可標記的 Systems Manager 資源 - AWS Systems Manager

可標記的 Systems Manager 資源

您可以將標籤套用至下列 AWS Systems Manager 資源類型:

  • 文件

  • 維護時段

  • 受管執行個體

  • OpsItems

  • OpsMetadata

  • 參數

  • 修補程式基準

您可以將 OpsItems 和 OpsMetadata 以外的每個類型新增至資源群組。

視資源類型而定,您可以使用標籤來識別操作中應包含哪些資源。例如,您可以標記一組受管執行個體,然後僅針對具有該鍵值組的執行個體執行維護時段任務。

您也可以建立 AWS Identity and Access Management (IAM) 政策,指定使用者可存取的標籤,並將該政策連接到使用者帳戶或群組,藉此限制使用者對這些資源類型的存取。以下是使用標籤限制資源存取的幾個範例。

  • 您可以將標籤套用至一組自訂 Systems Manager 文件 (SSM 文件),然後建立使用者政策,授予包含該標籤 (但不含其他標籤) 的文件存取權 (或只禁止存取這些文件)。

  • 您可以將標籤指派給 OpsItems 然後建立 IAM 政策,以限制哪些使用者或群組具有檢視或更新這些資源的存取權。例如,組織主管可以獲授所有 OpsItems 的完整存取權,但軟體開發人員和支援工程師只能獲授他們負責的專案或客戶群組的存取權。

  • 您可以將通用標籤套用至全部六種支援的資源類型,並建立 IAM 政策僅授予這些資源的存取權,例如 Key=Project,Value=ProjectAKey=Environment,Value=Development。您甚至可以將存取權僅授予有指派兩個標籤組的資源。例如,這樣即可限制使用者僅在開發環境中使用 Projecta 的資源。

您可以使用 Systems Manager Resource Groups 主控台、適用於支援資源類型的主控台 (例如,Maintenance Windows 主控台或 OpsCenter 主控台)、AWS Command Line Interface (AWS CLI) 和 AWS Tools for PowerShell。您可以在建立或更新資源時新增標籤。例如,您可以在建立標籤之後,使用 AWS CLI add-tags-to-resource 命令將標籤新增至任何支援的 Systems Manager 資源類型。您可以使用 remove-tags-from-resource 命令將其移除。