Amazon Systems Manager 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Systems Manager 的操作、资源和条件键

Amazon Systems Manager(服务前缀:ssm)提供以下特定于服务的资源、操作和条件上下文密钥,供在 IAM 权限策略中使用。

参考:

Amazon Systems Manager 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddTagsToResource 授予为指定 Amazon 资源添加或覆盖一个或多个标签的权限 标记

association

automation-execution

document

instance

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

task

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

AssociateOpsItemRelatedItem 授予与关联 RelatedItem 的权限 OpsItem 写入

opsitem*

CancelCommand 授予权限以取消指定的 Run Command 命令 Write
CancelMaintenanceWindowExecution 授予权限以取消进行中的维护时段执行 Write

maintenancewindow*

CreateActivation 授予权限以创建用于将本地服务器和虚拟机 (VM) 注册到 Systems Manager 的激活 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAssociation 授予权限以将指定的 Systems Manager 文档与指定的实例或其他目标关联 写入

association*

document*

instance

managed-instance

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAssociationBatch 授予在单个命令中合并多个 CreateAssociation 操作条目的权限 写入

document*

instance

managed-instance

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDocument 授予权限以创建 Systems Manager SSM 文档 Write

document*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMaintenanceWindow 授予权限以创建维护时段 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsItem 授予 OpsItem 在中创建的权限 OpsCenter 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsMetadata 授予为 Amazon 资源创建 OpsMetadata 对象的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePatchBaseline 授予权限以创建修补程序基准 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResourceDataSync 授予权限以创建资源数据同步配置,该配置定期从托管实例收集清单数据并更新 Amazon S3 存储桶中的数据 Write

resourcedatasync*

ssm:SyncType

DeleteActivation 授予权限以删除托管实例的指定激活 Write
DeleteAssociation 授予权限以从指定实例解除与指定 SSM 文档的关联 Write

association

document

instance

managed-instance

aws:ResourceTag/${TagKey}

DeleteDocument 授予权限以删除指定 SSM 文档及其实例关联 Write

document*

DeleteInventory 授予权限以删除指定的自定义清单类型或者与自定义清单类型关联的数据 Write
DeleteMaintenanceWindow 授予权限以删除指定的维护时段 写入

maintenancewindow*

DeleteOpsItem 授予删除的权限 OpsItem 写入

opsitem*

DeleteOpsMetadata 授予删除 OpsMetadata 对象的权限 写入

opsmetadata*

DeleteParameter 授予权限以删除一个指定的 SSM 参数 Write

parameter*

DeleteParameters 授予权限以删除多个指定的 SSM 参数 Write

parameter*

DeletePatchBaseline 授予权限以删除指定的补丁基准 Write

patchbaseline*

DeleteResourceDataSync 授予权限以删除指定的资源数据同步 写入

resourcedatasync*

ssm:SyncType

DeleteResourcePolicy 授予删除 Systems Manager 资源策略的权限 权限管理

resourcearn*

DeregisterManagedInstance 授予权限以从 Systems Manager 取消注册指定的本地服务器或虚拟机 (VM) Write

managed-instance*

ssm:resourceTag/tag-key

DeregisterPatchBaselineForPatchGroup 授予权限以便为指定的补丁组取消注册作为默认补丁基准的指定补丁基准 Write

patchbaseline*

DeregisterTargetFromMaintenanceWindow 授予权限以从维护时段取消注册指定的目标 Write

maintenancewindow*

DeregisterTaskFromMaintenanceWindow 授予权限以从维护时段取消注册指定的任务 Write

maintenancewindow*

DescribeActivations 授予权限以查看有关指定托管实例激活的详细信息,例如其创建时间和使用激活注册的实例数 Read
DescribeAssociation 授予权限以查看指定实例或目标的指定关联的相关详细信息 Read

association

document

instance

managed-instance

aws:ResourceTag/${TagKey}

DescribeAssociationExecutionTargets 授予权限以查看有关指定关联执行情况的信息 Read

association*

aws:ResourceTag/${TagKey}

DescribeAssociationExecutions 授予权限以查看指定关联的所有执行 Read

association*

aws:ResourceTag/${TagKey}

DescribeAutomationExecutions 授予权限以查看所有活动和已终止的 Automation 执行的相关详细信息 Read
DescribeAutomationStepExecutions 授予权限以查看 Automation 工作流程中所有活动和已终止的步骤执行信息 Read

automation-execution*

DescribeAvailablePatches 授予权限以查看符合包含在补丁基准中的条件的所有补丁 Read
DescribeDocument 授予权限以查看有关指定 SSM 文档的详细信息 Read

document*

DescribeDocumentParameters 授予权限以在 Systems Manager 控制台中显示有关 SSM 文档参数的信息(内部 Systems Manager 操作) Read

document*

DescribeDocumentPermission 授予权限以查看指定 SSM 文档的权限 Read

document*

DescribeEffectiveInstanceAssociations 授予权限以查看指定实例的所有当前关联 Read

instance*

managed-instance*

aws:ResourceTag/${TagKey}

DescribeEffectivePatchesForPatchBaseline 授予权限以查看当前与指定补丁基准关联的补丁的相关详细信息(仅 Windows) Read

patchbaseline*

DescribeInstanceAssociationsStatus 授予权限以查看指定实例的关联的状态 Read

instance*

managed-instance*

aws:ResourceTag/${TagKey}

DescribeInstanceInformation 授予权限以查看有关指定实例的详细信息 Read
DescribeInstancePatchStates 授予权限以查看指定实例上有关补丁的状态详细信息 Read
DescribeInstancePatchStatesForPatchGroup 授予权限以描述指定修补程序组中实例的高级修补程序状态 Read
DescribeInstancePatches 授予权限以查看有关指定实例上补丁的一般详细信息 Read
DescribeInstanceProperties 向用户的 Amazon EC2 控制台授予权限以呈现托管实例节点 Read
DescribeInventoryDeletions 授予权限以查看有关指定库存删除的详细信息 Read
DescribeMaintenanceWindowExecutionTaskInvocations 授予权限以查看某个维护时段的指定任务执行的详细信息 List
DescribeMaintenanceWindowExecutionTasks 授予权限以查看在指定维护时段执行期间运行的任务的相关详细信息 List

maintenancewindow*

DescribeMaintenanceWindowExecutions 授予权限以查看指定维护时段的执行 List

maintenancewindow*

DescribeMaintenanceWindowSchedule 授予权限以查看有关指定维护时段即将开始的执行的详细信息 List
DescribeMaintenanceWindowTargets 授予权限以查看与指定维护时段关联的目标的列表 List

maintenancewindow*

DescribeMaintenanceWindowTasks 授予权限以查看与指定维护时段关联的任务的列表 List

maintenancewindow*

DescribeMaintenanceWindows 授予权限以查看有关所有维护时段或指定维护时段的信息 List
DescribeMaintenanceWindowsForTarget 授予权限以查看与指定实例关联的维护时段目标和任务相关的信息 列出
DescribeOpsItems 授予权限以查看有关指定内容的详细信息 OpsItems 读取
DescribeParameters 授予权限以查看有关指定 SSM 参数的详细信息 List
DescribePatchBaselines 授予权限以查看符合指定条件的补丁基准的信息 List
DescribePatchGroupState 授予权限以查看指定补丁组的补丁的聚合状态详细信息 列出
DescribePatchGroups 授予权限以查看指定补丁组的补丁基准相关信息 List
DescribePatchProperties 授予权限以查看指定操作系统和补丁属性的可用补丁的详细信息 List
DescribeSessions 授予权限以查看满足指定搜索条件的近期会话管理器会话的列表 列出
DisassociateOpsItemRelatedItem 授予取消关联 RelatedItem 的权限 OpsItem 写入

opsitem*

GetAutomationExecution 授予权限以查看指定 Automation 执行的详细信息 读取

automation-execution*

GetCalendar [仅权限] 授予查看特定日历详细信息的权限 读取

document*

GetCalendarState 授予权限以查看更改日历或更改日历列表的日历状态 Read

document*

GetCommandInvocation 授予权限以查看有关指定调用或插件的命令执行的详细信息 Read
GetConnectionStatus 授予权限以查看指定托管实例的会话管理器连接状态 Read

instance

managed-instance

task

ssm:resourceTag/${TagKey}

aws:ResourceTag/${TagKey}

GetDefaultPatchBaseline 授予权限以查看指定操作系统类型的当前默认补丁基准 Read

patchbaseline*

GetDeployablePatchSnapshotForInstance 授予权限以检索指定实例的当前补丁基准快照 Read
GetDocument 授予权限以查看指定 SSM 文档的内容 Read

document*

ssm:DocumentCategories

GetInventory 授予权限以根据指定条件查看实例清单详细信息 Read
GetInventorySchema 授予权限以查看指定清单项目类型的清单类型或属性名称的列表 Read
GetMaintenanceWindow 授予权限以查看有关指定维护时段的详细信息 Read

maintenancewindow*

GetMaintenanceWindowExecution 授予权限以查看有关指定维护时段执行的详细信息 Read
GetMaintenanceWindowExecutionTask 授予权限以查看有关指定维护时段执行任务的详细信息 Read
GetMaintenanceWindowExecutionTaskInvocation 授予权限以查看在特定目标上运行的特定维护时段任务的详细信息 Read
GetMaintenanceWindowTask 授予权限以查看在指定维护时段中注册的任务的详细信息 读取

maintenancewindow*

GetManifest [仅权限] 为 Systems Manager 和 SSM Agent 授予权限以确定实例的包安装要求(内部 Systems Manager 调用) 读取
GetOpsItem 授予查看有关指定信息的权限 OpsItem 读取

opsitem*

GetOpsMetadata 授予检索 OpsMetadata 对象的权限 读取

opsmetadata*

GetOpsSummary OpsItems 根据指定的筛选器和聚合器授予查看有关摘要信息的权限 读取

resourcedatasync*

GetParameter 授予权限以查看有关指定参数的信息 Read

parameter*

GetParameterHistory 授予权限以查看指定参数的详细信息和更改 Read

parameter*

GetParameters 授予权限以查看有关多个指定参数的信息 Read

parameter*

GetParametersByPath 授予权限以查看指定层次结构中参数的信息 Read

parameter*

ssm:Recursive

GetPatchBaseline 授予权限以查看有关指定补丁基准的信息 Read

patchbaseline*

GetPatchBaselineForPatchGroup 授予权限以查看指定补丁组的当前补丁基准的 ID 读取

patchbaseline*

GetResourcePolicies 授予检索 Systems Manager 资源策略列表的权限 列出

resourcearn*

GetServiceSetting 授予查看服务的账户级别设置的权限 Amazon 读取

servicesetting*

LabelParameterVersion 授予权限以将标识标签应用于参数的指定版本 Write

parameter*

ListAssociationVersions 授予权限以列出指定关联的版本 List

association*

aws:ResourceTag/${TagKey}

ListAssociations 授予权限以列出指定 SSM 文档或托管实例的关联 List
ListCommandInvocations 授予权限以列出有关发送到指定实例的命令调用的信息 列出
ListCommands 授予权限以列出发送到指定实例的命令 列出
ListComplianceItems 授予权限以列出指定资源上指定资源类型的合规性状态 List
ListComplianceSummaries 授予权限以列出对于指定的合规性类型,合规以及不合规资源的摘要计数 List
ListDocumentMetadataHistory 授予查看有关指定 SSM 文档的元数据历史记录的权限 列出

document*

ListDocumentVersions 授予权限以列出指定文档的所有版本 List

document*

ListDocuments 授予权限以查看指定 SSM 文档的相关信息 列出
ListInstanceAssociations 授予 SSM Agent 检查新的 State Manager 关联(内部 Systems Manager 调用)的权限 列出

instance

managed-instance

aws:ResourceTag/${TagKey}

ListInventoryEntries 授予权限以查看指定实例的指定清单类型的列表 列出
ListOpsItemEvents 授予查看相关详细信息的权限 OpsItemEvents 列出
ListOpsItemRelatedItems 授予查看相关详细信息的权限 OpsItem RelatedItems 列出
ListOpsMetadata 授予查看 OpsMetadata 对象列表的权限 列出
ListResourceComplianceSummaries 授予权限以列出资源级摘要计数 List
ListResourceDataSync 授予权限以列出有关账户中资源数据同步配置的信息 List

ssm:SyncType

ListTagsForResource 授予权限以查看指定资源的资源标签的列表 列出

association

automation-execution

document

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

aws:ResourceTag/${TagKey}

ModifyDocumentPermission 授予与指定 Amazon 账户公开或私下共享自定义 SSM 文档的权限 权限管理

document*

PutCalendar [仅权限] 授予创建/编辑特定日历的权限 写入

document*

PutComplianceItems 授予权限以在指定资源上注册合规性类型和其他合规性详细信息 写入

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

PutConfigurePackageResult [仅权限] 为 SSM Agent 授予权限以生成特定代理请求结果的报告(内部 Systems Manager 调用) 读取
PutInventory 授予权限以在多个指定的托管实例上添加或更新清单项目 Write
PutParameter 授予权限以创建 SSM 参数 写入

parameter*

aws:RequestTag/${TagKey}

aws:TagKeys

ssm:Overwrite

PutResourcePolicy 授予创建或更新 Systems Manager 资源策略的权限 权限管理

resourcearn*

RegisterDefaultPatchBaseline 授予权限以便为操作系统类型指定默认补丁基准 写入

patchbaseline*

RegisterManagedInstance 授予注册 Systems Manager Agent 的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterPatchBaselineForPatchGroup 授予权限以便为指定的补丁组指定默认补丁基准 Write

patchbaseline*

RegisterTargetWithMaintenanceWindow 授予权限以将目标注册到指定的维护时段 Write

maintenancewindow*

RegisterTaskWithMaintenanceWindow 授予权限以将任务注册到指定的维护时段 Write

maintenancewindow*

RemoveTagsFromResource 授予权限以从指定资源中删除指定标签键 标记

association

automation-execution

document

instance

maintenancewindow

managed-instance

opsitem

opsmetadata

parameter

patchbaseline

task

aws:ResourceTag/${TagKey}

aws:TagKeys

ResetServiceSetting 授予将的服务设置重置 Amazon Web Services 账户 为默认值的权限 写入

servicesetting*

ResumeSession 授予权限以将会话管理器会话重新连接到托管实例 Write

session*

ssm:resourceTag/aws:ssmmessages:session-id

ssm:resourceTag/aws:ssmmessages:target-id

SendAutomationSignal 授予权限以发送信号,更改指定 Automation 执行的当前行为或状态 Write

automation-execution*

SendCommand 授予权限以在一个或多个指定托管实例上运行命令 Write

document*

bucket

instance

managed-instance

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

StartAssociationsOnce 授予权限以手动运行指定关联 Write

association*

aws:ResourceTag/${TagKey}

StartAutomationExecution 授予权限以启动 Automation 文档的执行 Write

automation-definition*

aws:RequestTag/${TagKey}

aws:TagKeys

StartChangeRequestExecution 授予启动 Automation Change Template 文档的执行的权限 Write

automation-definition*

aws:RequestTag/${TagKey}

aws:TagKeys

ssm:AutoApprove

StartSession 授予权限以便为会话管理器会话启动与指定目标的连接 Write

document

instance

managed-instance

task

ssm:SessionDocumentAccessCheck

ssm:resourceTag/${TagKey}

aws:ResourceTag/${TagKey}

StopAutomationExecution 授予权限以停止已在进行的指定 Automation 执行 Write

automation-execution*

TerminateSession 授予权限以永久结束与实例的会话管理器连接 写入

session*

ssm:resourceTag/aws:ssmmessages:session-id

ssm:resourceTag/aws:ssmmessages:target-id

UnlabelParameterVersion 授予从参数的指定版本移除标识标签的权限 写入

parameter*

UpdateAssociation 授予权限以更新关联并立即在指定目标上运行关联 Write

association*

document

instance

managed-instance

aws:ResourceTag/${TagKey}

UpdateAssociationStatus 授予权限以更新与指定实例关联的 SSM 文档的状态 Write

document*

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

aws:ResourceTag/${TagKey}

UpdateDocument 授予权限以更新 SSM 文档的一个或多个值 Write

document*

UpdateDocumentDefaultVersion 授予权限以更改 SSM 文档的默认版本 Write

document*

UpdateDocumentMetadata 授予更新 SSM 文档元数据的权限 写入

document*

UpdateInstanceAssociationStatus [仅权限] 为 SSM Agent 授予权限以更新当前正在运行的关联的状态(内部 Systems Manager 调用) 写入

association*

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

aws:ResourceTag/${TagKey}

UpdateInstanceInformation 为 SSM Agent 授予权限以向云中的 Systems Manager 服务发送检测信号 写入

instance

managed-instance

ssm:SourceInstanceARN

ec2:SourceInstanceARN

UpdateMaintenanceWindow 授予权限以更新指定的维护时段 Write

maintenancewindow*

UpdateMaintenanceWindowTarget 授予权限以更新指定的维护时段目标 Write

maintenancewindow*

windowtarget*

UpdateMaintenanceWindowTask 授予权限以更新指定的维护时段任务 Write

maintenancewindow*

windowtask*

UpdateManagedInstanceRole 授予权限以分配或更改分配给指定托管实例的 IAM 角色 写入

managed-instance*

ssm:resourceTag/tag-key

UpdateOpsItem 授予编辑或更改的权限 OpsItem 写入

opsitem*

UpdateOpsMetadata 授予更新 OpsMetadata 对象的权限 写入

opsmetadata*

UpdatePatchBaseline 授予权限以更新指定的补丁基准 Write

patchbaseline*

UpdateResourceDataSync 授予权限以更新资源数据同步 写入

resourcedatasync*

ssm:SyncType

UpdateServiceSetting 授予更新服务设置的权限 Amazon Web Services 账户 写入

servicesetting*

Amazon Systems Manager 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

注意

某些 State Manager API 参数已被弃用。这可能会导致意外行为。有关更多信息,请参阅使用 IAM 处理关联

资源类型 ARN 条件键
association arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}

aws:ResourceTag/${TagKey}

automation-execution arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

automation-definition arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
bucket arn:${Partition}:s3:::${BucketName}
document arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}

aws:ResourceTag/${TagKey}

ssm:DocumentCategories

ssm:resourceTag/${TagKey}

instance arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

maintenancewindow arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance-inventory arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
opsitem arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}

aws:ResourceTag/${TagKey}

opsmetadata arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/${TagKey}

parameter arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

patchbaseline arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

resourcearn arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
session arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}

ssm:resourceTag/aws:ssmmessages:session-id

ssm:resourceTag/aws:ssmmessages:target-id

resourcedatasync arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
servicesetting arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
windowtarget arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

windowtask arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

task arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}

aws:ResourceTag/${TagKey}

Amazon Systems Manager 的条件键

Amazon Systems Manager 定义了以下可以在 IAM 策略Condition元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据指定标签的允许值集按“创建”请求筛选访问权限 String
aws:ResourceTag/${TagKey} 根据分配给资源的标签键值对筛选访问权限 Amazon String
aws:TagKeys 根据请求中是否具有必需标签按“创建”请求筛选访问权限 ArrayOfString
ec2:SourceInstanceARN 按发起请求的实例的 ARN 筛选访问 ARN
ssm:AutoApprove 通过验证用户是否有权启动 Change Manager 工作流而不执行某个审核步骤(变更冻结事件除外)来筛选访问权限 布尔型
ssm:DocumentCategories 通过验证用户是否有权访问属于特定类别的文档来筛选访问权限 ArrayOfString
ssm:Overwrite 按控制是否可以覆盖 Systems Manager 参数筛选访问权限 String
ssm:Recursive 按在某个层次结构中创建的 Systems Manager 参数筛选访问权限 String
ssm:SessionDocumentAccessCheck 验证用户是否有权访问默认会话管理器配置文档或在请求中指定的自定义配置文档,从而筛选访问 布尔型
ssm:SourceInstanceARN 通过验证发出请求的 Amazon 系统管理员托管实例的 Amazon 资源名称 (ARN) 来筛选访问权限。如果发出请求的托管实例使用与 EC2 实例配置文件关联的 IAM 角色进行身份验证,则此密钥不会出现 ARN
ssm:SyncType 通过验证用户是否也可以访问请求中 ResourceDataSync SyncType 指定的内容来筛选访问权限 String
ssm:resourceTag/${TagKey} 按分配给 Systems Manager 资源的标签键值对筛选访问权限 String
ssm:resourceTag/aws:ssmmessages:session-id 根据分配给 Systems Manager 会话资源的标签键/值对筛选访问权限 String
ssm:resourceTag/aws:ssmmessages:target-id 根据分配给 Systems Manager 会话资源的标签键/值对筛选访问权限 String
ssm:resourceTag/tag-key 根据分配给 Systems Manager 资源的标签键/值对筛选访问权限 String