透過 IAM 使用關聯 - AWS Systems Manager

透過 IAM 使用關聯

State Manager (AWS Systems Manager 的一個功能) 會使用目標,以選擇使用哪些執行個體設定關聯。最初,關聯是透過指定文件名稱 (Name) 和執行個體 ID (InstanceId) 來建立的。這會在文件和執行個體或受管執行個體之間建立關聯。關聯通常由這些參數識別。這些參數現在已被取代,但仍支援它們。資源 instancemanaged-instance 作為資源新增到具有 NameInstanceId 的動作。

AWS Identity and Access Management (IAM) 政策強制執行行為取決於指定的資源類型。僅根據傳入的請求強制執行 State Manager 的資源操作。State Manager 不會對帳戶中資源的屬性執行深入檢查。只有在請求參數包含指定的政策資源時,才會針對政策資源驗證請求。例如,如果您在資源區塊中指定執行個體,若請求使用 InstanceId 參數,則會強制執行政策。不會針對該 InstanceId 來檢查帳戶中每個資源的 Targets 參數。

以下是具有迷惑行為的一些案例:

  • DescribeAssociationDeleteAssociationUpdateAssociation 使用 instancemanaged-instance 以及 document 資源來指定參考關聯的已取代方式。這包括使用已取代的 InstanceId 參數建立的所有關聯。

  • CreateAssociationCreateAssociationBatch 以及 UpdateAssociation 使用 instancemanaged-instance 資源來指定參考關聯的已取代方式。這包括使用已取代的 InstanceId 參數建立的所有關聯。document 資源類型是參考關聯的已取代方式的一部分,並且是關聯的實際屬性。這表示您可以根據文件名稱,使用「建立」和「更新」動作的「允許」或「拒絕」許可來構建 IAM 政策。

如需有關搭配使用 IAM 政策與 Systems Manager 的詳細資訊,請參閱《服務授權參考》中的 適用於 AWS Systems Manager 的 Identity and Access Management適用於 AWS Systems Manager 的動作、資源及條件金鑰