Uso de asociaciones mediante IAM - AWS Systems Manager

Uso de asociaciones mediante IAM

State Manager, una capacidad de AWS Systems Manager, utiliza destinos para elegir con qué instancias configura sus asociaciones. Originalmente, las asociaciones se crearon especificando un nombre de documento (Name) y un ID de instancia (InstanceId). Esto creó una asociación entre un documento y una instancia o nodo administrados. Las asociaciones solían ser identificadas por estos parámetros. Estos parámetros ahora están obsoletos, pero siguen siendo compatibles. Los recursos instance y managed-instance se agregaron como recursos a acciones con Name y InstanceId.

El comportamiento de aplicación de políticas de AWS Identity and Access Management (IAM) depende del tipo de recurso especificado. Los recursos para operaciones de State Manager solo se aplican en función de la solicitud aprobada. State Manager no realiza una verificación profunda de las propiedades de los recursos de su cuenta. Una solicitud solo se valida con recursos de política si el parámetro de solicitud presenta los recursos de política especificados. Por ejemplo, si especifica una instancia en el bloque de recursos, la política se aplica si la solicitud utiliza el parámetro InstanceId. El parámetro Targets para cada recurso de la cuenta no está verificado para ese InstanceId.

Los siguientes son algunos casos con comportamiento confuso:

  • DescribeAssociation, DeleteAssociation y UpdateAssociation utilizan recursos instance, managed-instance y document para especificar la forma obsoleta de referirse a asociaciones. Esto incluye todas las asociaciones creadas con el parámetro obsoleto InstanceId.

  • CreateAssociation, CreateAssociationBatch y UpdateAssociation utilizan recursos instance y managed-instance para especificar la forma obsoleta de referirse a asociaciones. Esto incluye todas las asociaciones creadas con el parámetro obsoleto InstanceId. El tipo de recurso document es parte de la forma obsoleta de referirse a asociaciones y es una propiedad real de una asociación. Esto significa que puede crear políticas de IAM con los permisos Allow o Deny para las acciones Create y Update según el nombre del documento.

Para obtener más información acerca del uso de políticas de IAM con Systems Manager, consulte Administración de identidades y accesos en AWS Systems Manager o Acciones, recursos y claves de condiciones de AWS Systems Manager en la Referencia de autorizaciones de servicio.