使用 IAM 处理关联 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 IAM 处理关联

State Manager (Amazon Systems Manager 的一种关联)使用 targets 以选择您使用哪些实例配置关联。最初,关联是通过指定文档名称(Name)和实例 ID(InstanceId)创建的。这会在文档和实例或实例或托管实例之间创建关联。通过这些参数标识的关联。这些参数现在已弃用,但仍受支持。资源 instancemanaged-instance 作为资源添加到具有 NameInstanceId 的操作中。

Amazon Identity and Access Management (IAM) 策略实施行为取决于指定的资源类型。State Manager 操作的资源仅根据传入的请求强制执行。State Manager 不会对账户中的资源属性进行深入检查。只有当请求参数包含指定的策略资源时,才会根据策略资源验证请求。例如,如果您在资源块中指定了一个实例,则如果请求使用 InstanceId 参数,策略会强制执行。不会为InstanceId 检查账户中每项资源的 Targets 参数。

以下是一些具有混淆的行为的情况:

  • DescribeAssociationDeleteAssociationUpdateAssociation 使用 instancemanaged-instancedocument 资源来指定已弃用的引用关联的方式。这包括所有使用已弃用使用的 InstanceId 参数创建的关联。

  • CreateAssociationCreateAssociationBatchUpdateAssociation 使用 instancemanaged-instance 资源来指定已弃用的引用关联的方式。这包括所有使用已弃用的 InstanceId 参数创建的关联。document 资源类型是已弃用的引用关联方式的一部分,并且是关联的实际属性。这意味着您可以根据文档名称为 “创建” 和 “更新” 操作构建具有 “允许” 或 “拒绝” 权限的 IAM 策略。

有关将 IAM 策略与 Systems Manager 配合使用的更多信息,请参阅 服务授权参考中的 适用于 Amazon Systems Manager 的 Identity and Access Management 或者操作、资源和条件键 Amazon Systems Manager