可以标记的 Systems Manager 资源
您可以将标签应用于以下 Amazon Systems Manager 资源:
-
Associations
-
自动化
-
文档
-
维护时段
-
托管式节点
-
OpsItems
-
OpsMetadata
-
参数
-
补丁基准
除 OpsItems 和 OpsMetadata 以外,上述每种类型均可添加到资源组中。
根据资源类型,您可以使用标签来标识应包括在操作中的资源。例如,您可以标记一组托管式节点,然后运行维护时段任务,此任务仅针对具有该键值对的节点。
您还可以通过创建用于指定用户可访问的标签的 Amazon Identity and Access Management(IAM)policy,并将该策略附加到 IAM 实体(用户、角色或组),以限制用户对这些资源类型的访问。以下是使用标签限制资源访问的几个示例。
-
您可以将标签应用于一组自定义 Systems Manager 文档(SSM 文档),然后创建并应用 IAM policy,该策略授予访问带有该标签的文档的权限,而不授予对其他文档的访问权限(或者仅禁止访问那些文档)。
-
您可以为 OpsItems 分配标签,然后创建 IAM policy,此策略限制哪些用户或组有权查看或更新这些资源。例如,可以向组织主管授予对所有 OpsItems 的完全访问权限,但只能向软件开发人员和支持工程师授予访问他们所负责的项目或客户群的权限。
-
您可以将通用标签应用于所有六种受支持类型的资源,并创建仅授予对这些资源的访问权限的 IAM policy,例如,
Key=Project,Value=ProjectA
或Key=Environment,Value=Development
。您甚至可以仅授予对同时分配了这两个标签对的资源的访问权限。例如,这允许用户仅使用开发环境中 ProjectA 的资源。
您可以使用 Systems Manager Resource Groups 控制台,此控制台是受支持资源类型的控制台(例如,Maintenance Windows 控制台或 OpsCenter 控制台),Amazon Command Line Interface (Amazon CLI)以及 Amazon Tools for PowerShell。您可以在创建或更新资源时添加标签。例如,您可以在创建任何受支持的 Systems Manager 资源类型后使用 Amazon CLI add-tags-to-resource 命令向这些资源类型添加标签。您可以使用 remove-tags-from-resource 命令删除它们。