使用 IAM 处理关联 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 IAM 处理关联

State Manager,功能为Amazon Systems Manager, 使用targets以选择您使用哪些实例配置关联。最初,关联是通过指定文档名称(Name)和实例 ID(InstanceId)。这会在文档和实例或托管实例之间创建关联。通过这些参数标识的关联。这些参数现在已弃用,但仍受支持。资源instancemanaged-instance作为资源添加到NameInstanceId.

Amazon Identity and Access Management(IAM) 策略实施行为取决于指定的资源类型。的资源State Manager操作仅根据传入的请求强制执行。State Manager不会对帐户中的资源属性进行深入检查。只有当请求参数包含指定的策略资源时,才会根据策略资源验证请求。例如,如果您在资源块中指定了一个实例,则如果请求使用InstanceId参数。这些区域有:Targets参数不会检查帐户中每个资源的InstanceId.

以下是一些令人困惑的行为的情况:

  • DescribeAssociationDeleteAssociation, 和UpdateAssociationuseinstancemanaged-instance, 和document资源来指定不建议使用的引用关联的方式。这包括所有使用过时的InstanceId参数。

  • CreateAssociationCreateAssociationBatch, 和UpdateAssociationuseinstancemanaged-instance资源来指定不建议使用的引用关联的方式。这包括所有使用过时的InstanceId参数。这些区域有:document资源类型是引用关联的过时方式的一部分,并且是关联的实际属性。这意味着您可以根据文档名称为 “创建” 和 “更新” 操作构建具有 “允许” 或 “拒绝” 权限的 IAM 策略。

有关将 IAM 策略与 Systems Manager 搭配使用的更多信息,请参阅。适用于 Amazon Systems Manager 的 Identity and Access Management或者的操作、资源和条件键Amazon Systems Manager中的服务授权参考.