AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Systems Manager 的操作、资源和条件键

AWS Systems Manager(服务前缀:ssm)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS Systems Manager 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源列指示每个操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddTagsToResource 添加或覆盖指定资源的一个或多个标签。 标记

document

maintenancewindow

managed-instance

parameter

patchbaseline

CancelCommand 尝试取消由命令 ID 指定的命令。 写入
CancelMaintenanceWindowExecution 尝试取消 WindowExecution ID 指定的执行。 写入
CreateActivation 向 Amazon EC2 注册本地服务器或虚拟机,以便使用运行命令管理这些资源。 写入
CreateAssociation 将指定的 SSM 文档与指定的实例关联。 写入

document*

CreateAssociationBatch 将指定的 SSM 文档与指定的实例关联。 写入

document*

CreateDocument 创建 SSM 文档。 标记

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMaintenanceWindow 创建 SSM 维护时段。 标记
CreateOpsItem 创建新的 OpsItem 写入
CreatePatchBaseline 创建 SSM 补丁基准。 标记
CreateResourceDataSync 为 Amazon S3 中的单个存储桶创建资源数据同步配置。 写入
DeleteActivation 删除激活。 写入
DeleteAssociation 取消指定 SSM 文档与指定实例的关联。 写入

document*

DeleteDocument 删除 SSM 文档以及此文档的所有实例关联。 写入

document*

DeleteInventory 删除自定义清单类型或与自定义清单类型关联的数据。 写入
DeleteMaintenanceWindow 删除 SSM 维护时段。 写入

maintenancewindow*

DeleteParameter 从系统中删除参数。 写入

parameter*

DeleteParameters 删除参数列表。 写入

parameter*

DeletePatchBaseline 删除 SSM 补丁基准。 写入

patchbaseline*

DeleteResourceDataSync 删除资源数据同步配置。 写入
DeregisterManagedInstance 允许用户从托管实例列表中删除本地托管实例。 写入

managed-instance*

DeregisterPatchBaselineForPatchGroup 从补丁组注销 SSM 补丁基准。 写入

patchbaseline*

DeregisterTargetFromMaintenanceWindow 从 SSM 维护时段注销目标。 写入

maintenancewindow*

DeregisterTaskFromMaintenanceWindow 从 SSM 维护时段注销任务。 写入

maintenancewindow*

DescribeActivations 有关激活的详细信息,包括创建激活的日期和时间、到期日期、在激活中分配给实例的 IAM 角色以及此注册激活的实例数。 Read
DescribeAssociation 描述指定 SSM 文档或实例的关联。 Read

document*

DescribeAssociationExecutionTargets 描述有关特定关联的特定执行的详细信息。 Read
DescribeAssociationExecutions 描述特定关联 ID 的所有执行。 Read
DescribeAvailablePatches 描述一个或多个可用的补丁。 Read
DescribeDocument 描述指定的 SSM 文档。 Read

document*

DescribeDocumentParameters 描述用于 SSM 文档的参数。 Read

document*

DescribeDocumentPermission 描述用于 SSM 文档的权限。 Read

document*

DescribeEffectivePatchesForPatchBaseline 描述对补丁的补丁基准和对应状态的评估。 Read

patchbaseline*

DescribeInstanceInformation 描述您的一个或多个实例。 Read
DescribeInstancePatchStates 描述您的一个或多个实例补丁状态。每个实例 ID 一个。 Read
DescribeInstancePatchStatesForPatchGroup 描述给定补丁组中所有实例的一个或多个实例补丁状态。 Read
DescribeInstancePatches 描述给定实例 ID 的一个或多个实例补丁状态。 Read
DescribeInstanceProperties 允许用户的 Amazon EC2 控制台呈现托管实例的节点 Read
DescribeInventoryDeletions 描述特定的删除清单操作。 Read
DescribeMaintenanceWindowExecutionTaskInvocations 描述一个或多个维护时段执行任务调用历史记录。 List
DescribeMaintenanceWindowExecutionTasks 描述一个或多个维护时段执行任务历史记录。 List
DescribeMaintenanceWindowExecutions 描述一个或多个维护时段执行历史记录。 List

maintenancewindow*

DescribeMaintenanceWindowSchedule 描述一个或多个维护时段的近期执行。 List
DescribeMaintenanceWindowTargets 描述一个或多个维护时段目标。 List

maintenancewindow*

DescribeMaintenanceWindowTasks 描述一个或多个维护时段任务。 List

maintenancewindow*

DescribeMaintenanceWindows 描述一个或多个维护时段。 List
DescribeMaintenanceWindowsForTarget 描述目标所属的维护时段。 List
DescribeOpsItems 根据不同的搜索条件返回 OpsItem 列表 Read
DescribeParameters 描述 Parameter Store 中的一个或多个参数。 List
DescribePatchBaselines 描述一个或多个 SSM 补丁基准。 List
DescribePatchGroupState 获取给定补丁组的高级补丁状态报告。 Read
DescribePatchGroups 描述一个或多个补丁组到 SSM 补丁基准的映射。 List
DescribeSessions 描述一个或多个 Session Manager 会话。 List
GetAutomationExecution Read
GetConnectionStatus 获取实例的连接状态。 Read
GetDefaultPatchBaseline 获取默认 SSM 补丁基准。 Read

patchbaseline*

GetDeployablePatchSnapshotForInstance 获取要为给定实例安装的补丁的快照。 Read
GetDocument 获取指定 SSM 文档的内容。 Read

document*

GetMaintenanceWindow 获取 SSM 维护时段。 Read

maintenancewindow*

GetMaintenanceWindowExecution 获取 SSM 维护时段执行。 Read
GetMaintenanceWindowExecutionTask 获取 SSM 维护时段执行任务。 Read
GetMaintenanceWindowExecutionTaskInvocation 获取 SSM 维护时段执行任务调用。 Read
GetMaintenanceWindowTask 获取 SSM 维护时段任务。 Read

maintenancewindow*

GetManifest 提取程序包的安装说明。 Read
GetOpsItem 返回 OpsItem 的详细信息 Read
GetOpsSummary 根据指定筛选条件和聚合器查看 OpsItems 摘要。筛选条件用于缩小返回的 OpsItems 范围。聚合器用于返回 OpsItems 数。 Read
GetParameter 使用参数名称获取有关参数的信息。 Read

parameter*

GetParameterHistory 查询参数的所有修改的列表。 Read

parameter*

GetParameters 获取参数列表的详细信息。 Read

parameter*

GetParametersByPath 检索特定层次结构中的参数。 Read

parameter*

GetPatchBaseline 获取 SSM 补丁基准 Read

patchbaseline*

GetPatchBaselineForPatchGroup 获取与给定补丁组关联的 SSM 补丁基准。 Read

patchbaseline*

LabelParameterVersion 将标签附加到现有参数的特定版本。 写入

parameter*

ListAssociationVersions 列出指定关联的版本。 List
ListAssociations 列出指定 SSM 文档或实例的关联。 List
ListCommandInvocations 调用是发送到特定实例的命令的副本。 Read
ListCommands 列出 AWS 账户的用户请求的命令列表。 Read
ListComplianceItems 为特定资源返回各种资源类型的合规性状态列表。 List
ListComplianceSummaries 返回合规性类型的合规和不合规资源的摘要数。 List
ListDocuments 描述您的一个或多个 SSM 文档。 List
ListResourceComplianceSummaries 返回资源级摘要计数。 List
ListTagsForResource 返回分配给指定资源的标签列表。 Read

document

maintenancewindow

managed-instance

parameter

patchbaseline

ModifyDocumentPermission 公开或私密共享文档。 写入

document*

PutComplianceItems 在指定资源上注册合规性类型和其他合规性详细信息。 写入
PutConfigurePackageResult 报告程序包的安装结果。 Read
PutParameter 向系统中添加参数。 标记

parameter*

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterDefaultPatchBaseline 将 SSM 补丁基准注册为默认设置。 写入

patchbaseline*

RegisterPatchBaselineForPatchGroup 向补丁组注册 SSM 补丁基准。 写入

patchbaseline*

RegisterTargetWithMaintenanceWindow 向维护时段注册 SSM 时段目标。 写入

maintenancewindow*

RegisterTaskWithMaintenanceWindow 向维护时段注册 SSM 时段任务。 写入

maintenancewindow*

RemoveTagsFromResource 删除指定资源的所有标签。 标记

document

maintenancewindow

managed-instance

parameter

patchbaseline

ResumeSession 恢复断开的 SSM Session Manager 连接。 写入

session*

SendAutomationSignal 写入
SendCommand 在一个或多个远程实例上执行命令。 写入

document

ssm:resourceTag/tag-key

StartAutomationExecution 启动 Automation 文档的执行。 写入
StartSession 使用 SSM Session Manager 启动到实例的连接。 写入

instance*

document

ssm:SessionDocumentAccessCheck

StopAutomationExecution 停止当前正在执行的 Automation。 写入
TerminateSession 终止正在进行的 SSM Session Manager 连接。 写入

session*

UpdateAssociationStatus 更新与指定实例关联的 SSM 文档的状态。 写入

document

UpdateInstanceInformation 允许用户的 SSM 代理在云中调用 Systems Manager 服务以提供检测信号信息。 写入
UpdateMaintenanceWindow 更新 SSM 维护时段。 写入

maintenancewindow*

UpdateMaintenanceWindowTarget 更新 SSM 维护时段目标。 写入

maintenancewindow*

UpdateMaintenanceWindowTask 更新 SSM 维护时段任务。 写入

maintenancewindow*

UpdateManagedInstanceRole 分配或更改托管实例的 Amazon Identity and Access Management (IAM) 角色。 写入

managed-instance*

UpdateOpsItem 编辑或更改 OpsItem 写入
UpdatePatchBaseline 更新 SSM 补丁基准。 写入

patchbaseline*

AWS Systems Manager 定义的资源

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
document arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

maintenancewindow arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${ManagedInstanceName}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

instance arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

parameter arn:${Partition}:ssm:${Region}:${Account}:parameter/${FullyQualifiedParameterName}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

patchbaseline arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

session arn:${Partition}:ssm:${Region}:${Account}:session/${ResourceId}
opsitem arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}

AWS Systems Manager 的条件键

AWS Systems Manager 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅 IAM 策略参考 中的可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据每个标签的允许值集筛选创建请求 字符串
aws:ResourceTag/${TagKey} 根据与资源关联的标签值筛选操作。 字符串
aws:TagKeys 根据在请求中是否具有必需标签以筛选创建请求 字符串
ssm:SessionDocumentAccessCheck 验证用户是否也可以访问默认 Session Manager 配置文档以筛选访问。 布尔值
ssm:resourceTag/tag-key 标签键值对。 字符串