本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Systems Manager 的動作、資源和條件索引鍵
AWS Systems Manager (服務前置詞:ssm
) 提供下列服務特定資源、動作和條件內容金鑰,以便在 IAM 權限政策中使用。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Systems Manager 定義的動作
您可在 IAM 政策陳述式的 Action
元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource
元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource
元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition
元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
---|---|---|---|---|---|
AddTagsToResource | 授予新增或覆寫指定 AWS 資源之一或多個標籤的權限 | 標記 | |||
AssociateOpsItemRelatedItem | 授予關聯 RelatedItem 至 OpsItem | 寫入 | |||
CancelCommand | 准許取消指定的 Run Command 命令 | 寫入 | |||
CancelMaintenanceWindowExecution | 准許取消正在執行的維護時段作業 | 寫入 | |||
CreateActivation | 准許建立用來向 Systems Manager 登錄內部部署伺服器和虛擬機器 (VM) 的啟動作業 | 寫入 | |||
CreateAssociation | 准許建立指定 Systems Manager 文件與指定執行個體或其他目標的關聯性 | 寫入 | |||
CreateAssociationBatch | 授予在單個命令中合併多個 CreateAssociation 操作條目的權限 | 寫入 | |||
CreateDocument | 准許建立 Systems Manager SSM 文件 | 寫入 |
iam:PassRole |
||
CreateMaintenanceWindow | 准許建立維護時段 | 寫入 | |||
CreateOpsItem | 授予在中創建 OpsItem 的權限 OpsCenter | 寫入 | |||
CreateOpsMetadata | 授與為 AWS 資源建立 OpsMetadata 物件的權限 | 寫入 | |||
CreatePatchBaseline | 准許建立修補程式基準 | 寫入 | |||
CreateResourceDataSync | 准許建立資源資料同步組態,此組態會定期收集受管執行個體的清查資料,並更新 Amazon S3 儲存貯體中的資料 | 寫入 | |||
DeleteActivation | 准許刪除受管執行個體的指定啟動作業 | 寫入 | |||
DeleteAssociation | 准許取消指定 SSM 文件與指定執行個體的關聯 | 寫入 | |||
DeleteDocument | 准許刪除指定 SSM 文件及其執行個體的關聯 | 寫入 | |||
DeleteInventory | 准許刪除指定的自訂清查類型或與自訂清查類型關聯的資料 | 寫入 | |||
DeleteMaintenanceWindow | 准許刪除指定的維護時段 | 寫入 | |||
DeleteOpsItem | 授予刪除的權限 OpsItem | 寫入 | |||
DeleteOpsMetadata | 授與刪除 OpsMetadata 物件的權限 | 寫入 | |||
DeleteParameter | 准許刪除指定的 SSM 參數 | 寫入 | |||
DeleteParameters | 准許刪除多個指定的 SSM 參數 | 寫入 | |||
DeletePatchBaseline | 准許刪除指定的修補程式基準 | 寫入 | |||
DeleteResourceDataSync | 准許刪除指定的資源資料同步 | 寫入 | |||
DeleteResourcePolicy | 准許刪除 Systems Manager 資源政策 | 許可管理 | |||
DeregisterManagedInstance | 准許從 Systems Manager 取消登錄指定的內部部署伺服器或虛擬機器 (VM) | 寫入 | |||
DeregisterPatchBaselineForPatchGroup | 准許取消登錄指定的修補程式基準,不使其成為指定修補程式群組的預設修補程式基準 | 寫入 | |||
DeregisterTargetFromMaintenanceWindow | 准許取消登錄維護時段中的指定目標 | 寫入 | |||
DeregisterTaskFromMaintenanceWindow | 准許取消登錄維護時段中的指定作業 | 寫入 | |||
DescribeActivations | 准許檢視指定受管執行個體啟動作業的詳細資訊,例如建立的時間以及使用啟動作業登錄的執行個體數目 | 讀取 | |||
DescribeAssociation | 准許檢視指定執行個體或目標之指定關聯性的詳細資訊 | 讀取 | |||
DescribeAssociationExecutionTargets | 准許檢視指定的相關聯執行資訊 | 讀取 | |||
DescribeAssociationExecutions | 准許檢視所有指定關聯性的執行作業 | 讀取 | |||
DescribeAutomationExecutions | 准許檢視所有作用中和已終止自動化執行的詳細資訊 | 讀取 | |||
DescribeAutomationStepExecutions | 准許檢視自動化工作流程中所有啟用中及已終止步驟的執行相關資訊 | 讀取 | |||
DescribeAvailablePatches | 准許檢視符合修補程式基準收容資格的所有修補程式 | 讀取 | |||
DescribeDocument | 准許檢視指定 SSM 文件的詳細資料 | 讀取 | |||
DescribeDocumentParameters | 准許在 Systems Manager 主控台中顯示 SSM 文件參數的資訊 (內部 Systems Manager 動作) | 讀取 | |||
DescribeDocumentPermission | 准許檢視指定 SSM 文件的許可 | 讀取 | |||
DescribeEffectiveInstanceAssociations | 准許檢視指定執行個體的所有目前關聯性 | 讀取 | |||
DescribeEffectivePatchesForPatchBaseline | 准許檢視目前與指定修補程式基準相關聯的修補程式詳細資訊 (僅限 Windows) | 讀取 | |||
DescribeInstanceAssociationsStatus | 准許檢視指定執行個體的關聯性狀態 | 讀取 | |||
DescribeInstanceInformation | 准許檢視指定執行個體的詳細資訊 | 讀取 | |||
DescribeInstancePatchStates | 准許檢視指定執行個體的修補程式狀態詳細資訊 | 讀取 | |||
DescribeInstancePatchStatesForPatchGroup | 准許描述指定修補群組中執行個體高層級修補程式狀態 | 讀取 | |||
DescribeInstancePatches | 准許檢視指定執行個體的修補程式一般詳細資訊 | 讀取 | |||
DescribeInstanceProperties | 准許使用者的 Amazon EC2 主控台呈現受管執行個體節點 | 讀取 | |||
DescribeInventoryDeletions | 准許檢視指定清查刪除作業的詳細資訊 | 讀取 | |||
DescribeMaintenanceWindowExecutionTaskInvocations | 准許檢視在維護時段期間執行的指定任務詳細資訊 | 列出 | |||
DescribeMaintenanceWindowExecutionTasks | 准許檢視曾在指定維護時段執行期間執行的任務詳細資訊 | 列出 | |||
DescribeMaintenanceWindowExecutions | 准許檢視執行的指定維護時段 | 列出 | |||
DescribeMaintenanceWindowSchedule | 准許檢視即將執行之指定維護時段的詳細資訊 | 列出 | |||
DescribeMaintenanceWindowTargets | 准許檢視與指定維護時段相關聯目標的清單 | 列出 | |||
DescribeMaintenanceWindowTasks | 准許檢視與指定維護時段相關聯任務的清單 | 列出 | |||
DescribeMaintenanceWindows | 准許檢視所有或指定的維護時段資訊 | 列出 | |||
DescribeMaintenanceWindowsForTarget | 准許檢視維護時段目標的資訊以及與指定執行個體相關聯任務的資訊 | 清單 | |||
DescribeOpsItems | 授予檢視指定詳細資料的權限 OpsItems | 讀取 | |||
DescribeParameters | 准許檢視指定 SSM 參數的詳細資訊 | 列出 | |||
DescribePatchBaselines | 准許檢視符合指定條件之修補程式基準的資訊 | 列出 | |||
DescribePatchGroupState | 准許檢視指定修補程式群組之修補程式的彙總狀態詳細資訊 | 列出 | |||
DescribePatchGroups | 准許檢視指定修正程式群組的修補程式基準資訊 | 列出 | |||
DescribePatchProperties | 准許檢視指定作業系統之可用修補程式和修補程式屬性的詳細資訊 | 列出 | |||
DescribeSessions | 准許檢視符合指定搜尋條件之最近工作階段管理員工作階段的清單 | 清單 | |||
DisassociateOpsItemRelatedItem | 授予取消關聯 RelatedItem 的權限 OpsItem | 寫入 | |||
GetAutomationExecution | 准許檢視指定自動化執行作業的詳細資訊 | 讀取 | |||
GetCalendar [僅限許可] | 准許檢視特定行事曆詳細資訊 | 讀取 | |||
GetCalendarState | 授與檢視變更行事曆或變更行事曆清單之行事曆狀態的權限 | 讀取 | |||
GetCommandInvocation | 准許檢視指定呼叫或外掛程式之命令執行的詳細資訊 | 讀取 | |||
GetConnectionStatus | 准許檢視指定受管執行個體的工作階段管理員連線狀態 | 讀取 | |||
GetDefaultPatchBaseline | 准許檢視指定作業系統類型目前的預設修補程式基準 | 讀取 | |||
GetDeployablePatchSnapshotForInstance | 准許擷取指定執行個體目前的修補程式基準快照 | 讀取 | |||
GetDocument | 准許檢視指定 SSM 文件的內容 | 讀取 | |||
GetInventory | 准許檢視依指定條件列出的執行個體清查詳細資訊 | 讀取 | |||
GetInventorySchema | 准許檢視指定清查項目類型之清查類型或屬性名稱的清單 | 讀取 | |||
GetMaintenanceWindow | 准許檢視指定維護時段的詳細資訊 | 讀取 | |||
GetMaintenanceWindowExecution | 准許檢視指定維護時段執行作業的詳細資訊 | 讀取 | |||
GetMaintenanceWindowExecutionTask | 准許檢視指定之維護時段執行任務的詳細資訊 | 讀取 | |||
GetMaintenanceWindowExecutionTaskInvocation | 准許檢視在特定目標上執行的特定維護時段任務詳細資訊 | 讀取 | |||
GetMaintenanceWindowTask | 准許檢視已登錄指定維護時段的任務詳細資訊 | 讀取 | |||
GetManifest [僅限許可] | 准許 Systems Manager 和 SSM Agent 判斷執行個體的套裝服務安裝需求 (內部 Systems Manager 呼叫) | 讀取 | |||
GetOpsItem | 授予檢視有關指定之資訊的權限 OpsItem | 讀取 | |||
GetOpsMetadata | 授與擷取 OpsMetadata 物件的權限 | 讀取 | |||
GetOpsSummary | 授予 OpsItems 根據指定篩選器和彙總器檢視摘要資訊的權限 | 讀取 | |||
GetParameter | 准許檢視指定參數的資訊 | 讀取 | |||
GetParameterHistory | 准許檢視指定參數的詳細資訊和變更 | 讀取 | |||
GetParameters | 准許檢視多個指定參數的資訊 | 讀取 | |||
GetParametersByPath | 准許檢視指定階層中參數的資訊 | 讀取 | |||
GetPatchBaseline | 准許檢視指定修補程式基準的資訊 | 讀取 | |||
GetPatchBaselineForPatchGroup | 准許檢視指定修補程式群組之目前修補程式基準的 ID | 讀取 | |||
GetResourcePolicies | 准許擷取 Systems Manager 資源政策的清單 | 清單 | |||
GetServiceSetting | 授予檢視服務帳戶層級設定的權限 AWS | 讀取 | |||
LabelParameterVersion | 准許將識別標籤套用至參數的指定版本 | 寫入 | |||
ListAssociationVersions | 准許列出指定關聯版本 | 列出 | |||
ListAssociations | 准許列出指定 SSM 文件或受管執行個體的關聯性 | 列出 | |||
ListCommandInvocations | 准許列出傳送至指定執行個體的命令呼叫資訊 | 清單 | |||
ListCommands | 准許列出傳送至指定執行個體的命令 | 清單 | |||
ListComplianceItems | 准許列出指定資源上的指定資源類型相容性狀態 | 列出 | |||
ListComplianceSummaries | 准許列出指定相容性類型之相容和不相容資源的計數摘要 | 列出 | |||
ListDocumentMetadataHistory | 准許檢視指定 SSM 文件的相關中繼資料歷史記錄 | 列出 | |||
ListDocumentVersions | 准許列出指定文件的所有版本 | 列出 | |||
ListDocuments | 准許檢視指定 SSM 文件的資訊 | 列出 | |||
ListInstanceAssociations | 准許 SSM Agent 檢查新的狀態管理員關聯性 (內部 Systems Manager 呼叫) | 列出 | |||
ListInventoryEntries | 准許檢視指定執行個體的指定清查類型清單 | 清單 | |||
ListOpsItemEvents | 授予檢視詳細資料的權限 OpsItemEvents | 清單 | |||
ListOpsItemRelatedItems | 授予檢視詳細資料的權限 OpsItem RelatedItems | 清單 | |||
ListOpsMetadata | 授與檢視 OpsMetadata 物件清單的權限 | 清單 | |||
ListResourceComplianceSummaries | 准許列出資源層次摘要計數 | 列出 | |||
ListResourceDataSync | 准許列出帳號中資源資料同步組態的資訊 | 列出 | |||
ListTagsForResource | 准許檢視指定資源的資源標籤清單 | 清單 | |||
ModifyDocumentPermission | 授予與指 AWS 定帳戶公開或私下共用自訂 SSM 文件的權限 | 許可管理 | |||
PutCalendar [僅限許可] | 准許建立/編輯特定行事曆 | 寫入 | |||
PutComplianceItems | 准許在指定的資源上登錄合規類型及其他合規詳細資訊 | 寫入 | |||
PutConfigurePackageResult [僅限許可] | 准許 SSM Agent 產生特定代理程式請求的結果報告 (內部 Systems Manager 呼叫) | 讀取 | |||
PutInventory | 准許在多個指定的受管執行個體上新增或更新清查項目 | 寫入 | |||
PutParameter | 准許建立 SSM 參數 | 寫入 | |||
PutResourcePolicy | 准許建立或更新 Systems Manager 資源政策 | 許可管理 | |||
RegisterDefaultPatchBaseline | 准許指定作業系統類型的預設修補程式基準 | 寫入 | |||
RegisterManagedInstance | 准許註冊 Systems Manager Agent | 寫入 | |||
RegisterPatchBaselineForPatchGroup | 准許為指定的修補程式群組指定預設修補程式基準 | 寫入 | |||
RegisterTargetWithMaintenanceWindow | 准許登錄具有指定維護時段的目標 | 寫入 | |||
RegisterTaskWithMaintenanceWindow | 准許在指定的維護時段登錄任務 | 寫入 | |||
RemoveTagsFromResource | 准許從指定的資源中移除指定的標籤金鑰 | 標記 | |||
ResetServiceSetting | 授與將服務設定重設為預 AWS 帳戶 設值的權限 | 寫入 | |||
ResumeSession | 准許將工作階段管理員工作階段重新連線到受管執行個體 | 寫入 | |||
SendAutomationSignal | 准許傳送訊號,以變更指定自動化執行目前的行為或狀態 | 寫入 | |||
SendCommand | 准許對一或多個指定的受管執行個體執行命令 | 寫入 | |||
StartAssociationsOnce | 准許手動執行指定的關聯性 | 寫入 | |||
StartAutomationExecution | 准許啟動自動化文件執行 | 寫入 | |||
StartChangeRequestExecution | 准許啟動自動化變更範本文件執行 | 寫入 | |||
StartSession | 准許啟動工作階段管理員工作階段的指定目標連線 | 寫入 | |||
StopAutomationExecution | 准許停止已在進行的指定自動化執行作業 | 寫入 | |||
TerminateSession | 准許永久結束執行個體的工作階段管理員連線 | 寫入 | |||
UnlabelParameterVersion | 准許從參數的指定版本移除識別標籤 | 寫入 | |||
UpdateAssociation | 准許更新關聯性,並立即在指定的目標上執行關聯性 | 寫入 | |||
UpdateAssociationStatus | 准許更新與指定執行個體相關聯的 SSM 文件狀態 | 寫入 | |||
UpdateDocument | 准許更新 SSM 文件的一或多個值 | 寫入 | |||
UpdateDocumentDefaultVersion | 准許變更 SSM 文件的預設版本 | 寫入 | |||
UpdateDocumentMetadata | 准許更新 SSM 文件的中繼資料 | 寫入 | |||
UpdateInstanceAssociationStatus [僅限許可] | 准許 SSM Agent 更新目前正在執行的關聯性狀態 (內部 Systems Manager 呼叫) | 寫入 | |||
UpdateInstanceInformation | 准許 SSM Agent 將活動訊號傳送至雲端的 Systems Manager 服務 | 寫入 | |||
UpdateMaintenanceWindow | 准許更新指定的維護時段 | 寫入 | |||
UpdateMaintenanceWindowTarget | 准許更新指定的維護時段目標 | 寫入 | |||
UpdateMaintenanceWindowTask | 准許更新指定的維護時段任務 | 寫入 | |||
UpdateManagedInstanceRole | 准許指派或變更指派給指定受管執行個體的 IAM 角色 | 寫入 | |||
UpdateOpsItem | 授予編輯或變更的權限 OpsItem | 寫入 | |||
UpdateOpsMetadata | 授與更新 OpsMetadata 物件的權限 | 寫入 | |||
UpdatePatchBaseline | 准許更新指定的修補程式基準 | 寫入 | |||
UpdateResourceDataSync | 准許更新資源資料同步 | 寫入 | |||
UpdateServiceSetting | 授予更新服務設定的權限 AWS 帳戶 | 寫入 |
AWS Systems Manager 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource
元素中。動作資料表中的每個動作都會指明可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
注意
某些 State Manager API 參數已被取代。這可能會導致非預期行為。如需相關資訊,請參閱以 IAM 使用關聯。
資源類型 | ARN | 條件索引鍵 |
---|---|---|
association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
bucket |
arn:${Partition}:s3:::${BucketName}
|
|
document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
resourcearn |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
AWS Systems Manager 的條件索引鍵
AWS Systems Manager 會定義下列可在 IAM 政策Condition
元素中使用的條件金鑰。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵資料表。
若要檢視所有服務都可使用的全域條件索引鍵,請參閱可用全域條件索引鍵。
條件索引鍵 | 描述 | Type |
---|---|---|
aws:RequestTag/${TagKey} | 根據指定標籤的允許值集,依「建立」請求篩選存取權 | 字串 |
aws:ResourceTag/${TagKey} | 根據分配給資源的標籤鍵值對過濾訪問 AWS | 字串 |
aws:TagKeys | 根據請求是否包含強制性標籤,依「建立」請求篩選存取權 | ArrayOfString |
ec2:SourceInstanceARN | 依請求源自其中之執行個體的 ARN 篩選存取 | ARN |
ssm:AutoApprove | 透過驗證使用者是否具有無需檢閱步驟就能啟動 Change Manager 工作流程 (變更凍結事件除外) 的許可來篩選存取權 | Bool |
ssm:DocumentCategories | 透過驗證使用者是否具有存取屬於特定類別列舉的文件來篩選存取 | ArrayOfString |
ssm:Overwrite | 依控制是否可以覆寫 Systems Manager 參數篩選存取權 | 字串 |
ssm:Recursive | 依在階層結構中建立的 Systems Manager 參數篩選存取權 | 字串 |
ssm:SessionDocumentAccessCheck | 透過確認使用者是否具有存取請求中指定的預設 Session Manager 組態文件,或自訂組態文件的許可來篩選存取 | Bool |
ssm:SourceInstanceARN | 透過驗證提出請求之 AWS 系統管理員受管執行個體的 Amazon 資源名稱 (ARN) 來篩選存取。當請求來自使用與 EC2 執行個體設定檔關聯之 IAM 角色驗證的受管執行個體時,不會顯示此索引鍵。 | ARN |
ssm:SyncType | 透過驗證使用者是否也可存取要求中 ResourceDataSync SyncType 指定的來篩選存取 | 字串 |
ssm:resourceTag/${TagKey} | 依指派給 Systems Manager 資源的標籤鍵值對篩選存取權 | 字串 |
ssm:resourceTag/aws:ssmmessages:session-id | 根據指派給 Systems Manager 工作階段資源的標籤金鑰值對篩選存取權 | 字串 |
ssm:resourceTag/aws:ssmmessages:target-id | 根據指派給 Systems Manager 工作階段資源的標籤金鑰值對篩選存取權 | 字串 |
ssm:resourceTag/tag-key | 根據指派給 Systems Manager 資源的標籤鍵值對篩選存取權 | 字串 |