Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Operazioni, risorse e chiavi di condizione per AWS Systems Manager
AWS Systems Manager (prefisso del servizio:ssm) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle IAM politiche di autorizzazione.
Riferimenti:
-
Scopri come configurare questo servizio.
-
Visualizza un elenco delle APIoperazioni disponibili per questo servizio.
-
Scopri come proteggere questo servizio e le sue risorse utilizzando le politiche di IAM autorizzazione.
Argomenti
Operazioni definite da AWS Systems Manager
È possibile specificare le seguenti azioni nell'Actionelemento di una dichiarazione IAM politica. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una politica, in genere si consente o si nega l'accesso all'APIoperazione o al CLI comando con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, è possibile specificarne uno ARN di quel tipo in un'istruzione con tale azione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'Resourceelemento di una IAM policy, è necessario includere uno schema ARN o per ogni tipo di risorsa richiesto. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
Nota
Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.
Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| AddTagsToResource | Concede l'autorizzazione ad aggiungere o sovrascrivere uno o più tag per una risorsa specificata AWS | Assegnazione di tag | |||
| AssociateOpsItemRelatedItem | Concede il permesso di associarsi a un RelatedItem OpsItem | Scrittura | |||
| CancelCommand | Concede l'autorizzazione per annullare un comando Run Command specificato | Scrittura | |||
| CancelMaintenanceWindowExecution | Concede l'autorizzazione per annullare l'esecuzione di una finestra di manutenzione in corso | Scrittura | |||
| CreateActivation | Concede l'autorizzazione a creare un'attivazione utilizzata per registrare server e macchine virtuali locali (VMs) con Systems Manager | Scrittura | |||
| CreateAssociation | Concede l'autorizzazione per associare un documento di Systems Manager specifico alle istanze o ad altre destinazioni specificate | Scrittura | |||
| CreateAssociationBatch | Concede l'autorizzazione a combinare le voci per più CreateAssociation operazioni in un unico comando | Scrittura | |||
| CreateDocument | Concede l'autorizzazione a creare un documento Systems Manager SSM | Scrittura |
iam:PassRole |
||
| CreateMaintenanceWindow | Concede l'autorizzazione per creare una finestra di manutenzione | Scrittura | |||
| CreateOpsItem | Concede l'autorizzazione a creare un in OpsItem OpsCenter | Scrittura | |||
| CreateOpsMetadata | Concede il permesso di creare un OpsMetadata oggetto per una risorsa AWS | Scrittura | |||
| CreatePatchBaseline | Concede l'autorizzazione per creare una base di patch | Scrittura | |||
| CreateResourceDataSync | Concede l'autorizzazione per creare una configurazione di sincronizzazione dei dati delle risorse, che raccoglie regolarmente i dati di inventario da istanze gestite e aggiorna i dati in un bucket Amazon S3 | Scrittura | |||
| DeleteActivation | Concede l'autorizzazione per eliminare un'attivazione specificata per istanze gestite | Scrittura | |||
| DeleteAssociation | Concede l'autorizzazione a dissociare un SSM documento specificato da un'istanza specificata | Scrittura | |||
| DeleteDocument | Concede il permesso di eliminare un SSM documento specificato e le relative associazioni di istanze | Scrittura | |||
| DeleteInventory | Concede l'autorizzazione per eliminare un tipo di inventario personalizzato specificato o i dati associati a un tipo di inventario personalizzato | Scrittura | |||
| DeleteMaintenanceWindow | Concede l'autorizzazione per eliminare una finestra di manutenzione specificata | Scrittura | |||
| DeleteOpsItem | Concede il permesso di eliminare un OpsItem | Scrittura | |||
| DeleteOpsMetadata | Concede il permesso di eliminare un oggetto OpsMetadata | Scrittura | |||
| DeleteParameter | Concede il permesso di eliminare un parametro specificato SSM | Scrittura | |||
| DeleteParameters | Concede il permesso di eliminare più parametri specificati SSM | Scrittura | |||
| DeletePatchBaseline | Concede l'autorizzazione per eliminare una base di patch specificata | Scrittura | |||
| DeleteResourceDataSync | Concede l'autorizzazione per eliminare una sincronizzazione dei dati della risorsa specificata | Scrittura | |||
| DeleteResourcePolicy | Concede l'autorizzazione per eliminare una policy delle risorse di Systems Manager | Gestione delle autorizzazioni | |||
| DeregisterManagedInstance | Concede l'autorizzazione per annullare la registrazione di un server o una macchina virtuale on-premise specificati da Systems Manager | Scrittura | |||
| DeregisterPatchBaselineForPatchGroup | Concede l'autorizzazione per annullare la registrazione di una base di patch specificata come base di patch predefinita per un gruppo di patch specificato | Scrittura | |||
| DeregisterTargetFromMaintenanceWindow | Concede l'autorizzazione per annullare la registrazione di una destinazione specificata da una finestra di manutenzione | Scrittura | |||
| DeregisterTaskFromMaintenanceWindow | Concede l'autorizzazione per annullare la registrazione di un'attività specificata da una finestra di manutenzione | Scrittura | |||
| DescribeActivations | Concede l'autorizzazione per visualizzare i dettagli relativi all'attivazione di un'istanza gestita specificata, ad esempio quando è stata creata e il numero di istanze registrate mediante l'attivazione | Lettura | |||
| DescribeAssociation | Concede l'autorizzazione per visualizzare i dettagli relativi all'associazione specificata per un'istanza o una destinazione specificata | Lettura | |||
| DescribeAssociationExecutionTargets | Concede l'autorizzazione per visualizzare le informazioni relative all'esecuzione di un'associazione specificata | Lettura | |||
| DescribeAssociationExecutions | Concede l'autorizzazione per visualizzare tutte le esecuzioni per un'associazione specificata | Lettura | |||
| DescribeAutomationExecutions | Concede l'autorizzazione per visualizzare i dettagli relativi a tutte le esecuzioni di automazioni attive e terminate | Lettura | |||
| DescribeAutomationStepExecutions | Concede l'autorizzazione per visualizzare le informazioni relative a tutte le esecuzioni della fase attive e terminate in un flusso di lavoro di automazione. | Lettura | |||
| DescribeAvailablePatches | Concede l'autorizzazione per visualizzare tutte le patch che possono essere incluse in una base di patch | Lettura | |||
| DescribeDocument | Concede il permesso di visualizzare i dettagli di un documento specificato SSM | Lettura | |||
| DescribeDocumentParameters | Concede l'autorizzazione a visualizzare informazioni sui parametri SSM del documento nella console Systems Manager (azione interna di Systems Manager) | Lettura | |||
| DescribeDocumentPermission | Concede l'autorizzazione per visualizzare le autorizzazioni per un documento specificato SSM | Lettura | |||
| DescribeEffectiveInstanceAssociations | Concede l'autorizzazione per visualizzare tutte le associazioni correnti per un'istanza specificata | Lettura | |||
| DescribeEffectivePatchesForPatchBaseline | Concede l'autorizzazione per visualizzare i dettagli relativi alle patch attualmente associate alla base di patch specificata (solo Windows) | Lettura | |||
| DescribeInstanceAssociationsStatus | Concede l'autorizzazione per visualizzare lo stato delle associazioni per un'istanza specificata | Lettura | |||
| DescribeInstanceInformation | Concede l'autorizzazione per visualizzare i dettagli relativi a un'istanza specificata | Lettura | |||
| DescribeInstancePatchStates | Concede l'autorizzazione per visualizzare i dettagli sullo stato relativi alle patch su un'istanza specificata | Lettura | |||
| DescribeInstancePatchStatesForPatchGroup | Concede l'autorizzazione per descrivere lo stato delle patch di alto livello per le istanze nel gruppo di patch specificato | Lettura | |||
| DescribeInstancePatches | Concede l'autorizzazione per visualizzare i dettagli generali relativi alle patch su un'istanza specificata | Lettura | |||
| DescribeInstanceProperties | Concede l'autorizzazione alla EC2 console Amazon dell'utente per eseguire il rendering dei nodi delle istanze gestite | Lettura | |||
| DescribeInventoryDeletions | Concede l'autorizzazione per visualizzare i dettagli relativi all'eliminazione di un inventario specificato | Lettura | |||
| DescribeMaintenanceWindowExecutionTaskInvocations | Concede l'autorizzazione per visualizzare i dettagli dell'esecuzione di un'attività specificata per una finestra di manutenzione | Elenco | |||
| DescribeMaintenanceWindowExecutionTasks | Concede l'autorizzazione per visualizzare i dettagli relativi alle attività eseguite durante l'esecuzione di una finestra di manutenzione specificata | Elenco | |||
| DescribeMaintenanceWindowExecutions | Concede l'autorizzazione per visualizzare le esecuzioni di una finestra di manutenzione specificata | Elenco | |||
| DescribeMaintenanceWindowSchedule | Concede l'autorizzazione per visualizzare i dettagli relativi alle prossime esecuzioni di una finestra di manutenzione specificata | Elenco | |||
| DescribeMaintenanceWindowTargets | Concede l'autorizzazione per visualizzare un elenco delle destinazioni associate a una finestra di manutenzione specificata | Elenco | |||
| DescribeMaintenanceWindowTasks | Concede l'autorizzazione per visualizzare un elenco delle attività associate a una finestra di manutenzione specificata | Elenco | |||
| DescribeMaintenanceWindows | Concede l'autorizzazione per visualizzare le informazioni relative a tutte le finestre di manutenzione o a quelle specificate | Elenco | |||
| DescribeMaintenanceWindowsForTarget | Concede l'autorizzazione per visualizzare le informazioni relative alle destinazioni della finestra di manutenzione e alle attività associate a un'istanza specificata | Elenco | |||
| DescribeOpsItems | Concede l'autorizzazione a visualizzare i dettagli relativi a specificated OpsItems | Lettura | |||
| DescribeParameters | Concede l'autorizzazione a visualizzare i dettagli su un parametro specificato SSM | Elenco | |||
| DescribePatchBaselines | Concede l'autorizzazione per visualizzare le informazioni relative alle basi di patch che soddisfano i criteri specificati | Elenco | |||
| DescribePatchGroupState | Concede l'autorizzazione per visualizzare i dettagli di stato aggregati per le patch di un gruppo di patch specificato | Elenco | |||
| DescribePatchGroups | Concede l'autorizzazione per visualizzare le informazioni relative alla base di patch per un gruppo di patch specificato | Elenco | |||
| DescribePatchProperties | Concede l'autorizzazione per visualizzare i dettagli delle patch disponibili per un sistema operativo e una proprietà patch specificati | Elenco | |||
| DescribeSessions | Concede l'autorizzazione per visualizzare un elenco di sessioni di Session Manager recenti che soddisfano i criteri di ricerca specificati | Elenco | |||
| DisassociateOpsItemRelatedItem | Concede il permesso di RelatedItem dissociarsi da un OpsItem | Scrittura | |||
| GetAutomationExecution | Concede l'autorizzazione per visualizzare i dettagli di un'esecuzione di automazione specificata | Lettura | |||
| GetCalendar [solo autorizzazione] | Concede l'autorizzazione per visualizzare i dettagli di un calendario specifico | Lettura | |||
| GetCalendarState | Concede l'autorizzazione per visualizzare lo stato del calendario per un calendario di modifiche o un elenco di calendari di modifiche | Lettura | |||
| GetCommandInvocation | Concede l'autorizzazione per visualizzare i dettagli relativi all'esecuzione del comando di un'invocazione o un plugin specificati | Lettura | |||
| GetConnectionStatus | Concede l'autorizzazione per visualizzare lo stato di connessione di Session Manager per un'istanza gestita specificata | Lettura | |||
| GetDefaultPatchBaseline | Concede l'autorizzazione per visualizzare la base di patch predefinita corrente per un tipo di sistema operativo specificato | Lettura | |||
| GetDeployablePatchSnapshotForInstance | Concede l'autorizzazione per recuperare lo snapshot della base di patch corrente per un'istanza specificata | Lettura | |||
| GetDocument | Concede il permesso di visualizzare il contenuto di un documento specificato SSM | Lettura | |||
| GetInventory | Concede l'autorizzazione per visualizzare i dettagli di inventario delle istanze secondo i criteri specificati | Lettura | |||
| GetInventorySchema | Concede l'autorizzazione per visualizzare un elenco di tipi di inventario o nomi di attributo per un tipo di elemento dell'inventario specificato | Lettura | |||
| GetMaintenanceWindow | Concede l'autorizzazione per visualizzare i dettagli relativi a una finestra di manutenzione specificata | Lettura | |||
| GetMaintenanceWindowExecution | Concede l'autorizzazione per visualizzare i dettagli relativi all'esecuzione di una finestra di manutenzione specificata | Lettura | |||
| GetMaintenanceWindowExecutionTask | Concede l'autorizzazione per visualizzare i dettagli relativi all'attività di esecuzione di una finestra di manutenzione specificata | Lettura | |||
| GetMaintenanceWindowExecutionTaskInvocation | Concede l'autorizzazione per visualizzare i dettagli relativi all'esecuzione dell'attività di una determinata finestra di manutenzione su una destinazione specifica | Lettura | |||
| GetMaintenanceWindowTask | Concede l'autorizzazione per visualizzare i dettagli relativi alle attività registrate con una finestra di manutenzione specificata | Lettura | |||
| GetManifest [solo autorizzazione] | Concede l'autorizzazione a Systems Manager e SSM Agent per determinare i requisiti di installazione del pacchetto per un'istanza (chiamata interna di Systems Manager) | Lettura | |||
| GetOpsItem | Concede l'autorizzazione a visualizzare le informazioni su una determinata OpsItem | Lettura | |||
| GetOpsMetadata | Concede il permesso di recuperare un oggetto OpsMetadata | Lettura | |||
| GetOpsSummary | Concede il permesso di visualizzare informazioni di riepilogo sulla OpsItems base di filtri e aggregatori specificati | Lettura | |||
| GetParameter | Concede l'autorizzazione per visualizzare le informazioni relative a un parametro specificato | Lettura | |||
| GetParameterHistory | Concede l'autorizzazione per visualizzare i dettagli e le modifiche per un parametro specificato | Lettura | |||
| GetParameters | Concede l'autorizzazione per visualizzare le informazioni relative a più parametri specificati | Lettura | |||
| GetParametersByPath | Concede l'autorizzazione per visualizzare le informazioni relative ai parametri in una gerarchia specificata | Lettura | |||
| GetPatchBaseline | Concede l'autorizzazione per visualizzare le informazioni relative a una base di patch specificata | Lettura | |||
| GetPatchBaselineForPatchGroup | Concede l'autorizzazione per visualizzare l'ID della base di patch corrente per un gruppo di patch specificato | Lettura | |||
| GetResourcePolicies | Concede l'autorizzazione per richiamare gli elenchi delle policy delle risorse di Systems Manager | Elenco | |||
| GetServiceSetting | Concede l'autorizzazione a visualizzare l'impostazione a livello di account per un servizio AWS | Lettura | |||
| LabelParameterVersion | Concede l'autorizzazione per applicare un'etichetta di identificazione a una versione specificata di un parametro | Scrittura | |||
| ListAssociationVersions | Concede l'autorizzazione per elencare le versioni dell'associazione specificata | Elenco | |||
| ListAssociations | Concede l'autorizzazione a elencare le associazioni per un documento o un'istanza gestita specificato SSM | Elenco | |||
| ListCommandInvocations | Concede l'autorizzazione per elencare le informazioni relative alle invocazioni del comando inviate a un'istanza specificata | Elenco | |||
| ListCommands | Concede l'autorizzazione per elencare i comandi inviati a un'istanza specificata | Elenco | |||
| ListComplianceItems | Concede l'autorizzazione per elencare lo stato di conformità per i tipi di risorse specificati su una risorsa specificata | Elenco | |||
| ListComplianceSummaries | Concede l'autorizzazione per elencare un conteggio riepilogativo delle risorse conformi e non conformi per un tipo di conformità specificato | Elenco | |||
| ListDocumentMetadataHistory | Concede l'autorizzazione a visualizzare la cronologia dei metadati relativa a un documento specifico SSM | Elenco | |||
| ListDocumentVersions | Concede l'autorizzazione per elencare tutte le versioni di un documento specificato | Elenco | |||
| ListDocuments | Concede l'autorizzazione a visualizzare le informazioni su un documento specifico SSM | Elenco | |||
| ListInstanceAssociations | Concede l'autorizzazione all'SSMagente di verificare la presenza di nuove associazioni di State Manager (chiamata interna di Systems Manager) | Elenco | |||
| ListInventoryEntries | Concede l'autorizzazione per visualizzare un elenco di tipi di inventario specificati per un'istanza specificata | Elenco | |||
| ListOpsItemEvents | Concede il permesso di visualizzare i dettagli su OpsItemEvents | Elenco | |||
| ListOpsItemRelatedItems | Concede l'autorizzazione a visualizzare i dettagli su OpsItem RelatedItems | Elenco | |||
| ListOpsMetadata | Concede il permesso di visualizzare un elenco di oggetti OpsMetadata | Elenco | |||
| ListResourceComplianceSummaries | Concede l'autorizzazione per elencare un conteggio riepilogativo a livello di risorsa | Elenco | |||
| ListResourceDataSync | Concede l'autorizzazione per elencare le informazioni relative alle configurazioni di sincronizzazione dei dati delle risorse in un account | Elenco | |||
| ListTagsForResource | Concede l'autorizzazione per visualizzare un elenco di tag delle risorse per una risorsa specificata | Elenco | |||
| ModifyDocumentPermission | Concede l'autorizzazione a condividere un SSM documento personalizzato pubblicamente o privatamente con account specifici AWS | Gestione delle autorizzazioni | |||
| PutCalendar [solo autorizzazione] | Concede l'autorizzazione per creare/modificare un calendario specifico | Scrittura | |||
| PutComplianceItems | Concede l'autorizzazione per registrare un tipo di conformità e altri dettagli di conformità su una risorsa specificata | Scrittura | |||
| PutConfigurePackageResult [solo autorizzazione] | Concede l'autorizzazione all'SSMagente di generare un rapporto sui risultati di richieste specifiche degli agenti (chiamata interna di Systems Manager) | Lettura | |||
| PutInventory | Concede l'autorizzazione per aggiungere o aggiornare elementi di inventario su più istanze gestite specificate | Scrittura | |||
| PutParameter | Concede l'autorizzazione a creare un parametro SSM | Scrittura | |||
| PutResourcePolicy | Concede l'autorizzazione per creare o aggiornare la policy delle risorse di Systems Manager | Gestione delle autorizzazioni | |||
| RegisterDefaultPatchBaseline | Concede l'autorizzazione per specificare la base di patch predefinita per un tipo di sistema operativo | Scrittura | |||
| RegisterManagedInstance | Concede l'autorizzazione per registrare un Systems Manager Agent | Scrittura | |||
| RegisterPatchBaselineForPatchGroup | Concede l'autorizzazione per specificare la base di patch predefinita per un gruppo di patch specificato | Scrittura | |||
| RegisterTargetWithMaintenanceWindow | Concede l'autorizzazione per registrare una destinazione con una finestra di manutenzione specificata | Scrittura | |||
| RegisterTaskWithMaintenanceWindow | Concede l'autorizzazione per registrare un'attività con una finestra di manutenzione specificata | Scrittura | |||
| RemoveTagsFromResource | Concede l'autorizzazione per rimuovere una chiave di tag specificata da una risorsa specificata | Assegnazione di tag | |||
| ResetServiceSetting | Concede l'autorizzazione a ripristinare l'impostazione del servizio per an Account AWS al valore predefinito | Scrittura | |||
| ResumeSession | Concede l'autorizzazione per riconnettere una sessione di Session Manager a un'istanza gestita | Scrittura | |||
| SendAutomationSignal | Concede l'autorizzazione per inviare un segnale per modificare il comportamento o lo stato corrente di un'esecuzione di automazione specificata | Scrittura | |||
| SendCommand | Concede l'autorizzazione per eseguire comandi su una o più istanze gestite specificate | Scrittura | |||
| StartAssociationsOnce | Concede l'autorizzazione per eseguire manualmente un'associazione specificata | Scrittura | |||
| StartAutomationExecution | Concede l'autorizzazione per avviare l'esecuzione di un documento di automazione | Scrittura | |||
| StartChangeRequestExecution | Concede l'autorizzazione per avviare l'esecuzione di un documento di un modello di modifica automazione | Scrittura | |||
| StartSession | Concede l'autorizzazione per avviare una connessione a una destinazione specificata per una sessione di Session Manager | Scrittura | |||
| StopAutomationExecution | Concede l'autorizzazione per interrompere un'esecuzione di automazione specificata già in corso | Scrittura | |||
| TerminateSession | Concede l'autorizzazione per terminare definitivamente una connessione di Session Manager a un'istanza | Scrittura | |||
| UnlabelParameterVersion | Concede l'autorizzazione per rimuovere un'etichetta di identificazione da una versione specificata di un parametro | Scrittura | |||
| UpdateAssociation | Concede l'autorizzazione per aggiornare un'associazione ed eseguire immediatamente l'associazione sulle destinazioni specificate | Scrittura | |||
| UpdateAssociationStatus | Concede l'autorizzazione ad aggiornare lo stato del SSM documento associato a un'istanza specificata | Scrittura | |||
| UpdateDocument | Concede l'autorizzazione ad aggiornare uno o più valori per un documento SSM | Scrittura | |||
| UpdateDocumentDefaultVersion | Concede l'autorizzazione a modificare la versione predefinita di un documento SSM | Scrittura | |||
| UpdateDocumentMetadata | Concede l'autorizzazione ad aggiornare i metadati di un documento SSM | Scrittura | |||
| UpdateInstanceAssociationStatus [solo autorizzazione] | Concede l'autorizzazione all'SSMagente per aggiornare lo stato dell'associazione attualmente in esecuzione (chiamata interna di Systems Manager) | Scrittura | |||
| UpdateInstanceInformation | Concede l'autorizzazione all'SSMagente di inviare un segnale heartbeat al servizio Systems Manager nel cloud | Scrittura | |||
| UpdateMaintenanceWindow | Concede l'autorizzazione per aggiornare una finestra di manutenzione specificata | Scrittura | |||
| UpdateMaintenanceWindowTarget | Concede l'autorizzazione per aggiornare una destinazione della finestra di manutenzione specificata | Scrittura | |||
| UpdateMaintenanceWindowTask | Concede l'autorizzazione per aggiornare un'attività della finestra di manutenzione specificata | Scrittura | |||
| UpdateManagedInstanceRole | Concede l'autorizzazione ad assegnare o modificare il IAM ruolo assegnato a un'istanza gestita specificata | Scrittura | |||
| UpdateOpsItem | Concede l'autorizzazione a modificare o modificare un OpsItem | Scrittura | |||
| UpdateOpsMetadata | Concede il permesso di aggiornare un oggetto OpsMetadata | Scrittura | |||
| UpdatePatchBaseline | Concede l'autorizzazione per aggiornare una base di patch specificata | Scrittura | |||
| UpdateResourceDataSync | Concede l'autorizzazione per aggiornare una sincronizzazione dei dati della risorsa. | Scrittura | |||
| UpdateServiceSetting | Concede l'autorizzazione ad aggiornare le impostazioni del servizio per un Account AWS | Scrittura |
Tipi di risorse definiti da AWS Systems Manager
I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'Resourceelemento delle dichiarazioni sulla politica di IAM autorizzazione. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.
Nota
Alcuni API parametri di State Manager sono obsoleti. Ciò potrebbe portare a comportamenti imprevisti. Per ulteriori informazioni, consulta Lavorare con le associazioni utilizzando. IAM
| Tipi di risorsa | ARN | Chiavi di condizione |
|---|---|---|
| association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
| automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
| automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
| maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
| managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
| managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
| opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
| opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
| opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
| parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
| patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
| session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
| resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
| servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
| windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
| windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
Chiavi di condizione per AWS Systems Manager
AWS Systems Manager definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una IAM policy. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.
Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta Chiavi di condizione globali disponibili.
| Chiavi di condizione | Descrizione | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra l'accesso in base alle richieste ‘Create' basate sul set di valori consentito per i tag specificati | Stringa |
| aws:ResourceTag/${TagKey} | Filtra l'accesso in base a una coppia chiave-valore di tag assegnata alla risorsa AWS | Stringa |
| aws:TagKeys | Filtra l'accesso in base alle richieste d'Create' a seconda che i tag obbligatori siano inclusi nella richiesta | ArrayOfString |
| ec2:SourceInstanceARN | Filtra l'accesso in base all'ARNistanza da cui ha avuto origine la richiesta | ARN |
| ssm:AutoApprove | Filtra l'accesso verificando che un utente disponga dell'autorizzazione per avviare i flussi di lavoro di Change Manager senza una fase di revisione (ad eccezione degli eventi di blocco delle modifiche) | Bool |
| ssm:DocumentCategories | Filtra l'accesso verificando che un utente disponga dell'autorizzazione per accedere a un documento appartenente a una specifica categoria | ArrayOfString |
| ssm:Overwrite | Filtra l'accesso controllando se i parametri di Systems Manager possono essere sovrascritti | Stringa |
| ssm:Policies | Filtra l'accesso controllando se un'IAMentità (utente o ruolo) può creare o aggiornare un parametro che include una politica dei parametri | Stringa |
| ssm:Recursive | Filtra l'accesso in base ai parametri di Systems Manager creati in una struttura gerarchica | Stringa |
| ssm:SessionDocumentAccessCheck | Filtra l'accesso verificando che un utente disponga dell'autorizzazione per accedere al documento di configurazione predefinito di Session Manager o al documento di configurazione personalizzato specificato in una richiesta | Bool |
| ssm:SourceInstanceARN | Filtra l'accesso verificando l'Amazon Resource Name (ARN) dell'istanza gestita di AWS Systems Manager da cui viene effettuata la richiesta. Questa chiave non è presente quando la richiesta proviene dall'istanza gestita autenticata con un IAM ruolo associato EC2 al profilo dell'istanza | ARN |
| ssm:SyncType | Filtra l'accesso verificando che un utente abbia accesso anche a ResourceDataSync SyncType quanto specificato nella richiesta | Stringa |
| ssm:resourceTag/${TagKey} | Filtra l'accesso in base a una coppia chiave-valore di tag assegnata alla risorsa Systems Manager | Stringa |
| ssm:resourceTag/aws:ssmmessages:session-id | Filtra l'accesso in base a una coppia chiave-valore di tag assegnata alla risorsa di sessione Systems Manager | Stringa |
| ssm:resourceTag/aws:ssmmessages:target-id | Filtra l'accesso in base a una coppia chiave-valore di tag assegnata alla risorsa di sessione Systems Manager | Stringa |
| ssm:resourceTag/tag-key | Filtra l'accesso in base a una coppia chiave-valore di tag assegnata alla risorsa Systems Manager | Stringa |
