AWS Systems Manager 搭配 IAM 的運作方式 - AWS Systems Manager

AWS Systems Manager 搭配 IAM 的運作方式

在您使用 AWS Identity and Access Management (IAM) 管理的 AWS Systems Manager 存取權前,您應該先了解可與 Systems Manager 搭配使用的 IAM 功能有哪些。若要取得 Systems Manager 和其他 AWS 服務如何搭配 IAM 使用的詳細資訊,請參閱 IAM 使用者指南中的可搭配 IAM 使用的 AWS 服務

Systems Manager 身分型政策

使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。Systems Manager 支援特定動作、資源及條件金鑰。若要了解您在 JSON 政策中使用的所有元素,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素參考

動作

管理員可以使用 AWS JSON 政策來指定誰可以存取哪些內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作

JSON 政策的 Action 元素描述您可以用來允許或拒絕政策中存取的動作。政策動作的名稱通常會和相關聯的 AWS API 操作相同。有一些例外狀況,例如沒有相符的 API 作業的僅限許可動作。也有一些作業需要政策中的多個動作。這些額外的動作稱為相依動作

政策會使用動作來授予執行相關聯操作的許可。

Systems Manager 中的政策動作會在動作之前使用以下字首:ssm:。例如,若要授予某人使用 Systems Manager PutParameter API 操作建立 Systems Manager 參數 (SSM 參數) 的許可,請在其政策中加入 ssm:PutParameter 動作。政策陳述式必須包含 ActionNotAction 元素。Systems Manager 會定義一組自己的動作,來描述您可以使用此服務執行的任務。

若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:

"Action": [ "ssm:action1", "ssm:action2"
注意

AWS AppConfig 是 AWS Systems Manager 的一項功能 ,會在動作之前使用前綴 appconfig:

您也可以使用萬用字元 (*) 來指定多個動作。例如,若要指定開頭是 Describe 文字的所有動作,請包含以下動作:

"Action": "ssm:Describe*"

如要查看 Systems Manager 動作的清單,請參閱《服務授權參考》中的 AWS Systems Manager 定義的動作

資源

管理員可以使用 AWS JSON 政策來指定誰可以存取哪些內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作

Resource JSON 政策元素可指定要套用動作的物件。陳述式必須包含 ResourceNotResource 元素。最佳實務是使用其 Amazon Resource Name (ARN) 來指定資源。您可以針對支援特定資源類型的動作 (稱為資源層級許可) 來這麼做。

對於不支援資源層級許可的動作 (例如列出作業),請使用萬用字元 (*) 來表示陳述式適用於所有資源。

"Resource": "*"

例如,Systems Manager 維護時段資源具有下列 ARN 格式。

arn:aws:ssm:region:account-id:maintenancewindow/window-id

若要在您美國東部 (俄亥俄) 區域的陳述式中指定 mw-0c50858d01EXAMPLE 維護時段,請使用類似於下列的 ARN。

"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"

若要指定所有屬於特定帳戶的維護時段,請使用萬用字元 (*)。

"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"

針對 Parameter Store API 操作,您可以使用階層名稱和 AWS Identity and Access Management (IAM) 政策,提供或限制存取一個階層中的所有參數,如下所示。

"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"

有些 Systems Manager 動作 (例如用來建立資源的動作) 無法在特定資源上執行。在這些情況下,您必須使用萬用字元 (*)。

"Resource": "*"

一些 Systems Manager API 作業都接受多個資源。若要在單一陳述式中指定多項資源,請用逗號分隔其 ARN,如下所示。

"Resource": [ "resource1", "resource2"
注意

大多數 AWS 服務將 ARN 中的冒號 (:) 或斜線 (/) 視為相同字元。不過,Systems Manager 在資源模式和規則中請求完全相符。在建立事件模式時,請務必使用正確的 ARN 字元,使這些字元符合資源的 ARN。

下表說明 Systems Manager 支援的資源類型 ARN 格式。

資源類型 ARN 格式
應用程式 (AWS AppConfig) arn:aws:appconfig:region:account-id:application/application-id
關聯 arn:aws:ssm:region:account-id:association/association-id
自動化執行 arn:aws:ssm:region:account-id:automation-execution/automation-execution-id
自動化定義 (包含版本子資源)

arn:aws:ssm:region:account-id:automation-definition/automation-definition-id:version-id

組態描述檔 (AWS AppConfig) arn:aws:appconfig:region:account-id:application/application-id/configurationprofile/configurationprofile-id
聯絡 (Incident Manager)

arn:aws:ssm-contacts:region:account-id:contact/contact-alias

部署策略 (AWS AppConfig) arn:aws:appconfig:region:account-id:deploymentstrategy/deploymentstrategy-id
文件

arn:aws:ssm:region:account-id:document/document-name

環境 (AWS AppConfig) arn:aws:appconfig:region:account-id:application/application-id/environment/environment-id
事件

arn:aws:ssm-incidents:region:account-id:incident-record/response-plan-name/incident-id

Maintenance window (維護時段)

arn:aws:ssm:region:account-id:maintenancewindow/window-id

受管節點

arn:aws:ssm:region:account-id:managed-instance/managed-node-id

受管節點庫存 arn:aws:ssm:region:account-id:managed-instance-inventory/managed-node-id
OpsItem arn:aws:ssm:region:account-id:opsitem/OpsItem-id
參數

單層級參數:

  • arn:aws:ssm:region:account-id:parameter/parameter-name/

使用階層結構命名的參數:

  • arn:aws:ssm:region:account-id:parameter/parameter-name-root/level-2/level-3/level-4/level-5

修補基準

arn:aws:ssm:region:account-id:patchbaseline/patch-baseline-id

反應計劃

arn:aws:ssm-incidents:region:account-id:response-plan/response-plan-name

工作階段 (Session)

arn:aws:ssm:region:account-id:session/session-id

所有 Systems Manager 資源

arn:aws:ssm:*

在指定 AWS 區域 中,指定之 AWS 帳戶 擁有的所有 Systems Manager 資源

arn:aws:ssm:region:account-id:*

針對自動化定義,Systems Manager 支援第二層級的資源,版本 ID。在 AWS 中,這些第二層級的資源稱為子資源。指定自動化定義資源的版本子資源,允許您提供特定版本之自動化定義的存取。例如,您可能想要確保您的節點管理僅使用最新版本的自動化定義。

若要整理和管理參數,您可以建立具有階層結構的參數名稱。擁有階層結構的參數名稱可以包含您使用斜線定義的路徑。您最多可以命名包含十五個層級的參數資源。建議您建立階層以反映環境中現有的階層架構。如需詳細資訊,請參閱 建立 Systems Manager 參數

在大多數情況下,工作階段 ID 是使用開始工作階段的帳戶使用者 ID,加上英數尾碼。例如:

arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE

不過,如果使用者 ID 無法使用,則會以下列方式建構 ARN:

arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE

如需 ARN 格式的詳細資訊,請參閱《Amazon Web Services 一般參考》中的 Amazon Resource Name (ARN) 與 AWS 服務命名空間

如需 Systems Manager 資源類型及其 ARN 的清單,請參閱《服務授權參考》中的 AWS Systems Manager 定義的資源。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱 AWS Systems Manager 定義的動作

條件金鑰

管理員可以使用 AWS JSON 政策來指定誰可以存取哪些內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作

Condition 元素 (或 Condition 區塊) 可讓您指定使陳述式生效的條件。Condition 元素是選用項目。您可以建立使用條件運算子的條件表達式 (例如等於或小於),來比對政策中的條件和請求中的值。

若您在陳述式中指定多個 Condition 元素,或是在單一 Condition 元素中指定多個金鑰,AWS 會使用邏輯 AND 操作評估他們。若您為單一條件索引鍵指定多個值,AWS 會使用邏輯 OR 操作評估條件。必須符合所有條件,才會授予陳述式的許可。

您也可以在指定條件時使用預留位置變數。例如,您可以只在使用者使用其 IAM 使用者名稱標記時,將存取資源的許可授予該 IAM 使用者。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 政策元素:變數和標籤

AWS 支援全域條件索引鍵和服務特定的條件索引鍵。若要查看 AWS 全域條件金鑰,請參閱《IAM 使用者指南》中的 AWS 全域條件內容金鑰

如要查看 Systems Manager 條件索引鍵的清單,請參閱《服務授權參考》中的 AWS Systems Manager 的條件索引鍵。若要了解您可以針對何種動作及資源使用條件索引鍵,請參閱 AWS Systems Manager 定義的動作

如需使用 ssm:resourceTag/* 條件金鑰的相關資訊,請參閱以下主題:

如需使用 ssm:Recursive ssm:Overwrite 條件金鑰的相關資訊,請參閱 使用參數階層

範例

若要檢視 Systems Manager 身分型政策範例,請參閱 AWS Systems Manager 身分型政策範例

Systems Manager 資源型政策

其他 AWS 服務 (例如 Amazon Simple Storage Service (Amazon S3)) 支援以資源為基礎的許可政策。例如,您可以將許可政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。

Systems Manager 不支援資源型政策。

以 Systems Manager 標籤為基礎的授權

您可以將標籤連接到 Systems Manager 資源,或是在請求中將標籤傳遞給 Systems Manager。若要根據標籤控制存取,請使用 ssm:resourceTag/key-nameaws:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys 條件索引鍵,在政策的條件元素中,提供標籤資訊。您可以在建立或更新下列資源類型時,將標籤新增至下列資源類型:

  • 文件

  • 受管節點

  • Maintenance window (維護時段)

  • 參數

  • 修補基準

  • OpsItem

如需 Systems Manager 資源標籤功能的詳細資訊,請參閱 標記 Systems Manager 資源

若要檢視身分型政策範例,以根據該資源上的標籤來限制存取資源,請參閱 根據標籤來檢視 Systems Manager 文件

Systems Manager IAM 角色

IAM 角色是您 AWS 帳戶 中具備特定許可的實體。

將臨時憑證與 Systems Manager 搭配使用

您可以搭配聯合使用臨時憑證、擔任 IAM 角色,或是擔任跨帳戶角色。您取得暫時安全登入資料的方式是透過呼叫 AWS Security Token Service (AWS STS) API 操作 (例如,AssumeRoleGetFederationToken)。

Systems Manager 支援使用臨時憑證。

服務連結角色

服務連結角色可讓 AWS 服務存取其他服務中的資源,以代您完成動作。服務連結角色會列於您的 IAM 帳戶中,並由該服務所擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。

Systems Manager 支援服務連結角色。如需建立或管理 Systems Manager 服務連結角色的詳細資訊,請參閱使用 Systems Manager 的服務連結角色

服務角色

此功能可讓服務代表您擔任服務角色。此角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會顯示在您的 IAM 帳戶中,且由該帳戶所擁有。這表示 IAM 管理員可以變更此角色的許可。不過,這樣可能會破壞此服務的功能。

Systems Manager 支援服務角色。

在 Systems Manager 中選擇 IAM 角色

若要讓 Systems Manager 與您的受管節點互動,您必須選擇角色以允許 Systems Manager 代表您存取節點。如果您之前已建立服務角色或服務連結角色,Systems Manager 會提供您角色清單讓您選擇。請務必選擇允許存取啟動和停止受管節點的角色。

若要存取 EC2 執行個體,您 AWS 帳戶 需要的角色是 IAM 執行個體設定檔。如需詳細資訊,請參閱建立 Systems Manager 的 IAM 執行個體設定檔

若要存取現場部署節點或虛擬機器 (VM),您 AWS 帳戶 需要的角色是混合環境的 IAM 服務角色。如需詳細資訊,請參閱為混合環境建立 IAM 服務角色

自動化工作流程可在服務角色 (或擔任角色) 的內容下啟動。這可讓服務代表您執行動作。如果您未指定擔任角色,Automation 會使用呼叫執行的使用者內容。然而,某些情況仍需要您為自動化指定服務角色。如需詳細資訊,請參閱 設定自動化的服務角色 (擔任角色) 存取權

AWS 的 受管政策AWS Systems Manager

AWS 透過提供獨立的 IAM 政策來解決許多常用案例,這些政策由 所建立與管理。AWS這些 AWS「受管政策」會授予常用案例所需的許可,讓您不需調查需要哪些許可。(您也可以建立自己的自訂 IAM 政策,以允許 Systems Manager 動作與資源的許可。) 如需詳細資訊,請參閱《IAM 使用者指南》https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies中的 AWS 受管政策

下列 AWS 受管政策專屬於 Systems Manager,可連接到您帳戶中的使用者:

  • AmazonSSMFullAccess – 授予 Systems Manager API 和文件完整存取的使用者信任政策。

  • AmazonSSMReadOnlyAccess – 授予 Get*List* 等 Systems Manager 唯讀 API 操作之存取權的使用者信任政策。

  • AmazonSSMAutomationApproverAccess – 可啟用檢視自動化執行並將核准決策傳送到自動化,以等待核准的使用者信任政策。

  • AmazonSSMAutomationRole – 服務角色政策,提供 Systems Manager Automation 服務許可,以執行 Automation Runbook 中所定義的活動。將此政策指派給管理員和信任的高權限使用者。

  • AmazonSSMDirectoryServiceAccess – 執行個體信任政策,允許 SSM Agent 代表使用者存取 AWS Directory Service 以請求透過受管節點加入網域。

  • AmazonSSMMaintenanceWindowRole – Systems Manager Maintenance Windows 的服務角色政策。

  • AmazonSSMManagedInstanceCore – 節點信任政策,讓執行個體使用 Systems Manager 服務的核心功能。

  • AmazonSSMServiceRolePolicy – 服務角色政策,可提供由 Systems Manager 管理或使用的 AWS 資源存取權限。

  • AWSResourceAccessManagerServiceRolePolicy - 包含對帳戶的 AWS Organizations 結構之唯讀 AWS Resource Access Manager 存取權的服務角色政策。它也包含可以自行刪除角色的 IAM 許可。

  • AWSSystemsManagerChangeManagementServicePolicy – 可以提供對 AWS 資源之存取權的服務政策,該資源由 Systems Manager 變更管理架構管理或使用,以及由服務連結角色 AWSServiceRoleForSystemsManagerChangeManagement 使用。

  • AWSSystemsManagerOpsDataSyncServiceRolePolicy – 允許 AWSServiceRoleForSystemsManagerOpsDataSync 服務連結角色建立和更新 OpsItems 和 AWS Security Hub 問題清單之 OpsData 的服務政策。

  • AmazonEC2RoleforSSM – 這項政策將會被取代。請改為使用 AmazonSSMManagedInstanceCore 政策,在 EC2 執行個體上允許使用 Systems Manager 服務核心功能。如需詳細資訊,請參閱建立 Systems Manager 的 IAM 執行個體設定檔

注意

在混合環境中,您需要其他 IAM 角色,讓伺服器和虛擬機器與 Systems Manager 服務通訊。這是 Systems Manager 的 IAM 服務角色。此角色授予 AWS Security Token Service (AWS STS) AssumeRole 信任至 Systems Manager 服務。AssumeRole 動作會傳回一組臨時的安全登入資料 (包括存取金鑰 ID、私密存取金鑰和安全字符)。您可以使用這些暫時登入資料,存取您一般可能無法存取的 AWS 資源。如需詳細資訊,請參閱《AWS Security Token Service API 參考》中的建立適用於混合環境的 IAM 服務角色AssumeRole