakan IAM

State Manager, kemampuan AWS Systems Manager, menggunakan target untuk memilih instance mana Anda mengonfigurasi asosiasi Anda. Awalnya, asosiasi dibuat dengan menentukan nama dokumen (Name) dan ID instans (InstanceId). Ini menciptakan hubungan antara dokumen dan instance atau node terkelola. Asosiasi digunakan untuk diidentifikasi oleh parameter ini. Parameter ini sekarang tidak lagi digunakan, tetapi mereka masih didukung. Sumber daya instance dan managed-instance ditambahkan sebagai sumber daya untuk tindakan dengan Name dan InstanceId.

AWS Identity and Access Management (IAM) perilaku penegakan kebijakan tergantung pada jenis sumber daya yang ditentukan. Sumber daya untuk State Manager operasi hanya diberlakukan berdasarkan permintaan yang dilaluinya. State Managertidak melakukan pemeriksaan mendalam untuk properti sumber daya di akun Anda. Permintaan hanya divalidasi terhadap sumber daya kebijakan jika parameter permintaan berisi sumber daya kebijakan tertentu. Misalnya, jika Anda menentukan instans di blok sumber daya, kebijakan diberlakukan jika permintaan menggunakan parameter InstanceId. Parameter Targets untuk setiap sumber daya di akun tidak diperiksa untuk InstanceId itu.

Berikut ini adalah beberapa kasus dengan perilaku yang membingungkan:

  • DescribeAssociation, DeleteAssociation, dan UpdateAssociationgunakan instancemanaged-instance, dan document sumber daya untuk menentukan cara yang tidak digunakan lagi untuk merujuk ke asosiasi. Hal ini mencakup semua asosiasi dibuat dengan parameter InstanceId yang tidak lagi digunakan.

  • CreateAssociation, CreateAssociationBatch, dan UpdateAssociationpenggunaan instance dan managed-instance sumber daya untuk menentukan cara yang tidak digunakan lagi untuk merujuk ke asosiasi. Hal ini mencakup semua asosiasi dibuat dengan parameter InstanceId yang tidak lagi digunakan. Jenis sumber daya document adalah bagian dari cara yang tidak lagi digunakan dalam merujuk ke asosiasi dan merupakan properti sebenarnya dari sebuah asosiasi. Ini berarti Anda dapat membuat kebijakan IAM dengan Allow atau Deny izin untuk keduanya Create dan Update tindakan berdasarkan nama dokumen.

Untuk informasi selengkapnya mengenai menggunakan kebijakan IAM dengan Systems Manager, lihat Identitas dan manajemen akses untuk AWS Systems Manager atau Tindakan, sumber daya, dan kunci kondisi untuk AWS Systems Manager dalam Referensi Otorisasi Layanan.