IAM を使用して関連付けを操作する

AWS Systems Manager の一機能である State Manager は、ターゲットを使用して、関連付けを設定するインスタンスを選択できます。元々、関連付けはドキュメント名 (Name) とインスタンス ID (InstanceId) を指定して作成されました。これにより、ドキュメントとインスタンスまたはマネージドインスタンスの間の関連付けが作成されました。これらのパラメータによって識別に使用される関連付け。これらのパラメータは廃止されましたが、引き続きサポートされます。リソース instance と managed-instance は Name および InstanceId を使用してアクションにリソースとして追加されました。

AWS Identity and Access Management (IAM) ポリシー適用の動作は、指定されたリソースのタイプによって異なります。State Manager オペレーションのリソースは、渡された要求に基づいてのみ適用されます。State Manager は、アカウント内のリソースのプロパティのディープチェックを実行しません。リクエストパラメータに指定されたポリシーリソースが含まれている場合、リクエストはポリシーリソースに対してのみ検証されます。例えば、リソースブロックでインスタンスを指定すると、リクエストが InstanceId パラメータを使用する場合にポリシーが適用されます。アカウント内の各リソースの Targets パラメータは、InstanceId に対してチェックされません。

以下は、混乱を招く動作の例です。

• DescribeAssociation、DeleteAssociation、UpdateAssociation は instance、managed-instance、および documentリソースを使用して、関連付けを参照する非推奨の方法を指定します。これには、InstanceId 非推奨パラメータで作成されたすべての関連付けが含まれます。

• CreateAssociation、 CreateAssociationBatch、および UpdateAssociation は、instance および managed-instance のリソースを使用して、関連付けを参照する非推奨の方法を指定します。これには、InstanceId 非推奨パラメータで作成されたすべての関連付けが含まれます。document のリソースタイプは、非推奨の関連付けを参照する方法の一部であり、関連付けの実際のプロパティです。つまり、ドキュメント名に基づいて、作成アクションと更新アクションの両方に対して、許可または拒否のアクセス許可を持つ IAM ポリシーを作成できます。

Systems Manager と IAM ポリシーを使用する方法の詳細については、サービス許可リファレンスの「AWS Systems Manager のためのアイデンティティおよびアクセス管理」または「AWS Systems Manager のアクション、リソース、および条件キー」を参照してください。