Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Systems Manager
AWS Systems Manager (préfixe de service :ssm) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans IAM les politiques d'autorisation.
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par AWS Systems Manager
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AddTagsToResource | Accorde l'autorisation d'ajouter ou de remplacer une ou plusieurs balises pour une ressource spécifiée AWS | Identification | |||
| AssociateOpsItemRelatedItem | Accorde l'autorisation de s'associer RelatedItem à un OpsItem | Écrire | |||
| CancelCommand | Accorde l'autorisation d'annuler une commande Exécuter la commande spécifiée | Écriture | |||
| CancelMaintenanceWindowExecution | Accorde l'autorisation d'annuler une exécution de fenêtre de maintenance en cours | Écrire | |||
| CreateActivation | Accorde l'autorisation de créer une activation utilisée pour enregistrer des serveurs locaux et des machines virtuelles (VMs) auprès de Systems Manager | Écrire | |||
| CreateAssociation | Accorde l'autorisation d'associer un document Systems Manager spécifié à des instances ou à d'autres cibles spécifiées | Écrire | |||
| CreateAssociationBatch | Permet de combiner des entrées pour plusieurs CreateAssociation opérations dans une seule commande | Écrire | |||
| CreateDocument | Accorde l'autorisation de créer un SSM document Systems Manager | Écrire |
iam:PassRole |
||
| CreateMaintenanceWindow | Accorde l'autorisation de créer une fenêtre de maintenance | Écrire | |||
| CreateOpsItem | Accorde l'autorisation de créer un OpsItem in OpsCenter | Écrire | |||
| CreateOpsMetadata | Accorde l'autorisation de créer un OpsMetadata objet pour une AWS ressource | Écrire | |||
| CreatePatchBaseline | Accorde l'autorisation de créer un référentiel de correctifs | Écriture | |||
| CreateResourceDataSync | Accorde l'autorisation de créer une configuration de synchronisation des données de ressource, qui collecte régulièrement les données d'inventaire à partir d'instances gérées et met à jour les données dans un compartiment Amazon S3 | Écriture | |||
| DeleteActivation | Accorde l'autorisation de supprimer une activation spécifiée pour les instances gérées | Écrire | |||
| DeleteAssociation | Accorde l'autorisation de dissocier un SSM document spécifié d'une instance spécifiée | Écrire | |||
| DeleteDocument | Accorde l'autorisation de supprimer un SSM document spécifié et ses associations d'instances | Écrire | |||
| DeleteInventory | Accorde l'autorisation de supprimer un type d'inventaire personnalisé spécifié ou les données associées à un type d'inventaire personnalisé | Écriture | |||
| DeleteMaintenanceWindow | Accorde l'autorisation de supprimer une fenêtre de maintenance spécifiée | Écrire | |||
| DeleteOpsItem | Accorde l'autorisation de supprimer un OpsItem | Écrire | |||
| DeleteOpsMetadata | Accorde l'autorisation de supprimer un OpsMetadata objet | Écrire | |||
| DeleteParameter | Accorde l'autorisation de supprimer un SSM paramètre spécifié | Écrire | |||
| DeleteParameters | Autorise la suppression de plusieurs SSM paramètres spécifiés | Écrire | |||
| DeletePatchBaseline | Accorde l'autorisation de supprimer un référentiel de correctifs spécifié | Écriture | |||
| DeleteResourceDataSync | Accorde l'autorisation de supprimer une synchronisation des données d'une ressource spécifiée | Écrire | |||
| DeleteResourcePolicy | Accorde l'autorisation de supprimer une politique de ressource de Systems Manager | Gestion des autorisations | |||
| DeregisterManagedInstance | Accorde l'autorisation de désinscrire un serveur sur site ou une machine virtuelle (VM) spécifié à partir de Systems Manager | Écriture | |||
| DeregisterPatchBaselineForPatchGroup | Accorde l'autorisation de désinscrire un référentiel de correctifs spécifié en tant que référentiel de correctifs par défaut pour un groupe de correctifs spécifié | Écriture | |||
| DeregisterTargetFromMaintenanceWindow | Accorde l'autorisation de désinscrire une cible spécifiée d'une fenêtre de maintenance | Écriture | |||
| DeregisterTaskFromMaintenanceWindow | Accorde l'autorisation de désinscrire une tâche spécifiée d'une fenêtre de maintenance | Écriture | |||
| DescribeActivations | Accorde l'autorisation d'afficher des détails sur l'activation d'une instance gérée spécifiée, par exemple la date de sa création et le nombre d'instances enregistrées à l'aide de l'activation | Lecture | |||
| DescribeAssociation | Accorde l'autorisation d'afficher les détails de l'association spécifiée pour une instance ou une cible spécifiée | Lecture | |||
| DescribeAssociationExecutionTargets | Accorde l'autorisation d'afficher des informations sur une exécution d'association spécifiée | Lecture | |||
| DescribeAssociationExecutions | Accorde l'autorisation d'afficher toutes les exécutions pour une association spécifiée | Lecture | |||
| DescribeAutomationExecutions | Accorde l'autorisation d'afficher les détails de toutes les exécutions d'Automation actives et terminées | Lecture | |||
| DescribeAutomationStepExecutions | Accorde l'autorisation d'afficher les informations sur toutes les exécutions d'étape actives et terminées dans un flux de travail d'automatisation | Lecture | |||
| DescribeAvailablePatches | Accorde l'autorisation d'afficher tous les correctifs pouvant être inclus dans un référentiel de correctifs | Lecture | |||
| DescribeDocument | Accorde l'autorisation d'afficher les détails d'un SSM document spécifique | Lecture | |||
| DescribeDocumentParameters | Autorise l'affichage des informations relatives aux paramètres du SSM document dans la console Systems Manager (action interne de Systems Manager) | Lecture | |||
| DescribeDocumentPermission | Accorde l'autorisation de consulter les autorisations pour un SSM document spécifié | Lecture | |||
| DescribeEffectiveInstanceAssociations | Accorde l'autorisation d'afficher toutes les associations actuelles pour une instance spécifiée | Lecture | |||
| DescribeEffectivePatchesForPatchBaseline | Accorde l'autorisation d'afficher des détails sur les correctifs actuellement associés au référentiel de correctifs spécifié (Windows uniquement) | Lecture | |||
| DescribeInstanceAssociationsStatus | Accorde l'autorisation d'afficher le statut des associations pour une instance spécifiée | Lecture | |||
| DescribeInstanceInformation | Accorde l'autorisation d'afficher les détails d'une instance spécifiée | Lecture | |||
| DescribeInstancePatchStates | Accorde l'autorisation d'afficher les détails de l'état des correctifs sur une instance spécifiée | Lecture | |||
| DescribeInstancePatchStatesForPatchGroup | Accorde l'autorisation de décrire l'état du correctif de haut niveau pour les instances du groupe de correctifs spécifié | Lecture | |||
| DescribeInstancePatches | Accorde l'autorisation d'afficher des détails généraux concernant les correctifs sur une instance spécifiée | Lecture | |||
| DescribeInstanceProperties | Autorise la EC2 console Amazon de l'utilisateur à afficher les nœuds des instances gérées | Lecture | |||
| DescribeInventoryDeletions | Accorde l'autorisation d'afficher les détails d'une suppression d'inventaire spécifiée | Lecture | |||
| DescribeMaintenanceWindowExecutionTaskInvocations | Accorde l'autorisation d'afficher les détails d'une exécution de tâche spécifiée pour une fenêtre de maintenance | Liste | |||
| DescribeMaintenanceWindowExecutionTasks | Accorde l'autorisation d'afficher des détails sur les tâches exécutées pendant l'exécution d'une fenêtre de maintenance spécifiée | Liste | |||
| DescribeMaintenanceWindowExecutions | Accorde l'autorisation d'afficher les exécutions d'une fenêtre de maintenance spécifiée | Liste | |||
| DescribeMaintenanceWindowSchedule | Accorde l'autorisation d'afficher des détails sur les exécutions à venir d'une fenêtre de maintenance spécifiée | Liste | |||
| DescribeMaintenanceWindowTargets | Accorde l'autorisation d'afficher une liste des cibles associées à une fenêtre de maintenance spécifiée | Liste | |||
| DescribeMaintenanceWindowTasks | Accorde l'autorisation d'afficher une liste des tâches associées à une fenêtre de maintenance spécifiée | Liste | |||
| DescribeMaintenanceWindows | Accorde l'autorisation d'afficher des informations sur l'ensemble des fenêtres de maintenance ou sur certaines | Liste | |||
| DescribeMaintenanceWindowsForTarget | Accorde l'autorisation d'afficher des informations sur les cibles de la fenêtre de maintenance et les tâches associées à une instance spécifiée | Liste | |||
| DescribeOpsItems | Accorde l'autorisation d'afficher les détails relatifs à un élément spécifié OpsItems | Lecture | |||
| DescribeParameters | Accorde l'autorisation d'afficher les détails d'un SSM paramètre spécifié | Liste | |||
| DescribePatchBaselines | Accorde l'autorisation d'afficher des informations sur les référentiels de correctifs répondant aux critères spécifiés | Liste | |||
| DescribePatchGroupState | Accorde l'autorisation d'afficher des détails sur l'état agrégé des correctifs pour un groupe de correctifs spécifié | Liste | |||
| DescribePatchGroups | Accorde l'autorisation d'afficher des informations sur le référentiel de correctifs pour un groupe de correctifs spécifié | Liste | |||
| DescribePatchProperties | Accorde l'autorisation d'afficher des détails sur des correctifs disponibles pour un système d'exploitation et une propriété de correctif spécifiés | Liste | |||
| DescribeSessions | Accorde l'autorisation d'afficher une liste des sessions récentes du Gestionnaire de session qui répondent aux critères de recherche spécifiés | Liste | |||
| DisassociateOpsItemRelatedItem | Accorde l'autorisation de se dissocier RelatedItem d'un OpsItem | Écrire | |||
| GetAutomationExecution | Accorde l'autorisation d'afficher les détails d'une exécution d'Automation spécifiée | Lecture | |||
| GetCalendar [autorisation uniquement] | Accorde l'autorisation de visualiser les détails d'un calendrier spécifique | Lecture | |||
| GetCalendarState | Autorisation d'afficher l'état d'un calendrier de modifications ou d'une liste de calendriers de modifications | Lecture | |||
| GetCommandInvocation | Accorde l'autorisation d'afficher des détails sur l'exécution de la commande d'une invocation ou d'un plugin spécifié | Lecture | |||
| GetConnectionStatus | Accorde l'autorisation d'afficher l'état de la connexion au Gestionnaire de session pour une instance gérée spécifiée | Lecture | |||
| GetDefaultPatchBaseline | Accorde l'autorisation d'afficher le référentiel de correctifs par défaut actuel pour un type de système d'exploitation spécifié | Lecture | |||
| GetDeployablePatchSnapshotForInstance | Accorde l'autorisation de récupérer l'instantané de référentiel de correctifs actuel pour une instance spécifiée | Lecture | |||
| GetDocument | Accorde l'autorisation d'afficher le contenu d'un SSM document spécifié | Lecture | |||
| GetInventory | Accorde l'autorisation d'afficher les détails de l'inventaire de l'instance selon les critères spécifiés | Lecture | |||
| GetInventorySchema | Accorde l'autorisation d'afficher une liste de types d'inventaire ou de noms d'attributs pour un type d'article stocké spécifié | Lecture | |||
| GetMaintenanceWindow | Accorde l'autorisation d'afficher des détails sur une fenêtre de maintenance spécifiée | Lecture | |||
| GetMaintenanceWindowExecution | Accorde l'autorisation d'afficher des détails sur l'exécution d'une fenêtre de maintenance spécifiée | Lecture | |||
| GetMaintenanceWindowExecutionTask | Accorde l'autorisation d'afficher des détails sur une tâche d'exécution de fenêtre de maintenance spécifiée | Lecture | |||
| GetMaintenanceWindowExecutionTaskInvocation | Accorde l'autorisation d'afficher des détails sur une tâche de fenêtre de maintenance spécifique s'exécutant sur une cible spécifique | Lecture | |||
| GetMaintenanceWindowTask | Accorde l'autorisation d'afficher des détails sur les tâches enregistrées avec une fenêtre de maintenance spécifiée | Lecture | |||
| GetManifest [autorisation uniquement] | Accorde l'autorisation à Systems Manager et à SSM l'agent de déterminer les exigences d'installation du package pour une instance (appel interne de Systems Manager) | Lecture | |||
| GetOpsItem | Accorde l'autorisation d'afficher les informations relatives à un élément spécifié OpsItem | Lecture | |||
| GetOpsMetadata | Accorde l'autorisation de récupérer un OpsMetadata objet | Lecture | |||
| GetOpsSummary | Autorise l'affichage des informations récapitulatives sur la OpsItems base de filtres et d'agrégateurs spécifiés | Lecture | |||
| GetParameter | Accorde l'autorisation d'afficher des informations sur un paramètre spécifié | Lecture | |||
| GetParameterHistory | Accorde l'autorisation d'afficher les détails et les modifications d'un paramètre spécifié | Lecture | |||
| GetParameters | Accorde l'autorisation d'afficher des informations sur plusieurs paramètres spécifiés | Lecture | |||
| GetParametersByPath | Accorde l'autorisation d'afficher des informations sur les paramètres d'une hiérarchie spécifiée | Lecture | |||
| GetPatchBaseline | Accorde l'autorisation d'afficher des informations sur un référentiel de correctifs spécifié | Lecture | |||
| GetPatchBaselineForPatchGroup | Accorde l'autorisation d'afficher l'ID du référentiel de correctifs actuel pour un groupe de correctifs spécifié | Lecture | |||
| GetResourcePolicies | Accorde l'autorisation de récupérer les listes des politiques de ressources de Systems Manager | Liste | |||
| GetServiceSetting | Accorde l'autorisation de consulter le paramètre au niveau du compte pour un service AWS | Lecture | |||
| LabelParameterVersion | Accorde l'autorisation d'appliquer une étiquette d'identification à une version spécifiée d'un paramètre | Écriture | |||
| ListAssociationVersions | Accorde l'autorisation de répertorier les versions de l'association spécifiée | Liste | |||
| ListAssociations | Accorde l'autorisation de répertorier les associations pour un SSM document ou une instance gérée spécifique | Liste | |||
| ListCommandInvocations | Accorde l'autorisation de répertorier des informations sur les appels de commandes envoyés à une instance spécifiée | Liste | |||
| ListCommands | Accorde l'autorisation de répertorier les commandes envoyées à une instance spécifiée | Liste | |||
| ListComplianceItems | Accorde l'autorisation de répertorier l'état de conformité pour les types de ressources spécifiés sur une ressource spécifiée | Liste | |||
| ListComplianceSummaries | Accorde l'autorisation de répertorier un récapitulatif du nombre de ressources conformes et non conformes pour un type de conformité spécifié | Liste | |||
| ListDocumentMetadataHistory | Accorde l'autorisation de consulter l'historique des métadonnées d'un SSM document spécifié | Liste | |||
| ListDocumentVersions | Accorde l'autorisation de répertorier toutes les versions d'un document spécifié | Liste | |||
| ListDocuments | Accorde l'autorisation de consulter les informations relatives à un SSM document spécifique | Liste | |||
| ListInstanceAssociations | Autorise l'SSMagent à vérifier la présence de nouvelles associations de State Manager (appel interne au Systems Manager) | Liste | |||
| ListInventoryEntries | Accorde l'autorisation d'afficher une liste de types d'inventaire spécifiés pour une instance spécifiée | Liste | |||
| ListOpsItemEvents | Accorde l'autorisation de consulter les détails sur OpsItemEvents | Liste | |||
| ListOpsItemRelatedItems | Accorde l'autorisation de consulter les détails sur OpsItem RelatedItems | Liste | |||
| ListOpsMetadata | Autorise l'affichage d'une liste d' OpsMetadata objets | Liste | |||
| ListResourceComplianceSummaries | Accorde l'autorisation de répertorier un récapitulatif du nombre au niveau des ressources | Liste | |||
| ListResourceDataSync | Accorde l'autorisation de répertorier des informations sur les configurations de synchronisation des données de ressource dans un compte | Liste | |||
| ListTagsForResource | Accorde l'autorisation d'afficher une liste d'identifications de ressources pour une ressource spécifiée | Liste | |||
| ModifyDocumentPermission | Autorise le partage public ou privé d'un SSM document personnalisé avec des AWS comptes spécifiques | Gestion des autorisations | |||
| PutCalendar [autorisation uniquement] | Accorde l'autorisation de créer/modifier un calendrier spécifique | Écrire | |||
| PutComplianceItems | Accorde l'autorisation d'enregistrer un type de conformité et d'autres détails de conformité sur une ressource spécifiée | Écrire | |||
| PutConfigurePackageResult [autorisation uniquement] | Autorise l'SSMagent à générer un rapport sur les résultats de demandes spécifiques à l'agent (appel interne de Systems Manager) | Lecture | |||
| PutInventory | Accorde l'autorisation d'ajouter ou de mettre à jour des articles d'inventaire sur plusieurs instances gérées spécifiées | Écrire | |||
| PutParameter | Accorde l'autorisation de créer un SSM paramètre | Écrire | |||
| PutResourcePolicy | Accorde l'autorisation de créer ou de mettre à jour une politique de ressource de Systems Manager | Gestion des autorisations | |||
| RegisterDefaultPatchBaseline | Accorde l'autorisation d'indiquer le référentiel de correctifs par défaut pour un type de système d'exploitation | Écrire | |||
| RegisterManagedInstance | Accorde l'autorisation d'enregistrer un Systems Manager Agent | Écrire | |||
| RegisterPatchBaselineForPatchGroup | Accorde l'autorisation d'indiquer le référentiel de correctifs par défaut pour un groupe de correctifs spécifié | Écriture | |||
| RegisterTargetWithMaintenanceWindow | Accorde l'autorisation d'enregistrer une cible avec une fenêtre de maintenance spécifiée | Écriture | |||
| RegisterTaskWithMaintenanceWindow | Accorde l'autorisation d'enregistrer une tâche avec une fenêtre de maintenance spécifiée | Écriture | |||
| RemoveTagsFromResource | Accorde l'autorisation de supprimer une clé d'identification spécifiée d'une ressource spécifiée | Identification | |||
| ResetServiceSetting | Accorde l'autorisation de réinitialiser le paramètre de service pour an Compte AWS à la valeur par défaut | Écrire | |||
| ResumeSession | Accorde l'autorisation de reconnecter une session du Gestionnaire de session à une instance gérée | Écriture | |||
| SendAutomationSignal | Accorde l'autorisation d'envoyer un signal pour modifier le comportement ou l'état actuel d'une exécution d'automatisation spécifiée | Écriture | |||
| SendCommand | Accorde l'autorisation d'exécuter des commandes sur une ou plusieurs instances gérées spécifiées | Écriture | |||
| StartAssociationsOnce | Accorde l'autorisation d'exécuter manuellement une association spécifiée | Écriture | |||
| StartAutomationExecution | Accorde l'autorisation de lancer l'exécution d'un document d'automatisation | Écriture | |||
| StartChangeRequestExecution | Accorde l'autorisation de lancer un document Automation Change Template | Écriture | |||
| StartSession | Accorde l'autorisation d'initier une connexion à une cible spécifiée pour une session du Gestionnaire de session | Écriture | |||
| StopAutomationExecution | Accorde l'autorisation d'arrêter une exécution d'automatisation spécifiée déjà en cours | Écriture | |||
| TerminateSession | Accorde l'autorisation de mettre définitivement fin à une connexion du Gestionnaire de session à une instance | Écrire | |||
| UnlabelParameterVersion | Accorde l'autorisation de supprimer une étiquette d'identification d'une version spécifiée d'un paramètre | Écrire | |||
| UpdateAssociation | Accorde l'autorisation de mettre à jour une association et d'exécuter immédiatement l'association sur les cibles spécifiées | Écrire | |||
| UpdateAssociationStatus | Accorde l'autorisation de mettre à jour le statut du SSM document associé à une instance spécifiée | Écrire | |||
| UpdateDocument | Accorde l'autorisation de mettre à jour une ou plusieurs valeurs pour un SSM document | Écrire | |||
| UpdateDocumentDefaultVersion | Accorde l'autorisation de modifier la version par défaut d'un SSM document | Écrire | |||
| UpdateDocumentMetadata | Accorde l'autorisation de mettre à jour les métadonnées d'un SSM document | Écrire | |||
| UpdateInstanceAssociationStatus [autorisation uniquement] | Autorise l'SSMAgent à mettre à jour le statut de l'association en cours d'exécution (appel interne de Systems Manager) | Écrire | |||
| UpdateInstanceInformation | Autorise l'SSMagent à envoyer un signal de pulsation au service Systems Manager dans le cloud | Écrire | |||
| UpdateMaintenanceWindow | Accorde l'autorisation de mettre à jour une fenêtre de maintenance spécifiée | Écriture | |||
| UpdateMaintenanceWindowTarget | Accorde l'autorisation de mettre à jour une cible de fenêtre de maintenance spécifiée | Écriture | |||
| UpdateMaintenanceWindowTask | Accorde l'autorisation de mettre à jour une tâche de fenêtre de maintenance spécifiée | Écrire | |||
| UpdateManagedInstanceRole | Accorde l'autorisation d'attribuer ou de modifier le IAM rôle attribué à une instance gérée spécifiée | Écrire | |||
| UpdateOpsItem | Accorde l'autorisation de modifier ou de modifier un OpsItem | Écrire | |||
| UpdateOpsMetadata | Accorde l'autorisation de mettre à jour un OpsMetadata objet | Écrire | |||
| UpdatePatchBaseline | Accorde l'autorisation de mettre à jour un référentiel de correctifs spécifié | Écriture | |||
| UpdateResourceDataSync | Accorde l'autorisation de mettre à jour une synchronisation de définition de ressource. | Écrire | |||
| UpdateServiceSetting | Accorde l'autorisation de mettre à jour le paramètre de service pour un Compte AWS | Écrire |
Types de ressources définis par AWS Systems Manager
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
Note
Certains API paramètres du State Manager sont devenus obsolètes. Cela peut entraîner un comportement inattendu. Pour plus d'informations, consultez la section Utilisation des associations à l'aide deIAM.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
| automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
| automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
| iam-role |
arn:${Partition}:iam::${Account}:role/${RoleName}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
| maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
| managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
| managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
| opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
| opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
| opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
| parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
| patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
| session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
| resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
| servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
| windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
| windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
Clés de condition pour AWS Systems Manager
AWS Systems Manager définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des requêtes « Créer » basées sur l'ensemble de valeurs autorisé pour chacune des identifications | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction d'une paire clé-valeur de balise attribuée à la ressource AWS | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des requêtes « Créer » selon que des identifications obligatoires sont incluses dans la requête | ArrayOfString |
| ec2:SourceInstanceARN | Filtre l'accès en ARN fonction de l'instance d'où provient la demande | ARN |
| ssm:AutoApprove | Filtre l'accès en vérifiant qu'un utilisateur a l'autorisation de lancer les flux de Change Manager sans étape de révision (à l'exception des événements de gel des changements) | Booléen |
| ssm:DocumentCategories | Filtre l'accès en vérifiant qu'un utilisateur a l'autorisation d'accéder à un document appartenant à une énumération de catégorie spécifique | ArrayOfString |
| ssm:Overwrite | Filtre l'accès en contrôlant si les paramètres de Systems Manager peuvent être écrasés | Chaîne |
| ssm:Policies | Filtre l'accès en contrôlant si une IAM entité (utilisateur ou rôle) peut créer ou mettre à jour un paramètre qui inclut une politique de paramètres | Chaîne |
| ssm:Recursive | Filtre l'accès en fonction des paramètres de Systems Manager créés dans une structure hiérarchique | Chaîne |
| ssm:SessionDocumentAccessCheck | Filtre l'accès en vérifiant qu'un utilisateur est autorisé à accéder au document de configuration par défaut du Gestionnaire de session ou au document de configuration personnalisé spécifié dans une demande | Booléen |
| ssm:SourceInstanceARN | Filtre l'accès en vérifiant le nom de ressource Amazon (ARN) de l'instance gérée par le responsable des AWS systèmes à partir de laquelle la demande est faite. Cette clé n'est pas présente lorsque la demande provient de l'instance gérée authentifiée avec un IAM rôle associé au profil d'EC2instance | ARN |
| ssm:SyncType | Filtre l'accès en vérifiant qu'un utilisateur a également accès aux informations ResourceDataSync SyncType spécifiées dans la demande | Chaîne |
| ssm:resourceTag/${TagKey} | Filtre l'accès en fonction d'une paire clé-valeur de balise affectée à la ressource Systems Manager | Chaîne |
| ssm:resourceTag/aws:ssmmessages:session-id | Filtre l'accès en fonction d'une paire clé-valeur de balise affectée à la ressource de session Systems Manager. | Chaîne |
| ssm:resourceTag/aws:ssmmessages:target-id | Filtre l'accès en fonction d'une paire clé-valeur de balise affectée à la ressource de session Systems Manager. | Chaîne |
| ssm:resourceTag/tag-key | Filtre l'accès en fonction d'une paire clé-valeur d'identification affectée à la ressource Systems Manager | Chaîne |
