翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Systems Manager のアクション、リソース、および条件キー
AWS Systems Manager (サービスプレフィックス: ssm
) では、 アクセスIAM許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
API このサービスで使用可能なオペレーションのリストを表示します。
-
アクセス許可ポリシーを使用してIAM、このサービスとそのリソースを保護する方法について説明します。
AWS Systems Manager で定義されるアクション
IAM ポリシーステートメントの Action
要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前のAPIオペレーションまたはCLIコマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、ARNそのアクションを含むステートメントでそのタイプの を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARNまたは パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
AddTagsToResource | 指定された AWS リソースの 1 つ以上のタグを追加または上書きするアクセス許可を付与します | タグ付け | |||
AssociateOpsItemRelatedItem | RelatedItem に関連付けるアクセス許可を付与します OpsItem | 書き込み | |||
CancelCommand | 指定した Run Command コマンドをキャンセルする許可を付与 | 書き込み | |||
CancelMaintenanceWindowExecution | 進行中のメンテナンスウィンドウの実行をキャンセルする許可を付与 | 書き込み | |||
CreateActivation | Systems Manager でオンプレミスサーバーと仮想マシン (VMs) を登録するために使用されるアクティベーションを作成するアクセス許可を付与します | 書き込み | |||
CreateAssociation | 指定した Systems Manager ドキュメントを、指定したインスタンスまたは他のターゲットに関連付けるアクセス許可を付与 | 書き込み | |||
CreateAssociationBatch | 1 つのコマンドで複数の CreateAssociation オペレーションのエントリを組み合わせるアクセス許可を付与します | 書き込み | |||
CreateDocument | Systems Manager SSMドキュメントを作成する許可を付与 | 書き込み |
iam:PassRole |
||
CreateMaintenanceWindow | メンテナンスウィンドウを作成する許可を付与 | 書き込み | |||
CreateOpsItem | OpsItem で を作成する許可を付与 OpsCenter | 書き込み | |||
CreateOpsMetadata | AWS リソースの OpsMetadata オブジェクトを作成するアクセス許可を付与します | 書き込み | |||
CreatePatchBaseline | パッチベースラインを作成する許可を付与 | 書き込み | |||
CreateResourceDataSync | リソースデータ同期設定を作成する許可を付与。この設定は、マネージドインスタンスからインベントリデータを定期的に収集し、Amazon S3 バケット内のデータを更新 | 書き込み | |||
DeleteActivation | マネージドインスタンスの指定されたアクティベーションを削除する許可を付与 | 書き込み | |||
DeleteAssociation | 指定されたSSMドキュメントと指定されたインスタンスの関連付けを解除するアクセス許可を付与します | 書き込み | |||
DeleteDocument | 指定されたSSMドキュメントとそのインスタンスの関連付けを削除するアクセス許可を付与します | 書き込み | |||
DeleteInventory | カスタムインベントリタイプまたは当該タイプに関連付けられているデータを削除する許可を付与 | 書き込み | |||
DeleteMaintenanceWindow | 指定したメンテナンスウィンドウを削除する許可を付与 | 書き込み | |||
DeleteOpsItem | を削除するアクセス許可を付与します OpsItem | 書き込み | |||
DeleteOpsMetadata | OpsMetadata オブジェクトを削除する許可を付与 | 書き込み | |||
DeleteParameter | 指定されたSSMパラメータを削除するアクセス許可を付与します | 書き込み | |||
DeleteParameters | 指定された複数のSSMパラメータを削除するアクセス許可を付与します | 書き込み | |||
DeletePatchBaseline | 指定したパッチベースラインを削除する許可を付与 | 書き込み | |||
DeleteResourceDataSync | 指定したリソースデータ同期を削除する許可を付与 | 書き込み | |||
DeleteResourcePolicy | Systems Manager のポリシーを削除する許可を付与 | 権限の管理 | |||
DeregisterManagedInstance | Systems Manager から指定したオンプレミスサーバーまたは仮想マシン (VM) の登録を解除する許可を付与 | 書き込み | |||
DeregisterPatchBaselineForPatchGroup | 指定したパッチベースラインを、指定したパッチグループのデフォルトパッチベースラインから登録解除する許可を付与 | 書き込み | |||
DeregisterTargetFromMaintenanceWindow | 指定したターゲットをメンテナンスウィンドウから登録解除する許可を付与 | 書き込み | |||
DeregisterTaskFromMaintenanceWindow | 指定されたタスクをメンテナンスウィンドウから登録解除する許可を付与 | 書き込み | |||
DescribeActivations | 指定されたマネージドインスタンスのアクティベーションに関する詳細を表示する許可を付与(作成日時、アクティベーションを使用して登録されたインスタンスの数など) | 読み取り | |||
DescribeAssociation | 指定したインスタンスまたはターゲットの指定した関連付けの詳細を表示する許可を付与 | 読み取り | |||
DescribeAssociationExecutionTargets | 指定した関連付け実行に関する情報を表示する許可を付与 | 読み取り | |||
DescribeAssociationExecutions | 指定した関連付けのすべての実行を表示する許可を付与 | 読み取り | |||
DescribeAutomationExecutions | すべてのアクティブなオートメーション実行と終了したオートメーション実行の詳細を表示する許可を付与 | 読み取り | |||
DescribeAutomationStepExecutions | オートメーションワークフローでアクティブなステップ実行と終了したステップ実行のすべてを表示する許可を付与 | 読み取り | |||
DescribeAvailablePatches | パッチベースラインに含める資格のあるすべてのパッチを表示する許可を付与 | 読み取り | |||
DescribeDocument | 指定されたSSMドキュメントの詳細を表示するアクセス許可を付与します | 読み取り | |||
DescribeDocumentParameters | Systems Manager コンソールにSSMドキュメントパラメータに関する情報を表示するアクセス許可を付与します (内部 Systems Manager アクション) | 読み取り | |||
DescribeDocumentPermission | 指定されたSSMドキュメントのアクセス許可を表示するアクセス許可を付与します | 読み取り | |||
DescribeEffectiveInstanceAssociations | 指定したインスタンスの現在の関連付けをすべて表示する許可を付与 | 読み取り | |||
DescribeEffectivePatchesForPatchBaseline | 指定したパッチベースラインに現在関連付けられているパッチの詳細を表示する許可を付与(Windows のみ) | 読み取り | |||
DescribeInstanceAssociationsStatus | 指定したインスタンスの関連付けのステータスを表示する許可を付与 | 読み取り | |||
DescribeInstanceInformation | 指定したインスタンスに関する詳細を表示する許可を付与 | 読み取り | |||
DescribeInstancePatchStates | 指定したインスタンスのパッチに関するステータスの詳細を表示する許可を付与 | 読み取り | |||
DescribeInstancePatchStatesForPatchGroup | 指定したパッチグループ内のインスタンスのパッチ状態の概要を記述する許可を付与 | 読み取り | |||
DescribeInstancePatches | 指定したインスタンスのパッチに関する全般的な詳細を表示する許可を付与 | 読み取り | |||
DescribeInstanceProperties | マネージドインスタンスのノードをレンダリングするアクセス許可をユーザーの Amazon EC2コンソールに付与します | 読み取り | |||
DescribeInventoryDeletions | 指定したインベントリ削除の詳細を表示する許可を付与 | 読み取り | |||
DescribeMaintenanceWindowExecutionTaskInvocations | メンテナンスウィンドウに対して指定したタスク実行の詳細を表示する許可を付与 | リスト | |||
DescribeMaintenanceWindowExecutionTasks | 指定したメンテナンスウィンドウの実行中に実行されたタスクの詳細を表示する許可を付与 | リスト | |||
DescribeMaintenanceWindowExecutions | 指定したメンテナンスウィンドウの実行を表示する許可を付与 | リスト | |||
DescribeMaintenanceWindowSchedule | 指定したメンテナンスウィンドウの今後の実行に関する詳細を表示する許可を付与 | リスト | |||
DescribeMaintenanceWindowTargets | 指定したメンテナンスウィンドウに関連付けられているターゲットのリストを表示する許可を付与 | リスト | |||
DescribeMaintenanceWindowTasks | 指定したメンテナンスウィンドウに関連付けられたタスクのリストを表示する許可を付与 | リスト | |||
DescribeMaintenanceWindows | すべてまたは指定したメンテナンスウィンドウに関する情報を表示する許可を付与 | リスト | |||
DescribeMaintenanceWindowsForTarget | 指定したインスタンスに関連付けられたメンテナンスウィンドウのターゲットおよびタスクに関する情報を表示する許可を付与 | リスト | |||
DescribeOpsItems | 指定された の詳細を表示するアクセス許可を付与します OpsItems | 読み取り | |||
DescribeParameters | 指定されたSSMパラメータの詳細を表示するアクセス許可を付与します | リスト | |||
DescribePatchBaselines | 指定した条件を満たすパッチベースラインに関する情報を表示する許可を付与 | リスト | |||
DescribePatchGroupState | 指定したパッチグループのパッチの集約ステータス詳細を表示する許可を付与 | リスト | |||
DescribePatchGroups | 指定したパッチグループのパッチベースラインに関する情報を表示する許可を付与 | リスト | |||
DescribePatchProperties | 指定したオペレーティングシステムおよびパッチプロパティで使用可能なパッチの詳細を表示する許可を付与 | リスト | |||
DescribeSessions | 指定した検索条件を満たす最近の Session Manager セッションのリストを表示する許可を付与 | リスト | |||
DisassociateOpsItemRelatedItem | RelatedItem との関連付けを解除するアクセス許可を付与します OpsItem | 書き込み | |||
GetAutomationExecution | 指定したオートメーション実行の詳細を表示する許可を付与 | 読み取り | |||
GetCalendar [アクセス許可のみ] | 特定のカレンダーの詳細を表示する許可を付与 | 読み取り | |||
GetCalendarState | 変更カレンダーまたは変更カレンダーの一覧のカレンダーの状態を表示する許可を付与 | 読み取り | |||
GetCommandInvocation | 指定した呼び出しまたはプラグインのコマンド実行に関する詳細を表示する許可を付与 | 読み取り | |||
GetConnectionStatus | 指定したマネージドインスタンスの Session Manager 接続ステータスを表示する許可を付与 | 読み取り | |||
GetDefaultPatchBaseline | 指定したオペレーティングシステムタイプの現在の既定のパッチベースラインを表示する許可を付与 | 読み取り | |||
GetDeployablePatchSnapshotForInstance | 指定したインスタンスの現在のパッチベースラインスナップショットを取得する許可を付与 | 読み取り | |||
GetDocument | 指定されたSSMドキュメントの内容を表示するアクセス許可を付与します | 読み取り | |||
GetInventory | 指定した基準に従ってインスタンスインベントリの詳細を表示する許可を付与 | 読み取り | |||
GetInventorySchema | 指定したインベントリ項目タイプのインベントリタイプまたは属性名のリストを表示する許可を付与 | 読み取り | |||
GetMaintenanceWindow | 指定したメンテナンスウィンドウの詳細を表示する許可を付与 | 読み取り | |||
GetMaintenanceWindowExecution | 指定したメンテナンスウィンドウの実行に関する詳細を表示する許可を付与 | 読み取り | |||
GetMaintenanceWindowExecutionTask | 指定したメンテナンスウィンドウの実行タスクの詳細を表示する許可を付与 | 読み取り | |||
GetMaintenanceWindowExecutionTaskInvocation | 特定のターゲットで実行されている特定のメンテナンスウィンドウのタスクの詳細を表示する許可を付与 | 読み取り | |||
GetMaintenanceWindowTask | 指定したメンテナンスウィンドウに登録されたタスクの詳細を表示する許可を付与 | 読み取り | |||
GetManifest [アクセス許可のみ] | インスタンスのパッケージインストール要件を決定するアクセス許可を Systems Manager と SSM エージェントに付与します (内部 Systems Manager 呼び出し) | 読み取り | |||
GetOpsItem | 指定された に関する情報を表示する許可を付与 OpsItem | 読み取り | |||
GetOpsMetadata | OpsMetadata オブジェクトを取得する許可を付与 | 読み取り | |||
GetOpsSummary | 指定されたフィルターとアグリゲータ OpsItems に基づいて に関する概要情報を表示するアクセス許可を付与します | 読み取り | |||
GetParameter | 指定したパラメータに関する情報を表示する許可を付与 | 読み取り | |||
GetParameterHistory | 指定したパラメータの詳細と変更を表示する許可を付与 | 読み取り | |||
GetParameters | 指定した複数のパラメータに関する情報を表示する許可を付与 | 読み取り | |||
GetParametersByPath | 指定した階層内のパラメータに関する情報を表示する許可を付与 | 読み取り | |||
GetPatchBaseline | 指定したパッチベースラインに関する情報を表示する許可を付与 | 読み取り | |||
GetPatchBaselineForPatchGroup | 指定したパッチグループの現在のパッチベースラインの ID を表示する許可を付与 | 読み取り | |||
GetResourcePolicies | Systems Manager のリソースポリシーを一覧表示する許可を付与 | リスト | |||
GetServiceSetting | AWS サービスのアカウントレベルの設定を表示する許可を付与 | 読み取り | |||
LabelParameterVersion | 指定したバージョンのパラメータに識別ラベルを適用する許可を付与 | 書き込み | |||
ListAssociationVersions | 指定した関連付けのバージョンを一覧表示する許可を付与 | リスト | |||
ListAssociations | 指定されたSSMドキュメントまたはマネージドインスタンスの関連付けを一覧表示するアクセス許可を付与します | リスト | |||
ListCommandInvocations | 指定したインスタンスに送信されたコマンド呼び出しに関する情報を一覧表示する許可を付与 | リスト | |||
ListCommands | 指定したインスタンスに送信されたコマンドを一覧表示する許可を付与 | リスト | |||
ListComplianceItems | 指定したリソース上の指定したリソースタイプに対するコンプライアンスステータスを一覧表示する許可を付与 | リスト | |||
ListComplianceSummaries | 指定したコンプライアンスタイプについて、準拠リソースと非準拠リソースの集計カウントを一覧表示する許可を付与 | リスト | |||
ListDocumentMetadataHistory | 指定されたSSMドキュメントに関するメタデータ履歴を表示するアクセス許可を付与します | リスト | |||
ListDocumentVersions | 指定したドキュメントのすべてのバージョンを一覧表示する許可を付与 | リスト | |||
ListDocuments | 指定されたSSMドキュメントに関する情報を表示するアクセス許可を付与します | リスト | |||
ListInstanceAssociations | 新しいステートマネージャーの関連付け (内部 Systems Manager 呼び出し) をチェックするアクセス許可をSSMエージェントに付与します | リスト | |||
ListInventoryEntries | 指定したインスタンスの指定したインベントリタイプのリストを表示する許可を付与 | リスト | |||
ListOpsItemEvents | の詳細を表示する許可を付与 OpsItemEvents | リスト | |||
ListOpsItemRelatedItems | の詳細を表示する許可を付与 OpsItem RelatedItems | リスト | |||
ListOpsMetadata | OpsMetadata オブジェクトのリストを表示する許可を付与 | リスト | |||
ListResourceComplianceSummaries | リソースレベルの集計カウントを一覧表示する許可を付与 | リスト | |||
ListResourceDataSync | アカウントのリソースデータ同期設定に関する情報を一覧表示する許可を付与 | リスト | |||
ListTagsForResource | 指定したリソースのリソースタグのリストを表示する許可を付与 | リスト | |||
ModifyDocumentPermission | カスタムSSMドキュメントを指定された AWS アカウントとパブリックまたはプライベートに共有するアクセス許可を付与します | 権限の管理 | |||
PutCalendar [アクセス許可のみ] | 特定のカレンダーを作成/編集する許可を付与 | 書き込み | |||
PutComplianceItems | 指定したリソースのコンプライアンスタイプおよびその他のコンプライアンス詳細を登録する許可を付与 | 書き込み | |||
PutConfigurePackageResult [アクセス許可のみ] | 特定のSSMエージェントリクエスト (内部 Systems Manager 呼び出し) の結果のレポートを生成するアクセス許可をエージェントに付与します | 読み取り | |||
PutInventory | 指定した複数のマネージドインスタンスでインベントリ項目を追加または更新する許可を付与 | 書き込み | |||
PutParameter | SSM パラメータを作成するアクセス許可を付与します | 書き込み | |||
PutResourcePolicy | Systems Manager のリソースポリシーを作成または更新する許可を付与 | 権限の管理 | |||
RegisterDefaultPatchBaseline | オペレーティングシステムタイプの既定のパッチベースラインを指定する許可を付与 | 書き込み | |||
RegisterManagedInstance | Systems Manager Agent を登録するアクセス許可を付与 | 書き込み | |||
RegisterPatchBaselineForPatchGroup | 指定したパッチグループのデフォルトのパッチベースラインを指定する許可を付与 | 書き込み | |||
RegisterTargetWithMaintenanceWindow | メンテナンスウィンドウでターゲットを登録する許可を付与 | 書き込み | |||
RegisterTaskWithMaintenanceWindow | 指定したメンテナンスウィンドウでタスクを登録する許可を付与 | 書き込み | |||
RemoveTagsFromResource | 指定したリソースから指定したタグキーを削除する許可を付与 | タグ付け | |||
ResetServiceSetting | のサービス設定をデフォルト値 AWS アカウント にリセットするアクセス許可を付与します | 書き込み | |||
ResumeSession | マネージドインスタンスに Session Manager のセッションを再接続する許可を付与 | 書き込み | |||
SendAutomationSignal | 指定したオートメーション実行の現在の動作やステータスを変更するための信号を送信する許可を付与 | 書き込み | |||
SendCommand | 指定した 1 つ以上のマネージドインスタンスでコマンドを実行する許可を付与 | 書き込み | |||
StartAssociationsOnce | 指定した関連付けを手動で実行する許可を付与 | 書き込み | |||
StartAutomationExecution | オートメーションドキュメントの実行を開始する許可を付与 | 書き込み | |||
StartChangeRequestExecution | 自動化ドキュメントの実行を開始する許可を付与 | 書き込み | |||
StartSession | セッションマネージャーセッションの指定したターゲットへの接続を開始する許可を付与 | 書き込み | |||
StopAutomationExecution | 既に進行中の指定したオートメーションの実行を停止する許可を付与 | 書き込み | |||
TerminateSession | インスタンスへの Session Manager 接続を永続的に終了するアクセス許可を付与 | 書き込み | |||
UnlabelParameterVersion | 指定済みバージョンのパラメータから識別ラベルを削除する許可を付与 | 書き込み | |||
UpdateAssociation | 指定したターゲットで関連付けを更新し、関連付けをただちに実行する許可を付与 | 書き込み | |||
UpdateAssociationStatus | 指定されたインスタンスに関連付けられたSSMドキュメントのステータスを更新するアクセス許可を付与します | 書き込み | |||
UpdateDocument | SSM ドキュメントの 1 つ以上の値を更新する許可を付与 | 書き込み | |||
UpdateDocumentDefaultVersion | SSM ドキュメントのデフォルトバージョンを変更する許可を付与 | 書き込み | |||
UpdateDocumentMetadata | SSM ドキュメントのメタデータを更新する許可を付与 | 書き込み | |||
UpdateInstanceAssociationStatus [アクセス許可のみ] | SSM エージェントに、現在実行中の関連付けのステータスを更新するアクセス許可を付与します (内部 Systems Manager 呼び出し) | 書き込み | |||
UpdateInstanceInformation | クラウド内の Systems Manager サービスにハートビートシグナルを送信するアクセス許可を SSM エージェントに付与します | 書き込み | |||
UpdateMaintenanceWindow | 指定したメンテナンスウィンドウを更新する許可を付与 | 書き込み | |||
UpdateMaintenanceWindowTarget | メンテナンスウィンドウターゲットを更新する許可を付与 | 書き込み | |||
UpdateMaintenanceWindowTask | メンテナンスウィンドウタスクを更新する許可を付与 | 書き込み | |||
UpdateManagedInstanceRole | 指定されたマネージドインスタンスに割り当てられたIAMロールを割り当てまたは変更するアクセス許可を付与します | 書き込み | |||
UpdateOpsItem | を編集または変更する許可を付与 OpsItem | 書き込み | |||
UpdateOpsMetadata | OpsMetadata オブジェクトを更新する許可を付与 | 書き込み | |||
UpdatePatchBaseline | 指定したパッチベースラインを更新する許可を付与 | 書き込み | |||
UpdateResourceDataSync | リソースデータの同期を更新する許可を付与 | 書き込み | |||
UpdateServiceSetting | のサービス設定を更新する許可を付与 AWS アカウント | 書き込み |
AWS Systems Manager で定義されるリソースタイプ
次のリソースタイプは、このサービスによって定義され、IAMアクセス許可ポリシーステートメントの Resource
要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
注記
一部のステートマネージャーAPIパラメータは廃止されました。これは予期しない動作につながる可能性があります。詳細については、「 を使用した関連付けの操作IAM」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
bucket |
arn:${Partition}:s3:::${BucketName}
|
|
document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
AWS Systems Manager の条件キー
AWS Systems Manager は、 IAMポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | [Type] (タイプ) |
---|---|---|
aws:RequestTag/${TagKey} | 指定したタグで許可されている値のセットに基づいて「作成」リクエストでアクセスをフィルタリング | 文字列 |
aws:ResourceTag/${TagKey} | AWS リソースに割り当てられたタグキーと値のペアに基づいてアクセスをフィルタリングします | 文字列 |
aws:TagKeys | 必須タグがリクエストに含まれているかどうかに基づいて、「作成」リクエストでアクセスをフィルタリング | ArrayOfString |
ec2:SourceInstanceARN | リクエストの送信元のインスタンスARNの でアクセスをフィルタリングします | ARN |
ssm:AutoApprove | ユーザーがレビューステップなしで (変更フリーズイベントは例外) 、Change Manager ワークフローを開始するアクセス可能を持っていることを確認して、アクセスをフィルタリング | Bool |
ssm:DocumentCategories | ユーザーが特定のカテゴリに属するドキュメントにアクセスする許可を持っていることを確認して、アクセスをフィルタリング | ArrayOfString |
ssm:Overwrite | Systems Manager のパラメータを上書きできるかどうかの制御によって、アクセスをフィルタリング | 文字列 |
ssm:Policies | IAM エンティティ (ユーザーまたはロール) がパラメータポリシーを含むパラメータを作成または更新できるかどうかを制御することで、アクセスをフィルタリングします | 文字列 |
ssm:Recursive | 階層構造で作成された Systems Manager のパラメータによってアクセスをフィルタリング | 文字列 |
ssm:SessionDocumentAccessCheck | ユーザーがデフォルトの Session Manager 設定ドキュメントまたはリクエストで指定されたカスタム設定ドキュメントにアクセスする権限を持っていることを確認して、アクセスをフィルタリング | Bool |
ssm:SourceInstanceARN | リクエストが行われた AWS Systems Manager のマネージドインスタンスの Amazon リソースネーム (ARN) を検証してアクセスをフィルタリングします。このキーは、リクエストがインスタンスプロファイルに関連付けられたIAMロールで認証されたマネージドEC2インスタンスから送信された場合は存在しません。 | ARN |
ssm:SyncType | ユーザーがリクエストで ResourceDataSync SyncType 指定された にもアクセスできることを確認して、アクセスをフィルタリングします | 文字列 |
ssm:resourceTag/${TagKey} | Systems Manager リソースに割り当てられたタグのキーおよび値のペアによってアクセスをフィルタリング | 文字列 |
ssm:resourceTag/aws:ssmmessages:session-id | Systems Manager セッションリソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリングします | 文字列 |
ssm:resourceTag/aws:ssmmessages:target-id | Systems Manager セッションリソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリングします | 文字列 |
ssm:resourceTag/tag-key | Systems Manager リソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリング | 文字列 |