Amazon Session Manager Message Gateway Service 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Session Manager Message Gateway Service 的操作、资源和条件键

Amazon Session Manager Message Gateway Service(服务前缀:ssmmessages)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon Session Manager Message Gateway Service 定义的操作

您可以在 IAM policy 语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
CreateControlChannel 授予权限以为实例注册控制通道以将控制消息发送到 Systems Manager 服务 Write

ssm:SourceInstanceARN

ec2:SourceInstanceARN

CreateDataChannel 授予权限以为实例注册数据通道以将数据消息发送到 Systems Manager 服务 Write
OpenControlChannel 授予权限以为注册的控制通道流打开从实例到 Systems Manager 服务的 WebSocket 连接 Write
OpenDataChannel 授予权限以为注册的数据通道流打开从实例到 Systems Manager 服务的 WebSocket 连接 Write

Amazon Session Manager Message Gateway Service 定义的资源类型

Amazon Session Manager Message Gateway Service 不支持在 IAM policy 语句的 Resource 元素中指定资源 ARN。要允许对 Amazon Session Manager Message Gateway Service 的访问权限,请在策略中指定 "Resource": "*"

Amazon Session Manager Message Gateway Service 的条件键

Amazon Session Manager Message Gateway Service 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
ec2:SourceInstanceARN 按发起请求的实例的 ARN 筛选访问 ARN
ssm:SourceInstanceARN 通过验证发出请求的 Amazon Systems Manager 托管实例的 Amazon 资源名称(ARN),筛选访问权限。如果发出请求的托管实例使用与 EC2 实例配置文件关联的 IAM 角色进行身份验证,则此密钥不会出现 ARN