AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

可选的访问权限配置

通过执行本部分中的任务 1,您可以通过选择预先存在或托管 的 IAM 用户策略来为用户授予访问权限。如果需要限制用户对 Systems Manager 和 SSM 文档的访问权限,您可以如本部分所述创建您自己的限制性用户策略。有关如何创建自定义策略的更多信息,请参阅创建新策略

以下示例 IAM 策略允许用户执行以下操作。

  • 列出 Systems Manager 文档和文档版本。

  • 查看有关文档的详细信息。

  • 使用策略中指定的文档发送命令。

    文档名称由此条目确定:

    arn:aws-cn:ssm:us-west-2:*:document/name_of_restrictive_document
  • 发送命令到三个实例。

    实例由第二个 Resource 部分中的以下条目确定:

    "arn:aws-cn:ec2:us-west-2:*:instance/i-1234567890abcdef0", "arn:aws-cn:ec2:us-west-2:*:instance/i-0598c7d356eba48d7", "arn:aws-cn:ec2:us-west-2:*:instance/i-345678abcdef12345",
  • 发送命令后查看有关命令的详细信息。

  • 启动和停止 Automation 执行。

  • 获取有关 Automation 执行的信息。

如果您要授予用户权限以使用本文档向该用户目前有权访问 (取决于其 AWS 用户账户) 的任何实例发送命令,您可以在 Resource 部分指定以下条目并删除其他实例条目。

"arn:aws-cn:ec2:us-west-2:*:instance/*"

请注意,Resource 部分包含一个 Amazon S3 ARN 条目:

arn:aws-cn:s3:::bucket_name

您还可为此条目设置格式,如下所示:

arn:aws-cn:s3:::bucket_name/* -or- arn:aws-cn:s3:::bucket_name/key_prefix_name
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:ListDocuments", "ssm:ListDocumentsVersions", "ssm:DescribeDocument", "ssm:GetDocument", "ssm:DescribeInstanceInformation", "ssm:DescribeDocumentParameters", "ssm:DescribeInstanceProperties" ], "Effect": "Allow", "Resource": "*" }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws-cn:ec2:us-west-2:*:instance/i-1234567890abcdef0", "arn:aws-cn:ec2:us-west-2:*:instance/i-0598c7d356eba48d7", "arn:aws-cn:ec2:us-west-2:*:instance/i-345678abcdef12345", "arn:aws-cn:s3:::bucket_name", "arn:aws-cn:ssm:us-west-2:*:document/name_of_restrictive_document" ] }, { "Action": [ "ssm:CancelCommand", "ssm:ListCommands", "ssm:ListCommandInvocations" ], "Effect": "Allow", "Resource": "*" }, { "Action": "ec2:DescribeInstanceStatus", "Effect": "Allow", "Resource": "*" }, { "Action": "ssm:StartAutomationExecution", "Effect": "Allow", "Resource": [ "arn:aws:ssm:::automation-definition/" ] }, { "Action": "ssm:DescribeAutomationExecutions ", "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "ssm:StopAutomationExecution", "ssm:GetAutomationExecution" ], "Effect": "Allow", "Resource": [ "arn:aws:ssm:::automation-execution/" ] } ] }