AWS Systems Manager のアクション、リソース、および条件キー
AWS Systems Manager (サービスプレフィックス: ssm) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
AWS Systems Manager で定義されるアクション
IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AddTagsToResource | 指定した AWS リソースの 1 つ以上のタグを追加または上書きする許可を付与 | タグ付け | |||
| AssociateOpsItemRelatedItem | OpsItem に RelatedItem を関連付けるためのアクセス許可を付与します | Write | |||
| CancelCommand | 指定した Run Command コマンドをキャンセルする許可を付与 | Write | |||
| CancelMaintenanceWindowExecution | 進行中のメンテナンスウィンドウの実行をキャンセルする許可を付与 | Write | |||
| CreateActivation | オンプレミスサーバーと仮想マシン (VM) を Systems Manager に登録するために使用するアクティベーションを作成する許可を付与 | Write | |||
| CreateAssociation | 指定した Systems Manager ドキュメントを、指定したインスタンスまたは他のターゲットに関連付けるアクセス許可を付与します | Write | |||
| CreateAssociationBatch | 1 つのコマンドで複数の CreateAssociation オペレーションのエントリを結合する許可を付与 | Write | |||
| CreateDocument | Systems Manager SSM ドキュメントを作成する許可を付与 | Write |
iam:PassRole |
||
| CreateMaintenanceWindow | メンテナンスウィンドウを作成する許可を付与 | Write | |||
| CreateOpsItem | OpsCenter で OpsItem を作成する許可を付与 | Write | |||
| CreateOpsMetadata | AWS リソースの OpsMetadata オブジェクトを作成する許可を付与 | Write | |||
| CreatePatchBaseline | パッチベースラインを作成する許可を付与。 | Write | |||
| CreateResourceDataSync | リソースデータ同期設定を作成する許可を付与。この設定は、マネージドインスタンスからインベントリデータを定期的に収集し、Amazon S3 バケット内のデータを更新します | Write | |||
| DeleteActivation | マネージドインスタンスの指定されたアクティベーションを削除する許可を付与 | Write | |||
| DeleteAssociation | 指定した SSM ドキュメントを指定したインスタンスから関連付け解除する許可を付与 | Write | |||
| DeleteDocument | 指定した SSM ドキュメントとそのインスタンスの関連付けを削除する許可を付与 | Write | |||
| DeleteInventory | カスタムインベントリタイプまたは当該タイプに関連付けられているデータを削除する許可を付与 | Write | |||
| DeleteMaintenanceWindow | 指定したメンテナンスウィンドウを削除する許可を付与。 | Write | |||
| DeleteOpsMetadata | OpsMetadata オブジェクトを削除する許可を付与 | Write | |||
| DeleteParameter | 指定した SSM パラメータを削除する許可を付与 | Write | |||
| DeleteParameters | 複数の指定する SSM パラメータを削除する許可を付与 | Write | |||
| DeletePatchBaseline | 指定したパッチベースラインを削除する許可を付与 | Write | |||
| DeleteResourceDataSync | 指定したリソースデータ同期を削除する許可を付与 | Write | |||
| DeregisterManagedInstance | Systems Manager から指定したオンプレミスサーバーまたは仮想マシン (VM) の登録を解除する許可を付与 | Write | |||
| DeregisterPatchBaselineForPatchGroup | 指定したパッチベースラインを、指定したパッチグループのデフォルトパッチベースラインから登録解除する許可を付与 | Write | |||
| DeregisterTargetFromMaintenanceWindow | 指定したターゲットをメンテナンスウィンドウから登録解除する許可を付与 | Write | |||
| DeregisterTaskFromMaintenanceWindow | 指定されたタスクをメンテナンスウィンドウから登録解除する許可を付与 | Write | |||
| DescribeActivations | 指定されたマネージドインスタンスのアクティベーションに関する詳細を表示する許可を付与(作成日時、アクティベーションを使用して登録されたインスタンスの数など) | Read | |||
| DescribeAssociation | 指定したインスタンスまたはターゲットの指定した関連付けの詳細を表示する許可を付与 | Read | |||
| DescribeAssociationExecutionTargets | 指定した関連付け実行に関する情報を表示する許可を付与 | Read | |||
| DescribeAssociationExecutions | 指定した関連付けのすべての実行を表示する許可を付与 | Read | |||
| DescribeAutomationExecutions | すべてのアクティブなオートメーション実行と終了したオートメーション実行の詳細を表示する許可を付与 | Read | |||
| DescribeAutomationStepExecutions | オートメーションワークフローでアクティブなステップ実行と終了したステップ実行のすべてを表示する許可を付与 | Read | |||
| DescribeAvailablePatches | パッチベースラインに含める資格のあるすべてのパッチを表示する許可を付与 | Read | |||
| DescribeDocument | 指定した SSM ドキュメントの詳細を表示する許可を付与 | Read | |||
| DescribeDocumentParameters | Systems Manager コンソールで SSM ドキュメントパラメータに関する情報を表示する許可を付与(内部 Systems Manager のアクション) | Read | |||
| DescribeDocumentPermission | 指定した SSM ドキュメントのアクセス許可を表示する許可を付与 | Read | |||
| DescribeEffectiveInstanceAssociations | 指定したインスタンスの現在の関連付けをすべて表示する許可を付与 | Read | |||
| DescribeEffectivePatchesForPatchBaseline | 指定したパッチベースラインに現在関連付けられているパッチの詳細を表示する許可を付与(Windows のみ)。 | Read | |||
| DescribeInstanceAssociationsStatus | 指定したインスタンスの関連付けのステータスを表示する許可を付与 | Read | |||
| DescribeInstanceInformation | 指定したインスタンスに関する詳細を表示する許可を付与 | Read | |||
| DescribeInstancePatchStates | 指定したインスタンスのパッチに関するステータスの詳細を表示する許可を付与 | Read | |||
| DescribeInstancePatchStatesForPatchGroup | 指定したパッチグループ内のインスタンスのパッチ状態の概要を記述する許可を付与。 | Read | |||
| DescribeInstancePatches | 指定したインスタンスのパッチに関する全般的な詳細を表示する許可を付与 | Read | |||
| DescribeInstanceProperties | マネージドインスタンスのノードをレンダリングするアクセス許可をユーザーの Amazon EC2 コンソールに付与します。 | Read | |||
| DescribeInventoryDeletions | 指定したインベントリ削除の詳細を表示する許可を付与 | Read | |||
| DescribeMaintenanceWindowExecutionTaskInvocations | メンテナンスウィンドウに対して指定したタスク実行の詳細を表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowExecutionTasks | 指定したメンテナンスウィンドウの実行中に実行されたタスクの詳細を表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowExecutions | 指定したメンテナンスウィンドウの実行を表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowSchedule | 指定したメンテナンスウィンドウの今後の実行に関する詳細を表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowTargets | 指定したメンテナンスウィンドウに関連付けられているターゲットのリストを表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowTasks | 指定したメンテナンスウィンドウに関連付けられたタスクのリストを表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindows | すべてまたは指定したメンテナンスウィンドウに関する情報を表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowsForTarget | 指定したインスタンスに関連付けられたメンテナンスウィンドウのターゲットおよびタスクに関する情報を表示する許可を付与 | リスト | |||
| DescribeOpsItems | 指定した OpsItems の詳細を表示する許可を付与 | Read | |||
| DescribeParameters | 指定した SSM パラメータの詳細を表示する許可を付与 | リスト | |||
| DescribePatchBaselines | 指定した条件を満たすパッチベースラインに関する情報を表示する許可を付与 | リスト | |||
| DescribePatchGroupState | 指定したパッチグループのパッチの集約ステータス詳細を表示する許可を付与 | Read | |||
| DescribePatchGroups | 指定したパッチグループのパッチベースラインに関する情報を表示する許可を付与 | リスト | |||
| DescribePatchProperties | 指定したオペレーティングシステムおよびパッチプロパティで使用可能なパッチの詳細を表示する許可を付与 | リスト | |||
| DescribeSessions | 指定した検索条件を満たす最近の Session Manager セッションのリストを表示する許可を付与 | リスト | |||
| DisassociateOpsItemRelatedItem | OpsItem から RelatedItem の関連付けを解除するためのアクセス許可を付与します | Write | |||
| GetAutomationExecution | 指定したオートメーション実行の詳細を表示する許可を付与 | Read | |||
| GetCalendarState | 変更カレンダーまたは変更カレンダーの一覧のカレンダーの状態を表示する許可を付与 | Read | |||
| GetCommandInvocation | 指定した呼び出しまたはプラグインのコマンド実行に関する詳細を表示する許可を付与 | Read | |||
| GetConnectionStatus | 指定したマネージドインスタンスの Session Manager 接続ステータスを表示する許可を付与 | Read | |||
| GetDefaultPatchBaseline | 指定したオペレーティングシステムタイプの現在の既定のパッチベースラインを表示する許可を付与 | Read | |||
| GetDeployablePatchSnapshotForInstance | 指定したインスタンスの現在のパッチベースラインスナップショットを取得する許可を付与 | Read | |||
| GetDocument | 指定された SSM ドキュメントの内容を表示する許可を付与 | Read | |||
| GetInventory | 指定した基準に従ってインスタンスインベントリの詳細を表示する許可を付与 | Read | |||
| GetInventorySchema | 指定したインベントリ項目タイプのインベントリタイプまたは属性名のリストを表示する許可を付与 | Read | |||
| GetMaintenanceWindow | 指定したメンテナンスウィンドウの詳細を表示する許可を付与 | Read | |||
| GetMaintenanceWindowExecution | 指定したメンテナンスウィンドウの実行に関する詳細を表示する許可を付与 | Read | |||
| GetMaintenanceWindowExecutionTask | 指定したメンテナンスウィンドウの実行タスクの詳細を表示する許可を付与 | Read | |||
| GetMaintenanceWindowExecutionTaskInvocation | 特定のターゲットで実行されている特定のメンテナンスウィンドウのタスクの詳細を表示する許可を付与 | Read | |||
| GetMaintenanceWindowTask | 指定したメンテナンスウィンドウに登録されたタスクの詳細を表示する許可を付与 | Read | |||
| GetManifest | Systems Manager と SSM Agent インスタンスのパッケージのインストール要件を決定するために使用します(内部 Systems Manager の呼び出し)。 | Read | |||
| GetOpsItem | 指定した OpsItem に関する情報を表示する許可を付与 | Read | |||
| GetOpsMetadata | OpsMetadata オブジェクトを取得する許可を付与 | Read | |||
| GetOpsSummary | 指定したフィルターとアグリゲータに基づいて OpsItems に関する概要情報を表示する許可を付与 | Read | |||
| GetParameter | 指定したパラメータに関する情報を表示する許可を付与 | Read | |||
| GetParameterHistory | 指定したパラメータの詳細と変更を表示する許可を付与 | Read | |||
| GetParameters | 指定した複数のパラメータに関する情報を表示する許可を付与 | Read | |||
| GetParametersByPath | 指定した階層内のパラメータに関する情報を表示する許可を付与 | Read | |||
| GetPatchBaseline | 指定したパッチベースラインに関する情報を表示する許可を付与 | Read | |||
| GetPatchBaselineForPatchGroup | 指定したパッチグループの現在のパッチベースラインの ID を表示する許可を付与 | Read | |||
| GetServiceSetting | AWS のサービスのアカウントレベルの設定を表示する許可を付与 | Read | |||
| LabelParameterVersion | 指定したバージョンのパラメータに識別ラベルを適用する許可を付与 | Write | |||
| ListAssociationVersions | 指定した関連付けのバージョンを一覧表示する許可を付与。 | リスト | |||
| ListAssociations | 指定した SSM ドキュメントまたはマネージドインスタンスの関連付けを一覧表示する許可を付与 | リスト | |||
| ListCommandInvocations | 指定したインスタンスに送信されたコマンド呼び出しに関する情報を一覧表示する許可を付与 | Read | |||
| ListCommands | 指定したインスタンスに送信されたコマンドを一覧表示する許可を付与 | Read | |||
| ListComplianceItems | 指定したリソース上の指定したリソースタイプに対するコンプライアンスステータスを一覧表示する許可を付与 | リスト | |||
| ListComplianceSummaries | 指定したコンプライアンスタイプについて、準拠リソースと非準拠リソースの集計カウントを一覧表示する許可を付与 | リスト | |||
| ListDocumentMetadataHistory | 指定した SSM ドキュメントについてのメタデータ履歴を表示する許可を付与 | Read | |||
| ListDocumentVersions | 指定したドキュメントのすべてのバージョンを一覧表示する許可を付与 | リスト | |||
| ListDocuments | 指定した SSM ドキュメントに関する情報を表示する許可を付与 | リスト | |||
| ListInstanceAssociations | SSM Agent、新しいステートマネージャーの関連付けをチェックするために使用します(内部 Systems Manager の呼び出し) | リスト | |||
| ListInventoryEntries | 指定したインスタンスの指定したインベントリタイプのリストを表示する許可を付与 | リスト | |||
| ListOpsItemEvents | OpsItemEvents を表示する許可を付与 | Read | |||
| ListOpsItemRelatedItems | OpsItem RelatedItems の詳細を表示するためのアクセス許可を付与します | Read | |||
| ListOpsMetadata | OpsMetadata オブジェクトのリストを表示する許可を付与 | リスト | |||
| ListResourceComplianceSummaries | リソースレベルの集計カウントを一覧表示する許可を付与。 | リスト | |||
| ListResourceDataSync | アカウントのリソースデータ同期設定に関する情報を一覧表示する許可を付与 | リスト | |||
| ListTagsForResource | 指定したリソースのリソースタグのリストを表示する許可を付与 | Read | |||
| ModifyDocumentPermission | カスタム SSM ドキュメントを指定した AWS アカウントと公開でまたは非公開で共有する許可を付与 | Write | |||
| PutComplianceItems | 指定したリソースのコンプライアンスタイプおよびその他のコンプライアンス詳細を登録する許可を付与 | Write | |||
| PutConfigurePackageResult | SSM Agent 特定のエージェントリクエスト(内部 Systems Manager の呼び出し)の結果のレポートを生成するために使用します。 | Read | |||
| PutInventory | 指定した複数のマネージドインスタンスでインベントリ項目を追加または更新する許可を付与 | Write | |||
| PutParameter | SSM パラメータを作成する許可を付与 | Write | |||
| RegisterDefaultPatchBaseline | オペレーティングシステムタイプの既定のパッチベースラインを指定する許可を付与 | Write | |||
| RegisterPatchBaselineForPatchGroup | 指定したパッチグループのデフォルトのパッチベースラインを指定する許可を付与 | Write | |||
| RegisterTargetWithMaintenanceWindow | メンテナンスウィンドウでターゲットを登録する許可を付与 | Write | |||
| RegisterTaskWithMaintenanceWindow | 指定したメンテナンスウィンドウでタスクを登録する許可を付与 | Write | |||
| RemoveTagsFromResource | 指定したリソースから指定したタグキーを削除する許可を付与 | タグ付け | |||
| ResetServiceSetting | AWS アカウント のサービス設定をデフォルト値にリセットする許可を付与 | Write | |||
| ResumeSession | マネージドインスタンスに Session Manager のセッションを再接続する許可を付与 | Write | |||
| SendAutomationSignal | 指定したオートメーション実行の現在の動作やステータスを変更するための信号を送信する許可を付与 | Write | |||
| SendCommand | 指定した 1 つ以上のマネージドインスタンスでコマンドを実行する許可を付与 | Write | |||
| StartAssociationsOnce | 指定した関連付けを手動で実行する許可を付与 | Write | |||
| StartAutomationExecution | オートメーションドキュメントの実行を開始する許可を付与 | Write | |||
| StartChangeRequestExecution | 自動化ドキュメントの実行を開始する許可を付与 | Write | |||
| StartSession | セッションマネージャーセッションの指定したターゲットへの接続を開始する許可を付与 | Write | |||
| StopAutomationExecution | 既に進行中の指定したオートメーションの実行を停止する許可を付与 | Write | |||
| TerminateSession | インスタンスへの Session Manager 接続を永続的に終了するアクセス権限を付与します | Write | |||
| UpdateAssociation | 指定したターゲットで関連付けを更新し、関連付けをただちに実行する許可を付与 | Write | |||
| UpdateAssociationStatus | 指定したインスタンスに関連付けられている SSM ドキュメントのステータスを更新する許可を付与 | Write | |||
| UpdateDocument | SSM ドキュメントの 1 つ以上の値を更新する許可を付与 | Write | |||
| UpdateDocumentDefaultVersion | SSM ドキュメントのデフォルトバージョンを変更する許可を付与 | Write | |||
| UpdateDocumentMetadata | SSM ドキュメントのメタデータを更新する許可を付与 | Write | |||
| UpdateInstanceAssociationStatus | SSM Agent 現在実行中の関連付けのステータスを更新するために使用します(内部 Systems Manager の呼び出し)。 | Write | |||
| UpdateInstanceInformation | SSM Agent ハートビート信号をクラウド内の Systems Manager サービスに送信するために使用します。 | Write | |||
| UpdateMaintenanceWindow | 指定したメンテナンスウィンドウを更新する許可を付与 | Write | |||
| UpdateMaintenanceWindowTarget | メンテナンスウィンドウターゲットを更新する許可を付与 | Write | |||
| UpdateMaintenanceWindowTask | メンテナンスウィンドウタスクを更新する許可を付与 | Write | |||
| UpdateManagedInstanceRole | 指定したマネージドインスタンスに割り当てられた IAM ロールを割り当てまたは変更する許可を付与 | Write | |||
| UpdateOpsItem | OpsItem を編集または変更する許可を付与。 | Write | |||
| UpdateOpsMetadata | OpsMetadata オブジェクトを更新する許可を付与 | Write | |||
| UpdatePatchBaseline | 指定したパッチベースラインを更新する許可を付与 | Write | |||
| UpdateResourceDataSync | リソースデータの同期を更新する許可を付与。 | Write | |||
| UpdateServiceSetting | AWS アカウント のサービス設定を更新する許可を付与 | Write |
AWS Systems Manager で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
一部の State Manager API パラメータは非推奨となりました。これは予期しない動作につながる可能性があります。詳細については、「IAM を使用した関連付けの作業」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
| automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
| automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
| maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
| managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
| managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
| opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
| opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
| parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
| patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
| session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
| resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
| servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
| windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
| windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
AWS Systems Manager の条件キー
AWS Systems Manager は、IAM ポリシーの Condition 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | 指定したタグで許可されている値のセットに基づいて「作成」リクエストをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | AWS リソースに割り当てられたタグキーと値のペアに基づいてアクセスをフィルタリングします。 | 文字列 |
| aws:TagKeys | 必須タグがリクエストに含まれているかどうかに基づいて、「作成」リクエストをフィルタリングします。 | 文字列 |
| ssm:Overwrite | 指定したリソースの値を上書きできるかどうかを制御して、アクセスをフィルタリングします | 文字列 |
| ssm:Recursive | 階層構造で作成されたリソースのアクセスをフィルタリングします | 文字列 |
| ssm:SessionDocumentAccessCheck | ユーザーがデフォルトの Session Manager 設定ドキュメントまたはリクエストで指定されたカスタム設定ドキュメントにアクセスする権限を持っていることを確認して、アクセスをフィルタリングします | Boolean |
| ssm:SyncType | リクエストで指定された ResourceDataSync SyncType にユーザーがアクセスできることを確認して、アクセスをフィルタリングします。 | 文字列 |
| ssm:resourceTag/tag-key | Systems Manager リソースに割り当てられたタグのキーと値のペアに基づいてアクセスをフィルタリングします。 | 文字列 |
