As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição do AWS Systems Manager
AWS O Systems Manager (prefixo do serviço:ssm) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em IAM políticas de permissão.
Referências:
-
Saiba como configurar este serviço.
-
Veja uma lista das APIoperações disponíveis para esse serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de IAM permissão.
Tópicos
Ações definidas pelo AWS Systems Manager
Você pode especificar as seguintes ações no Action elemento de uma declaração de IAM política. Use políticas para conceder permissões para executar uma operação na AWS. Quando você usa uma ação em uma política, geralmente permite ou nega acesso à API operação ou ao CLI comando com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o Resource elemento em uma IAM política, deverá incluir um padrão ARN ou para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| AddTagsToResource | Concede permissão para adicionar ou substituir uma ou mais tags para um recurso especificado AWS | Tags | |||
| AssociateOpsItemRelatedItem | Concede permissão para se RelatedItem associar a um OpsItem | Escrever | |||
| CancelCommand | Concede permissão para cancelar um comando Run Command especificado | Gravação | |||
| CancelMaintenanceWindowExecution | Concede permissão para cancelar uma execução da janela de manutenção em andamento | Escrever | |||
| CreateActivation | Concede permissão para criar uma ativação que é usada para registrar servidores locais e máquinas virtuais (VMs) com o Systems Manager | Escrever | |||
| CreateAssociation | Concede permissão para associar um documento especificado do Systems Manager a instâncias especificadas ou outros destinos | Escrever | |||
| CreateAssociationBatch | Concede permissão para combinar entradas para várias CreateAssociation operações em um único comando | Escrever | |||
| CreateDocument | Concede permissão para criar um SSM documento do Systems Manager | Escrever |
iam:PassRole |
||
| CreateMaintenanceWindow | Concede permissão para criar uma janela de manutenção | Escrever | |||
| CreateOpsItem | Concede permissão para criar um OpsItem em OpsCenter | Escrever | |||
| CreateOpsMetadata | Concede permissão para criar um OpsMetadata objeto para um AWS recurso | Escrever | |||
| CreatePatchBaseline | Concede permissão para criar uma linha de base de patch | Gravação | |||
| CreateResourceDataSync | Concede permissão para criar uma configuração de sincronização de dados de recurso, que coleta regularmente dados de inventário de instâncias gerenciadas e atualiza os dados em um bucket do Amazon S3 | Gravação | |||
| DeleteActivation | Concede permissão para excluir uma ativação especificada para instâncias gerenciadas | Escrever | |||
| DeleteAssociation | Concede permissão para desassociar um SSM documento especificado de uma instância especificada | Escrever | |||
| DeleteDocument | Concede permissão para excluir um SSM documento especificado e suas associações de instância | Escrever | |||
| DeleteInventory | Concede permissão para excluir um tipo de inventário personalizado especificado ou os dados associados a um tipo de inventário personalizado | Gravação | |||
| DeleteMaintenanceWindow | Concede permissão para excluir uma janela de manutenção especificada | Escrever | |||
| DeleteOpsItem | Concede permissão para excluir um OpsItem | Escrever | |||
| DeleteOpsMetadata | Concede permissão para excluir um OpsMetadata objeto | Escrever | |||
| DeleteParameter | Concede permissão para excluir um SSM parâmetro especificado | Escrever | |||
| DeleteParameters | Concede permissão para excluir vários SSM parâmetros especificados | Escrever | |||
| DeletePatchBaseline | Concede permissão para excluir uma linha de base de patch especificada | Gravação | |||
| DeleteResourceDataSync | Concede permissão para excluir uma sincronização de dados de recurso especificada | Escrever | |||
| DeleteResourcePolicy | Concede permissão para excluir uma política de recursos do Systems Manager | Gerenciamento de permissões | |||
| DeregisterManagedInstance | Concede permissão para cancelar o registro de um servidor on-premises especificado ou uma máquina virtual (VM) do Systems Manager | Gravação | |||
| DeregisterPatchBaselineForPatchGroup | Concede permissão para cancelar o registro de uma linha de base de patch especificada de modo a impedir que a linha de base de patch torne-se padrão para um grupo de patches especificado | Gravação | |||
| DeregisterTargetFromMaintenanceWindow | Concede permissão para cancelar o registro de um destino especificado de uma janela de manutenção | Gravação | |||
| DeregisterTaskFromMaintenanceWindow | Concede permissão para cancelar o registro de uma tarefa especificada de uma janela de manutenção | Gravação | |||
| DescribeActivations | Concede permissão para exibir detalhes sobre uma ativação de instância gerenciada especificada, como quando ela foi criada e o número de instâncias registradas usando a ativação | Leitura | |||
| DescribeAssociation | Concede permissão para exibir detalhes sobre a associação especificada para uma instância ou destino especificado | Leitura | |||
| DescribeAssociationExecutionTargets | Concede permissão para exibir informações sobre uma execução de associação especificada | Leitura | |||
| DescribeAssociationExecutions | Concede permissão para exibir todas as execuções de uma associação especificada | Leitura | |||
| DescribeAutomationExecutions | Concede permissão para exibir detalhes sobre todas as execuções de automação ativas e encerradas | Leitura | |||
| DescribeAutomationStepExecutions | Concede permissão para exibir informações sobre todas as execuções de etapas ativas e finalizadas em um fluxo de trabalho de automação | Leitura | |||
| DescribeAvailablePatches | Concede permissão para exibir todos os patches elegíveis para inclusão em uma linha de base de patch | Leitura | |||
| DescribeDocument | Concede permissão para visualizar detalhes sobre um SSM documento especificado | Leitura | |||
| DescribeDocumentParameters | Concede permissão para exibir informações sobre os parâmetros do SSM documento no console do Systems Manager (ação interna do Systems Manager) | Leitura | |||
| DescribeDocumentPermission | Concede permissão para visualizar as permissões de um SSM documento específico | Leitura | |||
| DescribeEffectiveInstanceAssociations | Concede permissão para exibir todas as associações atuais de uma instância especificada | Leitura | |||
| DescribeEffectivePatchesForPatchBaseline | Concede permissão para exibir detalhes sobre os patches atualmente associados à linha de base de patch especificada (somente Windows) | Leitura | |||
| DescribeInstanceAssociationsStatus | Concede permissão para exibir o status das associações de uma instância especificada | Leitura | |||
| DescribeInstanceInformation | Concede permissão para exibir detalhes sobre uma instância especificada | Leitura | |||
| DescribeInstancePatchStates | Concede permissão para exibir detalhes de status sobre patches em uma instância especificada | Leitura | |||
| DescribeInstancePatchStatesForPatchGroup | Concede permissão para descrever o estado do patch de alto nível das instâncias no grupo de patches especificado | Leitura | |||
| DescribeInstancePatches | Concede permissão para exibir detalhes gerais sobre os patches em uma instância especificada | Leitura | |||
| DescribeInstanceProperties | Concede permissão ao EC2 console Amazon do usuário para renderizar os nós das instâncias gerenciadas | Leitura | |||
| DescribeInventoryDeletions | Concede permissão para exibir detalhes sobre uma exclusão de inventário especificada | Leitura | |||
| DescribeMaintenanceWindowExecutionTaskInvocations | Concede permissão para exibir detalhes de uma execução de tarefa especificada para uma janela de manutenção | Listar | |||
| DescribeMaintenanceWindowExecutionTasks | Concede permissão para exibir detalhes sobre as tarefas realizadas durante a execução de uma janela de manutenção especificada | Listar | |||
| DescribeMaintenanceWindowExecutions | Concede permissão para exibir as execuções de uma janela de manutenção especificada | Listar | |||
| DescribeMaintenanceWindowSchedule | Concede permissão para exibir detalhes sobre execuções futuras de uma janela de manutenção especificada | Listar | |||
| DescribeMaintenanceWindowTargets | Concede permissão para exibir uma lista dos destinos associados a uma janela de manutenção especificada | Listar | |||
| DescribeMaintenanceWindowTasks | Concede permissão para exibir uma lista das tarefas associadas a uma janela de manutenção especificada | Listar | |||
| DescribeMaintenanceWindows | Concede permissão para exibir informações sobre todas as janelas de manutenção ou sobre as janelas de manutenção especificadas | Listar | |||
| DescribeMaintenanceWindowsForTarget | Concede permissão para exibir informações sobre os destinos da janela de manutenção e as tarefas associadas a uma instância especificada | Listar | |||
| DescribeOpsItems | Concede permissão para visualizar detalhes sobre especificados OpsItems | Leitura | |||
| DescribeParameters | Concede permissão para visualizar detalhes sobre um SSM parâmetro especificado | Listar | |||
| DescribePatchBaselines | Concede permissão para exibir informações sobre linhas de base de patch que atendem aos critérios especificados | Listar | |||
| DescribePatchGroupState | Concede permissão para exibir detalhes de status agregados para patches de um grupo de patches especificado | Listar | |||
| DescribePatchGroups | Concede permissão para exibir informações sobre a lista de referência de patches para um grupo de patches especificado | Listar | |||
| DescribePatchProperties | Concede permissão para exibir detalhes de patches disponíveis para um sistema operacional especificado e uma propriedade de patch | Listar | |||
| DescribeSessions | Concede permissão para exibir uma lista de sessões recentes do gerenciador de sessão que atendem aos critérios de pesquisa especificados | Listar | |||
| DisassociateOpsItemRelatedItem | Concede permissão para se desassociar RelatedItem de um OpsItem | Escrever | |||
| GetAutomationExecution | Concede permissão para exibir detalhes de uma execução de automação especificada | Leitura | |||
| GetCalendar [somente permissão] | Concede permissão para visualizar detalhes de um calendário específico | Leitura | |||
| GetCalendarState | Concede permissão para visualizar o estado do calendário de um calendário de alteração ou de uma lista de calendários de alteração | Leitura | |||
| GetCommandInvocation | Concede permissão para exibir detalhes sobre a execução do comando de uma invocação ou plugin especificado | Leitura | |||
| GetConnectionStatus | Concede permissão para exibir o status de conexão do gerenciador de sessão para uma instância gerenciada especificada | Leitura | |||
| GetDefaultPatchBaseline | Concede permissão para exibir a lista de referência de patches padrão atual para um tipo de sistema operacional especificado | Leitura | |||
| GetDeployablePatchSnapshotForInstance | Concede permissão para recuperar o snapshot da lista de referência de patches atual para uma instância especificada | Leitura | |||
| GetDocument | Concede permissão para visualizar o conteúdo de um SSM documento especificado | Leitura | |||
| GetInventory | Concede permissão para exibir detalhes do inventário da instância de acordo com os critérios especificados | Leitura | |||
| GetInventorySchema | Concede permissão para exibir uma lista de tipos de inventário ou nomes de atributos para um tipo de item de inventário especificado | Leitura | |||
| GetMaintenanceWindow | Concede permissão para exibir detalhes sobre uma janela de manutenção especificada | Leitura | |||
| GetMaintenanceWindowExecution | Concede permissão para exibir detalhes sobre a execução de uma janela de manutenção especificada | Leitura | |||
| GetMaintenanceWindowExecutionTask | Concede permissão para exibir detalhes sobre a tarefa de execução de uma janela de manutenção especificada | Leitura | |||
| GetMaintenanceWindowExecutionTaskInvocation | Concede permissão para exibir detalhes sobre a tarefa de uma janela de manutenção específica em execução em um destino específico | Leitura | |||
| GetMaintenanceWindowTask | Concede permissão para exibir detalhes sobre tarefas registradas com uma janela de manutenção especificada | Leitura | |||
| GetManifest [somente permissão] | Concede permissão ao Systems Manager e ao SSM Agent para determinar os requisitos de instalação do pacote para uma instância (chamada interna do Systems Manager) | Leitura | |||
| GetOpsItem | Concede permissão para visualizar informações sobre um determinado OpsItem | Leitura | |||
| GetOpsMetadata | Concede permissão para recuperar um objeto OpsMetadata | Leitura | |||
| GetOpsSummary | Concede permissão para visualizar informações resumidas com OpsItems base em filtros e agregadores especificados | Leitura | |||
| GetParameter | Concede permissão para exibir informações sobre um parâmetro especificado | Leitura | |||
| GetParameterHistory | Concede permissão para exibir detalhes e alterações para um parâmetro especificado | Leitura | |||
| GetParameters | Concede permissão para exibir informações sobre vários parâmetros especificados | Leitura | |||
| GetParametersByPath | Concede permissão para exibir informações sobre parâmetros em uma hierarquia especificada | Leitura | |||
| GetPatchBaseline | Concede permissão para exibir informações sobre uma lista de referência de patches especificada | Leitura | |||
| GetPatchBaselineForPatchGroup | Concede permissão para exibir o ID da lista de referência de patches atual para um grupo de patches especificado | Leitura | |||
| GetResourcePolicies | Concede permissão para recuperar listas de políticas de recursos do Systems Manager | Listar | |||
| GetServiceSetting | Concede permissão para visualizar a configuração no nível da conta de um serviço AWS | Leitura | |||
| LabelParameterVersion | Concede permissão para aplicar um rótulo de identificação a uma versão especificada de um parâmetro | Gravação | |||
| ListAssociationVersions | Concede permissão para listar versões da associação especificada | Listar | |||
| ListAssociations | Concede permissão para listar as associações de um SSM documento específico ou instância gerenciada | Listar | |||
| ListCommandInvocations | Concede permissão para listar informações sobre invocações de comando enviadas para uma instância especificada | Listar | |||
| ListCommands | Concede permissão para listar os comandos enviados para uma instância especificada | Listar | |||
| ListComplianceItems | Concede permissão para listar status de conformidade para os tipos de recursos especificados em um recurso especificado | Listar | |||
| ListComplianceSummaries | Concede permissão para listar uma contagem de resumo de recursos compatíveis e não compatíveis para um tipo de conformidade especificada | Listar | |||
| ListDocumentMetadataHistory | Concede permissão para visualizar o histórico de metadados sobre um documento especificado SSM | Listar | |||
| ListDocumentVersions | Concede permissão para listar todas as versões de um documento especificado | Listar | |||
| ListDocuments | Concede permissão para visualizar informações sobre um SSM documento especificado | Listar | |||
| ListInstanceAssociations | Concede permissão ao SSM Agente para verificar se há novas associações de Gerentes de Estado (chamada interna do Systems Manager) | Listar | |||
| ListInventoryEntries | Concede permissão para exibir uma lista de tipos de inventário especificados para uma instância especificada | Listar | |||
| ListOpsItemEvents | Concede permissão para visualizar detalhes sobre OpsItemEvents | Listar | |||
| ListOpsItemRelatedItems | Concede permissão para visualizar detalhes sobre OpsItem RelatedItems | Listar | |||
| ListOpsMetadata | Concede permissão para visualizar uma lista de OpsMetadata objetos | Listar | |||
| ListResourceComplianceSummaries | Concede permissão para listar a contagem resumida no nível de recursos | Listar | |||
| ListResourceDataSync | Concede permissão para listar informações sobre configurações de sincronização de dados de recursos em uma conta | Listar | |||
| ListTagsForResource | Concede permissão para visualizar uma lista de etiquetas de recursos para um recurso especificado | Listar | |||
| ModifyDocumentPermission | Concede permissão para compartilhar um SSM documento personalizado de forma pública ou privada com contas específicas AWS | Gerenciamento de permissões | |||
| PutCalendar [somente permissão] | Concede permissão para criar/editar um calendário específico | Escrever | |||
| PutComplianceItems | Concede permissão para registrar um tipo de conformidade e outros detalhes de conformidade em um recurso designado. | Escrever | |||
| PutConfigurePackageResult [somente permissão] | Concede permissão ao SSM Agente para gerar um relatório dos resultados de solicitações específicas do agente (chamada interna do Systems Manager) | Leitura | |||
| PutInventory | Concede permissão para adicionar ou atualizar itens de inventário em várias instâncias gerenciadas especificadas | Escrever | |||
| PutParameter | Concede permissão para criar um SSM parâmetro | Escrever | |||
| PutResourcePolicy | Concede permissão para criar ou atualizar uma política de recurso do Systems Manager | Gerenciamento de permissões | |||
| RegisterDefaultPatchBaseline | Concede permissão para especificar a lista de referência de patches padrão para um tipo de sistema operacional | Escrever | |||
| RegisterManagedInstance | Concede permissão para registrar um Systems Manager Agent | Escrever | |||
| RegisterPatchBaselineForPatchGroup | Concede permissão para especificar a linha de base de patch padrão para um grupo de patches especificado | Gravação | |||
| RegisterTargetWithMaintenanceWindow | Concede permissão para registrar um destino com uma janela de manutenção especificada | Gravação | |||
| RegisterTaskWithMaintenanceWindow | Concede permissão para registrar uma tarefa com uma janela de manutenção especificada | Gravação | |||
| RemoveTagsFromResource | Concede permissão para remover uma chave da etiqueta especificada de um recurso especificado | Tags | |||
| ResetServiceSetting | Concede permissão para redefinir a configuração do serviço de an Conta da AWS para o valor padrão | Escrever | |||
| ResumeSession | Concede permissão para reconectar uma sessão do gerenciador de sessão a uma instância gerenciada | Gravação | |||
| SendAutomationSignal | Concede permissão para enviar um sinal para alterar o comportamento ou status atual da execução de uma automação especificada | Gravação | |||
| SendCommand | Concede permissão para executar comandos em uma ou mais instâncias gerenciadas especificadas | Gravação | |||
| StartAssociationsOnce | Concede permissão para executar manualmente uma associação especificada | Gravação | |||
| StartAutomationExecution | Concede permissão para iniciar a execução de um Documento de automação | Gravação | |||
| StartChangeRequestExecution | Concede permissão para iniciar a execução de um documento Modelo de Alteração de Automação | Gravação | |||
| StartSession | Concede permissão para iniciar uma conexão com um destino especificado para uma sessão do gerenciador de sessão | Gravação | |||
| StopAutomationExecution | Concede permissão para interromper uma execução de automação especificada que já está em andamento | Gravação | |||
| TerminateSession | Concede permissão para encerrar permanentemente uma conexão do Gerenciador de Sessões a uma instância | Escrever | |||
| UnlabelParameterVersion | Concede permissão para remover um rótulo de identificação de uma versão especificada de um parâmetro | Escrever | |||
| UpdateAssociation | Concede permissão para atualizar uma associação e executar imediatamente a associação nos destinos especificados | Escrever | |||
| UpdateAssociationStatus | Concede permissão para atualizar o status do SSM documento associado a uma instância especificada | Escrever | |||
| UpdateDocument | Concede permissão para atualizar um ou mais valores de um SSM documento | Escrever | |||
| UpdateDocumentDefaultVersion | Concede permissão para alterar a versão padrão de um SSM documento | Escrever | |||
| UpdateDocumentMetadata | Concede permissão para atualizar os metadados de um documento SSM | Escrever | |||
| UpdateInstanceAssociationStatus [somente permissão] | Concede permissão ao SSM Agente para atualizar o status da associação que está sendo executada no momento (chamada interna do Systems Manager) | Escrever | |||
| UpdateInstanceInformation | Concede permissão ao SSM Agente para enviar um sinal de pulsação para o serviço Systems Manager na nuvem | Escrever | |||
| UpdateMaintenanceWindow | Concede permissão para atualizar uma janela de manutenção especificada | Gravação | |||
| UpdateMaintenanceWindowTarget | Concede permissão para atualizar um destino da janela de manutenção especificada | Gravação | |||
| UpdateMaintenanceWindowTask | Concede permissão para atualizar uma tarefa de janela de manutenção especificada | Escrever | |||
| UpdateManagedInstanceRole | Concede permissão para atribuir ou alterar a IAM função atribuída a uma instância gerenciada especificada | Escrever | |||
| UpdateOpsItem | Concede permissão para editar ou alterar um OpsItem | Escrever | |||
| UpdateOpsMetadata | Concede permissão para atualizar um OpsMetadata objeto | Gravação | |||
| UpdatePatchBaseline | Concede permissão para atualizar uma linha de base de patch especificada | Gravação | |||
| UpdateResourceDataSync | Concede permissão para atualizar uma sincronização de dados de recursos | Escrever | |||
| UpdateServiceSetting | Concede permissão para atualizar a configuração do serviço para um Conta da AWS | Escrever |
Tipos de recursos definidos pelo AWS Systems Manager
Os tipos de recursos a seguir são definidos por esse serviço e podem ser usados no Resource elemento das declarações de política de IAM permissão. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
nota
Alguns API parâmetros do State Manager foram descontinuados. Isso pode causar um comportamento inesperado. Para obter mais informações, consulte Trabalhando com associações usando IAM.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
| automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
| automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
| iam-role |
arn:${Partition}:iam::${Account}:role/${RoleName}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
| maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
| managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
| managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
| opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
| opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
| opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
| parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
| patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
| session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
| resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
| servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
| windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
| windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
Chaves de condição do AWS Systems Manager
AWS O Systems Manager define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma IAM política. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para ver as chaves de condição globais que estão disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra o acesso pelas solicitações "Criar" com base no conjunto de valores permitidos para uma etiqueta especificada | Segmento |
| aws:ResourceTag/${TagKey} | Filtra o acesso com base em um par de chave-valor de tag atribuído ao recurso AWS | String |
| aws:TagKeys | Filtra o acesso pelas solicitações "Criar" com base em na inclusão das etiquetas obrigatórias na solicitação | ArrayOfString |
| ec2:SourceInstanceARN | Filtra o acesso pela instância ARN da qual a solicitação foi originada | ARN |
| ssm:AutoApprove | Filtra o acesso verificando se o usuário tem permissão para iniciar fluxos de trabalho do Change Manager sem uma etapa de revisão (com exceção dos eventos de congelamento de alterações) | Bool |
| ssm:DocumentCategories | Filtra o acesso verificando se o usuário tem permissão para acessar um documento pertencente a uma categoria enum específica | ArrayOfString |
| ssm:Overwrite | Filtra o acesso controlando se os parâmetros do Systems Manager podem ser substituídos | String |
| ssm:Policies | Filtra o acesso controlando se uma IAM entidade (usuário ou função) pode criar ou atualizar um parâmetro que inclua uma política de parâmetros | String |
| ssm:Recursive | Filtra o acesso pelos parâmetros do Systems Manager criados em uma estrutura hierárquica | String |
| ssm:SessionDocumentAccessCheck | Filtra o acesso verificando se um usuário tem permissão para acessar o documento de configuração padrão do Gerenciador de Sessões ou o documento de configuração personalizado especificado em uma solicitação | Bool |
| ssm:SourceInstanceARN | Filtra o acesso verificando o Amazon Resource Name (ARN) da instância gerenciada do AWS Systems Manager a partir da qual a solicitação é feita. Essa chave não está presente quando a solicitação vem da instância gerenciada autenticada com uma IAM função associada ao perfil da EC2 instância. | ARN |
| ssm:SyncType | Filtra o acesso verificando se um usuário também tem acesso ao ResourceDataSync SyncType especificado na solicitação | String |
| ssm:resourceTag/${TagKey} | Filtra o acesso por um par de chave/valor da etiqueta atribuído ao recurso Systems Manager | String |
| ssm:resourceTag/aws:ssmmessages:session-id | Filtra o acesso com base em um par de chave-valor de tag atribuído ao recurso de sessão do Systems Manager | String |
| ssm:resourceTag/aws:ssmmessages:target-id | Filtra o acesso com base em um par de chave-valor de tag atribuído ao recurso de sessão do Systems Manager | String |
| ssm:resourceTag/tag-key | Filtra o acesso com base em um par de chave-valor da etiqueta atribuído ao recurso Systems Manager | String |
