• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。 # Amazon Systems Manager 基于身份的策略示例 基于身份的策略示例 默认情况下,Amazon Identity and Access Management(IAM)实体(用户和角色)没有创建或修改 Amazon Systems Manager 资源的权限。他们还无法使用 Systems Manager 控制台、Amazon Command Line Interface (Amazon CLI) 或 Amazon API 执行任务。管理员必须创建 IAM policy,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的用户或组。 以下示例权限策略允许用户删除位于美国东部(俄亥俄)(us-east-2)Amazon Web Services 区域的名称以 **MyDocument-** 开头的文档。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "ssm:DeleteDocument" ], "Resource" : [ "arn:aws:ssm:us-east-1:111122223333:document/MyDocument-*" ] } ] } ``` ------ 要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》中的[创建 IAM policy](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。 **Topics** + [ ## 策略最佳实践 ](#security_iam_service-with-iam-policy-best-practices) + [ ## 示例:使用 Systems Manager 控制台的权限 ](#security_iam_id-based-policy-examples-console) + [ ## 示例:允许用户查看其自有权限的权限 ](#security_iam_id-based-policy-examples-view-own-permissions) + [ ## 示例:读取和描述单个参数的权限 ](#security_iam_id-based-policy-examples-view-one-parameter) + [ # 防止跨服务混淆代理 ](cross-service-confused-deputy-prevention.md) + [ ## 客户管理型策略示例 ](#customer-managed-policies) + [ ## 基于标签查看 Systems Manager 文档 ](#security_iam_id-based-policy-examples-view-documents-tags) ## 策略最佳实践 基于身份的策略确定某个人是否可以创建、访问或删除您账户中的 Systems Manager 资源。这些操作可能会使 Amazon Web Services 账户 产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议: + **Amazon 托管式策略及转向最低权限许可入门**:要开始向用户和工作负载授予权限,请使用 *Amazon 托管式策略*来为许多常见使用场景授予权限。您可以在 Amazon Web Services 账户 中找到这些策略。建议通过定义特定于您的使用场景的 Amazon 客户托管式策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的 Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_job-functions.html)。 + **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html)。 + **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果通过特定 Amazon Web Services 服务(例如 Amazon CloudFormation)使用服务操作,您还可以使用条件来授予对服务操作的访问权限。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)。 + **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。 + **需要多重身份验证(MFA)**:如果您所处的场景要求您的 Amazon Web Services 账户 中有 IAM 用户或根用户,请启用 MFA 来提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。 有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html)。 ## 示例:使用 Systems Manager 控制台的权限 使用控制台 要访问 Systems Manager 控制台,您必须具有一组最低的权限。这些权限必须允许您列出和查看有关您 Amazon Web Services 账户中的 Systems Manager 资源和其他资源的详细信息。 如果您创建的基于身份的策略比所需的最低权限更严格,则无法为具有该策略的 IAM 实体(用户或角色)按预期运行该控制台。 对于只需要调用 Amazon CLI 或 Amazon API 的用户,无需为其提供最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。 为确保用户和角色仍然可以使用 Systems Manager 控制台,还请将 [AmazonSSMFullAccess](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) 或 [AmazonSSMReadOnlyAccess](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) Amazon 托管策略附加到实体。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。 ## 示例:允许用户查看其自有权限的权限 该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上完成此操作或者以编程方式使用 Amazon CLI 或 Amazon API 所需的权限。 ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] } ``` ## 示例:读取和描述单个参数的权限 **Example 读取并描述参数** 通过将以下策略附加到身份,您可以授予参数的访问权限。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:DescribeParameters" ], "Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/parameter-name" } ] } ``` # 防止跨服务混淆代理 混淆代理问题是一个安全性问题,即不具有某操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在 Amazon 中,跨服务模拟可能会导致混淆代理问题。一个服务(*呼叫服务*)调用另一项服务(*所谓的服务*)时,可能会发生跨服务模拟。可以操纵调用服务,使用其权限以在其他情况下该服务不应有访问权限的方式对另一个客户的资源进行操作。为防止这种情况,Amazon 提供可帮助您保护所有服务的数据的工具,而这些服务中的服务主体有权限访问账户中的资源。 我们建议在资源策略中使用 [https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全局条件上下文键,进而限制 Amazon Systems Manager 为其他服务提供的资源访问权限。如果 `aws:SourceArn` 值不包含账户 ID,例如 S3 存储桶的 Amazon 资源名称(ARN),则您必须使用两个全局条件上下文键来限制权限。如果同时使用全局条件上下文密钥和包含账户 ID 的 `aws:SourceArn` 值,则 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户在同一策略语句中使用时,必须使用相同的账户 ID。如果您只希望将一个资源与跨服务访问相关联,请使用 `aws:SourceArn`。如果您想允许该账户中的任何资源与跨服务使用操作相关联,请使用。`aws:SourceAccount` 以下几节提供 Amazon Systems Manager 工具的策略示例。 ## 混合激活策略示例 对于在[混合激活](activations.md)中使用的服务角色,`aws:SourceArn` 的值必须是 Amazon Web Services 账户 的 ARN。请务必指定您在其中创建混合激活的 ARN 中的 Amazon Web Services 区域。如果您不知道资源的完整 ARN,或正在指定多个资源,请针对 ARN 未知部分使用带有通配符 (`*`) 的 `aws:SourceArn` 全局上下文条件键。例如 `arn:aws:ssm:*:region:123456789012:*`。 以下示例演示了如何通过为自动化使用 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键,以防止在美国东部(俄亥俄州)区域(us-east-2)出现混淆代理问题。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole", "Condition":{ "StringEquals":{ "aws:SourceAccount":"123456789012" }, "ArnEquals":{ "aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*" } } } ] } ``` ------ ## 资源数据同步策略示例 利用 Systems Manager Inventory、Explorer 和 Compliance,您能够创建资源数据同步,将运营数据 (OpsData) 集中存储在 Amazon Simple Storage Service 中央存储桶中。如果希望使用 Amazon Key Management Service (Amazon KMS) 来加密资源数据同步,则必须创建包含以下策略的新键,或更新现有键并向其添加此策略。此策略中的 `aws:SourceArn` 和 `aws:SourceAccount` 条件键可防止混淆代理问题。以下为策略示例。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "ssm-access-policy", "Statement": [ { "Sid": "ssm-access-policy-statement", "Action": [ "kms:GenerateDataKey" ], "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id", "Condition": { "StringLike": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM" } } } ] } ``` ------ **注意** 策略示例中的 ARN 让系统能够加密来自除 Amazon Security Hub CSPM 之外所有来源的 OpsData。如果您需要加密 Security Hub CSPM 数据,例如使用 Explorer 收集 Security Hub CSPM 数据,则必须附加指定以下 ARN 的额外策略: `"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"` ## 客户管理型策略示例 您可以创建在自己的 Amazon Web Services 账户中管理的独立策略。我们将它们称作*客户托管策略*。随后可以将这些策略附加到您 Amazon Web Services 账户中的多个主要委托人实体。将策略附加到主体实体时,便向实体授予了策略中定义的权限。有关更多信息,请参阅 *[IAM 用户指南](https://docs.amazonaws.cn/IAM/latest/UserGuide/)*中的[客户托管式策略示例](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)。 以下用户策略示例授予执行各种 Systems Manager 操作的权限。可以使用它们限制对您的 IAM 实体(用户和角色)的 Systems Manager 访问。在 Systems Manager API、Amazon 开发工具包或 Amazon CLI 中执行操作时,这些策略将会发挥作用。对于使用控制台的用户,需要授予特定于控制台的其他权限。有关更多信息,请参阅 [示例:使用 Systems Manager 控制台的权限](#security_iam_id-based-policy-examples-console)。 **注意** 所有示例都使用 美国西部(俄勒冈)区域 (us-west-2) 和虚构的账户 ID。不应在 Amazon 公有文档(以 `AWS-*` 开头的文档)的 Amazon Resource Name (ARN) 中指定账户 ID。 **示例** + [示例 1:允许用户在单个区域中执行 Systems Manager 操作](#identity-based-policies-example-1) + [示例 2:允许用户列出某个区域的文档](#identity-based-policies-example-2) ### 示例 1:允许用户在单个区域中执行 Systems Manager 操作 以下示例授予在美国东部(俄亥俄)区域(us-east-2)中执行 Systems Manager 操作的权限。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:*" ], "Resource": [ "arn:aws:ssm:us-east-1:111122223333:*" ] } ] } ``` ------ ### 示例 2:允许用户列出某个区域的文档 以下示例授予列出美国东部(俄亥俄)区域(us-east-2)中所有以 **Update** 开头的文档名称的权限。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:ListDocuments" ], "Resource": [ "arn:aws:ssm:us-east-1:111122223333:document/Update*" ] } ] } ``` ------ ### 示例 3:允许用户使用特定 SSM 文档在特定节点上运行命令 以下示例 IAM policy 允许用户在美国东部(俄亥俄州)区域(us-east-2)执行以下操作: + 列出 Systems Manager 文档(SSM 文档)和文档版本。 + 查看有关文档的详细信息。 + 使用策略中指定的文档发送命令。文档名称由以下条目确定。 ``` arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name ``` + 将命令发送到三个节点。节点由第二个 `Resource` 部分中的以下条目确定。 ``` "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE", "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE", "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE" ``` + 发送命令后查看有关命令的详细信息。 + 在 Automation(Amazon Systems Manager 中的一项工具)中启动和停止工作流。 + 获取有关自动化工作流的信息。 如果您要授予某个用户使用此文档向该用户有权访问的任何节点发送命令的权限,则您可以在 `Resource` 部分指定与以下类似的条目并删除其他节点条目。以下示例使用美国东部(俄亥俄)区域(us-east-2)。 ``` "arn:aws:ec2:us-east-2:*:instance/*" ``` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "ssm:ListDocuments", "ssm:ListDocumentVersions", "ssm:DescribeDocument", "ssm:GetDocument", "ssm:DescribeInstanceInformation", "ssm:DescribeDocumentParameters", "ssm:DescribeInstanceProperties" ], "Effect": "Allow", "Resource": "*" }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE", "arn:aws:ec2:us-east-1:111122223333:instance/i-0471e04240EXAMPLE", "arn:aws:ec2:us-east-1:111122223333:instance/i-07782c72faEXAMPLE", "arn:aws:ssm:us-east-1:111122223333:document/Systems-Manager-document-name" ] }, { "Action": [ "ssm:CancelCommand", "ssm:ListCommands", "ssm:ListCommandInvocations" ], "Effect": "Allow", "Resource": "*" }, { "Action": "ec2:DescribeInstanceStatus", "Effect": "Allow", "Resource": "*" }, { "Action": "ssm:StartAutomationExecution", "Effect": "Allow", "Resource": [ "arn:aws:ssm:us-east-1:111122223333:document/*", "arn:aws:ssm:us-east-1:111122223333:automation-execution/*" ] }, { "Action": "ssm:DescribeAutomationExecutions", "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "ssm:StopAutomationExecution", "ssm:GetAutomationExecution" ], "Effect": "Allow", "Resource": [ "*" ] } ] } ``` ------ ## 基于标签查看 Systems Manager 文档 您可以在基于身份的策略中使用条件,以便基于标签控制对 Systems Manager 资源的访问。此示例显示如何创建策略以允许查看 SSM 文档。但是,仅当文档标签 `Owner` 的值为该用户的用户名时,才能授予此权限。此策略还授予在控制台上完成此操作的必要权限。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "ListDocumentsInConsole", "Effect": "Allow", "Action": "ssm:ListDocuments", "Resource": "*" }, { "Sid": "ViewDocumentIfOwner", "Effect": "Allow", "Action": "ssm:GetDocument", "Resource": "arn:aws:ssm:*:*:document/*", "Condition": { "StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"} } } ] } ``` ------ 您可以将此策略附加到您账户中的用户。如果名为 `richard-roe` 的用户尝试查看 Systems Manager 文档,则必须将该文档标记为 `Owner=richard-roe` 或 `owner=richard-roe`。否则,他们将被拒绝访问。条件标签密钥 `Owner` 与 `Owner` 和 `owner` 匹配,因为条件密钥名称不区分大小写。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM JSON 策略元素:条件](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)。