Amazon Systems Manager 如何与 IAM 协同工作 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon Systems Manager 如何与 IAM 协同工作

在使用 Amazon Identity and Access Management (IAM) 管理对 Amazon Systems Manager 的访问权限之前,您应该了解哪些 IAM 功能可用于 Systems Manager。要大致了解 Systems Manager 和其他 Amazon 服务如何与 IAM 一起使用,请参阅 IAM 用户指南中的与 IAM 一起使用的 Amazon 服务

Systems Manager 基于身份的策略

使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Systems Manager 支持特定的操作、资源和条件密钥。要了解您在 JSON 策略中使用的所有元素,请参阅 IAM 用户指南中的 IAM JSON 策略元素参考

操作

管理员可以使用 Amazon JSON 策略来指定谁有权访问什么内容。也就是说,哪个委托人 可以对什么资源 执行操作,以及在什么 条件 下执行。

JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 Amazon API 操作同名。有一些例外情况,例如没有匹配 API 操作的仅限权限 操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行相关操作的权限。

Systems Manager 中的策略操作在操作前使用以下前缀:ssm:。例如,要授予某人使用 Systems Manager PutParameter API 操作创建 Systems Manager 参数(SSM 参数)的权限,您应将 ssm:PutParameter 操作纳入其策略中。策略语句必须包括 ActionNotAction 元素。Systems Manager 定义了自己的一组操作,这些操作描述了可使用该服务执行的任务。

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": [ "ssm:action1", "ssm:action2"
注意

Amazon AppConfig 是 Amazon Systems Manager 的一项功能,可在操作之前添加前缀 appconfig:

您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Describe 开头的所有操作,包括以下操作:

"Action": "ssm:Describe*"

要查看 Systems Manager 操作的列表,请参阅《服务授权参考》中的 Amazon Systems Manager 定义的操作

资源

管理员可以使用 Amazon JSON 策略来指定谁有权访问什么内容。也就是说,哪个委托人 可以对什么资源 执行操作,以及在什么条件 下执行。

Resource JSON 策略元素指定要向其应用操作的一个或多个对象。语句必须包含 ResourceNotResource 元素。作为最佳实践,请使用其 Amazon Resource Name (ARN) 指定资源。对于支持特定资源类型(称为资源级权限)的操作,您可以执行此操作。

对于不支持资源级权限的操作(如列出操作),请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

例如,Systems Manager 维护时段资源具有以下 ARN 格式。

arn:aws:ssm:region:account-id:maintenancewindow/window-id

要在美国东部(俄亥俄)区域的语句中指定 mw-0c50858d01EXAMPLE 维护时段,请使用与以下类似的 ARN。

"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"

要指定属于特定账户的所有维护时段,请使用通配符 (*)。

"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"

对于 Parameter Store API 操作,可以使用层次结构名称和 Amazon Identity and Access Management (IAM) 策略提供或限制对层次结构的一个级别中所有参数的访问权限,如下所示。

"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"

某些 Systems Manager 操作(例如用于创建资源的那些操作)不能在特定资源上执行。在这些情况下,您必须使用通配符 (*)。

"Resource": "*"

有些 Systems Manager API 操作接受多个资源。要在单个语句中指定多个资源,请使用逗号分隔其 ARN,如下所示。

"Resource": [ "resource1", "resource2"
注意

大多数 Amazon 服务将 ARN 中的冒号 (:) 或正斜杠 (/) 视为同一个字符。不过,Systems Manager 在资源模式和规则中要求精确匹配。创建事件模式时,请务必使用正确的 ARN 字符,以使其与资源的 ARN 匹配。

下表描述了 Systems Manager 支持的资源类型的 ARN 格式。

资源类型 ARN 格式
应用程序 (Amazon AppConfig) arn:aws:appconfig:region:account-id:application/application-id
关联 arn:aws:ssm:region:account-id:association/association-id
自动化执行 arn:aws:ssm:region:account-id:automation-execution/automation-execution-id
自动化定义 (使用版本子资源)

arn:aws:ssm:region:account-id:automation-definition/automation-definition-id:version-id

配置文件 (Amazon AppConfig) arn:aws:appconfig:region:account-id:application/application-id/configurationprofile/configurationprofile-id
联系人 (Incident Manager)

arn:aws:ssm-contacts:region:account-id:contact/contact-alias

部署策略 (Amazon AppConfig) arn:aws:appconfig:region:account-id:deploymentstrategy/deploymentstrategy-id
文档

arn:aws:ssm:region:account-id:document/document-name

环境 (Amazon AppConfig) arn:aws:appconfig:region:account-id:application/application-id/environment/environment-id
事件

arn:aws:ssm-incidents:region:account-id:incident-record/response-plan-name/incident-id

维护时段

arn:aws:ssm:region:account-id:maintenancewindow/window-id

托管式节点

arn:aws:ssm:region:account-id:managed-instance/managed-node-id

托管式节点清单 arn:aws:ssm:region:account-id:managed-instance-inventory/managed-node-id
OpsItem arn:aws:ssm:region:account-id:opsitem/OpsItem-id
参数

一级参数:

  • arn:aws:ssm:region:account-id:parameter/parameter-name/

使用分层结构命名的参数:

  • arn:aws:ssm:region:account-id:parameter/parameter-name-root/level-2/level-3/level-4/level-5

补丁基准

arn:aws:ssm:region:account-id:patchbaseline/patch-baseline-id

响应计划

arn:aws:ssm-incidents:region:account-id:response-plan/response-plan-name

Session

arn:aws:ssm:region:account-id:session/session-id

所有 Systems Manager 资源

arn:aws:ssm:*

指定 Amazon Web Services 账户在指定 Amazon Web Services 区域拥有的所有 Systems Manager 资源

arn:aws:ssm:region:account-id:*

对于自动化定义,Systems Manager 支持二级资源版本 ID。在 Amazon 中,这些二级资源称作子资源。通过指定自动化定义资源的版本子资源,您可以提供对自动化定义的特定版本的访问权限。例如,您可能需要确保在节点管理中只使用最新版本的自动化定义。

要组织和管理参数,可以使用分层结构为参数创建名称。在分层结构中,参数名称可以包含使用正斜杠定义的路径。您可以命名最多包含十五个级别的参数资源。建议创建反映环境中现有层次结构的层次结构。有关更多信息,请参阅创建 Systems Manager 参数

在大多数情况下,会话 ID 是用启动会话的账户用户的 ID 构造的,外加字母数字后缀。例如:

arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE

但是,如果用户 ID 不可用,则改为通过以下方式构造 ARN:

arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE

有关 ARN 格式的更多信息,请参阅《Amazon Web Services 一般参考》中的 Amazon Resource Name (ARN) 和 Amazon 服务命名空间

有关 Systems Manager 资源类型及其 ARN 的列表,请参阅《服务授权参考》中的 Amazon Systems Manager 定义的资源要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 Amazon Systems Manager 定义的操作

条件键

管理员可以使用 Amazon JSON 策略来指定谁有权访问什么内容。也就是说,哪个委托人 可以对什么资源 执行操作,以及在什么条件 下执行。

Condition 元素(或 Condition )中,可以指定语句生效的条件。Condition 元素是可选的。您可以创建使用条件运算符(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。

如果您在一个语句中指定多个 Condition 元素,或在单个 Condition 元素中指定多个键,则 Amazon 使用逻辑 AND 运算评估它们。如果您为单个条件键指定多个值,则 Amazon 使用逻辑 OR 运算来评估条件。在授予语句的权限之前必须满足所有的条件。

在指定条件时,您也可以使用占位符变量。例如,只有在使用 IAM 用户名标记 IAM 用户时,您才能为其授予访问资源的权限。有关更多信息,请参阅 IAM 用户指南 中的 IAM 策略元素:变量和标签

Amazon支持全局条件键和特定于服务的条件键。要查看所有 Amazon 全局条件键,请参阅《IAM 用户指南中的 Amazon 全局条件上下文键

有关 Systems Manager 条件密钥的列表,请参阅《服务授权参考》中的 Amazon Systems Manager 的条件密钥要了解您可以对哪些操作和资源使用条件键,请参阅 Amazon Systems Manager 定义的操作

有关使用 ssm:resourceTag/* 条件键的信息,请参阅以下主题:

有关使用 ssm:Recursive ssm:Overwrite 条件键的信息,请参阅 使用参数层次结构

示例

要查看 Systems Manager 基于身份的策略的示例,请参阅Amazon Systems Manager 基于身份的策略示例

Systems Manager 基于资源的策略

其他 Amazon 服务(如 Amazon Simple Storage Service (Amazon S3))支持基于资源的权限策略。例如,您可以将权限策略挂载到 S3 存储桶以管理对该存储桶的访问权限。

Systems Manager 不支持基于资源的策略。

基于 Systems Manager 标签的授权

您可以将标签附加到 Systems Manager 资源或将请求中的标签传递到 Systems Manager。要基于标签控制访问,您需要使用 ssm:resourceTag/key-nameaws:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys 条件密钥在策略的条件元素中提供标签信息。在创建或更新下列资源类型时,您可以向其中添加标签:

  • 文档

  • 托管式节点

  • 维护时段

  • 参数

  • 补丁基准

  • OpsItem

有关标记 Systems Manager 资源的信息,请参阅标记 Systems Manager 资源

要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅基于标签查看 Systems Manager 文档

Systems Manager IAM 角色

IAM 角色是 Amazon Web Services 账户中具有特定权限的实体。

将临时凭证用于 Systems Manager

您可以使用临时凭证进行联合身份登录,担任 IAM 角色或担任跨账户角色。您可以调用 Amazon Security Token Service (Amazon STS) API 操作(如 AssumeRoleGetFederationToken)以获得临时安全凭证。

Systems Manager 支持使用临时凭证。

服务相关角色

服务相关角色允许 Amazon 服务访问其它服务中的资源以代表您完成操作。服务相关角色列在您的 IAM 账户中,并归相应的服务所有。IAM 管理员可以查看但不能编辑服务相关角色的权限。

Systems Manager 支持服务相关角色。有关创建或管理 Systems Manager 服务相关角色的详细信息,请参阅将服务相关角色用于 Systems Manager

服务角色

此功能允许服务代表您担任服务角色。此角色允许服务访问其它服务中的资源以代表您完成操作。服务角色显示在您的 IAM 账户中,并归相应的账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。

Systems Manager 支持服务角色。

在 Systems Manager 中选择 IAM 角色

要让 Systems Manager 与您的托管式节点交互,您必须选择一个角色以允许 Systems Manager 代表您访问节点。如果您之前已经创建了一个服务角色或服务相关角色,则 Systems Manager 会为您提供一个角色列表供您选择。选择一个允许访问以启动和停止托管式节点的角色很重要。

要访问 EC2 实例,您的 Amazon Web Services 账户的角色需要 IAM 实例配置文件。有关信息,请参阅为 Systems Manager 创建 IAM 实例配置文件

要访问本地节点或虚拟机 (VM),您的 Amazon Web Services 账户 需要适用于混合环境的 IAM 服务角色。如需更多信息,请参阅为混合环境创建 IAM 服务角色

自动化工作流可以在服务角色(或代入角色)的上下文下启动。这样服务就能够代表您执行操作。如果未指定代入角色,则自动化将使用已调用执行的用户的上下文。不过,在特定情况下需要您为自动化指定服务角色。有关更多信息,请参阅为自动化配置服务角色(担任角色)访问权限

Amazon适用于 的托管策略Amazon Systems Manager

Amazon通过提供由创建和管理的独立 IAM 策略来满足许多常用案例的要求。Amazon这些 Amazon 托管策略 授予常见使用情形的必要权限,这样您不必调查需要哪些权限。(此外,您还可以创建您自己的自定义 IAM 策略,以授予 Systems Manager 操作和资源的相关权限。) 有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

以下 Amazon 托管策略(可附加到您账户中的用户)特定于 Systems Manager:

  • AmazonSSMFullAccess – 授予 Systems Manager API 和文档完全访问权限的用户信任策略。

  • AmazonSSMReadOnlyAccess – 授予 Systems Manager 只读 API 操作(例如 Get*List*)访问权限的用户信任策略。

  • AmazonSSMAutomationApproverAccess – 允许访问以查看自动化执行并将批准决策发送到等待批准的自动化的用户信任策略。

  • AmazonSSMAutomationRole – 为 Systems Manager 自动化服务提供权限,以运行在自动化运行手册中定义的活动的服务角色策略。将此策略分配给管理员和可信高级用户。

  • AmazonSSMDirectoryServiceAccess – 允许 SSM Agent 代表用户访问 Amazon Directory Service 以处理托管式节点加入域的请求的实例信任策略。

  • AmazonSSMMaintenanceWindowRole – 用于 Systems Manager Maintenance Windows 的服务角色策略。

  • AmazonSSMManagedInstanceCore – 允许节点使用 Systems Manager 服务核心功能的实例信任策略。

  • AmazonSSMServiceRolePolicy – 提供对 Amazon 管理或使用的 Systems Manager 资源的访问权限的服务角色策略。

  • AWSResourceAccessManagerServiceRolePolicy – 包含账户的 Amazon Organizations 结构的只读 Amazon Resource Access Manager 访问权限的服务角色策略。它还包含自行删除角色的 IAM 权限。

  • AWSSystemsManagerChangeManagementServicePolicy – 提供对由 Systems Manager 更改管理框架管理或使用的以及由服务相关角色 AWSServiceRoleForSystemsManagerChangeManagement 使用的 Amazon 资源的访问权限的服务策略。

  • AWSSystemsManagerOpsDataSyncServiceRolePolicy – 此服务策略允许 AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色创建和更新来自 Amazon Security Hub 调查结果的 OpsItems 及 OpsData。

  • AmazonEC2RoleforSSM – 此策略将被弃用。在相应的位置,使用 AmazonSSMManagedInstanceCore 策略在 EC2 实例上允许 Systems Manager 服务的核心功能。有关信息,请参阅为 Systems Manager 创建 IAM 实例配置文件

注意

在混合环境中,您需要一个额外的 IAM 角色,以允许服务器和虚拟机与 Systems Manager 服务进行通信。这就是 Systems Manager 的 IAM 服务角色。此角色向 Amazon Security Token Service (Amazon STS) AssumeRole 授予对 Systems Manager 服务的信任。AssumeRole 操作返回一组临时安全凭证 (由访问密钥 ID、秘密访问密钥和安全令牌组成)。您使用这些临时凭证访问通常可能无法访问的 Amazon 资源。如需更多信息,请参阅 Amazon Security Token Service API 参考中的为混合环境创建 IAM 服务角色AssumeRole