Amazon Systems Manager 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Systems Manager 的操作、资源和条件键

Amazon Systems Manager(服务前缀:ssm)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon Systems Manager 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddTagsToResource 授予权限以便为指定的Amazon资源添加或覆盖一个或多个标签 标记

document

maintenancewindow

managed-instance

opsmetadata

parameter

patchbaseline

AssociateOpsItemRelatedItem 授予将 RelatedItem 与关联 OpsItem 的权限 写入
CancelCommand 授予权限以取消指定的 Run Command 命令 写入
CancelMaintenanceWindowExecution 授予权限以取消进行中的维护时段执行 写入
CreateActivation 授予权限以创建用于将本地服务器和虚拟机 (VM) 注册到 Systems Manager 的激活 写入
CreateAssociation 授予权限以将指定的 Systems Manager 文档与指定的实例或其他目标关联 写入

document*

instance

managed-instance

CreateAssociationBatch 授予权限以在单个命令中合并多个 CreateAssociation 操作的条目 写入

document*

instance

managed-instance

CreateDocument 授予权限以创建 Systems Manager SSM 文档 写入

document*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMaintenanceWindow 授予权限以创建维护时段 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOpsItem 授予权限以在 OpsCenter 中创建 OpsItem 写入
CreateOpsMetadata 授予为Amazon资源创建 OpsMetadata 对象的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePatchBaseline 授予权限以创建修补程序基准 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResourceDataSync 授予权限以创建资源数据同步配置,该配置定期从托管实例收集清单数据并更新 Amazon S3 存储桶中的数据 写入

resourcedatasync*

ssm:SyncType

DeleteActivation 授予权限以删除托管实例的指定激活 写入
DeleteAssociation 授予权限以从指定实例解除与指定 SSM 文档的关联 写入

association

document

instance

managed-instance

DeleteDocument 授予权限以删除指定 SSM 文档及其实例关联 写入

document*

DeleteInventory 授予权限以删除指定的自定义清单类型或者与自定义清单类型关联的数据 写入
DeleteMaintenanceWindow 授予权限以删除指定的维护时段 写入

maintenancewindow*

DeleteOpsMetadata 授予删除 OpsMetadata 对象的权限 写入

opsmetadata*

DeleteParameter 授予权限以删除一个指定的 SSM 参数 写入

parameter*

DeleteParameters 授予权限以删除多个指定的 SSM 参数 写入

parameter*

DeletePatchBaseline 授予权限以删除指定的补丁基准 写入

patchbaseline*

DeleteResourceDataSync 授予权限以删除指定的资源数据同步 写入

resourcedatasync*

ssm:SyncType

DeregisterManagedInstance 授予权限以从 Systems Manager 取消注册指定的本地服务器或虚拟机 (VM) 写入

managed-instance*

DeregisterPatchBaselineForPatchGroup 授予权限以便为指定的补丁组取消注册作为默认补丁基准的指定补丁基准 写入

patchbaseline*

DeregisterTargetFromMaintenanceWindow 授予权限以从维护时段取消注册指定的目标 写入

maintenancewindow*

DeregisterTaskFromMaintenanceWindow 授予权限以从维护时段取消注册指定的任务 写入

maintenancewindow*

DescribeActivations 授予权限以查看有关指定托管实例激活的详细信息,例如其创建时间和使用激活注册的实例数 Read
DescribeAssociation 授予权限以查看指定实例或目标的指定关联的相关详细信息 Read

association

document

instance

managed-instance

DescribeAssociationExecutionTargets 授予权限以查看有关指定关联执行情况的信息 Read
DescribeAssociationExecutions 授予权限以查看指定关联的所有执行 Read
DescribeAutomationExecutions 授予权限以查看所有活动和已终止的 Automation 执行的相关详细信息 Read
DescribeAutomationStepExecutions 授予权限以查看 Automation 工作流程中所有活动和已终止的步骤执行信息 Read
DescribeAvailablePatches 授予权限以查看符合包含在补丁基准中的条件的所有补丁 Read
DescribeDocument 授予权限以查看有关指定 SSM 文档的详细信息 Read

document*

DescribeDocumentParameters 授予权限以在 Systems Manager 控制台中显示有关 SSM 文档参数的信息(内部 Systems Manager 操作) Read

document*

DescribeDocumentPermission 授予权限以查看指定 SSM 文档的权限 Read

document*

DescribeEffectiveInstanceAssociations 授予权限以查看指定实例的所有当前关联 Read

instance

managed-instance

DescribeEffectivePatchesForPatchBaseline 授予权限以查看当前与指定补丁基准关联的补丁的相关详细信息(仅 Windows) Read

patchbaseline*

DescribeInstanceAssociationsStatus 授予权限以查看指定实例的关联的状态 Read

instance

managed-instance

DescribeInstanceInformation 授予权限以查看有关指定实例的详细信息 Read
DescribeInstancePatchStates 授予权限以查看指定实例上有关补丁的状态详细信息 Read
DescribeInstancePatchStatesForPatchGroup 授予权限以描述指定修补程序组中实例的高级修补程序状态 Read
DescribeInstancePatches 授予权限以查看有关指定实例上补丁的一般详细信息 Read
DescribeInstanceProperties 向用户的 Amazon EC2 控制台授予权限以呈现托管实例节点 Read
DescribeInventoryDeletions 授予权限以查看有关指定库存删除的详细信息 Read
DescribeMaintenanceWindowExecutionTaskInvocations 授予权限以查看某个维护时段的指定任务执行的详细信息 List
DescribeMaintenanceWindowExecutionTasks 授予权限以查看在指定维护时段执行期间运行的任务的相关详细信息 List
DescribeMaintenanceWindowExecutions 授予权限以查看指定维护时段的执行 List

maintenancewindow*

DescribeMaintenanceWindowSchedule 授予权限以查看有关指定维护时段即将开始的执行的详细信息 List
DescribeMaintenanceWindowTargets 授予权限以查看与指定维护时段关联的目标的列表 List

maintenancewindow*

DescribeMaintenanceWindowTasks 授予权限以查看与指定维护时段关联的任务的列表 List

maintenancewindow*

DescribeMaintenanceWindows 授予权限以查看有关所有维护时段或指定维护时段的信息 List
DescribeMaintenanceWindowsForTarget 授予权限以查看与指定实例关联的维护时段目标和任务相关的信息 List
DescribeOpsItems 授予权限以查看有关指定 OpsItem 的详细信息 Read
DescribeParameters 授予权限以查看有关指定 SSM 参数的详细信息 List
DescribePatchBaselines 授予权限以查看符合指定条件的补丁基准的信息 List
DescribePatchGroupState 授予权限以查看指定补丁组的补丁的聚合状态详细信息 Read
DescribePatchGroups 授予权限以查看指定补丁组的补丁基准相关信息 List
DescribePatchProperties 授予权限以查看指定操作系统和补丁属性的可用补丁的详细信息 List
DescribeSessions 授予权限以查看满足指定搜索条件的近期会话管理器会话的列表 List
DisassociateOpsItemRelatedItem 授予将 RelatedItem 与 OpsItem 取消关联的权限 写入
GetAutomationExecution 授予权限以查看指定 Automation 执行的详细信息 Read
GetCalendarState 授予权限以查看更改日历或更改日历列表的日历状态 Read

document*

GetCommandInvocation 授予权限以查看有关指定调用或插件的命令执行的详细信息 Read
GetConnectionStatus 授予权限以查看指定托管实例的会话管理器连接状态 Read
GetDefaultPatchBaseline 授予权限以查看指定操作系统类型的当前默认补丁基准 Read

patchbaseline*

GetDeployablePatchSnapshotForInstance 授予权限以检索指定实例的当前补丁基准快照 Read
GetDocument 授予权限以查看指定 SSM 文档的内容 Read

document*

GetInventory 授予权限以根据指定条件查看实例清单详细信息 Read
GetInventorySchema 授予权限以查看指定清单项目类型的清单类型或属性名称的列表 Read
GetMaintenanceWindow 授予权限以查看有关指定维护时段的详细信息 Read

maintenancewindow*

GetMaintenanceWindowExecution 授予权限以查看有关指定维护时段执行的详细信息 Read
GetMaintenanceWindowExecutionTask 授予权限以查看有关指定维护时段执行任务的详细信息 Read
GetMaintenanceWindowExecutionTaskInvocation 授予权限以查看在特定目标上运行的特定维护时段任务的详细信息 Read
GetMaintenanceWindowTask 授予权限以查看在指定维护时段中注册的任务的详细信息 Read

maintenancewindow*

GetManifest 由 Systems Manager 和 SSM 代理用于确定实例的包安装要求(内部 Systems Manager 调用) Read
GetOpsItem 授予权限以查看有关指定 Opsltem 的信息 Read
GetOpsMetadata 授予检索 OpsMetadata 对象的权限 Read

opsmetadata*

GetOpsSummary 授予权限以基于指定筛选器和聚合器查看 OpsItem 的摘要信息 Read

resourcedatasync*

GetParameter 授予权限以查看有关指定参数的信息 Read

parameter*

GetParameterHistory 授予权限以查看指定参数的详细信息和更改 Read

parameter*

GetParameters 授予权限以查看有关多个指定参数的信息 Read

parameter*

GetParametersByPath 授予权限以查看指定层次结构中参数的信息 Read

parameter*

GetPatchBaseline 授予权限以查看有关指定补丁基准的信息 Read

patchbaseline*

GetPatchBaselineForPatchGroup 授予权限以查看指定补丁组的当前补丁基准的 ID Read

patchbaseline*

GetServiceSetting 授予权限以查看Amazon服务的账户级别设置 Read

servicesetting*

LabelParameterVersion 授予权限以将标识标签应用于参数的指定版本 写入

parameter*

ListAssociationVersions 授予权限以列出指定关联的版本 List
ListAssociations 授予权限以列出指定 SSM 文档或托管实例的关联 List
ListCommandInvocations 授予权限以列出有关发送到指定实例的命令调用的信息 Read
ListCommands 授予权限以列出发送到指定实例的命令 Read
ListComplianceItems 授予权限以列出指定资源上指定资源类型的合规性状态 List
ListComplianceSummaries 授予权限以列出对于指定的合规性类型,合规以及不合规资源的摘要计数 List
ListDocumentMetadataHistory 授予查看有关指定 SSM 文档的元数据历史记录的权限 Read

document*

ListDocumentVersions 授予权限以列出指定文档的所有版本 List

document*

ListDocuments 授予权限以查看指定 SSM 文档的相关信息 List
ListInstanceAssociations 供 SSM 代理用来检查新的 State Manager 关联(内部 System Manager 调用) List

instance

managed-instance

ListInventoryEntries 授予权限以查看指定实例的指定清单类型的列表 List
ListOpsItemEvents 授予查看有关 OpsItemEvents 的详细信息的权限 Read
ListOpsItemRelatedItems 授予查看有关 OpsItem RelatedItems 的详细信息的权限 Read
ListOpsMetadata 授予查看 OpsMetadata 对象列表的权限 List
ListResourceComplianceSummaries 授予权限以列出资源级摘要计数 List
ListResourceDataSync 授予权限以列出有关账户中资源数据同步配置的信息 List

ssm:SyncType

ListTagsForResource 授予权限以查看指定资源的资源标签的列表 Read

document

maintenancewindow

managed-instance

opsmetadata

parameter

patchbaseline

ModifyDocumentPermission 授予权限以与指定Amazon账户公开或私密共享自定义 SSM 文档 写入

document*

PutComplianceItems 授予权限以在指定资源上注册合规性类型和其他合规性详细信息 写入

instance

managed-instance

PutConfigurePackageResult 由 SSM 代理用于生成特定代理请求结果的报告(内部 Systems Manager 调用) Read
PutInventory 授予权限以在多个指定的托管实例上添加或更新清单项目 写入
PutParameter 授予权限以创建 SSM 参数 写入

parameter*

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterDefaultPatchBaseline 授予权限以便为操作系统类型指定默认补丁基准 写入

patchbaseline*

RegisterPatchBaselineForPatchGroup 授予权限以便为指定的补丁组指定默认补丁基准 写入

patchbaseline*

RegisterTargetWithMaintenanceWindow 授予权限以将目标注册到指定的维护时段 写入

maintenancewindow*

RegisterTaskWithMaintenanceWindow 授予权限以将任务注册到指定的维护时段 写入

maintenancewindow*

RemoveTagsFromResource 授予权限以从指定资源中删除指定标签键 标记

document

maintenancewindow

managed-instance

opsmetadata

parameter

patchbaseline

ResetServiceSetting 授予权限以将Amazon账户的服务设置重置为默认值 写入

servicesetting*

ResumeSession 授予权限以将会话管理器会话重新连接到托管实例 写入

session*

SendAutomationSignal 授予权限以发送信号,更改指定 Automation 执行的当前行为或状态 写入
SendCommand 授予权限以在一个或多个指定托管实例上运行命令 写入

document*

bucket

instance

managed-instance

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

StartAssociationsOnce 授予权限以手动运行指定关联 写入

association*

StartAutomationExecution 授予权限以启动 Automation 文档的执行 写入

automation-definition*

StartChangeRequestExecution 授予启动 Automation Change Template 文档的执行的权限 写入

automation-definition*

StartSession 授予权限以便为会话管理器会话启动与指定目标的连接 写入

document

instance

task

ssm:SessionDocumentAccessCheck

ecs:cluster

StopAutomationExecution 授予权限以停止已在进行的指定 Automation 执行 写入
TerminateSession 授予权限以永久结束与实例的会话管理器连接 写入

session*

UpdateAssociation 授予权限以更新关联并立即在指定目标上运行关联 写入

association*

document

instance

managed-instance

UpdateAssociationStatus 授予权限以更新与指定实例关联的 SSM 文档的状态 写入

document*

instance

managed-instance

UpdateDocument 授予权限以更新 SSM 文档的一个或多个值 写入

document*

UpdateDocumentDefaultVersion 授予权限以更改 SSM 文档的默认版本 写入

document*

UpdateDocumentMetadata 授予更新 SSM 文档元数据的权限 写入

document*

UpdateInstanceAssociationStatus 由 SSM 代理用于更新当前正在运行的关联的状态(内部 Systems Manager 调用) 写入

association*

instance

managed-instance

UpdateInstanceInformation 由 SSM 代理用于向云中的 Systems Manager 服务发送检测信号 写入
UpdateMaintenanceWindow 授予权限以更新指定的维护时段 写入

maintenancewindow*

UpdateMaintenanceWindowTarget 授予权限以更新指定的维护时段目标 写入

maintenancewindow*

UpdateMaintenanceWindowTask 授予权限以更新指定的维护时段任务 写入

maintenancewindow*

UpdateManagedInstanceRole 授予权限以分配或更改分配给指定托管实例的 IAM 角色 写入

managed-instance*

UpdateOpsItem 授予权限以编辑或更改 OpsItem 写入
UpdateOpsMetadata 授予更新 OpsMetadata 对象的权限 写入

opsmetadata*

UpdatePatchBaseline 授予权限以更新指定的补丁基准 写入

patchbaseline*

UpdateResourceDataSync 授予权限以更新资源数据同步 写入

resourcedatasync*

ssm:SyncType

UpdateServiceSetting 授予权限以更新Amazon账户的服务设置 写入

servicesetting*

Amazon Systems Manager 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作都标识了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

注意

某些 State Manager API 参数已被弃用。这可能会导致意外行为。有关更多信息,请参阅使用 IAM 处理关联

资源类型 ARN 条件键
association arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
automation-execution arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
automation-definition arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
bucket arn:${Partition}:s3:::${BucketName}
document arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

instance arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

maintenancewindow arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

managed-instance-inventory arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
opsitem arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
opsmetadata arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

parameter arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

patchbaseline arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}

aws:ResourceTag/${TagKey}

ssm:resourceTag/tag-key

session arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
resourcedatasync arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
servicesetting arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
windowtarget arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
windowtask arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
task arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}

aws:ResourceTag/${TagKey}

ecs:ResourceTag/${TagKey}

Amazon Systems Manager 的条件键

Amazon Systems Manager 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据指定标签的允许值集筛选“创建”请求。 字符串
aws:ResourceTag/${TagKey} 根据分配给Amazon资源的标签键/值对筛选访问权限 字符串
aws:TagKeys 根据请求中是否具有必需标签来筛选“创建”请求 字符串
ecs:ResourceTag/${TagKey} 按附加到资源的标签键值对筛选操作 字符串
ecs:cluster 按 Amazon ECS 集群的 ARN 筛选访问 ARN
ssm:Overwrite 通过控制是否可以覆盖指定资源的值来筛选访问 字符串
ssm:Recursive 筛选在某个层次结构中创建的资源的访问 字符串
ssm:SessionDocumentAccessCheck 验证用户是否有权访问默认会话管理器配置文档或在请求中指定的自定义配置文档,从而筛选访问 Boolean
ssm:SyncType 通过验证用户是否也有权访问请求中指定的 ResourceDataSync SyncType 来筛选访问权限 字符串
ssm:resourceTag/tag-key 根据分配给 Systems Manager 资源的标签键/值对筛选访问权限 字符串