可标记的 Systems Manager 资源 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

可标记的 Systems Manager 资源

您可以将标签应用于以下 Systems Manager 资源类型。

  • 文档

  • 维护时段

  • 托管实例

  • OpsItems

  • Parameters

  • 补丁基准

除 OpsItems 以外的每种类型都可以添加到资源组。

根据资源类型,您可以使用标签来标识应包括在操作中的资源。例如,您可以标记一组托管实例,然后运行维护时段任务,此任务仅针对具有该键值对的实例。

还可以通过创建用于指定用户可访问的标签的 IAM 策略并将此策略附加到用户账户或组,以限制用户对这些资源类型的访问。以下是使用标签限制资源访问的几个示例。

  • 您可以将标签应用于一组自定义 Systems Manager 文档,然后创建一个用户策略,该策略授予访问带有该标签的文档的权限,而不授予对其他文档的访问权限(或者仅禁止访问那些文档)。

  • 您可以为 OpsItems 分配标签,然后创建 IAM 策略,此策略限制哪些用户或组有权查看或更新这些资源。例如,可以向组织主管授予对所有 OpsItems 的完全访问权限,但只能向软件开发人员和支持工程师授予对他们负责的项目或客户群的访问权限。

  • 您可以将通用标签应用于所有六种受支持类型的资源,并创建仅授予对这些资源(如 Key=Project,Value=ProjectAKey=Environment,Value=Development)的访问权限的 IAM 策略。 您甚至可以仅授予对同时分配了两个标签对的资源的访问权限。例如,这允许您限制用户在开发环境中仅使用 ProjectA 的资源。

您可以使用 Systems Manager 资源组 控制台、受支持资源类型的控制台(例如,维护时段 控制台或 OpsCenter控制台)、AWS CLI 和 适用于 PowerShell 的 AWS 工具。您可以在创建或更新资源时添加标签。例如,您可以在创建任何支持的 Systems Manager 资源类型后使用 AWS CLI add-tags-to-resource 命令向这些资源类型添加标签。您可以使用 remove-tags-from-resource 命令删除它们。