AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Systems Manager 权限参考

下表列出了 AWS Systems Manager API 操作及您可授予权限的相应操作。在设置 访问控制 和编写可附加到 IAM 身份的权限策略(基于身份的策略)时,可以使用此表作为参考。请在策略的 Action 字段中指定这些操作。要指定操作,请在 API 操作名称之前使用 ssm: 前缀(例如,ssm:GetDocumentssm:CreateDocument)。要在单个语句中指定多项操作,请使用逗号将它们隔开(例如,"Action": ["ssm:action1", "ssm:action2"])。对于策略的 Resource 字段中的资源值,指定一个 ARN。要指定多个操作或资源,可以在 ARN 中使用通配符 (*)。例如,ssm:* 指定所有 Systems Manager 操作,ssm:Get* 指定以单词 Get 开头的所有 Systems Manager 操作。以下示例授予对名称以 West 开头的所有文档的访问权限:

arn:aws:ssm:us-west-2:111222333444:document:West*

有关通配符的更多信息,请参阅 IAM User Guide 中的 IAM 标识符。有关 ARN 格式的 Systems Manager 资源列表,请参阅 AWS Systems Manager 资源和操作

要表示条件,请在 Systems Manager 策略中使用 AWS 范围条件键。有关 AWS 范围内的键的完整列表,请参阅 IAM User Guide 中的 AWS 全局条件上下文键

指定多个操作或资源

If you see an expand arrow () in the upper-right corner of the table, you can open the table in a new window. To close the window, choose the close button (X) in the lower-right corner.

Systems Manager API 操作和必需的操作权限

Systems Manager API 操作 所需权限(API 操作)

AddTagsToResource

ssm:AddTagsToResource

添加或覆盖指定资源标签所必需的。

CancelCommand

ssm:CancelCommand

尝试基于指定命令 ID 取消命令所必需的。

CancelMaintenanceWindowExecution

ssm:CancelMaintenanceWindowExecution

停止已在进行的维护时段执行所必需。

CreateActivation

ssm:CreateActivation

向 Amazon EC2 注册本地服务器或虚拟机以便其可以使用 Run Command 管理所必需的。

CreateAssociation

ssm:CreateAssociation

将 Systems Manager 文档关联至指定实例或目标所必需的。

CreateAssociationBatch

ssm:CreateAssociationBatch

将多个 Systems Manager 文档关联至指定实例或目标所必需的。

CreateDocument

ssm:CreateDocument

创建 Systems Manager 文档所必需的。

CreateMaintenanceWindow

ssm:CreateMaintenanceWindow

创建维护时段所必需。

CreateOpsItem

ssm:CreateOpsItem

创建 OpsItem 所必需。

CreatePatchBaseline

ssm:CreatePatchBaseline

创建补丁基准所必需的。

CreateResourceDataSync

ssm:CreateResourceDataSync

为单个 Amazon S3 存储桶创建资源数据同步配置所必需的。

DeleteActivation

ssm:DeleteActivation

删除激活所必需的。

DeleteAssociation

ssm:DeleteAssociation

从指定实例取消关联指定 Systems Manager 文档所必需的。

DeleteDocument

ssm:DeleteDocument

删除 Systems Manager 文档及此文档的所有实例关联所必需的。

DeleteInventory

ssm:DeleteInventory

删除自定义清单类型或者与自定义清单类型关联的数据所必需的。

DeleteMaintenanceWindow

ssm:DeleteMaintenanceWindow

删除维护时段所必需。

DeleteParameter

ssm:DeleteParameter

从系统中删除参数所必需的。

DeleteParameters

ssm:DeleteParameters

从系统中删除一个或多个参数所必需的。

DeletePatchBaseline

ssm:DeletePatchBaseline

删除补丁基准所必需的。

DeleteResourceDataSync

ssm:DeleteResourceDataSync

删除资源数据同步配置所必需的。

DeregisterManagedInstance

ssm:DeregisterManagedInstance

从注册服务器列表中删除服务器或虚拟机所必需的。

DeregisterPatchBaselineForPatchGroup

ssm:DeregisterPatchBaselineForPatchGroup

从补丁基准中删除补丁组所必需的。

DeregisterTargetFromMaintenanceWindow

ssm:DeregisterTargetFromMaintenanceWindow

从维护时段删除目标所必需。

DeregisterTaskFromMaintenanceWindow

ssm:DeregisterTaskFromMaintenanceWindow

从维护时段删除任务所必需。

DescribeActivations

ssm:DescribeActivations

查看有关激活的详细信息 (如激活的创建日期和时间、到期日期和激活中分配给实例的 IAM 角色) 所必需的。

DescribeAssociation

ssm:DescribeAssociation

查看指定 Systems Manager 文档或实例的关联所必需的。

DescribeAssociationExecutions

ssm:DescribeAssociationExecutions

查看特定关联 ID 的所有执行所必需的。

DescribeAssociationExecutionTargets

ssm:DescribeAssociationExecutionTargets

查看有关特定关联的特定执行所必需的。

DescribeAutomationExecutions

ssm:DescribeAutomationExecutions

查看所有激活和已终止的自动化执行信息所必需的。

DescribeAutomationStepExecutions

ssm:DescribeAutomationStepExecutions

查看自动化流程中所有激活和已终止的步骤执行信息所必需的。

DescribeAvailablePatches

ssm:DescribeAvailablePatches

查看可能包含在补丁基准中的补丁的信息所必需的。

DescribeDocument

ssm:DescribeDocument

查看指定 Systems Manager 文档信息所必需的。

DescribeDocumentPermission

ssm:DescribeDocumentPermission

查看 Systems Manager 文档权限所必需的。

DescribeEffectiveInstanceAssociations

ssm:DescribeEffectiveInstanceAssociations

查看一个或多个实例的关联的信息所必需。

DescribeEffectivePatchesForPatchBaseline

ssm:DescribeEffectivePatchesForPatchBaseline

查看指定补丁基准的当前有效补丁 (补丁和审核状态) 信息所必需的。仅适用于 Windows Server 补丁基准。

DescribeInstanceAssociationsStatus

ssm:DescribeInstanceAssociationsStatus

查看一个或多个实例的关联的状态所必需的。

DescribeInstanceInformation

ssm:DescribeInstanceInformation

查看一个或多个实例的信息所必需的。

DescribeInstancePatches

ssm:DescribeInstancePatches

查看指定实例的补丁信息及其相对于用于此实例的补丁基准的状态所必需的。

DescribeInstancePatchStates

ssm:DescribeInstancePatchStates

查看一个或多个实例高级补丁状态的信息所必需的。

DescribeInstancePatchStatesForPatchGroup

ssm:DescribeInstancePatchStatesForPatchGroup

查看指定补丁组中实例的高级补丁状态所必需的。

DescribeInventoryDeletions

ssm:DescribeInventoryDeletions

描述特定删除清单操作所必需的。

DescribeMaintenanceWindowExecutions

ssm:DescribeMaintenanceWindowExecutions

查看维护时段执行信息所必需的。这包括维护时段计划于何时激活的详细信息,以及已向维护时段注册并由后者运行的任务的相关信息。

DescribeMaintenanceWindowExecutionTaskInvocations

ssm:DescribeMaintenanceWindowExecutionTaskInvocations

对于在维护时段执行过程中运行的特定任务,检索各个任务执行(每个目标一个)的信息所必需。

DescribeMaintenanceWindowExecutionTasks

ssm:DescribeMaintenanceWindowExecutionTasks

查看为指定维护时段执行运行的任务的信息所必需。

DescribeMaintenanceWindows

ssm:DescribeMaintenanceWindows

查看在 AWS 账户中创建的维护时段的信息所必需。

DescribeMaintenanceWindowSchedule

ssm:DescribeMaintenanceWindowSchedule

检索近期维护时段执行的相关信息所必需。

DescribeMaintenanceWindowsForTarget

ssm:DescribeMaintenanceWindowsForTarget

检索有关实例与其关联的维护时段目标或任务的信息所必需的。

DescribeMaintenanceWindowTargets

ssm:DescribeMaintenanceWindowTargets

查看向指定维护时段注册的目标的相关信息所必需。

DescribeMaintenanceWindowTasks

ssm:DescribeMaintenanceWindowTasks

查看指定维护时段中任务的信息所必需的。

DescribeOpsItems

ssm:DescribeOpsItems

查询一组 OpsItems 所必需。

DescribeParameters

ssm:DescribeParameters

查看一个或多个参数的信息所必需的。

DescribePatchBaselines

ssm:DescribePatchBaselines

查看 AWS 账户中的补丁基准的信息所必需的。

DescribePatchGroups

ssm:DescribePatchGroups

查看向补丁基准注册的所有补丁组的信息所必需的。

DescribePatchGroupState

ssm:DescribePatchGroupState

查看补丁组的高级聚合补丁合规性状态的信息所必需的。

DescribePatchProperties

ssm:DescribePatchProperties

查看有关可用修补程序的属性的信息所必需的。

DescribeSessions

ssm:DescribeSessions

若要检索所有活动会话(包括连接和断开连接的)或终止的Session Manager会话的列表,则是必需的。

GetAutomationExecution

ssm:GetAutomationExecution

查看特定自动化执行详细信息所必需的。

GetCommandInvocation

ssm:GetCommandInvocation

查看调用或插件的命令执行详细信息所必需的。

GetConnectionStatus

ssm:GetConnectionStatus

若要检索实例的Session Manager连接状态以确定其是否已连接并准备好接收Session Manager连接,则是必需的。

GetDefaultPatchBaseline

ssm:GetDefaultPatchBaseline

查看默认补丁基准的信息所必需的。

GetDeployablePatchSnapshotForInstance

ssm:GetDeployablePatchSnapshotForInstance

查看实例使用的补丁基准的当前快照所必需的。主要由 AWS-RunPatchBaseline Systems Manager 文档使用。

GetDocument

ssm:GetDocument

查看指定 Systems Manager 文档内容所必需的。

GetInventory

ssm:GetInventory

查看清单项目信息所必需的。

GetInventorySchema

ssm:GetInventorySchema

查看账户清单类型名称或返回特定清单项目类型属性名称列表所必需的。

GetMaintenanceWindow

ssm:GetMaintenanceWindow

查看指定维护时段信息所必需的。

GetMaintenanceWindowExecution

ssm:GetMaintenanceWindowExecution

查看在维护时段执行中运行的特定任务的信息所必需。

GetMaintenanceWindowExecutionTask

ssm:GetMaintenanceWindowExecutionTask

查看在维护时段执行中运行的特定任务的相关信息所必需。

GetMaintenanceWindowExecutionTaskInvocation

ssm:GetMaintenanceWindowExecutionTaskInvocation

检索任务调用(在特定目标上运行的特定任务)所必需的。

GetMaintenanceWindowTask

ssm:GetMaintenanceWindowTask

列出维护时段中的任务所必需。

GetOpsItem

ssm:GetOpsItem

使用 ID 查看有关 OpsItem 的信息所必需。

GetOpsSummary

ssm:GetOpsSummary

基于指定的筛选条件和聚合器查看 OpsItems 的摘要所必需。

GetParameter

ssm:GetParameter

查看指定参数信息 (包括参数名称、类型和值) 所必需的。

GetParameterHistory

ssm:GetParameterHistory

查看指定参数历史信息所必需的。除了参数名称、类型和值以外,还返回参数描述、查询键 ID、上次修改日期和上次修改此参数的 AWS 用户的 ARN。

GetParameters

ssm:GetParameters

查看参数信息所必需的。

GetParametersByPath

ssm:GetParametersByPath

查看分层结构中参数的信息所必需的。

GetPatchBaseline

ssm:GetPatchBaseline

查看补丁基准的信息所必需的。

GetPatchBaselineForPatchGroup

ssm:GetPatchBaselineForPatchGroup

查看应该用于指定补丁组的补丁基准的信息所必需的。

GetServiceSetting

ssm:GetServiceSetting

查询 AWS 服务的当前账户级别设置所必需的。此服务设置定义用户如何与服务或服务的一项功能交互或如何使用它们。

LabelParameterVersion

ssm:LabelParameterVersion

将标签附加到参数版本所必需。

ListAssociations

ssm:ListAssociations

查看指定 Systems Manager 文档或实例的关联所必需的。

ListAssociationVersions

ssm:ListAssociationVersions

检索特定关联 ID 的关联的所有版本所必需的。

ListCommandInvocations

ssm:ListCommandInvocations

查看调用列表或发送到特定实例的命令副本所必需的。

ListCommands

ssm:ListCommands

查看 AWS 账户用户请求的命令列表所必需的。

ListComplianceItems

ssm:ListComplianceItems

为特定资源 ID 检索不同资源类型的合规性状态列表所必需的。

ListComplianceSummaries

ssm:ListComplianceSummaries

检索合规性类型的合规资源和不合规资源的摘要计数所必需的。

ListDocuments

ssm:ListDocuments

查看 Systems Manager 文档列表所必需的。

ListDocumentVersions

ssm:ListDocumentVersions

查看文档版本信息所必需的。

ListInventoryEntries

ssm:ListInventoryEntries

查看实例上清单项目的信息所必需的。

ListResourceComplianceSummaries

ssm:ListResourceComplianceSummaries

检索资源级摘要计数 (包括合规和不合规状态信息) 所必需的。

ListResourceDataSync

ssm:ListResourceDataSync

查看资源数据同步配置的信息 (包括上次尝试启动同步的时间、上次同步状态以及上次成功完成同步的时间) 所必需的。

ListTagsForResource

ssm:ListTagsForResource

查看分配给指定资源的标签列表所必需的。

ModifyDocumentPermission

ssm:ModifyDocumentPermission

公开或私密共享 Systems Manager 文档所必需的。

PutComplianceItems

ssm:PutComplianceItems

在指定资源上注册合规性类型和其他合规性详细信息所必需的。

PutInventory

ssm:PutInventory

在一个或多个实例上添加或更新自定义清单项目所必需的。

PutParameter

ssm:PutParameter

向系统添加一个或多个参数所必需的。

RegisterDefaultPatchBaseline

ssm:RegisterDefaultPatchBaseline

定义默认补丁基准所必需的。

RegisterPatchBaselineForPatchGroup

ssm:RegisterPatchBaselineForPatchGroup

为补丁组注册补丁基准所必需的。

RegisterTargetWithMaintenanceWindow

ssm:RegisterTargetWithMaintenanceWindow

向维护时段注册目标所必需。

RegisterTaskWithMaintenanceWindow

ssm:RegisterTaskWithMaintenanceWindow

向维护时段注册任务所必需。

RemoveTagsFromResource

ssm:RemoveTagsFromResource

从指定资源中删除标签所必需的。

ResetServiceSetting

ssm:ResetServiceSetting

将账户的服务设置重置为 AWS 服务团队预置的默认值所必需的。

ResumeSession

ssm:ResumeSession

若要在会话断开连接后将其重新连接到实例,则是必需的。此命令仅供客户端计算机用于在间歇性网络问题过程中自动进行重新连接。

SendAutomationSignal

ssm:SendAutomationSignal

向自动化执行发送信号以更改执行的当前行为或状态所必需的。

SendCommand

ssm:SendCommand

在一个或多个托管实例上运行命令所必需的。

StartAssociationsOnce

ssm:StartAssociationsOnce

立即运行关联且只运行一次(在排查关联相关问题时可能很有用)所必需的。

StartAutomationExecution

ssm:StartAutomationExecution

开始运行自动化文档所必需的。

StartSession

ssm:StartSession

若要启动到目标(例如实例)的连接以进行Session Manager会话,则是必需的。

StopAutomationExecution

ssm:StopAutomationExecution

开始运行自动化文档所必需的。

TerminateSession

ssm:TerminateSession

若要永久结束会话并关闭Session Manager客户端与实例上的 SSM 代理 之间的数据连接,则是必需的。

UpdateAssociation

ssm:UpdateAssociation

更新关联所必需的。只能更新文档版本、计划、参数和关联的 Amazon S3 输出。

UpdateAssociationStatus

ssm:UpdateAssociationStatus

更新与指定实例关联的 Systems Manager 文档的状态所必需的。

UpdateDocument

ssm:UpdateDocument

更新文档内容、版本或名称所必需的。

UpdateDocumentDefaultVersion

ssm:UpdateDocumentDefaultVersion

设置文档默认版本所必需的。

UpdateMaintenanceWindow

ssm:UpdateMaintenanceWindow

更新维护时段中的一个或多个参数所必需的。

UpdateMaintenanceWindowTarget

ssm:UpdateMaintenanceWindowTarget

在现有维护时段上修改目标所必需。

UpdateMaintenanceWindowTask

ssm:UpdateMaintenanceWindowTask

修改分配到维护时段的任务所必需。

UpdateManagedInstanceRole

ssm:UpdateManagedInstanceRole

向托管实例分配 Amazon Identity and Access Management (IAM) 角色或更改分配的 IAM 角色所必需的。

UpdateOpsItem

ssm:UpdateOpsItem

编辑或更改 OpsItem 所必需。

UpdatePatchBaseline

ssm:UpdatePatchBaseline

更新现有补丁基准中的一个或多个字段所必需的。

UpdateServiceSetting

ssm:UpdateServiceSetting

更新服务账户所必需的设置。