Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Systems Manager
AWS Systems Manager (préfixe de service :ssm
) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS Systems Manager
Vous pouvez indiquer les actions suivantes dans l'élément Action
d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource
de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resource
élément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition
d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
---|---|---|---|---|---|
AddTagsToResource | Accorde l'autorisation d'ajouter ou de remplacer une ou plusieurs balises pour une ressource spécifiée AWS | Identification | |||
AssociateOpsItemRelatedItem | Accorde l'autorisation de s'associer RelatedItem à un OpsItem | Écrire | |||
CancelCommand | Accorde l'autorisation d'annuler une commande Exécuter la commande spécifiée | Écriture | |||
CancelMaintenanceWindowExecution | Accorde l'autorisation d'annuler une exécution de fenêtre de maintenance en cours | Écrire | |||
CreateActivation | Accorde l'autorisation de créer une activation utilisée pour enregistrer des serveurs locaux et des machines virtuelles (VMs) auprès de Systems Manager | Écrire | |||
CreateAssociation | Accorde l'autorisation d'associer un document Systems Manager spécifié à des instances ou à d'autres cibles spécifiées | Écrire | |||
CreateAssociationBatch | Permet de combiner des entrées pour plusieurs CreateAssociation opérations dans une seule commande | Écrire | |||
CreateDocument | Accorde l'autorisation de créer un document SSM de Systems Manager | Écriture |
iam:PassRole |
||
CreateMaintenanceWindow | Accorde l'autorisation de créer une fenêtre de maintenance | Écrire | |||
CreateOpsItem | Accorde l'autorisation de créer un OpsItem in OpsCenter | Écrire | |||
CreateOpsMetadata | Accorde l'autorisation de créer un OpsMetadata objet pour une AWS ressource | Écrire | |||
CreatePatchBaseline | Accorde l'autorisation de créer un référentiel de correctifs | Écriture | |||
CreateResourceDataSync | Accorde l'autorisation de créer une configuration de synchronisation des données de ressource, qui collecte régulièrement les données d'inventaire à partir d'instances gérées et met à jour les données dans un compartiment Amazon S3 | Écriture | |||
DeleteActivation | Accorde l'autorisation de supprimer une activation spécifiée pour les instances gérées | Écriture | |||
DeleteAssociation | Accorde l'autorisation de dissocier un document SSM spécifié d'une instance spécifiée | Écriture | |||
DeleteDocument | Accorde l'autorisation de supprimer un document SSM spécifié et ses associations d'instances | Écriture | |||
DeleteInventory | Accorde l'autorisation de supprimer un type d'inventaire personnalisé spécifié ou les données associées à un type d'inventaire personnalisé | Écriture | |||
DeleteMaintenanceWindow | Accorde l'autorisation de supprimer une fenêtre de maintenance spécifiée | Écrire | |||
DeleteOpsItem | Accorde l'autorisation de supprimer un OpsItem | Écrire | |||
DeleteOpsMetadata | Accorde l'autorisation de supprimer un OpsMetadata objet | Écrire | |||
DeleteParameter | Accorde l'autorisation de supprimer un paramètre SSM spécifié | Écriture | |||
DeleteParameters | Accorde l'autorisation de supprimer plusieurs paramètres SSM spécifiés | Écriture | |||
DeletePatchBaseline | Accorde l'autorisation de supprimer un référentiel de correctifs spécifié | Écriture | |||
DeleteResourceDataSync | Accorde l'autorisation de supprimer une synchronisation des données d'une ressource spécifiée | Écrire | |||
DeleteResourcePolicy | Accorde l'autorisation de supprimer une politique de ressource de Systems Manager | Gestion des autorisations | |||
DeregisterManagedInstance | Accorde l'autorisation de désinscrire un serveur sur site ou une machine virtuelle (VM) spécifié à partir de Systems Manager | Écriture | |||
DeregisterPatchBaselineForPatchGroup | Accorde l'autorisation de désinscrire un référentiel de correctifs spécifié en tant que référentiel de correctifs par défaut pour un groupe de correctifs spécifié | Écriture | |||
DeregisterTargetFromMaintenanceWindow | Accorde l'autorisation de désinscrire une cible spécifiée d'une fenêtre de maintenance | Écriture | |||
DeregisterTaskFromMaintenanceWindow | Accorde l'autorisation de désinscrire une tâche spécifiée d'une fenêtre de maintenance | Écriture | |||
DescribeActivations | Accorde l'autorisation d'afficher des détails sur l'activation d'une instance gérée spécifiée, par exemple la date de sa création et le nombre d'instances enregistrées à l'aide de l'activation | Lecture | |||
DescribeAssociation | Accorde l'autorisation d'afficher les détails de l'association spécifiée pour une instance ou une cible spécifiée | Lecture | |||
DescribeAssociationExecutionTargets | Accorde l'autorisation d'afficher des informations sur une exécution d'association spécifiée | Lecture | |||
DescribeAssociationExecutions | Accorde l'autorisation d'afficher toutes les exécutions pour une association spécifiée | Lecture | |||
DescribeAutomationExecutions | Accorde l'autorisation d'afficher les détails de toutes les exécutions d'Automation actives et terminées | Lecture | |||
DescribeAutomationStepExecutions | Accorde l'autorisation d'afficher les informations sur toutes les exécutions d'étape actives et terminées dans un flux de travail d'automatisation | Lecture | |||
DescribeAvailablePatches | Accorde l'autorisation d'afficher tous les correctifs pouvant être inclus dans un référentiel de correctifs | Lecture | |||
DescribeDocument | Accorde l'autorisation d'afficher les détails d'un document SSM spécifié | Lecture | |||
DescribeDocumentParameters | Accorde l'autorisation d'afficher des informations sur les paramètres du document SSM dans la console Systems Manager (action interne de Systems Manager) | Lecture | |||
DescribeDocumentPermission | Accorde l'autorisation d'afficher les autorisations pour un document SSM spécifié | Lecture | |||
DescribeEffectiveInstanceAssociations | Accorde l'autorisation d'afficher toutes les associations actuelles pour une instance spécifiée | Lecture | |||
DescribeEffectivePatchesForPatchBaseline | Accorde l'autorisation d'afficher des détails sur les correctifs actuellement associés au référentiel de correctifs spécifié (Windows uniquement) | Lecture | |||
DescribeInstanceAssociationsStatus | Accorde l'autorisation d'afficher le statut des associations pour une instance spécifiée | Lecture | |||
DescribeInstanceInformation | Accorde l'autorisation d'afficher les détails d'une instance spécifiée | Lecture | |||
DescribeInstancePatchStates | Accorde l'autorisation d'afficher les détails de l'état des correctifs sur une instance spécifiée | Lecture | |||
DescribeInstancePatchStatesForPatchGroup | Accorde l'autorisation de décrire l'état du correctif de haut niveau pour les instances du groupe de correctifs spécifié | Lecture | |||
DescribeInstancePatches | Accorde l'autorisation d'afficher des détails généraux concernant les correctifs sur une instance spécifiée | Lecture | |||
DescribeInstanceProperties | Autorise la EC2 console Amazon de l'utilisateur à afficher les nœuds des instances gérées | Lecture | |||
DescribeInventoryDeletions | Accorde l'autorisation d'afficher les détails d'une suppression d'inventaire spécifiée | Lecture | |||
DescribeMaintenanceWindowExecutionTaskInvocations | Accorde l'autorisation d'afficher les détails d'une exécution de tâche spécifiée pour une fenêtre de maintenance | Liste | |||
DescribeMaintenanceWindowExecutionTasks | Accorde l'autorisation d'afficher des détails sur les tâches exécutées pendant l'exécution d'une fenêtre de maintenance spécifiée | Liste | |||
DescribeMaintenanceWindowExecutions | Accorde l'autorisation d'afficher les exécutions d'une fenêtre de maintenance spécifiée | Liste | |||
DescribeMaintenanceWindowSchedule | Accorde l'autorisation d'afficher des détails sur les exécutions à venir d'une fenêtre de maintenance spécifiée | Liste | |||
DescribeMaintenanceWindowTargets | Accorde l'autorisation d'afficher une liste des cibles associées à une fenêtre de maintenance spécifiée | Liste | |||
DescribeMaintenanceWindowTasks | Accorde l'autorisation d'afficher une liste des tâches associées à une fenêtre de maintenance spécifiée | Liste | |||
DescribeMaintenanceWindows | Accorde l'autorisation d'afficher des informations sur l'ensemble des fenêtres de maintenance ou sur certaines | Liste | |||
DescribeMaintenanceWindowsForTarget | Accorde l'autorisation d'afficher des informations sur les cibles de la fenêtre de maintenance et les tâches associées à une instance spécifiée | Liste | |||
DescribeOpsItems | Accorde l'autorisation d'afficher les détails relatifs à un élément spécifié OpsItems | Lecture | |||
DescribeParameters | Accorde l'autorisation d'afficher des détails sur un paramètre SSM spécifié | Liste | |||
DescribePatchBaselines | Accorde l'autorisation d'afficher des informations sur les référentiels de correctifs répondant aux critères spécifiés | Liste | |||
DescribePatchGroupState | Accorde l'autorisation d'afficher des détails sur l'état agrégé des correctifs pour un groupe de correctifs spécifié | Liste | |||
DescribePatchGroups | Accorde l'autorisation d'afficher des informations sur le référentiel de correctifs pour un groupe de correctifs spécifié | Liste | |||
DescribePatchProperties | Accorde l'autorisation d'afficher des détails sur des correctifs disponibles pour un système d'exploitation et une propriété de correctif spécifiés | Liste | |||
DescribeSessions | Accorde l'autorisation d'afficher une liste des sessions récentes du Gestionnaire de session qui répondent aux critères de recherche spécifiés | Liste | |||
DisassociateOpsItemRelatedItem | Accorde l'autorisation de se dissocier RelatedItem d'un OpsItem | Écrire | |||
ExecuteAPI | Accorde à un administrateur délégué de Systems Manager l'autorisation de consulter les informations relatives aux ressources associées OpsItems sur plusieurs AWS comptes dans AWS Management Console | Lecture | |||
GetAutomationExecution | Accorde l'autorisation d'afficher les détails d'une exécution d'Automation spécifiée | Lecture | |||
GetCalendar [autorisation uniquement] | Accorde l'autorisation de visualiser les détails d'un calendrier spécifique | Lecture | |||
GetCalendarState | Autorisation d'afficher l'état d'un calendrier de modifications ou d'une liste de calendriers de modifications | Lecture | |||
GetCommandInvocation | Accorde l'autorisation d'afficher des détails sur l'exécution de la commande d'une invocation ou d'un plugin spécifié | Lecture | |||
GetConnectionStatus | Accorde l'autorisation d'afficher l'état de la connexion au Gestionnaire de session pour une instance gérée spécifiée | Lecture | |||
GetDefaultPatchBaseline | Accorde l'autorisation d'afficher le référentiel de correctifs par défaut actuel pour un type de système d'exploitation spécifié | Lecture | |||
GetDeployablePatchSnapshotForInstance | Accorde l'autorisation de récupérer l'instantané de référentiel de correctifs actuel pour une instance spécifiée | Lecture | |||
GetDocument | Accorde l'autorisation d'afficher le contenu d'un document SSM spécifié | Lecture | |||
GetExecutionPreview | Accorde l'autorisation de récupérer un aperçu existant qui montre les effets que l'exécution d'un runbook d'automatisation spécifié aurait sur les ressources ciblées | Lecture | |||
GetInventory | Accorde l'autorisation d'afficher les détails de l'inventaire de l'instance selon les critères spécifiés | Lecture | |||
GetInventorySchema | Accorde l'autorisation d'afficher une liste de types d'inventaire ou de noms d'attributs pour un type d'article stocké spécifié | Lecture | |||
GetMaintenanceWindow | Accorde l'autorisation d'afficher des détails sur une fenêtre de maintenance spécifiée | Lecture | |||
GetMaintenanceWindowExecution | Accorde l'autorisation d'afficher des détails sur l'exécution d'une fenêtre de maintenance spécifiée | Lecture | |||
GetMaintenanceWindowExecutionTask | Accorde l'autorisation d'afficher des détails sur une tâche d'exécution de fenêtre de maintenance spécifiée | Lecture | |||
GetMaintenanceWindowExecutionTaskInvocation | Accorde l'autorisation d'afficher des détails sur une tâche de fenêtre de maintenance spécifique s'exécutant sur une cible spécifique | Lecture | |||
GetMaintenanceWindowTask | Accorde l'autorisation d'afficher des détails sur les tâches enregistrées avec une fenêtre de maintenance spécifiée | Lecture | |||
GetManifest [autorisation uniquement] | Accorde l'autorisation à Systems Manager et SSM Agent de déterminer les exigences d'installation du package pour une instance (appel interne de Systems Manager) | Lecture | |||
GetOpsItem | Accorde l'autorisation d'afficher les informations relatives à un élément spécifié OpsItem | Lecture | |||
GetOpsMetadata | Accorde l'autorisation de récupérer un OpsMetadata objet | Lecture | |||
GetOpsSummary | Autorise l'affichage des informations récapitulatives sur la OpsItems base de filtres et d'agrégateurs spécifiés | Lecture | |||
GetParameter | Accorde l'autorisation d'afficher des informations sur un paramètre spécifié | Lecture | |||
GetParameterHistory | Accorde l'autorisation d'afficher les détails et les modifications d'un paramètre spécifié | Lecture | |||
GetParameters | Accorde l'autorisation d'afficher des informations sur plusieurs paramètres spécifiés | Lecture | |||
GetParametersByPath | Accorde l'autorisation d'afficher des informations sur les paramètres d'une hiérarchie spécifiée | Lecture | |||
GetPatchBaseline | Accorde l'autorisation d'afficher des informations sur un référentiel de correctifs spécifié | Lecture | |||
GetPatchBaselineForPatchGroup | Accorde l'autorisation d'afficher l'ID du référentiel de correctifs actuel pour un groupe de correctifs spécifié | Lecture | |||
GetResourcePolicies | Accorde l'autorisation de récupérer les listes des politiques de ressources de Systems Manager | Liste | |||
GetServiceSetting | Accorde l'autorisation de consulter le paramètre au niveau du compte pour un service AWS | Lecture | |||
LabelParameterVersion | Accorde l'autorisation d'appliquer une étiquette d'identification à une version spécifiée d'un paramètre | Écriture | |||
ListAssociationVersions | Accorde l'autorisation de répertorier les versions de l'association spécifiée | Liste | |||
ListAssociations | Accorde l'autorisation de répertorier les associations pour un document SSM spécifié ou une instance gérée | Liste | |||
ListCommandInvocations | Accorde l'autorisation de répertorier des informations sur les appels de commandes envoyés à une instance spécifiée | Liste | |||
ListCommands | Accorde l'autorisation de répertorier les commandes envoyées à une instance spécifiée | Liste | |||
ListComplianceItems | Accorde l'autorisation de répertorier l'état de conformité pour les types de ressources spécifiés sur une ressource spécifiée | Liste | |||
ListComplianceSummaries | Accorde l'autorisation de répertorier un récapitulatif du nombre de ressources conformes et non conformes pour un type de conformité spécifié | Liste | |||
ListDocumentMetadataHistory | Accorde l'autorisation d'afficher l'historique des métadonnées d'un document SSM spécifié | Liste | |||
ListDocumentVersions | Accorde l'autorisation de répertorier toutes les versions d'un document spécifié | Liste | |||
ListDocuments | Accorde l'autorisation d'afficher des informations sur un document SSM spécifié | Liste | |||
ListInstanceAssociations | Accorde l'autorisation à SSM Agent de rechercher de nouvelles associations du State Manager (appel interne de Systems Manager) | Liste | |||
ListInventoryEntries | Accorde l'autorisation d'afficher une liste de types d'inventaire spécifiés pour une instance spécifiée | Liste | |||
ListNodes | Accorde l'autorisation d'afficher les détails sur les nœuds gérés en fonction de filtres spécifiés | Liste | |||
ListNodesSummary | Accorde l'autorisation d'afficher des informations récapitulatives sur les nœuds gérés en fonction de filtres et d'agrégateurs spécifiés | Liste | |||
ListOpsItemEvents | Accorde l'autorisation de consulter les détails sur OpsItemEvents | Liste | |||
ListOpsItemRelatedItems | Accorde l'autorisation de consulter les détails sur OpsItem RelatedItems | Liste | |||
ListOpsMetadata | Autorise l'affichage d'une liste d' OpsMetadata objets | Liste | |||
ListResourceComplianceSummaries | Accorde l'autorisation de répertorier un récapitulatif du nombre au niveau des ressources | Liste | |||
ListResourceDataSync | Accorde l'autorisation de répertorier des informations sur les configurations de synchronisation des données de ressource dans un compte | Liste | |||
ListTagsForResource | Accorde l'autorisation d'afficher une liste d'identifications de ressources pour une ressource spécifiée | Liste | |||
ModifyDocumentPermission | Autorise le partage public ou privé d'un document SSM personnalisé avec des comptes spécifiques AWS | Gestion des autorisations | |||
PutCalendar [autorisation uniquement] | Accorde l'autorisation de créer/modifier un calendrier spécifique | Écrire | |||
PutComplianceItems | Accorde l'autorisation d'enregistrer un type de conformité et d'autres détails de conformité sur une ressource spécifiée | Écrire | |||
PutConfigurePackageResult [autorisation uniquement] | Accorde l'autorisation à SSM Agent de générer un rapport des résultats de requêtes d'agent spécifiques (appel interne de Systems Manager) | Lecture | |||
PutInventory | Accorde l'autorisation d'ajouter ou de mettre à jour des articles d'inventaire sur plusieurs instances gérées spécifiées | Écriture | |||
PutParameter | Accorde l'autorisation de créer un paramètre SSM | Écrire | |||
PutResourcePolicy | Accorde l'autorisation de créer ou de mettre à jour une politique de ressource de Systems Manager | Gestion des autorisations | |||
RegisterDefaultPatchBaseline | Accorde l'autorisation d'indiquer le référentiel de correctifs par défaut pour un type de système d'exploitation | Écrire | |||
RegisterManagedInstance | Accorde l'autorisation d'enregistrer un Systems Manager Agent | Écrire | |||
RegisterPatchBaselineForPatchGroup | Accorde l'autorisation d'indiquer le référentiel de correctifs par défaut pour un groupe de correctifs spécifié | Écriture | |||
RegisterTargetWithMaintenanceWindow | Accorde l'autorisation d'enregistrer une cible avec une fenêtre de maintenance spécifiée | Écriture | |||
RegisterTaskWithMaintenanceWindow | Accorde l'autorisation d'enregistrer une tâche avec une fenêtre de maintenance spécifiée | Écriture | |||
RemoveTagsFromResource | Accorde l'autorisation de supprimer une clé d'identification spécifiée d'une ressource spécifiée | Identification | |||
ResetServiceSetting | Accorde l'autorisation de réinitialiser le paramètre de service pour an Compte AWS à la valeur par défaut | Écrire | |||
ResumeSession | Accorde l'autorisation de reconnecter une session du Gestionnaire de session à une instance gérée | Écriture | |||
SendAutomationSignal | Accorde l'autorisation d'envoyer un signal pour modifier le comportement ou l'état actuel d'une exécution d'automatisation spécifiée | Écriture | |||
SendCommand | Accorde l'autorisation d'exécuter des commandes sur une ou plusieurs instances gérées spécifiées | Écriture | |||
StartAssociationsOnce | Accorde l'autorisation d'exécuter manuellement une association spécifiée | Écriture | |||
StartAutomationExecution | Accorde l'autorisation de lancer l'exécution d'un document d'automatisation | Écriture | |||
StartChangeRequestExecution | Accorde l'autorisation de lancer un document Automation Change Template | Écrire | |||
StartExecutionPreview | Accorde l'autorisation de créer un aperçu montrant les effets que l'exécution d'un runbook d'automatisation spécifié aurait sur les ressources ciblées | Lecture | |||
StartSession | Accorde l'autorisation d'initier une connexion à une cible spécifiée pour une session du Gestionnaire de session | Écriture | |||
StopAutomationExecution | Accorde l'autorisation d'arrêter une exécution d'automatisation spécifiée déjà en cours | Écriture | |||
TerminateSession | Accorde l'autorisation de mettre définitivement fin à une connexion du Gestionnaire de session à une instance | Écrire | |||
UnlabelParameterVersion | Accorde l'autorisation de supprimer une étiquette d'identification d'une version spécifiée d'un paramètre | Écrire | |||
UpdateAssociation | Accorde l'autorisation de mettre à jour une association et d'exécuter immédiatement l'association sur les cibles spécifiées | Écriture | |||
UpdateAssociationStatus | Accorde l'autorisation de mettre à jour l'état du document SSM associé à une instance spécifiée | Écriture | |||
UpdateDocument | Accorde l'autorisation de mettre à jour une ou plusieurs valeurs pour un document SSM | Écriture | |||
UpdateDocumentDefaultVersion | Accorde l'autorisation de modifier la version par défaut d'un document SSM | Écriture | |||
UpdateDocumentMetadata | Accorde l'autorisation de mettre à jour les métadonnées d'un document SSM | Écrire | |||
UpdateInstanceAssociationStatus [autorisation uniquement] | Accorde l'autorisation à SSM Agent de mettre à jour le statut de l'association en cours d'exécution (appel interne de Systems Manager) | Écrire | |||
UpdateInstanceInformation | Accorde l'autorisation à SSM Agent d'envoyer un signal de pulsation au service Systems Manager dans le cloud | Écrire | |||
UpdateMaintenanceWindow | Accorde l'autorisation de mettre à jour une fenêtre de maintenance spécifiée | Écriture | |||
UpdateMaintenanceWindowTarget | Accorde l'autorisation de mettre à jour une cible de fenêtre de maintenance spécifiée | Écriture | |||
UpdateMaintenanceWindowTask | Accorde l'autorisation de mettre à jour une tâche de fenêtre de maintenance spécifiée | Écriture | |||
UpdateManagedInstanceRole | Accorde l'autorisation d'affecter ou de modifier le rôle IAM attribué à une instance gérée spécifiée | Écrire | |||
UpdateOpsItem | Accorde l'autorisation de modifier ou de modifier un OpsItem | Écrire | |||
UpdateOpsMetadata | Autorise la mise à jour d'un OpsMetadata objet | Écrire | |||
UpdatePatchBaseline | Accorde l'autorisation de mettre à jour un référentiel de correctifs spécifié | Écriture | |||
UpdateResourceDataSync | Accorde l'autorisation de mettre à jour une synchronisation de définition de ressource. | Écrire | |||
UpdateServiceSetting | Accorde l'autorisation de mettre à jour le paramètre de service pour un Compte AWS | Écrire |
Types de ressources définis par AWS Systems Manager
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource
élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
Note
Certains paramètres de l'API State Manager sont désormais obsolètes. Cela peut entraîner un comportement inattendu. Pour plus d'informations, consultez Utilisation d'associations à l'aide d'IAM.
Types de ressources | ARN | Clés de condition |
---|---|---|
association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
bucket |
arn:${Partition}:s3:::${BucketName}
|
|
document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
iam-role |
arn:${Partition}:iam::${Account}:role/${RoleName}
|
|
instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
Clés de condition pour AWS Systems Manager
AWS Systems Manager définit les clés de condition suivantes qui peuvent être utilisées dans l'Condition
élément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
Clés de condition | Description | Type |
---|---|---|
aws:RequestTag/${TagKey} | Filtre l'accès en fonction des requêtes « Créer » basées sur l'ensemble de valeurs autorisé pour chacune des identifications | Chaîne |
aws:ResourceTag/${TagKey} | Filtre l'accès en fonction d'une paire clé-valeur de balise attribuée à la ressource AWS | Chaîne |
aws:TagKeys | Filtre l'accès en fonction des requêtes « Créer » selon que des identifications obligatoires sont incluses dans la requête | ArrayOfString |
ec2:SourceInstanceARN | Filtre l'accès en fonction de l'ARN de l'instance à l'origine de la demande. | ARN |
ssm:AutoApprove | Filtre l'accès en vérifiant qu'un utilisateur a l'autorisation de lancer les flux de Change Manager sans étape de révision (à l'exception des événements de gel des changements) | Booléen |
ssm:DocumentCategories | Filtre l'accès en vérifiant qu'un utilisateur a l'autorisation d'accéder à un document appartenant à une énumération de catégorie spécifique | ArrayOfString |
ssm:Overwrite | Filtre l'accès en contrôlant si les paramètres de Systems Manager peuvent être écrasés | Chaîne |
ssm:Policies | Filtre l'accès en contrôlant si une entité IAM (utilisateur ou rôle) peut créer ou mettre à jour un paramètre qui inclut une politique de paramètres | Chaîne |
ssm:Recursive | Filtre l'accès en fonction des paramètres de Systems Manager créés dans une structure hiérarchique | Chaîne |
ssm:SourceInstanceARN | Filtre l'accès en vérifiant le nom de ressource Amazon (ARN) de l'instance gérée par le responsable des AWS systèmes à partir de laquelle la demande est faite. Cette clé n'est pas présente lorsque la demande provient de l'instance gérée authentifiée avec un rôle IAM associé EC2 au profil de l'instance | ARN |
ssm:SyncType | Filtre l'accès en vérifiant qu'un utilisateur a également accès aux informations ResourceDataSync SyncType spécifiées dans la demande | Chaîne |
ssm:resourceTag/${TagKey} | Filtre l'accès en fonction d'une paire clé-valeur de balise affectée à la ressource Systems Manager | Chaîne |
ssm:resourceTag/aws:ssmmessages:session-id | Filtre l'accès en fonction d'une paire clé-valeur de balise affectée à la ressource de session Systems Manager. | Chaîne |
ssm:resourceTag/aws:ssmmessages:target-id | Filtre l'accès en fonction d'une paire clé-valeur de balise affectée à la ressource de session Systems Manager. | Chaîne |
ssm:resourceTag/tag-key | Filtre l'accès en fonction d'une paire clé-valeur d'identification affectée à la ressource Systems Manager | Chaîne |