Trabalhar com associações usando o IAM - AWS Systems Manager

Trabalhar com associações usando o IAM

O State Manager, um recurso do AWS Systems Manager, usa targets (destinos) para escolher com quais instâncias você configura suas associações. Originalmente, as associações foram criadas especificando um nome de documento (Name) e ID da instância (InstanceId). Isso criou uma associação entre um documento e uma instância ou instância gerenciada. As associações eram identificadas por esses parâmetros. Esses parâmetros agora estão obsoletos, mas ainda são suportados. Os recursos instance e managed-instance foram adicionados como recursos para ações com Name e InstanceId.

AWS Identity and Access Management O comportamento de imposição de políticas (IAM) depende do tipo de recurso especificado. Recursos para operações do State Manager são aplicadas somente com base na solicitação passada. O State Manager não executa uma verificação profunda das propriedades dos recursos na sua conta. Uma solicitação só é validada em relação a recursos de política se o parâmetro de solicitação contiver os recursos de política especificados. Por exemplo, se você especificar uma instância no bloco de recursos, a política será imposta se a solicitação usar o parâmetro InstanceId. O parâmetro Targets para cada recurso na conta não é verificado para esse InstanceId.

A seguir estão alguns casos com comportamento confuso:

  • DescribeAssociation, DeleteAssociation e UpdateAssociation usam os recursos instance, managed-instance e document para especificar a forma defasada de se referir a associações. Isso inclui todas as associações criadas com o parâmetro InstanceId defasado.

  • CreateAssociation, CreateAssociationBatch e UpdateAssociation usam recursos da instance e das managed-instance para especificar a maneira defasada de se referir a associações. Isso inclui todas as associações criadas com o parâmetro InstanceId defasado. O tipo de recurso document é parte da maneira obsoleta de se referir a associações e é uma propriedade real de uma associação. Isso significa que você pode construir políticas do IAM com permissões Permitir ou Negar para as ações Criar e Atualizar com base no nome do documento.

Para obter mais informações sobre como usar políticas do IAM com o Systems Manager, consulte Gerenciamento de identidade e acesso para o AWS Systems Manager ou Ações, recursos e chaves de condição para o AWS Systems Manager na Referência de autorização do serviço.