AWS Systems Manager のアクション、リソース、および条件キー - サービス認証リファレンス

AWS Systems Manager のアクション、リソース、および条件キー

AWS Systems Manager (サービスプレフィックス: ssm) では、IAM 許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Systems Manager で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddTagsToResource 指定した AWS リソースの 1 つ以上のタグを追加または上書きする許可を付与 タグ付け

association

automation-execution

document

instance

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

task

aws:RequestTag/${TagKey}

aws:TagKeys

AssociateOpsItemRelatedItem OpsItem に RelatedItem を関連付けるためのアクセス許可を付与 書き込み

opsitem*

CancelCommand 指定した Run Command コマンドをキャンセルする許可を付与 書き込み
CancelMaintenanceWindowExecution 進行中のメンテナンスウィンドウの実行をキャンセルする許可を付与 書き込み

maintenancewindow*

CreateActivation オンプレミスサーバーと仮想マシン (VM) を Systems Manager に登録するために使用するアクティベーションを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAssociation 指定した Systems Manager ドキュメントを、指定したインスタンスまたは他のターゲットに関連付けるアクセス許可を付与 書き込み

document*

instance

managed-instance

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAssociationBatch 1 つのコマンドで複数の CreateAssociation オペレーションのエントリを結合する許可を付与 書き込み

document*

instance

managed-instance

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDocument Systems Manager SSM ドキュメントを作成する許可を付与 書き込み

document*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMaintenanceWindow メンテナンスウィンドウを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsItem OpsCenter で OpsItem を作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsMetadata AWS リソースの OpsMetadata オブジェクトを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePatchBaseline パッチベースラインを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResourceDataSync リソースデータ同期設定を作成する許可を付与。この設定は、マネージドインスタンスからインベントリデータを定期的に収集し、Amazon S3 バケット内のデータを更新 書き込み

resourcedatasync*

ssm:SyncType

DeleteActivation マネージドインスタンスの指定されたアクティベーションを削除する許可を付与 書き込み
DeleteAssociation 指定した SSM ドキュメントを指定したインスタンスから関連付け解除する許可を付与 書き込み

association

document

instance

managed-instance

DeleteDocument 指定した SSM ドキュメントとそのインスタンスの関連付けを削除する許可を付与 書き込み

document*

DeleteInventory カスタムインベントリタイプまたは当該タイプに関連付けられているデータを削除する許可を付与 書き込み
DeleteMaintenanceWindow 指定したメンテナンスウィンドウを削除する許可を付与 書き込み

maintenancewindow*

DeleteOpsMetadata OpsMetadata オブジェクトを削除する許可を付与 書き込み

opsmetadata*

DeleteParameter 指定した SSM パラメータを削除する許可を付与 書き込み

parameter*

DeleteParameters 複数の指定する SSM パラメータを削除する許可を付与 書き込み

parameter*

DeletePatchBaseline 指定したパッチベースラインを削除する許可を付与 書き込み

patchbaseline*

DeleteResourceDataSync 指定したリソースデータ同期を削除する許可を付与 書き込み

resourcedatasync*

ssm:SyncType

DeleteResourcePolicy Systems Manager のポリシーを削除する許可を付与 アクセス許可の管理

resourcearn*

DeregisterManagedInstance Systems Manager から指定したオンプレミスサーバーまたは仮想マシン (VM) の登録を解除する許可を付与 書き込み

managed-instance*

ssm:resourceTag/tag-key

DeregisterPatchBaselineForPatchGroup 指定したパッチベースラインを、指定したパッチグループのデフォルトパッチベースラインから登録解除する許可を付与 書き込み

patchbaseline*

DeregisterTargetFromMaintenanceWindow 指定したターゲットをメンテナンスウィンドウから登録解除する許可を付与 書き込み

maintenancewindow*

DeregisterTaskFromMaintenanceWindow 指定されたタスクをメンテナンスウィンドウから登録解除する許可を付与 書き込み

maintenancewindow*

DescribeActivations 指定されたマネージドインスタンスのアクティベーションに関する詳細を表示する許可を付与(作成日時、アクティベーションを使用して登録されたインスタンスの数など) 読み取り
DescribeAssociation 指定したインスタンスまたはターゲットの指定した関連付けの詳細を表示する許可を付与 読み取り

association

document

instance

managed-instance

DescribeAssociationExecutionTargets 指定した関連付け実行に関する情報を表示する許可を付与 読み取り

association*

DescribeAssociationExecutions 指定した関連付けのすべての実行を表示する許可を付与 読み取り

association*

DescribeAutomationExecutions すべてのアクティブなオートメーション実行と終了したオートメーション実行の詳細を表示する許可を付与 読み取り
DescribeAutomationStepExecutions オートメーションワークフローでアクティブなステップ実行と終了したステップ実行のすべてを表示する許可を付与 読み取り

automation-execution*

DescribeAvailablePatches パッチベースラインに含める資格のあるすべてのパッチを表示する許可を付与 読み取り
DescribeDocument 指定した SSM ドキュメントの詳細を表示する許可を付与 読み取り

document*

DescribeDocumentParameters Systems Manager コンソールで SSM ドキュメントパラメータに関する情報を表示する許可を付与(内部 Systems Manager のアクション) 読み取り

document*

DescribeDocumentPermission 指定した SSM ドキュメントのアクセス許可を表示する許可を付与 読み取り

document*

DescribeEffectiveInstanceAssociations 指定したインスタンスの現在の関連付けをすべて表示する許可を付与 読み取り

instance*

managed-instance*

DescribeEffectivePatchesForPatchBaseline 指定したパッチベースラインに現在関連付けられているパッチの詳細を表示する許可を付与(Windows のみ) 読み取り

patchbaseline*

DescribeInstanceAssociationsStatus 指定したインスタンスの関連付けのステータスを表示する許可を付与 読み取り

instance*

managed-instance*

DescribeInstanceInformation 指定したインスタンスに関する詳細を表示する許可を付与 読み取り
DescribeInstancePatchStates 指定したインスタンスのパッチに関するステータスの詳細を表示する許可を付与 読み取り
DescribeInstancePatchStatesForPatchGroup 指定したパッチグループ内のインスタンスのパッチ状態の概要を記述する許可を付与 読み取り
DescribeInstancePatches 指定したインスタンスのパッチに関する全般的な詳細を表示する許可を付与 読み取り
DescribeInstanceProperties マネージドインスタンスのノードをレンダリングするアクセス許可をユーザーの Amazon EC2 コンソールに付与 読み取り
DescribeInventoryDeletions 指定したインベントリ削除の詳細を表示する許可を付与 読み取り
DescribeMaintenanceWindowExecutionTaskInvocations メンテナンスウィンドウに対して指定したタスク実行の詳細を表示する許可を付与 リスト
DescribeMaintenanceWindowExecutionTasks 指定したメンテナンスウィンドウの実行中に実行されたタスクの詳細を表示する許可を付与 リスト

maintenancewindow*

DescribeMaintenanceWindowExecutions 指定したメンテナンスウィンドウの実行を表示する許可を付与 リスト

maintenancewindow*

DescribeMaintenanceWindowSchedule 指定したメンテナンスウィンドウの今後の実行に関する詳細を表示する許可を付与 リスト
DescribeMaintenanceWindowTargets 指定したメンテナンスウィンドウに関連付けられているターゲットのリストを表示する許可を付与 リスト

maintenancewindow*

DescribeMaintenanceWindowTasks 指定したメンテナンスウィンドウに関連付けられたタスクのリストを表示する許可を付与 リスト

maintenancewindow*

DescribeMaintenanceWindows すべてまたは指定したメンテナンスウィンドウに関する情報を表示する許可を付与 リスト
DescribeMaintenanceWindowsForTarget 指定したインスタンスに関連付けられたメンテナンスウィンドウのターゲットおよびタスクに関する情報を表示する許可を付与 リスト
DescribeOpsItems 指定した OpsItems の詳細を表示する許可を付与 読み取り
DescribeParameters 指定した SSM パラメータの詳細を表示する許可を付与 リスト
DescribePatchBaselines 指定した条件を満たすパッチベースラインに関する情報を表示する許可を付与 リスト
DescribePatchGroupState 指定したパッチグループのパッチの集約ステータス詳細を表示する許可を付与 リスト
DescribePatchGroups 指定したパッチグループのパッチベースラインに関する情報を表示する許可を付与 リスト
DescribePatchProperties 指定したオペレーティングシステムおよびパッチプロパティで使用可能なパッチの詳細を表示する許可を付与 リスト
DescribeSessions 指定した検索条件を満たす最近の Session Manager セッションのリストを表示する許可を付与 リスト
DisassociateOpsItemRelatedItem OpsItem から RelatedItem の関連付けを解除するためのアクセス許可を付与 書き込み

opsitem*

GetAutomationExecution 指定したオートメーション実行の詳細を表示する許可を付与 読み取り

automation-execution*

GetCalendar [アクセス許可のみ] 特定のカレンダーの詳細を表示する許可を付与 読み取り

document*

GetCalendarState 変更カレンダーまたは変更カレンダーの一覧のカレンダーの状態を表示する許可を付与 読み取り

document*

GetCommandInvocation 指定した呼び出しまたはプラグインのコマンド実行に関する詳細を表示する許可を付与 読み取り
GetConnectionStatus 指定したマネージドインスタンスの Session Manager 接続ステータスを表示する許可を付与 読み取り

instance

managed-instance

task

ssm:resourceTag/${TagKey}

aws:ResourceTag/${TagKey}

GetDefaultPatchBaseline 指定したオペレーティングシステムタイプの現在の既定のパッチベースラインを表示する許可を付与 読み取り

patchbaseline*

GetDeployablePatchSnapshotForInstance 指定したインスタンスの現在のパッチベースラインスナップショットを取得する許可を付与 読み取り
GetDocument 指定された SSM ドキュメントの内容を表示する許可を付与 読み取り

document*

ssm:DocumentCategories

GetInventory 指定した基準に従ってインスタンスインベントリの詳細を表示する許可を付与 読み取り
GetInventorySchema 指定したインベントリ項目タイプのインベントリタイプまたは属性名のリストを表示する許可を付与 読み取り
GetMaintenanceWindow 指定したメンテナンスウィンドウの詳細を表示する許可を付与 読み取り

maintenancewindow*

GetMaintenanceWindowExecution 指定したメンテナンスウィンドウの実行に関する詳細を表示する許可を付与 読み取り
GetMaintenanceWindowExecutionTask 指定したメンテナンスウィンドウの実行タスクの詳細を表示する許可を付与 読み取り
GetMaintenanceWindowExecutionTaskInvocation 特定のターゲットで実行されている特定のメンテナンスウィンドウのタスクの詳細を表示する許可を付与 読み取り
GetMaintenanceWindowTask 指定したメンテナンスウィンドウに登録されたタスクの詳細を表示する許可を付与 読み取り

maintenancewindow*

GetManifest [アクセス許可のみ] Systems Manager および SSM Agent に、インスタンスのパッケージのインストール要件を決定する許可を付与(内部 Systems Manager の呼び出し) 読み取り
GetOpsItem 指定した OpsItem に関する情報を表示する許可を付与 読み取り

opsitem*

GetOpsMetadata OpsMetadata オブジェクトを取得する許可を付与 読み取り

opsmetadata*

GetOpsSummary 指定したフィルターとアグリゲータに基づいて OpsItems に関する概要情報を表示する許可を付与 読み取り

resourcedatasync*

GetParameter 指定したパラメータに関する情報を表示する許可を付与 読み取り

parameter*

GetParameterHistory 指定したパラメータの詳細と変更を表示する許可を付与 読み取り

parameter*

GetParameters 指定した複数のパラメータに関する情報を表示する許可を付与 読み取り

parameter*

GetParametersByPath 指定した階層内のパラメータに関する情報を表示する許可を付与 読み取り

parameter*

ssm:Recursive

GetPatchBaseline 指定したパッチベースラインに関する情報を表示する許可を付与 読み取り

patchbaseline*

GetPatchBaselineForPatchGroup 指定したパッチグループの現在のパッチベースラインの ID を表示する許可を付与 読み取り

patchbaseline*

GetResourcePolicies Systems Manager のリソースポリシーを一覧表示する許可を付与 リスト

resourcearn*

GetServiceSetting AWS のサービスのアカウントレベルの設定を表示する許可を付与 読み取り

servicesetting*

LabelParameterVersion 指定したバージョンのパラメータに識別ラベルを適用する許可を付与 書き込み

parameter*

ListAssociationVersions 指定した関連付けのバージョンを一覧表示する許可を付与 リスト

association*

ListAssociations 指定した SSM ドキュメントまたはマネージドインスタンスの関連付けを一覧表示する許可を付与 リスト
ListCommandInvocations 指定したインスタンスに送信されたコマンド呼び出しに関する情報を一覧表示する許可を付与 リスト
ListCommands 指定したインスタンスに送信されたコマンドを一覧表示する許可を付与 リスト
ListComplianceItems 指定したリソース上の指定したリソースタイプに対するコンプライアンスステータスを一覧表示する許可を付与 リスト
ListComplianceSummaries 指定したコンプライアンスタイプについて、準拠リソースと非準拠リソースの集計カウントを一覧表示する許可を付与 リスト
ListDocumentMetadataHistory 指定した SSM ドキュメントについてのメタデータ履歴を表示する許可を付与 リスト

document*

ListDocumentVersions 指定したドキュメントのすべてのバージョンを一覧表示する許可を付与 リスト

document*

ListDocuments 指定した SSM ドキュメントに関する情報を表示する許可を付与 リスト
ListInstanceAssociations SSM Agent に、新しいステートマネージャーの関連付けをチェックするアクセス許可を付与(内部 Systems Manager の呼び出し) リスト

instance

managed-instance

ListInventoryEntries 指定したインスタンスの指定したインベントリタイプのリストを表示する許可を付与 リスト
ListOpsItemEvents OpsItemEvents を表示する許可を付与 リスト
ListOpsItemRelatedItems OpsItem RelatedItems の詳細を表示するためのアクセス許可を付与 リスト
ListOpsMetadata OpsMetadata オブジェクトのリストを表示する許可を付与 リスト
ListResourceComplianceSummaries リソースレベルの集計カウントを一覧表示する許可を付与 リスト
ListResourceDataSync アカウントのリソースデータ同期設定に関する情報を一覧表示する許可を付与 リスト

ssm:SyncType

ListTagsForResource 指定したリソースのリソースタグのリストを表示する許可を付与 リスト

association

automation-execution

document

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

ModifyDocumentPermission カスタム SSM ドキュメントを指定した AWS アカウントと公開でまたは非公開で共有する許可を付与 アクセス許可の管理

document*

PutCalendar [アクセス許可のみ] 特定のカレンダーを作成/編集する許可を付与 書き込み

document*

PutComplianceItems 指定したリソースのコンプライアンスタイプおよびその他のコンプライアンス詳細を登録する許可を付与 書き込み

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

PutConfigurePackageResult [アクセス許可のみ] SSM Agentに、 特定のエージェントリクエスト(内部 Systems Manager の呼び出し)の結果のレポートを生成する許可を付与 読み取り
PutInventory 指定した複数のマネージドインスタンスでインベントリ項目を追加または更新する許可を付与 書き込み
PutParameter SSM パラメータを作成する許可を付与 書き込み

parameter*

aws:RequestTag/${TagKey}

aws:TagKeys

ssm:Overwrite

PutResourcePolicy Systems Manager のリソースポリシーを作成または更新する許可を付与 アクセス許可の管理

resourcearn*

RegisterDefaultPatchBaseline オペレーティングシステムタイプの既定のパッチベースラインを指定する許可を付与 書き込み

patchbaseline*

RegisterManagedInstance Systems Manager Agent を登録するアクセス許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterPatchBaselineForPatchGroup 指定したパッチグループのデフォルトのパッチベースラインを指定する許可を付与 書き込み

patchbaseline*

RegisterTargetWithMaintenanceWindow メンテナンスウィンドウでターゲットを登録する許可を付与 書き込み

maintenancewindow*

RegisterTaskWithMaintenanceWindow 指定したメンテナンスウィンドウでタスクを登録する許可を付与 書き込み

maintenancewindow*

RemoveTagsFromResource 指定したリソースから指定したタグキーを削除する許可を付与 タグ付け

association

automation-execution

document

instance

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

task

aws:TagKeys

ResetServiceSetting AWS アカウント のサービス設定をデフォルト値にリセットする許可を付与 書き込み

servicesetting*

ResumeSession マネージドインスタンスに Session Manager のセッションを再接続する許可を付与 書き込み

session*

ssm:resourceTag/aws:ssmmessages:session-id

ssm:resourceTag/aws:ssmmessages:target-id

SendAutomationSignal 指定したオートメーション実行の現在の動作やステータスを変更するための信号を送信する許可を付与 書き込み

automation-execution*

SendCommand 指定した 1 つ以上のマネージドインスタンスでコマンドを実行する許可を付与 書き込み

document*

bucket

instance

managed-instance

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

StartAssociationsOnce 指定した関連付けを手動で実行する許可を付与 書き込み

association*

StartAutomationExecution オートメーションドキュメントの実行を開始する許可を付与 書き込み

automation-definition*

aws:RequestTag/${TagKey}

aws:TagKeys

StartChangeRequestExecution 自動化ドキュメントの実行を開始する許可を付与 書き込み

automation-definition*

aws:RequestTag/${TagKey}

aws:TagKeys

ssm:AutoApprove

StartSession セッションマネージャーセッションの指定したターゲットへの接続を開始する許可を付与 書き込み

document

instance

managed-instance

task

ssm:SessionDocumentAccessCheck

ssm:resourceTag/${TagKey}

aws:ResourceTag/${TagKey}

StopAutomationExecution 既に進行中の指定したオートメーションの実行を停止する許可を付与 書き込み

automation-execution*

TerminateSession インスタンスへの Session Manager 接続を永続的に終了するアクセス許可を付与 書き込み

session*

ssm:resourceTag/aws:ssmmessages:session-id

ssm:resourceTag/aws:ssmmessages:target-id

UnlabelParameterVersion 指定済みバージョンのパラメータから識別ラベルを削除する許可を付与 書き込み

parameter*

UpdateAssociation 指定したターゲットで関連付けを更新し、関連付けをただちに実行する許可を付与 書き込み

association*

document

instance

managed-instance

UpdateAssociationStatus 指定したインスタンスに関連付けられている SSM ドキュメントのステータスを更新する許可を付与 書き込み

document*

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

UpdateDocument SSM ドキュメントの 1 つ以上の値を更新する許可を付与 書き込み

document*

UpdateDocumentDefaultVersion SSM ドキュメントのデフォルトバージョンを変更する許可を付与 書き込み

document*

UpdateDocumentMetadata SSM ドキュメントのメタデータを更新する許可を付与 書き込み

document*

UpdateInstanceAssociationStatus [アクセス許可のみ] 現在実行中の関連付けのステータスを更新するSSM Agentに許可を付与(内部 Systems Manager の呼び出し) 書き込み

association*

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

UpdateInstanceInformation ハートビート信号をクラウド内の Systems Manager サービスに送信する SSM Agent に許可を付与 書き込み

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

UpdateMaintenanceWindow 指定したメンテナンスウィンドウを更新する許可を付与 書き込み

maintenancewindow*

UpdateMaintenanceWindowTarget メンテナンスウィンドウターゲットを更新する許可を付与 書き込み

maintenancewindow*

windowtarget*

UpdateMaintenanceWindowTask メンテナンスウィンドウタスクを更新する許可を付与 書き込み

maintenancewindow*

windowtask*

UpdateManagedInstanceRole 指定したマネージドインスタンスに割り当てられた IAM ロールを割り当てまたは変更する許可を付与 書き込み

managed-instance*

ssm:resourceTag/tag-key

UpdateOpsItem OpsItem を編集または変更する許可を付与 書き込み

opsitem*

UpdateOpsMetadata OpsMetadata オブジェクトを更新する許可を付与 書き込み

opsmetadata*

UpdatePatchBaseline 指定したパッチベースラインを更新する許可を付与 書き込み

patchbaseline*

UpdateResourceDataSync リソースデータの同期を更新する許可を付与 書き込み

resourcedatasync*

ssm:SyncType

UpdateServiceSetting AWS アカウント のサービス設定を更新する許可を付与 書き込み

servicesetting*

AWS Systems Manager で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

注記

一部の State Manager API パラメータは非推奨となりました。これは予期しない動作につながる可能性があります。詳細については、「IAM を使用した関連付けの作業」を参照してください。

リソースタイプ ARN 条件キー
association arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}

aws:ResourceTag/${TagKey}

automation-execution arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

automation-definition arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
bucket arn:${Partition}:s3:::${BucketName}
document arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}

aws:ResourceTag/${TagKey}

ssm:DocumentCategories

ssm:resourceTag/${TagKey}

instance arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

maintenancewindow arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance-inventory arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
opsitem arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}

aws:ResourceTag/${TagKey}

opsmetadata arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

parameter arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

patchbaseline arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

resourcearn arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
session arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}

ssm:resourceTag/aws:ssmmessages:session-id

ssm:resourceTag/aws:ssmmessages:target-id

resourcedatasync arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
servicesetting arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
windowtarget arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
windowtask arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
task arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}

aws:ResourceTag/${TagKey}

AWS Systems Manager の条件キー

AWS Systems Manager は、IAM ポリシーの Condition 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} 指定したタグで許可されている値のセットに基づいて「作成」リクエストでアクセスをフィルタリング 文字列
aws:ResourceTag/${TagKey} AWS リソースに割り当てられたタグキーおよび値のペアに基づいてアクセスをフィルタリング 文字列
aws:TagKeys 必須タグがリクエストに含まれているかどうかに基づいて、「作成」リクエストでアクセスをフィルタリング ArrayOfString
ec2:SourceInstanceARN リクエストが発生したインスタンスの ARN によってアクセスをフィルタリングします ARN
ssm:AutoApprove ユーザーがレビューステップなしで (変更フリーズイベントは例外) 、Change Manager ワークフローを開始するアクセス可能を持っていることを確認して、アクセスをフィルタリング Bool
ssm:DocumentCategories ユーザーが特定のカテゴリに属するドキュメントにアクセスする許可を持っていることを確認して、アクセスをフィルタリング ArrayOfString
ssm:Overwrite Systems Manager のパラメータを上書きできるかどうかの制御によって、アクセスをフィルタリング 文字列
ssm:Recursive 階層構造で作成された Systems Manager のパラメータによってアクセスをフィルタリング 文字列
ssm:SessionDocumentAccessCheck ユーザーがデフォルトの Session Manager 設定ドキュメントまたはリクエストで指定されたカスタム設定ドキュメントにアクセスする権限を持っていることを確認して、アクセスをフィルタリング Bool
ssm:SourceInstanceARN リクエストの送信元である AWS Systems Manager のマネージドインスタンスの Amazon リソースネーム (ARN) を検証することによってアクセスをフィルタリングします。EC2 インスタンスプロファイルに関連付けられた IAM ロールで認証されたマネージドインスタンスからリクエストが送信された場合、このキーは存在しません。 ARN
ssm:SyncType リクエストで指定された ResourceDataSync SyncType にユーザーがアクセスできることを確認して、アクセスをフィルタリング 文字列
ssm:resourceTag/${TagKey} Systems Manager リソースに割り当てられたタグのキーおよび値のペアによってアクセスをフィルタリング 文字列
ssm:resourceTag/aws:ssmmessages:session-id Systems Manager セッションリソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリングします 文字列
ssm:resourceTag/aws:ssmmessages:target-id Systems Manager セッションリソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリングします 文字列
ssm:resourceTag/tag-key Systems Manager リソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリング 文字列