本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Systems Manager 的操作、资源和条件键
AWS Systems Manager(服务前缀:ssm
)提供以下特定于服务的资源、操作和条件上下文密钥,供在IAM权限策略中使用。
参考:
-
了解如何配置该服务。
-
查看此服务可用的API操作列表。
-
了解如何使用IAM权限策略保护此服务及其资源。
AWS Systems Manager 定义的操作
您可以在IAM策略声明的Action
元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。当您在策略中使用操作时,通常会允许或拒绝访问具有相同名称的API操作或CLI命令。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource
元素中指定策略应用的所有资源(“*”)。如果该列包含资源类型,则可以在带有该操作ARN的语句中指定该类型的资源类型。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您使用IAM策略中的Resource
元素限制资源访问权限,则必须为每种必需的资源类型包含ARN或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition
元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
---|---|---|---|---|---|
AddTagsToResource | 授予为指定 AWS 资源添加或覆盖一个或多个标签的权限 | 标记 | |||
AssociateOpsItemRelatedItem | 授予与关联 RelatedItem 的权限 OpsItem | 写入 | |||
CancelCommand | 授予权限以取消指定的 Run Command 命令 | Write | |||
CancelMaintenanceWindowExecution | 授予权限以取消进行中的维护时段执行 | 写入 | |||
CreateActivation | 授予创建激活的权限,该激活用于向 Systems Manager 注册本地服务器和虚拟机 (VMs) | 写入 | |||
CreateAssociation | 授予权限以将指定的 Systems Manager 文档与指定的实例或其他目标关联 | 写入 | |||
CreateAssociationBatch | 授予在单个命令中合并多个 CreateAssociation 操作条目的权限 | 写入 | |||
CreateDocument | 授予创建 Systems Manager SSM 文档的权限 | 写入 |
iam:PassRole |
||
CreateMaintenanceWindow | 授予权限以创建维护时段 | 写入 | |||
CreateOpsItem | 授予 OpsItem 在中创建的权限 OpsCenter | 写入 | |||
CreateOpsMetadata | 授予为 AWS 资源创建 OpsMetadata 对象的权限 | 写入 | |||
CreatePatchBaseline | 授予权限以创建修补程序基准 | Write | |||
CreateResourceDataSync | 授予权限以创建资源数据同步配置,该配置定期从托管实例收集清单数据并更新 Amazon S3 存储桶中的数据 | Write | |||
DeleteActivation | 授予权限以删除托管实例的指定激活 | 写入 | |||
DeleteAssociation | 授予解除指定SSM文档与指定实例关联的权限 | 写入 | |||
DeleteDocument | 授予删除指定SSM文档及其实例关联的权限 | 写入 | |||
DeleteInventory | 授予权限以删除指定的自定义清单类型或者与自定义清单类型关联的数据 | Write | |||
DeleteMaintenanceWindow | 授予权限以删除指定的维护时段 | 写入 | |||
DeleteOpsItem | 授予删除的权限 OpsItem | 写入 | |||
DeleteOpsMetadata | 授予删除 OpsMetadata 对象的权限 | 写入 | |||
DeleteParameter | 授予删除指定SSM参数的权限 | 写入 | |||
DeleteParameters | 授予删除多个指定SSM参数的权限 | 写入 | |||
DeletePatchBaseline | 授予权限以删除指定的补丁基准 | Write | |||
DeleteResourceDataSync | 授予权限以删除指定的资源数据同步 | 写入 | |||
DeleteResourcePolicy | 授予删除 Systems Manager 资源策略的权限 | 权限管理 | |||
DeregisterManagedInstance | 授予权限以从 Systems Manager 取消注册指定的本地服务器或虚拟机 (VM) | Write | |||
DeregisterPatchBaselineForPatchGroup | 授予权限以便为指定的补丁组取消注册作为默认补丁基准的指定补丁基准 | Write | |||
DeregisterTargetFromMaintenanceWindow | 授予权限以从维护时段取消注册指定的目标 | Write | |||
DeregisterTaskFromMaintenanceWindow | 授予权限以从维护时段取消注册指定的任务 | Write | |||
DescribeActivations | 授予权限以查看有关指定托管实例激活的详细信息,例如其创建时间和使用激活注册的实例数 | Read | |||
DescribeAssociation | 授予权限以查看指定实例或目标的指定关联的相关详细信息 | Read | |||
DescribeAssociationExecutionTargets | 授予权限以查看有关指定关联执行情况的信息 | Read | |||
DescribeAssociationExecutions | 授予权限以查看指定关联的所有执行 | Read | |||
DescribeAutomationExecutions | 授予权限以查看所有活动和已终止的 Automation 执行的相关详细信息 | Read | |||
DescribeAutomationStepExecutions | 授予权限以查看 Automation 工作流程中所有活动和已终止的步骤执行信息 | Read | |||
DescribeAvailablePatches | 授予权限以查看符合包含在补丁基准中的条件的所有补丁 | 读取 | |||
DescribeDocument | 授予权限以查看有关指定SSM文档的详细信息 | 读取 | |||
DescribeDocumentParameters | 授予在 Systems Manager 控制台中显示有关SSM文档参数信息的权限(系统管理器内部操作) | 读取 | |||
DescribeDocumentPermission | 授予查看指定SSM文档权限的权限 | 读取 | |||
DescribeEffectiveInstanceAssociations | 授予权限以查看指定实例的所有当前关联 | Read | |||
DescribeEffectivePatchesForPatchBaseline | 授予权限以查看当前与指定补丁基准关联的补丁的相关详细信息(仅 Windows) | Read | |||
DescribeInstanceAssociationsStatus | 授予权限以查看指定实例的关联的状态 | Read | |||
DescribeInstanceInformation | 授予权限以查看有关指定实例的详细信息 | Read | |||
DescribeInstancePatchStates | 授予权限以查看指定实例上有关补丁的状态详细信息 | Read | |||
DescribeInstancePatchStatesForPatchGroup | 授予权限以描述指定修补程序组中实例的高级修补程序状态 | Read | |||
DescribeInstancePatches | 授予权限以查看有关指定实例上补丁的一般详细信息 | 读取 | |||
DescribeInstanceProperties | 向用户的 Amazon EC2 控制台授予呈现托管实例节点的权限 | 读取 | |||
DescribeInventoryDeletions | 授予权限以查看有关指定库存删除的详细信息 | Read | |||
DescribeMaintenanceWindowExecutionTaskInvocations | 授予权限以查看某个维护时段的指定任务执行的详细信息 | List | |||
DescribeMaintenanceWindowExecutionTasks | 授予权限以查看在指定维护时段执行期间运行的任务的相关详细信息 | List | |||
DescribeMaintenanceWindowExecutions | 授予权限以查看指定维护时段的执行 | List | |||
DescribeMaintenanceWindowSchedule | 授予权限以查看有关指定维护时段即将开始的执行的详细信息 | List | |||
DescribeMaintenanceWindowTargets | 授予权限以查看与指定维护时段关联的目标的列表 | List | |||
DescribeMaintenanceWindowTasks | 授予权限以查看与指定维护时段关联的任务的列表 | List | |||
DescribeMaintenanceWindows | 授予权限以查看有关所有维护时段或指定维护时段的信息 | List | |||
DescribeMaintenanceWindowsForTarget | 授予权限以查看与指定实例关联的维护时段目标和任务相关的信息 | 列出 | |||
DescribeOpsItems | 授予权限以查看有关指定内容的详细信息 OpsItems | 读取 | |||
DescribeParameters | 授予查看有关指定SSM参数的详细信息的权限 | 列出 | |||
DescribePatchBaselines | 授予权限以查看符合指定条件的补丁基准的信息 | List | |||
DescribePatchGroupState | 授予权限以查看指定补丁组的补丁的聚合状态详细信息 | 列出 | |||
DescribePatchGroups | 授予权限以查看指定补丁组的补丁基准相关信息 | List | |||
DescribePatchProperties | 授予权限以查看指定操作系统和补丁属性的可用补丁的详细信息 | List | |||
DescribeSessions | 授予权限以查看满足指定搜索条件的近期会话管理器会话的列表 | 列出 | |||
DisassociateOpsItemRelatedItem | 授予取消关联 RelatedItem 的权限 OpsItem | 写入 | |||
GetAutomationExecution | 授予权限以查看指定 Automation 执行的详细信息 | 读取 | |||
GetCalendar [仅权限] | 授予查看特定日历详细信息的权限 | 读取 | |||
GetCalendarState | 授予权限以查看更改日历或更改日历列表的日历状态 | Read | |||
GetCommandInvocation | 授予权限以查看有关指定调用或插件的命令执行的详细信息 | Read | |||
GetConnectionStatus | 授予权限以查看指定托管实例的会话管理器连接状态 | Read | |||
GetDefaultPatchBaseline | 授予权限以查看指定操作系统类型的当前默认补丁基准 | Read | |||
GetDeployablePatchSnapshotForInstance | 授予权限以检索指定实例的当前补丁基准快照 | 读取 | |||
GetDocument | 授予查看指定SSM文档内容的权限 | 读取 | |||
GetInventory | 授予权限以根据指定条件查看实例清单详细信息 | Read | |||
GetInventorySchema | 授予权限以查看指定清单项目类型的清单类型或属性名称的列表 | Read | |||
GetMaintenanceWindow | 授予权限以查看有关指定维护时段的详细信息 | Read | |||
GetMaintenanceWindowExecution | 授予权限以查看有关指定维护时段执行的详细信息 | Read | |||
GetMaintenanceWindowExecutionTask | 授予权限以查看有关指定维护时段执行任务的详细信息 | Read | |||
GetMaintenanceWindowExecutionTaskInvocation | 授予权限以查看在特定目标上运行的特定维护时段任务的详细信息 | Read | |||
GetMaintenanceWindowTask | 授予权限以查看在指定维护时段中注册的任务的详细信息 | 读取 | |||
GetManifest [仅权限] | 向 Systems Manager 和 SSM Agent 授予权限以确定实例的软件包安装要求(Systems Manager 内部调用) | 读取 | |||
GetOpsItem | 授予查看有关指定信息的权限 OpsItem | 读取 | |||
GetOpsMetadata | 授予检索 OpsMetadata 对象的权限 | 读取 | |||
GetOpsSummary | OpsItems 根据指定的筛选器和聚合器授予查看有关摘要信息的权限 | 读取 | |||
GetParameter | 授予权限以查看有关指定参数的信息 | Read | |||
GetParameterHistory | 授予权限以查看指定参数的详细信息和更改 | Read | |||
GetParameters | 授予权限以查看有关多个指定参数的信息 | Read | |||
GetParametersByPath | 授予权限以查看指定层次结构中参数的信息 | Read | |||
GetPatchBaseline | 授予权限以查看有关指定补丁基准的信息 | Read | |||
GetPatchBaselineForPatchGroup | 授予权限以查看指定补丁组的当前补丁基准的 ID | 读取 | |||
GetResourcePolicies | 授予检索 Systems Manager 资源策略列表的权限 | 列出 | |||
GetServiceSetting | 授予查看服务的账户级别设置的权限 AWS | 读取 | |||
LabelParameterVersion | 授予权限以将标识标签应用于参数的指定版本 | Write | |||
ListAssociationVersions | 授予权限以列出指定关联的版本 | 列出 | |||
ListAssociations | 授予列出指定SSM文档或托管实例关联的权限 | 列出 | |||
ListCommandInvocations | 授予权限以列出有关发送到指定实例的命令调用的信息 | 列出 | |||
ListCommands | 授予权限以列出发送到指定实例的命令 | 列出 | |||
ListComplianceItems | 授予权限以列出指定资源上指定资源类型的合规性状态 | List | |||
ListComplianceSummaries | 授予权限以列出对于指定的合规性类型,合规以及不合规资源的摘要计数 | 列出 | |||
ListDocumentMetadataHistory | 授予查看有关指定SSM文档的元数据历史记录的权限 | 列出 | |||
ListDocumentVersions | 授予权限以列出指定文档的所有版本 | 列出 | |||
ListDocuments | 授予查看有关指定SSM文档信息的权限 | 列出 | |||
ListInstanceAssociations | 向SSM代理授予检查新的状态管理器关联的权限(Systems Manager 内部调用) | 列出 | |||
ListInventoryEntries | 授予权限以查看指定实例的指定清单类型的列表 | 列出 | |||
ListOpsItemEvents | 授予查看相关详细信息的权限 OpsItemEvents | 列出 | |||
ListOpsItemRelatedItems | 授予查看相关详细信息的权限 OpsItem RelatedItems | 列出 | |||
ListOpsMetadata | 授予查看 OpsMetadata 对象列表的权限 | 列出 | |||
ListResourceComplianceSummaries | 授予权限以列出资源级摘要计数 | List | |||
ListResourceDataSync | 授予权限以列出有关账户中资源数据同步配置的信息 | List | |||
ListTagsForResource | 授予权限以查看指定资源的资源标签的列表 | 列出 | |||
ModifyDocumentPermission | 授予与指定 AWS 账户公开或私下共享自定义SSM文档的权限 | 权限管理 | |||
PutCalendar [仅权限] | 授予创建/编辑特定日历的权限 | 写入 | |||
PutComplianceItems | 授予权限以在指定资源上注册合规性类型和其他合规性详细信息 | 写入 | |||
PutConfigurePackageResult [仅权限] | 授予代理生成特定SSM代理请求结果报告的权限(Systems Manager 内部调用) | 读取 | |||
PutInventory | 授予权限以在多个指定的托管实例上添加或更新清单项目 | 写入 | |||
PutParameter | 授予创建SSM参数的权限 | 写入 | |||
PutResourcePolicy | 授予创建或更新 Systems Manager 资源策略的权限 | 权限管理 | |||
RegisterDefaultPatchBaseline | 授予权限以便为操作系统类型指定默认补丁基准 | 写入 | |||
RegisterManagedInstance | 授予注册 Systems Manager Agent 的权限 | 写入 | |||
RegisterPatchBaselineForPatchGroup | 授予权限以便为指定的补丁组指定默认补丁基准 | Write | |||
RegisterTargetWithMaintenanceWindow | 授予权限以将目标注册到指定的维护时段 | Write | |||
RegisterTaskWithMaintenanceWindow | 授予权限以将任务注册到指定的维护时段 | Write | |||
RemoveTagsFromResource | 授予权限以从指定资源中删除指定标签键 | 标记 | |||
ResetServiceSetting | 授予将的服务设置重置 AWS 账户 为默认值的权限 | 写入 | |||
ResumeSession | 授予权限以将会话管理器会话重新连接到托管实例 | Write | |||
SendAutomationSignal | 授予权限以发送信号,更改指定 Automation 执行的当前行为或状态 | Write | |||
SendCommand | 授予权限以在一个或多个指定托管实例上运行命令 | Write | |||
StartAssociationsOnce | 授予权限以手动运行指定关联 | Write | |||
StartAutomationExecution | 授予权限以启动 Automation 文档的执行 | Write | |||
StartChangeRequestExecution | 授予启动 Automation Change Template 文档的执行的权限 | Write | |||
StartSession | 授予权限以便为会话管理器会话启动与指定目标的连接 | Write | |||
StopAutomationExecution | 授予权限以停止已在进行的指定 Automation 执行 | Write | |||
TerminateSession | 授予权限以永久结束与实例的会话管理器连接 | 写入 | |||
UnlabelParameterVersion | 授予从参数的指定版本移除标识标签的权限 | 写入 | |||
UpdateAssociation | 授予权限以更新关联并立即在指定目标上运行关联 | 写入 | |||
UpdateAssociationStatus | 授予更新与指定实例关联的SSM文档状态的权限 | 写入 | |||
UpdateDocument | 授予更新SSM文档一个或多个值的权限 | 写入 | |||
UpdateDocumentDefaultVersion | 授予更改SSM文档默认版本的权限 | 写入 | |||
UpdateDocumentMetadata | 授予更新SSM文档元数据的权限 | 写入 | |||
UpdateInstanceAssociationStatus [仅权限] | 授予SSM代理更新其当前正在运行的关联状态的权限(内部 Systems Manager 调用) | 写入 | |||
UpdateInstanceInformation | 向SSM代理授予向云端的 Systems Manager 服务发送心跳信号的权限 | 写入 | |||
UpdateMaintenanceWindow | 授予权限以更新指定的维护时段 | Write | |||
UpdateMaintenanceWindowTarget | 授予权限以更新指定的维护时段目标 | Write | |||
UpdateMaintenanceWindowTask | 授予权限以更新指定的维护时段任务 | 写入 | |||
UpdateManagedInstanceRole | 授予分配或更改分配给指定托管实例的IAM角色的权限 | 写入 | |||
UpdateOpsItem | 授予编辑或更改的权限 OpsItem | 写入 | |||
UpdateOpsMetadata | 授予更新 OpsMetadata 对象的权限 | 写入 | |||
UpdatePatchBaseline | 授予权限以更新指定的补丁基准 | Write | |||
UpdateResourceDataSync | 授予权限以更新资源数据同步 | 写入 | |||
UpdateServiceSetting | 授予更新服务设置的权限 AWS 账户 | 写入 |
AWS Systems Manager 定义的资源类型
以下资源类型由此服务定义,可以在IAM权限策略语句的Resource
元素中使用。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
注意
一些状态管理器API参数已被弃用。这可能会导致意外行为。有关更多信息,请参阅使用处理关联IAM。
资源类型 | ARN | 条件键 |
---|---|---|
association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
bucket |
arn:${Partition}:s3:::${BucketName}
|
|
document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
AWS Systems Manager 的条件键
AWS Systems Manager 定义了可以在IAM策略Condition
元素中使用的以下条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
条件键 | 描述 | 类型 |
---|---|---|
aws:RequestTag/${TagKey} | 根据指定标签的允许值集按“创建”请求筛选访问权限 | String |
aws:ResourceTag/${TagKey} | 根据分配给资源的标签键值对筛选访问权限 AWS | String |
aws:TagKeys | 根据请求中是否具有必需标签按“创建”请求筛选访问权限 | ArrayOfString |
ec2:SourceInstanceARN | 按发出请求ARN的实例的过滤访问权限 | ARN |
ssm:AutoApprove | 通过验证用户是否有权启动 Change Manager 工作流而不执行某个审核步骤(变更冻结事件除外)来筛选访问权限 | 布尔型 |
ssm:DocumentCategories | 通过验证用户是否有权访问属于特定类别的文档来筛选访问权限 | ArrayOfString |
ssm:Overwrite | 按控制是否可以覆盖 Systems Manager 参数筛选访问权限 | String |
ssm:Policies | 通过控制IAM实体(用户或角色)是否可以创建或更新包含参数策略的参数来筛选访问权限 | String |
ssm:Recursive | 按在某个层次结构中创建的 Systems Manager 参数筛选访问权限 | String |
ssm:SessionDocumentAccessCheck | 验证用户是否有权访问默认会话管理器配置文档或在请求中指定的自定义配置文档,从而筛选访问 | 布尔型 |
ssm:SourceInstanceARN | 通过验证发出请求的 AWS 系统管理员托管实例的 Amazon 资源名称 (ARN) 来筛选访问权限。当请求来自使用与实例配置文件关联的IAM角色进行身份验证的托管实例时,此密钥不存在 EC2 | ARN |
ssm:SyncType | 通过验证用户是否也可以访问请求中 ResourceDataSync SyncType 指定的内容来筛选访问权限 | String |
ssm:resourceTag/${TagKey} | 按分配给 Systems Manager 资源的标签键值对筛选访问权限 | String |
ssm:resourceTag/aws:ssmmessages:session-id | 根据分配给 Systems Manager 会话资源的标签键/值对筛选访问权限 | String |
ssm:resourceTag/aws:ssmmessages:target-id | 根据分配给 Systems Manager 会话资源的标签键/值对筛选访问权限 | String |
ssm:resourceTag/tag-key | 根据分配给 Systems Manager 资源的标签键/值对筛选访问权限 | String |