AWS Systems Manager のアクション、リソース、および条件キー - サービス認証リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Systems Manager のアクション、リソース、および条件キー

AWS Systems Manager (サービスプレフィックス: ssm) では、 アクセスIAM許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS Systems Manager で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前のAPIオペレーションまたはCLIコマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、ARNそのアクションを含むステートメントでそのタイプの を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARNまたは パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddTagsToResource 指定された AWS リソースの 1 つ以上のタグを追加または上書きするアクセス許可を付与します タグ付け

association

automation-execution

document

instance

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

task

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

AssociateOpsItemRelatedItem RelatedItem に関連付けるアクセス許可を付与します OpsItem 書き込み

opsitem*

CancelCommand 指定した Run Command コマンドをキャンセルする許可を付与 書き込み
CancelMaintenanceWindowExecution 進行中のメンテナンスウィンドウの実行をキャンセルする許可を付与 書き込み

maintenancewindow*

CreateActivation Systems Manager でオンプレミスサーバーと仮想マシン (VMs) を登録するために使用されるアクティベーションを作成するアクセス許可を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAssociation 指定した Systems Manager ドキュメントを、指定したインスタンスまたは他のターゲットに関連付けるアクセス許可を付与 書き込み

association*

document*

instance

managed-instance

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAssociationBatch 1 つのコマンドで複数の CreateAssociation オペレーションのエントリを組み合わせるアクセス許可を付与します 書き込み

document*

instance

managed-instance

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDocument Systems Manager SSMドキュメントを作成する許可を付与 書き込み

document*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMaintenanceWindow メンテナンスウィンドウを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsItem OpsItem で を作成する許可を付与 OpsCenter 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsMetadata AWS リソースの OpsMetadata オブジェクトを作成するアクセス許可を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePatchBaseline パッチベースラインを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResourceDataSync リソースデータ同期設定を作成する許可を付与。この設定は、マネージドインスタンスからインベントリデータを定期的に収集し、Amazon S3 バケット内のデータを更新 書き込み

resourcedatasync*

ssm:SyncType

DeleteActivation マネージドインスタンスの指定されたアクティベーションを削除する許可を付与 書き込み
DeleteAssociation 指定されたSSMドキュメントと指定されたインスタンスの関連付けを解除するアクセス許可を付与します 書き込み

association

document

instance

managed-instance

aws:ResourceTag/${TagKey}

DeleteDocument 指定されたSSMドキュメントとそのインスタンスの関連付けを削除するアクセス許可を付与します 書き込み

document*

DeleteInventory カスタムインベントリタイプまたは当該タイプに関連付けられているデータを削除する許可を付与 書き込み
DeleteMaintenanceWindow 指定したメンテナンスウィンドウを削除する許可を付与 書き込み

maintenancewindow*

DeleteOpsItem を削除するアクセス許可を付与します OpsItem 書き込み

opsitem*

DeleteOpsMetadata OpsMetadata オブジェクトを削除する許可を付与 書き込み

opsmetadata*

DeleteParameter 指定されたSSMパラメータを削除するアクセス許可を付与します 書き込み

parameter*

aws:ResourceTag/${TagKey}

DeleteParameters 指定された複数のSSMパラメータを削除するアクセス許可を付与します 書き込み

parameter*

aws:ResourceTag/${TagKey}

DeletePatchBaseline 指定したパッチベースラインを削除する許可を付与 書き込み

patchbaseline*

DeleteResourceDataSync 指定したリソースデータ同期を削除する許可を付与 書き込み

resourcedatasync*

ssm:SyncType

DeleteResourcePolicy Systems Manager のポリシーを削除する許可を付与 権限の管理

opsitemgroup

parameter

DeregisterManagedInstance Systems Manager から指定したオンプレミスサーバーまたは仮想マシン (VM) の登録を解除する許可を付与 書き込み

managed-instance*

ssm:resourceTag/tag-key

DeregisterPatchBaselineForPatchGroup 指定したパッチベースラインを、指定したパッチグループのデフォルトパッチベースラインから登録解除する許可を付与 書き込み

patchbaseline*

DeregisterTargetFromMaintenanceWindow 指定したターゲットをメンテナンスウィンドウから登録解除する許可を付与 書き込み

maintenancewindow*

DeregisterTaskFromMaintenanceWindow 指定されたタスクをメンテナンスウィンドウから登録解除する許可を付与 書き込み

maintenancewindow*

DescribeActivations 指定されたマネージドインスタンスのアクティベーションに関する詳細を表示する許可を付与(作成日時、アクティベーションを使用して登録されたインスタンスの数など) 読み取り
DescribeAssociation 指定したインスタンスまたはターゲットの指定した関連付けの詳細を表示する許可を付与 読み取り

association

document

instance

managed-instance

aws:ResourceTag/${TagKey}

DescribeAssociationExecutionTargets 指定した関連付け実行に関する情報を表示する許可を付与 読み取り

association*

aws:ResourceTag/${TagKey}

DescribeAssociationExecutions 指定した関連付けのすべての実行を表示する許可を付与 読み取り

association*

aws:ResourceTag/${TagKey}

DescribeAutomationExecutions すべてのアクティブなオートメーション実行と終了したオートメーション実行の詳細を表示する許可を付与 読み取り
DescribeAutomationStepExecutions オートメーションワークフローでアクティブなステップ実行と終了したステップ実行のすべてを表示する許可を付与 読み取り

automation-execution*

DescribeAvailablePatches パッチベースラインに含める資格のあるすべてのパッチを表示する許可を付与 読み取り
DescribeDocument 指定されたSSMドキュメントの詳細を表示するアクセス許可を付与します 読み取り

document*

DescribeDocumentParameters Systems Manager コンソールにSSMドキュメントパラメータに関する情報を表示するアクセス許可を付与します (内部 Systems Manager アクション) 読み取り

document*

DescribeDocumentPermission 指定されたSSMドキュメントのアクセス許可を表示するアクセス許可を付与します 読み取り

document*

DescribeEffectiveInstanceAssociations 指定したインスタンスの現在の関連付けをすべて表示する許可を付与 読み取り

instance*

managed-instance*

aws:ResourceTag/${TagKey}

DescribeEffectivePatchesForPatchBaseline 指定したパッチベースラインに現在関連付けられているパッチの詳細を表示する許可を付与(Windows のみ) 読み取り

patchbaseline*

DescribeInstanceAssociationsStatus 指定したインスタンスの関連付けのステータスを表示する許可を付与 読み取り

instance*

managed-instance*

aws:ResourceTag/${TagKey}

DescribeInstanceInformation 指定したインスタンスに関する詳細を表示する許可を付与 読み取り
DescribeInstancePatchStates 指定したインスタンスのパッチに関するステータスの詳細を表示する許可を付与 読み取り

instance*

managed-instance*

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

DescribeInstancePatchStatesForPatchGroup 指定したパッチグループ内のインスタンスのパッチ状態の概要を記述する許可を付与 読み取り
DescribeInstancePatches 指定したインスタンスのパッチに関する全般的な詳細を表示する許可を付与 読み取り

instance*

managed-instance*

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

DescribeInstanceProperties マネージドインスタンスのノードをレンダリングするアクセス許可をユーザーの Amazon EC2コンソールに付与します 読み取り
DescribeInventoryDeletions 指定したインベントリ削除の詳細を表示する許可を付与 読み取り
DescribeMaintenanceWindowExecutionTaskInvocations メンテナンスウィンドウに対して指定したタスク実行の詳細を表示する許可を付与 リスト
DescribeMaintenanceWindowExecutionTasks 指定したメンテナンスウィンドウの実行中に実行されたタスクの詳細を表示する許可を付与 リスト
DescribeMaintenanceWindowExecutions 指定したメンテナンスウィンドウの実行を表示する許可を付与 リスト

maintenancewindow*

DescribeMaintenanceWindowSchedule 指定したメンテナンスウィンドウの今後の実行に関する詳細を表示する許可を付与 リスト
DescribeMaintenanceWindowTargets 指定したメンテナンスウィンドウに関連付けられているターゲットのリストを表示する許可を付与 リスト

maintenancewindow*

DescribeMaintenanceWindowTasks 指定したメンテナンスウィンドウに関連付けられたタスクのリストを表示する許可を付与 リスト

maintenancewindow*

DescribeMaintenanceWindows すべてまたは指定したメンテナンスウィンドウに関する情報を表示する許可を付与 リスト
DescribeMaintenanceWindowsForTarget 指定したインスタンスに関連付けられたメンテナンスウィンドウのターゲットおよびタスクに関する情報を表示する許可を付与 リスト
DescribeOpsItems 指定された の詳細を表示するアクセス許可を付与します OpsItems 読み取り
DescribeParameters 指定されたSSMパラメータの詳細を表示するアクセス許可を付与します リスト
DescribePatchBaselines 指定した条件を満たすパッチベースラインに関する情報を表示する許可を付与 リスト
DescribePatchGroupState 指定したパッチグループのパッチの集約ステータス詳細を表示する許可を付与 リスト
DescribePatchGroups 指定したパッチグループのパッチベースラインに関する情報を表示する許可を付与 リスト
DescribePatchProperties 指定したオペレーティングシステムおよびパッチプロパティで使用可能なパッチの詳細を表示する許可を付与 リスト
DescribeSessions 指定した検索条件を満たす最近の Session Manager セッションのリストを表示する許可を付与 リスト
DisassociateOpsItemRelatedItem RelatedItem との関連付けを解除するアクセス許可を付与します OpsItem 書き込み

opsitem*

GetAutomationExecution 指定したオートメーション実行の詳細を表示する許可を付与 読み取り

automation-execution*

GetCalendar [アクセス許可のみ] 特定のカレンダーの詳細を表示する許可を付与 読み取り

document*

GetCalendarState 変更カレンダーまたは変更カレンダーの一覧のカレンダーの状態を表示する許可を付与 読み取り

document*

GetCommandInvocation 指定した呼び出しまたはプラグインのコマンド実行に関する詳細を表示する許可を付与 読み取り
GetConnectionStatus 指定したマネージドインスタンスの Session Manager 接続ステータスを表示する許可を付与 読み取り

instance

managed-instance

task

ssm:resourceTag/${TagKey}

aws:ResourceTag/${TagKey}

GetDefaultPatchBaseline 指定したオペレーティングシステムタイプの現在の既定のパッチベースラインを表示する許可を付与 読み取り

patchbaseline*

GetDeployablePatchSnapshotForInstance 指定したインスタンスの現在のパッチベースラインスナップショットを取得する許可を付与 読み取り
GetDocument 指定されたSSMドキュメントの内容を表示するアクセス許可を付与します 読み取り

document*

ssm:DocumentCategories

GetInventory 指定した基準に従ってインスタンスインベントリの詳細を表示する許可を付与 読み取り
GetInventorySchema 指定したインベントリ項目タイプのインベントリタイプまたは属性名のリストを表示する許可を付与 読み取り
GetMaintenanceWindow 指定したメンテナンスウィンドウの詳細を表示する許可を付与 読み取り

maintenancewindow*

GetMaintenanceWindowExecution 指定したメンテナンスウィンドウの実行に関する詳細を表示する許可を付与 読み取り
GetMaintenanceWindowExecutionTask 指定したメンテナンスウィンドウの実行タスクの詳細を表示する許可を付与 読み取り
GetMaintenanceWindowExecutionTaskInvocation 特定のターゲットで実行されている特定のメンテナンスウィンドウのタスクの詳細を表示する許可を付与 読み取り
GetMaintenanceWindowTask 指定したメンテナンスウィンドウに登録されたタスクの詳細を表示する許可を付与 読み取り

maintenancewindow*

GetManifest [アクセス許可のみ] インスタンスのパッケージインストール要件を決定するアクセス許可を Systems Manager と SSM エージェントに付与します (内部 Systems Manager 呼び出し) 読み取り
GetOpsItem 指定された に関する情報を表示する許可を付与 OpsItem 読み取り

opsitem*

GetOpsMetadata OpsMetadata オブジェクトを取得する許可を付与 読み取り

opsmetadata*

GetOpsSummary 指定されたフィルターとアグリゲータ OpsItems に基づいて に関する概要情報を表示するアクセス許可を付与します 読み取り

resourcedatasync*

GetParameter 指定したパラメータに関する情報を表示する許可を付与 読み取り

parameter*

aws:ResourceTag/${TagKey}

GetParameterHistory 指定したパラメータの詳細と変更を表示する許可を付与 読み取り

parameter*

aws:ResourceTag/${TagKey}

GetParameters 指定した複数のパラメータに関する情報を表示する許可を付与 読み取り

parameter*

aws:ResourceTag/${TagKey}

GetParametersByPath 指定した階層内のパラメータに関する情報を表示する許可を付与 読み取り

parameter*

ssm:Recursive

GetPatchBaseline 指定したパッチベースラインに関する情報を表示する許可を付与 読み取り

patchbaseline*

GetPatchBaselineForPatchGroup 指定したパッチグループの現在のパッチベースラインの ID を表示する許可を付与 読み取り
GetResourcePolicies Systems Manager のリソースポリシーを一覧表示する許可を付与 リスト

opsitemgroup

parameter

GetServiceSetting AWS サービスのアカウントレベルの設定を表示する許可を付与 読み取り

servicesetting*

LabelParameterVersion 指定したバージョンのパラメータに識別ラベルを適用する許可を付与 書き込み

parameter*

aws:ResourceTag/${TagKey}

ListAssociationVersions 指定した関連付けのバージョンを一覧表示する許可を付与 リスト

association*

aws:ResourceTag/${TagKey}

ListAssociations 指定されたSSMドキュメントまたはマネージドインスタンスの関連付けを一覧表示するアクセス許可を付与します リスト
ListCommandInvocations 指定したインスタンスに送信されたコマンド呼び出しに関する情報を一覧表示する許可を付与 リスト
ListCommands 指定したインスタンスに送信されたコマンドを一覧表示する許可を付与 リスト
ListComplianceItems 指定したリソース上の指定したリソースタイプに対するコンプライアンスステータスを一覧表示する許可を付与 リスト
ListComplianceSummaries 指定したコンプライアンスタイプについて、準拠リソースと非準拠リソースの集計カウントを一覧表示する許可を付与 リスト
ListDocumentMetadataHistory 指定されたSSMドキュメントに関するメタデータ履歴を表示するアクセス許可を付与します リスト

document*

ListDocumentVersions 指定したドキュメントのすべてのバージョンを一覧表示する許可を付与 リスト

document*

ListDocuments 指定されたSSMドキュメントに関する情報を表示するアクセス許可を付与します リスト
ListInstanceAssociations 新しいステートマネージャーの関連付け (内部 Systems Manager 呼び出し) をチェックするアクセス許可をSSMエージェントに付与します リスト

instance

managed-instance

aws:ResourceTag/${TagKey}

ListInventoryEntries 指定したインスタンスの指定したインベントリタイプのリストを表示する許可を付与 リスト
ListOpsItemEvents の詳細を表示する許可を付与 OpsItemEvents リスト
ListOpsItemRelatedItems の詳細を表示する許可を付与 OpsItem RelatedItems リスト
ListOpsMetadata OpsMetadata オブジェクトのリストを表示する許可を付与 リスト
ListResourceComplianceSummaries リソースレベルの集計カウントを一覧表示する許可を付与 リスト
ListResourceDataSync アカウントのリソースデータ同期設定に関する情報を一覧表示する許可を付与 リスト

ssm:SyncType

ListTagsForResource 指定したリソースのリソースタグのリストを表示する許可を付与 リスト

association

automation-execution

document

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

aws:ResourceTag/${TagKey}

ModifyDocumentPermission カスタムSSMドキュメントを指定された AWS アカウントとパブリックまたはプライベートに共有するアクセス許可を付与します 権限の管理

document*

PutCalendar [アクセス許可のみ] 特定のカレンダーを作成/編集する許可を付与 書き込み

document*

PutComplianceItems 指定したリソースのコンプライアンスタイプおよびその他のコンプライアンス詳細を登録する許可を付与 書き込み

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

PutConfigurePackageResult [アクセス許可のみ] 特定のSSMエージェントリクエスト (内部 Systems Manager 呼び出し) の結果のレポートを生成するアクセス許可をエージェントに付与します 読み取り
PutInventory 指定した複数のマネージドインスタンスでインベントリ項目を追加または更新する許可を付与 書き込み
PutParameter SSM パラメータを作成するアクセス許可を付与します 書き込み

parameter*

aws:RequestTag/${TagKey}

aws:TagKeys

ssm:Overwrite

ssm:Policies

PutResourcePolicy Systems Manager のリソースポリシーを作成または更新する許可を付与 権限の管理

opsitemgroup

parameter

RegisterDefaultPatchBaseline オペレーティングシステムタイプの既定のパッチベースラインを指定する許可を付与 書き込み

patchbaseline*

RegisterManagedInstance Systems Manager Agent を登録するアクセス許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterPatchBaselineForPatchGroup 指定したパッチグループのデフォルトのパッチベースラインを指定する許可を付与 書き込み

patchbaseline*

RegisterTargetWithMaintenanceWindow メンテナンスウィンドウでターゲットを登録する許可を付与 書き込み

maintenancewindow*

RegisterTaskWithMaintenanceWindow 指定したメンテナンスウィンドウでタスクを登録する許可を付与 書き込み

maintenancewindow*

RemoveTagsFromResource 指定したリソースから指定したタグキーを削除する許可を付与 タグ付け

association

automation-execution

document

instance

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

task

aws:ResourceTag/${TagKey}

aws:TagKeys

ResetServiceSetting のサービス設定をデフォルト値 AWS アカウント にリセットするアクセス許可を付与します 書き込み

servicesetting*

ResumeSession マネージドインスタンスに Session Manager のセッションを再接続する許可を付与 書き込み

session*

ssm:resourceTag/aws:ssmmessages:session-id

ssm:resourceTag/aws:ssmmessages:target-id

SendAutomationSignal 指定したオートメーション実行の現在の動作やステータスを変更するための信号を送信する許可を付与 書き込み

automation-execution*

SendCommand 指定した 1 つ以上のマネージドインスタンスでコマンドを実行する許可を付与 書き込み

document*

bucket

instance

managed-instance

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

StartAssociationsOnce 指定した関連付けを手動で実行する許可を付与 書き込み

association*

aws:ResourceTag/${TagKey}

StartAutomationExecution オートメーションドキュメントの実行を開始する許可を付与 書き込み

automation-definition*

aws:RequestTag/${TagKey}

aws:TagKeys

StartChangeRequestExecution 自動化ドキュメントの実行を開始する許可を付与 書き込み

automation-definition*

aws:RequestTag/${TagKey}

aws:TagKeys

ssm:AutoApprove

StartSession セッションマネージャーセッションの指定したターゲットへの接続を開始する許可を付与 書き込み

document

instance

managed-instance

task

ssm:SessionDocumentAccessCheck

ssm:resourceTag/${TagKey}

aws:ResourceTag/${TagKey}

StopAutomationExecution 既に進行中の指定したオートメーションの実行を停止する許可を付与 書き込み

automation-execution*

TerminateSession インスタンスへの Session Manager 接続を永続的に終了するアクセス許可を付与 書き込み

session*

ssm:resourceTag/aws:ssmmessages:session-id

ssm:resourceTag/aws:ssmmessages:target-id

UnlabelParameterVersion 指定済みバージョンのパラメータから識別ラベルを削除する許可を付与 書き込み

parameter*

aws:ResourceTag/${TagKey}

UpdateAssociation 指定したターゲットで関連付けを更新し、関連付けをただちに実行する許可を付与 書き込み

association*

document

instance

managed-instance

aws:ResourceTag/${TagKey}

UpdateAssociationStatus 指定されたインスタンスに関連付けられたSSMドキュメントのステータスを更新するアクセス許可を付与します 書き込み

document*

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

aws:ResourceTag/${TagKey}

UpdateDocument SSM ドキュメントの 1 つ以上の値を更新する許可を付与 書き込み

document*

UpdateDocumentDefaultVersion SSM ドキュメントのデフォルトバージョンを変更する許可を付与 書き込み

document*

UpdateDocumentMetadata SSM ドキュメントのメタデータを更新する許可を付与 書き込み

document*

UpdateInstanceAssociationStatus [アクセス許可のみ] SSM エージェントに、現在実行中の関連付けのステータスを更新するアクセス許可を付与します (内部 Systems Manager 呼び出し) 書き込み

association*

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

aws:ResourceTag/${TagKey}

UpdateInstanceInformation クラウド内の Systems Manager サービスにハートビートシグナルを送信するアクセス許可を SSM エージェントに付与します 書き込み

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

UpdateMaintenanceWindow 指定したメンテナンスウィンドウを更新する許可を付与 書き込み

maintenancewindow*

UpdateMaintenanceWindowTarget メンテナンスウィンドウターゲットを更新する許可を付与 書き込み

maintenancewindow*

windowtarget*

UpdateMaintenanceWindowTask メンテナンスウィンドウタスクを更新する許可を付与 書き込み

maintenancewindow*

windowtask*

UpdateManagedInstanceRole 指定されたマネージドインスタンスに割り当てられたIAMロールを割り当てまたは変更するアクセス許可を付与します 書き込み

managed-instance*

ssm:resourceTag/tag-key

UpdateOpsItem を編集または変更する許可を付与 OpsItem 書き込み

opsitem*

UpdateOpsMetadata OpsMetadata オブジェクトを更新する許可を付与 書き込み

opsmetadata*

UpdatePatchBaseline 指定したパッチベースラインを更新する許可を付与 書き込み

patchbaseline*

UpdateResourceDataSync リソースデータの同期を更新する許可を付与 書き込み

resourcedatasync*

ssm:SyncType

UpdateServiceSetting のサービス設定を更新する許可を付与 AWS アカウント 書き込み

servicesetting*

AWS Systems Manager で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAMアクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

注記

一部のステートマネージャーAPIパラメータは廃止されました。これは予期しない動作につながる可能性があります。詳細については、「 を使用した関連付けの操作IAM」を参照してください。

リソースタイプ ARN 条件キー
association arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}

aws:ResourceTag/${TagKey}

automation-execution arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

automation-definition arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
bucket arn:${Partition}:s3:::${BucketName}
document arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}

aws:ResourceTag/${TagKey}

ssm:DocumentCategories

ssm:resourceTag/${TagKey}

instance arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

maintenancewindow arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance-inventory arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
opsitem arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}

aws:ResourceTag/${TagKey}

opsitemgroup arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
opsmetadata arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

parameter arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

patchbaseline arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

session arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}

ssm:resourceTag/aws:ssmmessages:session-id

ssm:resourceTag/aws:ssmmessages:target-id

resourcedatasync arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
servicesetting arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
windowtarget arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

windowtask arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

task arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}

aws:ResourceTag/${TagKey}

AWS Systems Manager の条件キー

AWS Systems Manager は、 IAMポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} 指定したタグで許可されている値のセットに基づいて「作成」リクエストでアクセスをフィルタリング 文字列
aws:ResourceTag/${TagKey} AWS リソースに割り当てられたタグキーと値のペアに基づいてアクセスをフィルタリングします 文字列
aws:TagKeys 必須タグがリクエストに含まれているかどうかに基づいて、「作成」リクエストでアクセスをフィルタリング ArrayOfString
ec2:SourceInstanceARN リクエストの送信元のインスタンスARNの でアクセスをフィルタリングします ARN
ssm:AutoApprove ユーザーがレビューステップなしで (変更フリーズイベントは例外) 、Change Manager ワークフローを開始するアクセス可能を持っていることを確認して、アクセスをフィルタリング Bool
ssm:DocumentCategories ユーザーが特定のカテゴリに属するドキュメントにアクセスする許可を持っていることを確認して、アクセスをフィルタリング ArrayOfString
ssm:Overwrite Systems Manager のパラメータを上書きできるかどうかの制御によって、アクセスをフィルタリング 文字列
ssm:Policies IAM エンティティ (ユーザーまたはロール) がパラメータポリシーを含むパラメータを作成または更新できるかどうかを制御することで、アクセスをフィルタリングします 文字列
ssm:Recursive 階層構造で作成された Systems Manager のパラメータによってアクセスをフィルタリング 文字列
ssm:SessionDocumentAccessCheck ユーザーがデフォルトの Session Manager 設定ドキュメントまたはリクエストで指定されたカスタム設定ドキュメントにアクセスする権限を持っていることを確認して、アクセスをフィルタリング Bool
ssm:SourceInstanceARN リクエストが行われた AWS Systems Manager のマネージドインスタンスの Amazon リソースネーム (ARN) を検証してアクセスをフィルタリングします。このキーは、リクエストがインスタンスプロファイルに関連付けられたIAMロールで認証されたマネージドEC2インスタンスから送信された場合は存在しません。 ARN
ssm:SyncType ユーザーがリクエストで ResourceDataSync SyncType 指定された にもアクセスできることを確認して、アクセスをフィルタリングします 文字列
ssm:resourceTag/${TagKey} Systems Manager リソースに割り当てられたタグのキーおよび値のペアによってアクセスをフィルタリング 文字列
ssm:resourceTag/aws:ssmmessages:session-id Systems Manager セッションリソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリングします 文字列
ssm:resourceTag/aws:ssmmessages:target-id Systems Manager セッションリソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリングします 文字列
ssm:resourceTag/tag-key Systems Manager リソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリング 文字列