本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 3:控制用户对软件包的访问权限
使用 Amazon Identity and Access Management (IAM) policy,可以控制哪些用户能够创建、部署和管理软件包。您还可以控制他们能在托管式节点上执行哪些 Run Command 和 State Manager API 操作。与 Distributor 一样,Run Command 和 State Manager 两者均为 Amazon Systems Manager 的功能。
ARN 格式
用户定义的软件包与文档 Amazon Resource Name (ARNs) 相关联,其格式如下。
arn:aws:ssm:region:account-id:document/document-name
以下是示例。
arn:aws:ssm:us-west-1:123456789012:document/ExampleDocumentName
您可以使用 Amazon 提供的一对默认 IAM policy(一个用于终端用户,一个用于管理员)授予对 Distributor 活动的权限。或者,您也可以创建适合您的权限要求的自定义 IAM policy。
有关在 IAM policy 中使用变量的更多信息,请参阅 IAM policy 元素:变量。
有关如何创建策略并将策略附加到用户或组的信息,请参阅《IAM 用户指南》中的创建 IAM policy 及添加和移除 IAM policy。