本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Systems Manager 的操作、资源和条件键
Amazon Systems Manager(服务前缀:ssm
)提供以下特定于服务的资源、操作和条件上下文密钥,供在 IAM 权限策略中使用。
参考:
Amazon Systems Manager 定义的操作
您可以在 IAM 策略语句的 Action
元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource
元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource
元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition
元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
---|---|---|---|---|---|
AddTagsToResource | 授予为指定 Amazon 资源添加或覆盖一个或多个标签的权限 | 标记 | |||
AssociateOpsItemRelatedItem | 授予与关联 RelatedItem 的权限 OpsItem | 写入 | |||
CancelCommand | 授予权限以取消指定的 Run Command 命令 | Write | |||
CancelMaintenanceWindowExecution | 授予权限以取消进行中的维护时段执行 | 写入 | |||
CreateActivation | 授予创建激活的权限,该激活用于向 Systems Manager 注册本地服务器和虚拟机 (VMs) | 写入 | |||
CreateAssociation | 授予权限以将指定的 Systems Manager 文档与指定的实例或其他目标关联 | 写入 | |||
CreateAssociationBatch | 授予在单个命令中合并多个 CreateAssociation 操作条目的权限 | 写入 | |||
CreateDocument | 授予权限以创建 Systems Manager SSM 文档 | Write |
iam:PassRole |
||
CreateMaintenanceWindow | 授予权限以创建维护时段 | 写入 | |||
CreateOpsItem | 授予 OpsItem 在中创建的权限 OpsCenter | 写入 | |||
CreateOpsMetadata | 授予为 Amazon 资源创建 OpsMetadata 对象的权限 | 写入 | |||
CreatePatchBaseline | 授予权限以创建修补程序基准 | Write | |||
CreateResourceDataSync | 授予权限以创建资源数据同步配置,该配置定期从托管实例收集清单数据并更新 Amazon S3 存储桶中的数据 | Write | |||
DeleteActivation | 授予权限以删除托管实例的指定激活 | Write | |||
DeleteAssociation | 授予权限以从指定实例解除与指定 SSM 文档的关联 | Write | |||
DeleteDocument | 授予权限以删除指定 SSM 文档及其实例关联 | Write | |||
DeleteInventory | 授予权限以删除指定的自定义清单类型或者与自定义清单类型关联的数据 | Write | |||
DeleteMaintenanceWindow | 授予权限以删除指定的维护时段 | 写入 | |||
DeleteOpsItem | 授予删除的权限 OpsItem | 写入 | |||
DeleteOpsMetadata | 授予删除 OpsMetadata 对象的权限 | 写入 | |||
DeleteParameter | 授予权限以删除一个指定的 SSM 参数 | Write | |||
DeleteParameters | 授予权限以删除多个指定的 SSM 参数 | Write | |||
DeletePatchBaseline | 授予权限以删除指定的补丁基准 | Write | |||
DeleteResourceDataSync | 授予权限以删除指定的资源数据同步 | 写入 | |||
DeleteResourcePolicy | 授予删除 Systems Manager 资源策略的权限 | 权限管理 | |||
DeregisterManagedInstance | 授予权限以从 Systems Manager 取消注册指定的本地服务器或虚拟机 (VM) | Write | |||
DeregisterPatchBaselineForPatchGroup | 授予权限以便为指定的补丁组取消注册作为默认补丁基准的指定补丁基准 | Write | |||
DeregisterTargetFromMaintenanceWindow | 授予权限以从维护时段取消注册指定的目标 | Write | |||
DeregisterTaskFromMaintenanceWindow | 授予权限以从维护时段取消注册指定的任务 | Write | |||
DescribeActivations | 授予权限以查看有关指定托管实例激活的详细信息,例如其创建时间和使用激活注册的实例数 | Read | |||
DescribeAssociation | 授予权限以查看指定实例或目标的指定关联的相关详细信息 | Read | |||
DescribeAssociationExecutionTargets | 授予权限以查看有关指定关联执行情况的信息 | Read | |||
DescribeAssociationExecutions | 授予权限以查看指定关联的所有执行 | Read | |||
DescribeAutomationExecutions | 授予权限以查看所有活动和已终止的 Automation 执行的相关详细信息 | Read | |||
DescribeAutomationStepExecutions | 授予权限以查看 Automation 工作流程中所有活动和已终止的步骤执行信息 | Read | |||
DescribeAvailablePatches | 授予权限以查看符合包含在补丁基准中的条件的所有补丁 | Read | |||
DescribeDocument | 授予权限以查看有关指定 SSM 文档的详细信息 | Read | |||
DescribeDocumentParameters | 授予权限以在 Systems Manager 控制台中显示有关 SSM 文档参数的信息(内部 Systems Manager 操作) | Read | |||
DescribeDocumentPermission | 授予权限以查看指定 SSM 文档的权限 | Read | |||
DescribeEffectiveInstanceAssociations | 授予权限以查看指定实例的所有当前关联 | Read | |||
DescribeEffectivePatchesForPatchBaseline | 授予权限以查看当前与指定补丁基准关联的补丁的相关详细信息(仅 Windows) | Read | |||
DescribeInstanceAssociationsStatus | 授予权限以查看指定实例的关联的状态 | Read | |||
DescribeInstanceInformation | 授予权限以查看有关指定实例的详细信息 | Read | |||
DescribeInstancePatchStates | 授予权限以查看指定实例上有关补丁的状态详细信息 | Read | |||
DescribeInstancePatchStatesForPatchGroup | 授予权限以描述指定修补程序组中实例的高级修补程序状态 | Read | |||
DescribeInstancePatches | 授予权限以查看有关指定实例上补丁的一般详细信息 | 读取 | |||
DescribeInstanceProperties | 向用户的 Amazon EC2 控制台授予呈现托管实例节点的权限 | 读取 | |||
DescribeInventoryDeletions | 授予权限以查看有关指定库存删除的详细信息 | Read | |||
DescribeMaintenanceWindowExecutionTaskInvocations | 授予权限以查看某个维护时段的指定任务执行的详细信息 | List | |||
DescribeMaintenanceWindowExecutionTasks | 授予权限以查看在指定维护时段执行期间运行的任务的相关详细信息 | List | |||
DescribeMaintenanceWindowExecutions | 授予权限以查看指定维护时段的执行 | List | |||
DescribeMaintenanceWindowSchedule | 授予权限以查看有关指定维护时段即将开始的执行的详细信息 | List | |||
DescribeMaintenanceWindowTargets | 授予权限以查看与指定维护时段关联的目标的列表 | List | |||
DescribeMaintenanceWindowTasks | 授予权限以查看与指定维护时段关联的任务的列表 | List | |||
DescribeMaintenanceWindows | 授予权限以查看有关所有维护时段或指定维护时段的信息 | List | |||
DescribeMaintenanceWindowsForTarget | 授予权限以查看与指定实例关联的维护时段目标和任务相关的信息 | 列表 | |||
DescribeOpsItems | 授予权限以查看有关指定内容的详细信息 OpsItems | 读取 | |||
DescribeParameters | 授予权限以查看有关指定 SSM 参数的详细信息 | List | |||
DescribePatchBaselines | 授予权限以查看符合指定条件的补丁基准的信息 | List | |||
DescribePatchGroupState | 授予权限以查看指定补丁组的补丁的聚合状态详细信息 | 列表 | |||
DescribePatchGroups | 授予权限以查看指定补丁组的补丁基准相关信息 | List | |||
DescribePatchProperties | 授予权限以查看指定操作系统和补丁属性的可用补丁的详细信息 | List | |||
DescribeSessions | 授予权限以查看满足指定搜索条件的近期会话管理器会话的列表 | 列表 | |||
DisassociateOpsItemRelatedItem | 授予取消关联 RelatedItem 的权限 OpsItem | 写入 | |||
ExecuteAPI | 向 Systems Manager 委派的管理员授予权限,使其能够查看中 OpsItems 多个 Amazon 账户的相关资源详细信息 Amazon Web Services Management Console | 读取 | |||
GetAutomationExecution | 授予权限以查看指定 Automation 执行的详细信息 | 读取 | |||
GetCalendar[仅权限] | 授予查看特定日历详细信息的权限 | 读取 | |||
GetCalendarState | 授予权限以查看更改日历或更改日历列表的日历状态 | Read | |||
GetCommandInvocation | 授予权限以查看有关指定调用或插件的命令执行的详细信息 | Read | |||
GetConnectionStatus | 授予权限以查看指定托管实例的会话管理器连接状态 | Read | |||
GetDefaultPatchBaseline | 授予权限以查看指定操作系统类型的当前默认补丁基准 | Read | |||
GetDeployablePatchSnapshotForInstance | 授予权限以检索指定实例的当前补丁基准快照 | Read | |||
GetDocument | 授予权限以查看指定 SSM 文档的内容 | 读取 | |||
GetExecutionPreview | 授予检索现有预览的权限,该预览显示了运行指定自动化 Runbook 会对目标资源产生的影响 | 读取 | |||
GetInventory | 授予权限以根据指定条件查看实例清单详细信息 | Read | |||
GetInventorySchema | 授予权限以查看指定清单项目类型的清单类型或属性名称的列表 | Read | |||
GetMaintenanceWindow | 授予权限以查看有关指定维护时段的详细信息 | Read | |||
GetMaintenanceWindowExecution | 授予权限以查看有关指定维护时段执行的详细信息 | Read | |||
GetMaintenanceWindowExecutionTask | 授予权限以查看有关指定维护时段执行任务的详细信息 | Read | |||
GetMaintenanceWindowExecutionTaskInvocation | 授予权限以查看在特定目标上运行的特定维护时段任务的详细信息 | Read | |||
GetMaintenanceWindowTask | 授予权限以查看在指定维护时段中注册的任务的详细信息 | 读取 | |||
GetManifest[仅权限] | 为 Systems Manager 和 SSM Agent 授予权限以确定实例的包安装要求(内部 Systems Manager 调用) | 读取 | |||
GetOpsItem | 授予查看有关指定信息的权限 OpsItem | 读取 | |||
GetOpsMetadata | 授予检索 OpsMetadata 对象的权限 | 读取 | |||
GetOpsSummary | OpsItems 根据指定的筛选器和聚合器授予查看有关摘要信息的权限 | 读取 | |||
GetParameter | 授予权限以查看有关指定参数的信息 | Read | |||
GetParameterHistory | 授予权限以查看指定参数的详细信息和更改 | Read | |||
GetParameters | 授予权限以查看有关多个指定参数的信息 | Read | |||
GetParametersByPath | 授予权限以查看指定层次结构中参数的信息 | Read | |||
GetPatchBaseline | 授予权限以查看有关指定补丁基准的信息 | Read | |||
GetPatchBaselineForPatchGroup | 授予权限以查看指定补丁组的当前补丁基准的 ID | 读取 | |||
GetResourcePolicies | 授予检索 Systems Manager 资源策略列表的权限 | 列表 | |||
GetServiceSetting | 授予查看服务的账户级别设置的权限 Amazon | 读取 | |||
LabelParameterVersion | 授予权限以将标识标签应用于参数的指定版本 | Write | |||
ListAssociationVersions | 授予权限以列出指定关联的版本 | List | |||
ListAssociations | 授予权限以列出指定 SSM 文档或托管实例的关联 | List | |||
ListCommandInvocations | 授予权限以列出有关发送到指定实例的命令调用的信息 | 列表 | |||
ListCommands | 授予权限以列出发送到指定实例的命令 | 列表 | |||
ListComplianceItems | 授予权限以列出指定资源上指定资源类型的合规性状态 | List | |||
ListComplianceSummaries | 授予权限以列出对于指定的合规性类型,合规以及不合规资源的摘要计数 | List | |||
ListDocumentMetadataHistory | 授予查看有关指定 SSM 文档的元数据历史记录的权限 | 列表 | |||
ListDocumentVersions | 授予权限以列出指定文档的所有版本 | List | |||
ListDocuments | 授予权限以查看指定 SSM 文档的相关信息 | 列表 | |||
ListInstanceAssociations | 授予 SSM Agent 检查新的 State Manager 关联(内部 Systems Manager 调用)的权限 | 列表 | |||
ListInventoryEntries | 授予权限以查看指定实例的指定清单类型的列表 | 列表 | |||
ListNodes | 授予基于指定筛选器查看托管节点详细信息的权限 | 列表 | |||
ListNodesSummary | 授予基于指定筛选器和聚合器查看托管节点摘要信息的权限 | 列表 | |||
ListOpsItemEvents | 授予查看相关详细信息的权限 OpsItemEvents | 列表 | |||
ListOpsItemRelatedItems | 授予查看相关详细信息的权限 OpsItem RelatedItems | 列表 | |||
ListOpsMetadata | 授予查看 OpsMetadata 对象列表的权限 | 列表 | |||
ListResourceComplianceSummaries | 授予权限以列出资源级摘要计数 | List | |||
ListResourceDataSync | 授予权限以列出有关账户中资源数据同步配置的信息 | List | |||
ListTagsForResource | 授予权限以查看指定资源的资源标签的列表 | 列表 | |||
ModifyDocumentPermission | 授予与指定 Amazon 账户公开或私下共享自定义 SSM 文档的权限 | 权限管理 | |||
PutCalendar[仅权限] | 授予创建/编辑特定日历的权限 | 写入 | |||
PutComplianceItems | 授予权限以在指定资源上注册合规性类型和其他合规性详细信息 | 写入 | |||
PutConfigurePackageResult[仅权限] | 为 SSM Agent 授予权限以生成特定代理请求结果的报告(内部 Systems Manager 调用) | 读取 | |||
PutInventory | 授予权限以在多个指定的托管实例上添加或更新清单项目 | Write | |||
PutParameter | 授予权限以创建 SSM 参数 | 写入 | |||
PutResourcePolicy | 授予创建或更新 Systems Manager 资源策略的权限 | 权限管理 | |||
RegisterDefaultPatchBaseline | 授予权限以便为操作系统类型指定默认补丁基准 | 写入 | |||
RegisterManagedInstance | 授予注册 Systems Manager Agent 的权限 | 写入 | |||
RegisterPatchBaselineForPatchGroup | 授予权限以便为指定的补丁组指定默认补丁基准 | Write | |||
RegisterTargetWithMaintenanceWindow | 授予权限以将目标注册到指定的维护时段 | Write | |||
RegisterTaskWithMaintenanceWindow | 授予权限以将任务注册到指定的维护时段 | Write | |||
RemoveTagsFromResource | 授予权限以从指定资源中删除指定标签键 | 标记 | |||
ResetServiceSetting | 授予将的服务设置重置 Amazon Web Services 账户 为默认值的权限 | 写入 | |||
ResumeSession | 授予权限以将会话管理器会话重新连接到托管实例 | Write | |||
SendAutomationSignal | 授予权限以发送信号,更改指定 Automation 执行的当前行为或状态 | Write | |||
SendCommand | 授予权限以在一个或多个指定托管实例上运行命令 | Write | |||
StartAssociationsOnce | 授予权限以手动运行指定关联 | Write | |||
StartAutomationExecution | 授予权限以启动 Automation 文档的执行 | Write | |||
StartChangeRequestExecution | 授予启动 Automation Change Template 文档的执行的权限 | 写入 | |||
StartExecutionPreview | 授予权限以创建预览,显示运行指定自动运行手册对目标资源的影响 | 读取 | |||
StartSession | 授予权限以便为会话管理器会话启动与指定目标的连接 | Write | |||
StopAutomationExecution | 授予权限以停止已在进行的指定 Automation 执行 | Write | |||
TerminateSession | 授予权限以永久结束与实例的会话管理器连接 | 写入 | |||
UnlabelParameterVersion | 授予从参数的指定版本移除标识标签的权限 | 写入 | |||
UpdateAssociation | 授予权限以更新关联并立即在指定目标上运行关联 | Write | |||
UpdateAssociationStatus | 授予权限以更新与指定实例关联的 SSM 文档的状态 | Write | |||
UpdateDocument | 授予权限以更新 SSM 文档的一个或多个值 | Write | |||
UpdateDocumentDefaultVersion | 授予权限以更改 SSM 文档的默认版本 | Write | |||
UpdateDocumentMetadata | 授予更新 SSM 文档元数据的权限 | 写入 | |||
UpdateInstanceAssociationStatus[仅权限] | 为 SSM Agent 授予权限以更新当前正在运行的关联的状态(内部 Systems Manager 调用) | 写入 | |||
UpdateInstanceInformation | 为 SSM Agent 授予权限以向云中的 Systems Manager 服务发送检测信号 | 写入 | |||
UpdateMaintenanceWindow | 授予权限以更新指定的维护时段 | Write | |||
UpdateMaintenanceWindowTarget | 授予权限以更新指定的维护时段目标 | Write | |||
UpdateMaintenanceWindowTask | 授予权限以更新指定的维护时段任务 | Write | |||
UpdateManagedInstanceRole | 授予权限以分配或更改分配给指定托管实例的 IAM 角色 | 写入 | |||
UpdateOpsItem | 授予编辑或更改的权限 OpsItem | 写入 | |||
UpdateOpsMetadata | 授予更新 OpsMetadata 对象的权限 | 写入 | |||
UpdatePatchBaseline | 授予权限以更新指定的补丁基准 | Write | |||
UpdateResourceDataSync | 授予权限以更新资源数据同步 | 写入 | |||
UpdateServiceSetting | 授予更新服务设置的权限 Amazon Web Services 账户 | 写入 |
Amazon Systems Manager 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource
元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
注意
某些 State Manager API 参数已被弃用。这可能会导致意外行为。有关更多信息,请参阅使用 IAM 处理关联。
资源类型 | ARN | 条件键 |
---|---|---|
association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
bucket |
arn:${Partition}:s3:::${BucketName}
|
|
document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
iam-role |
arn:${Partition}:iam::${Account}:role/${RoleName}
|
|
instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
Amazon Systems Manager 的条件键
Amazon Systems Manager 定义了以下可以在 IAM 策略Condition
元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
条件键 | 描述 | 类型 |
---|---|---|
aws:RequestTag/${TagKey} | 根据指定标签的允许值集按“创建”请求筛选访问权限 | 字符串 |
aws:ResourceTag/${TagKey} | 根据分配给资源的标签键值对筛选访问权限 Amazon | 字符串 |
aws:TagKeys | 根据请求中是否具有必需标签按“创建”请求筛选访问权限 | ArrayOfString |
ec2:SourceInstanceARN | 按发起请求的实例的 ARN 筛选访问 | ARN |
ssm:AutoApprove | 通过验证用户是否有权启动 Change Manager 工作流而不执行某个审核步骤(变更冻结事件除外)来筛选访问权限 | 布尔型 |
ssm:DocumentCategories | 通过验证用户是否有权访问属于特定类别的文档来筛选访问权限 | ArrayOfString |
ssm:Overwrite | 按控制是否可以覆盖 Systems Manager 参数筛选访问权限 | 字符串 |
ssm:Policies | 通过控制 IAM 实体(用户或角色)是否可以创建或更新包含参数策略的参数来筛选访问权限 | 字符串 |
ssm:Recursive | 按在某个层次结构中创建的 Systems Manager 参数筛选访问权限 | 字符串 |
ssm:SourceInstanceARN | 通过验证发出请求的 Amazon 系统管理员托管实例的 Amazon 资源名称 (ARN) 来筛选访问权限。当请求来自通过与实例配置文件关联的 IAM 角色进行身份验证的托管实例时,此密钥不存在 EC2 | ARN |
ssm:SyncType | 通过验证用户是否也可以访问请求中 ResourceDataSync SyncType 指定的内容来筛选访问权限 | 字符串 |
ssm:resourceTag/${TagKey} | 按分配给 Systems Manager 资源的标签键值对筛选访问权限 | 字符串 |
ssm:resourceTag/aws:ssmmessages:session-id | 根据分配给 Systems Manager 会话资源的标签键/值对筛选访问权限 | 字符串 |
ssm:resourceTag/aws:ssmmessages:target-id | 根据分配给 Systems Manager 会话资源的标签键/值对筛选访问权限 | 字符串 |
ssm:resourceTag/tag-key | 根据分配给 Systems Manager 资源的标签键/值对筛选访问权限 | 字符串 |