AWS Systems Manager のアクション、リソース、および条件キー - サービス認証リファレンス

AWS Systems Manager のアクション、リソース、および条件キー

AWS Systems Manager (サービスプレフィックス: ssm) では、IAM 許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Systems Manager で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource エレメントですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddTagsToResource 指定した AWS リソースの 1 つ以上のタグを追加または上書きする許可を付与する タグ付け

automation-execution

document

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

AssociateOpsItemRelatedItem OpsItem に RelatedItem を関連付けるためのアクセス許可を付与します Write

opsitem*

CancelCommand 指定した Run Command コマンドをキャンセルする許可を付与 Write
CancelMaintenanceWindowExecution 進行中のメンテナンスウィンドウの実行をキャンセルする許可を付与 Write
CreateActivation オンプレミスサーバーと仮想マシン (VM) を Systems Manager に登録するために使用するアクティベーションを作成する許可を付与 Write
CreateAssociation 指定した Systems Manager ドキュメントを、指定したインスタンスまたは他のターゲットに関連付けるアクセス許可を付与します Write

document*

instance

managed-instance

CreateAssociationBatch 1 つのコマンドで複数の CreateAssociation オペレーションのエントリを結合する許可を付与 Write

document*

instance

managed-instance

CreateDocument Systems Manager SSM ドキュメントを作成する許可を付与 Write

document*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMaintenanceWindow メンテナンスウィンドウを作成する許可を付与 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsItem OpsCenter で OpsItem を作成する許可を付与 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsMetadata AWS リソースの OpsMetadata オブジェクトを作成する許可を付与する Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePatchBaseline パッチベースラインを作成する許可を付与。 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResourceDataSync リソースデータ同期設定を作成する許可を付与。この設定は、マネージドインスタンスからインベントリデータを定期的に収集し、Amazon S3 バケット内のデータを更新します Write

resourcedatasync*

ssm:SyncType

DeleteActivation マネージドインスタンスの指定されたアクティベーションを削除する許可を付与 Write
DeleteAssociation 指定した SSM ドキュメントを指定したインスタンスから関連付け解除する許可を付与 Write

association

document

instance

managed-instance

DeleteDocument 指定した SSM ドキュメントとそのインスタンスの関連付けを削除する許可を付与 Write

document*

DeleteInventory カスタムインベントリタイプまたは当該タイプに関連付けられているデータを削除する許可を付与 Write
DeleteMaintenanceWindow 指定したメンテナンスウィンドウを削除する許可を付与。 Write

maintenancewindow*

DeleteOpsMetadata OpsMetadata オブジェクトを削除する許可を付与 Write

opsmetadata*

DeleteParameter 指定した SSM パラメータを削除する許可を付与 Write

parameter*

DeleteParameters 複数の指定する SSM パラメータを削除する許可を付与 Write

parameter*

DeletePatchBaseline 指定したパッチベースラインを削除する許可を付与 Write

patchbaseline*

DeleteResourceDataSync 指定したリソースデータ同期を削除する許可を付与 Write

resourcedatasync*

ssm:SyncType

DeregisterManagedInstance Systems Manager から指定したオンプレミスサーバーまたは仮想マシン (VM) の登録を解除する許可を付与 Write

managed-instance*

DeregisterPatchBaselineForPatchGroup 指定したパッチベースラインを、指定したパッチグループのデフォルトパッチベースラインから登録解除する許可を付与 Write

patchbaseline*

DeregisterTargetFromMaintenanceWindow 指定したターゲットをメンテナンスウィンドウから登録解除する許可を付与 Write

maintenancewindow*

DeregisterTaskFromMaintenanceWindow 指定されたタスクをメンテナンスウィンドウから登録解除する許可を付与 Write

maintenancewindow*

DescribeActivations 指定されたマネージドインスタンスのアクティベーションに関する詳細を表示する許可を付与(作成日時、アクティベーションを使用して登録されたインスタンスの数など) Read
DescribeAssociation 指定したインスタンスまたはターゲットの指定した関連付けの詳細を表示する許可を付与 Read

association

document

instance

managed-instance

DescribeAssociationExecutionTargets 指定した関連付け実行に関する情報を表示する許可を付与 Read
DescribeAssociationExecutions 指定した関連付けのすべての実行を表示する許可を付与 Read
DescribeAutomationExecutions すべてのアクティブなオートメーション実行と終了したオートメーション実行の詳細を表示する許可を付与 Read
DescribeAutomationStepExecutions オートメーションワークフローでアクティブなステップ実行と終了したステップ実行のすべてを表示する許可を付与 Read
DescribeAvailablePatches パッチベースラインに含める資格のあるすべてのパッチを表示する許可を付与 Read
DescribeDocument 指定した SSM ドキュメントの詳細を表示する許可を付与 Read

document*

DescribeDocumentParameters Systems Manager コンソールで SSM ドキュメントパラメータに関する情報を表示する許可を付与(内部 Systems Manager のアクション) Read

document*

DescribeDocumentPermission 指定した SSM ドキュメントのアクセス許可を表示する許可を付与 Read

document*

DescribeEffectiveInstanceAssociations 指定したインスタンスの現在の関連付けをすべて表示する許可を付与 Read

instance

managed-instance

DescribeEffectivePatchesForPatchBaseline 指定したパッチベースラインに現在関連付けられているパッチの詳細を表示する許可を付与(Windows のみ)。 Read

patchbaseline*

DescribeInstanceAssociationsStatus 指定したインスタンスの関連付けのステータスを表示する許可を付与 Read

instance

managed-instance

DescribeInstanceInformation 指定したインスタンスに関する詳細を表示する許可を付与 Read
DescribeInstancePatchStates 指定したインスタンスのパッチに関するステータスの詳細を表示する許可を付与 Read
DescribeInstancePatchStatesForPatchGroup 指定したパッチグループ内のインスタンスのパッチ状態の概要を記述する許可を付与。 Read
DescribeInstancePatches 指定したインスタンスのパッチに関する全般的な詳細を表示する許可を付与 Read
DescribeInstanceProperties マネージドインスタンスのノードをレンダリングするアクセス許可をユーザーの Amazon EC2 コンソールに付与します。 Read
DescribeInventoryDeletions 指定したインベントリ削除の詳細を表示する許可を付与 Read
DescribeMaintenanceWindowExecutionTaskInvocations メンテナンスウィンドウに対して指定したタスク実行の詳細を表示する許可を付与 リスト
DescribeMaintenanceWindowExecutionTasks 指定したメンテナンスウィンドウの実行中に実行されたタスクの詳細を表示する許可を付与 リスト
DescribeMaintenanceWindowExecutions 指定したメンテナンスウィンドウの実行を表示する許可を付与 リスト

maintenancewindow*

DescribeMaintenanceWindowSchedule 指定したメンテナンスウィンドウの今後の実行に関する詳細を表示する許可を付与 リスト
DescribeMaintenanceWindowTargets 指定したメンテナンスウィンドウに関連付けられているターゲットのリストを表示する許可を付与 リスト

maintenancewindow*

DescribeMaintenanceWindowTasks 指定したメンテナンスウィンドウに関連付けられたタスクのリストを表示する許可を付与 リスト

maintenancewindow*

DescribeMaintenanceWindows すべてまたは指定したメンテナンスウィンドウに関する情報を表示する許可を付与 リスト
DescribeMaintenanceWindowsForTarget 指定したインスタンスに関連付けられたメンテナンスウィンドウのターゲットおよびタスクに関する情報を表示する許可を付与 リスト
DescribeOpsItems 指定した OpsItems の詳細を表示する許可を付与 Read
DescribeParameters 指定した SSM パラメータの詳細を表示する許可を付与 リスト
DescribePatchBaselines 指定した条件を満たすパッチベースラインに関する情報を表示する許可を付与 リスト
DescribePatchGroupState 指定したパッチグループのパッチの集約ステータス詳細を表示する許可を付与 リスト
DescribePatchGroups 指定したパッチグループのパッチベースラインに関する情報を表示する許可を付与 リスト
DescribePatchProperties 指定したオペレーティングシステムおよびパッチプロパティで使用可能なパッチの詳細を表示する許可を付与 リスト
DescribeSessions 指定した検索条件を満たす最近の Session Manager セッションのリストを表示する許可を付与 リスト
DisassociateOpsItemRelatedItem OpsItem から RelatedItem の関連付けを解除するためのアクセス許可を付与します Write

opsitem*

GetAutomationExecution 指定したオートメーション実行の詳細を表示する許可を付与 Read
GetCalendarState 変更カレンダーまたは変更カレンダーの一覧のカレンダーの状態を表示する許可を付与 Read

document*

GetCommandInvocation 指定した呼び出しまたはプラグインのコマンド実行に関する詳細を表示する許可を付与 Read
GetConnectionStatus 指定したマネージドインスタンスの Session Manager 接続ステータスを表示する許可を付与 Read
GetDefaultPatchBaseline 指定したオペレーティングシステムタイプの現在の既定のパッチベースラインを表示する許可を付与 Read

patchbaseline*

GetDeployablePatchSnapshotForInstance 指定したインスタンスの現在のパッチベースラインスナップショットを取得する許可を付与 Read
GetDocument 指定された SSM ドキュメントの内容を表示する許可を付与 Read

document*

ssm:DocumentCategories

GetInventory 指定した基準に従ってインスタンスインベントリの詳細を表示する許可を付与 Read
GetInventorySchema 指定したインベントリ項目タイプのインベントリタイプまたは属性名のリストを表示する許可を付与 Read
GetMaintenanceWindow 指定したメンテナンスウィンドウの詳細を表示する許可を付与 Read

maintenancewindow*

GetMaintenanceWindowExecution 指定したメンテナンスウィンドウの実行に関する詳細を表示する許可を付与 Read
GetMaintenanceWindowExecutionTask 指定したメンテナンスウィンドウの実行タスクの詳細を表示する許可を付与 Read
GetMaintenanceWindowExecutionTaskInvocation 特定のターゲットで実行されている特定のメンテナンスウィンドウのタスクの詳細を表示する許可を付与 Read
GetMaintenanceWindowTask 指定したメンテナンスウィンドウに登録されたタスクの詳細を表示する許可を付与 読み取り

maintenancewindow*

GetManifest [アクセス許可のみ] Systems Manager および SSM Agent に、インスタンスのパッケージのインストール要件を決定する許可を付与します(内部 Systems Manager の呼び出し)。 読み取り
GetOpsItem 指定した OpsItem に関する情報を表示する許可を付与 Read

opsitem*

GetOpsMetadata OpsMetadata オブジェクトを取得する許可を付与 Read

opsmetadata*

GetOpsSummary 指定したフィルターとアグリゲータに基づいて OpsItems に関する概要情報を表示する許可を付与 Read

resourcedatasync*

GetParameter 指定したパラメータに関する情報を表示する許可を付与 Read

parameter*

GetParameterHistory 指定したパラメータの詳細と変更を表示する許可を付与 Read

parameter*

GetParameters 指定した複数のパラメータに関する情報を表示する許可を付与 Read

parameter*

GetParametersByPath 指定した階層内のパラメータに関する情報を表示する許可を付与 Read

parameter*

ssm:Recursive

GetPatchBaseline 指定したパッチベースラインに関する情報を表示する許可を付与 Read

patchbaseline*

GetPatchBaselineForPatchGroup 指定したパッチグループの現在のパッチベースラインの ID を表示する許可を付与 Read

patchbaseline*

GetServiceSetting AWS のサービスのアカウントレベルの設定を表示する許可を付与する Read

servicesetting*

LabelParameterVersion 指定したバージョンのパラメータに識別ラベルを適用する許可を付与 Write

parameter*

ListAssociationVersions 指定した関連付けのバージョンを一覧表示する許可を付与。 リスト
ListAssociations 指定した SSM ドキュメントまたはマネージドインスタンスの関連付けを一覧表示する許可を付与 リスト
ListCommandInvocations 指定したインスタンスに送信されたコマンド呼び出しに関する情報を一覧表示する許可を付与 Read
ListCommands 指定したインスタンスに送信されたコマンドを一覧表示する許可を付与 Read
ListComplianceItems 指定したリソース上の指定したリソースタイプに対するコンプライアンスステータスを一覧表示する許可を付与 リスト
ListComplianceSummaries 指定したコンプライアンスタイプについて、準拠リソースと非準拠リソースの集計カウントを一覧表示する許可を付与 リスト
ListDocumentMetadataHistory 指定した SSM ドキュメントについてのメタデータ履歴を表示する許可を付与 リスト

document*

ListDocumentVersions 指定したドキュメントのすべてのバージョンを一覧表示する許可を付与 リスト

document*

ListDocuments 指定した SSM ドキュメントに関する情報を表示する許可を付与 リスト
ListInstanceAssociations SSM Agent に、新しいステートマネージャーの関連付けをチェックするアクセス許可を付与します(内部 Systems Manager の呼び出し) リスト

instance

managed-instance

ListInventoryEntries 指定したインスタンスの指定したインベントリタイプのリストを表示する許可を付与 リスト
ListOpsItemEvents OpsItemEvents を表示する許可を付与 Read
ListOpsItemRelatedItems OpsItem RelatedItems の詳細を表示するためのアクセス許可を付与します Read
ListOpsMetadata OpsMetadata オブジェクトのリストを表示する許可を付与 リスト
ListResourceComplianceSummaries リソースレベルの集計カウントを一覧表示する許可を付与。 リスト
ListResourceDataSync アカウントのリソースデータ同期設定に関する情報を一覧表示する許可を付与 リスト

ssm:SyncType

ListTagsForResource 指定したリソースのリソースタグのリストを表示する許可を付与 Read

automation-execution

document

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

ModifyDocumentPermission カスタム SSM ドキュメントを指定した AWS アカウントと公開でまたは非公開で共有する許可を付与する 経営へのアクセス権

document*

PutComplianceItems 指定したリソースのコンプライアンスタイプおよびその他のコンプライアンス詳細を登録する許可を付与 書き込み

instance

managed-instance

PutConfigurePackageResult [アクセス許可のみ] SSM Agentに、 特定のエージェントリクエスト(内部 Systems Manager の呼び出し)の結果のレポートを生成する許可を付与します。 読み取り
PutInventory 指定した複数のマネージドインスタンスでインベントリ項目を追加または更新する許可を付与 Write
PutParameter SSM パラメータを作成する許可を付与 Write

parameter*

aws:RequestTag/${TagKey}

aws:TagKeys

ssm:Overwrite

RegisterDefaultPatchBaseline オペレーティングシステムタイプの既定のパッチベースラインを指定する許可を付与 書き込み

patchbaseline*

RegisterManagedInstance Systems Manager Agent を登録するアクセス許可を付与します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterPatchBaselineForPatchGroup 指定したパッチグループのデフォルトのパッチベースラインを指定する許可を付与 Write

patchbaseline*

RegisterTargetWithMaintenanceWindow メンテナンスウィンドウでターゲットを登録する許可を付与 Write

maintenancewindow*

RegisterTaskWithMaintenanceWindow 指定したメンテナンスウィンドウでタスクを登録する許可を付与 Write

maintenancewindow*

RemoveTagsFromResource 指定したリソースから指定したタグキーを削除する許可を付与 タグ付け

automation-execution

document

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

ResetServiceSetting AWS アカウント のサービス設定をデフォルト値にリセットする許可を付与する Write

servicesetting*

ResumeSession マネージドインスタンスに Session Manager のセッションを再接続する許可を付与 Write

session*

SendAutomationSignal 指定したオートメーション実行の現在の動作やステータスを変更するための信号を送信する許可を付与 Write
SendCommand 指定した 1 つ以上のマネージドインスタンスでコマンドを実行する許可を付与 Write

document*

bucket

instance

managed-instance

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

StartAssociationsOnce 指定した関連付けを手動で実行する許可を付与 Write

association*

StartAutomationExecution オートメーションドキュメントの実行を開始する許可を付与 Write

automation-definition*

StartChangeRequestExecution 自動化ドキュメントの実行を開始する許可を付与 Write

automation-definition*

StartSession セッションマネージャーセッションの指定したターゲットへの接続を開始する許可を付与 Write

document

instance

managed-instance

task

ssm:SessionDocumentAccessCheck

ssm:resourceTag/tag-key

aws:ResourceTag/${TagKey}

StopAutomationExecution 既に進行中の指定したオートメーションの実行を停止する許可を付与 Write
TerminateSession インスタンスへの Session Manager 接続を永続的に終了するアクセス権限を付与します 書き込み

session*

UnlabelParameterVersion 指定済みバージョンのパラメータから識別ラベルを削除する許可を付与します 書き込み

parameter*

UpdateAssociation 指定したターゲットで関連付けを更新し、関連付けをただちに実行する許可を付与 Write

association*

document

instance

managed-instance

UpdateAssociationStatus 指定したインスタンスに関連付けられている SSM ドキュメントのステータスを更新する許可を付与 Write

document*

instance

managed-instance

UpdateDocument SSM ドキュメントの 1 つ以上の値を更新する許可を付与 Write

document*

UpdateDocumentDefaultVersion SSM ドキュメントのデフォルトバージョンを変更する許可を付与 Write

document*

UpdateDocumentMetadata SSM ドキュメントのメタデータを更新する許可を付与 書き込み

document*

UpdateInstanceAssociationStatus [アクセス許可のみ] 現在実行中の関連付けのステータスを更新するSSM Agentに許可を付与します(内部 Systems Manager の呼び出し)。 書き込み

association*

instance

managed-instance

UpdateInstanceInformation ハートビート信号をクラウド内の Systems Manager サービスに送信する SSM Agent に許可を付与します 書き込み
UpdateMaintenanceWindow 指定したメンテナンスウィンドウを更新する許可を付与 Write

maintenancewindow*

UpdateMaintenanceWindowTarget メンテナンスウィンドウターゲットを更新する許可を付与 Write

maintenancewindow*

UpdateMaintenanceWindowTask メンテナンスウィンドウタスクを更新する許可を付与 Write

maintenancewindow*

UpdateManagedInstanceRole 指定したマネージドインスタンスに割り当てられた IAM ロールを割り当てまたは変更する許可を付与 Write

managed-instance*

UpdateOpsItem OpsItem を編集または変更する許可を付与。 Write

opsitem*

UpdateOpsMetadata OpsMetadata オブジェクトを更新する許可を付与 Write

opsmetadata*

UpdatePatchBaseline 指定したパッチベースラインを更新する許可を付与 Write

patchbaseline*

UpdateResourceDataSync リソースデータの同期を更新する許可を付与。 Write

resourcedatasync*

ssm:SyncType

UpdateServiceSetting AWS アカウント のサービス設定を更新する許可を付与する Write

servicesetting*

AWS Systems Manager で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

注記

一部の State Manager API パラメータは非推奨となりました。これは予期しない動作につながる可能性があります。詳細については、「IAM を使用した関連付けの作業」を参照してください。

リソースタイプ ARN 条件キー
association arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
automation-execution arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

automation-definition arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
bucket arn:${Partition}:s3:::${BucketName}
document arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

instance arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

maintenancewindow arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance-inventory arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
opsitem arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}

aws:ResourceTag/${TagKey}

opsmetadata arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

parameter arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

patchbaseline arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

session arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
resourcedatasync arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
servicesetting arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
windowtarget arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
windowtask arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
task arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}

aws:ResourceTag/${TagKey}

AWS Systems Manager の条件キー

AWS Systems Manager は、IAM ポリシーの Condition 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} 指定したタグで許可されている値のセットに基づいて「作成」リクエストでアクセスをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} AWS リソースに割り当てられたタグキーおよび値のペアに基づいてアクセスをフィルタリングします。 文字列
aws:TagKeys 必須タグがリクエストに含まれているかどうかに基づいて、「作成」リクエストでアクセスをフィルタリングします。 ArrayOfString
ssm:DocumentCategories ユーザーが特定のカテゴリに属するドキュメントにアクセスする許可を持っていることを確認して、アクセスをフィルタリングします ArrayOfString
ssm:Overwrite Systems Manager のパラメータを上書きできるかどうかを制御します 文字列
ssm:Recursive 階層構造で作成された Systems Manager パラメータへのアクセスをフィルタリングします 文字列
ssm:SessionDocumentAccessCheck ユーザーがデフォルトの Session Manager 設定ドキュメントまたはリクエストで指定されたカスタム設定ドキュメントにアクセスする権限を持っていることを確認して、アクセスをフィルタリングします Bool
ssm:SyncType リクエストで指定された ResourceDataSync SyncType にユーザーがアクセスできることを確認して、アクセスをフィルタリングします。 文字列
ssm:resourceTag/tag-key Systems Manager リソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリングします。 文字列