에 대한 액세스 제한 시스템 관리자 매개변수 IAM 정책 사용 - AWS 시스템 관리자

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

에 대한 액세스 제한 시스템 관리자 매개변수 IAM 정책 사용

다음에 대한 액세스를 제한합니다. 시스템 관리자 매개 변수를 사용하여 AWS Identity and Access Management (IAM). 더 보기 특히, 여러분은 IAM 다음 API에 대한 액세스를 제한하는 정책 운영:

IAM 정책을 사용하여 에 대한 액세스를 제한할 때 시스템 관리자 매개변수가 있는 경우, 여러분이 제한적 IAM 정책. 예를 들어, 다음 정책에서는 사용자가 DescribeParametersGetParameters 주성분 제한된 리소스 집합에 대한 작업입니다. 즉, 사용자가 모든 파라미터에 대한 정보를 제공하고 이를 사용합니다. prod-*.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:DescribeParameters" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameters" ], "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/prod-*" } ] }

신뢰할 수 있는 관리자의 경우 시스템 관리자 매개변수 API 작업을 수행할 수 있습니다. 이 정책은 사용자로 시작하는 모든 생산 매개변수에 대한 전체 액세스 dbserver-prod-*.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ssm:PutParameter", "ssm:DeleteParameter", "ssm:GetParameterHistory", "ssm:GetParametersByPath", "ssm:GetParameters", "ssm:GetParameter", "ssm:DeleteParameters" ], "Resource": "arn:aws:ssm:region:account-id:parameter/dbserver-prod-*" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "ssm:DescribeParameters", "Resource": "*" } ] }

특정만 허용 인스턴스에서 실행할 매개 변수

인스턴스가 사용자가 선택한 매개 변수만 실행할 수 있도록 액세스를 제어할 수 을(를) 지정합니다.

만약 SecureString 매개 변수 유형 매개 변수를 생성하고 시스템 관리자 사용 AWS Key Management Service (KMS) 매개 변수를 암호화합니다. 값. AWS KMS 은 값을 암호화합니다. AWS-관리 고객 마스터 key(CMK) 또는 고객이 관리하는 CMK. 에 대한 자세한 정보 AWS KMS 및 CMK, 보기 AWS Key Management Service Developer Guide.

다음을 볼 수 있습니다. AWS에서 다음 명령을 실행하여 -managed CMK 관리 AWS CLI:

aws kms describe-key --key-id alias/aws/ssm

다음 예에서는 인스턴스가 다음에 대한 매개 변수 값만 가져올 수 있습니다. 파라미터가 "prod-"로 시작하는 경우 SecureString 인스턴스가 문자열을 해독합니다. 사용 AWS KMS.

참고

다음 예와 같이 인스턴스 정책이 인스턴스 역할 IAM. 에 대한 액세스 구성에 대한 자세한 내용은 시스템 관리자 사용자 및 인스턴스에 정책을 할당하는 방법을 포함한 기능 참조 설정 AWS 시스템 관리자.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetParameters" ], "Resource":[ "arn:aws:ssm:region:account-id:parameter/prod-*" ] }, { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:region:account-id:key/CMK" ] } ] }