使用 IAM 使用关联 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 IAM 使用关联

目前,状态管理器(AWS Systems Manager 的一项功能)使用targets以选择您使用哪些实例配置关联。最初,关联是通过指定文档名称(Name)和实例 ID(InstanceId)。这会在文档和实例或托管实例之间创建关联。通过这些参数标识的关联。这些参数现在已弃用,但仍受支持。资源instancemanaged-instance作为资源添加到NameInstanceId

AWS Identity and Access Management (IAM) 策略实施行为取决于指定的资源类型。仅根据传入的请求强制执行状态管理器操作的资源。状态管理器不会对您帐户中的资源属性执行深入检查。只有当请求参数包含指定的策略资源时,才会根据策略资源验证请求。例如,如果您在资源块中指定了一个实例,则如果请求使用InstanceId参数。这些区域有:Targets参数不会检查帐户中每个资源的InstanceId

以下是一些令人困惑的行为的情况:

  • DescribeAssociationDeleteAssociation, 和UpdateAssociationuseinstancemanaged-instance, 和document资源来指定不建议使用的引用关联的方式。这包括所有使用过时的InstanceId参数。

  • CreateAssociationCreateAssociationBatch, 和UpdateAssociationuseinstancemanaged-instance资源来指定不建议使用的引用关联的方式。这包括所有使用过时的InstanceId参数。这些区域有:document资源类型是引用关联的过时方式的一部分,是关联的实际属性。这意味着您可以根据文档名称为 “创建” 和 “更新” 操作构建具有 “允许” 或 “拒绝” 权限的 IAM 策略。

有关将 IAM 策略与 Systems Manager 搭配使用的更多信息,请参阅AWS Systems Manager 的 Identity and Access Manager 管理或者AWS Systems Manager 的操作、资源和条件键中的服务授权参考