Amazon Web Services Systems Manager 如何与 IAM 协同工作 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Web Services Systems Manager 如何与 IAM 协同工作

在您使用 AWS Identity and Access Management (IAM) 来管理对Amazon Web Services Systems Manager,您应该了解哪些 IAM 功能可用于 Systems Manager。要获取 Systems Manager 和其他Amazon服务与 IAM 配合使用,请参阅Amazon使用 IAM 的服务中的IAM 用户指南

Systems Manager 基于身份的策略

通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Systems Manager 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅IAM JSON 策略元素参考中的IAM 用户指南

Actions

管理员可以使用AmazonJSON 策略用于指定谁可以访问哪些内容。也就是说,这委托人可以执行操作什么是resources,并根据什么条件

JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 Amazon API 操作同名。有一些例外情况,例如没有匹配 API 操作的仅限权限 操作。还有一些操作要求在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行相关操作的权限。

Systems Manager 中的策略操作在操作前使用以下前缀:::ssm:。 例如,要授予某人使用 Systems Manager 创建 Systems Manager 参数(SSM 参数)的权限。PutParameterAPI 操作时,您可以包含ssm:PutParameter行动在他们的政策。策略语句必须包含 ActionNotAction 元素。Systems Manager 定义了一组自己的操作,以描述您可以使用该服务执行的任务。

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": [ "ssm:action1", "ssm:action2"

您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Describe 开头的所有操作,请包括以下操作:

"Action": "ssm:Describe*"

要查看 Systems Manager 操作的列表,请参阅定义的操作Amazon Web Services Systems Manager中的服务授权参考

Resources

管理员可以使用AmazonJSON 策略用于指定谁可以访问哪些内容。也就是说,这委托人可以执行操作什么是resources,并根据什么条件

Resource JSON 策略元素指定要向其应用操作的一个或多个对象。语句必须包含 ResourceNotResource 元素。作为最佳实践,请使用其 Amazon 资源名称 (ARN)指定资源。对于支持特定资源类型(称为资源级权限)的操作,您可以执行此操作。

对于不支持资源级权限的操作(如列出操作),请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

例如,Systems Manager 维护窗口资源具有以下 ARN 格式。

arn:aws:ssm:region:account-id:maintenancewindow/window-id

要在语句中指定 MW-0C50858D01 示例维护时段,请使用类似于以下内容的 ARN。

"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"

要指定属于特定账户的所有维护时段,请使用通配符 (*)。

"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/*"

适用于Parameter StoreAPI 操作,您可以使用层次结构名称以及 AWS 标识和访问管理 (IAM) 策略提供或限制对层次结构的一个级别中所有参数的访问权限,如下所示:

"Resource": "arn:aws:ssm:us-west-2:123456789012:parameter/Dev/ERP/Oracle/*"

无法对特定资源执行某些 Systems Manager 操作,例如,用于创建资源的操作。在这些情况下,您必须使用通配符 (*)。

"Resource": "*"

有些 Systems Manager API 操作接受多个资源。要在单个语句中指定多个资源,请使用逗号分隔其 ARN,如下所示。

"Resource": [ "resource1", "resource2"
注意

大多数 Amazon 服务将 ARN 中的冒号 (:) 或正斜杠 (/) 视为同一个字符。不过,Systems Manager 要求在资源模式和规则中精确匹配。创建事件模式时,请务必使用正确的 ARN 字符,以使其与资源的 ARN 匹配。

下表描述了 Systems Manager 支持的资源类型的 ARN 格式。

资源类型 ARN 格式
关联 arn:aws:ssm:region:account-id:association/association-id
自动化执行 arn:aws:ssm:region:account-id:automation-execution/automation-execution-id
自动化定义 (使用版本子资源)

arn:aws:ssm:region:account-id:automation-definition/automation-definition-id:version-id

文档

arn:aws:ssm:region:account-id:document/document-name

维护时段

arn:aws:ssm:region:account-id:maintenancewindow/window-id

托管实例

arn:aws:ssm:region:account-id:managed-instance/managed-instance-id

托管实例清单 arn:aws:ssm:region:account-id:managed-instance-inventory/managed-instance-id
参数

一级参数:

  • arn:aws:ssm:region:account-id:parameter/parameter-name/

使用分层结构命名的参数:

  • arn:aws:ssm:region:account-id:parameter/parameter-name-root/level-2/level-3/level-4/level-5

补丁基准

arn:aws:ssm:region:account-id:patchbaseline/patch-baseline-id

Session

arn:aws:ssm:region:account-id:session/session-id

所有 Systems Manager 资源

arn:aws:ssm:*

指定的所有 Systems Manager 资源Amazon Web Services 账户中的Amazon Web Services 区域

arn:aws:ssm:region:account-id:*

对于自动化定义,Systems Manager 支持二级资源版本 ID。在 Amazon 中,这些二级资源称作子资源。如果指定自动化定义资源的版本子资源,您就可以访问自动化定义的特定版本。例如,您可能需要确保在实例管理中只使用最新版本的自动化定义。

要组织和管理参数,可以使用分层结构为参数创建名称。在分层结构中,参数名称可以包含使用正斜杠定义的路径。您可以命名最多包含十五个级别的参数资源。建议创建反映环境中现有层次结构的层次结构。有关更多信息,请参阅 创建 Systems Manager 参数

在大多数情况下,会话 ID 是用启动会话的账户用户的 ID 构造的,外加字母数字后缀。例如:

arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE

但是,如果用户 ID 不可用,则改为通过以下方式构造 ARN:

arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE

有关 ARN 格式的更多信息,请参阅Amazon 资源名称 (ARN) 和Amazon服务命名空间中的Amazon Web Services 一般参考

有关 Systems Manager 资源类型及其 ARN 的列表,请参阅定义的资源Amazon Web Services Systems Manager中的服务授权参考。要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 Amazon Web Services Systems Manager 定义的操作

条件键

管理员可以使用AmazonJSON 策略用于指定谁可以访问哪些内容。也就是说,这委托人可以执行操作什么是resources,并根据什么条件

Condition 元素(或 Condition )中,可以指定语句生效的条件。Condition 元素是可选的。您可以创建使用条件运算符(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。

如果您在一个语句中指定多个 Condition 元素,或在单个 Condition 元素中指定多个键,则 Amazon 使用逻辑 AND 运算评估它们。如果您为单个条件键指定多个值,则 Amazon 使用逻辑 OR 运算来评估条件。在授予语句的权限之前必须满足所有的条件。

在指定条件时,您也可以使用占位符变量。例如,只有在使用 IAM 用户名标记 IAM 用户时,您才能为其授予访问资源的权限。有关更多信息,请参阅 。IAM 策略元素:变量和标签中的IAM 用户指南

Amazon支持全局条件键和特定于服务的条件键。查看所有Amazon全局条件键,请参阅Amazon全局条件上下文键中的IAM 用户指南

Systems Manager 定义了自己的一组条件键,还支持使用一些全局条件键。查看所有Amazon全局条件键,请参阅Amazon全局条件上下文键中的IAM 用户指南

若要查看 Systems Manager 条件键的列表,请参阅的条件键Amazon Web Services Systems Manager中的服务授权参考。要了解您可以对哪些操作和资源使用条件键,请参阅 Amazon Web Services Systems Manager 定义的操作

有关使用 ssm:resourceTag/* 条件键的信息,请参阅以下主题:

有关使用 ssm:Recursive ssm:Overwrite 条件键的信息,请参阅 处理参数层次结构

Examples

要查看基于身份的 Systems Manager agement 基于身份的策略示例,请参阅Amazon Web Services Systems Manager 基于身份的策略示例

Systems Manager 基于资源的策略

其他Amazon服务 (Amazon S3) 支持基于资源的权限策略,例如 Amazon 简单存储服务 (Amazon S3)。例如,您可以将权限策略挂载到 S3 存储桶以管理对该存储桶的访问权限。

Systems Manager 不支持基于资源的策略。

基于 Systems Manager 标签的授权

您可以将标签附加到 Systems Manager 资源,也可以将请求中的标签传递给 Systems Manager。要基于标签控制访问,您需要在条件元素的策略ssm:resourceTag/key-nameaws:ResourceTag/key-nameaws:RequestTag/key-name,或者aws:TagKeys条件键。在创建或更新下列资源类型时,您可以向其中添加标签:

  • 文档

  • 托管实例

  • 维护时段

  • 参数

  • 补丁基准

  • OpsItem

有关标记 Systems Manager 资源的信息,请参阅标记 Systems Manager 资源

要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅基于标签查看 Systems Manager 文档

Systems Manager IAM 角色

一个IAM 角色是您的Amazon Web Services 账户具有特定权限的。

将临时凭证用于 Systems Manager

您可以使用临时凭证进行联合身份登录,担任 IAM 角色或担任跨账户角色。您可以通过调用临时安全凭证来获得Amazon Security Token Service(AmazonSTS)API 操作,如AssumeRole或者GetFederationToken

Systems Manager 支持使用临时凭证。

服务相关角色

服务相关角色允许 Amazon 服务访问其他服务中的资源以代表您完成操作。服务相关角色显示在您的 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务相关角色的权限。

Systems Manager 支持服务相关角色。有关创建或管理 Systems Manager 服务相关角色的详细信息,请参阅。将服务相关角色用于 Systems Manager

服务角色

此功能允许服务代表您代入服务角色。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。

Systems Manager 支持服务角色。

在 Systems Manager 中选择 IAM 角色

要让 Systems Manager 与您的托管实例交互,您必须选择一个角色以允许 Systems Manager 代表您访问实例。如果您之前已经创建了一个服务角色或服务相关角色,Systems Manager 会为您提供一个角色列表供您选择。选择一个允许访问以启动和停止托管实例的角色很重要。

要访问 EC2 实例,您的角色Amazon Web Services 账户需要的是 IAM 实例配置文件。想要了解有关信息,请参阅为 Systems Manager 创建 IAM 实例配置文件

要访问本地实例或虚拟机 (VM),您的Amazon Web Services 账户需求是混合环境的 IAM 服务角色。想要了解有关信息,请参阅为混合环境创建 IAM 服务角色

Automation 工作流可以在服务角色(或代入角色)的上下文下启动。这样可允许服务代表您执行操作。如果未指定代入角色,则 Automation 将使用调用了执行的用户的上下文。不过,在特定情况下需要您为 Automation 指定服务角色。有关更多信息,请参阅 为 Automation 配置服务角色(代入角色)访问权限

适用于 Amazon Web Services Systems Manager 的 Amazon 托管策略

Amazon通过提供独立 IAM 策略来满足许多常用案例的要求,这些策略由Amazon。这些 Amazon 托管策略 授予常见使用情形的必要权限,这样您不必调查需要哪些权限。此外,您还可以创建您自己的自定义 IAM 策略,以授予 Systems Manager 操作和资源的相关权限。) 有关更多信息,请参阅 。Amazon管理的策略中的IAM 用户指南

以下Amazon托管策略(您可以将它们附加到自己账户中的用户)是特定于 Systems Manager 的:

  • AmazonSSMFullAccess— 授予 Systems Manager API 和文档完全访问权限的用户信任策略。

  • AmazonSSMReadOnlyAccess— 授予 Systems Manager 只读 API 操作(例如)访问权限的用户信任策略Get*List*

  • AmazonSSMAutomationApproverAccess— 允许访问以查看自动化执行并将审批决策发送到等待审批的自动化的用户信任策略。

  • AmazonSSMAutomationRole— 服务角色策略,该策略为 Systems Manager Automation 服务提供权限以运行在 Automation Runbook 中定义的活动。将此策略分配给管理员和可信高级用户。

  • AmazonSSMDirectoryServiceAccess— 允许 SSM 代理访问的实例信任策略Amazon Directory Service代表用户以处理托管实例加入域的请求。

    AmazonSSMMaintenanceWindowRole— Systems Manager 维护窗口的服务角色策略。

  • AmazonSSMManagedInstanceCore— 允许实例使实例使用 Systems Manager 服务核心功能的实例信任策略。

  • AmazonSSMServiceRolePolicy— 提供访问权限的服务角色策略Amazon由 Systems Manager 管理或使用的资源。

  • AWS 资源访问管理器服务策略— 包含只读的服务角色策略Amazon Resource Access Manager访问帐户的Amazon Organizations结构。它还包含用于自行删除角色的 IAM 权限。

  • AWSS 系统管理器更改管理服务策略— 提供访问权限的服务策略Amazon由 Systems Manager 变更管理框架管理或使用并由与服务相关的角色使用的资源AWSServiceRoleForSystemsManagerChangeManagement

  • 适用于系统管理器的 AWS 服务系统操作数据同步策略— 服务策略,允许AWSServiceRoleForSystemsManagerOpsDataSync服务链接角色来创建和更新 OpsItems 和 OpsDataAmazon Security Hub发现结果。

  • 卓越亚马逊 2 劳动力管理— 此策略很快将被弃用。在它的位置,使用AmazonSSMManagedInstanceCore策略以在 EC2 实例上启用 Systems Manager 服务核心功能。想要了解有关信息,请参阅为 Systems Manager 创建 IAM 实例配置文件

注意

在混合环境中,您需要一个额外的 IAM 角色,以允许服务器和虚拟机与 Systems Manager 服务进行通信。这是 Systems Manager 的 IAM 服务角色。授予此角色Amazon Security Token Service(Amazon STS)AssumeRole信任到 Systems Manager 服务。AssumeRole 操作返回一组临时安全凭证 (由访问密钥 ID、秘密访问密钥和安全令牌组成)。您使用这些临时凭证访问通常可能无法访问的 Amazon 资源。有关更多信息,请参阅 。为混合环境创建 IAM 服务角色AssumeRoleAmazon Security Token ServiceAPI 参考