Session Manager の設定を更新するためのユーザーアクセス許可を付与または拒否する - AWS Systems Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Session Manager の設定を更新するためのユーザーアクセス許可を付与または拒否する

アカウントの設定は、各 AWS リージョン の AWS Systems Manager (SSM) ドキュメントとして保存されます。アカウント内のセッションのアカウント設定を更新するには、その設定が保存されている SSM ドキュメントのタイプにアクセスするために必要なアクセス権限を得ている必要があります。これらのアクセス権限は、AWS Identity and Access Management (IAM) ポリシーによって付与されます。

設定を作成および更新できる管理者ポリシー

管理者は、設定を随時作成して更新するために、次のポリシーを持つことができます。次のポリシーは、us-east-2 アカウント 123456789012 にある SSM-SessionManagerRunShell ドキュメントにアクセスして更新するアクセス許可を許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ssm:CreateDocument",
                "ssm:GetDocument",
                "ssm:UpdateDocument",
                "ssm:DeleteDocument"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}
設定が更新されないようにするユーザーポリシー

次のポリシーを使用して、アカウントのエンドユーザーが Session Manager の設定を更新または上書きしないようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ssm:CreateDocument",
                "ssm:GetDocument",
                "ssm:UpdateDocument",
                "ssm:DeleteDocument"
            ],
            "Effect": "Deny",
            "Resource": [
                "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}