Uso de asociaciones mediante IAM
State Manager, una capacidad de AWS Systems Manager, utiliza destinos para elegir con qué instancias configura sus asociaciones. Originalmente, las asociaciones se crearon especificando un nombre de documento (Name
) y un ID de instancia (InstanceId
). Esto creó una asociación entre un documento y una instancia o nodo administrados. Las asociaciones solían ser identificadas por estos parámetros. Estos parámetros ahora están obsoletos, pero siguen siendo compatibles. Los recursos instance
y managed-instance
se agregaron como recursos a acciones con Name
y InstanceId
.
El comportamiento de aplicación de políticas de AWS Identity and Access Management (IAM) depende del tipo de recurso especificado. Los recursos para operaciones de State Manager solo se aplican en función de la solicitud aprobada. State Manager no realiza una verificación profunda de las propiedades de los recursos de su cuenta. Una solicitud solo se valida con recursos de política si el parámetro de solicitud presenta los recursos de política especificados. Por ejemplo, si especifica una instancia en el bloque de recursos, la política se aplica si la solicitud utiliza el parámetro InstanceId
. El parámetro Targets
para cada recurso de la cuenta no está verificado para ese InstanceId
.
Los siguientes son algunos casos con comportamiento confuso:
-
DescribeAssociation, DeleteAssociation y UpdateAssociation utilizan recursos
instance
,managed-instance
ydocument
para especificar la forma obsoleta de referirse a asociaciones. Esto incluye todas las asociaciones creadas con el parámetro obsoletoInstanceId
. -
CreateAssociation, CreateAssociationBatch y UpdateAssociation utilizan recursos
instance
ymanaged-instance
para especificar la forma obsoleta de referirse a asociaciones. Esto incluye todas las asociaciones creadas con el parámetro obsoletoInstanceId
. El tipo de recursodocument
es parte de la forma obsoleta de referirse a asociaciones y es una propiedad real de una asociación. Esto significa que puede crear políticas de IAM con los permisosAllow
oDeny
para las accionesCreate
yUpdate
según el nombre del documento.
Para obtener más información acerca del uso de políticas de IAM con Systems Manager, consulte Administración de identidades y accesos en AWS Systems Manager o Acciones, recursos y claves de condiciones de AWS Systems Manager en la Referencia de autorizaciones de servicio.